chkrootkitというrootkit検知ツールを導入して、rootkitがLinuxサーバーにインストールされてしまっていないかチェックする。 chkrootkitは、以下のコマンドを使用してチェックするため、コマンド自体がrootkitを検知できないように改竄されてからでは意味がないので、Linuxインストール後の初期の段階で導入しておくのが望ましい。 【chkrootkitが使用するコマンド】 awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed, uname なお、chkrootkitが検知できるのは既知のrootkitのみであり、新たなrootkitの検知はできない。 また、rootkitが設置されていないにもかかわらず、chkrootkitが誤ってrootkitを検知したとアラームをあげる場合もあるので、chkrootkitによるrootkitの検知結果は参考程度としておく。 |
(1)chkrootkitインストール(FC4,FC5,FC6,F7,F8,F9,F10,F11,F12,F13,F14,F15の場合) |
|
(2)chkrootkitインストール(FC3の場合) |
|
(3)chkrootkitインストール(FC2の場合) |
|
(4)chkrootkitインストール(FC1の場合) |
|
|
|
これで毎日自動的にrootkitがインストールされていないかチェックし、インストールされていた場合はroot宛にメールが届くようになる。また、chkrootkitの実行結果は/var/log/chkrootkit.logに保存される。 |
chkrootkitが使用するコマンド群が既に改竄されていた場合、rootkitを正常に検出できなくなるので、chkrootkitが使用するコマンド群をコピーしておき、必要な場合にはそのコマンド群を使用してchkrootkitを実行する。 |
|