Проверка Linux на наличие руткитов

Операционная система Linux - это одна из самых надежных существующих операционных систем.

Бытует мнение, что Linux абсолютна защищена и каких-то дополнительных способов защиты, вообще больше не требуется. Но, увы! Современные реалии таковы, что самым слабым звеном во всем этом выступает человек, который одним действием может подвергнуть опасности всю систему.

Одно дело - это домашний компьютер, а совершенно другое дело когда разговор заходит о домашних или корпоративных серверах.

Хотя и компьютерных вирусов для операционных систем на ядре Linux не так и много, точнее их можно пересчитать по пальцам, но они все же есть. Помимо вирусов еще есть очень большая проблема - вредоносное программное обеспечение, которое способно подвергнуть опасности, передать важную информацию или просто предоставить доступ злоумышленнику к той информации, доступ к которой является строго конфиденциальный.

Для того, чтобы своевременно обнаружить руткиты в ОС, есть замечательная утилита - rkhunter, которая осуществляет проверку вашей операционной системы по нескольким признакам, а именно по базе данных сигнатур, по открытым сетевым портам, по подложным копиям важных системных файлов и так далее.

В операционной системе Ubuntu это приложение входит в официальный репозиторий и есть возможность установить его одной командой:

sudo apt-get install rkhunter

Владельцы других дистрибутивов могут ознакомится со способами установки на официальном сайте rkhunter.

Установка не должна занять много времени, после которой необходимо обновить базу данных сигнатур командой:

sudo rkhunter --update

Чтобы запустить проверку операционной системы, необходимо выполнить команду:

sudo rkhunter --check

По умолчанию после каждого теста нужно нажимать любую клавишу для того, чтобы успеть ознакомится с промежуточными результатами, если этого не требуется, то можно запустить проверку с ключом --sk:

sudo rkhunter --check --sk

Или вообще без вывода на экран какой-либо информации:

sudo rkhunter --check -q

Проверка серверов на наличие руткитов

Если проверка будет запускаться на сервере, то целесообразнее поставить задачу в планировщик crontab, чтобы каждый раз не делать это вручную. Для этого открываем список задач:

sudo crontab -e -u root

В конце файла добавляем новую запись:

0 0 * * * rkhunter --update
0 1 * * * rkhunter --check

Эта запись "говорит" планировщику, что обновление сигнатур будет происходить ежедневно в 23.59, а проверка системы в 01.00.

А для того, чтобы результаты проверки были всегда на виду, настраиваем ежедневное уведомление по электронной почте (работает, если на этом сервере уже настроен postfix или exim).

Для этого открываем конфигурационный файл /etc/rkhunter.conf:
sudo nano /etc/rkhunter.conf
Добавляем значение параметру MAIL-ON-WARNING. Должно получится, к примеру, так:
# NOTE: This option should be present in the configuration file.
#
#MAIL-ON-WARNING=me@mydomain root@mydomain
MAIL-ON-WARNING="admin@itshaman.ru"

После этого при обнаружении проникновения Вы будите "в курсе".

Вообще rkhunter - это действенный способ проверки ОС на наличие руткитов.

Как говорится: "Береженого - Бог бережет!".

Есть много игр, в которые настоящий айтишник просто обязан поиграть. Одна из таких игр является Command & Conquer Generals. Для набора опыта можете сразится в онлайн версии на сайте generals-zh.ru. Кстати, если Вы профи, то на этом же сайте сможете найти себе достойного соперника.

Статья опубликована 18.09.2011 · Автор статьи: Зюзгин Иван
Статья относится к linux, ubuntu, безопасность, сервер, удобство, айтишник

Случайные 7 статей:

Комментарии [2]

Uhahator #
15 Октябрь, 00:56
аффтар не гони фуфло. ркхантер с 2007 года не обновлялся, от него толку – как с кастрированного козла молока.
masturbator #
13 Октябрь, 19:47
2Uhahator
Эт расскажи бабе клаве в синих кедах.
>Rootkit Hunter релиз 1.4.0 (1 мая 2012)

IT-новости