Como vimos en una entrada anterior el rkhunter, es un detector de rootkits para linux muy bueno, pues buscando y andando en internet me encontré con esta excelente entrada donde explicaban muchas cosas de la configuración de rkhunter, en esta url.
Entonces como siempre colocare aquí como lo realice yo, bueno empezamos editando el archivo de configuración que esta en /etc/rkhunter.conf y empezamos a buscar y editar los parámetros que necesitamos, así
Que nos envíe mensajes por correo electrónico
- MAIL-ON-WARNING="diego.espitia@blogspot.com"
Que te revise el archivo de configuración de SSH en su ubicación
- SSH_CONFIG_DIR=/etc/ssh
Si tienes habilitado el ssh en versión 1 (unalocura) debes cambiar esta linea, así
- ALLOW_SSH_PROT_V1=0
Si ingresas a tu maquina como root (no recomendado) debes cambiar esta linea, así
- ALLOW_SSH_ROOT_USER=yes
Que te genere una base de datos con los registros HASH de tus archivos
- HASH_FUNC=/usr/bin/sha1sum
Para evitar algunos falsos positivos por el contenido de los archivos es bueno crear estas lineas
- SCRIPTWHITELIST=/sbin/which
- SCRIPTWHITELIST=/sbin/ifup
- SCRIPTWHITELIST=/sbin/ifdown
- SCRIPTWHITELIST=/usr/bin/groups
Para declarar algunos directorios ocultos donde hay bastantes ejecutables los tenemos que declarar así
- ALLOWHIDDENDIR=/etc/.java
- ALLOWHIDDENDIR=/dev/.udev
El que considero mas importante es cuadrar que directorios quiero que revise, esto se realiza en la siguiente linea
- BINDIR="/home/http/html/ /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec"
Bueno ya con eso cambiamos la configuración y lo tenemos listo para ejectuar, entonces ahora para que no te pida enter a cada rto y que solo te saque mensajes de los warning o peligros y sobre todo que cree la base de datos de hash, lo ejecutas así
root@localhost:~#rkhunter -c --report-warnings-only --skip-keypress --propupd
Después de que ejectutes ese comando una vez debes en el archivo de configuración añadir la siguiente linea
HASHWHITELIST=/usr/bin/lsattr
Y listo ya lo puedes poner a ejecutar las veces que desees
Entonces como siempre colocare aquí como lo realice yo, bueno empezamos editando el archivo de configuración que esta en /etc/rkhunter.conf y empezamos a buscar y editar los parámetros que necesitamos, así
Que nos envíe mensajes por correo electrónico
- MAIL-ON-WARNING="diego.espitia@blogspot.com"
Que te revise el archivo de configuración de SSH en su ubicación
- SSH_CONFIG_DIR=/etc/ssh
Si tienes habilitado el ssh en versión 1 (unalocura) debes cambiar esta linea, así
- ALLOW_SSH_PROT_V1=0
Si ingresas a tu maquina como root (no recomendado) debes cambiar esta linea, así
- ALLOW_SSH_ROOT_USER=yes
Que te genere una base de datos con los registros HASH de tus archivos
- HASH_FUNC=/usr/bin/sha1sum
Para evitar algunos falsos positivos por el contenido de los archivos es bueno crear estas lineas
- SCRIPTWHITELIST=/sbin/which
- SCRIPTWHITELIST=/sbin/ifup
- SCRIPTWHITELIST=/sbin/ifdown
- SCRIPTWHITELIST=/usr/bin/groups
Para declarar algunos directorios ocultos donde hay bastantes ejecutables los tenemos que declarar así
- ALLOWHIDDENDIR=/etc/.java
- ALLOWHIDDENDIR=/dev/.udev
El que considero mas importante es cuadrar que directorios quiero que revise, esto se realiza en la siguiente linea
- BINDIR="/home/http/html/ /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec"
Bueno ya con eso cambiamos la configuración y lo tenemos listo para ejectuar, entonces ahora para que no te pida enter a cada rto y que solo te saque mensajes de los warning o peligros y sobre todo que cree la base de datos de hash, lo ejecutas así
root@localhost:~#rkhunter -c --report-warnings-only --skip-keypress --propupd
Después de que ejectutes ese comando una vez debes en el archivo de configuración añadir la siguiente linea
HASHWHITELIST=/usr/bin/lsattr
Y listo ya lo puedes poner a ejecutar las veces que desees
Hola: Muy interesante y funciona, pero tengo un problema con la opción de que envie un correo, da este error: "Please install an MTA on this system if you want to use sendmail!
ResponderBorrarCan't send mail: sendmail process failed with error code 255"
No se que es eso de instalar MTA...?
Hola: Tema solucionado, instalando y configurando SSMTP y funcionan los avisos por correo.
ResponderBorrarExacto Carlos, lo que te faltaba era tener un servidor de correo valido o intalr uno en la maquina. Me alegra que te sirva, es una herramienta muy buena y si la estas instalando antes de poner en producción la maquina te será muy útil para identificar cualquier cambio.
ResponderBorrar