Il faut permettre à nagios d’exécuter rkhunter qui nécessite les droits d'administration root. Au lieu de donner les droits root à l'utilisateur nagios (ce qui ferait de votre installation nagios une backdoor potentielle) nous allons lui donner des droits uniquement sur le binaire rkhunter. Pour cela on modifie le fichier de configuration */etc/sudoers* en y ajoutant cette ligne :
nagios ALL=(root) NOPASSWD: /usr/bin/rkhunter
Récupérer le script ici (source) et le placer dans le répertoire /usr/lib/nagios/plugins. Puis lui donner des droits d’exécution :
chmod +x /usr/lib/nagios/plugins/check_rootkit
On ajoute la commande au serveur NRPE, on ajoute cette ligne dans le fichier /etc/nagios/nrpe.cfg :
command[check_rootkit]=/usr/lib/nagios/plugins/check_rootkit
On ajoute le service à la surveillance. On modifie le fichier /usr/local/nagios/etc/objects/localhost.cfg (ou autre selon votre besoin) :
define service{ use local-service host_name localhost ; nom de votre machine (selon votre configuration toujours) service_description rootkit ; descriptif check_command check_nrpe!check_rootkit -t 180 ; pensez a préciser ici le temps maximum d’exécution, sinon nagios peut croire que la commande ne répond pas notifications_enabled 1 check_interval 1440 ; on effectue la verification qu'une fois par jour retry_interval 60 max_check_attempts 1 }