На Linux-сервери постійно здійснюються атаки і сканування портів, а правильно налаштований брандмауер і регулярні оновлення системи безпеки додають додатковий шар, що забезпечує безпеку системи, але при цьому необхідно часто стежити за тим, чи не проникає хтось всередину. Це також допоможе гарантувати, що ваш сервер залишиться вільним від будь-яких програм, спрямованих на порушення його нормальної роботи.
Представлені в цій статті інструменти створені саме для такого сканування системи безпеки і здатні виявляти віруси, шкідливі програми, руткіти та шкідливу поведінку. За допомогою цих інструментів можна проводити регулярне сканування системи, наприклад, щоночі, і надсилати звіти на свою електронну адресу.
1. Lynis – Аудит безпеки та сканер руткітів
Lynis – безкоштовний, потужний і популярний інструмент аудиту та сканування системи безпеки для Unix/Linux-подібних операційних систем з відкритим вихідним кодом. Це інструмент для пошуку шкідливих програм і вразливостей, який сканує системи на наявність інформації та проблем безпеки, цілісності файлів, помилок конфігурації; виконує аудит брандмауера, перевіряє встановлене програмне забезпечення, права доступу до файлів/директоріям і багато іншого.
Важливо зазначити, що він не виконує автоматичне посилення системи, а просто пропонує рекомендації, які дають змогу посилити захист сервера.
Ми встановимо останню версію Lynis (тобто 3.0.9) з вихідних текстів, використовуючи такі команди.
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynisТепер можна виконати сканування системи за допомогою наведеної нижче команди.
sudo lynis audit system
Щоб зробити запуск lynis автоматичним щоночі, додайте наступний запис cron, який запускатиметься о 3-й годині ночі та надсилатиме звіти на вашу адресу електронної пошти.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" [email protected]2. Chkrootkit – сканер руткітів для Linux
Chkrootkit – ще один безкоштовний детектор руткітів з відкритим вихідним кодом, який локально перевіряє наявність ознак руткіта на Unix-подібних системах. Він допомагає виявити приховані проломи в системі безпеки.
Пакет chkrootkit складається зі сценарію оболонки, що перевіряє системні двійкові файли на наявність модифікації руткіта, і низки програм, які перевіряють різні проблеми безпеки.
У системах на базі Debian інструмент chkrootkit може бути встановлений за допомогою такої команди.
sudo apt install chkrootkitУ системах на базі RHEL його необхідно встановити з вихідних текстів за допомогою таких команд.
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make senseДля перевірки сервера за допомогою Chkrootkit виконайте таку команду.
sudo chkrootkit
OR
sudo /usr/local/chkrootkit/chkrootkitПісля запуску програма почне перевірку системи на наявність відомих шкідливих програм і Rootkits, а після закінчення процесу можна переглянути зведений звіт.
Щоб автоматично запускати Chkrootkit щоночі, додайте наступний запис cron, який запускатиметься о 3-й годині ночі та надсилатиме звіти на вашу адресу електронної пошти.дивитися зведений звіт.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" [email protected]3. Rkhunter – сканер руткітів для Linux
RootKit Hunter – це безкоштовний, з відкритим вихідним кодом, потужний, простий у використанні та добре відомий інструмент для сканування бекдорів, руткітів і локальних експлойтів у POSIX-сумісних системах, таких як Linux.
Як випливає з назви, це “мисливець за руткітами”, інструмент моніторингу та аналізу безпеки, який ретельно перевіряє систему на предмет виявлення прихованих проломів у захисті.
Інструмент rkhunter може бути встановлений за допомогою наступної команди в системах на базі Ubuntu і RHEL.
sudo apt install rkhunter [On Debian systems]
sudo yum install rkhunter [On RHEL systems] Для перевірки сервера за допомогою rkhunter виконайте таку команду.
sudo rkhunter -c
Щоб автоматично запускати rkhunter щоночі, додайте наступний запис cron, який запускатиметься о 3-й годині ночі та надсилатиме звіти на вашу адресу електронної пошти.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" [email protected]4. ClamAV – набір інструментів для роботи з антивірусними програмами
ClamAV – універсальний, популярний і кросплатформний антивірусний рушій з відкритим вихідним кодом для виявлення вірусів, шкідливих програм, троянів та інших шкідливих програм на комп’ютері.
Це одна з найкращих безкоштовних антивірусних програм для Linux і стандарт з відкритим вихідним кодом для програм сканування поштових шлюзів, що підтримує практично всі формати поштових файлів.
Підтримує оновлення вірусних баз на всіх системах і сканування за доступом тільки в Linux. Крім того, він може сканувати всередині архівів і стислих файлів і підтримує такі формати, як Zip, Tar, 7Zip, Rar та інші, а також інші можливості.
ClamAV може бути встановлений за допомогою такої команди на системах на базі Debian.
sudo apt install clamavУ системах на базі RHEL ClamAV може бути встановлений за допомогою такої команди.
sudo yum -y update
sudo -y install clamavПісля встановлення можна оновити сигнатури і просканувати каталог за допомогою таких команд.
# freshclam
sudo clamscan -r -i DIRECTORYДе DIRECTORY – місце розташування для сканування. Опції -r означають рекурсивне сканування, а -i – показ тільки заражених файлів.
5. LMD – Linux Malware Detect
LMD (Linux Malware Detect) – це потужний і повнофункціональний сканер шкідливих програм для Linux з відкритим вихідним кодом, спеціально розроблений і орієнтований на середовища зі спільним хостингом, але може бути використаний для виявлення загроз на будь-якій Linux-системі. Для підвищення продуктивності він може бути інтегрований зі сканером ClamAV.
У ньому реалізовано систему звітів, що дає змогу переглядати поточні та попередні результати сканування, підтримується надсилання повідомлень електронною поштою після кожного виконання сканування та багато інших корисних функцій.
