srcmini本文概述
尽管基于Linux的系统通常被认为是不可渗透的, 但仍然存在需要认真对待的风险。
Rootkit, 病毒, 勒索软件和许多其他有害程序通常会攻击Linux服务器并引起问题。
无论操作系统如何, 服务器都必须采取安全措施。大型品牌和组织已经采取了安全措施, 并开发了不仅可以检测缺陷和恶意软件, 还可以对其进行纠正并采取预防措施的工具。
幸运的是, 有一些价格低廉或免费的工具可以帮助完成此过程。他们可以检测基于Linux的服务器不同部分的缺陷。
Lynis
Lynis是著名的安全工具, 也是Linux专家的首选选项。它也可以在基于Unix和macOS的系统上工作。这是一个开放源代码的软件应用程序, 自2007年以来一直根据GPL许可使用。
Lynis能够检测安全漏洞和配置缺陷。但这还不止于此:它不仅提出漏洞, 还建议采取纠正措施。因此, 要获取详细的审核报告, 必须在主机系统上运行它。
使用Lynis不需要安装。你可以从下载的程序包或tarball中提取它并运行它。你也可以从Git克隆中获取它, 以访问完整的文档和源代码。
Lynis由Rkhunter的原始作者Michael Boelen创建。它有两种基于个人和企业的服务。无论哪种情况, 它都具有出色的性能。
Chkrootkit
你可能已经猜到了, chkrootkit是检查rootkit是否存在的工具。 Rootkit是一种恶意软件, 可以向未经授权的用户提供服务器访问权限。如果你正在运行基于Linux的服务器, 则rootkit可能是个问题。
chkrootkit是可以检测rootkit的最常用的基于Unix的程序之一。它使用”字符串”和” grep”(Linux工具命令)来检测问题。
可以从备用目录中使用它, 也可以从应急磁盘中使用它, 以防你需要验证已经受到威胁的系统。 Chkrootkit的不同组件负责在” wtmp”和” lastlog”文件中查找已删除的条目, 查找嗅探器记录或rootkit配置文件, 并检查” / proc”中的隐藏条目或对” readdir”程序的调用。
要使用chkrootkit, 你应该从服务器上获取最新版本, 提取源文件, 进行编译, 然后就可以开始使用。
Rkhunter
开发人员Micheal Boelen于2003年成为Rkhunter(Rootkit Hunter)的开发者。它是POSIX系统的合适工具, 可以帮助检测Rootkit和其他漏洞。 Rkhunter会仔细检查文件(隐藏或可见), 默认目录, 内核模块和配置错误的权限。
经过例行检查后, 它将它们与数据库的安全正确记录进行比较, 并查找可疑程序。由于该程序是用Bash编写的, 因此它不仅可以在Linux机器上运行, 而且可以在几乎任何版本的Unix上运行。
ClamAV
ClamAV用C ++编写, 是一种开源防病毒软件, 可以帮助检测病毒, 特洛伊木马和许多其他类型的恶意软件。它是一个完全免费的工具, 这就是为什么很多人使用它来扫描其个人信息(包括电子邮件)中是否存在任何恶意文件。它还显着用作服务器端扫描程序。
该工具最初是为Unix开发的。它仍然具有可在Linux, BSD, AIX, macOS, OSF, OpenVMS和Solaris上使用的第三方版本。 Clam AV会对其数据库进行自动且定期的更新, 以便甚至能够检测到最新威胁。它允许命令行扫描, 并且它具有多线程可伸缩恶魔以提高其扫描速度。
它可以通过不同类型的文件来检测漏洞。它支持各种压缩文件, 包括RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS格式, BinHex和几乎任何类型的电子邮件系统。
LMD
Linux恶意软件检测程序(简称LMD)是Linux系统的另一种著名的防病毒软件, 专门针对通常在托管环境中发现的威胁而设计。像许多其他可以检测到恶意软件和rootkit的工具一样, LMD使用签名数据库来查找任何恶意运行代码并迅速将其终止。
LMD并不局限于自己的签名数据库。它可以利用ClamAV和Team Cymru的数据库查找更多病毒。为了填充其数据库, LMD从网络边缘入侵检测系统捕获威胁数据。通过这样做, 它能够为攻击中活跃使用的恶意软件生成新的签名。
可以通过” maldet”命令行使用LMD。该工具是专为Linux平台设计的, 可以轻松地搜索Linux服务器。
Radare2
Radare2(R2)是一个用于分析二进制文件并以出色的检测能力进行反向工程的框架。它可以检测格式错误的二进制文件, 从而为用户提供了管理它们的工具, 从而消除了潜在的威胁。它利用sdb, 这是一个NoSQL数据库。软件安全研究人员和软件开发人员更喜欢此工具, 因为它具有出色的数据表示能力。
Radare2的突出特点之一是, 用户不会被迫使用命令行来完成诸如静态/动态分析和软件开发之类的任务。建议对二进制数据进行任何类型的研究。
OpenVAS
开放式漏洞评估系统(Open VAS)是一个托管系统, 用于扫描和管理漏洞。它是为各种规模的企业设计的, 可帮助他们检测基础架构中隐藏的安全问题。最初, 该产品被称为GNessUs, 直到其当前所有者Greenbone Networks将其名称更改为OpenVAS。
从4.0版开始, OpenVAS允许对其网络漏洞测试(NVT)基础进行连续更新(通常少于24小时)。截至2016年6月, 它拥有超过47, 000个NVT。
安全专家使用OpenVAS, 因为它具有快速扫描的能力。它还具有出色的可配置性。可以从独立的虚拟机中使用OpenVAS程序进行安全的恶意软件研究。它的源代码在GNU GPL许可下可用。许多其他漏洞检测工具都依赖于OpenVAS, 这就是为什么它在基于Linux的平台上被视为必不可少的程序的原因。
REMnux
REMnux使用逆向工程方法来分析恶意软件。它可以检测到许多基于浏览器的问题, 隐藏在JavaScript混淆的代码片段和Flash小程序中。它还能够扫描PDF文件并执行内存取证。该工具可帮助检测文件夹和文件中的恶意程序, 这些恶意程序无法用其他病毒检测程序轻松扫描。
它具有解码和反向工程功能, 因此非常有效。它可以确定可疑程序的属性, 并且由于轻巧, 因此智能恶意程序几乎无法检测到它。它可以在Linux和Windows上使用, 并且可以借助其他扫描工具来改善其功能。
Tiger
1992年, 德克萨斯农工大学开始研究Tiger, 以提高其校园计算机的安全性。现在, 它是类Unix平台上流行的程序。该工具的独特之处在于它不仅是安全审核工具, 而且还是入侵检测系统。
根据GPL许可, 该工具可免费使用。它依赖于POSIX工具, 它们一起可以创建一个完美的框架, 该框架可以显着提高服务器的安全性。 Tiger完全是用Shell语言编写的, 这就是其有效性的原因之一。它适用于检查系统状态和配置, 它的多功能用途使其在使用POSIX工具的人们中非常受欢迎。
Maltrail
Maltrail是一种流量检测系统, 能够保持服务器的流量整洁并帮助其避免任何恶意威胁。它通过将流量来源与在线发布的黑名单站点进行比较来执行该任务。
除了检查列入黑名单的站点外, 它还使用高级启发式机制来检测各种威胁。即使它是一项可选功能, 当你认为服务器已经受到攻击时, 它也会派上用场。
它具有一个传感器, 该传感器能够检测服务器获得的流量并将信息发送到Maltrail服务器。检测系统验证流量是否足够好以在服务器和源之间交换数据。
YARA
YARA(又是另一个荒谬的缩写)专为Linux, Windows和macOS制作, 是用于研究和检测恶意程序的最重要工具之一。它使用文本或二进制模式来简化和加速检测过程, 从而实现快速简便的任务。
YARA确实具有一些额外的功能, 但是你需要使用OpenSSL库。即使你没有该库, 也可以通过基于规则的引擎使用YARA进行基本的恶意软件研究。它也可以在Cuckoo沙箱中使用, Cuckoo沙箱是基于Python的沙箱, 非常适合进行恶意软件的安全研究。
如何选择最好的工具?
上面提到的所有工具都可以很好地工作, 并且当一种工具在Linux环境中流行时, 你可以确定有成千上万的有经验的用户正在使用它。系统管理员应记住的一件事是, 每个应用程序通常都依赖于其他程序。例如, ClamAV和OpenVAS就是这种情况。
你需要了解系统的需求以及它在哪些方面可能存在漏洞。首先, 使用轻量级的工具来研究需要注意的部分。然后使用适当的工具解决问题。
评论前必须登录!
注册