Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden

Rootkits unter Linux aufspüren

Neben den "Klassikern", den IDS' (Intrusion Detection Systems), ob nun Host-(AIDE) oder Netzwerkbasierend (SNORT), gibt es noch zwei wei­tere kleine Tools, die soge­nannte Rootkits auf­spü­ren kön­nen. Die Rede ist von rkhun­ter und chkroot­kit. Die Installation unter Gentoo gestal­tet sich unspektakulär:

emerge -av rkhunter chkrootkit

Die effek­tivste Art, diese Tools zu nut­zen, ist es, diese über cron aus­füh­ren zu las­sen. Dazu wird unter Gentoo der Parameter ENABLE unter /etc/cron.daily/rkhunter von NO auf YES gesetzt. Die Variable UPDATE eben­fall auf YES zu set­zen ist sinn­voll. Zum Aktivieren von chkroot­kit wird in der /etc/cron.weekly/chkrootkit das Kommentarzeichen vor der ein­zel­nen Kommandozeile entfernt.
Auch wenn diese Tools sinn­voll im Kampf gegen Eindringlinge sind, einen 100%-igen Schutz kön­nen sie nicht garantieren.

17. Januar 2008

Pin It on Pinterest