## page was renamed from AlbertoTomaduz/Prove7 #format wiki #language it <> <> = Introduzione = '''Rootkit Hunter''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti alla ricerca di applicazioni malevole. = Installazione = [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://rkhunter | rkhunter]]. = Configurazione = Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema. A tale scopo digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{ sudo rkhunter --update }}} = Avvio e utilizzo = Per avviare una scansione del sistema digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{ sudo rkhunter -c }}} Quella che segue è una spiegazione dei principali comandi disponibili: ||<:> '''Opzione'''||<:> '''Descrizione'''|| ||<:>'''--disable hashes''' || Viene disabilitato il controllo sugli hash MD5.|| ||<:>'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.|| ||<:>'''--cronjob''' || Esegue l'applicazione automaticamente a intervalli di tempo regolari.|| ||<:>'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.|| Per visualizzare l'elenco completo delle opzioni e dei test disponibili, digitare nel [[AmministrazioneSistema/Terminale|terminale]] i seguenti comandi:{{{ rkhunter --help}}} {{{ man rkhunter}}} {{{ sudo rkhunter --list tests}}} Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer. Questo è un esempio del risultato di scansione:{{{ System checks summary ===================== File properties checks... Files checked: 122 Suspect files: 5 Rootkit checks... Rootkits checked : 109 Possible rootkits: 2 Applications checks... Applications checked: 3 Suspect applications: 1 The system checks took: 1 minute and 37 seconds }}} Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da '''Rootkit Hunter''' consultare il file `/var/log/rkhunter.log`. Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel: * [[http://www.lids.org/|lids]]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella `/dev`. * [[http://www.nsa.gov/selinux/|selinux]]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei [[AmministrazioneSistema/PermessiFile|permessi]]. * [[http://www.nessus.org/nessus/|Nessus]]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema. * [[http://www.foundstone.com/us/index.asp|Carbonite]]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. * [[http://www.tripwire.com/|Tripwire]]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza. = Ulteriori risorse = * [[http://www.rootkit.nl/projects/rootkit_hunter.html|Sito ufficiale del progetto]] * [[http://it.wikipedia.org/wiki/Rootkit|Voce enciclopedica di RootKit]] * [[http://it.wikipedia.org/wiki/Backdoor|Voce enciclopedica di Backdoor]] * [[http://it.wikipedia.org/wiki/MD5|Voce enciclopedica di MD5]] ---- CategorySicurezza