Проверка Linux на наличие руткитов

Операционная система Linux - это одна из самых надежных существующих операционных систем.

Бытует мнение, что Linux абсолютна защищена и каких-то дополнительных способов защиты, вообще больше не требуется. Но, увы! Современные реалии таковы, что самым слабым звеном во всем этом выступает человек, который одним действием может подвергнуть опасности всю систему.

Одно дело - это домашний компьютер, а совершенно другое дело когда разговор заходит о домашних или корпоративных серверах.

Хотя и компьютерных вирусов для операционных систем на ядре Linux не так и много, точнее их можно пересчитать по пальцам, но они все же есть. Помимо вирусов еще есть очень большая проблема - вредоносное программное обеспечение, которое способно подвергнуть опасности, передать важную информацию или просто предоставить доступ злоумышленнику к той информации, доступ к которой является строго конфиденциальный.

Для того, чтобы своевременно обнаружить руткиты в ОС, есть замечательная утилита - rkhunter, которая осуществляет проверку вашей операционной системы по нескольким признакам, а именно по базе данных сигнатур, по открытым сетевым портам, по подложным копиям важных системных файлов и так далее.

В операционной системе Ubuntu это приложение входит в официальный репозиторий и есть возможность установить его одной командой:

sudo apt-get install rkhunter

Владельцы других дистрибутивов могут ознакомится со способами установки на официальном сайте rkhunter.

Установка не должна занять много времени, после которой необходимо обновить базу данных сигнатур командой:

sudo rkhunter --update

Чтобы запустить проверку операционной системы, необходимо выполнить команду:

sudo rkhunter --check

По умолчанию после каждого теста нужно нажимать любую клавишу для того, чтобы успеть ознакомится с промежуточными результатами, если этого не требуется, то можно запустить проверку с ключом --sk:

sudo rkhunter --check --sk

Или вообще без вывода на экран какой-либо информации:

sudo rkhunter --check -q

Проверка серверов на наличие руткитов

Если проверка будет запускаться на сервере, то целесообразнее поставить задачу в планировщик crontab, чтобы каждый раз не делать это вручную. Для этого открываем список задач:

sudo crontab -e -u root

В конце файла добавляем новую запись:

0 0 * * * rkhunter --update
0 1 * * * rkhunter --check

Эта запись "говорит" планировщику, что обновление сигнатур будет происходить ежедневно в 23.59, а проверка системы в 01.00.

А для того, чтобы результаты проверки были всегда на виду, настраиваем ежедневное уведомление по электронной почте (работает, если на этом сервере уже настроен postfix или exim).

  1. Для этого открываем конфигурационный файл /etc/rkhunter.conf:
    sudo nano /etc/rkhunter.conf
  2. Добавляем значение параметру MAIL-ON-WARNING. Должно получится, к примеру, так:
    # NOTE: This option should be present in the configuration file.
    #
    #MAIL-ON-WARNING=me@mydomain root@mydomain
    MAIL-ON-WARNING="admin@itshaman.ru"

После этого при обнаружении проникновения Вы будите "в курсе".

Вообще rkhunter - это действенный способ проверки ОС на наличие руткитов.

Как говорится: "Береженого - Бог бережет!".