LinuxはWindowsよりもマルウェアへの耐性が強い。だが、ワーム、トロイの木馬、ルートキットの影響を受けやすくなってしまう点は、ほかのプラットフォームと変わらない。本稿ではLinuxユーザー向けの優れたルートキット/マルウェア検出ツールを幾つか比較検討してみよう。
LinuxはWindowsよりもマルウェアへの耐性が強いことが分かっており、ウイルス感染についてはとりわけその傾向が強い。だが、リモートエクスプロイトによってワーム、トロイの木馬、ルートキットの影響を受けやすくなってしまう点は、ほかのどんなプラットフォームとも同じだ。最近のニュースで話題(翻訳記事)になったLinux/Apacheサーバでの障害発生の責任が、セキュリティ上の影響を被ったサイトを訪れてマルウェアに感染したWindowsユーザーにあるとしても、これを機にLinuxのデスクトップおよびSOHOユーザー向けの優れたルートキット(rootkit)/マルウェア検出ツールを紹介しておくのも悪くないだろう。そこで本稿では、特によく知られている3つのツール、Chkrootkit、Rootkit Hunter、Ossecを簡単に比較する。
Chkrootkitは、さまざまな方法でシステムの整合性をチェックするスクリプトおよびプログラムの集まりだ。最新のバージョンは2007年12月にリリースされた0.48で、すぐにでもダウンロードして、インストールと実行ができる。
ダウンロードしたファイルを展開し、展開先のディレクトリに移動して、「make sense」と入力する。すると同じディレクトリに実行ファイルが作られるので、rootで実行すればよい。Ubuntuであれば、インストール先のディレクトリで「sudo ./chkrootkit」と入力するだけだ。
オプションなしで実行すると、用意されているすべてのテストが行われる。特定のテストだけに関心がある場合は、オプションの指定によってそれらだけを実行できる。実施可能なテストの一覧を表示するには「./chkrootkit -l」とする。また、例えばslapperのテストだけを行いたければ、「./chkrootkit slapper」とする。
わたしのデスクトップシステムでは、Chkrootkitをオプションの引数なしで実行するのに15秒かかり、115行ほどの出力結果が得られた。「-q」オプションを使えば、テスト結果の出力を制限できる。それで実行が速くなることはないが、問題を示唆する出力や、疑わしい部分だけが表示される。
そうした方法にあきたらず、Chkrootkitによる解析内容を自分でチェックしたければ、「-x」オプションを使ってエキスパートモードで実行するとよい。ただし、わたしのシステムだと出力結果が3万行近くにもなったので注意が必要だ。
Copyright © 2010 OSDN Corporation, All Rights Reserved.