В этой статье я расскажу, как установить chkrootkit на наши новейшие системы Ubuntu 18.04 и CentOS 7.
Chkrootkit – это общий сканер безопасности, который помогает администраторам искать в локальной системе признаки того, что он заражен «руткитом».
Руткит можно рассматривать как вредоносную программу, которая может взять под контроль компьютерную систему, не зная об этом пользователя компьютерной системы.
Это означает, что руткит способен выполнять файлы и изменять конфигурацию системы на целевой машине и многие другие, которые могут выполняться только как суперпользователь Linux-машины.
Имейте в виду, что вы можете использовать chkrootkit для поиска файлов и процессов, связанных с руткитом, но вы не можете быть на 100% уверены, что все куски руткитов найдены и удалены.
Вы можете защитить свою систему от руткитов, гарантируя, что все приложения и программное обеспечение обновлены и система будет исправлена против всех известных уязвимостей.
Установка chkrootkit на Ubuntu 18.04
Гораздо проще установить chkrootkit на сервер Ubuntu 18.04, поскольку он доступен в самих пакетах репозитория Ubuntu.
Мы можем установить его, выполнив следующую команду:
# apt-get update
# apt install chkrootkit
# chkrootkit -V
chkrootkit version 0.52
Нам просто нужно убедиться, что у нас есть привилегии root для использования chkrootkit.
Включить автоматическое сканирование серверов
Пакет chkrootkit в репозитории Ubuntu поставляется с конфигурацией crontab.
Этот crontab планируется запустить ежедневно.
Чтобы включить ежедневную проверку, вы можете открыть /etc/chkrootkit.conf и изменить этот файл, как показано ниже:
Замените первую строку:
RUN_DAILY=”false”
на
RUN_DAILY=”true”
Установка chkrootkit на CentOS 7.5
Этот инструмент недоступен в пакетах репозитория CentOS.
Следовательно, нам нужно загрузить последнюю доступную версию и настроить ее.
1. Установка компиляторов и библиотек C / C ++
В Chkrootkit есть программы C.
Перед компиляцией исходного пакета chkrootkit вам необходимо установить компилятор GCC (C и C ++) и glibc-static, чтобы избежать ошибок во время процесса использования.
#yum update
#yum install wget gcc-c++ glibc-static
2. Загрузите последний доступный chkrootkit.
Как упоминалось ранее, вы можете скачать последнюю версию chkrootkit с веб-сайта chkrootkit.
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3. Загрузите хэш-файл пакета md5
Затем мы можем загрузить хеш-файл md5, связанный с нашей загрузкой chkrootkit, чтобы проверить, не поврежден ли он.
# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
# md5sum -c chkrootkit.md5
chkrootkit.tar.gz: OK
4. Извлеките сжатый файл и установите его.
Теперь вы можете перейти в загруженную папку и извлечь файл.
Вы можете извлечь его по тому же пути и переместить двоичный файл chkrootkit в папку / usr / bin, или вы можете переместить извлеченное содержимое в отдельную папку с таким именем, как описано здесь, и установить его.
В любом случае это сработает.
#tar –xzf chkrootkit.tar.gz
#mkdir /usr/local/chkrootkit
#mv chkrootkit-0.52/* /usr/local/chkrootkit
#cd /usr/local/chkrootkit
#make sense
Теперь вы можете запустить chkrootkit для сканирования сервера.
/usr/local/chkrootkit/chkrootkit
5. Включите автоматическое сканирование сервера.
Вы можете добавить запись cron для запуска chkrootkit автоматически и отправить отчет проверки на ваш почтовый адрес.
Создайте и добавьте следующие записи в “/etc/cron.daily/chkrootkit.sh”
#!/bin/sh
(
/usr/local/chkrootkit/chkrootkit
) | /bin/mail -s 'CHROOTKIT Daily Run (ServerName)' your@email.com
Вы можете также установить другие защитные сканеры, такие как rkhunter, в вашу систему для лучшей безопасности.
Понимание chkrootkit
Chkrootkit – это инструмент для проверки руткитов. Он содержит скрипт оболочки chkrootkit, который сканирует все системные двоичные файлы для любых модификаций руткитов.
Кроме того, он содержит несколько программ на C, которые выполняют различные проверки безопасности, как показано ниже:
ifpromisc.c: Он проверяет, находится ли сетевой интерфейс в беспорядочном режиме.
chklastlog.c: Он проверяет удаление последнего.
chkwtmp.c: Он проверяет удаление wtmp.
chkproc.c: Он проверяет наличие признаков троянов LKM.
chkdirs.c: Он проверяет наличие признаков троянов LKM.
strings.c: Выполняет быструю и грязную замену строк.
chkutmp.c: Он проверяет удаление utmp.
2018-07-03T09:57:49
Закрытие уязвимостей
