[[Getestet(feisty)]]

{{{#!Wissen
 * [1]: [:Pakete installieren:Pakete installieren]
 * [2]: [:Paketquellen freischalten: Bearbeiten von Paketquellen]
 * [3]: [:Terminal: Ein Terminal öffnen]
 * [4]: [:Editor: Editor benutzen]
 * [5]: [:Packprogramme:Archive entpacken]
 * [6]: [:Terminal: Ein Terminal öffnen]
 }}}

[[TableOfContents(2)]]

[http://rkhunter.sourceforge.net/ rkhunter] {en} (Rootkit Hunter) ist ein Linux-Tool welches nach [http://de.wikipedia.org/wiki/Rootkit rootkits] {de} , [http://de.wikipedia.org/wiki/Backdoor Hintertüren] {de} und möglichen lokalen [http://de.wikipedia.org/wiki/Exploit Exploits] {de} sucht. Dabei vergleicht es vorhandene Dateien anhand von [http://de.wikipedia.org/wiki/Md5 md5] {de} -hashes mit kompromitierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.

= Installation =
== Aus den Paketquellen ==
Das Programm kann aus den Paketquellen von Ubuntu über das Paket

  * '''rkhunter''' (''universe'', [2])
installiert [1] werden. Danach sollte ein mandatorisches Update der ''known-bad'' Hash-Datenbank von rkhunter durchgeführt werden. Dies geht von der Konsole [3] aus  durch den Befehl
{{{#!Befehl
sudo rkhunter --update
}}}
{{{#!Hinweis
rkhunter aus den Ubuntu Paketquellen (Version 1.2.9-3) ist leider nicht kompatibel zu Ubuntu. Das bedeutet, dass rkhunter sämtliche Rootkit-Tests durchführen kann mit Ausnahme des "known-good"-Test, also das Überprüfen ob eine vorhandene Dateiversion den gleichen Hash besitzt wie nach einer sauberen Ubuntu-Installation. Dieser Test dient dazu unbekannte Rootkits daran zu erkennen, ob sie Dateien verändert haben. Bekannte rootkits kann die rkhunter-Version aus den Paketquellen jedoch auch unter Ubuntu erkennen, genauso wie alle übrigen Test (mit Ausnahme des genannten "known-good"-Tests) durchführen. Auch das seperat erhältliche Tool hashupd.sh kann unter Ubuntu die Hash-datenbank nicht selbstständig anlegen. rkhunter 1.3 fixt jedoch dieses Problem, ist allerdings noch nicht in den Paketquellen erhältlich und muss deswegen manuell installiert werden (siehe unten).
}}}

== Manuelle Installation ==
Zuerst lädt man sich das aktuelle rkhunter Paket von [http://sourceforge.net/project/showfiles.php?group_id=155034&package_id=172567 Sourceforge] {en} herunter und entpackt [5] es in ein Verzeichnis seiner Wahl. Danach öffnet man zuerst mit einem Editor [4] die Datei '''installer.sh''' und ändert die erste Zeile in
{{{#!Befehl
#!/bin/bash
}}}
um. Jetzt installiert man rkhunter vom Terminal [6] aus mit:
{{{#!Befehl
sudo ./installer.sh --layout /usr/local --install
}}}
Um nun die Probleme der Version aus den Paketquellen zu beheben, bringt man rkhunter 1.3 mit einem zusätzlichen Parameter auf den aktuellen Stand:
{{{#!Befehl
sudo rkhunter --propupd --update
}}}
{{{#!Hinweis
Durch den Parameter `--propupd` werden die Hash-Werte für "known-good"-Dateien vom momentanen System erstellt. Bei einem Scan werden dann die gefundenen Werte mit diesen Hash-Werten verglichen. Dabei gilt zu beachten, dass dies nur funktioniert, wenn das System zu dem Zeitpunkt der Durchführung des Updates durch `--propupd` noch nicht kompromitiert war. Es empfiehlt sich also diesen Schritt auf einer neuen Ubuntu-Installation anzuwenden, da somit sichergestellt wird, dass die Hash-Werte auch richtig sind.
}}}
= Benutzung =
Jetzt kann man das komplette System mit folgendem Befehl scannen:
{{{#!Befehl
sudo rkhunter -c
}}}
||<-2 #F9EAAF :> '''Einige Parameter'''||
|| `-c` ||kompletter System-Scan||
||`--display-logfile`|| zeigt eine Zusammenfassung des Scans am Ende||
||`--skip-keypress`|| man muss zwischen den einzelnen Scan-abschnitten nichtmehr Enter drücken||
||`--update`||führt ein Update der known-bad Hash-Datenbank durch||
||`--propupd`||führt ein Update der known-good Hash-Datenbank durch (nur bei der manuell installierten Version bzw. > 1.3 möglich )||
Eine vollständige Liste der möglichen Parameter findet man in den [:Shell/man:Hilfeseiten] von rkhunter.
{{{#!Warnung
Alleine durch die Benutzung von '''rkhunter''' kann nicht garantieren werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit [:chkrootkit:] bzw. andere Maßnahmen vorgenommen werden.
}}}
----
 * [:Kategorie/Sicherheit:]