Най -добрите инструменти за одит и сканиране на сигурността на сървъра на Linux

Съдържание

Въпреки че много се говори, че операционните системи Linux не са уязвими за вирусни атаки, в днешно време с нарастващите заплахи, които възникват и различните техники, използвани без съмнение, че никоя система не е 100% защитена и затова трябва да вземем съответните мерки за сигурност, за да предотвратим атаките и кражба на чувствителна информация. Като се има предвид това, имаме две критични заплахи, като зловреден софтуер и руткит, по -специално зловреден софтуер и руткитове, те могат да работят интегрирано и пълноценно в Linux, както правят в други „несигурни“ операционни системи.

Solvetic ще прегледа някои от най -добрите инструменти за сканиране на системата Linux за злонамерен софтуер или руткитове, които биха могли да компрометират нормалната й работа.

Какво е руткитРуткитът е вид инструмент, който има силата да действа независимо или да бъде заедно с всеки вариант на зловреден код, чиято основна цел е да скрие целите си от потребители и системни администратори.

Основната задача на руткита е да скрие информация, свързана с процеси, мрежови връзки, файлове, директории, привилегии, но може да добави функционалности като бекдор или бекдор, за да осигури постоянен достъп до системата или да използва кейлогърите, чийто задачата е да се пресече натискането на клавиши, което поставя дейностите на потребителя в непосредствена опасност.

Има различни видове руткит като:

Руткит в потребителското пространствоТози тип руткит се изпълнява директно в потребителското пространство на същото ниво като другите приложения и двоични файлове, неговата задача е да замени легитимните системни изпълними файлове с други, които са били модифицирани, така че предоставената от тях информация да се манипулира за отрицателни цели. Сред основните двоични файлове, атакувани от руткит, имаме ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at и още.

Руткит в пространството на ядротоТова е едно от най -опасните, тъй като в този случай можете да получите достъп до системата и да получите привилегии на суперпотребител, за да инсталирате руткит в режим на ядрото и по този начин да постигнете пълен контрол върху системата, като по този начин, след като се интегрирате в системата, тяхното откриване ще бъде много по -сложно, тъй като те преминават към по -високо ниво на привилегии с разрешения за промяна и модифицират не само двоичните файлове, но и функциите и извикванията на операционната система.

ОбувкиТе имат възможност да добавят функции за зареждане към руткитове и от този мод засягат системния фърмуер и секторите за зареждане на диска.

Какво е зловреден софтуерЗловреден софтуер (Malicious software), е основно програма, която има функцията да повреди система или да причини неизправност както в системата, така и в инсталираните там приложения, в тази група откриваме вируси, троянски коне (троянски коне), червеи (червей), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues и много други.

Зловредният софтуер има различни пътища за достъп, където може да бъде вмъкнат в системата, като например:

  • Социална медия
  • Измамни уебсайтове
  • Заразени USB устройства / CD / DVD дискове
  • Прикачени файлове в непоискани имейли (спам)

Сега ще видим най -добрите инструменти за откриване на тези заплахи и ще продължим с тяхното коригиране.

Линис

Lynis е инструмент за защита, предназначен за системи, работещи с Linux, macOS или Unix-базирана операционна система.
Неговата роля е да извърши обширно сканиране на здравето на системата, за да подпомогне втвърдяването на системата и да проведе необходимите тестове за съответствие, за да изключи заплахите. Lynis е лицензиран с GPL софтуер с отворен код и е достъпен от 2007 г.

Основни действияОсновните му действия са насочени към:

  • Одити на сигурността
  • Тестване за съответствие като PCI, HIPAA, SOx
  • Тест за проникване, за да се види вътрешната сигурност
  • Откриване на уязвимости
  • Втвърдяване на системата
Lynis може да се използва в системи AIX, FreeBSD, HP-UX, Linux, macOS, NetBSD, NixOS, OpenBSD и Solaris.

За да го инсталирате, първо ще изтеглим файла от официалния сайт:

 cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz

Увеличете

Извличаме съдържанието:

 tar xvzf lynis-2.6.6.tar.gz

Увеличете

Накрая преместваме приложението в правилната директория:

 mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynis
Сканирането на Lynis се основава на възможност, тоест ще използва само това, което е налично, като налични инструменти или библиотеки, като по този начин, използвайки този метод на сканиране, инструментът може да работи почти без зависимости.

Какво обхващаАспектите, които Lynis обхваща, са:

  • Инициализация и основни контроли
  • Определете операционната система и придружаващите я инструменти
  • Потърсете налични системни помощни програми
  • Проверете актуализацията на Lynis
  • Стартирайте активирани приставки
  • Изпълнете тестове за сигурност, базирани на категории
  • Изпълнете персонализирани тестове
  • Докладвайте за състоянието на сканиране за сигурност

За да извършим пълен анализ на системата, изпълняваме:

 система за одит на lynis

Увеличете

Там целият процес на анализ ще започне и накрая ще видим всички резултати в категории:

Увеличете

Възможно е да се позволи работата на Lynis да бъде автоматична в определен период от време, за това трябва да добавим следния cron запис, който в този случай ще се изпълни в 11 през нощта и ще изпраща отчети на въведения имейл адрес :

 0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | поща -s "Lynis Report" [email protected]

Rkhunter

RKH (RootKit Hunter) е безплатен, с отворен код и лесен за използване инструмент, благодарение на който ще бъде възможно да се сканират задни врати, руткитове и локални експлойти на POSIX-съвместими системи, като Linux. Неговата задача е да открива руткитове, тъй като създаден е като инструмент за наблюдение и анализ на сигурността, който инспектира системата в детайли, за да открие скрити дупки в сигурността.

Инструментът rkhunter може да бъде инсталиран с помощта на следната команда на системи, базирани на Ubuntu и CentOS:

 sudo apt инсталирайте rkhunter (Ubuntu) yum инсталирайте epel-release (CentOS) yum инсталирайте rkhunter (CentOS)

Увеличете

Въвеждаме буквата S, за да потвърдим изтеглянето и инсталирането на помощната програма. След като бъде инсталиран, можем да наблюдаваме системата, като изпълним следното:

 sudo rkhunter -c

Увеличете

Там процесът на анализ на системата в търсене на опасни ситуации ще продължи:

Увеличете

Там той ще анализира всички съществуващи опции за руткит и ще изпълни допълнителни действия за анализ в мрежата и други елементи.

Chkrootkit

Chkrootkit е друг от инструментите, които са разработени за локална проверка дали има руткитове, тази помощна програма включва:

chkrootkitТова е скрипт на обвивка, който проверява системните двоични файлове за модификация на руткит.
ifpromisc.cПроверете дали интерфейсът е в безразборен режим
chklastlog.cПроверете изтриванията от последния дневник
chkwtmp.cПроверете изтриванията на wtmp
check_wtmpx.cПроверете изтриванията на wtmpx
chkproc.cПотърсете знаци за LKM троянски коне
chkdirs.cПотърсете знаци за LKM троянски коне
strings.cБърза и мръсна смяна на веригата
chkutmp.cПроверете изтриванията на utmp

Chkrootkit може да бъде инсталиран, като стартирате:

 sudo apt инсталирате chkrootkit

Увеличете

В случай на CentOS трябва да изпълним:

 yum update yum install wget gcc -c ++ glibc -static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit има смисъл
За да стартираме този инструмент, можем да използваме някоя от следните опции:
 sudo chkrootkit / usr / local / chkrootkit / chkrootkit

Увеличете

ClamAV

Друго от добре познатите решения за анализ на уязвимости в Linux е ClamAV, който е разработен като антивирусен механизъм с отворен код (GPL), който може да се изпълнява за различни действия, включително сканиране на имейли, сканиране в мрежата и уеб сигурност. Крайна точка.

ClamAV ни предлага поредица от помощни програми, включително гъвкав и мащабируем многонишков демон, скенер за командния ред и усъвършенстван инструмент за автоматично актуализиране на база данни.

ХарактеристикаСред най -забележителните му характеристики откриваме:

  • Скенер за командния ред
  • Интерфейс Milter за sendmail
  • Разширено актуализиране на база данни с поддръжка за скриптова актуализация и цифрови подписи
  • Интегрирана поддръжка за архивни формати като Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS и други
  • Постоянно актуализирана база данни с вируси
  • Интегрирана поддръжка за всички стандартни пощенски файлови формати
  • Интегрирана поддръжка за изпълними файлове на ELF и преносими изпълними файлове, опаковани с UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack и объркани с SUE, Y0da Cryptor и други
  • Вградена поддръжка за MS Office и MacOffice, HTML, Flash, RTF и PDF формати на документи.

За да инсталираме ClamAV, ще изпълним следната команда:

 sudo apt install clamav

Увеличете

Въвеждаме буквата S, за да потвърдим изтеглянето и инсталирането на ClamAV.

В случая на CentOS можем да изпълним следното:

 yum -y актуализация yum -y инсталиране на clamav
За изпълнението на ClamAV ще изпълним следното:
 sudo clamscan -r -i "Директория"

Увеличете

LMD - Откриване на зловреден софтуер на Linux

Linux Malware Detect (LMD) е разработен като скенер за злонамерен софтуер за Linux под лиценза GNU GPLv2, чиято основна функция е да използва данни за заплахи от системи за откриване на проникване, за да извлича зловреден софтуер, който се използва активно при атаки и може да генерира подписи за откриване на тези заплахи .

Подписите, които LMD използва, са MD5 файлови хешове и съвпадения на HEX модел, които също могат лесно да бъдат експортирани в различни инструменти за откриване, като ClamAV.

ХарактеристикаСред неговите характеристики откриваме:

  • Вградено откриване на ClamAV, което да се използва като двигател за скенер за най-добри резултати
  • Откриване на хеш на MD5 файл за бързо идентифициране на заплаха
  • Компонент на статистически анализ за откриване на заплахи
  • Вградена функция за актуализиране на версията с -d
  • Интегрирана функция за актуализиране на подписи с -u
  • Ежедневен cron скрипт, съвместим със системи за стил RH, Cpanel и Ensim
  • Ядрото inotify монитор, който може да вземе данни за пътя от STDIN или FILE
  • Ежедневно базирано на cron сканиране на всички промени през последните 24 часа в регистрационните файлове на потребителите
  • Възможност за възстановяване на карантина за възстановяване на файловете до първоначалния път, включително собственика
  • Опции за игнориране на правила въз основа на маршрути, разширения и подписи

За да инсталираме LMD в Linux, ще изпълним следното:

 cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh

Увеличете

Сега можем да изпълним желаната директория, в този случай tmp така:

 малдет -a / tmp

Увеличете

С някой от тези инструменти ще бъде възможно да се запази целостта на нашата система, като се избягва наличието на зловреден софтуер или руткитове.

wave wave wave wave wave