Přestože se často říká, že operační systémy Linux nejsou náchylné k útokům virů, v dnešní době s rostoucími hrozbami a různými technikami, které bezpochyby používají, není žádný systém 100% chráněn, a proto musíme příslušná bezpečnostní opatření předcházet útokům a krádež citlivých informací. Vzhledem k tomu máme dvě kritické hrozby, jako je malware a rootkit, zejména malware a rootkity, které mohou v Linuxu fungovat integrovaným a úplným způsobem jako v jiných „nezabezpečených“ operačních systémech.
Solvetic zkontroluje některé z nejlepších nástrojů pro skenování systému Linux na malware nebo rootkity, které by mohly ohrozit jeho normální provoz.
Co je rootkitRootkit je druh nástroje, který má schopnost jednat nezávisle nebo být v kombinaci s jakoukoli variantou škodlivého kódu, jehož hlavním cílem je skrýt jeho účely před uživateli a správci systému.
Základním úkolem rootkitu je skrýt informace související s procesy, síťovými připojeními, soubory, adresáři, oprávněními, ale může přidat funkce jako backdoor nebo backdoor za účelem zajištění trvalého přístupu do systému nebo využití keyloggerů, jejichž úkolem je zachytit stisknutí kláves, které vystavuje činnosti uživatele bezprostřednímu riziku.
Existují různé typy rootkitů, jako například:
Rootkit v uživatelském prostoruTento typ rootkitu běží přímo v uživatelském prostoru na stejné úrovni jako ostatní aplikace a binární soubory, jeho úkolem je nahradit legitimní spustitelné soubory systému jinými, které byly upraveny, takže informace, které poskytují, jsou manipulovány pro negativní účely. Mezi hlavní binární soubory, které jsou napadeny rootkitem, máme ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at a více.
Rootkit v prostoru jádraJe to jeden z nejnebezpečnějších, protože v tomto případě můžete přistupovat k systému a získat oprávnění superuživatele za účelem instalace rootkitu v režimu jádra a tímto způsobem dosáhnout úplné kontroly nad systémem, a tedy jakmile se do systému integrujete, jejich detekce bude mnohem složitější, protože se přesouvají na vyšší úroveň oprávnění s oprávněními k úpravám a úpravám nejen binárních souborů, ale také funkcí a volání operačního systému.
BootkityTy mají schopnost přidávat zaváděcí funkce do rootkitů a z tohoto režimu ovlivňují firmware systému a zaváděcí sektory disku.
Co je malwareMalware (Škodlivý software), je v podstatě program, který má funkci poškození systému nebo způsobení poruchy jak v systému, tak v aplikacích tam nainstalovaných, v rámci této skupiny najdeme viry, trojské koně (trojské koně), červy (červ), keyloggery, botnety, výkupné, spyware, adware, darebáci a mnoho dalších.
Malware má různé přístupové cesty, kam jej lze vložit do systému, například:
- Sociální média
- Podvodné webové stránky
- Infikovaná zařízení USB / disky CD / DVD
- Přílohy v nevyžádaných e -mailech (spam)
Nyní uvidíme nejlepší nástroje k detekci těchto hrozeb a přistoupíme k jejich nápravě.
Lynis
Lynis je bezpečnostní nástroj určený pro systémy s operačním systémem Linux, macOS nebo Unix.
Jeho úkolem je provést rozsáhlou kontrolu stavu systému za účelem podpory zpevnění systému a spustit nezbytné testy shody k vyloučení hrozeb. Lynis je open source software s licencí GPL a je k dispozici od roku 2007.
Hlavní akceJeho hlavní činnosti jsou zaměřeny na:
- Bezpečnostní audity
- Testování shody jako PCI, HIPAA, SOx
- Penetrační testování za účelem zjištění interního zabezpečení
- Detekce zranitelnosti
- Kalení systému
Pro jeho instalaci nejprve stáhneme soubor z oficiálního webu:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
ZVĚTŠIT
Extrahujeme obsah:
tar xvzf lynis-2.6.6.tar.gz
ZVĚTŠIT
Nakonec přesuneme aplikaci do správného adresáře:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisSkenování Lynis je založeno na příležitosti, to znamená, že bude používat pouze to, co je k dispozici, jako jsou dostupné nástroje nebo knihovny, takže pomocí této metody skenování může nástroj běžet téměř bez závislostí.
Co pokrýváAspekty, které Lynis pokrývá, jsou:
- Inicializace a základní ovládací prvky
- Určete operační systém a doprovodné nástroje
- Vyhledejte dostupné systémové nástroje
- Ověřte aktualizaci Lynis
- Spusťte povolené doplňky
- Spusťte testy zabezpečení založené na kategoriích
- Spusťte vlastní testy
- Nahlásit stav bezpečnostního skenování
Abychom spustili kompletní analýzu systému, provedeme:
lynis systém auditu
ZVĚTŠIT
Tam celý proces analýzy začne a nakonec uvidíme všechny výsledky v kategoriích:
ZVĚTŠIT
Je možné povolit automatický provoz Lynisu v definovaném časovém rozsahu, k tomu musíme přidat následující záznam cron, který bude proveden, v tomto případě v 11 v noci a bude zasílat zprávy na zadanou e -mailovou adresu :
0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s "Lynis Report" [email protected]
Rkhunter
RKH (RootKit Hunter) je bezplatný, otevřený zdrojový a snadno použitelný nástroj, díky kterému bude možné skenovat zadní vrátka, rootkity a lokální exploity na systémech kompatibilních s POSIX, jako je Linux. Jeho úkolem je detekovat rootkity, protože byl vytvořen jako nástroj pro monitorování a analýzu zabezpečení, který podrobně kontroluje systém, aby odhalil skryté bezpečnostní díry.
Nástroj rkhunter lze nainstalovat pomocí následujících příkazů na systémy založené na Ubuntu a CentOS:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
ZVĚTŠIT
Zadáním písmene S potvrdíme stažení a instalaci nástroje. Po instalaci můžeme monitorovat systém provedením následujících kroků:
sudo rkhunter -c
ZVĚTŠIT
Tam bude pokračovat proces analýzy systému při hledání nebezpečných situací:
ZVĚTŠIT
Tam bude analyzovat všechny stávající možnosti rootkitů a spouštět další akce analýzy v síti a dalších položkách.
Chkrootkit
Chkrootkit je další z nástrojů, které byly vyvinuty pro lokální ověření, zda existují rootkity, tento nástroj obsahuje:
chkrootkitJedná se o shell skript, který kontroluje systémové binární soubory pro úpravu rootkitů.
ifpromisc.cZkontrolujte, zda je rozhraní v promiskuitním režimu
chklastlog.cZkontrolujte odstranění posledního protokolu
chkwtmp.cZkontrolujte mazání wtmp
check_wtmpx.cZkontrolujte mazání wtmpx
chkproc.cHledejte známky trojských koní LKM
chkdirs.cHledejte známky trojských koní LKM
struny. cRychlá a špinavá výměna řetězu
chkutmp.cZkontrolujte vymazání utmp
Chkrootkit lze nainstalovat spuštěním:
sudo apt install chkrootkit
ZVĚTŠIT
V případě CentOS musíme provést:
aktualizace yum instalace wget gcc -c ++ glibc -static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit smyslKe spuštění tohoto nástroje můžeme použít kteroukoli z následujících možností:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
ZVĚTŠIT
ClamAV
Dalším ze známých řešení pro analýzu zranitelnosti v Linuxu je ClamAV, který byl vyvinut jako open source antivirový engine (GPL), který lze provést pro různé akce včetně skenování e-mailů, skenování webu a zabezpečení webu.
ClamAV nám nabízí řadu nástrojů včetně flexibilního a škálovatelného vícevláknového démona, skeneru příkazového řádku a pokročilého nástroje pro automatické aktualizace databáze.
FunkceMezi jeho nejvýraznější funkce patří:
- Skener příkazového řádku
- Rozhraní Milter pro sendmail
- Pokročilý aktualizátor databáze s podporou skriptovaných aktualizací a digitálních podpisů
- Integrovaná podpora pro archivní formáty jako Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS a další
- Neustále aktualizovaná virová databáze
- Integrovaná podpora pro všechny standardní formáty poštovních souborů
- Integrovaná podpora pro spustitelné soubory ELF a přenosné spustitelné soubory zabalené s UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack a zmatené pomocí SUE, Y0da Cryptor a dalších
- Vestavěná podpora formátů dokumentů MS Office a MacOffice, HTML, Flash, RTF a PDF.
Chcete -li nainstalovat ClamAV, spustíme následující příkaz:
sudo apt install clamav
ZVĚTŠIT
Zadáme písmeno S, abychom potvrdili stažení a instalaci ClamAV.
V případě CentOS můžeme provést následující:
yum -y aktualizovat yum -y nainstalovat clamavPro provedení ClamAV provedeme následující:
sudo clamscan -r -i "Adresář"
ZVĚTŠIT
LMD - Linux Malware Detect
Linux Malware Detect (LMD) byl vyvinut jako skener malwaru pro Linux pod licencí GNU GPLv2, jehož hlavní funkcí je používat data hrozeb ze systémů detekce vniknutí k extrahování malwaru, který se aktivně používá při útocích a může generovat podpisy pro detekci těchto hrozeb .
Podpisy, které LMD používá, jsou hashování souborů MD5 a shody vzorů HEX, které lze také snadno exportovat do různých detekčních nástrojů, jako je ClamAV.
funkceMezi jeho charakteristikami najdeme:
- Vestavěná detekce ClamAV, která bude použita jako skener pro dosažení nejlepších výsledků
- Detekce hash souboru MD5 pro rychlou identifikaci hrozeb
- Komponenta statistické analýzy pro detekci hrozeb
- Vestavěná funkce aktualizace verze s -d
- Integrovaná funkce aktualizace podpisu s -u
- Denní skript cron kompatibilní se systémy stylu RH, Cpanel a Ensim
- Monitor inotify jádra, který může převzít data cesty ze STDIN nebo FILE
- Denní kontrola všech změn založených na cronu do protokolů uživatelů za posledních 24 hodin
- Možnost obnovení karantény pro obnovení souborů na původní cestu včetně vlastníka
- Možnosti ignorování pravidel na základě tras, rozšíření a podpisů
Chcete -li nainstalovat LMD v Linuxu, provedeme následující:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
ZVĚTŠIT
Nyní můžeme spustit požadovaný adresář, v tomto případě tmp takto:
maldet -a / tmp
ZVĚTŠIT
S jakýmkoli z těchto nástrojů bude možné zachovat integritu našeho systému a vyhnout se přítomnosti malwaru nebo rootkitů.
