05-11-2012, 07:12 AM
Udah lama jarang maen ke forum ane, sempet2in ini,hehe..
Mau sharing dikit ttg rkhunter di Fedora, ga ada jauh beda sih ama distro lain tapi yalebih spesifik ini tools sys admin dan fedora salah satu distro yang baik buat server..
Langsung saja..
Rkhunter adalah tool yang berguna untuk scans rootkits, backdoors dan kemungkinan adanya local exploits. Cara kerjanya dengan membandingkan hasil hash SHA1 file yang akan di scan dengan file yang benar2 qualified/known good ones dalam online database, mendeteksi rootkit dan malware, permission yang salah, hidden file, string yang mencurigakan di modul kernel, command dan system startup yang udah di ubah secara diam2 dan beberapa pengecekan pada konfigurasi network..
Yang paling utama dari rkhunter adalh untuk mengaudit security dari rootkit yang cukup banyak jenisnya dan beragam, biasanya digunakan oleh pada cracker untuk mengambil alih login root kita..
Step by step Instalasi rkhuter pada Fedora :
1. Tambahkan Repo RPM Forge
Download repo ini http://packages.sw.be/rpmforge-release/r...f.i386.rpm dan install,
2. Install rkhunter
Beberapa command utama rkhunter :
# Mengupdate rkhunter
# Melakukan beberapa scanning di local system, seperti strings, shared libraries, file properties, known file dan direktori rootkit, network port, dan akan membandingkan value file2 saat ini dengan value file yang udah tersimpan sebelumnya, dan akan memberikan laporan jika menemukan adanya value yang berbeda..
#Log Rkhunter
Akan tersimpan di /var/log/rkhunter/rkhunter.log
#Melakukan tes dan menemukan beberapa program telah berubah dan kita ingin memberitahu rkhunter bahwa perubahan tsb terjadi sebagai hasil dari upgrade system, agar rkhunter tidak terus-menerus melaporkan hal tsb sebagai masalah. Rkhunter hanya dapat memberitahu bahwa perubahan yang terjadi tetapi tidak dapat memberitahu kenapa hal itu terjadi dan tanggung jawab kita sendirlah untuk mencari tahu, jadi semua file yang ada di system akan di anggap sebagai genuine dan di install dari sumber yang dapat di percaya..
# Menjalankan rkhunter tanpa User Input
Untuk menjalankan rkhunter sebagai cronjob/tanpa user input, kita harus membuat beberapa modifikasi. Kalau tidak, selama proses scanning, rkhunter akan berhenti beberapa kali dan meminta user untuk menekan “Enter” agar proses scanning dapat dilanjutkan..
# Memberikan report jika menemukan suatu masalah doank
# Setting agar rkhunter memberikan laporan secara harian via email
masukkan file ini :
chmod +x /etc/cron.daily/rkhunter.sh
#Beberapa konfigurasi rkhunter dengan memberi uncomment/comment (/usr/local/psa/etc/modules/watchdog/rkhunter.conf)
-Mengizinkan user root untuk login menggunakan SSH.
-Mengizinkan beberapa direktori dan file untuk stop false positive
Mau sharing dikit ttg rkhunter di Fedora, ga ada jauh beda sih ama distro lain tapi yalebih spesifik ini tools sys admin dan fedora salah satu distro yang baik buat server..
Langsung saja..
Rkhunter adalah tool yang berguna untuk scans rootkits, backdoors dan kemungkinan adanya local exploits. Cara kerjanya dengan membandingkan hasil hash SHA1 file yang akan di scan dengan file yang benar2 qualified/known good ones dalam online database, mendeteksi rootkit dan malware, permission yang salah, hidden file, string yang mencurigakan di modul kernel, command dan system startup yang udah di ubah secara diam2 dan beberapa pengecekan pada konfigurasi network..
Yang paling utama dari rkhunter adalh untuk mengaudit security dari rootkit yang cukup banyak jenisnya dan beragam, biasanya digunakan oleh pada cracker untuk mengambil alih login root kita..
Step by step Instalasi rkhuter pada Fedora :
1. Tambahkan Repo RPM Forge
Download repo ini http://packages.sw.be/rpmforge-release/r...f.i386.rpm dan install,
Code:
#rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm2. Install rkhunter
Code:
#yum install rkhunterBeberapa command utama rkhunter :
Quote:#Help
Code:
rkhunter --help# Mengupdate rkhunter
Code:
#rkhunter --update# Melakukan beberapa scanning di local system, seperti strings, shared libraries, file properties, known file dan direktori rootkit, network port, dan akan membandingkan value file2 saat ini dengan value file yang udah tersimpan sebelumnya, dan akan memberikan laporan jika menemukan adanya value yang berbeda..
Code:
# rkhunter --check
#rkhunter -c#Log Rkhunter
Akan tersimpan di /var/log/rkhunter/rkhunter.log
#Melakukan tes dan menemukan beberapa program telah berubah dan kita ingin memberitahu rkhunter bahwa perubahan tsb terjadi sebagai hasil dari upgrade system, agar rkhunter tidak terus-menerus melaporkan hal tsb sebagai masalah. Rkhunter hanya dapat memberitahu bahwa perubahan yang terjadi tetapi tidak dapat memberitahu kenapa hal itu terjadi dan tanggung jawab kita sendirlah untuk mencari tahu, jadi semua file yang ada di system akan di anggap sebagai genuine dan di install dari sumber yang dapat di percaya..
Code:
#rkhunter --propupd# Menjalankan rkhunter tanpa User Input
Untuk menjalankan rkhunter sebagai cronjob/tanpa user input, kita harus membuat beberapa modifikasi. Kalau tidak, selama proses scanning, rkhunter akan berhenti beberapa kali dan meminta user untuk menekan “Enter” agar proses scanning dapat dilanjutkan..
Code:
#rkhunter --cronjob# Memberikan report jika menemukan suatu masalah doank
Code:
#rkhunter --cronjob --rwo# Setting agar rkhunter memberikan laporan secara harian via email
Code:
# vi /etc/cron.daily/rkhunter.shmasukkan file ini :
Quote:#!/bin/bashdan set permission :
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "Laporan Harian Rkhunter" <a href="mailto:[email protected]">[email protected]</a>)
chmod +x /etc/cron.daily/rkhunter.sh
#Beberapa konfigurasi rkhunter dengan memberi uncomment/comment (/usr/local/psa/etc/modules/watchdog/rkhunter.conf)
-Mengizinkan user root untuk login menggunakan SSH.
Quote:ALLOW_SSH_ROOT_USER=yes
-Mengizinkan beberapa direktori dan file untuk stop false positive
Quote:#ALLOWHIDDENDIR=/etc/.java
ALLOWHIDDENDIR=/dev/.udev
#ALLOWHIDDENDIR=/dev/.udevdb
#ALLOWHIDDENDIR=/dev/.udev.tdb
ALLOWHIDDENDIR=/dev/.static
ALLOWHIDDENDIR=/dev/.initramfs
#ALLOWHIDDENDIR=/dev/.SRC-unix
ALLOWHIDDENFILE=/usr/share/man/man1/..1.gz
ALLOWHIDDENFILE=/usr/bin/.fipscheck.hmac
ALLOWHIDDENFILE=/usr/bin/.ssh.hmac
ALLOWHIDDENFILE=/usr/sbin/.sshd.hmac
SCRIPTWHITELIST=/sbin/ifup
SCRIPTWHITELIST=/sbin/ifdown
SCRIPTWHITELIST=/usr/bin/groups
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/bin/whatis
