chkrootkit 在監測 rootkit 是否被安裝的過程中，需要使用到一些操作系統本身的命令。但不排除一種情況，那就是入侵者有針對性的已經將 chkrootkit 使用的系統命令也做修改，使得 chkrootkit 無法監測 rootkit ，從而達到即使系統安裝了 chkrootkit 也無法檢測出 rootkit 的存在，從而依然對系統有著控制的途徑，而達到入侵的目的。那樣的話，用 chkrootkit 構建入侵監測系統將失去任何意義。對此，我們在操作系統剛被安裝之后，或者說服務器開放之前，讓 chkrootkit 就開始工作。而且，在服務器開放之前，備份 chkrootkit 使用的系統命令，在一些必要的時候（懷疑系統命令已被修改的情況等等），讓 chkrootkit使用初始備份的系統命令進行工作。

安裝 chkrootkit

首先來下載和安裝 chkrootkit 工具。

[root@sample ~]# tar zxvf chkrootkit.tar.gz ← 展開被壓縮的源代碼

[root@sample ~]# cd chkrootkit* ← 進入chkrootkit 源代碼的目錄  

[root@sample chkrootkit-0.46a]# make sense ← 編譯  
[root@sample chkrootkit-0.46a]# cd .. ← 返回上層目錄  
[root@sample ~]# cp -r chkrootkit-* /usr/local/chkrootkit ← 復制編譯后文件所在的目錄到指定位置  
[root@sample ~]# rm -rf chkrootkit* ← 刪除遺留的源代碼目錄及相關文件 

測試 chkrootkit
然后測試 chkrootkit 是否能夠正常運行。
[root@sample ~]# cd /usr/local/chkrootkit ← 進入chkrootkit 的目錄  
[root@sample chkrootkit]# ./chkrootkit | grep INFECTED ← 測試運行chkrootkit  
稍等片刻…如果沒有顯示“INFECTED”字樣，而直接出現命令行提示符，說明一  
切OK！  
[root@sample chkrootkit]# cd ← 回到root 用戶目錄