rkhunter (Español)

rkhunter (Rootkit Hunter) es una herramienta de monitoreo de seguridad para sistemas que siguen el POSIX. Escanea en busca de rootkits, y otras posibles vulnerabilidades. Para ello, busca los directorios predeterminados (de rootkits), permisos mal configurados, archivos ocultos, módulos del kernel que contienen cadenas sospechosas y compara los hashes de archivos importantes con los que se sabe que funcionan correctamente.

Está escrito en Bash para facilitar su portabilidad y puede ejecutarse en la mayoría de los sistemas UNIX.

Instale el paquete rkhunter.

Antes de ejecutar rkhunter por primera vez, actualice la "base de datos de propiedades del archivo":

# rkhunter --propupd

El archivo principal de configuración está ubicado en /etc/rkhunter.conf.

Por defecto, un log del último escaneo del sistema se colocará en /var/log/rkhunter.log.

Véase rkhunter(8) para todos los detalles.

Para actualizar la base de datos de propiedades del archivo:

# rkhunter --propupd

Esto es necesario para garantizar que los archivos de datos de rkhunter se mantengan actualizados, ejecute:

# rkhunter --update

Para ejecutar un escaneo del sistema:

# rkhunter --check --sk

Para validar el o los archivo(s) de configuración:

# rkhunter --config-check

Rootkit Hunter mostrará algunas advertencias falsas al comprobar las propiedades del archivo. Esto se debe a que algunas de las utilidades principales han sido reemplazadas por scripts. Estas advertencias se pueden silenciar mediante la lista blanca:

/etc/rkhunter.conf

SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/bin/vendor_perl/GET

• Página de inicio de Rootkit Hunter
• Rootkit Hunter README
• Rootkit Hunter FAQ

• rkhunter
• Host-based intrusion detection system (HIDS)
• Intrusion detection system (IDS)