Детектор руткитов: опции автоматического обновления базы данных rkhunter
В rkhunter Конфигурационный файл здесь /etc/default/rkhunter это говорит:
# Defaults for rkhunter automatic tasks
# sourced by /etc/cron.*/rkhunter and /etc/apt/apt.conf.d/90rkhunter
#
# This is a POSIX shell fragment
#
# Set this to yes to enable rkhunter daily runs
# (default: true)
CRON_DAILY_RUN=""
# Set this to yes to enable rkhunter weekly database updates
# (default: true)
CRON_DB_UPDATE=""
# Set this to yes to enable reports of weekly database updates
# (default: false)
DB_UPDATE_EMAIL="false"
# Set this to the email address where reports and run output should be sent
# (default: root)
REPORT_EMAIL="root"
# Set this to yes to enable automatic database updates
# (default: false)
APT_AUTOGEN="false"
# Nicenesses range from -20 (most favorable scheduling) to 19 (least favorable)
# (default: 0)
NICE="0"
# Should daily check be run when running on battery
# powermgmt-base is required to detect if running on battery or on AC power
# (default: false)
RUN_CHECK_ON_BATTERY="false"
APT_AUTOGEN="yes"
Какие варианты, которые говорят об автоматическом обновлении базы данных? Как здесь, например:
# Set this to yes to enable automatic database updates
# (default: false)
APT_AUTOGEN="false"
Вот:
# Set this to yes to enable rkhunter weekly database updates
# (default: true)
CRON_DB_UPDATE=""
И здесь:
# Set this to yes to enable rkhunter daily runs
# (default: true)
CRON_DAILY_RUN=""
Какое-то обновление вирусных баз, что в противном случае мне пришлось бы делать вручную? Если это так, как бы я запустить его вручную? Или это проверка наличия новой версии rkhunter?
Если я получу запуск автообновления базы данных, должен ли я делать это еженедельно и ежедневно? Или я только выбираю, хочу ли я это еженедельно или ежедневно?
1 ответ
Руткит - это самая отвратительная часть вредоносного ПО, которое вы можете иметь в своей системе, и в основном это в основном автономные наборы инструментов, используемые черными шляпами, взломщиками и скриптами, чтобы избежать любопытных глаз системного администратора. Так что также требуется много навыков, чтобы обнаружить их, и удаление руткитов всегда выполняется через переустановку.
В README от Rkhunter четко указано, что программное обеспечение не знает всего о вашей конкретной машине и работает, создавая базу данных свойств файла с rkhunter --propupd после чистой установки вашей ОС... : P
Таким образом, ответ на ваш вопрос: нет, это совсем не антивирусная база: это не лекарство, которое вы принимаете после того, как вас скомпрометировали, а скорее прививка перед тем, как заразиться вирусом Эбола! ;-)
Таким образом, к настоящему времени (если вы действительно прочитали все ссылки выше) вы знаете, что это очень хорошее программное обеспечение (лучшее), но для его запуска и обслуживания требуется много работы и что его установка в системе, которая уже скомпрометирован бесполезен. Так что, если вы не хотите знать все входы и выходы rkhunterЭто серверное программное обеспечение, а не программное обеспечение для ПК. (Полезно знать, что он существует, если вам когда-либо понадобится укрепить сервер, но совершенно бесполезен для установки на ПК, который работает некоторое время)
Если вам все еще интересно, достаньте свой Ubuntu LiveCD, записанный на DVD-R (лично я бы не стал доверять DVD-RW), переустановите вашу систему, установите rkhunter, делайте все обновления (чтобы вы почувствовали, что он будет делать), установите все свое программное обеспечение и только затем восстановите резервную копию файла, присоединитесь к списку рассылки и начните вносить свой вклад!
>:-)
Совет: Если вы думаете об установке высокотехнологичного программного обеспечения, о котором вы знаете очень мало или совсем ничего не читаете, прочитайте README, часто задаваемые вопросы и полное руководство, если вам все еще интересно, прежде чем вы даже начнете устанавливать такого рода программное обеспечение.