Mesures de sécurité Linux Détection d'intrusion d'hôte (chkrootkit / rkhunter / maldetect)

introduction

Cet article décrit la détection d'intrusion d'hôte comme mesure de sécurité pour Linux.

Le but de la détection d'intrusion hôte est de détecter la présence de root kits et de logiciels malveillants.

Cet article traite des outils suivants (*).

• chkrootkit
• rkhunter
• maldetect

(*) Pour la version, utilisez la dernière version au moment de la rédaction de cet article

chkrootkit chkrootkit est un outil pour détecter l'existence de root kits. Le référentiel CentOS standard n'inclut pas le package chkrootkit comme le fait Ubuntu.

Vous pouvez télécharger chkrootkit depuis Download sur chkrootkit.org. Dans cet article, nous expliquerons la procédure d'installation de chkrootkit en utilisant CentOS 7 comme exemple.

De plus, chkrootkit utilise la commande suivante. Il n'a aucun sens une fois qu'il a déjà été falsifié, il doit donc être pris en considération lors de son introduction. De plus, chkrootkit n'a pas de fonction pour traiter automatiquement le rootkit même s'il est détecté, il est donc nécessaire de le traiter manuellement après la détection.

La commande suivante est utilisée par le script chkrootkit.

awk、cut、echo、egrep、find、head、id、ls、netstat、ps、strings、sed、uname

Introduction de chkrootkit

--Installation des packages requis # yum groups install -y "Development Tools" # yum install -y wget glibc-static

--Télécharger chkrootkit # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

• Décompressez # tar xzvf chkrootkit.tar.gz
• make # cd chkrootkit-0.53 # make sense

--Créer un lien symbolique # cd ../; mv chkrootkit-0.53/ /usr/local/ # ln -s /usr/local/chkrootkit-0.53/ /usr/local/chkrootkit

Exécutez chkrootkit

--Détection de kit de racine # cd /usr/local/chkrootkit
# ./chkrootkit --Détection du kit de racine (exécuté pour le répertoire spécifié) # ./chkrootkit -r <répertoire>

Vous pouvez le vérifier régulièrement en le paramétrant avec cron. Ce qui suit sera fait tous les jours à 3 heures et vous serez averti par e-mail.

0 3 * * * (cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)

rkhunter rkhunter est également un outil de détection de l'existence de root kits. Comme chkrootkit, il n'est pas inclus dans le référentiel standard CentOS, alors changez rkhunter en sourceforge.net. Téléchargement à partir des fichiers / rkhunter / 1.4.6 /). Vous pouvez également l'installer à partir du référentiel EPEL.

Introduction de rkhunter

--Télécharger rkhunter # wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

• Décompressez # tar xzvf rkhunter-1.4.6.tar.gz

--Installation de rkhunter # cd rkhunter-1.4.6 # ./installer.sh --install

Si vous installez à partir du référentiel EPEL, suivez les étapes ci-dessous.

--Installation d'epel-release # yum install -y epel-release --Installation de rkhunter # yum install rkhunter

Exécutez rkhunter

Les paramètres de fonctionnement de rkhunter sont définis dans / etc / rkhunter.conf, et le répertoire de base de données par défaut est / var / lib / rkhunter / db. Lorsque vous effectuez la découverte du kit racine, le journal est généré dans le fichier / var / log / rkhunter.log.

• mise à jour de rkhunter # rkhunter --update --Mettre à jour l'état du fichier d'exécution de commande # rkhunter --propupd --Détection du kit racine (--check effectue la détection du kit racine, -skip-keypress n'entre pas Entrée, --report-warnings-only affiche uniquement les avertissements sur les résultats de la commande ) # rkhunter --check --skip-keypress --report-warnings-only

maldetect（Linux Malware Detect） maldetect (Linux Malware Detect) est un outil de détection de malware gratuit publié sous la licence de ** GNU GPLv2 **. Voir R-FX NETWORKS pour le blog officiel.

Les caractéristiques de maldetect sont les suivantes.

--Mise à jour automatique de la signature (*) pour la détection des logiciels malveillants --ClamAV est utilisé comme logiciel anti-virus open source pour le moteur de détection. --Créez une base de données d'informations sur le système de fichiers à détecter et comparez-la aux informations inspectées pour détecter les falsifications.

(*) Séquence d'octets commune à des échantillons de logiciels malveillants spécifiques

Introduction de maldetect

--Télécharger # wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

• Décompressez # tar xzvf maldetect-current.tar.gz --Installation # cd maldetect-1.6.4/
# ./install.sh

Le cronjob installé par maldetect sera déployé dans / etc / cron.daily / maldet. Il est configuré pour analyser et mettre à jour les signatures régulièrement.

Exécuter maldetect

Si vous ne spécifiez aucun paramètre d'opération pour maldetect, il sera installé dans / usr / local / maldetect / conf.maldet.

--Mise à jour # maldet --update

• Effectuer une analyse des logiciels malveillants (exécuter en ciblant le répertoire spécifié) # maldet --scan-all <répertoire>

en conclusion

Lorsque vous créez et exploitez un serveur, vous êtes responsable de la gestion du système.

La gestion du système est un ensemble de connaissances. Vous pouvez améliorer la sécurité en utilisant OSS, etc. sans dépenser trop d'argent.