Незважаючи на те, що системи на базі Linux вважаються невразливими, все ж існують ризики, до яких потрібно ставитися серйозно. Руткіти, віруси, програми-вимагачі і багато інші шкідливі програми часто можуть атакувати і викликати проблеми на серверах Linux.
Незалежно від встановленої операційної системи, для серверів необхідно приймати підвищені заходи безпеки. Великі корпорації та організації взялися за підвищення рівня безпеки та розробили інструменти, які не тільки виявляють недоліки і шкідливі програми, але і виправляють їх і вживають заходів для запобігання різного виду неприємностей. Але такі ПО коштують дорого і не всі можуть дозволити собі їх купувати.
На щастя, є інструменти, за прийнятною ціною або зовсім безкоштовні, які можуть допомогти з пошуком і усуненням вразливостей. Вони можуть виявляти слабкі місця в різних розділах сервера на базі Linux.
LYNIS
Lynis – це відомий інструмент безпеки, який користується популярністю серед Linux фахівців. Він також працює на системах на базі Unix і macOS. Це програмне забезпечення з відкритим вихідним кодом, яке з 2007 року поширюється під ліцензією GPL.
Lynis не вимагає установки. Можна витягти його з завантаженого пакету або tar архіву і запустити. Щоб отримати доступ до повної документації та вихідного коду, можна скачати його з Git,
Lynis був створений автором Rkhunter Майклом Боеленом. Він має дві версії: для домашнього користування і для підприємств. Обидві версії показують відмінні результати.
CHKROOTKIT
Як ви вже напевно припустили, chkrootkit утиліта для сканування системи на наявність руткітів. Руткіти це вид шкідливого ПО, який дає неавторизованому користувачеві право на вхід в систему. Якщо в парку є сервера на базі Linux, то руткіти можуть стати справжньою проблемою.
Chkrootkit одна з найпопулярніших програм на базі Unix, яка допомагає виявляти руткіти в системі. Для виявлення проблем вона використовує команди «strings» (команда Linux для перегляду вмісту бінарного файлу) і «grep».
Вона може бути запущена як з альтернативної директорії, так і з зовнішнього накопичувача в разі роботи з уже скомпрометованої системою. Різні компоненти chkrootkit займаються пошуком вилучених записів в «wtmp» і «lastlog» файлах, знаходять записи сніфферів або конфігураційних файлів руткітів, а також перевіряють на наявність прихованих записів в «/ proc» або викликів програми «readdir».
Щоб використовувати цю утиліту потрібно завантажити останню версію, розпакувати, скомпілювати і запустити.
RKHUNTER
Майкл Болін розробник, який створив у 2003 році Rkhunter. Ця дуже корисна програма для POSIX систем допомагає виявляти руткіти та інші уразливості в системах Linux. Rkhunter ретельно переглядає файли (приховані або видимі), каталоги за замовчуванням, модулі ядра і неправильно налаштовані дозволи в пошуках слабких місць.
Після звичайної перевірки, він зіставляє результати з безпечними і правильними записами баз даних і шукає підозріле ПО. Так як програма повністю написана на Bash, його можна використовувати не тільки на Linux, але і на всіх версіях Unix.
CLAMAV
Написаний на C ++ ClamAV антивірус з відкритим вихідним кодом, який допомагає виявляти віруси, трояни і інші види шкідливих програм. Він повністю безкоштовний, через що дуже багато користувачів використовують його для сканування персональних даних включаючи електронну пошту на наявність шкідливих файлів будь-якого типу. Він так само може бути використаний для сканування серверів.
Спочатку він був створений тільки для Unix. Незважаючи на це, є сторонні версії, які можна використовувати на Linux, BSD, AIX, MacOS, OpenVMS, Solaris. ClamAV регулярно виконує автоматичне оновлення баз даних для виявлення найостанніших загроз. Є можливість сканування в режимі командного рядка.
Він перевіряє різні типи файлів на наявність вразливостей. Антивірус підтримує всі типи стиснених файлів включаючи RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS format, BinHex і майже всі типи поштових систем.
LMD
Linux Malware Detect (LMD) інший дуже популярний продукт для Linux систем, спеціально розроблений для частих загроз. Як і інші подібні продукти для пошуку шкідливих програм і руткітів, LMD використовує базу сигнатур для виявлення і припинення роботи будь-якого шкідливого коду.
LMD не обмежується власними базами сигнатур. Для кращого пошуку він може використовувати бази ClamAV і Team Cymru. Для заповнення своїх баз, LMD збирає дані про уразливість на прикордонних системах виявлення загроз. Тим самим він генерує нові сигнатури для шкідливих ПО, які активно експлуатуються в атаках.
RADARE2
Radare2 (R2) фреймворк для аналізу і реверс-інжинірингу двійкових файлів з чудовими можливостями виявлення. Він може виявити заражені файли, дає користувачеві інструменти для управління ними, нейтралізує потенційні загрози. Фереймворк використовує NoSQL базу sdb. Дослідники безпеки і розробники ПЗ вважають кращою цю програму за можливість відмінного візуального представлення даних.
Однією з відмінних рис Radare2 є те, що користувач не повинен використовувати командний рядок для виконання таких завдань, як статичний / динамічний аналіз і використання програмного забезпечення. Рекомендується для будь-якого типу досліджень по бінарним даними.
OPENVAS
Open Vulnarability Assessment System або OpenVAS ця розміщена система для сканування вразливостей і управління ними. Вона призначена для підприємств будь-якого розміру і допомагає виявляти невидимі проблеми безпеки в інфраструктурі. Спочатку цей продукт був відомий під назвою GNessUs, до тих пір, поки новий власник, Greenbone Networks, не змінив назву на OpenVAS.
Починаючи з версії 4.0, OpenVAS надає безперервне оновлення мережевої бази тестування вразливостей зазвичай менш ніж за 24 години. На червень 2016 система має більше 47 тисяч баз.
Експерти безпеки використовують OpenVAS через можливість швидкого сканування. Він також відрізняється чудовою можливістю конфігурації. Програми OpenVAS можуть використовуватися на автономних віртуальних машинах для проведення безпечних досліджень шкідливих програм. Його вихідний код доступний під ліцензією GNU GPL. Багато інших засобів виявлення вразливостей залежать від OpenVAS – саме тому його приймають як найважливішу програму в платформах на базі Linux.
REMNUX
REMNux використовує метод зворотного-інжинірингу для аналізу вірусів. Він може виявляти більшість проблем на основі браузера, прихованих в змінених фрагментах коду JavaScript і апплетах Flash. Він також здатний сканувати PDF-файли і виконувати експертизу пам’яті. Засіб допомагає виявляти шкідливі програми всередині папок і файлів, які складно перевірити за допомогою інших програм виявлення вірусів.
Він ефективний завдяки своїм можливостям декодування і зворотного проектування. Він може визначати властивості підозрілих програм, і, будучи легким, він в значній мірі не виявляється інтелектуальними шкідливими програмами. Він може використовуватися як на Linux, так і на Windows, а його функціональність може бути поліпшена за допомогою інших інструментів сканування.
TIGER
У 1992 році Техаський Університет A&M почав працювати над Tiger для підвищення безпеки комп’ютерів кампуса. Сьогодні ж вона найпопулярніша система для Unix-подібних платформ. Унікальність цього рішення полягає в тому, що воно є не тільки засобом аудиту безпеки, але і системою виявлення вторгнень.
Програма вільно поширюються під ліцензією GPL. Tiger повністю написаний на shell – це одна з причин його ефективності. Він підходить для перевірки стану і конфігурації системи, а його багатоцільове використання робить його дуже популярним серед людей, що використовують інструменти POSIX.
MALTRAIL
Maltrail – це система виявлення трафіку, здатна забезпечити чистоту трафіку вашого сервера і допомогти йому уникнути будь-яких загроз. Вона виконує це завдання, порівнюючи джерела трафіку з сайтами в чорному списку, опублікованими в Інтернеті.
Крім перевірки сайтів, включених в чорний список, вона також використовує вдосконалені евристичні механізми для виявлення різних видів загроз. Навіть якщо це необов’язкова функція, вона стане в нагоді, коли ви вважаєте, що ваш сервер вже піддався атаці.
Ця система має особливий сенсор, здатний виявляти трафік сервера, і посилати інформацію на сервер Maltrail. Система виявлення перевіряє, чи достатньо безпечний трафік для обміну даними між сервером і джерелом.
YARA
Створена для Linux, Windows і macOS, YARA (Yet Another Ridiculous Acronym) є одним з найбільш важливих інструментів, що використовуються для дослідження і виявлення шкідливих програм. Він використовує текстові або двійкові шаблони для спрощення і прискорення процесу виявлення, що спрощує і прискорює рішення задачі.
У YARA є деякі додаткові функції, але для їх використання необхідна бібліотека OpenSSL. Навіть якщо у вас немає цієї бібліотеки, ви можете використовувати YARA для базового дослідження шкідливих програм за допомогою механізму, заснованого на правилах. Також його можна використовувати в пісочниці Cuckoo – пісочниці на основі Python, ідеальної для проведення безпечних досліджень шкідливого програмного забезпечення.
ЯК вибрати кращу утиліту?
Всі інструменти, про які ми говорили вище, працюють дуже добре, і коли інструмент популярний в середовищі Linux, ви можете бути впевнені, що його використовують тисячі досвідчених користувачів. Потрібно пам’ятати, що кожен додаток зазвичай залежить від інших програм. Наприклад, це стосується ClamAV і OpenVAS.
Необхідно зрозуміти, що потрібно вашій системі і в яких компонентах вона може мати уразливості. По-перше, використовуйте легкий інструмент, щоб вивчити, який розділ вимагає уваги. Потім використовуйте відповідний інструмент для вирішення проблеми.