我已经安装了该chkrootkit软件包sudo apt-get install chkrootkit。进入/etc/chkrootkit.conf配置文件时,我看到以下选项:
RUN_DAILY="false"
RUN_DAILY_OPTS="-q"
DIFF_MODE="false"
我假设RUN_DAILY如果启用该选项,将chkrootkit每天运行自动扫描,并且RUN_DAILY_OPTS根据所使用的选项设置每日扫描的类型。我说得对吗?如果是这样,那么这些自动扫描的结果记录在哪里,这些扫描的频率是多少?
另外,该DIFF_MODE选项有什么用?我应该启用它吗?
我已阅读 README 文件这里并且发现与该配置文件无关。
答案1
RUN_DAILY
如果“是”,则表示它每天自动运行;如果“否”,则表示您需要手动运行。您也可以查看/etc/cron.daily/chkrootkit。在这里,您可以添加一些内容,例如将报告发送到电子邮件地址。
RUN_DAILY_OPTS
这些是您可以包含的选项。-q 表示安静,因此运行时不会在屏幕上打印任何内容。
DIFF_MODE
如果设置为“yes”,chrootkit 会将文件/var/log/chkrootkit/log.expected与进行比较/var/log/chkrootkit/log.today。
看看/etc/cron.daily/chkrootkit和$CHKROOTKIT $RUN_DAILY_OPTS。您可以使用(未经测试!)扩展它,| mail -s $HOSTNAME $YOUR_EMAIL_ADDRESS让它在扫描完成后发送邮件。
答案2
不得不到处搜索才能获得所有这些信息...
编辑 /etc/cron.daily/chkrootkit
# eval $CHKROOTKIT $RUN_DAILY_OPTS | (egrep -v -f "${IGNORE_FILE}" || true)
$CHKROOTKIT > $LOG_DIR/chkrootkit.log #Run chkrootkit and save the logfile
(
echo "Subject: [chkrootkit] $(hostname -f) - Daily report" #Create subject line using the hostname
echo "To: $REPORT_EMAIL" #Insert To: delivery email address using the variable defined in chkrootkit.conf
echo ""
cat $LOG_DIR/chkrootkit.log #Concat the logfile to the output
) | /usr/sbin/sendmail $REPORT_EMAIL #Send out the email!
编辑/etc/chkrootkit.conf
RUN_DAILY="true"
RUN_DAILY_OPTS="-q"
DIFF_MODE="false"
REPORT_EMAIL="[email protected]"
编辑/创建 /etc/logrotate.d/chkroot
/var/log/chkrootkit/*.log {
daily
rotate 15
dateext
delaycompress
missingok
notifempty
}
运行 chkrootkit 来生成基线
/etc/cron.daily/chkrootkit
将现有日志复制到日志预期文件
cp /var/log/chkrootkit/chkrootkit.log /var/log/chkrootkit/log.expected
應該可以去。