2009-09-11

Administración de RKHunter

Como vimos en una entrada anterior el rkhunter, es un detector de rootkits para linux muy bueno, pues buscando y andando en internet me encontré con esta excelente entrada donde explicaban muchas cosas de la configuración de rkhunter, en esta url.

Entonces como siempre colocare aquí como lo realice yo, bueno empezamos editando el archivo de configuración que esta en /etc/rkhunter.conf y empezamos a buscar y editar los parámetros que necesitamos, así

Que nos envíe mensajes por correo electrónico
- MAIL-ON-WARNING="diego.espitia@blogspot.com"

Que te revise el archivo de configuración de SSH en su ubicación
- SSH_CONFIG_DIR=/etc/ssh

Si tienes habilitado el ssh en versión 1 (unalocura) debes cambiar esta linea, así
- ALLOW_SSH_PROT_V1=0


Si ingresas a tu maquina como root (no recomendado) debes cambiar esta linea, así
- ALLOW_SSH_ROOT_USER=yes

Que te genere una base de datos con los registros HASH de tus archivos
- HASH_FUNC=/usr/bin/sha1sum

Para evitar algunos falsos positivos por el contenido de los archivos es bueno crear estas lineas
- SCRIPTWHITELIST=/sbin/which
- SCRIPTWHITELIST=/sbin/ifup
- SCRIPTWHITELIST=/sbin/ifdown
- SCRIPTWHITELIST=/usr/bin/groups

Para declarar algunos directorios ocultos donde hay bastantes ejecutables los tenemos que declarar así
- ALLOWHIDDENDIR=/etc/.java
- ALLOWHIDDENDIR=/dev/.udev

El que considero mas importante es cuadrar que directorios quiero que revise, esto se realiza en la siguiente linea
- BINDIR="/home/http/html/ /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec"


Bueno ya con eso cambiamos la configuración y lo tenemos listo para ejectuar, entonces ahora para que no te pida enter a cada rto y que solo te saque mensajes de los warning o peligros y sobre todo que cree la base de datos de hash, lo ejecutas así

root@localhost:~#rkhunter -c --report-warnings-only --skip-keypress --propupd

Después de que ejectutes ese comando una vez debes en el archivo de configuración añadir la siguiente linea

HASHWHITELIST=/usr/bin/lsattr

Y listo ya lo puedes poner a ejecutar las veces que desees