Linux Tips

chkrootkitを定期的に実行するには

北浦訓行
2005/6/2

 rootkitを検出するにはchkrootkitを用いてrootkitの有無を調べる方法を説明したが、chkrootkitは定期的に実行しなければ意味がない(編注)。そこで、chkrootkitを定期的に実行する方法を説明する。

編注:chkrootkitは、実行時にlsやfindなどのコマンドを利用する。マシンがクラッキングを受けてlsなどが改ざんされると、chkrootkitの実行結果は信頼できなくなる。

汚染されていないと想定できるシステム(KNOPPIXなど、CDブートできるディストリビューション)で一時的にブートし、そのシステムのコマンドを使ってchkrootkitを実行するのがより望ましい。

 chkrootkitを定期的に実行するには、cronを利用する。実行条件は以下のとおりとする。

  • 1日に1回chkrootkitを実行する
  • chkrootkitの実行結果を/var/log/chkrootkit.logに記録する
  • 実行結果をrootあてにメールで送信する

 1日に1回実行するには、/etc/cron.dailyディレクトリにchkrootkitを実行するシェルスクリプト/etc/cron.daily/chkrootkitを作成する。/etc/cron.daily/chkrootkitの内容は、以下のとおり(chkrootkitが/usr/local/binにインストールされている場合)。

#!/bin/sh
/usr/local/bin/chkrootkit > /var/log/chkrootkit.log
grep "INFECTED" /var/log/chkrootkit.log | mail -s "chkrootkit log" root
chmod 600 /var/log/chkrootkit.log

 スクリプトを作成したら、実行権を付加する。

# chmod 755 /etc/cron.daily/chkrootkit

 以上で設定は完了だ。テストとして/etc/cron.daily/chkrootkitを実行し、/var/logにchkrootkit.logが作成されることを確認する。

Linux Tips Index



 Linux Squareフォーラム Linux Tipsカテゴリ別インデックス
インストール/RPM ブート/ブートローダ
ファイル操作 環境設定
ユーザー管理 コンソール/ターミナル
X Window System セキュリティ
トラブルシューティング 他OS関係
ネットワーク ハードウェア
Webサーバ Samba
GNOME KDE
OpenOffice.org エミュレータ
ソフトウェア そのほか/FAQ
全Tips公開順インデックス Linux Tips月間ランキング
Linux Squareフォーラム全記事インデックス

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します


Linux & OSS フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Linux & OSS 記事ランキング

本日 月間