Лучшие инструменты для аудита и сканирования безопасности сервера Linux

Хотя говорится, что операционные системы Linux не уязвимы для вирусных атак, сегодня с растущими угрозами, которые возникают, и с использованием различных методов, без сомнения, ни одна система не защищена на 100%, и поэтому мы должны принять соответствующие меры безопасности для предотвращения атак и кражи конфиденциальной информации. Учитывая это, у нас есть две критически важные угрозы, такие как вредоносные программы и руткиты, в частности вредоносные программы и руткиты, которые могут полностью и полностью работать в Linux, как и в других «небезопасных» операционных системах.

Solvetic проанализирует некоторые из лучших инструментов для анализа системы Linux на наличие вредоносных программ или руткитов, которые могут поставить под угрозу ее нормальную работу.

Что такое руткит?

Руткит - это своего рода инструмент, который может действовать независимо или быть рядом с любым вариантом вредоносного кода, основной целью которого является скрыть свои цели от пользователей и системных администраторов.

Основная задача руткита - скрыть информацию, связанную с процессами, сетевыми подключениями, файлами, каталогами, привилегиями, но вы можете добавить такие функции, как бэкдор или бэкдор, чтобы обеспечить постоянный доступ к системе или использовать кейлоггеры, чьи Задача состоит в том, чтобы перехватывать нажатия клавиш, что подвергает действия пользователя неминуемому риску.

Существуют различные типы руткитов, такие как:

Руткит в пространстве пользователя

Этот тип руткита запускается непосредственно в пользовательском пространстве на том же уровне, что и другие приложения и двоичные файлы, его задача - заменить легитимные системные исполняемые файлы другими, которые были изменены, так что предоставляемая ими информация манипулируется в негативных целях., Среди основных двоичных файлов, на которые атакует руткит, есть ls, df, stat, du, find, lsof, lsatrr, chatrr, sync, ip, route, neststat, lsof, nc, iptables, arp, crontab, at, crontab, at и больше

Руткит в пространстве ядра

Это один из самых опасных, потому что в этом случае вы можете получить доступ к системе и получить привилегии суперпользователя, чтобы установить руткит в режиме ядра и, таким образом, получить полный контроль над системой, поэтому один раз Интеграция в систему, его обнаружение будет гораздо более сложным, поскольку они перемещаются с более высоким уровнем привилегий с разрешениями для изменения и изменяют не только двоичные файлы, но также функции и вызовы операционной системы.

буткитов

Они имеют возможность добавлять загрузочные функции к руткитам, и этот мод влияет на прошивку систем и загрузочных секторов дисков.

Что такое вредоносное ПО?

Вредоносное ПО (Malicious software) - это программа, которая выполняет функцию повреждения системы или вызывает сбой как в системе, так и в установленных там приложениях. В этой группе мы находим Virus, Trojans (Worms)., клавиатурные шпионы, ботнеты, вымогатели, шпионское ПО, рекламное ПО, мошенники и многие другие.

Вредоносная программа имеет различные пути, куда она может быть вставлена ​​в систему, например:

• Социальные сети

• Мошеннические сайты

• USB-устройства / компакт-диски / DVD-диски заражены

• Вложения в нежелательную почту (спам)

Теперь мы увидим лучшие инструменты для обнаружения этих угроз и продолжим их исправление.

Lynis

Lynis - это инструмент безопасности, разработанный для систем, работающих под управлением Linux, macOS или Unix.
Его функция заключается в проведении обширного анализа работоспособности системы с целью поддержки ее укрепления и выполнения тестов на соответствие, необходимых для исключения угроз. Lynis - это программное обеспечение с открытым исходным кодом, имеющее лицензию GPL и доступное с 2007 года.

Основные действия

Его основные действия направлены на:

• Аудит безопасности

• Тесты на соответствие, такие как PCI, HIPAA, SOx

• Тесты на проникновение, чтобы увидеть внутреннюю безопасность

• Обнаружение уязвимостей

• Система закалки

Lynis может использоваться в системах AIX, FreeBSD, HP-UX, Linux, macOS, NetBSD, NixOS, OpenBSD и Solaris.

Для его установки сначала скачаем файл с официального сайта:

 cd / opt / wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz 

Извлекаем контент:

 tar xvzf lynis-2.6.6.tar.gz 

Наконец, мы перемещаем приложение в правильный каталог:

 mv lynis / usr / local / ln -s / usr / local / lynis / lynis / usr / local / bin / lynis 

Сканирование Lynis основано на возможности, то есть оно будет использовать только то, что доступно в качестве доступных инструментов или библиотек, поэтому, используя этот метод сканирования, инструмент может работать практически без зависимостей.

Что это покрывает

Аспекты, охватываемые Lynis:

• Инициализация и основные элементы управления

• Определите операционную систему и подключенные инструменты

• Поиск доступных системных утилит

• Проверить обновление Lynis

• Запускать надстройки включены

• Выполните тесты безопасности на основе категорий

• Выполнить пользовательское выполнение теста

• Сообщить о состоянии проверки безопасности

Чтобы запустить полное сканирование системы, мы запускаем:

 система аудита lynis 

$config[ads_text6] not found

Там вы начнете весь процесс анализа и, наконец, мы увидим все результаты в категориях:

Можно включить автоматическую работу Lynis в определенном диапазоне времени, для этого мы должны добавить следующую запись cron, которая будет выполнена, в данном случае, в 11 часов вечера и отправит отчеты на адрес электронной почты. вошли:

 0 23 * * * / usr / local / bin / lynis --quick 2> & 1 | почта "Lynis Report" 

RkHunter

RKH (RootKit Hunter) - это бесплатный и простой в использовании инструмент с открытым исходным кодом, который позволит вам сканировать бэкдоры, руткиты и локальные эксплойты в POSIX-совместимых системах, таких как Linux. Ваша задача - обнаружить руткиты Так как он был создан как инструмент мониторинга и анализа безопасности, который детально проверяет систему на наличие скрытых дыр в безопасности.

$config[ads_text5] not found

Средство rkhunter можно установить с помощью следующей команды в системах на основе Ubuntu и CentOS:

 sudo apt install rkhunter (Ubuntu) yum install epel-release (CentOS) yum install rkhunter (CentOS) 

Введите букву S, чтобы подтвердить загрузку и установку утилиты. После установки мы можем контролировать систему, выполнив следующее:

 sudo rkhunter -c 

Там процесс системного анализа будет продолжен в поисках опасных ситуаций:

$config[ads_text5] not found

Там он проанализирует все существующие параметры руткита и выполнит дополнительные действия по анализу сети и других элементов.

chkrootkit

Chkrootkit - это еще один инструмент, разработанный для локальной проверки наличия руткита. Эта утилита включает в себя:

chkrootkit

Это сценарий оболочки, который проверяет системные двоичные файлы для модификации руткитов.
ifpromisc.c

Проверьте, находится ли интерфейс в случайном режиме
chklastlog.c

Проверьте удаления последнего журнала
chkwtmp.c

Проверьте удаления wtmp
check_wtmpx.c

Проверьте удаления wtmpx
chkproc.c

$config[ads_text6] not found

Ищите признаки троянов LKM
chkdirs.c

Ищите признаки троянов LKM
strings.c

Быстрая и грязная замена цепи
chkutmp.c

Проверьте удаления utmp

Chkrootkit можно установить, запустив:

 sudo apt установить chkrootkit 

В случае CentOS мы должны выполнить:

 yum update yum install wget gcc-c ++ glibc-static wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz tar –xzf chkrootkit.tar.gz mkdir / usr / local / chkrootkit mv chkrootkit-0.52 / * / usr / local / chkrootkit cd / usr / local / chkrootkit имеет смысл 

Для запуска этого инструмента мы можем использовать одну из следующих опций:

 sudo chkrootkit / usr / local / chkrootkit / chkrootkit 

$config[ads_text5] not found

ClamAV

Еще одно из известных решений для анализа уязвимостей в Linux - это ClamAV, который был разработан как антивирусное ядро ​​с открытым исходным кодом (GPL), которое может выполняться для различных действий, включая сканирование электронной почты, сканирование в Интернете и безопасность. конечная точка

ClamAV предлагает нам ряд утилит, которые включают в себя гибкий и масштабируемый многопроцессорный демон, сканер командной строки и расширенный инструмент для автоматического обновления базы данных.

$config[ads_text6] not found

черты

Среди его наиболее выдающихся особенностей:

• Сканер командной строки

• Milter интерфейс для sendmail

• Расширенный модуль обновления базы данных с поддержкой обновлений сценариев и цифровой подписи

• Интегрированная поддержка форматов файлов, таких как Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS и другие

• Вирусная база постоянно обновляется

• Интегрированная поддержка всех стандартных форматов почтовых файлов

• Интегрированная поддержка исполняемых файлов ELF и переносимых исполняемых файлов, упакованных с UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack и скрытых с помощью SUE, Y0da Cryptor и других.

• Встроенная поддержка форматов документов MS Office и MacOffice, HTML, Flash, RTF и PDF.

$config[ads_text5] not found

Для установки ClamAV мы выполним следующую команду:

 sudo apt установить clamav 

Введите букву S, чтобы подтвердить загрузку и установку ClamAV.

В случае CentOS мы можем выполнить следующее:

 yum -y update yum -y установить clamav 

Для выполнения ClamAV мы выполним следующее:

 sudo clamscan -r -i «Справочник» 

LMD - обнаружение вредоносных программ в Linux

Linux Malware Detect (LMD) был разработан как сканер вредоносных программ для Linux под лицензией GNU GPLv2, основной функцией которого является использование данных об угрозах из систем обнаружения злоумышленников для извлечения вредоносных программ, которые активно используются в атакует и может генерировать подписи для обнаружения этих угроз.

$config[ads_text5] not found

Подписи, которые использует LMD, - это хеши файлов MD5 и совпадения с шаблоном HEX, которые также можно легко экспортировать в различные инструменты обнаружения, такие как ClamAV.

черты

Среди его характеристик мы находим:

• Встроенное обнаружение ClamAV для использования в качестве движка сканера для достижения наилучших результатов

• Обнаружение хеш-файлов MD5 для быстрой идентификации угроз

• Компонент статистического анализа для обнаружения угроз

• Функция обновления версии интегрирована с -d

• Интегрированная функция обновления подписи с -u

• Ежедневный cron скрипт, совместимый с системами в стиле RH, Cpanel и Ensim

• Монитор inotify ядра, который может принимать данные маршрута из STDIN или FILE

• Ежедневное сканирование на основе cron всех изменений за последние 24 часа в записях пользователей

• Вариант восстановления карантина для восстановления файлов по первоначальному пути, включая владельца

• Варианты игнорирования правил на основе маршрутов, расширений и подписей

Чтобы установить LMD в Linux, мы выполним следующее:

 cd / tmp / curl -O http://www.rfxn.com/downloads/maldetect-current.tar.gz tar -zxvf maldetect-current.tar.gz cd maldetect-1.6.2 / bash install.sh 

Теперь мы можем выполнить нужный каталог, в этом случае tmp следующим образом:

 maldet -a / tmp 

С помощью любого из этих инструментов можно будет сохранить целостность нашей системы, избегая присутствия вредоносных программ или руткитов.