Selv om Linux-baserte systemer ofte anses som ugjennomtrengelige, er det fortsatt risikoer som må tas på alvor.
Rootkits, virus, løsepengevare og mange andre skadelige programmer kan ofte angripe og forårsake problemer med Linux-servere.
Uansett operativsystem er det et must for servere å ta sikkerhetstiltak. Store merker og organisasjoner har tatt sikkerhetstiltakene i sine hender og utviklet verktøy som ikke bare oppdager feil og skadelig programvare, men også retter dem og tar forebyggende tiltak.
Heldigvis finnes det verktøy tilgjengelig for en lav pris eller gratis som kan hjelpe med denne prosessen. De kan oppdage feil i forskjellige deler av en Linux-basert server.
Innholdsfortegnelse
Lynis
Lynis er et kjent sikkerhetsverktøy og et foretrukket alternativ for eksperter på Linux. Det fungerer også på systemer basert på Unix og macOS. Det er en åpen kildekode-programvareapp som har blitt brukt siden 2007 under en GPL-lisens.
Lynis er i stand til å oppdage sikkerhetshull og konfigurasjonsfeil. Men det går utover det: i stedet for bare å avsløre sårbarhetene, foreslår det korrigerende handlinger. Det er derfor, for å få detaljerte revisjonsrapporter, er det nødvendig å kjøre det på vertssystemet.
Installasjon er ikke nødvendig for å bruke Lynis. Du kan trekke den ut fra en nedlastet pakke eller en tarball og kjøre den. Du kan også få den fra en Git-klon for å få tilgang til den fullstendige dokumentasjonen og kildekoden.
Lynis ble skapt av den opprinnelige forfatteren av Rkhunter, Michael Boelen. Den har to typer tjenester basert på enkeltpersoner og bedrifter. I begge tilfeller har den en enestående ytelse.
Chkrootkit
Som du kanskje allerede har gjettet, er chkrootkit er et verktøy for å sjekke om det finnes rootkits. Rootkits er en type ondsinnet programvare som kan gi servertilgang til en uautorisert bruker. Hvis du kjører en Linux-basert server, kan rootkits være et problem.
chkrootkit er et av de mest brukte Unix-baserte programmene som kan oppdage rootkits. Den bruker «strenger» og «grep» (Linux-verktøykommandoer) for å oppdage problemer.
Den kan enten brukes fra en alternativ katalog eller fra en redningsplate, i tilfelle du vil at den skal verifisere et allerede kompromittert system. De forskjellige komponentene i Chkrootkit tar seg av å lete etter slettede oppføringer i «wtmp»- og «lastlog»-filene, finne sniffer-poster eller rootkit-konfigurasjonsfiler, og se etter skjulte oppføringer i «/proc» eller kall til «readdir»-programmet.
For å bruke chkrootkit, bør du hente den nyeste versjonen fra en server, pakke ut kildefilene, kompilere dem, og du er klar til å gå.
Rkhunter
Utvikler Micheal Boelen var personen bak å lage Rkhunter (Rootkit Hunter) i 2003. Det er et egnet verktøy for POSIX-systemer og kan hjelpe med å oppdage rootkits og andre sårbarheter. Rkhunter går grundig gjennom filer (enten skjulte eller synlige), standardkataloger, kjernemoduler og feilkonfigurerte tillatelser.
Etter en rutinemessig sjekk sammenligner den dem med sikre og riktige registreringer av databaser og ser etter mistenkelige programmer. Siden programmet er skrevet i Bash, kan det ikke bare kjøres på Linux-maskiner, men også på praktisk talt alle versjoner av Unix.
ClamAV
Skrevet i C++, ClamAV er et åpen kildekode-antivirus som kan hjelpe med å oppdage virus, trojanere og mange andre typer skadelig programvare. Det er et helt gratis verktøy, det er derfor mange mennesker bruker det til å skanne personlig informasjon, inkludert e-post, for alle typer skadelige filer. Den fungerer også betydelig som en skanner på serversiden.
Verktøyet ble i utgangspunktet utviklet, spesielt for Unix. Likevel har den tredjepartsversjoner som kan brukes på Linux, BSD, AIX, macOS, OSF, OpenVMS og Solaris. Clam AV gjør en automatisk og regelmessig oppdatering av databasen sin, for å kunne oppdage selv de nyeste truslene. Den gir mulighet for kommandolinjeskanning, og den har en skalerbar demon med flere tråder for å forbedre skannehastigheten.
Den kan gå gjennom forskjellige typer filer for å oppdage sårbarheter. Den støtter alle typer komprimerte filer, inkludert RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS-format, BinHex og nesten alle typer e-postsystemer.
LMD
Oppdager Linux-malware – eller LMD, for kort – er et annet kjent antivirus for Linux-systemer, spesielt utviklet rundt truslene som vanligvis finnes i vertsmiljøer. Som mange andre verktøy som kan oppdage skadelig programvare og rootkits, bruker LMD en signaturdatabase for å finne eventuell ondsinnet kjørekode og raskt avslutte den.
LMD begrenser seg ikke til sin egen signaturdatabase. Den kan utnytte ClamAV og Team Cymrus databaser for å finne enda flere virus. For å fylle sin database, fanger LMD opp trusseldata fra nettverkskantinntrengningsdeteksjonssystemer. Ved å gjøre dette er den i stand til å generere nye signaturer for skadelig programvare som brukes aktivt i angrep.
LMD kan brukes gjennom kommandolinjen «maldet». Verktøyet er spesiallaget for Linux-plattformer og kan enkelt søke gjennom Linux-servere.
Radare 2
Radare 2 (R2) er et rammeverk for å analysere binærfiler og utføre omvendt utvikling med utmerkede deteksjonsevner. Den kan oppdage misdannede binærfiler, og gi brukeren verktøyene til å administrere dem, og nøytralisere potensielle trusler. Den bruker sdb, som er en NoSQL-database. Programvaresikkerhetsforskere og programvareutviklere foretrekker dette verktøyet for sin utmerkede datapresentasjonsevne.
En av de enestående egenskapene til Radare2 er at brukeren ikke er tvunget til å bruke kommandolinjen for å utføre oppgaver som statisk/dynamisk analyse og programvareutnyttelse. Det anbefales for alle typer forskning på binære data.
OpenVAS
Åpent sårbarhetsvurderingssystem, eller OpenVAS, er et vertssystem for å skanne sårbarheter og administrere dem. Den er designet for bedrifter i alle størrelser, og hjelper dem med å oppdage sikkerhetsproblemer som er skjult i deres infrastruktur. Opprinnelig var produktet kjent som GNessUs, inntil dets nåværende eier, Greenbone Networks, endret navn til OpenVAS.
Siden versjon 4.0 tillater OpenVAS kontinuerlig oppdatering – vanligvis i perioder på mindre enn 24 timer – av NVT-basen (Network Vulnerability Testing). Fra juni 2016 hadde den mer enn 47 000 NVT-er.
Sikkerhetseksperter bruker OpenVAS på grunn av dens evne til å skanne raskt. Den har også utmerket konfigurerbarhet. OpenVAS-programmer kan brukes fra en selvstendig virtuell maskin for å utføre sikker skadevareforskning. Kildekoden er tilgjengelig under en GNU GPL-lisens. Mange andre sårbarhetsdeteksjonsverktøy er avhengige av OpenVAS – det er derfor det tas som et viktig program i Linux-baserte plattformer.
REMnux
REMnux bruker omvendt utviklingsmetoder for å analysere skadelig programvare. Den kan oppdage mange nettleserbaserte problemer, skjult i JavaScript-obfuskerte kodebiter og Flash-appleter. Den er også i stand til å skanne PDF-filer og utføre minneetterforskning. Verktøyet hjelper med å oppdage skadelige programmer inne i mapper og filer som ikke enkelt kan skannes med andre virusdeteksjonsprogrammer.
Den er effektiv på grunn av dens dekodings- og reverseringsfunksjoner. Det kan bestemme egenskapene til mistenkelige programmer, og for å være lett, er det veldig mye uoppdagelig av smarte ondsinnede programmer. Den kan brukes på både Linux og Windows, og funksjonaliteten kan forbedres ved hjelp av andre skanneverktøy.
Tiger
I 1992 begynte Texas A&M University å jobbe med Tiger for å øke sikkerheten til campusdatamaskiner. Nå er det et populært program for Unix-lignende plattformer. En unik ting med verktøyet er at det ikke bare er et sikkerhetsrevisjonsverktøy, men også et inntrengningsdeteksjonssystem.
Verktøyet er gratis å bruke under en GPL-lisens. Det er avhengig av POSIX-verktøy, og sammen kan de skape et perfekt rammeverk som kan øke sikkerheten til serveren din betraktelig. Tiger er helt skrevet på skallspråk – det er en av grunnene til dens effektivitet. Den er egnet for å sjekke systemstatus og konfigurasjon, og dens flerbruksbruk gjør den veldig populær blant folk som bruker POSIX-verktøy.
Maltrail
Maltrail er et trafikkdeteksjonssystem som er i stand til å holde serverens trafikk ren og hjelpe den med å unngå enhver form for ondsinnede trusler. Den utfører den oppgaven ved å sammenligne trafikkkildene med svartelistede nettsteder publisert på nettet.
I tillegg til å se etter svartelistede nettsteder, bruker den også avanserte heuristiske mekanismer for å oppdage forskjellige typer trusler. Selv om det er en valgfri funksjon, kommer den godt med når du tror serveren din allerede har blitt angrepet.
Den har en sensor som er i stand til å oppdage trafikken en server får og sende informasjonen til Maltrail-serveren. Deteksjonssystemet verifiserer om trafikken er god nok til å utveksle data mellom en server og kilden.
YARA
Laget for Linux, Windows og macOS, YARA (Yet Another Ridiculous Acronym) er et av de mest essensielle verktøyene som brukes for forskning og oppdagelse av ondsinnede programmer. Den bruker tekstlige eller binære mønstre for å forenkle og akselerere gjenkjenningsprosessen, noe som resulterer i en rask og enkel oppgave.
YARA har noen ekstra funksjoner, men du trenger OpenSSL-biblioteket for å bruke dem. Selv om du ikke har det biblioteket, kan du bruke YARA for grunnleggende skadevareforskning gjennom en regelbasert motor. Den kan også brukes i Cuckoo Sandbox, en Python-basert sandkasse som er ideell for sikker forskning av skadelig programvare.
Hvordan velge det beste verktøyet?
Alle verktøyene vi har nevnt ovenfor fungerer veldig bra, og når et verktøy er populært i Linux-miljøer, kan du være ganske sikker på at tusenvis av erfarne brukere bruker det. En ting som systemadministratorer bør huske er at hver applikasjon vanligvis er avhengig av andre programmer. For eksempel er det tilfellet med ClamAV og OpenVAS.
Du må forstå hva systemet ditt trenger og på hvilke områder det kan ha sårbarheter. For det første, bruk et lettvektsverktøy for å undersøke hvilken del som trenger oppmerksomhet. Bruk deretter riktig verktøy for å løse problemet.