Ich habe RKHUNTER auf meinem System installiert. Mit /etc/sysconfig unter YaST habe ich die Parameter des Programms RKHUNTER verändert, aber es
hatte sich nichts getan. (Warum? Muss man noch etwas ablaufen lassen?)
Seit gestern habe ich das Programm über crontab eingetragen. Entsprechende Mail-Nachrichten habe ich heute auf der Konsole erhalten. Ich glaube,
dass RKHUNTER ein guter Virenschutz unter SuSE 12.1 ist. Es lässt sich mit YaST problemlos installieren. Unter /etc/rkhunter.conf findet man die
Konfigurationsdatei für RKHUNTER, die man mit vi z.B. editieren kann. Dort kann man die Mailadresse eines Benutzer auf dem PC mit
user@maschinenname eintragen, um per Mail auf der Konsole benachrichtigt zu werden. Die Log-Dateien von RKHUNTER finden sich unter /var/log/ und
fangen alle mit rkhunter.* an. Über cron kann man täglich RKHUNTER starten, wöchentlich wird nach UPDATES für RKHUNTER gesucht und wenn der
Rechner hochfährt, wird der Prozess postfix Prozess neu gestartet. Dies ist notwendig, damit man die Mail erhält, die RKHUNTER generiert. Ich musste
dazu einmalig mit mkfifo /var/spool/postfix/public/pickup eine Pipe für postfix anlegen. Danach funktionierte alles. Zusammenfassend könnte man
folgendermaßen vorgehen:
- Schritt: Mit YaST rkhunter installieren;
- Schritt: In die Datei /etc/rkhunter.conf die Variablen LANGUAGE=de, APPEND_LOG=0, MAIL-ON-WARNING=“username@pcname”;
- Schritt: Einrichten der Named Pipe für postfix: mkfifo /var/spool/postfix/public/pickup;
- Schritt: Crontab -e mit folgenden Einträgen versehen:
@daily /usr/bin/rkhunter --check --sk --nocolors --report-warnings-only --pkgmgr RPM >/dev/null 2>&1
@weekly /usr/bin/rkhunter --update
@reboot /etc/init.d/postfix restart >/dev/null 2>&1
@monthly /bin/rm /var/log/rkhunter.* >/dev/null 2>&1 - Schritt: Lokales Postfach für die Mails einrichten, z.B. mit Thunderbid ist der Type des Mailservers: UNIX MOVEMAIL
Kleine Frage am Rande: Was macht RKHUNTER, wenn Schadsoftware erkannt wird?