KAWANO's PukiWiki Plus! - Install Log/CentOS6/chkrootkit の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• Install Log/CentOS6/chkrootkit へ行く。

TITLE:chkrootkitの設定
*chkrootkitの設定 [#ua604202]

rootkit検出のためのツールとして、「[[chkrootkit:http://www.chkrootkit.org/]]」をインストールする。

>
ここの説明は、ほぼ「[[rootkit検知ツール導入(chkrootkit):http://centossrv.com/chkrootkit.shtml]]」を参照している。
<

**chkrootkitのインストール [#t74570d3]
EPELリポジトリから、chkrootkitをインストールする。
 # yum --enablerepo=epel install chkrootkit

動作確認は、次のコマンドを実行。「INFECTED」という行が表示されなければ、rootkitを仕込まれてないことになる。
 # chkrootkit | grep INFECTED

**chkrootkitの自動実行の設定 [#xe46e8f2]
chkrootkitが定期的に実行されるように、スクリプトを作成する。
 # vi chkrootkit
 # vi chkrootkit.sh

スクリプトの中身はこんな感じ。
 #!/bin/bash
 
 PATH=/usr/bin:/bin
 TMPLOG=`mktemp`
 
 # chkrootkit実行
 chkrootkit > $TMPLOG
 
 # ログ出力
 cat $TMPLOG | logger -t chkrootkit
 
 # SMTPSのbindshell誤検知対応
 if [ ! -z "$(grep 465 $TMPLOG)" ] && \
    [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
         sed -i '/465/d' $TMPLOG
 fi
 
 # rootkit検知時のみroot宛メール送信
 [ ! -z "$(grep INFECTED $TMPLOG)" ] && \
 grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
 
 rm -f $TMPLOG

つぎに、作成したスクリプトが毎日に自動実行されるようにする。
 # chmod 700 chkrootkit.sh
 # mv chkrootkit.sh /etc/cron.daily/

実行結果はroot宛のメールで報告される。

**参考URL [#r16bccbf]
-http://centossrv.com/chkrootkit.shtml