rkhunter

rkhunter (Rootkit Hunter) は POSIX 互換システムのためのセキュリティ監視ツールです。ルートキットやその他の脆弱性をスキャンします。(ルートキットの) デフォルトディレクトリや間違ったパーミッション、隠しファイル、怪しい文字列を含むカーネルモジュールを検索し、重要なファイルについて正しいファイルとのハッシュを比較します。

Bash で書かれているため、移植性に優れており、大抵の UNIX 環境で動作します。

インストール

rkhunter パッケージをインストールしてください。

設定

初期設定

rkhunter を実行する前に、最初はファイルプロパティデータベースの更新を行ってください:

# rkhunter --propupd

重要ファイル

メインの設定ファイルは /etc/rkhunter.conf です。

デフォルトでは、最後のシステムチェックのログが /var/log/rkhunter.log に保存されます。

使用方法

詳しくは rkhunter(8) を見てください。

基本コマンド

ファイルプロパティデータベースを更新するには:

# rkhunter --propupd

システムチェックを実行するには:

# rkhunter --check

設定ファイルを確認するには:

# rkhunter --config-check

トラブルシューティング

擬陽性

デフォルトでは、Rootkit Hunter はファイルプロパティチェックの際に擬陽性を出します。コアユーティリティの一部がスクリプトによって置き換えられるためです。ホワイトリストを使うことで警告を消すことができます:

/etc/rkhunter.conf

SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/ldd

参照

外部ドキュメント

• Rootkit Hunter ホームページ
• Rootkit Hunter README

関連する Wikipedia のページ

• rkhunter
• Host-based intrusion detection system (HIDS)
• 侵入検知システム (IDS)