Srácok, ha rendszeresen olvassa a tecmint.com webhelyet, észre fogja venni, hogy ez a harmadik cikkünk a biztonsági eszközökről. Előző két cikkünkben minden útmutatást adtunk a biztonsághoz Apache és Linux rendszerek tól től Rosszindulatú, DOS, és DDOS támadás segítségével mod_security és mod_evasive és LMD (Linux Malware Detect).
Ismét itt vagyunk, hogy bemutassunk egy új biztonsági eszközt, az ún Rkhunter (Rootkit Hunter). Ez a cikk bemutatja a telepítés és konfigurálás módját RKH (RootKit Hunter) Linux rendszerekben forráskód használatával.
Rkhunter (Rootkit Hunter) egy nyílt forráskódú Unix/Linux alapú szkenner eszköz Linux alatt futó rendszerekhez GPL amely a hátsó ajtókat, a rootkiteket és a helyi kihasználásokat vizsgálja a rendszerein.
Ellenőrzi a rejtett fájlokat, a bináris fájlokra helytelen jogosultságokat, a gyanús karakterláncokat stb. Ha többet szeretne megtudni Rkhunterről és annak jellemzőiről, látogasson el ide http://rkhunter.sourceforge.net/.
Először töltse le a legújabb, stabil verzióját Rkhunter eszközt a http://rkhunter.sourceforge.net/ vagy használja az alábbiakat Wget paranccsal töltse le a rendszereire.
# cd /tmp. # wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
Miután letöltötte a legújabb verziót, futtassa a következő parancsokat a gyökér felhasználó telepítse.
# tar -xvf rkhunter-1.4.6.tar.gz # cd rkhunter-1.4.6. # ./installer.sh --layout default --install
Rendszer ellenőrzése: Rootkit Hunter telepítőfájlok: talált Egy webes fájl letöltési parancs: wget. A telepítés indítása: "/usr/local" telepítési könyvtár ellenőrzése: létezik és írható. Telepítési könyvtárak ellenőrzése: Directory /usr/local/share/doc/rkhunter-1.4.2: létrehozás: OK Directory/usr/local/share/man/man8: létezik és írható. Könyvtár /etc: létezik és írható. Directory/usr/local/bin: létezik és írható. Könyvtár/usr/local/lib64: létezik és írható. Directory /var /lib: létezik és írható. Könyvtár/usr/local/lib64/rkhunter/scripts: létrehozás: OK Directory/var/lib/rkhunter/db: létrehozás: OK Directory/var/lib/rkhunter/tmp: létrehozás: OK Directory/var/lib/rkhunter/db /i18n: létrehozás: OK Directory/var/lib/rkhunter/db/signatures: létrehozás: OK A check_modules.pl telepítése: OK A filehashsha.pl telepítése: OK A stat.pl telepítése: OK Readlink.sh telepítése: OK A backdoorports.dat telepítése: OK A Mirrors.dat telepítése: OK A programs_bad.dat telepítése: OK A suspscan.dat telepítése: OK Az rkhunter.8 telepítése: OK A KÖSZÖNETNYILVÁNÍTÁS telepítése: OK Telepítés CHANGELOG: OK Telepítés GYIK: OK LICENC telepítése: OK A README telepítése: OK Nyelvi támogatási fájlok telepítése: OK A ClamAV aláírások telepítése: OK Az rkhunter telepítése: OK Telepítés rkhunter.conf: Rendben. Telepítés befejezve.
Futtassa a RKH frissítő az adatbázis tulajdonságainak kitöltéséhez a következő parancs futtatásával.
#/usr/local/bin/rkhunter --frissítés. #/usr/local/bin/rkhunter --propupd
[Rootkit Hunter 1.4.6 verzió] Az rkhunter adatfájlok ellenőrzése... Fájl ellenőrzése mirrors.dat [Frissítve] Fájl ellenőrzése programs_bad.dat [Nincs frissítés] Fájl ellenőrzése backdoorports.dat [Nincs frissítés] Fájl ellenőrzése suspscan.dat [Nincs frissítés] Fájl ellenőrzése i18n/cn [Nincs frissítés] Fájl ellenőrzése i18n/de [Nincs frissítés] Fájl ellenőrzése i18n/hu [Nincs frissítés] Fájl ellenőrzése i18n/tr [Nincs frissítés] Fájl ellenőrzése i18n/tr.utf8 [Nincs frissítés] Fájl ellenőrzése i18n/zh [Nincs frissítés] Fájl ellenőrzése i18n/zh.utf8 [Nincs frissítés] Fájl ellenőrzése i18n/ja [Nincs frissítés] Fájl létrehozva: 177 fájlt keresett, 131 -et talált, hiányzó hash -eket 1.
Hozzon létre egy nevű fájlt rkhunter.sh alatt /etc/cron.daily/, amely ezután minden nap ellenőrzi a fájlrendszert, és e -mail értesítéseket küld az e -mail azonosítójára. Hozza létre a következő fájlt kedvenc szerkesztője segítségével.
# vi /etc/cron.daily/rkhunter.sh
Adja hozzá a következő kódsorokat, és cserélje ki: "A szerver neve itt" te valamiddel "Szerver név”És„[e -mail védett]" te valamiddel "Email azonosító“.
#!/bin/sh. ( /usr/local/bin/rkhunter --versioncheck. /usr/local/bin/rkhunter --frissítés. /usr/local/bin/rkhunter --cronjob-report-Warnings-only. ) | /bin/mail -s 'rkhunter Daily Run (Írja be a szerver nevét itt)' [e -mail védett]
Állítsa be a fájl végrehajtási engedélyét.
# chmod 755 /etc/cron.daily/rkhunter.sh
A teljes fájlrendszer ellenőrzéséhez futtassa a Rkhunter root felhasználóként.
# rkhunter -ellenőrizze
[Rootkit Hunter 1.4.6 verzió] A rendszerparancsok ellenőrzése... A 'string' parancsellenőrzések végrehajtása A 'strings' parancs ellenőrzése [OK] A 'megosztott könyvtárak' ellenőrzéseinek végrehajtása A változók előtöltésének ellenőrzése [Nincs találat] Az előre betöltött könyvtárak ellenőrzése [Nincs] talált] LD_LIBRARY_PATH változó ellenőrzése [Nem található] Fájltulajdonságok ellenőrzése Előfeltételek ellenőrzése [OK]/usr/local/bin/rkhunter [OK]/usr/sbin/adduser [OK] /usr/sbin/chkconfig [OK]/usr/sbin/chroot [OK]/usr/sbin/depmod [OK]/usr/sbin/fsck [OK]/usr/sbin/fuser [OK]/usr/sbin/ groupadd [OK]/usr/sbin/groupdel [OK]/usr/sbin/groupmod [OK] /usr/sbin/grpck [OK]/usr/sbin/ifconfig [OK]/usr/sbin/ifdown [Figyelmeztetés]/usr/sbin/ifup [Figyelmeztetés]/usr/sbin/init [OK]/usr/sbin/ insmod [OK]/usr/sbin/ip [OK]/usr/sbin/lsmod [OK] /usr/sbin/lsof [OK]/usr/sbin/modinfo [OK]/usr/sbin/modprobe [OK]/usr/sbin/nologin [OK]/usr/sbin/pwck [OK]/usr/sbin/ rmmod [OK]/usr/sbin/route [OK]/usr/sbin/rsyslogd [OK] /usr/sbin/runlevel [OK]/usr/sbin/sestatus [OK]/usr/sbin/sshd [OK]/usr/sbin/sulogin [OK]/usr/sbin/sysctl [OK]/usr/sbin/ tcpd [OK]/usr/sbin/useradd [OK]/usr/sbin/userdel [OK] /usr/sbin/usermod [OK]... [Nyomja meg a folytatáshoz] Gyökérkészletek keresése... Ismert rootkit fájlok és könyvtárak ellenőrzése 55808 Trójai - A változat [Nem található] ADM Féreg [Nem található] AjaKit Rootkit [Nem található] Adore Rootkit [Nem található] aPa Kit [Nem található]... [Nyomja meg a folytatáshoz] További rootkit -ellenőrzések végrehajtása Suckit Rookit további ellenőrzések [OK] Ellenőrzés lehetséges rootkit fájlok és könyvtárak [Nincs találat] A lehetséges rootkit karakterláncok keresése [Nincs találat]... [Nyomja meg a folytatáshoz] A hálózat ellenőrzése... Ellenőrzések végrehajtása a hálózati portokon A hátsó ajtó portok ellenőrzése [Nincs találat]... Rendszerkonfigurációs fájl ellenőrzések végrehajtása SSH konfigurációs fájl keresése [Talált] Annak ellenőrzése, hogy engedélyezett -e az SSH root hozzáférés [Figyelmeztetés] Ellenőrizze, hogy engedélyezett -e az SSH protokoll v1 engedélyezése [ Figyelmeztetés] Futó rendszernaplózási démon keresése [Talált] Rendszernaplózási konfigurációs fájl keresése [Talált] Annak ellenőrzése, hogy a syslog távoli naplózása engedélyezett -e [Nem engedélyezett] ]... A rendszerellenőrzések összefoglalója. A fájl tulajdonságainak ellenőrzése... Ellenőrzött fájlok: 137 Gyanús fájlok: 6 rootkit -ellenőrzés... Ellenőrzött rootkitek: 383 Lehetséges rootkitek: 0 Alkalmazás -ellenőrzések... Ellenőrzött alkalmazások: 5 Gyanús alkalmazások: 2 A rendszer ellenőrzése 5 perc és 38 másodpercig tartott a naplófájlba íródott: /var/log/rkhunter.log Egy vagy több figyelmeztetést találtunk a rendszer. Kérjük, ellenőrizze a naplófájlt (/var/log/rkhunter.log)
A fenti parancs naplófájlt hoz létre /var/log/rkhunter.log által készített ellenőrzési eredményekkel Rkhunter.
# cat /var/log/rkhunter.log.
[11:21:04] Rootkit Hunter futás 1.4.6 -os verziója a tecmint -en. [11:21:04] [11:21:04] Információ: A kezdés dátuma: december 21., 21:21:04, IST 2020. [11:21:04] [11:21:04] A konfigurációs fájl és a parancssori beállítások ellenőrzése... [11:21:04] Információ: Az észlelt operációs rendszer „Linux” [11:21:04] Információ: Talált O/S név: Fedora 33. kiadás (Harminchárom) [11:21:04] Információ: A parancssor a/usr/local/bin/rkhunter --check. [11:21:04] Info: Környezeti shell is /bin /bash; Az rkhunter bash -t használ. [11:21:04] Információ: A '/etc/rkhunter.conf' konfigurációs fájl használata [11:21:04] Információ: A telepítési könyvtár a '/usr/local' [11:21:04] Információ: Az 'en' nyelv használata [11:21:04] Információ: A '/var/lib/rkhunter/db' használata adatbázis könyvtárként. [11:21:04] Információ: A '/usr/local/lib64/rkhunter/scripts' használata támogató szkriptkönyvtárként. [11:21:04] Információ: A '/usr/local/sbin/usr/local/bin/usr/sbin/usr/bin/bin/sbin/usr/libexec/usr/local/libexec' parancskönyvtárak használata. [11:21:04] Info: A '/var/lib/rkhunter/tmp' használata ideiglenes könyvtárként. [11:21:04] Információ: Nincs beállítva e-mail figyelmeztető cím. [11:21:04] Információ: Az X automatikusan észlelhető. [11:21:04] Info: Megtaláltuk a 'basename' parancsot:/usr/bin/basename. [11:21:04] Info: Megtaláltuk a 'diff' parancsot:/usr/bin/diff. [11:21:04] Információ: Megtaláltuk a 'dirname' parancsot:/usr/bin/dirname. [11:21:04] Információ: Megtaláltuk a 'file' parancsot:/usr/bin/file. [11:21:04] Info: Megtaláltuk a 'find' parancsot:/usr/bin/find. [11:21:04] Információ: Megtaláltuk az 'ifconfig' parancsot:/usr/sbin/ifconfig. [11:21:04] Információ: Megtaláltuk az 'ip' parancsot:/usr/sbin/ip. [11:21:04] Információ: Megtaláltuk az 'ipcs' parancsot:/usr/bin/ipcs. [11:21:04] Információ: Megtaláltuk az 'ldd' parancsot:/usr/bin/ldd. [11:21:04] Információ: Megtaláltuk az 'lsattr' parancsot:/usr/bin/lsattr ...
További információkért és lehetőségekért futtassa az alábbi parancsot.
# rkhunter -help
Ha tetszett ez a cikk, akkor a megosztás a helyes módja a köszönetnyilvánításnak.