Ci sono costanti attacchi di alto livello e scansioni di porte sui server Linux tutto il tempo, mentre un firewall correttamente configurato e regolari aggiornamenti del sistema di sicurezza aggiungono uno strato extra per mantenere il sistema sicuro, ma si dovrebbe anche guardare spesso se qualcuno è entrato. Questo aiuterà anche a garantire che il vostro server rimanga libero da qualsiasi programma che mira a interrompere il suo normale funzionamento.
Gli strumenti presentati in questo articolo sono creati per queste scansioni di sicurezza e sono in grado di identificare Virus, Malwares, Rootkits, e comportamenti dannosi. È possibile utilizzare questi strumenti per effettuare regolarmente scansioni del sistema, ad esempio ogni notte e inviare rapporti al proprio indirizzo e-mail.
Lynis – Security Auditing and Rootkit Scanner
Lynis è uno strumento gratuito, open source, potente e popolare per la verifica della sicurezza e la scansione di sistemi operativi Unix/Linux. È uno strumento di scansione del malware e di rilevamento delle vulnerabilità che analizza i sistemi alla ricerca di informazioni e problemi di sicurezza, integrità dei file, errori di configurazione; esegue l’auditing del firewall, controlla il software installato, i permessi di file/directory e molto altro ancora.
Importante, non esegue automaticamente alcun hardening del sistema, tuttavia, offre semplicemente suggerimenti che consentono di indurire il server.
Installeremo l’ultima versione di Lynis (cioè la 2.6.6) dalle fonti, utilizzando i seguenti comandi.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Ora puoi eseguire la scansione del sistema con il comando seguente.
# lynis audit system
Per far funzionare Lynis automaticamente ogni notte, aggiungi la seguente voce cron, che verrà eseguita alle 3 di notte e invierà i rapporti al tuo indirizzo e-mail.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – A Linux Rootkit Scanners
Chkrootkit è anche un altro rilevatore di rootkit gratuito e open source che controlla localmente i segni di un rootkit su un sistema Unix-like. Aiuta a rilevare le falle di sicurezza nascoste. Il pacchetto chkrootkit consiste in uno script di shell che controlla i binari di sistema per la modifica di rootkit e una serie di programmi che controllano vari problemi di sicurezza.
Lo strumento chkrootkit può essere installato utilizzando il seguente comando su sistemi basati su Debian.
$ sudo apt install chkrootkit
Su sistemi basati su CentOS, è necessario installarlo dalle fonti utilizzando i seguenti comandi.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
Per controllare il vostro server con Chkrootkit eseguite il seguente comando.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
Una volta eseguito, inizierà a controllare il sistema per malware e rootkit noti e dopo che il processo è finito, è possibile vedere il riepilogo del rapporto.
Per far funzionare Chkrootkit automaticamente ogni notte, aggiungere la seguente voce di cron, che verrà eseguita alle 3 di notte e inviare i rapporti al tuo indirizzo e-mail.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – A Linux Rootkit Scanners
RKH (RootKit Hunter) è uno strumento gratuito, open source, potente, semplice da usare e ben noto per la scansione di backdoor, rootkits e local exploits su sistemi POSIX compatibili come Linux. Come il nome implica, è un cacciatore di rootkit, uno strumento di monitoraggio e analisi della sicurezza che ispeziona a fondo un sistema per rilevare falle di sicurezza nascoste.
Lo strumento rkhunter può essere installato utilizzando il seguente comando su sistemi basati su Ubuntu e CentOS.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
Per controllare il vostro server con rkhunter eseguite il seguente comando.
# rkhunter -c
Per far funzionare rkhunter automaticamente ogni notte, aggiungi la seguente voce di cron, che verrà eseguita alle 3 di notte e invierà i rapporti al tuo indirizzo e-mail.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Antivirus Software Toolkit
ClamAV è un motore antivirus open source, versatile, popolare e multipiattaforma per rilevare virus, malware, trojan e altri programmi dannosi su un computer. È uno dei migliori programmi antivirus gratuiti per Linux e lo standard open source per il software di scansione dei gateway di posta che supporta quasi tutti i formati di file di posta.
Supporta gli aggiornamenti del database dei virus su tutti i sistemi e la scansione all’accesso solo su Linux. Inoltre, può eseguire la scansione all’interno di archivi e file compressi e supporta formati come Zip, Tar, 7Zip, Rar tra gli altri e altre caratteristiche.
Il ClamAV può essere installato utilizzando il seguente comando su sistemi basati su Debian.
$ sudo apt-get install clamav
Il ClamAV può essere installato utilizzando il seguente comando su sistemi basati su CentOS.
# yum -y update# yum -y install clamav
Una volta installato, è possibile aggiornare le firme e scansionare una directory con i seguenti comandi.
# freshclam# clamscan -r -i DIRECTORY
Dove DIRECTORY è la posizione da analizzare. Le opzioni -r, significa scansione ricorsiva e -i significa mostrare solo i file infetti.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) è uno scanner di malware open source, potente e completo per Linux specificamente progettato e indirizzato ad ambienti condivisi, ma può essere utilizzato per rilevare minacce su qualsiasi sistema Linux. Può essere integrato con il motore di scansione ClamAV per una migliore performance.
Fornisce un sistema di report completo per visualizzare i risultati delle scansioni attuali e precedenti, supporta la segnalazione via e-mail dopo ogni esecuzione della scansione e molte altre utili caratteristiche.
Per l’installazione e l’utilizzo di LMD, leggi il nostro articolo Come installare e utilizzare Linux Malware Detect (LMD) con ClamAV come motore antivirus.
Si tratta di un’applicazione per il rilevamento dei malware.