Administración de RKHunter

Como vimos en una entrada anterior el rkhunter, es un detector de rootkits para linux muy bueno, pues buscando y andando en internet me encontré con esta excelente entrada donde explicaban muchas cosas de la configuración de rkhunter, en esta url.

Entonces como siempre colocare aquí como lo realice yo, bueno empezamos editando el archivo de configuración que esta en /etc/rkhunter.conf y empezamos a buscar y editar los parámetros que necesitamos, así

Que nos envíe mensajes por correo electrónico
- MAIL-ON-WARNING="diego.espitia@blogspot.com"

Que te revise el archivo de configuración de SSH en su ubicación
- SSH_CONFIG_DIR=/etc/ssh

Si tienes habilitado el ssh en versión 1 (unalocura) debes cambiar esta linea, así
- ALLOW_SSH_PROT_V1=0


Si ingresas a tu maquina como root (no recomendado) debes cambiar esta linea, así
- ALLOW_SSH_ROOT_USER=yes

Que te genere una base de datos con los registros HASH de tus archivos
- HASH_FUNC=/usr/bin/sha1sum

Para evitar algunos falsos positivos por el contenido de los archivos es bueno crear estas lineas
- SCRIPTWHITELIST=/sbin/which
- SCRIPTWHITELIST=/sbin/ifup
- SCRIPTWHITELIST=/sbin/ifdown
- SCRIPTWHITELIST=/usr/bin/groups

Para declarar algunos directorios ocultos donde hay bastantes ejecutables los tenemos que declarar así
- ALLOWHIDDENDIR=/etc/.java
- ALLOWHIDDENDIR=/dev/.udev

El que considero mas importante es cuadrar que directorios quiero que revise, esto se realiza en la siguiente linea
- BINDIR="/home/http/html/ /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec"


Bueno ya con eso cambiamos la configuración y lo tenemos listo para ejectuar, entonces ahora para que no te pida enter a cada rto y que solo te saque mensajes de los warning o peligros y sobre todo que cree la base de datos de hash, lo ejecutas así

root@localhost:~#rkhunter -c --report-warnings-only --skip-keypress --propupd

Después de que ejectutes ese comando una vez debes en el archivo de configuración añadir la siguiente linea

HASHWHITELIST=/usr/bin/lsattr

Y listo ya lo puedes poner a ejecutar las veces que desees

Comentarios

  1. Hola: Muy interesante y funciona, pero tengo un problema con la opción de que envie un correo, da este error: "Please install an MTA on this system if you want to use sendmail!
    Can't send mail: sendmail process failed with error code 255"

    No se que es eso de instalar MTA...?

    ResponderEliminar
  2. Hola: Tema solucionado, instalando y configurando SSMTP y funcionan los avisos por correo.

    ResponderEliminar
  3. Exacto Carlos, lo que te faltaba era tener un servidor de correo valido o intalr uno en la maquina. Me alegra que te sirva, es una herramienta muy buena y si la estas instalando antes de poner en producción la maquina te será muy útil para identificar cualquier cambio.

    ResponderEliminar

Publicar un comentario

Entradas más populares de este blog

Arrancando las Maquinas Virtuales de VirtualBox Automaticamente

Instalando repositorios de Kali en Debian 9

Particiones con LVM y Cifrado