Cele mai bune instrumente pentru auditarea și scanarea securității serverului Linux

Deși se spune mult că sistemele de operare Linux nu sunt vulnerabile la atacurile de viruși, în zilele noastre cu amenințările tot mai mari care apar și diferitele tehnici utilizate fără îndoială că niciun sistem nu este 100% protejat și, prin urmare, trebuie să luăm măsurile de securitate respective pentru a preveni atacurile și furtul de informații sensibile. Având în vedere acest lucru, avem două amenințări esențiale, cum ar fi malware-ul și rootkit-ul, malware-ul și rootkiturile, în special, acestea pot funcționa într-un mod integrat și complet în Linux, așa cum fac și în alte sisteme de operare „nesigure”.

Solvetic va analiza unele dintre cele mai bune instrumente pentru a scana sistemul Linux pentru malware sau rootkit-uri care ar putea compromite funcționarea sa normală.

Ce este un rootkitUn rootkit este un fel de instrument care are puterea de a acționa independent sau de a fi împreună cu orice variantă de cod rău intenționat al cărui obiectiv principal este să-și ascundă scopurile utilizatorilor și administratorilor de sistem.

Sarcina fundamentală a unui rootkit este de a ascunde informațiile asociate proceselor, conexiunilor de rețea, fișierelor, directoarelor, privilegiilor, dar poate adăuga funcționalități precum backdoor sau backdoor pentru a oferi acces permanent la sistem sau pentru a utiliza keylogger-urile ale căror sarcina este de a intercepta apăsările de taste care pun activitățile utilizatorului în pericol iminent.

Există diferite tipuri de rootkit, cum ar fi:

Rootkit în spațiul utilizatoruluiAcest tip de rootkit rulează direct în spațiul utilizatorului la același nivel cu alte aplicații și fișiere binare, sarcina sa este de a înlocui executabilele de sistem legitime cu altele care au fost modificate, astfel încât informațiile pe care le furnizează să fie manipulate în scopuri negative. Printre principalele binare care sunt atacate de rootkit avem ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at și altele.

Rootkit în spațiul kernelEste unul dintre cele mai periculoase, deoarece în acest caz puteți accesa sistemul și obține privilegii de superutilizator pentru a instala un rootkit în modul kernel și, în acest fel, pentru a obține controlul total al sistemului, astfel, odată integrat în sistem, detectarea lor va fi mult mai complexă, deoarece se deplasează la un nivel de privilegiu mai mare, cu permisiuni care urmează să fie modificate și să modifice nu numai binarele, ci și funcțiile și apelurile sistemului de operare.

Truse de încărcareAcestea au capacitatea de a adăuga funcționalități de boot la rootkit-uri și din acest mod afectează firmware-ul sistemului și sectoarele de boot ale discului.

Ce este malware-ulMalware (software rău intenționat), este practic un program care are funcția de a deteriora un sistem sau de a provoca o defecțiune atât în ​​sistem, cât și în aplicațiile instalate acolo, în cadrul acestui grup găsim viruși, troieni (troieni), viermi (viermi), keyloggers, Botnets, Ransomwares, Spyware, Adware, Rogues și multe altele.

Programele malware au căi de acces diferite în care pot fi inserate în sistem, cum ar fi:

• Rețele sociale

• Site-uri web frauduloase

• Dispozitive USB / CD-uri / DVD-uri infectate

• Atașamente în e-mailuri nesolicitate (spam)

Acum vom vedea cele mai bune instrumente pentru a detecta aceste amenințări și a continua cu corectarea lor.

Lynis

Lynis este un instrument de securitate conceput pentru sistemele care rulează Linux, macOS sau un sistem de operare bazat pe Unix.
Rolul său este de a efectua o scanare extinsă a stării de sănătate a sistemului pentru a sprijini întărirea sistemului și a rula testele de conformitate necesare pentru a exclude amenințările. Lynis este software open source licențiat GPL și este disponibil din 2007.

Acțiuni principaleAcțiunile sale principale sunt axate pe:

• Audituri de securitate

• Testarea conformității precum PCI, HIPAA, SOx

• Testarea penetrării pentru a vedea securitatea internă

• Detectarea vulnerabilității

• Întărirea sistemului

Lynis poate fi utilizat pe sistemele AIX, FreeBSD, HP-UX, Linux, macOS, NetBSD, NixOS, OpenBSD și Solaris.

Pentru instalarea sa, în primul rând, vom descărca fișierul de pe site-ul oficial:

 cd / opt / wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz

MARI

Extragem conținutul:

 tar xvzf lynis-2.6.6.tar.gz

MARI

În cele din urmă mutăm aplicația în directorul corect:

 mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynis

Scanarea Lynis se bazează pe oportunitate, adică va folosi doar ceea ce este disponibil, cum ar fi instrumentele disponibile sau bibliotecile, astfel, prin utilizarea acestei metode de scanare, instrumentul poate rula aproape fără dependențe.

Ce acoperăAspectele acoperite de Lynis sunt:

• Inițializare și controale de bază

• Determinați sistemul de operare și instrumentele însoțitoare

• Căutați utilitarele de sistem disponibile

• Verificați actualizarea Lynis

• Rulați pluginuri activate

• Rulați teste de securitate pe categorii

• Rulați teste personalizate

• Raportați starea scanării de securitate

Pentru a rula o analiză completă a sistemului, executăm:

 sistemul de audit lynis

MARI

Acolo va începe întregul proces de analiză și în cele din urmă vom vedea toate rezultatele în categorii:

MARI

Este posibil să se permită funcționarea automată a Lynis într-un interval de timp definit, pentru aceasta trebuie să adăugăm următoarea intrare cron, care va fi executată, în acest caz, la 11 noaptea și va trimite rapoarte la adresa de e-mail introdusă :

 0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | mail -s „Raport Lynis” [email protected]

Rkhunter

RKH (RootKit Hunter), este un instrument gratuit, open source și simplu de utilizat datorită căruia va fi posibilă scanarea ușilor din spate, a rootkiturilor și a exploatărilor locale pe sisteme compatibile POSIX, cum ar fi Linux. Sarcina sa este de a detecta rootkiturile, deoarece a fost creat ca un instrument de monitorizare și analiză a securității care inspectează sistemul în detaliu pentru a detecta găurile de securitate ascunse.

Instrumentul rkhunter poate fi instalat folosind următoarea comandă pe sistemele bazate pe Ubuntu și CentOS:

 sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS)

MARI

Introducem litera S pentru a confirma descărcarea și instalarea utilitarului. Odată instalat, putem monitoriza sistemul executând următoarele:

 sudo rkhunter -c

MARI

Acolo va continua procesul de analiză a sistemului în căutarea unor situații periculoase:

MARI

Acolo va analiza toate opțiunile rootkit existente și va rula acțiuni de analiză suplimentare în rețea și alte elemente.

Chkrootkit

Chkrootkit este un alt instrument care a fost dezvoltat pentru a verifica local dacă există rootkit-uri, acest utilitar include:

chkrootkitEste un script shell care verifică modificările rootkit ale sistemelor binare ale sistemului.
ifpromisc.cVerificați dacă interfața este în modul promiscuu
chklastlog.cVerificați ștergerile ultimului jurnal
chkwtmp.cVerificați ștergerile wtmp
check_wtmpx.cVerificați ștergerile wtmpx
chkproc.cCăutați semne ale troienilor LKM
chkdirs.cCăutați semne ale troienilor LKM
corzi.cÎnlocuirea rapidă și murdară a lanțului
chkutmp.cVerificați ștergerile utmp

Chkrootkit poate fi instalat rulând:

 sudo apt instalează chkrootkit

MARI

În cazul CentOS trebuie să executăm:

 actualizare yum instalare wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar -xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit are sens

Pentru a rula acest instrument putem folosi oricare dintre următoarele opțiuni:

 sudo chkrootkit / usr / local / chkrootkit / chkrootkit

MARI

ClamAV

O altă soluție bine cunoscută pentru analiza vulnerabilităților în Linux este ClamAV, care a fost dezvoltat ca un motor antivirus open source (GPL) care poate fi executat pentru diverse acțiuni, inclusiv scanarea e-mailurilor, scanarea web și securitatea web.

ClamAV ne oferă o serie de utilități, inclusiv un demon multithread flexibil și scalabil, un scaner de linie de comandă și un instrument avansat pentru actualizări automate ale bazei de date.

CaracteristiciPrintre cele mai remarcabile caracteristici ale sale se regăsesc:

• Scanner de linie de comandă

• Interfață Milter pentru sendmail

• Actualizator avansat de baze de date cu suport pentru actualizări script și semnături digitale

• Suport integrat pentru formate de arhivă precum Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS și altele

• Baza de date de virus actualizată constant

• Suport integrat pentru toate formatele de fișiere de poștă electronică standard

• Suport integrat pentru executabile ELF și fișiere executabile portabile ambalate cu UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack și ofuscate cu SUE, Y0da Cryptor și altele

• Suport încorporat pentru formatele de documente MS Office și MacOffice, HTML, Flash, RTF și PDF.

Pentru a instala ClamAV vom executa următoarea comandă:

 sudo apt install clamav

MARI

Introducem litera S pentru a confirma descărcarea și instalarea ClamAV.

În cazul CentOS, putem executa următoarele:

 yum -y update yum -y install clamav

Pentru executarea ClamAV vom executa următoarele:

 sudo clamscan -r -i "Director"

MARI

LMD - Linux Malware Detect

Linux Malware Detect (LMD) a fost dezvoltat ca un scaner malware pentru Linux sub licența GNU GPLv2, a cărei funcție principală este de a utiliza datele despre amenințări din sistemele de detectare a intruziunilor pentru a extrage malware care este utilizat în mod activ în atacuri și care poate genera semnături pentru a detecta aceste amenințări. .

Semnăturile pe care le folosește LMD sunt hash-uri de fișiere MD5 și potriviri de tipare HEX, care pot fi, de asemenea, exportate cu ușurință în diferite instrumente de detectare, cum ar fi ClamAV.

CaracteristiciPrintre caracteristicile sale găsim:

• Detecție ClamAV încorporată pentru a fi utilizată ca motor de scanare pentru cele mai bune rezultate

• Detectare hash fișier MD5 pentru identificarea rapidă a amenințărilor

• Componentă de analiză statistică pentru detectarea amenințărilor

• Funcție de actualizare a versiunii încorporată cu -d

• Funcție de actualizare a semnăturii integrată cu -u

• Script cron zilnic compatibil cu sistemele stil RH, Cpanel & Ensim

• Kernel inotifică monitorul care poate prelua datele de cale de la STDIN sau FILE

• Scanare zilnică bazată pe cron a tuturor modificărilor din ultimele 24 de ore în jurnalele utilizatorilor

• Opțiunea de restaurare în carantină pentru a restabili fișierele pe calea originală, inclusiv proprietarul

• Opțiuni pentru ignorarea regulilor bazate pe rute, extensii și semnături

Pentru a instala LMD în Linux vom executa următoarele:

 cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh

MARI

Acum, putem executa directorul dorit, în acest caz tmp astfel:

 maldet -a / tmp

MARI

Cu oricare dintre aceste instrumente va fi posibil să păstrăm integritatea sistemului nostru, evitând prezența malware-ului sau a rootkiturilor.