RKHunter
Overview
RKHunter (Rootkit Hunter) est un scanner anti-rootkit open source qui analyse les systèmes Linux pour détecter les rootkits, backdoors, et autres signes de compromissionRKHunter vérifie les signatures de rootkits connus, analyse les fichiers système suspects, vérifie les permissions et propriétaires des fichiers critiques, et détecte les modifications suspectes dans les binaires système.
RKHunter est particulièrement adapté aux environnements où la détection proactive de compromissions est essentielle : serveurs critiques, bastions SSH, serveurs exposés sur Internet, et systèmes nécessitant un audit de sécurité régulierIl peut être exécuté manuellement ou via des jobs cron pour des scans périodiques.
Dans un contexte DevOps/SRE, RKHunter peut être intégré dans les playbooks Ansible pour des audits réguliers, configuré via des jobs cron sur les serveurs, et ses résultats peuvent être envoyés vers les systèmes de monitoring et SIEM pour corrélation avec d'autres événements de sécurité
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://rkhunter.sourceforge.net/ |
| Licence | GPL v2 |
| Type | Anti-rootkit |
| Plateformes | Linux, Unix |
| Difficulté | Intermédiaire |
TL;DR
RKHunter est un scanner anti-rootkit efficace pour détecter les rootkits, backdoors et signes de compromission sur LinuxIl est particulièrement utile pour les audits de sécurité réguliers sur les serveurs critiques et les bastionsPoints forts : détection de nombreux rootkits connus, vérifications système approfondies, configuration flexibleLimite principale : nécessite une configuration initiale et une base de référence propre pour éviter les faux positifs.
Cas d'usage typiques
- Audit de sécurité régulier sur les serveurs critiques et bastions SSH
- Détection de rootkits après suspicion de compromission
- Vérification périodique de l'intégrité des systèmes de fichiers
- Scan préventif sur les serveurs exposés sur Internet
- Audit de conformité sécurité pour vérifier l'absence de compromissions
- Intégration dans les procédures de réponse aux incidents
Avantages
- Détection de nombreux rootkits et backdoors connus
- Vérifications approfondies des fichiers système et permissions
- Détection des modifications suspectes dans les binaires
- Configuration flexible et personnalisable
- Support des jobs cron pour scans automatiques
- Rapports détaillés avec recommandations
- Open source et maintenu activement
Limites
- Nécessite une configuration initiale et création d'une base de référence propre
- Faux positifs possibles après mises à jour système ou modifications légitimes
- Détection basée sur signatures, moins efficace contre les rootkits zero-day
- Nécessite des privilèges root pour certaines vérifications
- Peut être contourné par des rootkits avancés utilisant des techniques d'évasion
- Nécessite maintenance régulière de la base de signatures
Intégration dans un socle DevOps / SRE
RKHunter peut être intégré dans un socle DevOps/SRE via plusieurs mécanismes. Des playbooks Ansible peuvent déployer et configurer RKHunter sur les serveurs, créer la base de référence initiale, et configurer des jobs cron pour des scans périodiques. Les résultats peuvent être parsés et envoyés vers les systèmes de monitoring (Prometheus, Grafana) et les SIEM (Wazuh, ELK) pour corrélation.
Pour les environnements Kubernetes, RKHunter peut être exécuté dans des jobs CronJob pour scanner les nœuds worker, ou intégré dans les images de base pour un scan lors du démarrage des conteneurs. Les alertes peuvent être intégrées dans les systèmes d'alerting (Alertmanager) et les dashboards de sécurité. RKHunter peut également faire partie des procédures de réponse aux incidents automatisées.
Ressources
- Site officiel : https://rkhunter.sourceforge.net/
- Documentation : https://rkhunter.sourceforge.net/usage.php
- SourceForge : https://sourceforge.net/projects/rkhunter/
- Guide de configuration : https://rkhunter.sourceforge.net/configuration.php