rkhunter – Rootkits unter Linux aufspüren
Kurzbeschreibung: Das Tool rkhunter macht genau das, was der Name „The Rootkit Hunter project“ verspricht: Es kann unter den meisten Linux- und Unix-Systemen versteckte Rootkits aufspüren.
Funktionen: Die Arbeitsweise von rkhunter ist schnell erklärt. Sie rufen das Tool via Konsole auf und warten auf ein hoffentlich negatives Ergebnis. Das Sicherheitswerkzeug erkennt dabei über 50 verschiedene Arten schädlicher Software. Das Programm sucht dabei nach Rootkits, Hintertüren und lokalen Exploits.
Installation: Der Rootkit-Jäger sollte sich bei vielen Linux-Distributionen über die einschlägigen Paketmanager installieren lassen. Diese helfen auch beim Auflösen diverser Abhängigkeiten. Zum Beispiel benötigt das Werkzeug das Programm unhide. Sollte es kein Paket geben, können Sie den Quellcode herunterladen und rkhunter selbst kompilieren. Allerdings müssen Sie sich dann auch selbst um die Abhängigkeiten kümmern.
- In der Regel an Bord
Bei sehr vielen Linux-Distributionen finden Sie rkhunter im Software-Lager. Dies erspart Zeit beim Einspielen der Abhängigkeiten. - Diverse Schalter
Rufen Sie rkhunter ohne Zusatz auf, listet das Programm alle möglichen Optionen auf. Diese erreichen Sie auch via man-Page. - Update
Die Signaturen auf dem neuesten Stand zu halten sollte selbstverständlich sein. - Schalter -c
Regelmäßige Systemchecks sind Pflichtprogramm für Administratoren. - Port-Scan
Das Tool prüft ebenfalls, ob gewisse Netzwerk-Ports geöffnet sind. - Vorsicht!
Wenn sich der Superuser root direkt via ssh verbinden darf, ist dies eine Sicherheitslücke - Hash-Datenbank
Die Hash-Signaturen eines sauberen Systems kann rkhunter vergleichen. Sollte sich hier etwas ändern, warnt das Programm.
Bedienung: Das Sicherheitswerkzeug darf ausschließlich der Benutzer root ausführen. Es gibt eine ganze Reihe an Schaltern, zu denen Sie alles in der man-Page des Tools – man rkhunter – erfahren. Eine der wichtigsten Zusatz-Optionen ist mit Sicherheit -c. Dies prüft das System auf Herz und Nieren. So ein Vorgehen dürfte bei einer Erstuntersuchung normal sein. Interessant ist auch der Parameter --propupd. Damit erstellen Sie Hash-Werte für das derzeitige System und befinden diese als gut. Sollten sich die hash-Werte ändern, wird rkhunter das erkennen und warnen. Mit --update aktualisieren Sie die Schädlings-Liste. Dazu brauchen Sie aber Zugang zum Internet. Die von rkhunter benutzte Konfigurations-Datei ist in der Regel /etc/rkhunter.conf.
Fazit: Sicherheit ist lebenswichtig für Unternehmen und Lücken sind bares Geld für Einbrecher. Das kostenlose Programm rkhunter macht Linux und andere UNIX-Rechner ein Stück sicherer. Dennoch sollten sich Administratoren nicht auf ein einziges Tool verlassen. Beispielsweise könnte ein installierter rkhunter kompromittiert worden sein. Sicherer wäre der Einsatz von einer Live-CD, was bei Servern nicht immer einfach ist. Die Entwickler von rkhunter raten sogar, zusätzlich auch andere Sicherheits-Software, zum Beispiel chkrootkit, einzusetzen.
... zum Download