[[Vorlage(Getestet, jammy)]] {{{#!vorlage Wissen [:Pakete_installieren: Installation von Paketen] [:Terminal: Ein Terminal öffnen] }}} [[Inhaltsverzeichnis(2)]] [http://www.chkrootkit.org/ Chkrootkit] {en} bietet eine Möglichkeit, Linuxsysteme auf Anzeichen eines Einbruchs zu untersuchen. = Installation = Folgendes Paket ist zu installieren [1]: {{{#!vorlage Paketinstallation chkrootkit, universe }}} = Benutzung = Aufgerufen wird der Rootkit-Scanner im Terminal [2] mit {{{#!vorlage Befehl sudo chkrootkit }}} in der Kommandozeile. Wie die Ausgabe interpretiert werden muss, findet sich in der README im Abschnitt „Output Messages“. Die README lässt sich mit `zless /usr/share/doc/chkrootkit/README.gz` lesen. Scannt man von einem Live-System aus, ist die Option `-r ` interessant. Damit kann man einen alternativen Ordner wie `/mnt/USB-HDD` als root-Verzeichnis verwenden. Mehr Informationen und Optionen findet man in der [:man:Manpage] des Programms. {{{#!vorlage Warnung Alleine durch die Benutzung von chkrootkit kann nicht garantiert werden, dass sich nicht doch ein [wikipedia:Rootkit:] auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit [:rkhunter:] bzw. andere Maßnahmen vorgenommen werden. Des Weiteren sollte chkrootkit, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD. }}} = Automatische Tests per Cron-Job = Standardmäßig wird das mitgelieferte Skript '''/etc/cron.daily/chkrootkit''' täglich per [:Cron:] ausgeführt. Gerade bei Servern ist es nicht immer möglich, von einer Live-CD zu booten und dann nach Rootkits zu fahnden. Die Datei '''/etc/chkrootkit/chkrootkit.conf''' enthält die Konfigurationsoptionen. Sie sind in der Datei dokumentiert. Über die Datei '''/var/log/chkrootkit/log.expected''' lässt sich eine erwartete Ausgabe festlegen. Diese dient als Vergleichsgrundlage für folgende Ausführungen. Solange diese Datei nicht existiert, finden sich Anweisungen zum Erstellen in der cron-Ausgabe von chkrootkit. Außerdem ist es sinnvoll, einen weiteren Scanner wie [:rkhunter:] regelmäßig einzuplanen. # tag: Sicherheit