# Rkhunter (Optionnel)

*Rkhunter peut détecter les répertoires généralement utilisés par les rootkits. Les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux. Cela se fait en comparant les hashs de vos fichiers avec des hashs de virus et logiciels connus.*

**Installation de RKHunter**
```sh
apt install rkhunter -y
```

Chercher ensuite la ligne ou il y a `WEB_CMD="/bin/false"` vous pouvez utiliser Ctrl+W sur nano. Une fois la ligne trouvée commentez la.
```sh
# WEB_CMD="/bin/false"
```
Puis la ligne ou il y a écris `UPDATE_MIRRORS` et mettez sa valeur à 1. Cela spécifie que le fichier mirroir doit être vérifié pour les mise à jours lors d'une update.
```sh
UPDATE_MIRRORS=1
```

Puis la ligne `MIRRORS_MODE` et mettre sa valeur à 0. Cela permet de spécifier à rkhunter quel mirroir utiliser lors d'une update.
```sh
MIRRORS_MODE=0
```
Une fois l'étape précédente terminé et enregistré on va rajouter les notifications par mail:
<br/>On ouvre le fichier situé sous `/etc/default/rkhunter` avec notre éditeur préféré:

```sh
nano /etc/default/rkhunter
```
Puis on modifie si besoin les variables suivantes:
```sh
# Pour effectuer une vérification chaque jour
CRON_DAILY_RUN="yes"
# L'adresse sur laquelle on veut recevoir les emails, ici celle associé à root
REPORT_EMAIL="root"
```
Vérifions que notre fichier de configuration est correct avec la commande:
```sh
rkhunter -C
```
Pour mettre à jour rkhunter vous pouvez ensuite utiliser la commande:
```sh
rkhunter --update
```
Puis pour vérifier le système local
```sh
rkhunter --check
```
Rkhunter peut avoir **de faux positifs** suite à une mise à jour par exemple dans ce cas, il faut mettre la base d’empreintes à jour avec la commande :
```sh
rkhunter --propupd
```

Ce sera tout pour RKhunter vous pouvez également voir les logs sous `/var/log/rkhunter.log` :)