[[Vorlage(Getestet, bionic)]] 

{{{#!vorlage Wissen
[:Pakete_installieren: Installation von Paketen] 
[:Terminal: Ein Terminal öffnen] 
}}}
[[Inhaltsverzeichnis(2)]] 

[http://www.chkrootkit.org/ Chkrootkit] {en} bietet eine Möglichkeit, Linuxsysteme auf Anzeichen eines Einbruchs zu untersuchen. 

= Installation =
Folgendes Paket ist zu installieren [1]:
 
{{{#!vorlage Paketinstallation
chkrootkit 
}}}

= Benutzung =
Aufgerufen wird der Rootkit-Scanner im Terminal [2] mit   

{{{#!vorlage Befehl
sudo chkrootkit
}}}

in der Kommandozeile. 

Mehr Informationen und Optionen findet man in der [:man:Manpage] des Programms
aufgerufen werden kann. 

{{{#!vorlage Warnung
Alleine durch die Benutzung von chkrootkit kann nicht garantiert werden, dass sich nicht doch ein [wikipedia:Rootkit:] auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit [:rkhunter:] bzw. andere Maßnahmen vorgenommen werden. Des Weiteren sollte chkrootkit, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD. 
}}}

= Automatische Tests per Cron-Job =
Gerade bei Servern ist es nicht immer möglich, von einer Live-CD zu booten und dann nach Rootkits zu fahnden. Hierfür haben die Programmierer die Möglichkeit geschaffen, chkrootkit als Cron-Job auszuführen.

Es gibt allerdings einen kleinen Fehler in '''/etc/chkrootkit.conf'''. Hier muss die Zeile `RUN_DAILY="false"` auf `RUN_DAILY="true"` geändert werden.

Nun kann man chkrootkit als Cron-Job einplanen, z.B. direkt in '''/etc/crontab''' mit der Zeile

{{{
0 3     * * *   root    (cd /usr/sbin; ./chkrootkit 2>&1 | mail -s "chkrootkit output" xxx@xxx.xxx)
}}}

Dadurch wird man bei Warnungen komfortabel per E-Mail benachrichtigt.

Man kann natürlich auch das mitgelieferte Skript in '''/etc/cron.daily''' benutzen, das für die Artikelerstellung leider nicht getestet wurde

Außerdem ist es sinnvoll, einen weiteren Scanner wie [:rkhunter:] regelmäßig einzuplanen.

# tag: Sicherheit