Ubuntuのセキュリティ対策でルートキットのチェックが出来るrkhunterを入れてみた。

入れたアプリ    Rootkit Hunter    
        
機能    ルートキットのチェック    
    リセット後に入った改変(実行ファイルなど)のチェック    
■インストール        
    sudo apt install rkhunter    
■設定    https://qiita.com/hogehuga/items/b4c9ceb20940bf3e317a    
    sudo gedit /etc/rkhunter.conf    
    日本語化    
    LANGUAGES=en -> ja    
    UPDATE_LANG=en -> コメントアウト    
    --updateで使用するコマンド    
    WEB_CMD="/bin/false" -> curl    
        
    検査に関する設定    
    UPDATE_MIRRORS=0 -> UPDATE_MIRRORS=1    
    MIRRORS_MODE=1 -> MIRROS_MODE=0    
    PKGMGR=NONE -> DPKG    
        
・設定チェック    sudo rkhunter --config-check    
    エラー発生    
    Unknown configuration file option:      WEB_CMD=curl    
    WEB_CMD=""    
    で直った。    
    ひょっとしてcurlをインストールしていないかもと気づいた。    
    その通りだった。    
    snapでインストールするとエラー。インストール先が違う。    
    削除して、aptで再インストール。    
    OK    curl 7.81.0 
    多分インストールの場所が違うため    
        
・アップデート    sudo rkhunter --update    
・RKチェック    sudo rkhunter --check --skip-keypress    
・リセット    sudo rkhunter --propupd    
    リセット後改変があると、警告が出る    
・ログ    sudo gedit /var/log/rkhunter.log    
■カスタマイズ  シェル対応        
・シェル    [rkhunter.sh]    
    #!/bin/sh    
    #定義更新コマンド    
    mycom1="sudo rkhunter --update"    
    #RootKitコマンド    
    mycom2="sudo rkhunter --check --skip-keypress"    
    #端末で実行:パスワードリクエスト    
    mycom="echo -e 'RootKitチェックを行います。\nこの端末を終了するとリセットをする/しないの選択が出ます。意味が分からなければリセットを中止してください。' && $mycom1 && $mycom2 "    
    gnome-terminal --wait -- bash -c "$mycom; bash"    
    #端末の終了を待つ--waitオプション    
        
    #端末内だとread変数に値が入らないので、スクリプト内で分岐する    
    zenity --question --title="propupd" --text="警告が出ても、今回の状態を正常と判断し、リセットしますか?" 2>/dev/null    
    case $? in    
     0) gnome-terminal --wait -- bash -c "echo 'リセットします。PSを入力してお待ち下さい' && sudo rkhunter --propupd && exit; bash"    
      zenity --info --title="propupd" --text="リセットしました" 2>/dev/null  ;;    
     1) zenity --info --title="propupd" --text="リセット中止" 2>/dev/null  ;;    
    esac    
        
・メニュー登録    [Desktop Entry]    
    Version=1.1    
    Type=Application    
    Name=RkHunter    
    Comment=ルートキット・改変調査    
    Icon=preferences-ubuntu-panel-symbolic    
    Exec=rkhunter.shのパス    
    Actions=    
    Categories=Other;    
        
環境        
    Ubuntu22.04+LXDE