Базовые меры предосторожности – регулярное обновление и использование антивирусной защиты. Но этого бывает недостаточно, иногда есть необходимость применять дополнительные инструменты. Для бесплатного Linux и инструменты обнаружения вредоносных программ бесплатные с открытым кодом. Их существует множество, мы выбрали для этого обзора три.
Linux Malware Detect
Linux Malware Detect – бесплатный open-source сканер для поиска и лечения вредоносного программного обеспечения для Linux. Его особенностью и большим плюсом является тот факт, что базы вирусных сигнатур у него пополняются сразу из нескольких источников:
- хостинг – большая часть баз антивируса сформирована на большой базе статистики вредоносной активности,
- данные сообщества: коллекции вредоносного программного обеспечения ресурсов, посвященных интернет-безопасности, где собираются, анализируются и классифицируются новые ВПО,
- ClamAV: разработчики Linux Malware Detect сотрудничают и обмениваться обнаруженными сигнатурами с командой ClamAV,
- сообщения пользователей: сканер имеет встроенную возможность отправлять для анализа и классификации угрозы, еще не включенные в базы вирусных сигнатур.
После скачивания и установки программы нужно настроить работу уведомлений. Если этого не сделать, антивирус в случае обнаружения угроз будет писать информацию только в собственные логи, а с ними работать не всегда удобно. При наличии настроенного почтового сервера можно отправлять уведомления на email.
Для того чтобы Linux Malware Detect мог быстрее сканировать большие группы файлов, можно опционально установить антивирус ClamAV – в таком случае сканирование будет выполняться с помощью этого движка. Для работы не понадобятся сложные настройки – ClamAV начинает функционировать сразу после установки.
Chkrootkit
Chkrootkit, сокращение от словосочетания «check rootkit», свободная утилита с открытым исходным кодом, предназначена для поиска руткитов (вредоносных приложений) в операционной системе. Chkrootkit идентифицирует троянец по известным сигнатурам.По некоторым утверждениям, утилита способна обнаруживать практически все существующие современные руткиты.
Инструмент состоит из некоторого количества модулей, отвечающих за разные методы проверки:
- chkrootkit: шелл-скрипт, проверяющий системные бинарные файлы на модификацию руткитами,
- ifpromisc.c: модуль поиска интерфейсов, работающих на перехват пакетов,
- chklastlog.c: модуль, проверяющий на наличие фактов удаления записей из лог-файла lastlog,
- chkwtmp.c: аналогично предыдущему модулю, проверяет лог-файл wtmp,
- chkutmp.c: проверяет лог-файл utmp на наличие следов удаления записей,
- check_wtmpx.c: актуально для ОС Solaris, проверяет факт удаления записей из лога wtmpx,
- chkproc.c: поиск следов известных LKM-троянов (Linux Kernel Module),
- chkdirs.c: поиск следов известных LKM-троянов (Linux Kernel Module).
Lynis
Lynis – одна из самых мощных свободно распространяемых утилит для аудита Linux-систем. Используется для глубокого сканирования и тестирования средств защиты.На сайте проекта говорится, что Lynis выполняет всестороннее сканирование настроек безопасности и запускается на самой системе. Основная цель — протестировать средства защиты и выдать рекомендации по дальнейшему повышению уровня защищенности системы. Утилита также сканирует общесистемную информацию, данные об установленных пакетах и возможных ошибках конфигурации. Lynis обычно используют системные администраторы и специалисты по безопасности.
Самое первое, что делает Lynis при инициализации, – определяет полную информацию об ОС, предоставляя подробнейший отчет.
Основные функции утилиты:
- аудит безопасности,
- обнаружение уязвимостей,
- обнаружение ошибок конфигурации,
- тестирование на проникновение,
- улучшение защиты системы.
Таким образом, если необходимо убедиться в безопасности вашей Linux-системы, обратите внимание на эти три инструмента.
