{"id":419,"date":"2021-03-21T22:32:56","date_gmt":"2021-03-21T22:32:56","guid":{"rendered":"https:\/\/www.virtono.ro\/blog\/?p=419"},"modified":"2021-03-22T01:02:08","modified_gmt":"2021-03-22T01:02:08","slug":"cum-sa-instalez-rkhunter-pe-ubuntu-20","status":"publish","type":"post","link":"https:\/\/www.virtono.ro\/blog\/cum-sa-instalez-rkhunter-pe-ubuntu-20\/","title":{"rendered":"Cum s\u0103 instalez RKHunter pe Ubuntu 20"},"content":{"rendered":"

Ne \u00eendrept\u0103m acum aten\u021bia asupra instrumentelor specifice de detectare a rootkit-urilor \u0219i a altor vulnerabilit\u0103\u021bi ale sistemului de operare. \u00cen acest tutorial o s\u0103 vorbim despre RKHunter, un instrument care poate scana sistemul local pentru a g\u0103si rootkit-uri, backdoor-uri \u0219i posibilele vulnerabilit\u0103\u021bi.<\/p>\n

Scanarea o face compar\u00e2nd hashurile SHA-1 ale fi\u0219ierelor locale cu hashurile bune cunoscute \u00eentr-o baz\u0103 de date online. Acest pachet face parte din depozitele standard Ubuntu \u0219i este u\u0219or de instalat.<\/p>\n

Acest tutorial a fost f\u0103cut pentru un VPS<\/a> comandat de pe www.virtono.ro<\/a> pe care a fost o imagine ubuntu-20.04-x86_64 proasp\u0103t instalat\u0103.<\/p>\n

Update \u0219i upgrade la pachete<\/h6>\n

Imediat dup\u0103 conectarea la server ne asigur\u0103m c\u0103 toate pachetele sunt la zi introduc\u00e2nd urm\u0103toarele comenzi:<\/p>\n

apt update -y; apt upgrade\u00a0 -y<\/p>\n

\"apt<\/a><\/p><\/blockquote>\n

Prin -y(es) ne asigur\u0103m c\u0103 nu o s\u0103 trebuiasc\u0103 s\u0103 confirm\u0103m fiecare upgrade sau upgrade.<\/p>\n

\"\"<\/a><\/p>\n

Pe la jum\u0103tatea instal\u0103rii suntem \u00eentreba\u021bi ce versiune de openssh-server dorim s\u0103 p\u0103str\u0103m, pur \u0219i simplu ap\u0103s\u0103m Ok, apoi a\u0219tept\u0103m mai a\u0219tept\u0103m pu\u021bin.<\/p>\n

Instalare RKHunter<\/h6>\n

La sf\u00e2r\u0219itul ambelor de mai sus opera\u021biuni putem instala RKHunter, iar comanda pentru acest lucru este:<\/p>\n

apt install -y rkhunter<\/p><\/blockquote>\n

Deoarece acest VPS este proasp\u0103t instalat, RKHunter o s\u0103 i\u0219i instaleze \u0219i alte pachete pe care le mai folose\u0219te, unul dintre acestea fiind postfix (postfix este necesar pentru notificarea pe email).<\/p>\n

\"\"<\/a><\/p>\n

Ap\u0103s\u0103m enter, apoi suntem \u00eentreba\u021bi numele serverului de email, \u00eel l\u0103s\u0103m pe acela introdus implicit (teoretic este hostname-ul VPS-ului).<\/p>\n

La sf\u00e2r\u0219itul instal\u0103rii RKHunter o s\u0103 vedem:<\/p>\n

[ Rootkit Hunter version 1.4.6 ]
\nFile updated: searched for 180 files, found 144<\/p><\/blockquote>\n

Configurarea RKHunter<\/h6>\n

Dup\u0103 instalare putem s\u0103 ne \u00eendrept\u0103m aten\u021bia asupra configura\u021biei RKHunter, configura\u021bia sa fiind \u00een folderul \/etc<\/strong>, fi\u0219ierul rkhunter.conf<\/strong>.<\/p>\n

Pentru a asigura o scanare complet\u0103 avem de modificat valoarea a trei caracteristicii, scriem comanda nano \/etc\/rkhunter.conf<\/strong> pentru a edita urm\u0103toarele valori astfel:<\/p>\n

UPDATE_MIRRORS=1<\/p>\n

MIRRORS_MODE=0<\/p>\n

WEB_CMD=””<\/p><\/blockquote>\n

Rkhunter poate fi configurat pentru a trimite un e-mail atunci c\u00e2nd este g\u0103sit\u0103 o amenin\u021bare. Pentru a configura aceast\u0103 caracteristic\u0103 c\u0103uta\u021bi caracteristica MAIL-ON-WARNING<\/strong>, apoi adaug\u0103 adresa ta de email. Nu uita s\u0103 \u0219tergi # care se afl\u0103 \u00eenaintea caracteristicii. Acel caracter dezactiveaz\u0103 alerta pe email.<\/span><\/p>\n

Op\u021bional, pute\u021bi parcurge configura\u021bia pentru mai multe op\u021biuni, cu toate acestea, \u00een mod implicit, ar trebui s\u0103 func\u021bioneze bine. Pute\u021bi verifica fi\u0219ierul de configurare:<\/p>\n

rkhunter -C<\/p><\/blockquote>\n

Dac\u0103 nu r\u0103spuns, fi\u0219ierul dvs. de configurare este valid.<\/p>\n

De asemenea, vom activa actualiz\u0103rile automate modific\u00e2nd fi\u0219ierul \/etc\/default\/rkhunter<\/strong> cu urm\u0103toarele valori:<\/p>\n

CRON_DAILY_RUN=”true”<\/p>\n

CRON_DB_UPDATE=true”<\/p>\n

APT_AUTOGEN=”true”<\/p><\/blockquote>\n

Op\u021bional, pute\u021bi parcurge configura\u021bia pentru mai multe op\u021biuni, cu toate acestea, \u00een mod implicit, ar trebui s\u0103 func\u021bioneze bine. Pute\u021bi verifica fi\u0219ierul de configurare:<\/p>\n

Update RKHunter<\/h6>\n

Urmeaz\u0103 updateul la RKHunter folosind comanda:<\/p>\n

rkhunter –update<\/p>\n

\"rkhunter<\/a><\/p><\/blockquote>\n

Aceasta va afi\u0219a o list\u0103 cu fi\u0219iere de date care au fost actualizate \u0219i celor care nu au fost actualizate:<\/p>\n

Prima scanare cu RKHunter<\/h6>\n

Acum suntem gata s\u0103 efectu\u0103m primul nostru test. Testul va c\u0103uta rootkit-uri cunoscute \u0219i probleme de securitate generice (cum ar fi accesul root prin SSH) \u0219i va \u00eenregistra constat\u0103rile sale.<\/p>\n

. Pentru a face acest lucru pur \u0219i simplu introducem:<\/p>\n

rkhunter –check<\/p><\/blockquote>\n

\u00cen timpul scan\u0103rii va trebui s\u0103 ap\u0103sa\u021bi manual \u201eEnter\u201d pentru a continua dup\u0103 verific\u0103ri, dar ]n timpul scan\u0103rii o s\u0103 primim o avertizare deoarece este permis\u0103 autentificarea folosind utilizatorul root. La sf\u00e2r\u0219itul auditului o s\u0103 vede\u021bi un scurt raport precum:<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

Dar avem avertizarea:<\/p>\n

Checking if SSH root access is allowed [ Warning ]<\/p><\/blockquote>\n

De ce s\u0103 nu rezolv\u0103m asta? Putem \u0219i ar trebui s\u0103 interzicem acest lucru \u00een fi\u0219ierul \/etc\/ssh\/sshd_config<\/strong>, schimb\u00e2nd valoarea din Yes \u00een No pentru PermitRootLogin<\/p>\n

PermitRootLogin=no<\/p><\/blockquote>\n

Restart\u0103m serverul ssh folosind:<\/p>\n

systemctl restart sshd<\/p><\/blockquote>\n

Dac\u0103 refacem testul, totul este \u00een regul\u0103.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ne \u00eendrept\u0103m acum aten\u021bia asupra instrumentelor specifice de detectare a rootkit-urilor \u0219i a altor vulnerabilit\u0103\u021bi ale sistemului de operare. \u00cen acest tutorial o s\u0103 vorbim despre RKHunter, un instrument care poate scana sistemul local pentru a g\u0103si rootkit-uri, backdoor-uri \u0219i posibilele vulnerabilit\u0103\u021bi. Scanarea o face compar\u00e2nd hashurile SHA-1 ale fi\u0219ierelor<\/p>\n","protected":false},"author":1,"featured_media":427,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,21],"tags":[24,22,23,25],"class_list":["post-419","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vps","category-ubuntu","tag-backdoor-ubuntu","tag-rkhunter","tag-rootkit-hunter","tag-rootkit-uri"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/posts\/419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/comments?post=419"}],"version-history":[{"count":6,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/posts\/419\/revisions"}],"predecessor-version":[{"id":441,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/posts\/419\/revisions\/441"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/media\/427"}],"wp:attachment":[{"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/media?parent=419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/categories?post=419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.virtono.ro\/blog\/wp-json\/wp\/v2\/tags?post=419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}