Mire jók?
-Vírust írtani.
Linux is operációs rendszer, egy hatalmas program csoport, ami lehet fertőzött.
rkhunter lellenőrzi, hogy a meglévő programok változtak-e, hogy elavúltak-e vagy sem.
Érdemes beállítani crontabba, hogy az rkhunter minden hajnalban ellenőrizze ezt.
A konfigjában: /etc/rkhunter.conf érdemes beállítani, hogy az értesítéseket milyen e-mail címre küldje. Pont a mai reggel kaptam egy értesítést, mi szerint a /tmp mappámban van egy rootkit. Ekkor jön képbe a clamscan.
clamscan /tmp -r --remove
Ez a parancs rekurzívan ellenőrzi a /tmp mappa tartalmát, és hogyha talál fertőzött fájlokat, akkor automatikusan törli is azt.
Érdemes még a scan előtt egy kis frissítést eszközölni:
-adjuk hozzá az /etc/apt/sources.list -hez ezt a sort:
deb http://ppa.launchpad.net/ubuntu-clamav/ppa/ubuntu KÓDNÉV main
Ahol értelem szerüen a KÓDNÉV az ubuntunk kódnevével helyettesítendő.
majd:
sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xf80220d0e695a455e651ac4d8ab767895adc2037 sudo apt-get update sudo apt-get upgrade
Hogy frissítse a clamAV programot.
Ezekután jöhet a clasmcan, mint feljebb írtam.
Míg a clamAV adatbázisát ezzel a paranccsal frissíthetjük:
freshclam
Rkhunter-t a következő képpen tudjuk frissíteni (az adatbázisát)
rkhunter --update
Hogyha folyton kapjuk a jelentést arról, hogy megváltozott egy programunk (pl: dpkg), akkor, de tudjuk, hogy csak rendszer frissítés volt, akkor érdemes lefuttatni ezt:
rkhunter --propupd
hogy frissítsük az rkhunter program adatbázisát. Majd egy check, és kiderült, hogy hatásos volt-e.
rkhunter -c --rwo
A -c kapcsoló a --check parancs, azaz ellenőrzi a rendszert. Az --rwo kapcsolóval csak a figyelmeztetéseket jeleníti meg.
