Rootkit Hunter (rkhunter) je nástroj pro skenování systému v Linuxu, který detekuje přítomnost rootkitů, backdoorů a možných lokálních exploitů. Pro správce systémů je klíčové být informován o jakémkoli náznaku kompromitace nebo podezřelé aktivity. V tomto článku se zaměříme na konfiguraci e-mailových upozornění pro rkhunter na systému CentOS 7, což umožní správcům systému okamžitě reagovat na potenciální bezpečnostní hrozby.

Předpoklady

Před konfigurací e-mailových upozornění se ujistěte, že máte:

• Nainstalovaný CentOS 7.
• Nainstalovaný a konfigurovaný Rootkit Hunter.
• Přístup k e-mailovému serveru (lokální nebo vzdálený), který umožňuje odesílání e-mailů.

Instalace Rootkit Hunter

Pokud ještě nemáte nainstalovaný Rootkit Hunter, můžete ho nainstalovat pomocí následujícího příkazu:

sudo yum install rkhunter

Konfigurace E-mailových Upozornění

1. Editace Konfiguračního Souboru rkhunter.conf

Konfigurační soubor pro rkhunter se typicky nachází v /etc/rkhunter.conf. Pro editaci tohoto souboru použijte preferovaný textový editor:

sudo nano /etc/rkhunter.conf

2. Nastavení E-mailové Adresy pro Odesílání Upozornění

V konfiguračním souboru nalezněte nebo přidejte následující řádek, kde nahradíte vášTato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. e-mailovou adresou, na kterou chcete dostávat upozornění:

MAIL-ON-WARNING=vášTato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

3. Konfigurace SMTP Serveru

Pokud je e-mailový server, který budete používat pro odesílání upozornění, na jiném stroji nebo vyžaduje autentizaci, budete potřebovat konfigurovat sendmail nebo alternativní MTA (Mail Transfer Agent), jako je Postfix, aby používal tento server. Příklad konfigurace pro Postfix může vypadat takto:

• Instalujte Postfix:

  sudo yum install postfix
  sudo systemctl enable postfix
  sudo systemctl start postfix
  ​

• Upravte /etc/postfix/main.cf pro nastavení relayhost na váš SMTP server:

  relayhost = [smtp.vášserver.com]:587
  ​

• Pro SMTP autentizaci upravte /etc/postfix/sasl_passwd a přidejte:

  [smtp.vášserver.com]:587 váš_uživatel:váše_heslo
  ​

• Po konfiguraci restartujte Postfix:

  sudo systemctl restart postfix
  ​

Testování Konfigurace

Po dokončení konfigurace je důležité provést test, abyste se ujistili, že e-mailová upozornění fungují správně. To lze provést spuštěním rkhunter s přepínačem --check:

sudo rkhunter --check

Nastavením e-mailových upozornění pro Rootkit Hunter zvýšíte bezpečnost vašeho systému tím, že budete okamžitě informováni o potenciálních hrozbách. Pamatujte, že pravidelná aktualizace rkhunter a vašeho systému je klíčová pro zachování bezpečnosti.