Linux-palvelimiin kohdistuu jatkuvasti korkeatasoisia hyökkäyksiä ja porttiskannauksia, kun taas oikein konfiguroitu palomuuri ja säännölliset tietoturvapäivitykset tuovat lisäkerroksen järjestelmän pitämiseen turvallisena, mutta sinun pitäisi myös usein katsoa, onko joku päässyt sisään. Tämä auttaa myös varmistamaan, että palvelimesi pysyy vapaana kaikista ohjelmista, jotka pyrkivät häiritsemään sen normaalia toimintaa.
Tässä artikkelissa esitellyt työkalut on luotu näitä tietoturvaskannauksia varten, ja ne pystyvät tunnistamaan virukset, haittaohjelmat, rootkitit ja haitalliset käyttäytymismallit. Voit käyttää näitä työkaluja tehdä säännöllisesti järjestelmätarkistuksia esim. joka yö ja lähettää raportit sähköpostiisi.
Lynis – Security Auditing and Rootkit Scanner
Lynis on ilmainen, avoimen lähdekoodin, tehokas ja suosittu tietoturva-auditointi- ja skannaustyökalu Unix/Linux kaltaisille käyttöjärjestelmille. Se on haittaohjelmien skannaus- ja haavoittuvuushavaintotyökalu, joka skannaa järjestelmät tietoturvatietojen ja -ongelmien, tiedostojen eheyden ja konfiguraatiovirheiden varalta; suorittaa palomuurin auditoinnin, tarkistaa asennetut ohjelmistot, tiedostojen/hakemistojen käyttöoikeudet ja paljon muuta.
Tärkeää on se, että se ei suorita automaattisesti mitään järjestelmän kovettamista, vaan tarjoaa vain ehdotuksia, joiden avulla voit kovettaa palvelimesi.
Asennamme Lyniksen viimeisimmän version (eli 2.6.6) lähteistä seuraavilla komennoilla.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Nyt voit suorittaa järjestelmän skannauksen alla olevalla komennolla.
# lynis audit system
Tehdäksesi Lyniksen automaattisen suorituksen joka yö, lisää seuraava cron-merkintä, joka suoritetaan yöllä kello 3.00 aamulla ja joka lähettää raportteja sähköpostiisi.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – A Linux Rootkit Scanners
Chkrootkit on myös toinen ilmainen, avoimen lähdekoodin rootkit-ilmaisin, joka etsii paikallisesti merkkejä rootkitistä Unixin kaltaisissa järjestelmissä. Se auttaa havaitsemaan piilotetut tietoturva-aukot. Chkrootkit-paketti koostuu shell-skriptistä, joka tarkistaa järjestelmän binäärit rootkit-muutosten varalta, sekä useista ohjelmista, jotka tarkistavat erilaisia tietoturvaongelmia.
Chkrootkit-työkalun voi asentaa seuraavalla komennolla Debian-pohjaisiin järjestelmiin.
$ sudo apt install chkrootkit
CentOS-pohjaisiin järjestelmiin se on asennettava lähdekoodeista seuraavilla komennoilla.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
Tarkistaaksesi palvelimesi chkrootkitin avulla suorita seuraava komento.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
Kun se on suoritettu, se alkaa tarkistaa järjestelmääsi tunnettujen haittaohjelmien ja rootkitien varalta, ja kun prosessi on päättynyt, näet yhteenvedon raportista.
Tehdäksesi Chkrootkitin automaattisen suorituksen joka yö, lisää seuraava cron-merkintä, joka suoritetaan klo 3:00 yöllä ja lähettää raportit sähköpostiosoitteeseesi.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – A Linux Rootkit Scanners
RKH (RootKit Hunter) on ilmainen, avoimen lähdekoodin, tehokas, helppokäyttöinen ja tunnettu työkalu takaporttien, rootkittien ja paikallisten hyväksikäyttökohteiden skannaamiseen POSIX-yhteensopivissa järjestelmissä, kuten Linuxissa. Kuten nimestä voi päätellä, se on rootkit-hunter, tietoturvan seuranta- ja analysointityökalu, joka tarkastaa järjestelmän perusteellisesti havaitakseen piilotetut tietoturva-aukot.
Rkhunter-työkalun voi asentaa seuraavalla komennolla Ubuntu- ja CentOS-pohjaisiin järjestelmiin.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
Tarkistaaksesi palvelimesi rkhunterin avulla suorita seuraava komento.
# rkhunter -c
Tehdäksesi rkhunterin suorittamisen automaattisesti joka yö, lisää seuraava cron-merkintä, joka suoritetaan klo 3 yöllä ja lähettää raportit sähköpostiosoitteeseesi.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Virustorjuntaohjelmiston työkalupakki
ClamAV on avoimen lähdekoodin, monipuolinen, suosittu ja alustarajat ylittävä virustorjuntamoottori, jolla voidaan havaita tietokoneella olevat virukset, haittaohjelmat, troijalaiset ja muut haittaohjelmat. Se on yksi parhaista ilmaisista virustorjuntaohjelmista Linuxille ja avoimen lähdekoodin standardi postiväylän skannausohjelmistolle, joka tukee lähes kaikkia sähköpostitiedostomuotoja.
Se tukee virustietokannan päivityksiä kaikissa järjestelmissä ja käytönaikaista skannausta vain Linuxissa. Lisäksi se voi skannata arkistojen ja pakattujen tiedostojen sisällä ja tukee muun muassa Zip-, Tar-, 7Zip-, Rar- ja muita formaatteja sekä muita ominaisuuksia.
ClamAV voidaan asentaa Debian-pohjaisiin järjestelmiin seuraavalla komennolla.
$ sudo apt-get install clamav
ClamAV voidaan asentaa seuraavalla komennolla CentOS-pohjaisissa järjestelmissä.
# yum -y update# yum -y install clamav
Asennuksen jälkeen voit päivittää allekirjoitukset ja skannata hakemiston seuraavilla komennoilla.
# freshclam# clamscan -r -i DIRECTORY
Jossa DIRECTORY on skannattava sijainti. Vaihtoehdot -r, tarkoittaa rekursiivista skannausta ja -i tarkoittaa vain tartunnan saaneiden tiedostojen näyttämistä.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) on avoimen lähdekoodin, tehokas ja täysin varusteltu haittaohjelmaskanneri Linuxille, joka on suunniteltu ja kohdennettu erityisesti jaettuihin isännöintiympäristöihin, mutta sitä voidaan käyttää uhkien havaitsemiseen missä tahansa Linux-järjestelmässä. Se voidaan integroida ClamAV-skannerimoottorin kanssa suorituskyvyn parantamiseksi.
Se tarjoaa täydellisen raportointijärjestelmän nykyisten ja aiempien skannaustulosten tarkastelemiseksi, tukee sähköpostihälytysraportointia jokaisen skannauksen suorittamisen jälkeen ja monia muita hyödyllisiä ominaisuuksia.
LMD:n asentamisesta ja käytöstä lue artikkelimme Miten asennetaan ja käytetään Linux Malware Detectiä (LMD) ClamAV:n virustorjuntamoottorin kanssa.