Nors daug kalbama, kad „Linux“ operacinės sistemos nėra pažeidžiamos virusų atakų, tačiau šiandien, kai kyla vis daugiau grėsmių ir naudojami įvairūs metodai, be jokios abejonės, nė viena sistema nėra 100% apsaugota, todėl privalome imtis atitinkamų saugumo priemonių, kad išvengtume atakų ir slaptos informacijos vagystę. Atsižvelgiant į tai, mes turime dvi grėsmes, kurios yra labai svarbios, pavyzdžiui, kenkėjiška programa ir „rootkit“, ypač kenkėjiška programa ir „rootkit“, jos gali integruotai ir visiškai veikti „Linux“, kaip ir kitose „nesaugiose“ operacinėse sistemose.
„Solvetic“ apžvelgs kai kuriuos geriausius įrankius, skirtus nuskaityti „Linux“ sistemą, ar nėra kenkėjiškų programų ar „rootkit“, galinčių pakenkti normaliam jos veikimui.
Kas yra rootkit„Rootkit“ yra tam tikras įrankis, galintis veikti savarankiškai arba būti kartu su bet kokiu kenkėjiško kodo variantu, kurio pagrindinis tikslas yra slėpti jo tikslus nuo vartotojų ir sistemos administratorių.
Pagrindinė „rootkit“ užduotis yra slėpti informaciją, susijusią su procesais, tinklo ryšiais, failais, katalogais, privilegijomis, tačiau ji gali pridėti funkcijų, tokių kaip „backdoor“ arba „backdoor“, kad būtų suteikta nuolatinė prieiga prie sistemos arba būtų galima naudotis klavišų saugikliais, kurių užduotis yra perimti klavišų paspaudimus, kurie kelia pavojų vartotojo veiklai.
Yra įvairių tipų „rootkit“, pavyzdžiui:
„Rootkit“ vartotojo erdvėjeŠio tipo „rootkit“ veikia tiesiogiai vartotojo erdvėje tame pačiame lygyje kaip ir kitos programos ir dvejetainiai failai, jo užduotis yra pakeisti teisėtas sistemos vykdomąsias programas kitomis, kurios buvo pakeistos, kad jų pateikta informacija būtų manipuliuojama neigiamais tikslais. Tarp pagrindinių dvejetainių failų, kuriuos puola rootkit, turime ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at ir dar.
Šaknų rinkinys branduolio erdvėjeTai yra viena iš pavojingiausių, nes tokiu atveju jūs galite pasiekti sistemą ir gauti super vartotojo teises, kad įdiegtumėte rootkit branduolio režimu ir tokiu būdu pasiektumėte visišką sistemos valdymą, taigi, kai tik integruosite į sistemą, jų aptikimas bus daug sudėtingesnis, nes jie pereis į aukštesnį privilegijų lygį su leidimais keisti ir modifikuoti ne tik dvejetainius failus, bet ir operacinės sistemos funkcijas bei iškvietimus.
BootkitsJie gali pridėti įkrovos funkcijas prie „rootkits“ ir nuo šio modo veikia sistemos programinės įrangos ir disko įkrovos sektorius.
Kas yra kenkėjiška programaKenkėjiška programa (kenkėjiška programinė įranga) iš esmės yra programa, kurios funkcija yra sugadinti sistemą arba sukelti gedimą tiek sistemoje, tiek ten įdiegtose programose, šioje grupėje randame virusų, Trojos arklių (Trojos arklių), kirminų (kirminų), Keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues ir daug daugiau.
Kenkėjiška programa turi skirtingus prieigos kelius, kur ją galima įterpti į sistemą, pavyzdžiui:
- Socialinė žiniasklaida
- Apgaulingos svetainės
- Užkrėsti USB įrenginiai / CD / DVD diskai
- Priedai nepageidaujamuose el. Laiškuose (šlamštas)
Dabar pamatysime geriausias priemones šioms grėsmėms aptikti ir jas ištaisyti.
Lynis
„Lynis“ yra saugos įrankis, skirtas sistemoms, kuriose veikia „Linux“, „MacOS“ arba „Unix“ operacinė sistema.
Jos vaidmuo yra atlikti išsamų sistemos būklės nuskaitymą, siekiant palaikyti sistemos sukietėjimą ir atlikti būtinus atitikties testus, kad būtų išvengta grėsmių. „Lynis“ yra GPL licencijuota atvirojo kodo programinė įranga ir prieinama nuo 2007 m.
Pagrindiniai veiksmaiPagrindiniai jo veiksmai yra skirti:
- Saugumo auditas
- Atitikties bandymai, tokie kaip PCI, HIPAA, SOx
- Įsiskverbimo testas, siekiant pamatyti vidinį saugumą
- Pažeidimų aptikimas
- Sistemos grūdinimas
Norėdami jį įdiegti, pirmiausia atsisiųsime failą iš oficialios svetainės:
cd/opt/wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
DIDELIS
Mes ištraukiame turinį:
tar xvzf lynis-2.6.6.tar.gz
DIDELIS
Galiausiai perkeliame programą į teisingą katalogą:
mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynis„Lynis“ nuskaitymas grindžiamas galimybe, tai yra, jis naudos tik tai, kas yra prieinama, pvz., Turimus įrankius ar bibliotekas, taigi, naudojant šį nuskaitymo metodą, įrankis gali veikti beveik be priklausomybių.
Ką tai apima„Lynis“ apima šiuos aspektus:
- Inicijavimas ir pagrindiniai valdikliai
- Nustatykite operacinę sistemą ir pridedamus įrankius
- Ieškokite galimų sistemos paslaugų
- Patikrinkite „Lynis“ naujinį
- Paleiskite įjungtus papildinius
- Atlikite kategorijos saugumo testus
- Vykdykite pasirinktinius testus
- Pranešti apie saugos nuskaitymo būseną
Norėdami atlikti išsamią sistemos analizę, mes atliekame:
lynis audito sistema
DIDELIS
Ten prasidės visas analizės procesas ir galiausiai pamatysime visus rezultatus kategorijomis:
DIDELIS
Galima įjungti automatinį „Lynis“ veikimą per nustatytą laiko intervalą, todėl turime pridėti šį cron įrašą, kuris bus įvykdytas šiuo atveju 11 val. Naktį ir atsiųs ataskaitas įvestu el. Pašto adresu :
0 23 * * * / usr / local / bin / lynis -greitas 2> & 1 | paštas -„Lynio ataskaita“ [email protected]
Rkhunteris
RKH („RootKit Hunter“) yra nemokamas, atviro kodo ir paprastas naudoti įrankis, kurio dėka bus galima nuskaityti užpakalines duris, šakninius rinkinius ir vietinius išnaudojimus POSIX suderinamose sistemose, pvz., „Linux“. Jos užduotis yra aptikti rootkit, nes ji buvo sukurta kaip saugumo stebėjimo ir analizės priemonė, kuri išsamiai tikrina sistemą, kad aptiktų paslėptas saugumo spragas.
„Rkhunter“ įrankį galima įdiegti naudojant šią komandą „Ubuntu“ ir „CentOS“ sistemose:
sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)
DIDELIS
Įvedame raidę S, kad patvirtintume naudingumo programos atsisiuntimą ir įdiegimą. Įdiegę galime stebėti sistemą atlikdami šiuos veiksmus:
sudo rkhunter -c
DIDELIS
Ten bus tęsiamas sistemos analizės procesas ieškant pavojingų situacijų:
DIDELIS
Ten ji išanalizuos visas esamas šakninio rinkinio parinktis ir atliks papildomus tinklo ir kitų elementų analizės veiksmus.
Chkrootkit
„Chkrootkit“ yra dar vienas įrankis, sukurtas vietiniam patikrinimui, ar yra „rootkits“, ši programa apima:
chkrootkitTai apvalkalo scenarijus, kuris tikrina sistemos dvejetainius failus, kad nebūtų pakeistas rootkit.
ifpromisc.cPatikrinkite, ar sąsaja neveikia
chklastlog.cPatikrinkite paskutinių įrašų ištrynimą
chkwtmp.cPatikrinkite wtmp ištrynimus
check_wtmpx.cPatikrinkite „wtmpx“ ištrynimus
chkproc.cIeškokite LKM Trojos arklys požymių
chkdirs.cIeškokite LKM Trojos arklys požymių
stygos.cGreitas ir nešvarus grandinės keitimas
chkutmp.cPatikrinkite utmp ištrynimus
„Chkrootkit“ galima įdiegti vykdant:
sudo apt įdiegti chkrootkit
DIDELIS
„CentOS“ atveju turime vykdyti:
yum atnaujinimas yum įdiegti wget gcc -c ++ glibc -static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir/usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit logiškaNorėdami paleisti šį įrankį, galime naudoti bet kurią iš šių parinkčių:
sudo chkrootkit / usr / local / chkrootkit / chkrootkit
DIDELIS
ClamAV
Kitas gerai žinomas „Linux“ pažeidžiamumo analizės sprendimas yra „ClamAV“, sukurtas kaip atviro kodo antivirusinis variklis (GPL), kurį galima atlikti įvairiems veiksmams, įskaitant el. Pašto nuskaitymą, žiniatinklio nuskaitymą ir žiniatinklio saugumą.
„ClamAV“ siūlo daugybę paslaugų, įskaitant lankstų ir keičiamą daugiaspalvį demoną, komandų eilutės skaitytuvą ir pažangų automatinio duomenų bazės atnaujinimo įrankį.
funkcijosTarp ryškiausių jo bruožų matome:
- Komandinės eilutės skaitytuvas
- Milter sąsaja sendmail
- Išplėstinis duomenų bazės atnaujinimas, palaikantis scenarijų atnaujinimus ir skaitmeninius parašus
- Integruotas archyvų formatų, tokių kaip „Zip“, „RAR“, „Dmg“, „Tar“, „Gzip“, „Bzip2“, „OLE2“, „kabinetas“, „CHM“, „BinHex“, SIS ir kiti, palaikymas
- Nuolat atnaujinama virusų duomenų bazė
- Integruotas visų standartinių pašto failų formatų palaikymas
- Integruotas ELF vykdomųjų failų ir nešiojamų vykdomųjų failų palaikymas, supakuotas su UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack ir užmaskuotas SUE, Y0da Cryptor ir kt.
- Integruotas MS Office ir MacOffice, HTML, Flash, RTF ir PDF dokumentų formatų palaikymas.
Norėdami įdiegti „ClamAV“, vykdysime šią komandą:
sudo apt install clamav
DIDELIS
Įvedame raidę S, kad patvirtintume „ClamAV“ atsisiuntimą ir įdiegimą.
„CentOS“ atveju galime atlikti šiuos veiksmus:
yum -y atnaujinimas yum -y įdiegti clamavVykdydami „ClamAV“, atliksime šiuos veiksmus:
sudo clamscan -r -i "katalogas"
DIDELIS
LMD - „Linux“ kenkėjiškų programų aptikimas
„Linux“ kenkėjiškų programų aptikimas (LMD) buvo sukurtas kaip kenkėjiškų programų skaitytuvas, skirtas „Linux“ pagal GNU GPLv2 licenciją, kurios pagrindinė funkcija yra naudoti grėsmės duomenis iš įsilaužimo aptikimo sistemų, kad būtų išgauta kenkėjiška programa, kuri aktyviai naudojama atakoms, ir gali sukurti parašus šioms grėsmėms aptikti .
Parašai, kuriuos naudoja LMD, yra MD5 failų maišos ir HEX modelių atitiktys, kurias taip pat galima lengvai eksportuoti į įvairius aptikimo įrankius, tokius kaip „ClamAV“.
funkcijosTarp jo savybių mes pastebime:
- Integruotas „ClamAV“ aptikimas, kuris bus naudojamas kaip skaitytuvo variklis, kad būtų pasiekti geriausi rezultatai
- MD5 failo maišos aptikimas greitam grėsmės nustatymui
- Statistinės analizės komponentas grėsmei aptikti
- Įmontuota versijos atnaujinimo funkcija su -d
- Integruota parašo atnaujinimo funkcija su -u
- Dienos „cron“ scenarijus suderinamas su RH, „Cpanel“ ir „Ensim“ stiliaus sistemomis
- Branduolio inotify monitorius, kuris gali paimti kelio duomenis iš STDIN arba FILE
- Kasdienis croninis visų naudotojų žurnalų pakeitimų per paskutines 24 valandas nuskaitymas
- Karantino atkūrimo parinktis, skirta atkurti failus į pradinį kelią, įskaitant savininką
- Galimybės nepaisyti taisyklių, pagrįstų maršrutais, plėtiniais ir parašais
Norėdami įdiegti LMD „Linux“, atliksime šiuos veiksmus:
cd/tmp/curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2/bash install.sh
DIDELIS
Dabar galime vykdyti norimą katalogą, šiuo atveju tmp:
maldet -a / tmp
DIDELIS
Naudojant bet kurį iš šių įrankių bus galima išsaugoti mūsų sistemos vientisumą, išvengiant kenkėjiškų programų ar rootkit'ų.
