PDA

Afficher la version complète : rkhunter sous suse



ChrisdR
10/05/2007, 13h09
Bonjour,

après m'être interrogé sur apparmor (http://www.alionet.org/index.php?act=ST&f=11&t=15934), il nous est apparu qu'il n'est pas suffisant et qu'un scan régulier du système serait bon pour y débusquer les rootkits et autres véroles.
rkhunter semble être une bonne solution.
rkhunter est installé avec une entrée dans cron qui permet un scan quotidien. Mais le mail envoyé à root ne contient qu'un avertissement du style : "y a un problème avec ta machine, fais gaffe!"
Après une plus ample recherche, le problème était le protocol 1 possible pour ssh.
Cependant, le fonctionnement de rkhunter est somme toute assez obscure et malgré les quelques tutoriaux qui traînent sur internet, ne serait-il pas bénéfique à chacun de faire une mise au point sur le fonctionnement de rkhunter ???

Ou alors si rkhunter est insuffisant, que doit-on installer et configurer d'autre ?

thveillon
10/05/2007, 16h21
(re)salux, rkhunter est un niveau de protection d'un système gnu/linux, pas la panacée, et il sera toujours moins incontournable qu'un mot de passe root qui tienne la root http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif et le fait d'éviter les softs propriétaires et les installateurs de binaires opaques...
Ceci dit il faut savoir que rkhunter fonctionne surtout par comparaison de certains points de ton système avec une base de donnée de "saleté" connue, plus une analyse "préventive" des portes d'entrées possibles. Il est assez pointilleux (c'est ce qu'on lui demande) et les "false positive" ne sont pas rares. Pour éviter les problèmes et la panique qui en découle http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif il faut inclure la mise à jour de la db dans ton script : ça donne ça plus ou moins
#!/bin/sh
(
/usr/local/bin/rkhunter --versioncheck
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter --cronjob --report-warnings-only
) | /bin/mail -s 'rkhunter Daily Run' root

(voir http://www.rootkit.nl/articles/rootkit_hunter_faq.html si tu lis l'anglais)

Ensuite il faut aussi vérifier les màj de temps en temps (les repos ne sont pas toujours au top)
rkhunter --versioncheck si une màj est dispo on la télécharge sur le site précédemment cité et on fait
rpmbuild -ta rkhunter-1.2.9.tar.gz dans le répertoire où il est téléchargé pour créer un rpm qu'on installe ensuite classiquement sur ses machines. Ça permet d'éviter qu'une simple màj d'un programme le fasse aparaître comme suspect juste parce-que la modification est inconnue de la base de donnée de rkhunter.

Pour rendre le programme plus bavard tu peux ajouter l'option "--createlogfile (là-où-tu-veux-le-log, par défaut /var/log/rkhunter.log)" ou supprimer l'option "--report-warnings-only" de ton script cron.

Voilà voilà, à bientôt pour de nouvelles aventures au pays de la parano http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

ChrisdR
10/05/2007, 22h25
Merci thveillon.
Le script shell est le même que celui de la faq de rkhunter (je lis le gliche). Je l'ai fait tourner déjà, mais il va falloir que je l'affine un peu.
Je me disais qu'il y aurait peut-être une aide quelque part, une gui ou un script, un tuto, un howto, une interface yast ou quoi. Mais tant pis je vais me le palucher à la mimine.
Pour l'histoire de la parano, il paraît que les paranos sont les seuls qui survivront sur le réseau.

oh!rocks
10/05/2007, 22h31
Originally posted by ChrisdR
il paraît que les paranos sont les seuls qui survivront sur le réseau.

Un vrai parano évite le réseau http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif !


à plus,

oh!rocks

ChrisdR
10/05/2007, 22h38
Quand on sait qu'il existe des réseaux par anneaux ...

oh!rocks
10/05/2007, 22h43
Originally posted by ChrisdR
... des réseaux par anneaux.
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif


à plus,

oh!rocks

phoenix
10/05/2007, 22h47
Quand on sait qu'il existe des réseaux par anneaux ...[/b]

Bon les enfants il est temps d'aller au lit je crois hein...


http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif