VPS 調教筆記(一)~安裝 bfd、chkrootkit、rkhunter
這陣子試用了幾家VPS,學習一下其他系統也不錯,雖然都是看一堆程式碼~ 
這兩家用的主機都是Intel Xeon X3220 @ 2.40GHz,4核心想當然爾應該不錯,不過只有yourwebhoster.eu測試出來的分數很不錯,這家還有 Seedbox 的方案,不過一年 69.99 歐元還挺貴的,我想還是找老美的VPS好,也想租 VPS 的童鞋可以多留意美西、達拉斯、芝加哥這三個地方的主機,一般來說加州的節點最少但頻寬不一定最快,還是要看主機所在的機房以及網路環境,所以測試下載速度比挑節點少的主機重要! 
正文開始啦~ 介紹裝防駭客的工具軟體,以下是我在CentOS 5.5的版本下測試安裝的,安裝方法其實應該各版本都大同小異,而且真的不要只光靠 iptables 唷! 壞蛋是無孔不入滴! 
*********更新歷史*********
2009/11/01 - 第一次發表
2010/10/23 - 更新rkhunter到1.3.6
******** chkrootkit 0.49 ********
傻瓜式作法 (傳說中的複製+貼上 
)
cd /usr/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit*
make sense
cd ..
cp -r chkrootkit-* /usr/local/chkrootkit
rm -rf chkrootkit*
以上的指令是下載後解壓縮進行編譯並複製chkrootkit檔案到/usr/local/位置
cd /usr/local/chkrootkit
./chkrootkit | grep INFECTED
最後再下指令就是執行chkrootkit,喝個水、上個廁所稍等一下結果,只要沒有顯示INFECTED,就是沒問題囉!
然後再新增1個自動運行chkrootkit的shell script,又是傻瓜式的貼上去就好了~ 內容如下
vi /root/chkrootkit.sh // 新增腳本
內容又是傻瓜式的貼上去就好了~ 內容如下
-
#!/bin/bash
-
PATH=/usr/bin:/bin
-
TMPLOG=`mktemp`
-
# Run the chkrootkit
-
/usr/local/chkrootkit/chkrootkit> $TMPLOG
-
# Output the log
-
cat $TMPLOG | logger -t chkrootkit
-
# bindshe of SMTPSllHow to do some wrongs
-
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
-
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
-
sed -i '/465/d' $TMPLOG
-
fi
-
# If the rootkit have been found,mail root
-
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
-
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `你的網域名稱`" qoo@gmail.com
-
rm -f $TMPLOG
編輯完成再輸入以下2個指令賦予權限並將shell script移動到每天自動執行的目錄中
chmod +x /root/chkrootkit.sh
crontab -e
0 0 * * * /root/chkrootkit.sh << 排程每日凌晨12點檢查一次
OK 
******** BFD (Brute Force Detection) ********
傻瓜式作法 (傳說中的複製+貼上 )
cd /usr/src
mkdir -p /etc/cron.d/bfd
chmod -R 755 /etc/cron.d/bfd
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
tar zxvf bfd-current.tar.gz
cd bfd-*
./install.sh
cd ..
rm -rf bfd-*
BFD裝好之後先編輯conf.bfd啟動郵件通知
vi /usr/local/bfd/conf.bfd
EMAIL_ALERTS="1" // 第18行 - 啟動郵件通知
EMAIL_ADDRESS="qoo@gmail.com" // 第21行 - 通知信箱
最後編輯ignore.hosts加入信任的IP位置依照1行1個IP的方式輸入(第一行的127.0.0.1 可不要呆到刪掉了唷!)
vi /usr/local/bfd/ignore.hosts
127.0.0.1
8.8.8.8
8.8.4.4
最後再啟動BFD~ 搞定! 射後不理! 
/usr/local/sbin/bfd -s
******** Rootkit Hunter 1.3.6 ********
傻瓜式作法 (傳說中的複製+貼上 )
wget http://softlayer.dl.sourceforge.net/project/rkhunter/rkhunter/1.3.6/rkhunter-1.3.6.tar.gz
tar -zxvf rkhunter-1.3.6.tar.gz
cd rkhunter-1.3.6
./installer.sh -h
./installer.sh --layout default --install
cd ..
rm -rf rkhunter-1.3.6*
rkhunter 的使用指令如下
--checkall (-c) // 進行全系統檢測
--createlogfile // 建立紀錄文件,一般預設放在/var/log/rkhunter.log
--cronjob // 加到定時自動執行(Cron Job)
--report-warnings-only // 僅列出警告訊息
--skip-application-check // 忽略套件版本檢測
--skip-keypress // 忽略按ENTER繼續的動作(程式會持續自動執行)
--quiet // 僅顯示有問題的訊息,比--report-warnings-only顯示更少訊息
--versioncheck // 檢查是否有新的版本
範例
/usr/local/bin/rkhunter -c --skip-keypress
檢查完可以用cat /var/log/rkhunter.log指令來看記錄檔
最後再用以下指令加到定時自動執行(Cron Job)
/usr/local/bin/rkhunter --cronjob
