Rkhunter significa “Rootkit Hunter” es un escáner de vulnerabilidades gratuito y de código abierto para sistemas operativos Linux. Busca rootkits y otras posibles vulnerabilidades, incluidos archivos ocultos, permisos incorrectos establecidos en binarios, cadenas sospechosas en el kernel, etc. Compara los hashes SHA-1 de todos los archivos en su sistema local con los hashes buenos conocidos en una base de datos en línea. También verifica los comandos del sistema local, los archivos de inicio y las interfaces de red en busca de servicios y aplicaciones de escucha.
En este tutorial, explicaremos cómo instalar y usar Rkhunter en el servidor Debian 10.
Prerrequisitos
- Un servidor que ejecuta Debian 10.
- Se configura una contraseña de root en el servidor.
Instalar y configurar Rkhunter
De forma predeterminada, el paquete Rkhunter está disponible en el repositorio predeterminado de Debian 10. Puede instalarlo simplemente ejecutando el siguiente comando:
apt-get install rkhunter -y
Una vez que se complete la instalación, deberá configurar Rkhunter antes de escanear su sistema. Puede configurarlo editando el archivo /etc/rkhunter.conf.
nano /etc/rkhunter.conf
Cambie las siguientes líneas:
#Habilite las comprobaciones del espejo. UPDATE_MIRRORS = 1 #Dice a rkhunter que use cualquier espejo. MIRRORS_MODE = 0 # Especifique un comando que utilizará rkhunter al descargar archivos de Internet WEB_CMD = “”
Save y close el archivo cuando haya terminado. A continuación, verifique el Rkhunter para detectar cualquier error de sintaxis de configuración con el siguiente comando:
rkhunter -C
Actualice Rkhunter y establezca la línea de base de seguridad
A continuación, deberá actualizar el archivo de datos desde el espejo de Internet. Puedes actualizarlo con el siguiente comando:
rkhunter –update
Debería obtener el siguiente resultado:
[ Rootkit Hunter version 1.4.6 ]
Comprobando archivos de datos rkhunter … Comprobando archivo mirrors.dat [ Updated ]
Comprobando el archivo programas_bad.dat [ No update ]
Comprobando el archivo backdoorports.dat [ No update ]
Comprobando el archivo suspscan.dat [ No update ]
Comprobando archivo i18n / cn [ Skipped ]
Comprobando archivo i18n / de [ Skipped ]
Comprobando archivo i18n / en [ No update ]
Comprobando archivo i18n / tr [ Skipped ]
Comprobando el archivo i18n / tr.utf8 [ Skipped ]
Comprobando archivo i18n / zh [ Skipped ]
Comprobando el archivo i18n / zh.utf8 [ Skipped ]
Comprobando archivo i18n / ja [ Skipped ]
A continuación, verifique la información de la versión de Rkhunter con el siguiente comando:
rkhunter –versioncheck
Debería obtener el siguiente resultado:
[ Rootkit Hunter version 1.4.6 ]
Comprobando la versión de rkhunter … Esta versión: 1.4.6 Última versión: 1.4.6
A continuación, configure la línea de base de seguridad con el siguiente comando:
rkhunter –propupd
Debería obtener el siguiente resultado:
[ Rootkit Hunter version 1.4.6 ]
Archivo actualizado: buscado 180 archivos, encontrado 140
Realizar prueba de funcionamiento
En este punto, Rkhunter está instalado y configurado. Ahora es el momento de realizar el análisis de seguridad de su sistema. Lo haces ejecutando el siguiente comando:
rkhunter –check
Necesitarás presionar Enter para cada control de seguridad como se muestra a continuación:
Resumen de comprobaciones del sistema ===================== Comprobaciones de propiedades de archivo … Archivos comprobados: 140 Archivos sospechosos: 3 comprobaciones de rootkits … rootkits comprobados: 497 posibles rootkits: 0 Comprobaciones de aplicaciones … Todas las comprobaciones omitidas Las comprobaciones del sistema tardaron: 2 minutos y 10 segundos Todos los resultados se han escrito en el archivo de registro: /var/log/rkhunter.log Se han encontrado una o más advertencias al comprobar el sistema. Consulte el archivo de registro (/var/log/rkhunter.log)
Puedes usar la opción –sk para evitar presionar Enter y la opción –rwo para mostrar solo una advertencia como se muestra a continuación:
rkhunter –check –rwo –sk
Debería obtener el siguiente resultado:
Advertencia: El comando ‘/ usr / bin / egrep’ ha sido reemplazado por un script: / usr / bin / egrep: script de shell POSIX, ejecutable de texto ASCII Advertencia: El comando ‘/ usr / bin / fgrep’ ha sido reemplazado por un script: / usr / bin / fgrep: script de shell POSIX, ejecutable de texto ASCII Advertencia: El comando ‘/ usr / bin / which’ ha sido reemplazado por un script: / usr / bin / which: script de shell POSIX, ejecutable de texto ASCII Advertencia : Las opciones de configuración SSH y rkhunter deben ser las mismas: Opción de configuración SSH ‘PermitRootLogin’: sí Opción de configuración Rkhunter ‘ALLOW_SSH_ROOT_USER’: no
También puede verificar los registros de Rkhunter usando el siguiente comando:
tail -f /var/log/rkhunter.log
Programe un escaneo regular con Cron
Se recomienda configurar Rkhunter para escanear su sistema con regularidad. Puede configurarlo editando el archivo / etc / default / rkhunter:
nano / etc / default / rkhunter
Cambie las siguientes líneas:
#Realice un control de seguridad diario CRON_DAILY_RUN = “true” #Habilite las actualizaciones semanales de la base de datos. CRON_DB_UPDATE = “true” # Habilitar actualizaciones automáticas de la base de datos APT_AUTOGEN = “true”
Save y close el archivo cuando haya terminado.
Conclusión
¡Felicidades! ha instalado y configurado correctamente Rkhunter en el servidor Debian 10. Ahora puede utilizar Rkhunter con regularidad para proteger su servidor del malware.
