Detector de rootkit: opções de atualização automática do banco de dados rkhunter

0

No arquivo rkhunter config aqui /etc/default/rkhunter , ele diz:

# Defaults for rkhunter automatic tasks
# sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter
#
# This is a POSIX shell fragment
#

# Set this to yes to enable rkhunter daily runs
# (default: true)
CRON_DAILY_RUN=""

# Set this to yes to enable rkhunter weekly database updates
# (default: true)
CRON_DB_UPDATE=""

# Set this to yes to enable reports of weekly database updates
# (default: false)
DB_UPDATE_EMAIL="false"

# Set this to the email address where reports and run output should be sent
# (default: root)
REPORT_EMAIL="root"

# Set this to yes to enable automatic database updates
# (default: false)
APT_AUTOGEN="false"

# Nicenesses range from -20 (most favorable scheduling) to 19 (least favorable)
# (default: 0)
NICE="0"

# Should daily check be run when running on battery
# powermgmt-base is required to detect if running on battery or on AC power
# (default: false)
RUN_CHECK_ON_BATTERY="false" 
APT_AUTOGEN="yes"

Quais são as opções que falam sobre atualizações automáticas do banco de dados? Como aqui, por exemplo:

# Set this to yes to enable automatic database updates
# (default: false)
APT_AUTOGEN="false"

Aqui:

# Set this to yes to enable rkhunter weekly database updates
# (default: true)
CRON_DB_UPDATE=""

E aqui:

# Set this to yes to enable rkhunter daily runs
# (default: true)
CRON_DAILY_RUN=""

Algum tipo de atualização de banco de dados de vírus que, de outra forma, eu teria que fazer manualmente? Se sim, como eu iria executá-lo manualmente? Ou isso está verificando se há uma nova versão do rkhunter disponível?

Se eu conseguir executar atualizações automáticas do banco de dados, devo fazê-lo semanalmente e diariamente? Ou só escolho se quero semanalmente ou diariamente?

    
por Fabby 12.02.2015 / 21:59

1 resposta

2

Um rootkit é a peça de malware mais desagradável que você pode ter em seu sistema e, basicamente, ele está quase sempre se escondendo toolkits usados por blackhats, crackers e scriptkiddies, para evitar os olhares indiscretos do administrador de sistemas. Por isso, é preciso muita habilidade para detectar isso e a remoção do rootkit é sempre feita através da reinstalação .

No README do Rkhunter , afirma-se claramente que o software não funciona Não sei tudo sobre sua máquina específica e isso funciona criando um banco de dados de propriedades de arquivos com rkhunter --propupd após uma instalação limpa do seu SO ... : P

Portanto, a resposta à sua pergunta é: Não, isso não é como um banco de dados de antivírus: não é remédio que você toma depois de ter sido comprometido, mas mais como uma vacinação antes de contratar Ebola! ; -)

Então, agora (se você realmente leu todos os links acima), você sabe que este é um software muito bom (o melhor), mas que é preciso muito trabalho para realmente executar e manter e que instalá-lo em um sistema que já está comprometido é inútil . Portanto, a menos que você queira conhecer todas as vantagens e desvantagens de rkhunter , esse é um software de servidor, não um software para PC. (É bom saber que existe se você precisar endurecer um servidor, mas é inútil instalá-lo em um PC que está sendo executado há algum tempo)

Se você ainda estiver interessado , pegue o seu Ubuntu LiveCD escrito em um DVD-R (eu pessoalmente nem confiaria em DVD-RWs), reinstale seu sistema, instale rkhunter , faça todas as atualizações (para ter uma idéia do que ele fará), instale todo o seu software e restaure o backup do arquivo, participe da lista de discussão e comece a contribuir!

>: -)

Dica: Se você pensar em instalar um software altamente técnico sobre o qual sabe muito pouco ou nada, leia o README, o FAQ mais tarde e o manual completo se ainda estiver interessado antes mesmo de começar para instalar esse tipo de software.

    
por Fabby 13.02.2015 / 07:14