Установка и настройка rkhunter

Простенькая, но эффективная программа для отслеживания руткитов.

Установка

# sudo aptitude install rkhunter libmd5-perl unhide

Настройка

Для отправки сообщений на почту при обнаружении руткитов в файле /etc/rkhunter.conf раскомментировать и изменить строку:

MAIL-ON-WARNING=mymail@mydomain

также я поменял команду отправки, чтобы письмо отправлялось средствами sendEmail:

MAIL_CMD=sendEmail -q -o message-charset=utf-8 -s mail.nic.ru:25 -u "[rkhunter] Warnings found for ${HOST_NAME}" -xu server@goldeni.com -xp {ПАРОЛЬ} -f {my@mail.com} -m "Проверьте сервер ${HOST_NAME} на руткиты!" -t

Так как в конфиге указывается пароль к почтовой учётке, рекомендуется сменить права на файл /etc/rkhunter.conf на 600.
Далее скажите rkhunter'у обновить базы уязвимостей:

# sudo rkhunter --update

и перечитать настройки:

# sudo rkhunter --propupd

rkhunter настроен.
сканирование можно провести с помощью команды:

# sudo rkhunter --check

Автоматическое сканирование

Для автоматического сканирования добавьте в /etc/crontab следующие строки:

# Обновляет базу rkhunter раз в неделю в 00:00
0 0 * * 1 root rkhunter --update --cronjob
# Сканирует на руткиты каждый день в 00:30
30 0 * * * root rkhunter --check --cronjob

Не забудьте перезапустить cron!

# sudo /etc/init.d/cron restart