Root-Server absichern #3: Rootkits abwehren mit rkhunter

Root-Server absichern #3: Rootkits abwehren mit rkhunter
Photo by Adi Goldstein / Unsplash

Rootkits sind gemeine Schadprogramme, welche sich nach Infizierung des Systems in Dateien und Prozessen verstecken. Über normale Tools wie die einfache Prozess- oder Dateiüberwachung sind die kleinen Biester nicht zu erkennen. Aber trotzdem sind wir den rootkits nicht hilflos ausgeliefert, rkhunter jagt die rootkits vom System.

Damit auch du deinen Server vor rootkits absichern kannst gibt es auch dazu eine Anleitung von mir. Wie immer für die Linux-Distribution meiner Wahl für Server, Debian.

rkhunter installieren

Auf Debian

Wenig überrachend installieren wir zuerst rkhunter über aptitude, wofür wir uns mit sudo Administratorprivilegien anfordern.

sudo apt install rkhunter

Anschließend legen wir eine Kopie der rkhunter-Dateien an.

sudo cp -p /etc/default/rkhunter /etc/default/rkhunter-COPY-$(date +"%Y%m%d%H%M%S")

Von der Konfiguration erstellen wir dann eine Arbeitskopie, in welcher wir dann die Einstellungen vornehmen.

sudo cp -p /etc/rkhunter.conf /etc/rkhunter.conf.local

sudo nano /etc/rkhunter.conf.local

Folgende Einstellunge sind meine Empfehlung. Sucht diese in der Datei und passe sie entsprechend an.

ℹ️
Ich empfehle dir dringend, immer die kompletten Einstellungen durchzusehen und eventuell nach deinen Vorstellungen anzupassen.
Einstellung Anmerkung
UPDATE_MIRRORS=1 Aktualisiert auch die Mirror
MIRROR_MODE=0 Nutzt auch externe Mirror Quellen
MAIL-ON-WARNING=root Schickt dir eine E-Mail, wenn es eine Warnung gibt
PKGMGR=NONE Setzt die Paketquelle, entferne das #
PHALANX2_DIRTEST=1 Aktiviert den erweiterten Test
WEB_CMD="" Muss gesetzt werden, um einen Bug in Debian zu umgehen
USE_LOCKING=1 Verhindert, dass rkhunter mehrfach läuft
SHOW_SUMMARY_WARNINGS_NUMBER=1 Aktiviert die Anzeige der Menge der Warnungen

Anschließend aktiviert man die automatische tägliche Ausführung von rkhunter. Die Fragen werden alle mit Ja/Yes beantwortet.

sudo dpkg-reconfigure rkhunter
⚠️
Jetzt gilt es zu prüfen, dass die Einstellungen alle richtig gesetzt sind.
sudo rkhunter -C

Wenn das ohne Fehler durchgelaufen ist, dann hast du rkhunter richtig eingestellt und eigentlich ist dann schon alles am Laufen. Ab jetzt ist dein Server bestmöglich vor root kits geschützt. rkhunter prüft nun einmal am Tag dein Dateisystem nach rootkits.

Als letzten Schritt empfiehlt es sich rkhunter zu aktualisieren und, wenn man will, einen Suchlauf durchzuführen.

# rkhunter updaten
sudo rkhunter --versioncheck
sudo rkhunter --update
sudo rkhunter --propupd

# rkhunter manuell ausführen
sudo rkhunter --check
Warte! Hier gibt's noch mehr!