Да ли сте забринути да ваш Линук сервер, десктоп или лаптоп могу бити заражени руткитом? Уколико желите да проверите присуство руткита и ефикасно их уклоните, први корак је темељно скенирање система. Један од најефикаснијих алата за ову сврху на Линук-у је Тигер. Покретањем Тигера, добијате свеобухватан безбедносни извештај вашег Линук система, који детаљно указује на потенцијалне проблеме, укључујући и присуство руткита.
У овом упутству, детаљно ћемо објаснити како да инсталирате Тигер безбедносни алат и како да га користите за скенирање и елиминисање опасних руткита.
Инсталација Тигера
Тигер се не испоручује унапред инсталиран ни на једној Линук дистрибуцији. Пре него што почнемо са коришћењем Тигера на Линук-у, потребно је да га инсталирамо. За инсталацију Тигера без компилације изворног кода, препоручује се коришћење Убунту, Дебиан или Арцх Линук дистрибуција.
Убунту
Тигер је већ дуго присутан у Убунту софтверским репозиторијумима. Да бисте га инсталирали, отворите терминал и унесите следећу apt команду.
sudo apt install tiger
Дебиан
Дебиан такође има Тигер у својим репозиторијумима, и може се инсталирати користећи команду apt-get install.
sudo apt-get install tiger
Арцх Линук
Тигер безбедносни софтвер је доступан за Арцх Линук преко АУР-а (Arch User Repository). Пратите следеће кораке да бисте инсталирали софтвер на свој систем.
Корак 1: Инсталирајте пакете неопходне за ручну инсталацију АУР пакета. Ти пакети су Git и base-devel.
sudo pacman -S git base-devel
Корак 2: Клонирајте Тигер АУР снимак на ваш Арцх рачунар помоћу команде git clone.
git clone https://aur.archlinux.org/tiger.git
Корак 3: Преместите сесију терминала из подразумеваног (домаћег) директоријума у нови директоријум „tiger“ који садржи датотеку PKGBUILD.
cd tiger
Корак 4: Генеришите Арцх инсталациони пакет за Тигер. Прављење пакета се врши помоћу команде makepkg, али треба имати на уму да понекад генерисање пакета може бити неуспешно због проблема са зависношћу. Уколико се то деси, погледајте званичну Тигер АУР страницу за зависности. Обавезно прочитајте и коментаре корисника који могу садржати корисне информације.
makepkg -sri
Федора и ОпенСУСЕ
Нажалост, Федора, ОпенСУСЕ и друге Линук дистрибуције засноване на РПМ/РедХат-у немају готове бинарне пакете за једноставну инсталацију Тигера. Као алтернативу, можете размислити о конвертовању ДЕБ пакета помоћу алата „alien“. Такође можете пратити упутства за инсталацију из изворног кода у наставку.
Општа Линук Инсталација
Да бисте компилирали Тигер из изворног кода, потребно је да клонирате код. Отворите терминал и унесите следеће команде:
git clone https://git.savannah.nongnu.org/git/tiger.git
Инсталирајте програм покретањем приложене shell скрипте:
sudo ./install.sh
Алтернативно, уколико желите да га покренете без инсталације, користите следећу команду:
sudo ./tiger
Провера руткита на Линук-у
Тигер је аутоматизована апликација. Нема посебних опција или прекидача које корисници могу да користе у командној линији. Не постоји опција „покрени рооткит“ за директну проверу. Уместо тога, потребно је покренути потпуно скенирање система помоћу Тигера.
Приликом сваког покретања, програм скенира различите врсте безбедносних претњи на систему. Моћи ћете да пратите шта се све скенира. Неке од ствари које Тигер проверава су:
Линук датотеке са лозинкама.
.rhosts датотеке.
.netrc датотеке.
ttyтаб, securetty и конфигурационе датотеке за пријављивање.
Групне датотеке.
Bash путање подешавања.
Провере руткита.
Уноси у crontab.
Откривање „упада“.
SSH конфигурационе датотеке.
Процеси слушања.
FTP конфигурационе датотеке.
Да бисте покренули Тигер безбедносно скенирање на Линук-у, неопходно је да имате root приступ. То можете учинити помоћу команди su или sudo -s.
su -
или
sudo -s
Са root привилегијама, покрените команду „tiger“ да бисте започели безбедносну ревизију.
tiger
Сачекајте да се команда изврши и прође кроз процес ревизије. Програм ће исписати шта скенира и како комуницира са вашим Линук системом. Након што се процес ревизије заврши, Тигер ће у терминалу исписати локацију безбедносног извештаја.
Преглед Тигер Дневника
Да бисте установили да ли имате руткит на Линук систему, неопходно је да прегледате безбедносни извештај.
Да бисте прегледали било који Тигер безбедносни извештај, отворите терминал и помоћу команде „cd“ пређите у директоријум /var/log/tiger.
Напомена: Линук не дозвољава приступ директоријуму /var/log корисницима који немају root привилегије. Морате користити команду su.
su -
или
sudo -s
Затим приступите фасцикли дневника помоћу команде:
cd /var/log/tiger
У директоријуму Тигер дневника, покрените команду „ls“. Ова команда ће исписати све датотеке у директоријуму.
ls
Означите датотеку безбедносног извештаја која је откривена у терминалу, а затим је прегледајте помоћу команде „cat“.
cat security.report.xxx.xxx-xx:xx
Прегледајте извештај и утврдите да ли је Тигер открио руткит на вашем систему.
Уклањање руткита на Линук-у
Уклањање руткита из Линук система је сложен процес, чак и уз употребу најбољих алата, и не гарантује успех 100% времена. Иако постоје програми који могу помоћи у уклањању ових проблема, не могу се увек ослонити на њих.
Уколико је Тигер открио опасни руткит на вашем Линук рачунару, најбоље решење је направити резервну копију критичних датотека, припремити нови живи УСБ и потпуно реинсталирати оперативни систем.