chkrootkit 在监测 rootkit 是否被安装的过程中，需要使用到一些操作系统本身的命令。但不排除一种情况，那就是入侵者有针对性的已经将 chkrootkit 使用的系统命令也做修改，使得 chkrootkit 无法监测 rootkit ，从而达到即使系统安装了 chkrootkit 也无法检测出 rootkit 的存在，从而依然对系统有着控制的途径，而达到入侵的目的。那样的话，用 chkrootkit 构建入侵监测系统将失去任何意义。对此，我们在操作系统刚被安装之后，或者说服务器开放之前，让 chkrootkit 就开始工作。而且，在服务器开放之前，备份 chkrootkit 使用的系统命令，在一些必要的时候（怀疑系统命令已被修改的情况等等），让 chkrootkit使用初始备份的系统命令进行工作。

安装 chkrootkit

首先来下载和安装 chkrootkit 工具。

[root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展开被压缩的源代码

[root@sample ~]# cd chkrootkit* ← 进入chkrootkit 源代码的目录  

[root@sample chkrootkit-0.46a]# make sense ← 编译  
[root@sample chkrootkit-0.46a]# cd .. ← 返回上层目录  
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 复制编译后文件所在的目录到指定位置  
[root@sample ~]# rm -rf chkrootkit* ← 删除遗留的源代码目录及相关文件 

测试 chkrootkit
然后测试 chkrootkit 是否能够正常运行。
[root@sample ~]# cd /usr/local/chkrootkit ← 进入chkrootkit 的目录  
[root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 测试运行chkrootkit  
稍等片刻…如果没有显示“INFECTED”字样，而直接出现命令行提示符，说明一  
切OK！  
[root@sample chkrootkit]# cd ← 回到root 用户目录