CentOS Stream 8 のrootkit 検出ツールにRKHunterをインストール

CentOS Stream 8 をVMware ESXi にインストールした覚書です。

今回は、rootkit 検知ツールであるRKHunterのインストールと設定を行っていきたいと思います。

なお本番環境で利用される場合はここにある内容だけを鵜呑みにせずセキュリティ専門家に相談されることをお勧めします。

環境

実施日2021-08-12
サーバVMware ESXi 6.7 U3
OSCentOS Stream 8
cat /etc/redhat-release
CentOS Stream release 8

RKHunterのインストール

epelからインストールします。

epelをまだ設定していない場合はこちら

dnf --enablerepo=epel install rkhunter

設定の変更

vi /etc/sysconfig/rkhunter
# 送信先のメールアドレス
MAILTO=root@localhost

# yes で詳細スキャン
DIAG_SCAN=no

コマンド集

# データベースを更新
rkhunter --update

# システム情報を更新
rkhunter --propupd

# 手動でチェック
# --sk を付けると [Press <enter> to continue] で止まらずに進む
rkhunter --check --sk

# ログファイルを見る
tail -n 100 /var/log/rkhunter/rkhunter.log

# CRONに登録されてることを確認
ls -la /etc/cron.daily/rkhunter