Orange K

Kernic

Einfach meine Gedanken und Meinungen

Root-Server absichern #3: Rootkits abwehren mit rkhunter

Rootkits sind gemeine Schadprogramme, welche sich nach Infizierung des Systems in Dateien und Prozessen verstecken. Über normale Tools wie die einfache Prozess- oder Dateiüberwachung sind die kleinen Biester nicht zu erkennen. Aber trotzdem sind wir den rootkits nicht hilflos ausgeliefert, rkhunter jagt die rootkits vom System.

Damit auch du deinen Server vor rootkits absichern kannst gibt es auch dazu eine Anleitung von mir. Wie immer für die Linux-Distribution meiner Wahl für Server, Debian.

rkhunter installieren

Auf Debian

Wenig überrachend installieren wir zuerst rkhunter über aptitude, wofür wir uns mit sudo Administratorprivilegien anfordern.

sudo apt install rkhunter

Anschließend legen wir eine Kopie der rkhunter-Dateien an.

sudo cp -p /etc/default/rkhunter /etc/default/rkhunter-COPY-$(date +"%Y%m%d%H%M%S")

Von der Konfiguration erstellen wir dann eine Arbeitskopie, in welcher wir dann die Einstellungen vornehmen.

sudo cp -p /etc/rkhunter.conf /etc/rkhunter.conf.localsudo nano /etc/rkhunter.conf.local

Folgende Einstellunge sind meine Empfehlung. Sucht diese in der Datei und passe sie entsprechend an.

ℹ️
Ich empfehle dir dringend, immer die kompletten Einstellungen durchzusehen und eventuell nach deinen Vorstellungen anzupassen.

Einstellung Anmerkung
UPDATE_MIRRORS=1 Aktualisiert auch die Mirror
MIRROR_MODE=0 Nutzt auch externe Mirror Quellen
MAIL-ON-WARNING=root Schickt dir eine E-Mail, wenn es eine Warnung gibt
PKGMGR=NONE Setzt die Paketquelle, entferne das #
PHALANX2_DIRTEST=1 Aktiviert den erweiterten Test
WEB_CMD="" Muss gesetzt werden, um einen Bug in Debian zu umgehen
USE_LOCKING=1 Verhindert, dass rkhunter mehrfach läuft
SHOW_SUMMARY_WARNINGS_NUMBER=1 Aktiviert die Anzeige der Menge der Warnungen

Anschließend aktiviert man die automatische tägliche Ausführung von rkhunter. Die Fragen werden alle mit Ja/Yes beantwortet.

sudo dpkg-reconfigure rkhunter
⚠️
Jetzt gilt es zu prüfen, dass die Einstellungen alle richtig gesetzt sind.
sudo rkhunter -C

Wenn das ohne Fehler durchgelaufen ist, dann hast du rkhunter richtig eingestellt und eigentlich ist dann schon alles am Laufen. Ab jetzt ist dein Server bestmöglich vor root kits geschützt. rkhunter prüft nun einmal am Tag dein Dateisystem nach rootkits.

Als letzten Schritt empfiehlt es sich rkhunter zu aktualisieren und, wenn man will, einen Suchlauf durchzuführen.

# rkhunter updatensudo rkhunter --versionchecksudo rkhunter --updatesudo rkhunter --propupd# rkhunter manuell ausführensudo rkhunter --check

🤞 Join the newsletter

We don’t spam! Read our privacy policy for more info.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert