11 Инструменти за сканиране на Linux Server за пропуски в сигурността и злонамерен софтуер

Въпреки че системите, базирани на Linux, често се считат за непроницаеми, все още има рискове, които трябва да се вземат сериозно.


Rootkits, вируси, ransomware и много други вредни програми често могат да атакуват и да причинят проблеми на Linux сървърите.

Независимо от операционната система, предприемането на мерки за сигурност е задължително за сървърите. Големите марки и организации взеха мерките за сигурност в свои ръце и разработиха инструменти, които не само откриват недостатъци и зловреден софтуер, но и ги коригират и предприемат превантивни действия.

За щастие има инструменти на разположение на ниска цена или безплатно, които могат да помогнат в този процес. Те могат да открият недостатъци в различни секции на Linux базиран сървър.

Lynis

Lynis е известен инструмент за сигурност и предпочитана опция за експерти в Linux. Работи и върху системи, базирани на Unix и macOS. Това е софтуерно приложение с отворен код, което се използва от 2007 г. под лиценз на GPL.

Lynis е в състояние да открие дупки в сигурността и пропуски в конфигурацията. Но това надхвърля: вместо само да се излагат уязвимостите, той предлага коригиращи действия. Ето защо, за да получите подробни одиторски отчети, е необходимо да го стартирате в хост системата.

Инсталацията не е необходима за използване на Lynis. Можете да го извлечете от изтегления пакет или тарбол и да го стартирате. Можете също да го получите от Git клонинг, за да имате достъп до пълната документация и изходния код.

Lynis е създаден от оригиналния автор на Rkhunter, Майкъл Boelen. Той има два вида услуги, базирани на физически лица и предприятия. И в двата случая той има изключителни показатели.

Chkrootkit

Както може би вече сте се досетили, chkrootkit е инструмент за проверка за съществуването на руткити. Rootkits са вид злонамерен софтуер, който може да даде достъп на сървъра на неоторизиран потребител. Ако използвате сървър, базиран на Linux, руткитите могат да бъдат проблем.

chkrootkit е една от най-използваните Unix-базирани програми, които могат да откриват руткити. Той използва „струни“ и „grep“ (команди на инструмента на Linux) за откриване на проблеми.

Може да се използва или от алтернативна директория или от спасителен диск, в случай че искате да потвърди вече компрометирана система. Различните компоненти на Chkrootkit се грижат за търсене на изтрити записи във файловете „wtmp“ и „lastlog“, намиране на записи на sniffer или конфигурационни файлове на rootkit и проверка за скрити записи в „/ proc“ или обаждания към програмата „readdir“.

За да използвате chkrootkit, трябва да получите най-новата версия от сървър, да извлечете изходните файлове, да ги компилирате и сте готови да стартирате.

Rkhunter

Предприемачът Micheal Boelen беше човекът, който стои зад създаването Rkhunter (Rootkit Hunter) през 2003 г. Той е подходящ инструмент за POSIX системи и може да помогне при откриването на руткити и други уязвимости. Rkhunter старателно преминава през файлове (скрити или видими), директории по подразбиране, модули на ядрото и неправилно конфигурирани разрешения.

След рутинна проверка ги сравнява с безопасните и правилни записи на бази данни и търси подозрителни програми. Тъй като програмата е написана на Bash, тя не може да работи само на Linux машини, но и на практически всяка версия на Unix.

ClamAV

Написано на С++, ClamAV е антивирус с отворен код, който може да помогне при откриването на вируси, троянски коне и много други видове злонамерен софтуер. Това е напълно безплатен инструмент, затова много хора го използват за сканиране на личната си информация, включително имейли, за всякакъв вид злонамерени файлове. Освен това служи значително като скенер от страна на сървъра.

Първоначално инструментът е разработен, специално за Unix. Все пак той има версии на трети страни, които могат да се използват в Linux, BSD, AIX, macOS, OSF, OpenVMS и Solaris. Clam AV прави автоматично и редовно актуализиране на своята база данни, за да може да открие дори най-новите заплахи. Той позволява сканиране на командния ред и има многонишков мащабируем демон, за да подобри скоростта на сканиране.

Той може да преминава през различни видове файлове за откриване на уязвимости. Той поддържа всички видове компресирани файлове, включително RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS формат, BinHex и почти всеки тип имейл система.

LMD

Откриване на злонамерен софтуер за Linux – или LMD, за кратко – е друг известен антивирус за Linux системи, специално проектиран около заплахите, които обикновено се срещат в хоствана среда. Подобно на много други инструменти, които могат да открият злонамерен софтуер и руткити, LMD използва база данни за подписи, за да намери всеки злонамерен работещ код и бързо да го прекрати.

LMD не се ограничава до собствената си база данни с подписи. Той може да използва базата данни на ClamAV и Team Cymru, за да намери още повече вируси. За да попълни своята база данни, LMD улавя данни за заплахата от мрежата на системи за откриване на проникване на ръбове. По този начин той е в състояние да генерира нови подписи за злонамерен софтуер, който се използва активно при атаки.

LMD може да се използва през командния ред „maldet“. Инструментът е специално създаден за Linux платформи и може лесно да търси чрез Linux сървъри.

Radare2

Radare2 (R2) е рамка за анализиране на двоични файлове и извършване на обратен инженеринг с отлични способности за откриване. Той може да открие неправилно оформени двоични файлове, давайки на потребителя инструментите за управление, неутрализирайки потенциални заплахи. Той използва sdb, която е база данни на NoSQL. Изследователите на софтуерната сигурност и разработчиците на софтуер предпочитат този инструмент заради отличната му способност за представяне на данни.

Една от изключителните характеристики на Radare2 е, че потребителят не е принуден да използва командния ред за изпълнение на задачи като статичен / динамичен анализ и експлоатация на софтуер. Препоръчва се за всякакъв вид изследвания на двоични данни.

OpenVAS

Отворена система за оценка на уязвимостта или OpenVAS, е хоствана система за сканиране на уязвимости и управление на тях. Той е предназначен за предприятия от всякакви размери, като им помага да откриват проблеми със сигурността, скрити в техните инфраструктури. Първоначално продуктът беше известен като GNessUs, докато настоящият му собственик Greenbone Networks не промени името си на OpenVAS.

От версия 4.0, OpenVAS позволява непрекъснато актуализиране – обикновено в периоди, по-малки от 24 часа – на своята база за тестване на уязвимостта на мрежата (NVT). Към юни 2016 г. тя имаше повече от 47 000 NVT.

Експертите по сигурността използват OpenVAS поради способността му да сканира бързо. Той също така се отличава с отлична конфигурируемост. Програмите OpenVAS могат да се използват от самостоятелна виртуална машина за извършване на безопасно проучване на злонамерен софтуер. Изходният му код е достъпен под лиценз GNU GPL. Много други инструменти за откриване на уязвимост зависят от OpenVAS – затова се приема като основна програма в Linux базирани платформи.

REMnux

REMnux използва обратни инженерни методи за анализ на зловреден софтуер. Той може да открие много проблеми, базирани на браузъра, скрити в обсебените откъси на JavaScript кодове и Flash аплети. Освен това е в състояние да сканира PDF файлове и да извършва криминалистика на паметта. Инструментът помага при откриването на злонамерени програми в папки и файлове, които не могат да бъдат сканирани лесно с други програми за откриване на вируси.

Той е ефективен благодарение на възможностите си за декодиране и реверсивно инженерство. Той може да определи свойствата на подозрителните програми, а тъй като е лек, той е много неоткриваем от интелигентните злонамерени програми. Може да се използва както в Linux, така и в Windows, а неговата функционалност може да бъде подобрена с помощта на други инструменти за сканиране.

тигър

През 1992 г., Тексас А&M University започна работа тигър да повишат сигурността на компютрите си в кампуса. Сега тя е популярна програма за подобни на Unix платформи. Уникално нещо за инструмента е, че той е не само инструмент за одит на сигурността, но и система за откриване на проникване.

Инструментът е свободен за използване под лиценз на GPL. Зависи от POSIX инструментите и заедно могат да създадат перфектна рамка, която да увеличи значително сигурността на вашия сървър. Tiger е изцяло написан на езика на черупката – това е една от причините за неговата ефективност. Подходящ е за проверка на състоянието и конфигурацията на системата, а многофункционалната му употреба го прави много популярен сред хората, които използват POSIX инструменти.

Maltrail

Maltrail е система за откриване на трафик, способна да поддържа трафика на вашия сървър чист и да му помогне да избегне всякакъв вид злонамерени заплахи. Той изпълнява тази задача, като сравнява източниците на трафик с сайтове, включени в черен списък, публикувани онлайн.

Освен че проверява за сайтове, включени в списък с черни списъци, той използва и усъвършенствани евристични механизми за откриване на различни видове заплахи. Въпреки че е незадължителна функция, тя е полезна, когато мислите, че сървърът ви вече е атакуван.

Той има сензор, способен да разпознава трафика, който сървърът получава и да изпраща информацията до сървъра Maltrail. Системата за откриване проверява дали трафикът е достатъчно добър за обмен на данни между сървър и източник.

YARA

Създаден за Linux, Windows и macOS, YARA (Още един нелепо съкращение) е един от най-важните инструменти, използвани за изследване и откриване на злонамерени програми. Той използва текстови или двоични модели, за да опрости и ускори процеса на откриване, което води до бърза и лесна задача.

YARA има някои допълнителни функции, но се нуждаете от OpenSSL библиотека, за да ги използвате. Въпреки че, ако нямате тази библиотека, можете да използвате YARA за основни изследвания на злонамерен софтуер чрез механизъм, базиран на правила. Може да се използва и в кутия за кукувици кукувица, основана на Python, идеална за безопасно проучване на злонамерен софтуер.

Как да изберем най-добрия инструмент?

Всички инструменти, които споменахме по-горе, работят много добре и когато даден инструмент е популярен в Linux средите, можете да сте доста сигурни, че хиляди опитни потребители го използват. Едно нещо, което системните администратори трябва да помнят е, че всяко приложение обикновено зависи от други програми. Например такъв е случаят с ClamAV и OpenVAS.

Трябва да разберете от какво се нуждае вашата система и в кои области може да има уязвимости. Първо, използвайте лек инструмент, за да проучите какъв раздел се нуждае от внимание. След това използвайте подходящия инструмент за решаване на проблема.

ЕТИКЕТИ:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map