{"id":206,"date":"2020-10-05T13:08:00","date_gmt":"2020-10-05T12:08:00","guid":{"rendered":"https:\/\/ligfy.net\/wordpress\/?p=206"},"modified":"2025-09-03T07:55:54","modified_gmt":"2025-09-03T06:55:54","slug":"securiser-debian-9-avec-rkhunter","status":"publish","type":"post","link":"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter\/","title":{"rendered":"S\u00e9curiser Debian 9 avec Rkhunter"},"content":{"rendered":"\n<ul><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#G\u00e9n\u00e9ralit\u00e9s\">G\u00e9n\u00e9ralit\u00e9s<\/a><\/li><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#Installation\">Installation<\/a><\/li><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#Les-dossiers-et-fichiers-de-configuration\">Les dossiers et fichiers de configuration<\/a><\/li><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#Configuration\">Configuration<\/a><\/li><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#Activer-l'analyse-et-les-mises-\u00e0-jour-r\u00e9guli\u00e8res-avec-cron\">Activer l&rsquo;analyse et les mises \u00e0 jour r\u00e9guli\u00e8res avec cron<\/a><\/li><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#Utilisation\">Utilisation<\/a><\/li><li><a href=\"https:\/\/ligfy.net\/wordpress\/securiser-debian-9-avec-rkhunter#Filtrage-des-faux-positifs\">Filtrage des faux positifs<\/a><\/li><\/ul>\n\n\n\n<h2 id=\"G\u00e9n\u00e9ralit\u00e9s\">G\u00e9n\u00e9ralit\u00e9s<\/h2>\n\n\n\n<p><strong>Rkhunter&nbsp;<\/strong>(pour&nbsp;Rootkit Hunter) est un programme&nbsp;qui permet de d\u00e9tecter les&nbsp;<strong>rootkits<\/strong>,&nbsp;<strong>portes d\u00e9rob\u00e9es<\/strong>&nbsp;et&nbsp;<strong>exploits<\/strong>. Pour cela, il compare les&nbsp;hash&nbsp;SHA-256,&nbsp;SHA-512,&nbsp;SHA1&nbsp;et&nbsp;MD5&nbsp;des fichiers importants avec les hash connus, qui sont accessibles \u00e0 partir d&rsquo;une base de donn\u00e9es en ligne. Ainsi, il peut d\u00e9tecter les r\u00e9pertoires g\u00e9n\u00e9ralement utilis\u00e9s par les rootkit, les permissions anormales, les fichiers cach\u00e9s, les cha\u00eenes suspectes dans le kernel.<\/p>\n\n\n\n<h2 id=\"Installation\">Installation<\/h2>\n\n\n\n<p>Il suffit d&rsquo;installer le paquet.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>apt&nbsp;install&nbsp;rkhunter<\/code><\/p><\/blockquote>\n\n\n\n<h2 id=\"Les-dossiers-et-fichiers-de-configuration\">Les dossiers et fichiers de configuration<\/h2>\n\n\n\n<p>Conr\u00eatement, rkhunter s&rsquo;axe autour de 2&nbsp;fichiers.<\/p>\n\n\n\n<p><strong>\/etc\/default\/rkhunter<\/strong>\u00a0: Fichier o\u00f9 l&rsquo;on active\u00a0l&rsquo;analyse et les mises \u00e0 jour r\u00e9guli\u00e8res avec cron<br><strong>\/etc\/rkhunter.conf<\/strong>\u00a0: Fichier de configuration\u00a0<\/p>\n\n\n\n<h2 id=\"Configuration\">Configuration<\/h2>\n\n\n\n<p>Une fois l&rsquo;installation termin\u00e9e, il faut configurer Rkhunter avant de pouvoir l&rsquo;utiliser pour analyser le syst\u00e8me.&nbsp;Pour ce faire, il faut modifier le fichier&nbsp;<strong>\/etc\/rkhunter.conf<\/strong>.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>nano&nbsp;\/etc\/rkhunter.conf<\/code><\/p><\/blockquote>\n\n\n\n<p>D\u00e9finissez la valeur\u00a0<strong>UPDATE_MIRRORS<\/strong>\u00a0sur <strong>1<\/strong>.<br>Cela garantit que les fichiers miroir sont \u00e9galement v\u00e9rifi\u00e9s pour les mises \u00e0 jour lors de la recherche des fichiers de date mis \u00e0 jour par rkhunter avec l&rsquo;option\u00a0<strong>&#8211;update<\/strong>.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>UPDATE_MIRRORS=1<\/code><\/code><\/pre>\n\n\n\n<p>D\u00e9finissez la valeur de\u00a0<strong>MIRRORS_MODE\u00a0<\/strong>sur <strong>0<\/strong>.<br>L&rsquo;option\u00a0indique \u00e0 <strong>rkhunter <\/strong>quels miroirs doivent \u00eatre utilis\u00e9s lorsque les\u00a0options <strong>&#8211;versioncheck<\/strong> ou <strong>-\u2013update<\/strong>\u00a0sont fournies.\u00a0Il y a trois valeurs possibles pour cela.<\/p>\n\n\n\n<ul><li>Le mode 0 =\u00a0utiliser n&rsquo;importe quel miroir<\/li><li>Le mode 1 =\u00a0n&rsquo;utiliser que des miroirs locaux<\/li><li>Le mode 2 =\u00a0n&rsquo;utilisez que des r\u00e9troviseurs d\u00e9port\u00e9s<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code><code>MIRRORS_MODE=0<\/code><\/code><\/pre>\n\n\n\n<p>D\u00e9finissez la valeur de\u00a0<strong>WEB_CMD\u00a0<\/strong>sur\u00a0<strong>\u00ab\u00a0\u00a0\u00bb<\/strong>.\u00a0<br>Cette option peut \u00eatre d\u00e9finie sur une commande que rkhunter utilisera lors du t\u00e9l\u00e9chargement de fichiers \u00e0 partir d&rsquo;Internet, c&rsquo;est-\u00e0-dire lorsque l&rsquo;option <strong>&#8211;versioncheck<\/strong> ou <strong>&#8211;update<\/strong> est utilis\u00e9e.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>WEB_CMD=\"\"<\/code><\/code><\/pre>\n\n\n\n<p>Vous pouvez \u00e9galement envoyer les r\u00e9sultats par e-mail au cas o\u00f9 une menace serait d\u00e9tect\u00e9e sur votre syst\u00e8me.\u00a0Pour ce faire, vous devez\u00a0d\u00e9finir une valeur \u00e0\u00a0<strong>MAIL-ON-WARNING<\/strong>\u00a0votre adresse e-mail.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>MAIL-ON-WARNING=username@domain<\/code><\/code><\/pre>\n\n\n\n<p>Vous devez \u00e9galement d\u00e9finir&nbsp;la commande mail \u00e0 utiliser.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>MAIL_CMD=mail -s \"&#91;rkhunter] Warnings found for ${HOST_NAME}\"<\/code><\/code><\/pre>\n\n\n\n<h2 id=\"Activer-l'analyse-et-les-mises-\u00e0-jour-r\u00e9guli\u00e8res-avec-cron\">Activer l&rsquo;analyse et les mises \u00e0 jour r\u00e9guli\u00e8res avec cron<\/h2>\n\n\n\n<p>Modifiez <strong>\/etc\/default\/rkhunter.conf\u00a0<\/strong>et apportez les modifications suivantes.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>nano&nbsp;\/etc\/default\/rkhunter.conf<\/code><\/p><\/blockquote>\n\n\n\n<p>Activez les v\u00e9rifications d&rsquo;analyse rkhunter pour qu&rsquo;elles s&rsquo;ex\u00e9cutent quotidiennement en d\u00e9finissant la valeur de\u00a0<strong>CRON_DAILY_RUN\u00a0<\/strong>sur\u00a0<strong>true<\/strong>.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>CRON_DAILY_RUN=\"true\"<\/code><\/code><\/pre>\n\n\n\n<p>D\u00e9finissez la valeur de\u00a0<strong>CRON_DB_UPDATE\u00a0<\/strong>sur\u00a0<strong>true\u00a0<\/strong>pour activer les mises \u00e0 jour hebdomadaires de la base de donn\u00e9es rkhunter.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>CRON_DB_UPDATE=\"true\"<\/code><\/code><\/pre>\n\n\n\n<p>D\u00e9finissez la valeur de\u00a0<strong>APT_AUTOGEN\u00a0<\/strong>sur\u00a0<strong>true\u00a0<\/strong>pour activer les mises \u00e0 jour automatiques de la base de donn\u00e9es.\u00a0<br>Cela garantit que\u00a0<strong>rkhunter &#8211;propupd<\/strong> est ex\u00e9cut\u00e9 automatiquement apr\u00e8s les mises \u00e0 jour logicielles afin de r\u00e9duire les faux positifs.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>APT_AUTOGEN=\"true\"<\/code><\/code><\/pre>\n\n\n\n<h2 id=\"Utilisation\">Utilisation<\/h2>\n\n\n\n<h3>Pour v\u00e9rifier\u00a0la configuration<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --config-check<\/code><\/p><\/blockquote>\n\n\n\n<p>Vous pouvez \u00e9galement utiliser <strong>rkhunter -C<\/strong>. Si des probl\u00e8mes de configuration sont d\u00e9tect\u00e9s, ils seront affich\u00e9s et le code de retour sera d\u00e9fini sur 1.<\/p>\n\n\n\n<h3>Mise \u00e0 jour de la base<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --update<\/code><\/p><\/blockquote>\n\n\n\n<h3>V\u00e9rifier la version de rkhunter<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --versioncheck<\/code><\/p><\/blockquote>\n\n\n\n<h3>Prise d\u2019empreinte du syst\u00e8me<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --propupd<\/code><\/p><\/blockquote>\n\n\n\n<h3>Effectuer une v\u00e9rification du syst\u00e8me<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --checkall<\/code><\/p><\/blockquote>\n\n\n\n<p>Pour \u00e9viter d&rsquo;avoir \u00e0 appuyer sur ENTER \u00e0 chaque v\u00e9rification, vous pouvez passer l&rsquo;option\u00a0<strong>&#8211;sk<\/strong> ou\u00a0<strong>&#8211;skip-keypress<\/strong>.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --checkall&nbsp;--skip-keypress<\/code><\/p><\/blockquote>\n\n\n\n<p>Pour afficher uniquement les messages d&rsquo;avertissement, utilisez l&rsquo;option\u00a0<strong>&#8211;rwo<\/strong> ou <strong>&#8211;report-warnings-only<\/strong>.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\"><p><code>rkhunter --checkall&nbsp;--report-warnings-only<\/code><\/p><\/blockquote>\n\n\n\n<h2 id=\"Filtrage-des-faux-positifs\">Filtrage des faux positifs<\/h2>\n\n\n\n<p>Des fichiers\u00a0relatif\u00a0\u00e0 une activit\u00e9 normale peuvent \u00eatre consid\u00e9r\u00e9s comme suspects, donc il faut ajuster la configuration pour indiquer \u00e0\u00a0<strong>rkhunter\u00a0<\/strong>que ces alertes sont normales et ne doivent pas d\u00e9clencher d\u2019avertissements.<\/p>\n\n\n\n<p>Comme vous pouvez le voir, il y a quelques avertissements, par exemple l&rsquo;acc\u00e8s root SSH est autoris\u00e9.\u00a0Vous pouvez corriger le probl\u00e8me trouv\u00e9 sur votre syst\u00e8me par <strong>rkhunter <\/strong>en modifiant la valeur de\u00a0<strong>ALLOW_SSH_ROOT_USER<\/strong>.<\/p>\n\n\n\n<p>Vous avez \u00e9galement remarqu\u00e9 que des avertissements concernant les fichiers et r\u00e9pertoires cach\u00e9s sont affich\u00e9s.\u00a0Pour \u00e9viter ces avertissements, vous pouvez reconfigurer <strong>rkhunter <\/strong>pour ignorer ces fichiers via une liste blanche.\u00a0Par exemple dans mon test, j&rsquo;ai trouv\u00e9 cet avertissement.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>Warning: Hidden directory found: \/etc\/.java<\/code><\/code><\/pre>\n\n\n\n<p>Donc j&rsquo;ouvre\u00a0le fichier de configuration de <strong>rkhunter <\/strong>et d\u00e9commente\u00a0la ligne\u00a0<strong>#ALLOWHIDDENDIR=\/etc\/.java<\/strong>\u00a0de telle sorte qu&rsquo;elle ressemble \u00e0 ceci.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>ALLOWHIDDENDIR=\/etc\/.java<\/code><\/code><\/pre>\n\n\n\n<p>Il y a un autre faux positif dans mon test.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>Warning: The command '\/usr\/bin\/lwp-request' has been replaced by a script: \/usr\/bin\/lwp-request: Perl script text executable<\/code><\/code><\/pre>\n\n\n\n<p>Ce n&rsquo;est pas malveillant et donc l&rsquo;erreur peut \u00eatre ignor\u00e9e. Cela peut \u00eatre fait en d\u00e9commentant la ligne\u00a0<strong>#SCRIPTWHITELIST=\/usr\/bin\/lwp-request<\/strong>\u00a0de telle sorte qu&rsquo;elle ressemble \u00e0 ceci..<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>SCRIPTWHITELIST=\/usr\/bin\/lwp-request<\/code><\/code><\/pre>\n\n\n\n<p>Si vous avez d&rsquo;autres fichiers, vous pouvez les d\u00e9commenter ou les rajouter dans le fichier de configuration de <strong>rkhunter <\/strong>comme indiqu\u00e9 ci-dessus.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Rkhunter est un programme qui permet de d\u00e9tecter les rootkits, portes d\u00e9rob\u00e9es et exploits. Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles \u00e0 partir d&rsquo;une base de donn\u00e9es en ligne.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[11,8],"_links":{"self":[{"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/posts\/206"}],"collection":[{"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/comments?post=206"}],"version-history":[{"count":10,"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/posts\/206\/revisions"}],"predecessor-version":[{"id":219,"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/posts\/206\/revisions\/219"}],"wp:attachment":[{"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/media?parent=206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/categories?post=206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ligfy.net\/wordpress\/wp-json\/wp\/v2\/tags?post=206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}