Rootkit Hunter (rkhunter) - リンクとか備忘録とか日記とか

# 以下、元々Web Scripter's Meetingの MacOSXで侵入検知3（rkhunter）に投稿しようと思って書き始めたのだが、FreeBSDのコトしか書いてなくて気が引けたのでココに書いてみたり。

- - - - -

FreeBSD 5.2.1 5.2.1-RELEASE-p8 でrkhunterを試してみました。
ports の security/rkhunter からインストールしています。
rkhunter自体は既にver.1.0.9が出ているようですが、portsでは 1.0.8 です。

# rkhunter -c --createlogfile --skip-keypress

として手元で警告が出たのは、

＜略＞
∗ Interfaces
     Scanning for promiscuous interfaces                      [ Warning! ]
Found promiscuous interface. Please use option '--createlogfile' and check the logfile

＜略＞

∗ Check: Groups and Accounts
   Searching for /etc/passwd...                               [ Found ]
   Checking users with UID '0' (root)...                      [ Warning! (some users in root group) ]
    info: toor:0
foo:xxxx

＜略＞

∗ Check: SSH
   Searching for sshd_config... 
   Found /etc/ssh/sshd_config
   Checking for allowed root login...                         [ OK (Remote root login disabled) ]
   Checking for allowed protocols...                          [ Warning (SSH v1 allowed) ]
＜略＞

の３つでした。

Interfacesでpromiscuousモードなのは、OpenBSDから移植されたパケットフィルタであるpfを使っている関係で、ログ取得用インターフェイス pflog0 がプロミスキャスで動いているので仕方なく。

Groups and Accountsでは、デフォルトで存在するtoorでも警告がでるんですね。
「foo:xxxx」と伏せてあるのは、自分でwheelに追加したユーザです。

SSH v1 が有効だって言われてますね。直しておこうと思います。

このマシンにはchkrootkit 0.43もportsから入れているのですが、こちらは現在 date コマンドを「INFECTED」と誤検知しますので、rkhunterに好印象を持ちました。cronで回しておこうと思います。

/etc/newsyslog.conf に、

/var/log/rkhunter.log                   644  7     *    @T00  J

と追加して、ログをbzip2で圧縮しつつ７日間保持し、/etc/crontab に

#
# Check rootkits with security/rkhunter
0       4       *       *       *       root    /usr/local/bin/rkhunter --cronjob --reportmode --createlogfile | sendmail root

と書いてみました。

- - - - -

あとは、TripWireかOsirisかSamhainを入れるつもりなんだけどどれを入れるかなぁ。
Osirisにしようかと思ってたんだけど、portsのがちょっと古めなんだよなぁ...。