Lai gan daudz tiek teikts, ka Linux operētājsistēmas nav neaizsargātas pret vīrusu uzbrukumiem, mūsdienās, pieaugot draudiem un dažādām izmantotajām metodēm, bez šaubām, neviena sistēma nav 100% aizsargāta, un tāpēc mums ir jāveic attiecīgi drošības pasākumi, lai novērstu uzbrukumus un slepenas informācijas zādzību. Ņemot to vērā, mums ir divi kritiski draudi, piemēram, ļaunprātīga programmatūra un rootkit, jo īpaši ļaunprātīga programmatūra un rootkit, tie var darboties integrētā un pilnīgā veidā Linux, tāpat kā citās nedrošās operētājsistēmās.
Solvetic pārskatīs dažus no labākajiem rīkiem, lai skenētu Linux sistēmu, vai tajā nav ļaunprātīgas programmatūras vai rootkit, kas varētu apdraudēt tās parasto darbību.
Kas ir rootkitSakņu komplekts ir sava veida rīks, kas spēj darboties neatkarīgi vai būt kopā ar jebkuru ļaunprātīga koda variantu, kura galvenais mērķis ir slēpt tā mērķus no lietotājiem un sistēmas administratoriem.
Sakņu komplekta pamatuzdevums ir slēpt informāciju, kas saistīta ar procesiem, tīkla savienojumiem, failiem, direktorijiem, privilēģijām, taču tā var pievienot tādas funkcijas kā aizmugurējās durvis vai aizmugurējās durvis, lai nodrošinātu pastāvīgu piekļuvi sistēmai vai izmantotu taustiņsitējus, kuru uzdevums ir pārtvert taustiņsitienus, kas apdraud lietotāju darbības.
Ir dažādi rootkit veidi, piemēram:
Sakņu komplekts lietotāja telpāŠāda veida rootkit darbojas tieši lietotāja telpā tādā pašā līmenī kā citas lietojumprogrammas un binārie faili, tā uzdevums ir aizstāt likumīgās sistēmas izpildāmās programmas ar citiem, kas ir pārveidoti, lai to sniegtā informācija tiktu manipulēta negatīvos nolūkos. Starp galvenajiem binārajiem failiem, kuriem uzbrūk rootkit, ir ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at un vēl.
Sakņu komplekts kodola telpāTas ir viens no visbīstamākajiem, jo šajā gadījumā jūs varat piekļūt sistēmai un iegūt virslietotāja privilēģijas, lai instalētu rootkit kodola režīmā un tādā veidā panāktu pilnīgu sistēmas kontroli, tādējādi, tiklīdz tā ir integrēta sistēmā, to atklāšana būs daudz sarežģītāka, jo tie pāriet uz augstāku privilēģiju līmeni ar izmaiņām atļaujās un maina ne tikai bināros failus, bet arī operētājsistēmas funkcijas un izsaukumus.
ZābakiTiem ir iespēja pievienot sāknēšanas funkcijas rootkitiem, un no šī modeļa tas ietekmē sistēmas programmaparatūras un diska sāknēšanas sektorus.
Kas ir ļaunprātīga programmatūraĻaunprātīga programmatūra (ļaunprātīga programmatūra) būtībā ir programma, kuras funkcija ir sabojāt sistēmu vai izraisīt darbības traucējumus gan sistēmā, gan tur instalētajās lietojumprogrammās, šajā grupā mēs atrodam vīrusus, Trojas zirgus (Trojas zirgus), tārpus (tārpus), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues un daudzi citi.
Ļaunprātīgai programmatūrai ir dažādi piekļuves ceļi, kur to var ievietot sistēmā, piemēram:
- Sociālie mēdiji
- Krāpnieciskas vietnes
- Inficētas USB ierīces / CD / DVD
- Pielikumi nevēlamos e -pasta ziņojumos (surogātpasts)
Tagad mēs redzēsim labākos rīkus šo draudu noteikšanai un to labošanai.
Lynis
Lynis ir drošības rīks, kas paredzēts sistēmām, kurās darbojas Linux, macOS vai uz Unix balstīta operētājsistēma.
Tās uzdevums ir veikt plašu sistēmas stāvokļa skenēšanu, lai atbalstītu sistēmas sacietēšanu un veiktu nepieciešamos atbilstības testus, lai izslēgtu draudus. Lynis ir GPL licencēta atvērtā pirmkoda programmatūra, un tā ir pieejama kopš 2007.
Galvenās darbībasTās galvenās darbības ir vērstas uz:
- Drošības revīzijas
- Atbilstības pārbaude, piemēram, PCI, HIPAA, SOx
- Iekļūšanas pārbaude, lai redzētu iekšējo drošību
- Neaizsargātības noteikšana
- Sistēmas sacietēšana
Lai to instalētu, vispirms lejupielādēsim failu no oficiālās vietnes:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
PALIELINĀT
Mēs iegūstam saturu:
tar xvzf lynis-2.6.6.tar.gz
PALIELINĀT
Visbeidzot, mēs pārvietojam lietojumprogrammu uz pareizo direktoriju:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynisLynis skenēšana ir balstīta uz iespēju, tas ir, tā izmantos tikai to, kas ir pieejams, piemēram, pieejamos rīkus vai bibliotēkas, tādējādi, izmantojot šo skenēšanas metodi, rīks var darboties gandrīz bez atkarībām.
Ko tas aptverLynis aptver šādus aspektus:
- Inicializācija un pamata vadība
- Nosakiet operētājsistēmu un pievienotos rīkus
- Meklējiet pieejamās sistēmas utilītas
- Pārbaudiet Lynis atjauninājumu
- Palaidiet iespējotos spraudņus
- Izpildiet uz kategoriju balstītus drošības testus
- Izpildiet pielāgotus testus
- Ziņot par drošības skenēšanas statusu
Lai veiktu pilnīgu mūsu veiktās sistēmas analīzi:
lynis audita sistēma
PALIELINĀT
Tur viss analīzes process sāksies, un beidzot mēs redzēsim visus rezultātus kategorijās:
PALIELINĀT
Ir iespējams iespējot automātisku Lynis darbību noteiktā laika diapazonā, tāpēc mums jāpievieno šāds cron ieraksts, kas tiks izpildīts šajā gadījumā pulksten 11 naktī un nosūtīs ziņojumus uz ievadīto e -pasta adresi :
0 23 * * * / usr / local / bin / lynis -ātri 2> un 1 | pasts -s "Lynis Report" [email protected]
Rkhunter
RKH (RootKit Hunter) ir bezmaksas, atvērtā pirmkoda un vienkārši lietojams rīks, ar kura palīdzību būs iespējams skenēt aizmugurējās durvis, rootkitus un vietējās izmantošanas iespējas ar POSIX saderīgām sistēmām, piemēram, Linux. Tās uzdevums ir atklāt rootkit, jo tas tika izveidots kā drošības uzraudzības un analīzes rīks, kas detalizēti pārbauda sistēmu, lai atklātu slēptos drošības caurumus.
Rkhunter rīku var instalēt, izmantojot šādu komandu uz Ubuntu un CentOS balstītām sistēmām:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
PALIELINĀT
Mēs ievadām burtu S, lai apstiprinātu utilītas lejupielādi un instalēšanu. Pēc instalēšanas mēs varam uzraudzīt sistēmu, veicot šādas darbības:
sudo rkhunter -c
PALIELINĀT
Tur turpinās sistēmas analīzes process, meklējot bīstamas situācijas:
PALIELINĀT
Tur tā analizēs visas esošās rootkit iespējas un veiks papildu analīzes darbības tīklā un citos vienumos.
Chkrootkit
Chkrootkit ir vēl viens rīks, kas izstrādāts, lai lokāli pārbaudītu, vai ir rootkit, šajā utilītā ietilpst:
chkrootkitTas ir čaulas skripts, kas pārbauda sistēmas bināro failu sakņu komplekta modifikācijas.
ifpromisc.cPārbaudiet, vai saskarne ir nejaušā režīmā
chklastlog.cPārbaudiet pēdējo ierakstu dzēšanu
chkwtmp.cPārbaudiet wtmp dzēšanu
check_wtmpx.cPārbaudiet wtmpx dzēšanu
chkproc.cMeklējiet LKM Trojas zirgu pazīmes
chkdirs.cMeklējiet LKM Trojas zirgu pazīmes
stīgas.cĀtra un netīra ķēdes nomaiņa
chkutmp.cPārbaudiet utmp dzēšanu
Chkrootkit var instalēt, palaižot:
sudo apt instalēt chkrootkit
PALIELINĀT
CentOS gadījumā mums jāizpilda:
yum atjauninājums yum instalēt wget gcc -c ++ glibc -static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit ir jēgaLai palaistu šo rīku, mēs varam izmantot kādu no šīm iespējām:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
PALIELINĀT
ClamAV
Vēl viens no labi zināmajiem Linux ievainojamības analīzes risinājumiem ir ClamAV, kas ir izstrādāts kā atvērtā pirmkoda pretvīrusu dzinējs (GPL), ko var izpildīt dažādām darbībām, tostarp e-pasta skenēšanai, tīmekļa skenēšanai un tīmekļa drošībai.
ClamAV piedāvā mums virkni utilītu, tostarp elastīgu un pielāgojamu daudzpavedienu dēmonu, komandrindas skeneri un modernu rīku automātiskai datu bāzes atjaunināšanai.
IespējasStarp tās izcilākajām iezīmēm mēs atrodam:
- Komandrindas skeneris
- Miltera interfeiss sendmail
- Uzlabots datu bāzes atjauninātājs ar atbalstu skriptētiem atjauninājumiem un digitālajiem parakstiem
- Integrēts atbalsts arhīvu formātiem, piemēram, Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS un citiem
- Pastāvīgi atjaunināta vīrusu datu bāze
- Integrēts atbalsts visiem standarta pasta failu formātiem
- Integrēts atbalsts ELF izpildāmām programmām un pārnēsājamiem izpildāmiem failiem, kas ir iepakoti ar UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack un ir samulsināti ar SUE, Y0da Cryptor un citiem
- Iebūvēts MS Office un MacOffice, HTML, Flash, RTF un PDF dokumentu formātu atbalsts.
Lai instalētu ClamAV, mēs izpildīsim šādu komandu:
sudo apt instalēt clamav
PALIELINĀT
Mēs ievadām burtu S, lai apstiprinātu ClamAV lejupielādi un instalēšanu.
CentOS gadījumā mēs varam izpildīt šādas darbības:
yum -y atjauninājums yum -y instalēt clamavClamAV izpildei mēs veiksim sekojošo:
sudo clamscan -r -i "Katalogs"
PALIELINĀT
LMD - Linux ļaunprātīgas programmatūras noteikšana
Linux ļaunprātīgas programmatūras noteikšana (LMD) ir izstrādāta kā ļaunprātīgas programmatūras skeneris operētājsistēmai Linux saskaņā ar GNU GPLv2 licenci, kuras galvenā funkcija ir izmantot apdraudējuma datus no ielaušanās atklāšanas sistēmām, lai iegūtu ļaunprātīgu programmatūru, kas tiek aktīvi izmantota uzbrukumos, un var ģenerēt parakstus šo draudu noteikšanai .
Paraksti, ko izmanto LMD, ir MD5 failu jaukšanas un HEX raksta atbilstības, kuras var arī viegli eksportēt uz dažādiem noteikšanas rīkiem, piemēram, ClamAV.
IespējasStarp tā īpašībām mēs atrodam:
- Iebūvēta ClamAV noteikšana, kas tiks izmantota kā skenera dzinējs, lai iegūtu vislabākos rezultātus
- MD5 failu jaukšanas noteikšana ātrai draudu identificēšanai
- Statistiskās analīzes komponents draudu noteikšanai
- Iebūvēta versijas atjaunināšanas funkcija ar -d
- Integrēta paraksta atjaunināšanas funkcija ar -u
- Dienas cron skripts ir saderīgs ar RH, Cpanel un Ensim stila sistēmām
- Kodola inotify monitors, kas var iegūt ceļa datus no STDIN vai FILE
- Ikdienas kronu skenēšana par visām izmaiņām lietotāju žurnālos pēdējo 24 stundu laikā
- Karantīnas atjaunošanas iespēja, lai atjaunotu failus sākotnējā ceļā, ieskaitot īpašnieku
- Iespējas ignorēt noteikumus, pamatojoties uz maršrutiem, paplašinājumiem un parakstiem
Lai instalētu LMD Linux, mēs veiksim sekojošo:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
PALIELINĀT
Tagad mēs varam izpildīt vēlamo direktoriju, šajā gadījumā tmp šādi:
maldet -a / tmp
PALIELINĀT
Izmantojot jebkuru no šiem rīkiem, būs iespējams saglabāt mūsu sistēmas integritāti, izvairoties no ļaunprātīgas programmatūras vai sakņu komplektu klātbūtnes.