Rkhunter

rkhunter (Rootkit Hunter) 是一款用於POSIX兼容系統的安全監控工具。它通過搜索（rootkit的）默認目錄、權限配置錯誤、隱藏文件、包含可疑字符串的內核模塊，以及將重要文件的哈希值與已知正常文件哈希值進行比較，來檢查rootkit和其他可能的漏洞。

其使用 Bash 編寫，具有良好的可移植性，可在大多數基於UNIX的系統上運行。

安裝 軟體包 rkhunter^包。

首次運行rkhunter前，請更新文件屬性資料庫:

# rkhunter --propupd

主配置文件位於 /etc/rkhunter.conf。

默認情況下，最近一次系統檢查的日誌將存放在 /var/log/rkhunter.log。

詳細請參見 rkhunter(8)。

更新文件屬性資料庫：

# rkhunter --propupd

在掃描前，務必運行以下命令以確保rkhunter數據文件保持最新：

# rkhunter --update

執行系統檢查：

# rkhunter --check --sk

校驗配置文件：

# rkhunter --config-check

默認情況下，Rootkit Hunter在文件屬性檢查期間會產生一些誤報警告。這是因為部分核心程序已被腳本替代，您可通過白名單機制消除這些警告：

/etc/rkhunter.conf

SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/bin/vendor_perl/GET

• Rootkit Hunter Homepage
• Rootkit Hunter README
• Rootkit Hunter FAQ

• rkhunter
• Host-based intrusion detection system (HIDS)
• Intrusion detection system (IDS)