| rootkitとは? |
rootkitとは不正なツールのことです。例えば、サーバマシンが進入されたとします。進入した者は、
次もまた進入しやすいようにバックドアを仕掛けるでしょう。また、不正なプログラムが動いていることを
管理者に分からないようにするためにnetstatやpsなどのコマンドを改竄します。これらを自動でやってくれる
ツールがrootkitになります。
| Rootkit Hunterの導入 |
rootkit対策としてRootkit Hunterというソフトを使用したいと思います。
特徴としては、結果画面が非常に見やすいです。また稼動しているサービスで、パッチなどを適用していない
場合には、その警告なども出してくれます。先ずはインストール方法から説明します。
| # wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz # tar zxvf rkhunter-1.2.7.tar.gz # cd rkhunter # ./installer.sh |
先ずwgetでダウンロードします。もしかしたら、ここで紹介しているものよりも最新版が出ている
可能性もあるので、一度Rootkit Hunterのサイトに行ってみて確認してみてください。
次に解凍をして、rkhunterというディレクトリができますので、そこに移動してください。
移動した後で、./installer.shと入力すればインストールの完了です。
次にこのツールのインストール先ですが、実行ファイルは、/usr/local/bin/以下に。
その他の設定ファイル等は、/usr/local/rkhunter以下になります。
以上のインストールと確認ができましたら、実際に使ってみましょう。
先ず最新の状態にアップデートします。
| # rkhunter --update |
次に実際に使ってみます。
| # rkhunter -c --createlogfile |
これはログファイルを作成するというオプションを付けて、実行しています。
実行すると下のように画面が進んでいくと思います。途中何度かEnterキーを押すタイミングが
ありますので注意してください。
最後に結果として、rootkitが発見された数や、サービスのバージョンの脆弱性などをレポートしてくれます。
rkhunterを実行する時にログを作成するというオプションを付けています。
実行中はどんどん画面が流れていってしまうので、終了したらログを確認してみましょう。
ログは/var/log/rkhunter.logになります。
また、先ほど紹介した最新の状態にアップデートする作業はcrontabに登録して自動実行するのが
いいと思います。それでは、crontabにアップデートをしてから実行するように登録してみます。
ここでは、月、水、金の朝3時にアップデートしてから、実行するように記述してみました。
| # crontab -e 00 03 * * 1,3,5 /usr/local/bin/rkhunter --update ; /usr/local/bin/rkhunter -c --createlogfile --cronjob ←実際は1行で |
改行してて見づらいですが、「;」の後ろにはスペースが入ってから、/usr/local/・・・と
続きます。なお、cronjobというオプションは画面が一時停止することなく進んでいくオプションになります。
普段でもこのオプションを指定すれば、途中でEnterキーを押す必要は無くなります。
最終更新 : 08/02/2005