A Linux szervereket folyamatosan magas szintű támadások és portellenőrzések érik, miközben a megfelelően konfigurált tűzfal és a biztonsági rendszer rendszeres frissítései egy plusz réteget adnak a rendszer biztonságához, de gyakran kell figyelni, hogy bejutott-e valaki. Ez is segít abban, hogy a szervere mentes maradjon minden olyan programtól, amelynek célja a normális működés megzavarása.
Az ebben a cikkben bemutatott eszközök ezekre a biztonsági vizsgálatokra készültek, és képesek a vírusok, malware-ek, rootkitek és rosszindulatú viselkedések azonosítására. Ezekkel az eszközökkel rendszeresen végezhet rendszerellenőrzéseket, például minden este, és a jelentéseket elküldheti e-mail címére.
Lynis – Security Auditing and Rootkit Scanner
A Lynis egy ingyenes, nyílt forráskódú, nagy teljesítményű és népszerű biztonsági ellenőrzési és szkennelési eszköz Unix/Linux típusú operációs rendszerekhez. Ez egy rosszindulatú szoftvereket vizsgáló és sebezhetőséget felderítő eszköz, amely biztonsági információk és problémák, fájlintegritás, konfigurációs hibák után vizsgálja a rendszereket; tűzfal auditálást végez, ellenőrzi a telepített szoftvereket, fájl/könyvtár engedélyeket és még sok minden mást.
Fontos, hogy nem végez automatikusan semmilyen rendszer keményítést, azonban egyszerűen javaslatokat kínál, amelyek lehetővé teszik a szerver keményítését.
A Lynis legújabb verzióját (azaz a 2.6.6-ot) a forrásokból telepítjük a következő parancsokkal.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Most az alábbi paranccsal végezhetjük el a rendszer átvizsgálását.
# lynis audit system
Hogy a Lynis minden éjjel automatikusan fusson, adjuk hozzá a következő cron bejegyzést, amely éjjel 3 órakor fog futni és jelentéseket küld az e-mail címünkre.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – A Linux Rootkit Scanners
A Chkrootkit szintén egy másik ingyenes, nyílt forráskódú rootkit detektor, amely lokálisan ellenőrzi a rootkit jeleit a Unix-szerű rendszereken. Segít a rejtett biztonsági rések felderítésében. A chkrootkit csomag egy shell scriptből áll, amely ellenőrzi a rendszer bináris állományait rootkit módosításra, valamint számos programból, amelyek különböző biztonsági problémákat ellenőriznek.
A chkrootkit eszköz a következő paranccsal telepíthető Debian alapú rendszereken.
$ sudo apt install chkrootkit
A CentOS alapú rendszereken a forrásból kell telepíteni a következő parancsokkal.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
A szerver Chkrootkit-tel történő ellenőrzéséhez futtassa a következő parancsot.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
A futtatás után elkezdi ellenőrizni a rendszerét az ismert malware-ek és rootkitek után, és a folyamat befejezése után láthatja a jelentés összefoglalóját.
A Chkrootkit automatikus futtatásához minden éjszaka, adja hozzá a következő cron bejegyzést, amely éjjel 3 órakor fog futni, és elküldi a jelentéseket az e-mail címére.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – A Linux Rootkit Scanners
Az RKH (RootKit Hunter) egy ingyenes, nyílt forráskódú, hatékony, egyszerűen használható és jól ismert eszköz backdoors, rootkitek és helyi exploitok szkennelésére POSIX kompatibilis rendszereken, például Linuxon. Ahogy a neve is mutatja, ez egy rootkit vadász, biztonsági megfigyelő és elemző eszköz, amely alaposan megvizsgálja a rendszert a rejtett biztonsági rések felderítése érdekében.
A rkhunter eszköz az alábbi paranccsal telepíthető Ubuntu és CentOS alapú rendszereken.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
A szerver rkhunterrel történő ellenőrzéséhez futtassa a következő parancsot.
# rkhunter -c
Az rkhunter minden éjjeli automatikus futtatásához adja hozzá a következő cron bejegyzést, amely éjjel 3 órakor fog futni és jelentéseket küld az e-mail címére.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Antivirus Software Toolkit
A ClamAV egy nyílt forráskódú, sokoldalú, népszerű és platformokon átívelő vírusirtó motor a számítógépen lévő vírusok, malware-ek, trójaiak és egyéb rosszindulatú programok észlelésére. Ez az egyik legjobb ingyenes vírusirtó program Linuxra és a nyílt forráskódú, szinte minden levelezési fájlformátumot támogató levelezési átjáróellenőrző szoftverek szabványa.
Ez minden rendszeren támogatja a vírusadatbázis frissítését, és csak Linuxon a hozzáférés közbeni víruskeresést. Ezenkívül képes archívumokon és tömörített fájlokon belül is vizsgálni, és támogatja többek között a Zip, Tar, 7Zip, 7Zip, Rar formátumokat, valamint további egyéb funkciókat.
A ClamAV a Debian-alapú rendszereken a következő paranccsal telepíthető.
$ sudo apt-get install clamav
A ClamAV a következő paranccsal telepíthető CentOS-alapú rendszereken.
# yum -y update# yum -y install clamav
A telepítés után frissítheti az aláírásokat és átvizsgálhat egy könyvtárat a következő parancsokkal.
# freshclam# clamscan -r -i DIRECTORY
Ahol a DIRECTORY a vizsgálandó hely. Az opciók -r, a rekurzív vizsgálatot jelenti, a -i pedig azt, hogy csak a fertőzött fájlokat jelenítse meg.
LMD – Linux Malware Detect
A LMD (Linux Malware Detect) egy nyílt forráskódú, nagy teljesítményű és teljes funkcionalitású malware-ellenőrző Linuxhoz, amelyet kifejezetten megosztott hosztolt környezetekre terveztek és céloznak, de bármilyen Linux rendszeren használható fenyegetések észlelésére. A jobb teljesítmény érdekében integrálható a ClamAV víruskereső motorral.
Egy teljes körű jelentési rendszert biztosít az aktuális és korábbi vizsgálati eredmények megtekintéséhez, támogatja az e-mail riasztási jelentést minden vizsgálat végrehajtása után és sok más hasznos funkciót.
A LMD telepítéséhez és használatához olvassa el a Hogyan telepítsük és használjuk a Linux Malware Detect (LMD) programot a ClamAV vírusirtó motorral.