開発者でも何でもない素人によるサイト

Raspberry Pi 2用Ubuntu Server ルートキット検出(chkrootkit)設定

  • このエントリーをはてなブックマークに追加

chkrootkitを導入して、自動でルートキットを検出、除去するよう設定します。

chkrootkitインストール

以下のコマンドでインストールします。

sudo apt install chkrootkit

毎日実行するように設定

Ubuntuのchkrootkitはデフォルトでcron.dailyのファイルが用意されており、これを有効にします。

まず、設定ファイルを開きます。

sudo nano/etc/chkrootkit.conf

以下のように書き換えます。

RUN_DAILY="true"
RUN_DAILY_OPTS="-q"
DIFF_MODE="true"

このようにすると、/etc/cron.daily/chkrootkitが有効になり、ログが出力されます。

また、検知時にrootにメールを送るようにするには

sudo nano /etc/cron.daily/chkrootkit

でcronのファイルを開き、末尾に

cat $LOG_DIR/log.today | \
  mail -s "chkrootkit Dairy Report `date '+%Y/%m/%d'`" root

と加えると良いです(mailコマンドが使えることが前提です)。

手動実行

sudo chkrootkit | grep INFECTED

とすると、手動で実行、「INFECTED」(感染された)箇所を絞って表示します。通常は何も出力されないはずです。