Sinnvoll ist der rkhunter vorallem für Server. Es ist ebenso sinnvoll rkhunter nach einer Neuinstallation zügig einzurichten.
Die Idee hinter hinter dem RootKitHunter ist, von den gängigen Systemprogrammen jeweils ein Hashwert zu bilden und diesen Wert in einer Datei abzuspeichern und bei jedem rootkit-check zu vergleichen ob die Hashwerte heute noch die selben sie wie bei der Ersteinrichtung. Von daher ist die Überschrift Denn Rechner vor Rootkits schützen eigentlich falsch, es geht um das erkennen ob Rootkits auf meinem System sind oder nicht¹.
Der Name Rootkit, leitet sich von der Tatsache ab, das ein Angreifer als mit als root Dienstprogramme manipuliert.
Schritt 1: rkhunter installieren
apt install rkhunter
Schritt 2: Hashwertdatei anlegen
rkhunter --propupd
Schritt 3: Hashwerte vergleichen (Rootkit-check)
rkhunter -c
Zwischendurch muss man ein paar mal Enter drücken.
Nach rund 2 Minuten kommt dann soetwas bei raus.
System checks summary ===================== File properties checks... Files checked: 140 Suspect files: 0 Rootkit checks... Rootkits checked : 496 Possible rootkits: 0 Applications checks... All checks skipped The system checks took: 2 minutes and 4 seconds Info: End date is Thu 26 Jul 2021 10:27:16 AM CET
In mehr oder weniger Regelmäßigen Abständen solltet ihr Schritt 3 machen.
Nachbetrachtung
1) Natürlich ist das scannen nach Rootkits nur ein kleines Sicherheitselement und sollte nicht überbewertet werden. Ein Angreifer mit rootrechten kann eure Hashwerte ändern, aber es ist ein Aufwand mehr für einen Eindringling.
! Wie immer der Disclaimer, wir sind nicht frei von Fehlern, euch fällt was auf, habt Ergänzungen? Schreibt uns oder lasst ein Kommentar da.