Как стать автором
Обновить

Linux, безопасность и все такое… (вдогонку)

Время на прочтение2 мин
Количество просмотров14K
Навеяло вот этим топиком. Автор задал правильные вопросы, но к сожалению не дал правильных ответов.
На самом деле это общая грустная тенденция. Почему-то все свято уверены, что раз вирусов под линуксом нету, то и безопасность сама собой обеспечивается. Понимание ошибочности этого взгляда приходит зачастую слишком поздно, когда ты уже хакнут, причем еще неизвестно, какой из описанных в комментах случаев хуже — хакнутый корпоративный сервер или установленная любимым сыном дома маме десктопная убунта.
Давайте глянем, как можно обезопасить себя от всякой фигни.

rkhunter



Простенькая, но эффективная программа для отслеживания руткитов. Устанавливается элементарно:
apt-get install rkhunter
Дальше обновляем базы:
rkhunter --update
И запускаем проверку:
rkhunter --check
Очень полезным будет открыть файл /etc/rkhunter.conf и раскомментировать строчку MAIL-ON-WARNING, добавив туда свой почтовый адрес.
Последним шагом имеет смысл прописать в крон ежедневный (или еже нощный) запуск проверки, и за завтраком просматривать в почте присланные логи проверки.

tripwire



Это уже инструмент посерьезней. Он хранит снимок текущей файловой системы (вплоть до используемых файлами инодов) и рапортует любые изменения (привет любителям автоапдейтов).
Опять-таки:
apt-get install tripwire
Задаем при установке отдельно пароль для генерации ключей и полиси, и второй пароль для базы данных.
После установки правим файлы /etc/tripwire/twcfg.txt и /etc/tripwire/twpol.txt, делаем инициализацию БД:
tripwire --init
и запускаем пробную проверку
tripwire --check
На выходе получаете туеву хучу сообщений об отсутствующих файлах. В базовой поставке tripwire упоминаются все возможные варианты файлов, поэтому правите опять файл политик /etc/tripwire/twpol.txt и обновляете его:
tripwire --update-policy /etc/tripwire/twpol.txt
Опять-таки, как и в предыдущем случае, проверяем, ходит ли к вам почта:
tripwire --test --email адрес
и создаем в кроне задание с ключиком --email-report

Но не стоит расслабляться — если уж злоумышленник получит рутовые права на вашей тачке, то ему не составит труда просто переустановить tripwire со своими ключами, и вы будете все так же получать репорты в стиле «Все хорошо, прекрасная маркиза», пока в один прекрасный день не надумаете обновить конфиг или полиси и не получите сообщение о неверном пароле.

Будьте бдительны!
Теги:
Хабы:
Всего голосов 137: ↑116 и ↓21+95
Комментарии81

Публикации

Истории

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань