Rkhunter adalah singkatan dari "Rootkit Hunter" adalah pemindai kerentanan sumber terbuka dan gratis untuk sistem operasi Linux. Ini memindai rootkit, dan kemungkinan kerentanan lainnya termasuk, file tersembunyi, izin salah yang ditetapkan pada binari , string mencurigakan di kernel dll. Ini membandingkan hash SHA-1 dari semua file di sistem lokal Anda dengan hash bagus yang dikenal di database online. Ia juga memeriksa perintah sistem lokal, file startup, dan antarmuka jaringan untuk layanan dan aplikasi mendengarkan .
Dalam tutorial ini, kami akan menjelaskan, cara menginstal dan menggunakan Rkhunter di server Debian 10.
Prasyarat
- Server yang menjalankan Debian 10.
- Kata sandi root dikonfigurasi di server.
Instal dan Konfigurasi Rkhunter
Secara default, paket Rkhunter tersedia di repositori default Debian 10. Anda dapat menginstalnya hanya dengan menjalankan perintah berikut:
apt-get install rkhunter -y
Setelah instalasi selesai, Anda perlu mengkonfigurasi Rkhunter sebelum memindai sistem Anda. Anda dapat mengkonfigurasinya dengan mengedit file /etc/rkhunter.conf.
nano /etc/rkhunter.conf
Ubah baris berikut:
#Enable the mirror checks. UPDATE_MIRRORS=1 #Tells rkhunter to use any mirror. MIRRORS_MODE=0 #Specify a command which rkhunter will use when downloading files from the Internet WEB_CMD=""
Simpan dan tutup file setelah Anda selesai. Selanjutnya, verifikasi Rkhunter untuk kesalahan sintaks konfigurasi dengan perintah berikut:
rkhunter -C
Perbarui Rkhunter dan Tetapkan Dasar Keamanan
Selanjutnya, Anda perlu memperbarui file data dari cermin internet. Anda dapat memperbaruinya dengan perintah berikut:
rkhunter --update
Anda akan mendapatkan output berikut:
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter data files... Checking file mirrors.dat [ Updated ] Checking file programs_bad.dat [ No update ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ Skipped ] Checking file i18n/de [ Skipped ] Checking file i18n/en [ No update ] Checking file i18n/tr [ Skipped ] Checking file i18n/tr.utf8 [ Skipped ] Checking file i18n/zh [ Skipped ] Checking file i18n/zh.utf8 [ Skipped ] Checking file i18n/ja [ Skipped ]
Selanjutnya, verifikasi informasi versi Rkhunter dengan perintah berikut:
rkhunter --versioncheck
Anda akan mendapatkan output berikut:
[ Rootkit Hunter version 1.4.6 ] Checking rkhunter version... This version : 1.4.6 Latest version: 1.4.6
Selanjutnya, atur garis dasar keamanan dengan perintah berikut:
rkhunter --propupd
Anda akan mendapatkan output berikut:
[ Rootkit Hunter version 1.4.6 ] File updated: searched for 180 files, found 140
Lakukan Uji Coba
Pada titik ini, Rkhunter diinstal dan dikonfigurasi. Sekarang, saatnya untuk melakukan pemindaian keamanan terhadap sistem Anda. Caranya dengan menjalankan perintah berikut:
rkhunter --check
Anda harus menekan Enter untuk setiap pemeriksaan keamanan seperti yang ditunjukkan di bawah ini:
System checks summary
=====================
File properties checks...
Files checked: 140
Suspect files: 3
Rootkit checks...
Rootkits checked : 497
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 2 minutes and 10 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Anda dapat menggunakan opsi –sk untuk menghindari menekan Enter dan opsi –rwo untuk hanya menampilkan peringatan seperti yang ditunjukkan di bawah ini:
rkhunter --check --rwo --sk
Anda akan mendapatkan output berikut:
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: POSIX shell script, ASCII text executable
Warning: The SSH and rkhunter configuration options should be the same:
SSH configuration option 'PermitRootLogin': yes
Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Anda juga dapat memeriksa log Rkhunter menggunakan perintah berikut:
tail -f /var/log/rkhunter.log
Jadwalkan Pemindaian Reguler dengan Cron
Disarankan untuk mengkonfigurasi Rkhunter untuk memindai sistem Anda secara teratur. Anda dapat mengkonfigurasinya dengan mengedit file /etc/default/rkhunter:
nano /etc/default/rkhunter
Ubah baris berikut:
#Perform security check daily CRON_DAILY_RUN="true" #Enable weekly database updates. CRON_DB_UPDATE="true" #Enable automatic database updates APT_AUTOGEN="true"
Simpan dan tutup file setelah Anda selesai.
Kesimpulan
Selamat! Anda telah berhasil menginstal dan mengkonfigurasi Rkhunter di server Debian 10. Sekarang Anda dapat menggunakan Rkhunter secara teratur untuk melindungi server Anda dari malware.