Bilgi Bankası: Linux
RKHunter Kurulumu (RKHunter 1.4.2 & CentOS 6)
Posted by Veri Merkezi Operasyonları(287) on 30 March 2015 04:05 PM

Rootkit Nedir?
Adından da anlaşılabileceği gibi RootKit iki parçadan oluşmaktadır; "Root" Unix/Linux sistemlerinde en yetkili kullanıcı iznine sahip olan kullanıcı ya da kullanıcı yetkisi, "Kit" ise Bu yetki sahibi olabilmek için kullanılan gerekli araç kutusu şeklinde ifade edilebilir.
rootkit sunucuda çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar grubudur. Rootkit 'in amacı yayılmak değil, bulunduğu sistemde varlığını gizlemektir.

Rootkit yazılımlarının asıl etkili olmasının nedeni işletim sisteminin zayıflıklarından yararlanmalarıdır. Bu zayıflıkları kullanarak işletim sistemine sızarlar ve bu sayede kendilerini işletim sistemi dosyaları ile değiştirebilirler. Detaylı bilgi için aşağıdaki adresi incelemenizi öneririz.

http://tr.wikipedia.org/wiki/K%C3%B6k_kullan%C4%B1c%C4%B1_tak%C4%B1m%C4%B1

Exploit Nedir?
Exploit, bir yazılım veya sistem üzerinde, bu sistemin açıklarından, kod hatalarından faydalanarak istenmeyen veya planlanmamış hatalar oluşturmak için düzenlenmiş küçük kod veya programlardır.

Local-Exploit Nedir?
Lokal exploit, bir *.exe *.gif vs gibi dosya çalıştırıldığında devreye girer ve yerel bilgisayarda yüklü olan vulnerable (savunmasız/yaralı) yazılım sayesınde exploit'te entegre edilmiş Shellcode'u çalıştır ve kötü kod enjekte eder. Bunun sayesinde saldırgan yüksek haklara sahip olur.

Rkhunter (Rootkit Hunter) Nedir?
Linux sistemlerde rootkit, backdoor ve diğer güvenlik problemlerini taramak için birçok güvenlik uygulaması mevcuttur. Rkhunter da bu tür uygulamalar içerisindeki en popüler güvenlik uygulamalar arasındadır. 

Rkhunter (Rootkit Hunter) sunucunuzda çeşitli kontroller yaparak sunucunuzda rootkit, backdoor, local exploits, malware gibi güvenlik problemlerini tarama yapabileceğiniz bir güvenlik uygulamasıdır. Bu yazıda Linux CentOS 6.6 üzerinde "rkhunter 1.4.2" sürümü kurulumu, rkhunter kullanarak tarama ve rkhunter 'ı periyodik olarak çalıştırma anlatılmaktadır.

 Azure Pack platformunda oluşturulan sunucular minimum paketlerle hazırlandığı için Rkhunter öncesinde bazı paketlerin kurulması gerekebilir. Eğer kurulu değilse Rkhunter kurulumu öncesinde aşağıdaki adımlarla wget uygulamasını sunucunuza kurunuz.

# wget kurulumu
yum install wget -y

Aşağıdaki adımlarla Rkhunter kurulumu gerçekleştirebilirsiniz.
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
tar -zxvf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2

./installer.sh --install --layout default
rkhunter --update
rkhunter --propupd

# Periyodik Olarak rkhunter 'ı çalıştırmak ve bu işlemi e-posta ile raporlamak için

yum install mailx -y
vi /etc/cron.daily/rkhunter-cron.sh

#!/bin/sh
(
rkhunter --versioncheck
rkhunter --update
rkhunter -c --cronjob
) | mail -s 'rkhunter Gunluk Kontrol' isim.soyisim@domainadınız.com.tr

chmod +x /etc/cron.daily/rkhunter-cron.sh

 Rkhunter (Rootkit Hunter) Konfigurasyonu ile ilgili değişiklik yapmak isterseniz aşağıdaki dosyayı herhangi bir metin editörü ile açarak değişikliklerinizi " /etc/rkhunter.conf " ilgili dosya üzerinde gerçekleştirebilirsiniz.

Örneğin birçok güvenlikle ilgili birçok dökümantasyonda SSH erişimi için root kullanıcının kapatılması genellikle önerilmektedir. SSH erişimi root kullanıcısı ile yapılabilir durumdaysa rkhunter her test sırasında bu konuda da uyarı verecektir.Eğer root kullanıcı ile SSH erişimi sağlanıyorsa " /etc/rkhunter.conf " içerisindeki aşağıdaki parametre değiştirilmelidir.

vi /etc/rkhunter.conf

rkhunter 'in diğer parametreleri ve açıklamaları için
rkhunter --help

(3 oy)
Bu makale yararlı
Bu makale yararlı değil

Yorumlar (0)
Yorum gönder
 
 
Tam İsim:
E-Posta:
Yorumlar:
Resim Doğrulama 
 
Lütfen alttaki resimde gördüğünüz karakterleri aşağıdaki kutucuğa girin. Bu özellik otomatik kayıt ve form gönderilerini engellemek için uygulanmaktadır.