あちこちのサイトを駆けずり回ったので、何から何をか忘れてしまいましたが、各位謝意。

logwatch のインストールと設定

# yum -y install logwatch
# mv /etc/logwatch/conf/logwatch.conf /etc/logwatch/conf/logwatch.conf.org
# cp /usr/share/logwatch/default.conf/logwatch.conf
# vi /etc/logwatch/conf/logwatch.conf

logwatch.conf を適時編集してから試験送信

# logwatch --mailto 自分のメールアドレス &

 

# mv /etc/logwatch/conf/logwatch.conf /etc/logwatch/conf/logwatch.conf.org
# cp /usr/share/logwatch/default.conf/logwatch.conf
# vi /etc/logwatch/conf/logwatch.conf</pre>

chkrootkit のインストールと設定

# yum -y install chkrootkit
# chkrootkit | grep INFECTED
# cd /etc/cron.daily/
# touch chkrootkit
# chmod 700 chkrootkit
# vi chkrootkit

/etc/cron.daily/chkrootkit の中身

#!/bin/bash
PATH=/usr/bin:/bin:/usr/sbin
TMPLOG=`mktemp`
# chkrootkit 実行
chkrootkit > $TMPLOG
# ログ出力
cat $TMPLOG | logger -t chkrootkit
# SMTPS の bindshell 誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# rootkit 検知時のみ root 宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" 送信先メールアドレス
rm -f $TMPLOG