rkhunter(Rootkit Hunter)은 서버나 컴퓨터 시스템에 설치된 루트킷, 백도어, 악성코드 등을 탐지하는 보안 도구입니다. 이를 통해 시스템이 해킹되었거나 악성코드에 감염되었는지 확인할 수 있습니다. 주로 서버 관리나 시스템 보안 강화를 위해 사용됩니다.
1. rkhunter의 주요 기능
- 루트킷, 백도어, 악성코드 탐지
- 시스템 파일과 설정의 무결성 검사
- 비정상적인 포트나 네트워크 인터페이스 모니터링
- 일반적으로 악성코드가 설치하는 숨겨진 파일 및 디렉토리 탐지
2. 우분투에 rkhunter 설치 방법
- 터미널을 열고, 다음 명령어로 rkhunter를 설치합니다.
sudo apt update
sudo apt install rkhunter
- 설치가 완료되면, rkhunter의 데이터베이스를 업데이트하여 최신 정보로 설정합니다.
sudo rkhunter --update
- 업데이트에 실패하는 경우
rkhunter의 설정 파일은/etc/rkhunter.conf입니다.
sudo nano /etc/rkhunter.conf
UPDATE_MIRRORS, MIRRORS_MODE, WEB_CMD 항목을 아래와 같이 수정합니다.
UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=""
3. rkhunter 기본 설정
- rkhunter의 설정 파일은
/etc/rkhunter.conf입니다. 설치 후 기본적으로 해줘야 할 몇 가지 설정을 소개합니다.
- 메일 알림 설정: 탐지 결과를 이메일로 받을 수 있도록 설정합니다.
sudo nano /etc/rkhunter.conf
MAIL-ON-WARNING옵션을 찾아서 아래와 같이 수정합니다. (예: user@example.com)
MAIL-ON-WARNING=user@example.com
- 자동 업데이트 설정: 데이터베이스를 주기적으로 업데이트하여 최신 정보를 유지합니다.
# 아래 설정을 추가합니다.
AUTO-UPDATE=1
- 로그 경로 설정: rkhunter가 생성하는 로그 파일의 경로를 확인하고, 필요시 변경할 수 있습니다.
LOGFILE=/var/log/rkhunter.log
/etc/default/rkhunter파일은rkhunter(Rootkit Hunter)의 기본 설정을 정의하는 구성 파일입니다.
이 파일을 통해rkhunter의 실행 동작과 스케줄을 제어할 수 있으며, 자동 스캔이나 업데이트와 같은 주기적인 작업을 간편하게 설정할 수 있습니다.
sudo nano /etc/default/rkhunter
- CRUN_DAILY_RUN, CRON_DB_UPDATE, ART_AUTOGEN 항목을 아래와 같이 수정합니다.
CRUN_DAILY_RUN="true" # 일일 자동 스캔을 설정
CRON_DB_UPDATE="true" # rkhunter의 데이터베이스가 자동으로 업데이트 되도록 설정
ART_AUTOGEN="true" # 자동으로 보고서를 생성
4. 스캐닝 및 모니터링
- 스캔 실행: 설치 후 첫 스캔을 실행합니다.
sudo rkhunter --check
스캔이 완료되면 결과를 터미널에서 확인할 수 있으며, /var/log/rkhunter.log에 로그가 저장됩니다.
5. 경고 메시지 확인
- rkhunter가 스캔 중 경고를 감지하면 이를 로그와 이메일로 확인할 수 있습니다. 로그 파일을 직접 확인하려면 다음 명령어를 사용합니다.
sudo cat /var/log/rkhunter.log | grep Warning
『 출처 – 
ChatGPT 』