Rkhunter

rkhunter (Rootkit Hunter) 是一款用于POSIX兼容系统的安全监控工具。它通过搜索（rootkit的）默认目录、权限配置错误、隐藏文件、包含可疑字符串的内核模块，以及将重要文件的哈希值与已知正常文件哈希值进行比较，来检查rootkit和其他可能的漏洞。

其使用 Bash 编写，具有良好的可移植性，可在大多数基于UNIX的系统上运行。

安装 软件包 rkhunter^包。

首次运行rkhunter前，请更新文件属性数据库:

# rkhunter --propupd

主配置文件位于 /etc/rkhunter.conf。

默认情况下，最近一次系统检查的日志将存放在 /var/log/rkhunter.log。

详细请参见 rkhunter(8)。

更新文件属性数据库：

# rkhunter --propupd

在扫描前，务必运行以下命令以确保rkhunter数据文件保持最新：

# rkhunter --update

执行系统检查：

# rkhunter --check --sk

校验配置文件：

# rkhunter --config-check

默认情况下，Rootkit Hunter在文件属性检查期间会产生一些误报警告。这是因为部分核心程序已被脚本替代，您可通过白名单机制消除这些警告：

/etc/rkhunter.conf

SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/ldd
SCRIPTWHITELIST=/usr/bin/vendor_perl/GET

• Rootkit Hunter Homepage
• Rootkit Hunter README
• Rootkit Hunter FAQ

• rkhunter
• Host-based intrusion detection system (HIDS)
• Intrusion detection system (IDS)