Er zijn voortdurend hoge aanvallen en poortscans op Linux-servers, terwijl een goed geconfigureerde firewall en regelmatige updates van het beveiligingssysteem een extra laag toevoegen om het systeem veilig te houden, maar u moet ook regelmatig kijken of er iemand is binnengedrongen. Dit zal ook helpen om ervoor te zorgen dat uw server vrij blijft van programma’s die tot doel hebben de normale werking te verstoren.
De tools die in dit artikel worden gepresenteerd zijn gemaakt voor deze veiligheidsscans en ze zijn in staat om virussen, malwares, rootkits, en kwaadaardig gedrag te identificeren. U kunt deze tools gebruiken om regelmatig systeem scans te maken, bijvoorbeeld elke nacht en mail rapporten naar uw e-mail adres.
Lynis – Security Auditing and Rootkit Scanner
Lynis is een gratis, open source, krachtige en populaire security auditing en scanning tool voor Unix/Linux achtige besturingssystemen. Het is een malware scanning en vulnerability detectie tool dat systemen scant op beveiligingsinformatie en -problemen, bestandsintegriteit, configuratiefouten; voert firewall auditing uit, controleert geïnstalleerde software, bestands/directory permissies en nog veel meer.
Het is belangrijk dat het niet automatisch een systeem hardening uitvoert, het biedt echter alleen suggesties waarmee u uw server kunt harden.
We zullen de laatste versie van Lynis (i.e. 2.6.6) vanaf de broncode installeren, met behulp van de volgende commando’s.
# cd /opt/# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz# tar xvzf lynis-2.6.6.tar.gz# mv lynis /usr/local/# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Nu kunt u uw systeem scannen met het onderstaande commando.
# lynis audit system
Om Lynis elke nacht automatisch te laten draaien, voegt u het volgende cron-item toe, dat om 3 uur ’s nachts zal draaien en rapporten naar uw emailadres zal sturen.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server"
Chkrootkit – A Linux Rootkit Scanners
Chkrootkit is ook een vrije, open source rootkit-detector die lokaal controleert op tekenen van een rootkit op een Unix-achtig systeem. Het helpt om verborgen veiligheidslekken op te sporen. Het chkrootkit pakket bestaat uit een shell script dat systeem binaries controleert op rootkit modificatie en een aantal programma’s die verschillende beveiligings kwesties controleren.
De chkrootkit tool kan worden geïnstalleerd met behulp van het volgende commando op Debian-gebaseerde systemen.
$ sudo apt install chkrootkit
Op CentOS-gebaseerde systemen, moet u het installeren vanaf broncode met behulp van de volgende commando’s.
# yum update# yum install wget gcc-c++ glibc-static# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz# tar –xzf chkrootkit.tar.gz# mkdir /usr/local/chkrootkit# mv chkrootkit-0.52/* /usr/local/chkrootkit# cd /usr/local/chkrootkit# make sense
Om uw server te controleren met Chkrootkit voert u het volgende commando uit.
$ sudo chkrootkit OR# /usr/local/chkrootkit/chkrootkit
Eenmaal uitgevoerd, zal het beginnen met het controleren van uw systeem op bekende Malwares en Rootkits en nadat het proces is voltooid, kunt u de samenvatting van het rapport zien.
Om Chkrootkit automatisch elke nacht te laten draaien, voegt u de volgende cron entry toe, die om 3 uur ’s nachts zal draaien en rapporten naar uw email adres zal sturen.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server"
Rkhunter – A Linux Rootkit Scanners
RKH (RootKit Hunter) is een gratis, open source, krachtige, eenvoudig te gebruiken en bekende tool voor het scannen van backdoors, rootkits en lokale exploits op POSIX-compliant systemen zoals Linux. Zoals de naam al aangeeft, is het een rootkit hunter, security monitoring en analyse tool die een systeem grondig inspecteert om verborgen veiligheidslekken op te sporen.
De rkhunter tool kan worden geïnstalleerd met behulp van het volgende commando op Ubuntu en CentOS gebaseerde systemen.
$ sudo apt install rkhunter# yum install epel-release# yum install rkhunter
Om uw server te controleren met rkhunter voert u het volgende commando uit.
# rkhunter -c
Om rkhunter automatisch elke nacht te laten draaien, voeg de volgende cron entry toe, die om 3 uur ’s nachts zal draaien en rapporten naar uw email adres zal sturen.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server"
ClamAV – Antivirus Software Toolkit
ClamAV is een open source, veelzijdige, populaire en cross-platform antivirus engine om virussen, malware, trojans en andere kwaadaardige programma’s op een computer te detecteren. Het is een van de beste gratis anti-virus programma’s voor Linux en de open source standaard voor mail gateway scanning software die bijna alle mail bestandsformaten ondersteunt.
Het ondersteunt virus database updates op alle systemen en on-access scanning alleen op Linux. Bovendien kan het scannen binnen archieven en gecomprimeerde bestanden en ondersteunt formaten zoals Zip, Tar, 7Zip, Rar onder anderen en nog veel meer andere functies.
De ClamAV kan worden geïnstalleerd met behulp van de volgende opdracht op Debian-gebaseerde systemen.
$ sudo apt-get install clamav
De ClamAV kan worden geïnstalleerd met het volgende commando op CentOS-gebaseerde systemen.
# yum -y update# yum -y install clamav
Eenmaal geïnstalleerd, kunt u de handtekeningen bijwerken en een directory scannen met de volgende commando’s.
# freshclam# clamscan -r -i DIRECTORY
Waarbij DIRECTORY de locatie is om te scannen. De opties -r, betekent recursief scannen en de -i betekent alleen geïnfecteerde bestanden tonen.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) is een open source, krachtige en volledig uitgeruste malware scanner voor Linux speciaal ontworpen en gericht op gedeelde gehoste omgevingen, maar kan worden gebruikt om bedreigingen op elk Linux systeem te detecteren. Het kan worden geïntegreerd met ClamAV scanner engine voor betere prestaties.
Het biedt een volledig rapportage systeem om huidige en vorige scan resultaten te bekijken, ondersteunt e-mail alert rapportage na elke scan uitvoering en vele andere nuttige functies.
Voor de installatie en het gebruik van LMD, lees ons artikel Hoe Linux Malware Detect (LMD) te installeren en te gebruiken met ClamAV als Antivirus Engine.