入れたアプリ Rootkit Hunter
機能 ルートキットのチェック
リセット後に入った改変(実行ファイルなど)のチェック
■インストール
sudo apt install rkhunter
■設定 https://qiita.com/hogehuga/items/b4c9ceb20940bf3e317a
sudo gedit /etc/rkhunter.conf
日本語化
LANGUAGES=en -> ja
UPDATE_LANG=en -> コメントアウト
--updateで使用するコマンド
WEB_CMD="/bin/false" -> curl
検査に関する設定
UPDATE_MIRRORS=0 -> UPDATE_MIRRORS=1
MIRRORS_MODE=1 -> MIRROS_MODE=0
PKGMGR=NONE -> DPKG
・設定チェック sudo rkhunter --config-check
エラー発生
Unknown configuration file option: WEB_CMD=curl
WEB_CMD=""
で直った。
ひょっとしてcurlをインストールしていないかもと気づいた。
その通りだった。
snapでインストールするとエラー。インストール先が違う。
削除して、aptで再インストール。
OK curl 7.81.0
多分インストールの場所が違うため
・アップデート sudo rkhunter --update
・RKチェック sudo rkhunter --check --skip-keypress
・リセット sudo rkhunter --propupd
リセット後改変があると、警告が出る
・ログ sudo gedit /var/log/rkhunter.log
■カスタマイズ シェル対応
・シェル [rkhunter.sh]
#!/bin/sh
#定義更新コマンド
mycom1="sudo rkhunter --update"
#RootKitコマンド
mycom2="sudo rkhunter --check --skip-keypress"
#端末で実行:パスワードリクエスト
mycom="echo -e 'RootKitチェックを行います。\nこの端末を終了するとリセットをする/しないの選択が出ます。意味が分からなければリセットを中止してください。' && $mycom1 && $mycom2 "
gnome-terminal --wait -- bash -c "$mycom; bash"
#端末の終了を待つ--waitオプション
#端末内だとread変数に値が入らないので、スクリプト内で分岐する
zenity --question --title="propupd" --text="警告が出ても、今回の状態を正常と判断し、リセットしますか?" 2>/dev/null
case $? in
0) gnome-terminal --wait -- bash -c "echo 'リセットします。PSを入力してお待ち下さい' && sudo rkhunter --propupd && exit; bash"
zenity --info --title="propupd" --text="リセットしました" 2>/dev/null ;;
1) zenity --info --title="propupd" --text="リセット中止" 2>/dev/null ;;
esac
・メニュー登録 [Desktop Entry]
Version=1.1
Type=Application
Name=RkHunter
Comment=ルートキット・改変調査
Icon=preferences-ubuntu-panel-symbolic
Exec=rkhunter.shのパス
Actions=
Categories=Other;
環境
Ubuntu22.04+LXDE