Rkhunter adalah alat analisis dan pemantauan keamanan sumber terbuka yang memindai rootkit, eksploitasi lokal, dan pintu belakang di sistem Linux. Itu memeriksa string dalam modul kernel, izin yang salah, file tersembunyi, dll untuk meningkatkan keamanan Linux. Itu ditulis dalam Bourne Shell (sh) dan kompatibel dengan hampir semua sistem turunan UNIX.
Pada artikel ini, kita akan menginstal Rkhunter dan memindai sistem untuk pintu belakang, rootkit, dan eksploitasi lokal di sistem Ubuntu 20.04.
Menginstal Rkhunter
Pada Ubuntu 20.04, Rkhunter dapat diinstal dari repositori default-nya. Jalankan perintah apt berikut untuk menginstal paket Rkhunter.
$ sudo apt install rkhunter -y
Setelah menjalankan perintah, Anda akan melihat dialog berikut yang meminta untuk menyiapkan server email. Kemudian, klik tombol ok. Dalam dialog ini, Anda dapat melihat info jenis server email.
Wizard konfigurasi server email.
Sekali lagi, Anda akan diminta untuk memilih server email karena jenisnya ditentukan dalam dialog awal. Untuk pengaturan saya, saya akan memilih 'Lokal saja'. Setelah Anda memilih server email Anda, klik ok.
Wizard konfigurasi server email.
Dalam beberapa menit lagi Anda akan melihat dialog yang menanyakan nama email sistem. Jika Anda memiliki alamat email, Anda dapat mengatur alamat email sesuai dengan deskripsi jika tidak, setel localhost atau nama host server Anda. Kemudian klik ok.
Konfigurasi postfix.
Sekarang, verifikasi instalasi menggunakan perintah berikut.
$ rkhunter --version
Mengonfigurasi Rkhunter
Setelah instalasi selesai, kita perlu mengkonfigurasi Rkhunter agar dapat memindai sistem secara maksimal. Kemudian, buka file konfigurasi berikut.
$ sudo vim /etc/rkhunter.conf
Sekarang, temukan dan perbarui variabel berikut ke nilai yang diberikan.
UPDATE_MIRRORS=1
Secara default, nilainya diatur ke 0 yang mendefinisikan jangan perbarui ke file cermin. File cermin rkhunter juga sedang diperiksa untuk pembaruan jika kami menetapkan nilai 1 selama pemeriksaan pembaruan.
MIRRORS_MODE=0
MIRRORS_MODE memberitahu Rkhunter mirror mana yang akan digunakan ketika opsi –update atau –version digunakan. Dibutuhkan salah satu dari 3 opsi,
0 – gunakan cermin apa saja
1 – gunakan mirror lokal saja
2 – gunakan cermin jarak jauh saja
WEB_CMD="”
WEB_CMD menentukan perintah yang digunakan Rkhunter untuk mengunduh file dari Internet.
Setelah konfigurasi di atas diatur, tulis dan keluar dari file konfigurasi.
Selama instalasi Rkhunter, file skripnya ditambahkan di direktori cron.d Daily untuk pemindaian dan pembaruan harian karena skrip dijalankan oleh cron secara teratur. Jadi, perbarui konfigurasi file konfigurasi berikut untuk memindai otomatis dan memperbarui secara teratur.
$ sudo vim /etc/default/rkhunter.conf
CRON_DAILY_RUN=”benar”
CRON_DB_UPDATE="benar"
APT_AUTOGEN=”benar”
Setelah konfigurasi siap, Anda dapat memeriksa apakah konfigurasi telah diatur dengan benar menggunakan perintah berikut.
$ sudo rkhunter -C
Perbarui Rkhunter
Rkhunter menggunakan file data teks untuk mendeteksi aktivitas yang mencurigakan. Jadi, kita harus sering update. Untuk memeriksa eksekusi pembaruan,
$ sudo rkhunter --update
Periksa pembaruan file data rkhunter.
Sekarang, perbarui seluruh database properti file menggunakan perintah berikut.
$ sudo rkhunter --propupd
Memperbarui file data.
Sistem Pemindaian Dengan Rkhunter
Setelah semuanya diatur, Anda dapat melakukan pemeriksaan sistem menggunakan rkhunter.
$ sudo rkhunter --check --sk
Memindai sistem.
$ sudo rkhunter --check --rwo
Lihat hanya peringatan.
Pada perintah di atas –centang opsi beri tahu perintah untuk memindai sistem, opsi –sk akan melewati opsi untuk menekan tombol enter untuk melanjutkan pemindaian, dan –rwo hanya menampilkan pesan peringatan saja
Setelah memindai, Anda dapat memeriksa log di jalur berikut untuk melihat peringatan.
$ sudo cat /var/log/rkhunter.log
Kesimpulan
Sampai sekarang Anda telah mempelajari cara menginstal rkhunter, mengonfigurasi konfigurasi yang diperlukan, dan memindai sistem serta melihat log untuk mengidentifikasi backdoor, rootkit, dan eksploitasi lokal yang sebenarnya.