Como instalar o skdet para o rkhunter para executar verificações adicionais no Suckit Rookit?

Navegue suas respostas
0

OS: Linux Mint 18.2 Canela de 64 bits

Embora eu não use o rkhunter , provavelmente várias vezes por ano, hoje decidi analisá-lo.

Eu encontrei em rkhunter log: 

/var/log/rkhunter.log

parece que falta algum skdet binário na seguinte seção: 

Performing Suckit Rookit additional checks

onde afirma que: 

Running skdet command                         [ Skipped ]
Info: Unable to find the 'skdet' command

Como não há nenhum pacote disponível sob este nome, eu me pergunto o que realmente é e, francamente, como instalá-lo?

    
por Vlastimil 04.11.2017 / 16:38

1 resposta

0

Ele não está disponível na versão empacotada, já que ter uma licença não clara e seu uso é limitado ao seu próprio risco conforme declarado aqui .

Eu descobri que ele está hospedado em algum domínio com nomes estranhos:

link

Como não sei se estará sempre disponível, acabei de hospedá-lo no meu domínio, intocado, veja abaixo os links de backup, se os originais forem quebrados a tempo.

Primeiro, crie um diretório para os arquivos.

Existem três arquivos que você precisará:

Mais convenientemente, você pode usar, e. wget para baixá-los diretamente do seu terminal: 

wget https://www.vlastimilburian.cz/public/skdet/skdet-1.0.tar.bz2
wget https://www.vlastimilburian.cz/public/skdet/skdet-1.0.sha1
wget https://www.vlastimilburian.cz/public/skdet/skdet-fix-includes.diff

Faça o download de todos para o diretório que você criou.

Extraia o arquivo bzip ed: 

tar -xjf skdet-1.0.tar.bz2

Ele expandirá um diretório chamado skdet-1.0 .

Mova o arquivo diff para esse diretório: 

mv skdet-fix-includes.diff skdet-1.0/

Edite o arquivo sha1 , para que a última linha: 

59bfb29bc1f7601027629453a39dc81508dd9df5 skdet-1.0/skdet-fix-includes.diff

tem 2 espaços entre o hash e o nome do arquivo, caso contrário, ele será ignorado.

Então, vamos verificar a integridade desses arquivos: 

sha1sum --check skdet-1.0.sha1

Tudo deve estar OK.

Agora, precisamos aplicar o arquivo de patch: 

cd skdet-1.0/
patch -p 1 < skdet-fix-includes.diff

Ele dirá: 

patching file src/skdet.c
patching file src/usage.c

Não precisamos do arquivo diff agora: 

rm skdet-fix-includes.diff

Embora já contenha o binário pré-compilado, eu prefiro me compilar, então ... 

make clean

Vamos compilar essa coisa já: 

make

Ele irá gerar um arquivo chamado skdet .

Copie-o para onde quiser para ter seus próprios binários compilados, para mim: 

sudo cp skdet /usr/local/bin/

E você está basicamente pronto.

Atualize o banco de dados de propriedades de arquivos e os arquivos de banco de dados de vírus do rkhunter : 

sudo rkhunter --propupd
sudo rkhunter --update

Finalmente, após o seu comando rkhunter , por exemplo: 

sudo rkhunter --check --enable all --disable none --skip-keypress

Deve resultar em tal entrada no arquivo de log: 

sudo cat /var/log/rkhunter.log | grep -B 6 -A 1 "skdet command"

[16:23:13] Performing additional rootkit checks
[16:23:13]
[16:23:13]   Performing Suckit Rookit additional checks
[16:23:13]     Checking hard link count on '/sbin/init'      [ OK ]
[16:23:13]     Checking for hidden file extensions           [ None found ]
[16:23:13] Info: Found the 'skdet' command: /usr/local/bin/skdet
[16:23:13]     Running skdet command                         [ OK ]
[16:23:13]   Suckit Rookit additional checks                 [ OK ]

Voila!

    
por 04.11.2017 / 16:38

Tags

Pressionando Ctrl + D quando o terminal está no modo raw RHEL / usr / local v.s. / usr on NFS - montar / desmontar pedido?