linux-rkhunter
리눅스 시스템에서 rkhunter(Rootkit Hunter)를 실행하여 루트킷 검사 결과를 조회합니다. rkhunter는 루트킷, 백도어, 의심스러운 파일 등을 탐지하는 보안 점검 도구입니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
linux-rkhunter [ignore-error=BOOL]
옵션
ignore-error=BOOL- rkhunter가 설치되지 않았거나 실행에 실패한 경우 오류를 무시할지 여부.
t로 설정하면 오류 발생 시 빈 결과를 반환하고 정상 종료합니다. (기본값:f)
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
target | 문자열 | 경고 대상. 파일 경로, 명령어 이름, 프로세스 이름, SSH 설정 옵션 등 |
reason | 문자열 | 경고 사유. 탐지된 위협의 원인을 나타냅니다 |
description | 문자열 | 경고 상세 설명. 탐지된 위협에 대한 추가 정보를 포함합니다 |
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
| 95040 | no-read-permission | 관리자 권한 없이 실행한 경우 |
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | - | rkhunter가 설치되지 않았거나 실행에 실패한 경우 | ignore-error=t 옵션이 설정된 경우 빈 결과를 반환하고, 그렇지 않으면 쿼리 실행을 중단함 |
설명
linux-rkhunter 명령어는 rkhunter -c --enable all --disable none --rwo 명령을 실행하여 전체 검사를 수행하고, 경고(Warning) 항목만 추출합니다. --rwo 옵션은 경고 항목만 출력하는 rkhunter 옵션입니다.
검사 결과에서 다음 유형의 경고를 파싱합니다:
- 명령어 변조 경고: 시스템 명령어가 변조된 경우
- 숨겨진 파일 경고: 숨겨진 파일이 발견된 경우
- 삭제된 파일 사용 프로세스: 삭제된 파일을 사용하는 프로세스가 발견된 경우
- 의심스러운 파일 경고: 의심스러운 파일 유형이 발견된 경우
- SSH 설정 경고: SSH 설정 옵션이 보안 기준에 맞지 않는 경우
rkhunter가 시스템에 설치되어 있지 않으면 실행 오류가 발생합니다. ignore-error=t 옵션을 지정하면 rkhunter 미설치 또는 실행 실패 시 오류 없이 빈 결과를 반환합니다.
사용 예
-
rkhunter 검사 결과 조회
linux-rkhunter시스템에서 rkhunter를 실행하고 경고 항목을 조회합니다.
-
오류를 무시하고 검사 결과 조회
linux-rkhunter ignore-error=trkhunter가 설치되지 않은 경우에도 오류 없이 정상 종료합니다.
-
특정 사유의 경고만 필터링
linux-rkhunter | search isnotnull(reason)경고 사유가 존재하는 항목만 필터링하여 조회합니다.
호환성
linux-rkhunter 명령어는 소나 4.0 이전 버전부터 제공되었습니다.