Rkhunter
如何為 rkhunter 安裝 skdet 以執行 Suckit Rookit 附加檢查?
作業系統:Linux Mint 18.2 Cinnamon 64 位
雖然我用的
rkhunter不多,可能一年幾次,但今天我決定看看它。我在
rkhunter日誌中發現:/var/log/rkhunter.log
skdet在以下部分中似乎缺少一些二進製文件:Performing Suckit Rookit additional checks它指出:
Running skdet command [ Skipped ] Info: Unable to find the 'skdet' command由於此名稱下沒有可用的軟體包,我想知道它實際上是什麼,坦率地說,如何安裝它?
它在打包版本中不可用,因為許可證不明確,並且它的使用僅限於您自擔風險,如此處所述。
我發現它託管在一些奇怪的域名上:
https://dvgevers.home.xs4all.nl/skdet/
而且由於我不知道它是否總是在那裡可用,所以我只是將它託管在我的域上,未受影響,請參閱下面的備份連結,如果原件及時損壞。
首先為文件創建一些目錄。
您將需要三個文件:
更方便的是,您可以使用 eg
wget直接從終端下載它們:wget https://www.vlastimilburian.cz/public/skdet/skdet-1.0.tar.bz2 wget https://www.vlastimilburian.cz/public/skdet/skdet-1.0.sha1 wget https://www.vlastimilburian.cz/public/skdet/skdet-fix-includes.diff將它們全部下載到您創建的目錄中。
提取
bzip‘ed 文件:tar -xjf skdet-1.0.tar.bz2它將展開一個名為
skdet-1.0.將
diff文件移動到該目錄:mv skdet-fix-includes.diff skdet-1.0/編輯
sha1文件,使最後一行:59bfb29bc1f7601027629453a39dc81508dd9df5 skdet-1.0/skdet-fix-includes.diff在雜湊和文件名之間有 2 個空格,否則會被跳過。
然後,讓我們檢查這些文件的完整性:
sha1sum --check skdet-1.0.sha1一切都應該沒問題。
現在,我們需要應用更新檔文件:
cd skdet-1.0/ patch -p 1 < skdet-fix-includes.diff它會說:
patching file src/skdet.c patching file src/usage.c我們現在不需要該
diff文件:rm skdet-fix-includes.diff雖然它已經包含預編譯的二進製文件,但我寧願自己編譯,所以……
make clean讓我們編譯這個東西:
make它將輸出一個名為
skdet.對我來說,只需將它複製到您想要擁有自己編譯的二進製文件的地方:
sudo cp skdet /usr/local/bin/你基本上完成了。
只需更新您
rkhunter的文件屬性數據庫和病毒數據庫文件:sudo rkhunter --propupd sudo rkhunter --update最後,在您的
rkhunter命令之後,例如:sudo rkhunter --check --enable all --disable none --skip-keypress應該導致在日誌文件中出現這樣的條目:
sudo cat /var/log/rkhunter.log | grep -B 6 -A 1 "skdet command" [16:23:13] Performing additional rootkit checks [16:23:13] [16:23:13] Performing Suckit Rookit additional checks [16:23:13] Checking hard link count on '/sbin/init' [ OK ] [16:23:13] Checking for hidden file extensions [ None found ] [16:23:13] Info: Found the 'skdet' command: /usr/local/bin/skdet [16:23:13] Running skdet command [ OK ] [16:23:13] Suckit Rookit additional checks [ OK ]那裡!