installer RKHunter

rkhunter.jpg


RkHunter (RootKit Hunter) est un programme qui permet de détecter les rootkits, certains exploits et portes dérobées. Il n’est pas indispensable mais c’est tout de même bien de l’avoir. Voyons comment installer RKHunter et le configurer.


Installation

Connectez vous en root sur votre serveur dédié puis tapez la commande d’installation suivante
Code: 
apt install rkhunter -y
Configuration
Vous allez éditer le fichier suivant
Code: 
nano /etc/default/rkhunter
  • CRON_DAILY_RUN="" = Si vous mettez yes entre les guillemets, RkHunter s’exécutera quotidiennement.
  • REPORT_EMAIL="root" = Si vous mettez yes à l’option du dessus un email sera envoyé quotidiennement à l’adresse que vous indiquerez à la place de root. Bien évidemment un service mail doit être installé et fonctionnel sur votre serveur dédié. Toutefois attention car sur Debian 12 je ne reçois aucun mail.
Vous refermez le fichier en sauvegardant vos modifications.
ensuite on va éditer le fichier suivant

Code: 
nano /etc/rkhunter.conf

recherchez les lignes suivantes et modifiez comme ceci

Code: 
UPDATE_MIRRORS=0 mettre sur 1
MIRRORS_MODE=1 mettre sur 0

trouvez la ligne suivante et commentez la (ajoutez # en début de ligne)

Code: 
WEB_CMD= "/bin/false"

Vous refermez le fichier en sauvegardant vos modifications.


Utilisation

Pour son utilisation voici les différentes commandes
On commence par faire une mise à jour

Code: 
rkhunter --update; rkhunter --propupdate

ensuite on lance la vérification du système. Pour cela je vous propose 2 choix de commande

  • rkhunter -c = avec cette commande RkHunter va vérifier tout le système et vous verrez son avancée en direct. Par moment vous devrez appuyer sur votre touche Entrée pour continuer.
  • rkhunter -c –rwo = avec cette commande le système sera vérifié également sauf qu’il n’affichera que les warnings.

Selon la façon dont vous avez configuré votre accès SSH vous pouvez avoir ce warning

Code: 
Warning: The SSH configuration option ‘PermitRootLogin’ has not been set.
The default value may be ‘yes’, to allow root access.

mais ne vous inquiétez pas ce n’est pas grave. C’est juste que si vous n’avez pas définit la ligne PermitRootLogin sur yes dans le fichier

Code: 
/etc/ssh/sshd_config

il vous affichera ce message. Attention car ce n’est pas pour autant qu’il faut l’activer. Il apparaitra dans chaque rapport mais ce n’est pas grave.
 
Cliquez pour agrandir...
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Retour
Haut