Root-Server absichern #3: Rootkits abwehren mit rkhunter

Rootkits sind gemeine Schadprogramme, welche sich nach Infizierung des Systems in Dateien und Prozessen verstecken. Über normale Tools wie die einfache Prozess- oder Dateiüberwachung sind die kleinen Biester nicht zu erkennen. Aber trotzdem sind wir den rootkits nicht hilflos ausgeliefert, rkhunter jagt die rootkits vom System.

Damit auch du deinen Server vor rootkits absichern kannst gibt es auch dazu eine Anleitung von mir. Wie immer für die Linux-Distribution meiner Wahl für Server, Debian.

Wenig überrachend installieren wir zuerst rkhunter über aptitude, wofür wir uns mit sudo Administratorprivilegien anfordern.

sudo apt install rkhunter

Anschließend legen wir eine Kopie der rkhunter-Dateien an.

sudo cp -p /etc/default/rkhunter /etc/default/rkhunter-COPY-$(date +"%Y%m%d%H%M%S")

Von der Konfiguration erstellen wir dann eine Arbeitskopie, in welcher wir dann die Einstellungen vornehmen.

sudo cp -p /etc/rkhunter.conf /etc/rkhunter.conf.local

sudo nano /etc/rkhunter.conf.local

Folgende Einstellunge sind meine Empfehlung. Sucht diese in der Datei und passe sie entsprechend an.

Anschließend aktiviert man die automatische tägliche Ausführung von rkhunter. Die Fragen werden alle mit Ja/Yes beantwortet.

sudo dpkg-reconfigure rkhunter

sudo rkhunter -C

Wenn das ohne Fehler durchgelaufen ist, dann hast du rkhunter richtig eingestellt und eigentlich ist dann schon alles am Laufen. Ab jetzt ist dein Server bestmöglich vor root kits geschützt. rkhunter prüft nun einmal am Tag dein Dateisystem nach rootkits.

Als letzten Schritt empfiehlt es sich rkhunter zu aktualisieren und, wenn man will, einen Suchlauf durchzuführen.

# rkhunter updaten
sudo rkhunter --versioncheck
sudo rkhunter --update
sudo rkhunter --propupd

# rkhunter manuell ausführen
sudo rkhunter --check