Момчета, ако сте редовен читател на tecmint.com, ще забележите, че това е третата ни статия за инструментите за сигурност. В предишните две статии ние ви дадохме всички указания как да се защитите Apache и Linux системи от Зловреден софтуер, DOS, и DDOS атаки с помощта mod_security и mod_evasive и LMD (Linux Malware Detect).
Отново сме тук, за да представим нов инструмент за сигурност, наречен Rkhunter (Rootkit Hunter). Тази статия ще ви насочи към начина на инсталиране и конфигуриране RKH (RootKit Hunter) в Linux системи, използващи изходния код.
Rkhunter (Rootkit Hunter) е Unix/Linux базиран инструмент за скенер с отворен код за Linux системи, пуснат под GPL който сканира задни врати, руткитове и локални експлойти във вашите системи.
Той сканира скрити файлове, грешни разрешения, зададени на двоични файлове, подозрителни низове в ядрото и т.н. За да научите повече за Rkhunter и неговите функции, посетете http://rkhunter.sourceforge.net/.
Първо изтеглете най -новата стабилна версия на Rkhunter инструмент, като отидете на http://rkhunter.sourceforge.net/ или използвайте по -долу Wget команда за изтегляне във вашите системи.
# cd /tmp. # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
След като изтеглите най -новата версия, изпълнете следните команди като корен потребител да го инсталира.
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6. # ./installer.sh -Layout default --install
Проверка на системата за: инсталационни файлове на Rootkit Hunter: намерена Команда за изтегляне на уеб файл: намерен wget. Стартиране на инсталацията: Проверка на инсталационната директория „/usr/local“: тя съществува и може да се записва. Проверка на инсталационни директории: Директория /usr/local/share/doc/rkhunter-1.4.2: създаване: ОК Директория/usr/local/share/man/man8: съществува и може да се записва. Директория /etc: съществува и може да се записва. Директория/usr/local/bin: съществува и може да се записва. Директория/usr/local/lib64: съществува и може да се записва. Директория /var /lib: съществува и може да се записва. Директория/usr/local/lib64/rkhunter/скриптове: създаване: OK Директория/var/lib/rkhunter/db: създаване: OK Директория/var/lib/rkhunter/tmp: създаване: ОК Директория/var/lib/rkhunter/db /i18n: създаване: OK Директория/var/lib/rkhunter/db/подписи: създаване: OK Инсталиране на check_modules.pl: OK Инсталиране на filehashsha.pl: OK Инсталиране на stat.pl: OK Инсталиране на readlink.sh: OK Инсталиране на backdoorports.dat: OK Инсталиране на mirrors.dat: OK Инсталиране на programs_bad.dat: OK Инсталиране на suspscan.dat: OK Инсталиране на rkhunter.8: OK Инсталиране ПРИЗНАВАНИЯ: OK Инсталиране CHANGELOG: OK Инсталиране на често задавани въпроси: OK Инсталиране на ЛИЦЕНЗИЯ: OK Инсталиране на README: OK Инсталиране на файлове за езикова поддръжка: OK Инсталиране на подписи на ClamAV: OK Инсталиране на rkhunter: OK Инсталиране rkhunter.conf: Добре. Инсталацията завършена.
Стартирайте RKH Updater за попълване на свойствата на базата данни, като изпълните следната команда.
#/usr/local/bin/rkhunter --update. #/usr/local/bin/rkhunter --propupd
[Rootkit Hunter версия 1.4.6] Проверка на файлове с данни на rkhunter... Проверка на файла mirrors.dat [Актуализирано] Проверка на файла programs_bad.dat [Без актуализация] Проверка на файла backdoorports.dat [Без актуализация] Проверка на файл suspscan.dat [Без актуализация] Проверка на файл i18n/cn [Без актуализация] Проверка на файл i18n/de [Без актуализация] Проверка на файл i18n/bg [Без актуализация] Проверка на файл i18n/tr [Без актуализация] Проверка на файл i18n/tr.utf8 [Без актуализация] Проверка на файл i18n/zh [Без актуализация] Проверка на файл i18n/zh.utf8 [Без актуализация] Проверка на файл i18n/ja [Без актуализация] Създаден файл: търсени 177 файла, намерени 131, липсващи хешове 1.
Създайте файл, наречен rkhunter.sh под /etc/cron.daily/, който след това сканира файловата ви система всеки ден и изпраща известия по имейл до вашия имейл имейл. Създайте следния файл с помощта на любимия си редактор.
# vi /etc/cron.daily/rkhunter.sh
Добавете следните редове код към него и заменете „YourServerNameHere" с твоя "Име на сървъра" и "[защитен имейл]" с твоя "Имейл ID“.
#!/бин/ш. ( /usr/local/bin/rkhunter --versioncheck. /usr/local/bin/rkhunter --update. /usr/local/bin/rkhunter --cronjob --report-warnings-only. ) | /bin/mail -s 'rkhunter Daily Run (СложетеYourServerNameHere)' [защитен имейл]
Задайте разрешение за изпълнение на файла.
# chmod 755 /etc/cron.daily/rkhunter.sh
За да сканирате цялата файлова система, стартирайте Rkhunter като root потребител.
# rkhunter --check
[Rootkit Hunter версия 1.4.6] Проверка на системните команди... Изпълнение на командите „strings“ Проверка на командата „strings“ [OK] Извършване на проверки на „shared libraries“ Проверка за предварително зареждане на променливи [Няма намерени] Проверка за предварително заредени библиотеки [Няма намерено] Проверка на променливата LD_LIBRARY_PATH [Не е намерено] Извършване на проверки на свойствата на файла Проверка за предпоставки [OK]/usr/local/bin/rkhunter [OK]/usr/sbin/adduser [OK] /usr/sbin/chkconfig [OK]/usr/sbin/chroot [OK]/usr/sbin/depmod [OK]/usr/sbin/fsck [OK]/usr/sbin/fuser [OK]/usr/sbin/ groupadd [OK]/usr/sbin/groupdel [OK]/usr/sbin/groupmod [OK] /usr/sbin/grpck [OK]/usr/sbin/ifconfig [OK]/usr/sbin/ifdown [Предупреждение]/usr/sbin/ifup [Предупреждение]/usr/sbin/init [OK]/usr/sbin/ insmod [OK]/usr/sbin/ip [OK]/usr/sbin/lsmod [OK] /usr/sbin/lsof [OK]/usr/sbin/modinfo [OK]/usr/sbin/modprobe [OK]/usr/sbin/nologin [OK]/usr/sbin/pwck [OK]/usr/sbin/ rmmod [OK]/usr/sbin/route [OK]/usr/sbin/rsyslogd [OK] /usr/sbin/runlevel [OK]/usr/sbin/sestatus [OK]/usr/sbin/sshd [OK]/usr/sbin/sulogin [OK]/usr/sbin/sysctl [OK]/usr/sbin/ tcpd [OK]/usr/sbin/useradd [OK]/usr/sbin/userdel [OK] /usr/sbin/usermod [OK]... [Натиснете, за да продължите] Проверка за руткитове... Извършване на проверка на известни руткит файлове и директории 55808 Троянски - Вариант A [Не е намерен] ADM червей [Не е намерен] AjaKit Rootkit [Не е намерен] Adore Rootkit [Не е намерен] aPa Kit [Не е намерен]... [Натиснете, за да продължите] Извършване на допълнителни проверки на руткит Suckit Rookit допълнителни проверки [OK] Проверка за възможни руткит файлове и директории [Няма намерени] Проверка за възможни низове на руткит [Няма намерени]... [Натиснете, за да продължите] Проверка на мрежата... Извършване на проверки на мрежовите портове Проверка за портове на задната врата [Няма намерени]... Извършване на проверки на системния конфигурационен файл Проверка за конфигурационен файл на SSH [Намерено] Проверка дали е разрешен SSH root достъп [Предупреждение] Проверяване дали е разрешен SSH протокол v1 [ Предупреждение] Проверка за работещ демон за системно регистриране [Намерено] Проверка за конфигурационен файл за системно регистриране [Намерено] Проверка дали е разрешено дистанционното регистриране на системния журнал [Не е разрешено ]... Обобщение на системните проверки. Проверка на свойствата на файла... Проверени файлове: 137 Подозрителни файлове: 6 Rootkit проверки... Проверени руткити: 383 Възможни руткитове: 0 Проверки на приложения... Проверени приложения: 5 Подозрителни приложения: 2 Системните проверки отнеха: 5 минути и 38 секунди Всички резултати са са записани в лог файла: /var/log/rkhunter.log Едно или повече предупреждения са открити при проверката на система. Моля, проверете лог файла (/var/log/rkhunter.log)
Горната команда генерира регистрационен файл под /var/log/rkhunter.log с резултатите от проверките, направени от Rkhunter.
# cat /var/log/rkhunter.log.
[11:21:04] Стартиране на Rootkit Hunter версия 1.4.6 на tecmint. [11:21:04] [11:21:04] Информация: Началната дата е 21 декември 11:21:04 IST 2020. [11:21:04] [11:21:04] Проверка на конфигурационния файл и опциите на командния ред... [11:21:04] Информация: Откритата операционна система е „Linux“ [11:21:04] Информация: Намерено O/S име: Fedora версия 33 (Тридесет и три) [11:21:04] Информация: Командният ред е/usr/local/bin/rkhunter --check. [11:21:04] Информация: Обвивката на околната среда е /bin /bash; rkhunter използва bash. [11:21:04] Информация: Използване на конфигурационен файл '/etc/rkhunter.conf' [11:21:04] Информация: Инсталационната директория е '/usr/local' [11:21:04] Информация: Използване на език 'en' [11:21:04] Информация: Използване на '/var/lib/rkhunter/db' като директория на базата данни. [11:21:04] Информация: Използване на '/usr/local/lib64/rkhunter/scripts' като директория за поддръжка на скриптове. [11:21:04] Информация: Използване на '/usr/local/sbin/usr/local/bin/usr/sbin/usr/bin/bin/sbin/usr/libexec/usr/local/libexec' като директории с команди. [11:21:04] Информация: Използване на '/var/lib/rkhunter/tmp' като временна директория. [11:21:04] Информация: Няма конфигуриран адрес за предупреждение по пощата. [11:21:04] Информация: X ще бъде открит автоматично. [11:21:04] Информация: Намерена е командата 'basename':/usr/bin/basename. [11:21:04] Информация: Намерена е командата 'diff':/usr/bin/diff. [11:21:04] Информация: Намерена е командата 'dirname':/usr/bin/dirname. [11:21:04] Информация: Намерена е командата 'file':/usr/bin/file. [11:21:04] Информация: Намерена е командата 'find':/usr/bin/find. [11:21:04] Информация: Намерена е командата 'ifconfig':/usr/sbin/ifconfig. [11:21:04] Информация: Намерена е командата 'ip':/usr/sbin/ip. [11:21:04] Информация: Намерена е командата 'ipcs':/usr/bin/ipcs. [11:21:04] Информация: Намерена е командата 'ldd':/usr/bin/ldd. [11:21:04] Информация: Намерена е командата 'lsattr':/usr/bin/lsattr ...
За повече информация и опции, моля, изпълнете следната команда.
# rkhunter -помощ
Ако тази статия ви е харесала, споделянето е правилният начин да благодарите.