Raspberry Pi 4にルートキット検出ツールRootkit Hunterをインストールする

約 8 分で読めます。

Raspberry Pi 4にルートキット検出ツールであるRootkit Hunterを入れました！

セキュリティ対策はアンチウィルス以外にもあるよね。
nextcloudとかはWebアプリだけど、これらの対策はないのかな？

こんな疑問を解決します。

ルートキットとは

Wikipediaに載っているので詳細は割愛しますが、
　攻撃者がシステムに侵入したあとに悪事を働くためのプログラム
です。

よく聞くセキュリティの言葉としてウィルスがあります。
違いは以下。

ウィルス(コンピューターウィルス)
　何かしらのファイルに入り込んで(いわゆる感染して)問題を発生させる。
ルートキット
　そのファイル単体で問題を発生させる。

今回はルートキット検出ツールであるRootkit Hunterを試してみようと思います。

Rootkit Hunterをインストールして使う

コマンドでサクッと入れられます。

sudo apt install rkhunter

インストールした時点だと正常に動かないので修正します。
　合計3箇所。

sudo nvim /etc/rkhunter.conf

#UPDATE_MIRRORS=0
UPDATE_MIRRORS=1

#MIRRORS_MODE=1
MIRRORS_MODE=0

#WEB_CMD="/bin/false"
WEB_CMD=curl

更新してみました。
更新処理自体はうまくいったようです。

sudo rkhunter --update
 [ Rootkit Hunter version 1.4.6 ]
 Checking rkhunter data files…
   Checking file mirrors.dat                                  [ Updated ]
   Checking file programs_bad.dat                             [ No update ]
   Checking file backdoorports.dat                            [ No update ]
   Checking file suspscan.dat                                 [ No update ]
   Checking file i18n/cn                                      [ Skipped ]
   Checking file i18n/de                                      [ Skipped ]
   Checking file i18n/en                                      [ No update ]
   Checking file i18n/tr                                      [ Skipped ]
   Checking file i18n/tr.utf8                                 [ Skipped ]
   Checking file i18n/zh                                      [ Skipped ]
   Checking file i18n/zh.utf8                                 [ Skipped ]
   Checking file i18n/ja                                      [ Skipped ]

さっそくスキャンしてみましょう。
　–skip-keypressオプションで途中のEnter入力を省略。

sudo rkhunter --check --skip-keypress

問題は検出されなかったようです。

sudo rkhunter --check --skip-keypress
[ Rootkit Hunter version 1.4.6 ]
(略)
System checks summary
 File properties checks…
     Files checked: 142
     Suspect files: 3
 Rootkit checks…
     Rootkits checked : 496
     Possible rootkits: 0
 Applications checks…
     All checks skipped
 The system checks took: 3 minutes and 52 seconds
 All results have been written to the log file: /var/log/rkhunter.log
 One or more warnings have been found while checking the system.
 Please check the log file (/var/log/rkhunter.log)

毎日スキャンをするようにcron設定します。
基本はここに書いてあるとおりですが、まずスクリプトを作成しrkhunterという名前で保存。
　メールアドレスは適宜変更。

#!/bin/sh
/usr/bin/rkhunter –-versioncheck
/usr/bin/rkhunter –-update
/usr/bin/rkhunter –-cronjob –-report-warnings-only | /usr/bin/mail -s “rkhunter output” admin@yourdomain.com

実行権限を付けてcronのディレクトリに移動します。

sudo chmod 755 rkhunter
sudo chown root:root rkhunter
sudo mv rkhunter /etc/cron.daily/

翌日にメールBOXを確認します。
　最初は動作確認のため、–report-warnings-onlyを除去。

メールは来ていました。
が、–report-warnings-onlyがないためか、中身はからっぽでした。

まあcronによる毎日スキャンとメール送信は動いていたので、良しとします。

終わりに

いかがでしたか。

今回はさほど大変ではありませんでしたね。

セキュリティ対策はこの記事にも載せていますので、参考にどうぞ！

ルートキットとは

Rootkit Hunterをインストールして使う

終わりに

Comments