Rkhunter
rkhunter (Rootkit Hunter) 是一款用於POSIX兼容系統的安全監控工具。它通過搜索(rootkit的)默認目錄、權限配置錯誤、隱藏文件、包含可疑字符串的內核模塊,以及將重要文件的哈希值與已知正常文件哈希值進行比較,來檢查rootkit和其他可能的漏洞。
其使用 Bash 編寫,具有良好的可移植性,可在大多數基於UNIX的系統上運行。
首次運行rkhunter前,請更新文件屬性資料庫:
# rkhunter --propupd
主配置文件位於 /etc/rkhunter.conf。
默認情況下,最近一次系統檢查的日誌將存放在 /var/log/rkhunter.log。
詳細請參見 rkhunter(8)。
更新文件屬性資料庫:
# rkhunter --propupd
在掃描前,務必運行以下命令以確保rkhunter數據文件保持最新:
# rkhunter --update
執行系統檢查:
# rkhunter --check --sk
校驗配置文件:
# rkhunter --config-check
默認情況下,Rootkit Hunter在文件屬性檢查期間會產生一些誤報警告。這是因為部分核心程序已被腳本替代,您可通過白名單機制消除這些警告:
/etc/rkhunter.conf
SCRIPTWHITELIST=/usr/bin/egrep SCRIPTWHITELIST=/usr/bin/fgrep SCRIPTWHITELIST=/usr/bin/ldd SCRIPTWHITELIST=/usr/bin/vendor_perl/GET