11 כלים לסריקת שרת לינוקס בגלל פגמי אבטחה ותוכנות זדוניות

למרות שמערכות מבוססות לינוקס נחשבות לרוב בלתי חדירות, עדיין יש סיכונים שצריך לקחת ברצינות.


שורשי ערכות, וירוסים, תוכנות רנסום ותוכנות מזיקות רבות אחרות עלולות לרוב לתקוף ולגרום לבעיות לשרתי לינוקס.

לא משנה מערכת ההפעלה, נקיטת אמצעי אבטחה היא חובה לשרתים. מותגים וארגונים גדולים נקטו בידיהם את אמצעי האבטחה ופיתחו כלים שלא רק מגלים פגמים ותוכנות זדוניות אלא גם מתקנים אותם ונוקטים בפעולות מניעה..

למרבה המזל, ישנם כלים זמינים במחיר נמוך או בחינם שיכולים לעזור בתהליך זה. הם יכולים לאתר פגמים בחלקים שונים בשרת מבוסס לינוקס.

לינס

לינס הוא כלי אבטחה ידוע ואפשרות מועדפת על מומחים בלינוקס. זה עובד גם על מערכות המבוססות על יוניקס ו- macOS. זו אפליקציית קוד פתוח המשמשת מאז 2007 תחת רישיון GPL.

ליניס מסוגלת לאתר חורי אבטחה ופגמי תצורה. אבל זה מעבר לזה: במקום רק לחשוף את הפגיעויות, הוא מציע פעולות מתקנות. זו הסיבה, כדי לקבל דוחות ביקורת מפורטות, יש צורך להפעיל אותם במערכת המארחת.

אין צורך בהתקנה לשימוש ב- Lynis. אתה יכול לחלץ אותו מחבילה שהורדת או מכדור זפת ולהפעיל אותה. אתה יכול גם לקבל אותו משיבוט Git כדי לקבל גישה לתיעוד המלא ולקוד המקור.

לינס נוצר על ידי הסופר המקורי של Rhhunter, Michael Boelen. יש לו שני סוגים של שירותים המבוססים על יחידים ועסקים. בשני המקרים יש לו ביצועים יוצאי דופן.

צ’קרוטקיט

כפי שאולי כבר ניחשתם, ה- chkrootkit הוא כלי לבדיקת קיומם של ערכות שורש. Rootkits הם סוג של תוכנות זדוניות שיכולות לתת גישה לשרת למשתמש לא מורשה. אם אתה מפעיל שרת מבוסס לינוקס, ערכות שורש יכולות להיות בעיה.

chkrootkit היא אחת התוכניות המבוססות ביותר על יוניקס שיכולות לאתר ערכות שורש. הוא משתמש ב’מחרוזות ‘וב’גרפ’ (פקודות כלי Linux) כדי לאתר בעיות.

ניתן להשתמש בו מתוך ספרייה חלופית או מדיסק הצלה, למקרה שתרצה שהיא תאמת מערכת שכבר נפגעה. הרכיבים השונים של Chkrootkit דואגים לחפש ערכים שנמחקו בקבצי “wtmp” ו- “lastlog”, למצוא רשומות רחרח או קבצי תצורה של rootkit ולבדוק אם יש ערכים מוסתרים ב” / proc “או קריאות לתוכנית” readdir “..

כדי להשתמש chkrootkit, עליכם לקבל את הגירסה האחרונה משרת, לחלץ את קבצי המקור, להרכיב אותם, ואתם מוכנים ללכת.

Rkhunter

המפתח Micheal Boelen היה האדם שעומד מאחורי ייצור Rkhunter (Rootkit Hunter) בשנת 2003. זהו כלי מתאים למערכות POSIX ויכול לעזור באיתור ערכות שורש ופגיעויות אחרות. Rkhunter עובר ביסודיות קבצים (מוסתרים או גלויים), ספריות ברירת מחדל, מודולי גרעין והרשאות מוגדרות שגויות..

לאחר בדיקה שגרתית הוא משווה אותם לרשומות הבטוחות והנכונות של מסדי נתונים ומחפש תוכניות חשודות. מכיוון שהתוכנית נכתבת בבאש, היא לא יכולה לפעול רק על מכונות לינוקס אלא גם על כל גרסה של יוניקס כמעט כל שהיא.

ClamAV

נכתב בג++, ClamAV הוא אנטי-וירוס בקוד פתוח שיכול לעזור באיתור וירוסים, סוסים טרויאניים וסוגים רבים אחרים של תוכנות זדוניות. זהו כלי חינמי לחלוטין, וזו הסיבה שהרבה אנשים משתמשים בו כדי לסרוק את המידע האישי שלהם, כולל אימיילים, עבור כל סוג של קבצים זדוניים. זה משמש גם באופן סורק בצד השרת.

הכלי פותח בתחילה, במיוחד עבור יוניקס. עם זאת, יש לו גרסאות צד ג ‘בהן ניתן להשתמש ב- Linux, BSD, AIX, macOS, OSF, OpenVMS ו- Solaris. Clam AV מבצע עדכון אוטומטי וסדיר של בסיס הנתונים שלה, בכדי להיות מסוגל לאתר אפילו את האיומים האחרונים. היא מאפשרת סריקה בשורת הפקודה, ויש לה שד מדרגי רב-הברגה כדי לשפר את מהירות הסריקה שלו.

זה יכול לעבור סוגים שונים של קבצים כדי לאתר נקודות תורפה. זה תומך בכל מיני קבצים דחוסים, כולל RAR, Zip, Gzip, טאר, ארון, OLE2, CHM, פורמט SIS, BinHex, וכמעט כל סוג של מערכת דוא”ל..

LMD

זיהוי תוכנות זדוניות של לינוקס – או LMD, בקיצור – הוא אנטי-וירוס ידוע נוסף למערכות לינוקס, שתוכנן במיוחד סביב האיומים שנמצאים בדרך כלל בסביבות מתארחות. כמו כלים רבים אחרים שיכולים לאתר תוכנות זדוניות וערכות שורש, LMD משתמש בבסיס נתונים חתימה כדי למצוא קוד ריצה זדוני ולסיים אותו במהירות..

LMD אינו מגביל את עצמו למאגר חתימות משלו. זה יכול למנף את מסדי הנתונים של ClamAV ו- Team Cymru כדי למצוא וירוסים רבים יותר. כדי לאכלס את מסד הנתונים, LMD לוכד נתוני איום ממערכות גילוי חדירות קצה ברשת. בכך הוא מסוגל לייצר חתימות חדשות לתוכנות זדוניות המשמשות באופן פעיל להתקפות.

ניתן להשתמש ב- LMD דרך שורת הפקודה “maldet”. הכלי מיוצר במיוחד לפלטפורמות לינוקס ויכול לחפש בקלות דרך שרתי לינוקס.

Radare2

Radare2 (R2) היא מסגרת לניתוח בינאריים וביצוע הנדסת רוורס עם יכולות איתור מעולות. זה יכול לאתר בינארות בעלות מבנה פגום, לתת למשתמשים את הכלים לנהל אותם, לנטרל איומים פוטנציאליים. הוא משתמש ב- sdb, שהוא בסיס נתונים של NoSQL. חוקרי אבטחת תוכנה ומפתחי תוכנה מעדיפים כלי זה על ידי יכולת הצגת הנתונים המצוינת שלו.

אחת התכונות הבולטות של Radare2 היא שהמשתמש לא נאלץ להשתמש בשורת הפקודה כדי לבצע משימות כמו ניתוח סטטי / דינמי וניצול תוכנה. מומלץ לכל סוג של מחקר על נתונים בינאריים.

OpenVAS

מערכת הערכת פגיעות פתוחה, או OpenVAS, היא מערכת מתארחת לסריקת פגיעויות וניהולן. הוא מיועד לעסקים בכל הגדלים, ועוזר להם לאתר בעיות אבטחה החבויות בתשתיות שלהם. בתחילה, המוצר היה ידוע בשם GNessUs, עד שבעליו הנוכחי, Greenbone Networks, שינה את שמו ל- OpenVAS.

מאז גרסה 4.0, OpenVAS מאפשרת עדכון רציף – באופן כללי בפרקי זמן של פחות מ- 24 שעות – של בסיס בדיקת הפגיעות ברשת (NVT). נכון ליוני 2016 היו לה יותר מ- 47,000 NVTs.

מומחי אבטחה משתמשים ב- OpenVAS בגלל יכולתו לסרוק במהירות. זה כולל גם תצורה מעולה. ניתן להשתמש בתוכניות OpenVAS ממכונה וירטואלית שמכילה עצמה לביצוע מחקר בטוח בנושא תוכנות זדוניות. קוד המקור שלה זמין ברישיון GNU GPL. כלים רבים לזיהוי פגיעות רבים תלויים ב- OpenVAS – זו הסיבה שהיא נלקחת כתוכנית חיונית בפלטפורמות מבוססות לינוקס.

REMnux

REMnux משתמש בשיטות הנדסה הפוכה לניתוח תוכנות זדוניות. זה יכול לאתר בעיות רבות מבוססות דפדפן, מוסתרות בקטעי קוד מעורפלים של JavaScript וביישומי פלאש. זה גם מסוגל לסרוק קבצי PDF ולבצע משפטי זיכרון. הכלי מסייע בזיהוי תוכניות זדוניות בתוך תיקיות וקבצים שלא ניתן לסרוק בקלות באמצעות תוכניות אחרות לזיהוי וירוסים.

זה יעיל בגלל יכולות הפענוח וההנדסה ההפוכה שלו. זה יכול לקבוע את המאפיינים של תוכניות חשודות, וכיוון שהוא קל משקל, זה מאוד בלתי ניתן לגילוי על ידי תוכניות זדוניות חכמות. ניתן להשתמש בו גם בלינוקס וגם בחלונות, וניתן לשפר את הפונקציונליות שלו בעזרת כלי סריקה אחרים.

נמר

בשנת 1992, טקסס A&אוניברסיטת M החלה לעבוד על נמר כדי להגביר את האבטחה של מחשבי הקמפוס שלהם. כעת, זוהי תוכנית פופולרית לפלטפורמות דמויות יוניקס. דבר ייחודי בכלי זה שהוא לא רק כלי לביקורת אבטחה אלא גם מערכת גילוי פריצות.

הכלי חופשי לשימוש תחת רישיון GPL. זה תלוי בכלי POSIX ויחד הם יכולים ליצור מסגרת מושלמת שיכולה להגדיל את האבטחה של השרת שלך באופן משמעותי. טייגר כתוב כולו על שפת קליפות – זו אחת הסיבות ליעילותו. זה מתאים לבדיקת מצב המערכת ותצורתם, והשימוש הרב-תכליתי שלו הופך אותו לפופולרי מאוד בקרב אנשים המשתמשים בכלי POSIX..

מלטרייל

מלטרייל היא מערכת גילוי תנועה המסוגלת לשמור על ניקיון התנועה של השרת שלך ולעזור לה להימנע מכל איומים זדוניים. היא מבצעת את המשימה הזו על ידי השוואה בין מקורות התנועה לאתרים המופיעים ברשימה השחורה המתפרסמים ברשת.

מלבד בדיקת אתרים המופיעים ברשימה השחורה, היא משתמשת גם במנגנונים היוריסטיים מתקדמים לגילוי איומים מסוגים שונים. למרות שמדובר בתכונה אופציונלית, זה מועיל כשאתה חושב שהשרת שלך כבר הותקף.

יש לו חיישן המסוגל לאתר את התעבורה שמקבל שרת ולשלוח את המידע לשרת Maltrail. מערכת הגילוי מוודאת אם התעבורה טובה מספיק כדי להחליף נתונים בין שרת למקור.

יארא

מיוצר עבור Linux, Windows ו- macOS, יארא (עוד ראשי תיבות מגוחכים) הוא אחד הכלים החיוניים ביותר המשמשים למחקר וגילוי תוכניות זדוניות. הוא משתמש בתבניות טקסטואליות או בינאריות כדי לפשט ולהאיץ את תהליך הגילוי, וכתוצאה מכך משימה מהירה וקלה.

ל- YARA יש כמה תכונות נוספות, אך אתה זקוק לספריית OpenSSL כדי להשתמש בהן. אפילו אם אין לך ספרייה זו, אתה יכול להשתמש ב- YARA למחקר בסיסי בנושא תוכנות זדוניות באמצעות מנוע מבוסס כללי. ניתן להשתמש בו גם בארגז החול של קוקייה, ארגז חול מבוסס פיתון אידיאלי לביצוע מחקר בטוח בתוכנות זדוניות..

כיצד לבחור את הכלי הטוב ביותר?

כל הכלים שהזכרנו לעיל עובדים טוב מאוד, וכאשר כלי פופולרי בסביבות לינוקס, אתה יכול להיות די בטוח שאלפי משתמשים מנוסים משתמשים בו. דבר אחד שמנהלי מערכות צריכים לזכור הוא שכל יישום תלוי בדרך כלל בתוכניות אחרות. לדוגמה, זה המקרה עם ClamAV ו- OpenVAS.

עליך להבין מה המערכת שלך זקוקה ובאילו תחומים היא יכולה להיות בעלת פגיעויות. ראשית, השתמש בכלי קל משקל כדי לחקור איזה קטע זקוק לתשומת לב. ואז השתמש בכלי המתאים כדי לפתור את הבעיה.

תגיות:

  • לינוקס

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map