Instalando Linux Rkhunter (Rootkit Hunter) in RHEL, CentOS y Fedora

Este es un Post sobre herramientas de seguridad.  Una vez más estamos aquí para presentar una nueva herramienta de seguridad llamada rkhunter. Este artículo le guiará una manera de instalar y configurar RKH (RootKit Hunter)  via consola en RHEL 6.3/6.2/6.1/6/5.8, CentOS y Fedora 6.3/6.2/6.1/6/5.8 12,13,14,15,16, 17  , sistema Open Source.

Que es Rkhunter?

Rkhunter (o Rootkit Hunter) es una herramienta de Unix que detecta los rootkits, puertas traseras y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto (de rootkits), los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel, y las pruebas especiales para Linux y FreeBSD. en resumen hace un escaneo completo del sistema antes posibles sospechas de agentes infecciosos daninos.

Paso 1: Descargar Rkhunter

Primero descarga la última versión estable de la herramienta rkhunter yendo a http://www.rootkit.nl/projects/rootkit_hunter.html o usar debajo de comandos wget para descargar.

cd /tmp
wget http://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

Paso 2: Instalando Rkhunter

Una vez que haya descargado la última versión, ejecute los siguientes comandos como usuario root para instalarlo.

tar -xvf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2
./installer.sh --layout default --install

Step 3: Actualizando Rkhunter

/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --propupd

Paso 4: Configurando Cronjob y Alertas via Email

Cree un archivo rkhunter.sh en /etc/cron.daily/, que escaneara su sistema de archivos cada día y envía notificaciones por correo electrónico a su correo electrónico de encontrar una anomalia. Cree siguiente archivo con la ayuda de su editor favorito.

vim /etc/cron.daily/rkhunter.sh

Añada las siguientes líneas de código y reemplazar “NombredeServidor” con su “Nombre del servidor” y “tu@email.com” con su “Email”.

#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run (NombredeServidor)' tu@email.com

Asignar permisos correspondientes

chmod 755 /etc/cron.daily/rkhunter.sh

Paso 5: Escanear

./usr/local/bin/rkhunter --check

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*