CentOS防備録

■chkrootkitのインストール

# yum -y install chkrootkit


■chkrootkitを実行

# chkrootkit | grep INFECTED


■cron用シェルスクリプトを作成

# vi /root/chkrootkit.sh

---------------------------------------------------------------------------
#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG
---------------------------------------------------------------------------

# chmod 700 /root/chkrootkit.sh


■cronに登録

# crontab -e

-------------------------------
48 4 * * * /root/chkrootkit.sh
-------------------------------

# yum install -y yum-cron

設定ファイルの変更するために、"/etc/sysconfig/yum-cron"を編集。
自動更新は行わず、チェックのみを行う設定にする。

--------------------------
CHECK_ONLY=yes

DOWNLOAD_ONLY=yes
--------------------------

yum-cronの起動

# /etc/rc.d/init.d/yum-cron start

自動起動

# chkconfig yum-cron on

カーネルパニック時に、30秒後に自動的に再起動するよう設定。

# echo 30 > /proc/sys/kernel/panic

再起動しても設定が適用されるように、"/etc/rc.local"に以下を追記。

-----------------------------------
echo 30 > /proc/sys/kernel/panic
-----------------------------------

"su"できるユーザを"wheel"グループだけに限定する

"/etc/pam.d/su"を編集。

----------------------------------------------
auth required pam_wheel.so use_uid
----------------------------------------------

コメントアウトを外せばok!

デフォルトではパスが通ってなかったりと、色々と不便なので変更。

■root

# vi ~/.bashrc

-------------------------------------------
alias ll='ls -Fal'
alias vi='vim'

PATH=$PATH:/usr/sbin

PS1="[\[\033[31m\]\u\[\033[0m\]@\h:\w]# "
-------------------------------------------

■一般ユーザー

$ vi ~/.bashrc

-------------------------------------------
alias ll='ls -Fal'
alias vi='vim'

PATH=$PATH:/usr/sbin:/sbin

PS1="[\u@\h:\w]$ "
-------------------------------------------