Linux Tips
	chkrootkitを定期的に実行するには 北浦訓行 2005/6/2

　rootkitを検出するにはでchkrootkitを用いてrootkitの有無を調べる方法を説明したが、chkrootkitは定期的に実行しなければ意味がない（編注）。そこで、chkrootkitを定期的に実行する方法を説明する。

編注：chkrootkitは、実行時にlsやfindなどのコマンドを利用する。マシンがクラッキングを受けてlsなどが改ざんされると、chkrootkitの実行結果は信頼できなくなる。 汚染されていないと想定できるシステム（KNOPPIXなど、CDブートできるディストリビューション）で一時的にブートし、そのシステムのコマンドを使ってchkrootkitを実行するのがより望ましい。

　chkrootkitを定期的に実行するには、cronを利用する。実行条件は以下のとおりとする。

• 1日に1回chkrootkitを実行する
  
• chkrootkitの実行結果を/var/log/chkrootkit.logに記録する
  
• 実行結果をrootあてにメールで送信する

　1日に1回実行するには、/etc/cron.dailyディレクトリにchkrootkitを実行するシェルスクリプト/etc/cron.daily/chkrootkitを作成する。/etc/cron.daily/chkrootkitの内容は、以下のとおり（chkrootkitが/usr/local/binにインストールされている場合）。

#!/bin/sh /usr/local/bin/chkrootkit > /var/log/chkrootkit.log grep "INFECTED" /var/log/chkrootkit.log | mail -s "chkrootkit log" root chmod 600 /var/log/chkrootkit.log

　スクリプトを作成したら、実行権を付加する。

# chmod 755 /etc/cron.daily/chkrootkit

　以上で設定は完了だ。テストとして/etc/cron.daily/chkrootkitを実行し、/var/logにchkrootkit.logが作成されることを確認する。

Linux Tips Index

---

Linux Squareフォーラム Linux Tipsカテゴリ別インデックス

	インストール／RPM		ブート／ブートローダ
	ファイル操作		環境設定
	ユーザー管理		コンソール／ターミナル
	X Window System		セキュリティ
	トラブルシューティング		他OS関係
	ネットワーク		ハードウェア
	Webサーバ		Samba
	GNOME		KDE
	OpenOffice.org		エミュレータ
	ソフトウェア		そのほか／FAQ
	全Tips公開順インデックス		Linux Tips月間ランキング
	Linux Squareフォーラム全記事インデックス

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）