Дата публикации

rkHunter обнаружение руткитов.

Автор: admin.


Rkhunter обнаружение руткитов  Вообще, в целом Linux достаточно надежная система в плане вирусной устойчивости и заражений пр. гадостями. Но, одного этого факта, все-таки, недостаточно, поэтому весьма ошибочным будет считать, что раз уж система такая надежная, то и дополнительных средств защиты, вроде бы более не нужно. Дело в том, что самым слабым местом во взаимоотношениях человека и компьютера, является как раз, человек или если быть более точным, то человеческий фактор.

  Система работает так, как она настроена, а вот человек может совершать ошибки и тем самым подвергать, эту самую систему, повышенному риску. Здесь стоит обратить внимание на две вещи, компьютер дома - это один разговор, сервер, домашний или корпоративный - это другой разговор. На данный момент, общее количество вредоносного кода, предназначенного для Linux-систем, не так уж много, но тенденция увеличения все время присутствует и наверное, в скором будущем эта проблема станет куда более, чем актуальной, не дай бог, конечно. Кроме обычных вирусов существуют, так называемые руткиты, представляющие собой специальные нехорошие программки, способные рассекретить вашу конфиденциальную информацию и самое главное, обычные, стандартные средства защиты, такие как, антивирусники, не способны их обнаружить и обезвредить, если конечно в самом антивируснике не интегрирована встроенная проверка на руткиты.

  В Linux операционных системах, для борьбы с этой напастью, существует специализированная утилита rkhunter, предназначенная для сканирования и обнаружения данного типа угроз, с использованием идентификации по различным признакам, параметрам. Сюда можно отнести, прежде всего сигнатурные базы, открытые сетевые порты, ложные, завуалированные системные файлы и пр.

  В "ОС" PCLinuxOS; Ubuntu - эта утилита имеется в оф. репозитории, да и в др. дистрибутивах, наверняка тоже, установить которую можно очень легко. Обладатели других дистрибутивов, в которых данной утилиты вдруг не оказалось, смогут прочесть необходимую информацию по ее установке на оф. сайте (на английском языке) или покопаться в интернете. Установка проги в систему, проходит быстро и без проблем, после чего необходимо провести обновление сигнатур. Если программа используется для серверов, то наиболее удачным решением, будет внести данную задачу в планировщик заданий (crontab), что позволит не повторять это действие в ручном режиме. Кроме того, для постоянного контроля над происходящим процессом, нужно настроить каждодневное уведомление на почтовый ящик.

Работа с утилитой (консоль), пример для Ubuntu.

  • Обновление базы сигнатур:
        sudo rkhunter --update
  • Сканирование системы:
        sudo rkhunter --check

 
  Проверка проходит в несколько этапов, по окончанию каждого в отдельности можно просмотреть результаты и после нажать на любую клавишу и так на каждом этапе. Что бы этого не делать нужно выполнить следующую команду.

  • Сканирование системы:
       sudo rkhunter --check --sk
  • Тоже, без информации на экране:
       sudo rkhunter --check -q

 
Для работы на сервере, запускаем планировщик.

  • Запуск планировщика:
       sudo crontab -e -u root
  • В самом конце прописываем:
        0 0 * * * rkhunter --update
        0 1 * * * rkhunter --check

 
  Это, как пример, прописать можно по-разному, ищите информацию, как правильно работать с планировщиком "crontab". Теперь настроим электронные сообщения.

Открываем конфигурационный файл утилиты: /etc/rkhunter.conf

К параметру MAIL-ON-WARNING добавляем ваш почтовый адрес.
Например: MAIL-ON-WARNING="linux-info@mail.ru"

  rkHunter не дает полной гарантии на абсолютное обнаружение руткитов, для получения наибольшей эффективности, рекомендуется эту утилиту использовать вместе с утилитой Chkrootkit.

Оф. сайт проекта: http://rkhunter.sourceforge.net

 

 

 

Антивирусы для Linux (2)

 

Более новые статьи:

Copyright 2011-2016 rkHunter обнаружение руткитов. All Rights Reserved.
Joomla theme by hostgator coupons