Проверьте наличие руткитов с помощью rkhunter

Безопасность означает все, что касается ваших данных. И для многих сделать все возможное по-прежнему недостаточно. В большинстве случаев проверка заканчивается на вирусы, вредоносное ПО и сканирование портов. Ошибочно думать, что этого достаточно. Руткиты — одни из самых опасных угроз безопасности. Независимо от операционной системы вашего сервера, крайне важно убедиться, что на ваших серверах нет руткитов.

Те Linux-серверы, которые вы откладываете, также нуждаются в проверке руткитов. К счастью, есть простой инструмент, который поможет вам в поисках нирваны безопасности серверов. Это инструмент Rootkit Hunter. Его легко установить, легко использовать, он глубоко проверяет вашу систему и предлагает отличные отчеты.

Rootkit Hunter поддерживает все дистрибутивы Linux и большинство дистрибутивов BSD. Rootkit Hunter проверит вашу систему на:

  • сравнение хэшей MD5
  • файлы по умолчанию, используемые руткитами
  • Неверный двоичный файл права доступа к файлам
  • Подозрительные строки в модулях LKM и KLD
  • Скрытые файлы

RKhunter также может выполнять дополнительное сканирование в открытом тексте и двоичные файлы для еще более полных проверок.

Установка

Большинство дистрибутивов включают rkhunter в свои стандартные репозитории, поэтому вы сможете найти его с помощью утилиты «Установка и удаление программного обеспечения». Откройте этот инструмент, выполните поиск по запросу «rkhunter», выберите результаты и примените изменения. После установки rkhunter вы готовы к проверке.

Использование

Rootkit Hunter — это инструмент командной строки, поэтому вам сначала нужно открыть окно терминала. Для запуска команды вам понадобится root-доступ. Основное использование:

rkhunter [OPTIONS]

Базовая проверка выполняется следующим образом:

rkhunter —check

Во время проверки вы увидите следующий результат:

Проверка сети …

Выполнение проверки портов бэкдора
Проверка порта UDP 2001 [Не обнаружено]
Проверка порта TCP 2006 [Не найдено]
Проверка TCP-порта 2128 [Не найдено]
Проверка TCP-порта 14856 [Не найдено]
Проверка TCP-порта 47107 [Не найдено]
Проверка для TCP-порта 60922 [Не найден]

Выполнение проверки сетевых интерфейсов
Проверка неразборчивых интерфейсов [Ничего не найдено]

[Нажмите to continue]

По завершении каждой части теста вам нужно будет нажать Enter, чтобы продолжить t o следующая порция. Очень приятная особенность rkhunter заключается в том, что во время выполнения теста вы знаете, есть ли у вас рут-комплект на вашей машине или нет.. Во время проверки групп и учетных записей на машине Fedora я обнаружил следующее:

Проверка групп и учетных записей
Проверка файла passwd [Найдено]
Проверка учетных записей, эквивалентных root (UID 0) [Не найдено]
Проверка учетных записей без пароля [Не найдено]
Проверка изменений файла passwd [Предупреждение]
Проверка изменений группового файла [Предупреждение]
Проверка файлов истории оболочки учетной записи root [OK]

Следует проверить предупреждение, но в данном случае это не корневой комплект.

После запуска теста результаты будут достаточно ясными. Наиболее показательный раздел результатов:

Проверки руткитов …
Проверено руткитов: 68
Возможных руткитов: 0

Эта машина чистая.

Есть и другие варианты тестирования. Один конкретный параметр, который вам следует запускать так часто (возможно, даже создать для него задание cron), — это параметр —update. Эта опция проверяет наличие более поздней версии текстовых файлов данных rkhunters. Это очень важно, особенно когда новые (или новые версии) руткитов выпускаются на рынок.

Заключительные мысли

Если вы серьезно относитесь к безопасности, и у вас есть Linux-машина в вашей сети, убедитесь, что вы установили rkhunter и часто его используете. Вы и ваша группа останетесь счастливыми и здоровыми.

Оцените статью
toodcast.ru
Добавить комментарий