Na linuxových serverech neustále dochází k vysoké míře útoků a skenování portů, zatímco správně nakonfigurovaný firewall a pravidelné aktualizace bezpečnostního systému přidávají další vrstvu pro zajištění bezpečnosti systému, ale měli byste také často sledovat, zda se do něj někdo nedostal. To také pomůže zajistit, aby váš server zůstal bez jakéhokoli programu, jehož cílem je narušit jeho normální provoz.
Nástroje uvedené v tomto článku jsou vytvořeny pro tyto bezpečnostní kontroly a jsou schopny identifikovat viry, malware, rootkity a škodlivé chování. Pomocí těchto nástrojů můžete provádět pravidelné skenování systému např. každou noc a zasílat zprávy na vaši e-mailovou adresu.
Lynis – Security Auditing and Rootkit Scanner
Lynis je bezplatný, open source, výkonný a populární nástroj pro auditování a skenování zabezpečení operačních systémů typu Unix/Linux. Jedná se o nástroj pro skenování škodlivého softwaru a odhalování zranitelností, který skenuje systémy a hledá bezpečnostní informace a problémy, integritu souborů, chyby v konfiguraci; provádí audit brány firewall, kontroluje nainstalovaný software, oprávnění souborů/adresářů a mnoho dalšího.
Důležité je, že automaticky neprovádí žádné zpevnění systému, ale pouze nabízí návrhy, které vám umožní zpevnit váš server.
Nainstalujeme nejnovější verzi Lynis (tj. 2.6.6) ze zdrojových kódů pomocí následujících příkazů.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Nyní můžete provést kontrolu systému pomocí následujícího příkazu:
# lynis audit system
Chcete-li, aby se Lynis spouštěl automaticky každou noc, přidejte následující položku cronu, která se spustí ve 3 hodiny ráno v noci a bude odesílat zprávy na vaši e-mailovou adresu.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – Skener rootkitů pro Linux
Chkrootkit je také další bezplatný detektor rootkitů s otevřeným zdrojovým kódem, který lokálně kontroluje známky přítomnosti rootkitů v systémech podobných Unixu. Pomáhá odhalovat skryté bezpečnostní díry. Balíček chkrootkit se skládá ze shellového skriptu, který kontroluje binární soubory systému na přítomnost modifikace rootkitů, a z řady programů, které kontrolují různé bezpečnostní problémy.
Nástroj chkrootkit lze v systémech založených na Debianu nainstalovat pomocí následujícího příkazu.
$ sudo apt install chkrootkit
V systémech založených na CentOS jej musíte nainstalovat ze zdrojových kódů pomocí následujících příkazů.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
Pro kontrolu serveru pomocí Chkrootkitu spusťte následující příkaz.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
Po spuštění začne kontrolovat váš systém na známý malware a rootkity a po dokončení procesu si můžete prohlédnout souhrn hlášení.
Chcete-li, aby se Chkrootkit spouštěl automaticky každou noc, přidejte následující položku cronu, která se spustí ve 3 hodiny ráno v noci a odešle hlášení na vaši e-mailovou adresu.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – Skener rootkitů pro Linux
RKH (RootKit Hunter) je bezplatný, open source, výkonný, snadno použitelný a dobře známý nástroj pro skenování backdoorů, rootkitů a lokálních exploitů v systémech kompatibilních s POSIX, jako je Linux. Jak název napovídá, jedná se o lovce rootkitů, nástroj pro monitorování a analýzu zabezpečení, který důkladně kontroluje systém a odhaluje skryté bezpečnostní díry.
Nástroj rkhunter lze nainstalovat pomocí následujícího příkazu v systémech založených na Ubuntu a CentOS.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
Pro kontrolu serveru pomocí nástroje rkhunter spusťte následující příkaz.
# rkhunter -c
Chcete-li, aby se rkhunter spouštěl automaticky každou noc, přidejte následující položku cronu, která se bude spouštět ve 3 hodiny v noci a odesílat zprávy na vaši e-mailovou adresu.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Antivirus Software Toolkit
ClamAV je open source, univerzální, populární a multiplatformní antivirový engine pro detekci virů, malwaru, trojských koní a dalších škodlivých programů v počítači. Je to jeden z nejlepších bezplatných antivirových programů pro Linux a open source standard pro skenování poštovních bran, který podporuje téměř všechny formáty poštovních souborů.
Podporuje aktualizace virové databáze ve všech systémech a skenování při přístupu pouze v systému Linux. Kromě toho dokáže skenovat v archivech a komprimovaných souborech a podporuje mimo jiné formáty Zip, Tar, 7Zip, Rar a další další funkce.
ClamAV lze v systémech založených na Debianu nainstalovat pomocí následujícího příkazu.
$ sudo apt-get install clamav
Na systémech založených na CentOS lze ClamAV nainstalovat pomocí následujícího příkazu.
# yum -y update# yum -y install clamav
Po instalaci můžete aktualizovat signatury a skenovat adresář pomocí následujících příkazů.
# freshclam# clamscan -r -i DIRECTORY
Kde DIRECTORY je umístění, které se má skenovat. Volby -r, znamenají rekurzivní skenování a -i znamená zobrazení pouze infikovaných souborů.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) je open source, výkonný a plně vybavený skener malwaru pro Linux speciálně navržený a zaměřený na sdílená hostovaná prostředí, ale lze jej použít k detekci hrozeb v jakémkoli systému Linux. Pro lepší výkon jej lze integrovat se skenerem ClamAV.
Poskytuje plnohodnotný systém hlášení pro zobrazení aktuálních a předchozích výsledků skenování, podporuje hlášení upozornění e-mailem po každém provedení skenování a mnoho dalších užitečných funkcí.
O instalaci a použití LMD si přečtěte v našem článku Jak nainstalovat a používat Linux Malware Detect (LMD) s antivirovým jádrem ClamAV.