Sikkerhet betyr alt når det kommer til dine data. Og for mange, gjør alt som er mulig, er likevel ikke nok. For de fleste sjekker ender på virus, malware og portscans. Å tro at dette er nok er en feil. Rootkits er noen av de farligste sikkerhetstrusler rundt. Uansett hva din server OS, er det viktig å sørge for at det ikke er noen rootkits bortgjemt på serverne.
De Linux-servere du har tusler bort trenger rootkit sjekker også. Heldigvis er det et enkelt verktøy for å hjelpe deg i din søken etter server sikkerhet nirvana. Dette verktøyet er Rootkit Hunter. Det er lett å installere, lett å bruke, sjekker dypt inn i systemet, og gir enestående rapportering.
Rootkit Hunter støtter alle Linux-distribusjoner og de fleste BSD distribusjoner. Rootkit Hunter vil teste systemet mot:
MD5 hash sammenligninger
Standard filer som brukes av rootkits
Feilaktige binære filepermissions
Mistenkte strenger i LKM og KLD moduler
Skjulte filer
RKhunter kan også gjøre tilleggs skanner innenfor klartekst og binærfiler for enda mer komplette sjekker.
Installere
De fleste distribusjoner vil inkludere rkhunter i deres standard repositories så du bør være i stand til å lokalisere den med Legg til /fjern programvare verktøyet. Åpner dette verktøyet opp, gjør et søk etter "rkhunter", velg resultatene, og bruke endringene. Når rkhunter er installert du er klar til å sjekke.
Bruk
Rootkit Hunter er et kommandolinje verktøy slik at du må åpne opp et terminalvindu. Du trenger root-tilgang for å kjøre kommandoen. Den grunnleggende bruk er:
rkhunter [ALTERNATIVER]
En enkel sjekk er utstedt som så:
rkhunter --check
Som sjekken går du vil se et resultat som dette:
Kontroll av nettverk ... Utføre sjekk for bakdør portsChecking for UDP port 2001 [Ikke funnet] Kontroll for TCP port 2 006 [Not funnet] Kontroll for TCP port 2 128 [Ikke funnet] Kontroll for TCP port 14856 [Ikke funnet] Kontroll for TCP port 47107 [Ikke funnet] Kontroll for TCP port 60922 [Ikke funnet] Utføre kontroll på nettverket interfacesChecking for promiskuøse grensesnitt [Ingen funnet] [Press < ENTER > å fortsette] Når hver del av testen er fullført vil du måtte trykke enter for å fortsette videre til neste del. En veldig fin funksjon av rkhunter er du vet, som testkjøringer, hvis du gjør eller ikke har en root kit på din maskin. I løpet av gruppen og står sjekk på en Fedora maskin jeg kom over denne: Utøvergruppe og kontoen checksChecking for passwd filen [funnet] Ser etter root tilsvarende (UID 0) står [Ingen funnet] Ser etter password kontoer [Ingen funnet] Kontroll for passwd filendringer [Advarsel] Kontroll for gruppen filendringer [Advarsel] Kontroll rotkonto shell historie filer [OK] En advarsel bør undersøkes, men i dette tilfellet det er ingen root kit. Når testen kjører resultatene vil være helt klart. Den mest talende delen av resultatene er: Rootkit sjekker ... Rootkits sjekket: 68Possible rootkits:. 0 Denne maskinen er klar Det finnes andre alternativer for testing. En spesiell alternativ du bør kjøre hver så ofte (kanskje til og med lage en cron jobb for det) er den --update alternativet. Dette alternativet kontrollerer om det er et senere verion av rkhunters 'tekst datafiler. Dette er viktig, spesielt når nye (eller nye versjoner) root kits blir sluppet ut i naturen. Final Thoughts Hvis du er seriøs om sikkerhet, og du har en Linux-maskin på nettverket , må du installere rkhunter og bruker det ofte. Du og ditt nettverk vil forbli lykkelig og sunt.