Anti rootkit

On enchaine l’installation de notre serveur avec la mise en place d’outils anti rootkit.

C’est quoi ?

Un rootkit, comme son nom le laisse penser, permet à celui qui s’en sert de se connecter avec le compte root sur notre machine et donc d’avoir les pleins pouvoirs. Je tiens à préciser que si notre machine est compromise, les outils qu’on pourra mettre en place ne serviront à rien car ils pourraient avoir été modifié par cette personne. Néanmoins cela va nous permettre d’avoir une idée de ce qui se passe sur notre machine. Autre information à prendre en compte, les anti rootkit font souvent des alertes pour rien (faux positifs), mais il est assez simple de savoir si c’est nous qui avons modifié / mis à jour/ installé ou non un programme. Ici on va juste installer un anti rootkit, mais il existe de nombreuses autres méthodes plus fiables mais plus complexes comme par exemple l’installation d’un IDS. Bref, on va faire simple. Les deux principaux outils de base sont chrootkitet rkhunter. On prend rkhunter (car je rappelle que je suis seul maitre de mes choix!) qui analyse les changements apportés à notre système.

Mise en place

C’est parti, on installe rkhunter :

apt-get install rkhunter

Et on édite son fichier de configuration :

nano /etc/default/rkhunter

Soit on laisse l’envoie de mél passer par notre configuration du compte root, soit on l’envoie directement (je l’ai mis en direct sur ma machine) et on vérifie que le cron se lance tous les jours :

REPORT_EMAIL=”ma.vrai@.mail”
CRON_DB_UPDATE=”yes”
DB_UPDATE_EMAIL=”no”
CRON_DAILY_RUN=”yes”
NICE=”0″

Pour ignorer des messages d’alerte inutiles on désactive un test dans le fichier de configuration de rkhunter :

nano /etc/rkhunter.conf

DISABLE_TESTS=”os_specific suspscan hidden_procs deleted_files packet_cap_apps apps”

On a ajouter à cette directive ‘os_specific’ qu’on ne souhaite pas tester.
Voila notre petit anti rootkit est en place. Pour lancer un scan manuellement (qui prend 2 ou 3 minutes) on utilise la commande :

rkhunter -c -sk

Il est également préférable de mettre à jour la base de notre anti rootkit après de gros changements sur notre serveur, cela évitera de se prendre une flopée de faux positifs. Une fois nos installations / modifications faites, il suffit de lancer les commandes :

rkhunter --propupd
rkhunter --update

Au suivant

On enchaine avec encore un peu de sécurité et un outil de bannissement dans le prochain billet.

Sources

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *