Безопасность Linux. Руткиты


Краткая терминология:
Руткит- программа  для скрытия следов присутствия злоумышленника или вредоносной программы в системе
Бэкдор- (англ. back door, чёрный ход)  программа или набор программ, устанавливаемые взломщиком на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.

Сплоит (эксплойт) - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака)
примечание: описание в википедии
Rkhunter -  программа обнаружения и удаления руткитов.
Зачем он нужен? Как раз для того, чтобы бороться с вышеуказанными напастями.



Установка:
sudo apt-get install rkhunter
Вы должны увидеть что-то вроде этого:
Необходимо скачать 1 044 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 2 773 kB
Команда установит последнюю версию. На момент написания статьи - 1.3.6-4

проверить систему на наличие уязвимостей:
rkhunter --check
обновить базы:
rkhunter --update
сделать "слепок" текущего состояния:
rkhunter --propupd

Настройка:

Лог-файлы находятся по пути
/var/log/rkhunter.log
Главный файл конфигурации
/etc/rkhunter.conf  (на него лучше сразу установить права 600)

В конфигурационном файле можно выставить ваш почтовый адрес, чтобы программа радовала вас появлением новых предупреждений.
Если оно вам надо, пропишите свой email в строке
MAIL-ON-WARNING=""


Для автоматического сканирования редактируем /etc/cron.daily/rkhunter или /etc/crontab.
В приведённом ниже примере используется таки /etc/crontab:

0 0 * * 1 root rkhunter --update --cronjob  (будет обновлять базу раз в неделю в 00:00)

30 0 * * * root rkhunter --check --cronjob  (станет сканировать систему ежедневно в 00:30)
Перезапустим cron:
# sudo /etc/init.d/cron restart

Полезнo будет ознакомиться со страницей справки, дабы представлять себе возможности rkhunter'а.

0 коммент.: (+add yours?)

Отправить комментарий

Примечание. Отправлять комментарии могут только участники этого блога.