Иако се системи засновани на Линуку често сматрају непробојним, и даље постоје ризици које треба озбиљно схватити.
Руткитови, вируси, рансомваре и многи други штетни програми често могу напасти и узроковати проблеме Линук серверима.
Без обзира на оперативни систем, предузимање безбедносних мера је неопходно за сервере. Велики брендови и организације су предузеле безбедносне мере у својим рукама и развиле алате који не само да откривају недостатке и малвер, већ их и исправљају и предузимају превентивне мере.
На срећу, постоје алати доступни по ниској цени или бесплатно који могу помоћи у овом процесу. Они могу да открију недостатке у различитим деловима Линук базираног сервера.
Преглед садржаја
Линис
Линис је реномирани безбедносни алат и пожељна опција за стручњаке за Линук. Такође ради на системима заснованим на Уник-у и мацОС-у. То је софтверска апликација отвореног кода која се користи од 2007. под ГПЛ лиценцом.
Линис је способан да открије безбедносне рупе и пропусте у конфигурацији. Али то иде даље од тога: уместо само разоткривања рањивости, оно предлаже корективне радње. Због тога, да бисте добили детаљне ревизорске извештаје, потребно га је покренути на хост систему.
Инсталација није неопходна за коришћење Линис-а. Можете га издвојити из преузетог пакета или тарбалл-а и покренути га. Такође га можете добити од Гит клона да бисте имали приступ комплетној документацији и изворном коду.
Линис је креирао оригинални аутор Ркхунтер, Мицхаел Боелен. Има две врсте услуга заснованих на појединцима и предузећима. У оба случаја, има изванредне перформансе.
Цхкрооткит
Као што сте можда већ претпоставили, цхкрооткит је алат за проверу постојања рооткита. Руткитови су врста злонамерног софтвера који може да омогући приступ серверу неовлашћеном кориснику. Ако користите сервер заснован на Линук-у, рооткити могу бити проблем.
цхкрооткит је један од најчешће коришћених програма заснованих на Уник-у који може да открије роотките. Користи ‘стрингс’ и ‘греп’ (команде Линук алата) за откривање проблема.
Може се користити или из алтернативног директоријума или са диска за спасавање, у случају да желите да верификује већ компромитован систем. Различите компоненте Цхкрооткит-а брину о тражењу избрисаних уноса у датотекама „втмп“ и „ластлог“, проналажењу сниффер записа или конфигурационих датотека рооткит-а и провере скривених уноса у „/проц“ или позива програму „реаддир“.
Да бисте користили цхкрооткит, требало би да преузмете најновију верзију са сервера, издвојите изворне датотеке, преведете их и спремни сте за рад.
Ркхунтер
Програмер Мицхеал Боелен је био особа иза израде Ркхунтер (Рооткит Хунтер) 2003. То је погодна алатка за ПОСИКС системе и може помоћи у откривању руткита и других рањивости. Ркхунтер темељно пролази кроз датотеке (било скривене или видљиве), подразумеване директоријуме, модуле кернела и погрешно конфигурисане дозволе.
Након рутинске провере, упоређује их са сигурним и исправним записима база података и тражи сумњиве програме. Пошто је програм написан на Басху, он не може да ради само на Линук машинама већ и на практично било којој верзији Уник-а.
ЦламАВ
Написано у Ц++, ЦламАВ је антивирус отвореног кода који може помоћи у откривању вируса, тројанаца и многих других врста малвера. То је потпуно бесплатан алат, зато га многи људи користе за скенирање својих личних података, укључујући е-пошту, у потрази за било којом врстом злонамерних датотека. Такође значајно служи као скенер на страни сервера.
Алат је првобитно развијен, посебно за Уник. Ипак, има верзије треће стране које се могу користити на Линук-у, БСД-у, АИКС-у, мацОС-у, ОСФ-у, ОпенВМС-у и Соларису. Цлам АВ врши аутоматско и редовно ажурирање своје базе података, како би могао да открије чак и најновије претње. Омогућава скенирање на командној линији и има демона са више нити да би побољшао брзину скенирања.
Може да прође кроз различите врсте датотека да би открио рањивости. Подржава све врсте компримованих датотека, укључујући РАР, Зип, Гзип, Тар, Цабинет, ОЛЕ2, ЦХМ, СИС формат, БинХек и скоро све врсте система е-поште.
ЛМД
Откривање злонамерног софтвера за Линук – или скраћено ЛМД – је још један познати антивирус за Линук системе, посебно дизајниран око претњи које се обично налазе у хостованим окружењима. Као и многе друге алатке које могу да открију малвер и руткитове, ЛМД користи базу података потписа да пронађе било који злонамерни покренути код и брзо га укине.
ЛМД се не ограничава на сопствену базу података потписа. Може да искористи ЦламАВ и Теам Цимру базе података да пронађе још више вируса. Да би попунио своју базу података, ЛМД хвата податке о претњама из система за откривање упада у мрежу. Радећи ово, способан је да генерише нове потписе за малвер који се активно користи у нападима.
ЛМД се може користити преко командне линије „малдет“. Алат је специјално направљен за Линук платформе и може лако претраживати кроз Линук сервере.
Радаре2
Радаре2 (Р2) је оквир за анализу бинарних датотека и извођење обрнутог инжењеринга са одличним способностима детекције. Може да открије деформисане бинарне датотеке, дајући кориснику алате за управљање њима, неутралишући потенцијалне претње. Користи сдб, што је НоСКЛ база података. Истраживачи безбедности софтвера и програмери софтвера преферирају овај алат због његове одличне способности презентације података.
Једна од изванредних карактеристика Радаре2 је то што корисник није приморан да користи командну линију за обављање задатака као што су статичка/динамичка анализа и експлоатација софтвера. Препоручује се за било коју врсту истраживања бинарних података.
ОпенВАС
Отворени систем процене рањивости, или ОпенВАС, је хостовани систем за скенирање рањивости и управљање њима. Дизајниран је за предузећа свих величина, помажући им да открију безбедносне проблеме скривене у њиховој инфраструктури. У почетку је производ био познат као ГНессУс, све док његов тренутни власник, Греенбоне Нетворкс, није променио име у ОпенВАС.
Од верзије 4.0, ОпенВАС омогућава континуирано ажурирање – обично у периодима краћим од 24 сата – своје базе за тестирање рањивости мреже (НВТ). Од јуна 2016. имао је више од 47.000 НВТ-а.
Стручњаци за безбедност користе ОпенВАС због његове способности да брзо скенира. Такође има одличну могућност конфигурисања. ОпенВАС програми се могу користити са самосталне виртуелне машине за безбедно истраживање злонамерног софтвера. Његов изворни код је доступан под ГНУ ГПЛ лиценцом. Многи други алати за откривање рањивости зависе од ОпенВАС-а – зато се он сматра основним програмом на Линук платформама.
РЕМнук
РЕМнук користи методе обрнутог инжењеринга за анализу малвера. Може да открије многе проблеме засноване на претраживачу, скривене у ЈаваСцрипт замагљеним исечцима кода и Фласх аплетима. Такође је способан да скенира ПДФ датотеке и изврши форензику меморије. Алат помаже у откривању злонамерних програма унутар фасцикли и датотека које се не могу лако скенирати другим програмима за откривање вируса.
Ефикасан је због својих могућности декодирања и обрнутог инжењеринга. Може да одреди својства сумњивих програма, а због тога што је лаган, паметни злонамерни програми га веома не могу открити. Може се користити и на Линук-у и на Виндовс-у, а његова функционалност се може побољшати уз помоћ других алата за скенирање.
Тигер
Тексашки А&М универзитет је 1992. почео да ради Тигер да повећају безбедност рачунара у кампусу. Сада је то популаран програм за платформе сличне Уник-у. Јединствена ствар у вези са алатом је то што он није само алат за ревизију безбедности већ и систем за откривање упада.
Алат је бесплатан за коришћење под ГПЛ лиценцом. Зависи од ПОСИКС алата, а заједно могу створити савршен оквир који може значајно повећати сигурност вашег сервера. Тигер је у потпуности написан на језику шкољки – то је један од разлога његове ефикасности. Погодан је за проверу статуса и конфигурације система, а његова вишенаменска употреба га чини веома популарним међу људима који користе ПОСИКС алате.
Малтраил
Малтраил је систем за откривање саобраћаја који може да одржава саобраћај вашег сервера чистим и да му помогне да избегне било какву врсту злонамерних претњи. Тај задатак обавља тако што упоређује изворе саобраћаја са сајтовима на црној листи објављеним на мрежи.
Поред провере сајтова на црној листи, користи и напредне хеуристичке механизме за откривање различитих врста претњи. Иако је то опциона функција, она је згодна када мислите да је ваш сервер већ нападнут.
Има сензор способан да детектује саобраћај који сервер добија и шаље информације Малтраил серверу. Систем за детекцију проверава да ли је саобраћај довољно добар за размену података између сервера и извора.
ИАРА
Направљен за Линук, Виндовс и мацОС, ИАРА (Још један смешан акроним) је један од најважнијих алата који се користе за истраживање и откривање злонамерних програма. Користи текстуалне или бинарне обрасце да поједностави и убрза процес откривања, што резултира брзим и лаким задатком.
ИАРА има неке додатне функције, али вам је потребна ОпенССЛ библиотека да бисте их користили. Иако немате ту библиотеку, можете да користите ИАРА за основно истраживање злонамерног софтвера преко механизма заснованог на правилима. Такође се може користити у Цуцкоо Сандбок-у, сандбок-у заснованом на Питхон-у идеалном за безбедно истраживање злонамерног софтвера.
Како одабрати најбољи алат?
Сви алати које смо поменули изнад функционишу веома добро, а када је алат популаран у Линук окружењима, можете бити прилично сигурни да га користе хиљаде искусних корисника. Једна ствар коју администратори система треба да упамте је да свака апликација обично зависи од других програма. На пример, то је случај са ЦламАВ-ом и ОпенВАС-ом.
Морате да разумете шта је вашем систему потребно и у којим областима може да има рањивости. Прво, користите лагани алат да истражите на који одељак треба обратити пажњу. Затим користите одговарајући алат да решите проблем.