По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
На сервера с системами семейства Linux всегда направлен большой уровень атак и сканирования портов В то время как правильно настроенный фаервол и регулярные обновления системы безопасности добавляют дополнительный уровень безопасности системы, вы также должны следить, не смог ли кто-нибудь пробраться через них.
Инструменты, представленные в этой статье, созданы для этих проверок безопасности и могут идентифицировать вирусы, вредоносные программы, руткиты и вредоносные поведения. Вы можете использовать эти инструменты для регулярного сканирования системы, например, каждую ночь и отправлять отчеты на ваш электронный адрес.
Lynis – Security Auditing and Rootkit Scanner
Lynis - это бесплатный, мощный и популярный инструмент с открытым исходным кодом для аудита и сканирования безопасности для операционных систем Unix или Linux. Это средство сканирования на наличие вредоносных программ и обнаружения уязвимостей, которое сканирует системы на наличие информации и проблем безопасности, целостности файлов, ошибок конфигурации; выполняет аудит брандмауэра, проверяет установленное программное обеспечение, права доступа к файлам и каталогам, а также многое другое.
Важно отметить, что он не выполняет автоматическое усиление защиты системы, однако просто дает предложения, позволяющие повысить уровень защиты вашего сервера.
Мы установим Lynis (версия 2.6.6) из исходных кодов, используя следующие команды.
# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
Теперь вы можете выполнить сканирование вашей системы с помощью команды ниже:
# lynis audit system
Initializing program
- Detecting OS... [DONE]
- Checking profiles... [DONE]
Program version: 2.6.6
Operating system: Linux
Operating system name: CentOS
Operating system version: CentOS Linux release 7.4.1708 (Core)
Kernel version: 4.17.6
Hardware platform: x86_64
Hostname: merionet
Profiles: /usr/local/lynis/default.prf
Log file: /var/log/lynis.log
Report file: /var/log/lynis-report.dat
Report version: 1.0
Plugin directory: /usr/local/lynis/plugins
Auditor: [Not Specified]
Language: en
Test category: all
Test group: all
- Program update status... [NO UPDATE]
Чтобы запускать Lynis автоматически каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com
Chkrootkit – A Linux Rootkit Scanners
Chkrootkit - это еще один бесплатный детектор руткитов с открытым исходным кодом, который локально проверяет наличие признаков руткита в Unix-подобных системах. Он помогает обнаружить скрытые дыры в безопасности. Пакет chkrootkit состоит из сценария оболочки, который проверяет системные двоичные файлы на наличие изменений руткита, и ряда программ, которые проверяют различные проблемы безопасности.
Средство chkrootkit можно установить с помощью следующей команды в системах на основе Debian:
$ sudo apt install chkrootkit
В системах на базе CentOS вам необходимо установить его из источников, используя следующие команды:
# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense
Чтобы проверить ваш сервер с помощью Chkrootkit, выполните следующую команду:
$ sudo chkrootkit
Или
# /usr/local/chkrootkit/chkrootkit
После запуска начнется проверка вашей системы на наличие известных вредоносных программ и руткитов, а после завершения процесса вы сможете увидеть отчет.
Чтобы запускать Chkrootkit автоматически каждую ночь, добавьте следующую запись cron, которая будет запускаться в 3 часа ночи, и отправляйте отчеты на ваш адрес электронной почты.
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com
Rkhunter – A Linux Rootkit Scanners
RKH (RootKit Hunter) - это бесплатный, мощный, простой в использовании и хорошо известный инструмент с открытым исходным кодом для сканирования бэкдоров, руткитов и локальных эксплойтов в POSIX-совместимых системах, таких как Linux. Как следует из названия, это средство для обнаружения руткитов, мониторинга и анализа безопасности, которое тщательно проверяет систему на наличие скрытых дыр в безопасности.
Инструмент rkhunter можно установить с помощью следующей команды в системах на основе Ubuntu и CentOS
$ sudo apt install rkhunter
# yum install epel-release
# yum install rkhunter
Чтобы проверить ваш сервер с помощью rkhunter, выполните следующую команду.
# rkhunter -c
Чтобы запускать rkhunter автоматически каждую ночь, добавьте следующую запись cron, которая будет работать в 3 часа ночи и отправлять отчеты на ваш адрес электронной почты.
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com
ClamAV – Antivirus Software Toolkit
ClamAV - это универсальный, популярный и кроссплатформенный антивирусный движок с открытым исходным кодом для обнаружения вирусов, вредоносных программ, троянов и других вредоносных программ на компьютере. Это одна из лучших бесплатных антивирусных программ для Linux и стандарт с открытым исходным кодом для сканирования почтового шлюза, который поддерживает практически все форматы почтовых файлов.
Он поддерживает обновления вирусных баз во всех системах и проверку при доступе только в Linux. Кроме того, он может сканировать архивы и сжатые файлы и поддерживает такие форматы, как Zip, Tar, 7Zip, Rar и многие другие.
ClamAV можно установить с помощью следующей команды в системах на основе Debian:
$ sudo apt-get install clamav
ClamAV можно установить с помощью следующей команды в системах на базе CentOS:
# yum -y update
# yum -y install clamav
После установки вы можете обновить сигнатуры и отсканировать каталог с помощью следующих команд.
# freshclam
# clamscan -r -i DIRECTORY
Где DIRECTORY - это место для сканирования. Опция -r означает рекурсивное сканирование, а -i - показать только зараженные файлы.
LMD – Linux Malware Detect
LMD (Linux Malware Detect) - это мощный и полнофункциональный сканер вредоносных программ для Linux с открытым исходным кодом, специально разработанный и предназначенный для общедоступных сред, но его можно использовать для обнаружения угроз в любой системе Linux. Он может быть интегрирован с модулем сканера ClamAV для повышения производительности.
Он предоставляет полную систему отчетов для просмотра текущих и предыдущих результатов сканирования, поддерживает оповещения по электронной почте после каждого выполнения сканирования и многие другие полезные функции.
LMD недоступен в онлайн-хранилищах, но распространяется в виде тарбола с веб-сайта проекта. Тарбол, содержащий исходный код последней версии, всегда доступен по следующей ссылке, где его можно скачать с помощью:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Затем нам нужно распаковать архив и войти в каталог, в который было извлечено его содержимое. Там мы найдем установочный скрипт install.sh
# tar -xvf maldetect-current.tar.gz
# ls -l | grep maldetect
Далее запускаем скрипт
# ./install.sh
На этом пока все! В этой статье мы поделились списком из 5 инструментов для сканирования сервера Linux на наличие вредоносных программ и руткитов.
DHCP (Dynamic Host Configuration Protocol) - это широко используемый протокол, который может предоставлять необходимую информацию IP-телефонов. Это IP адреса, маски подсетей, шлюз по умолчанию, адреса DNS и TFTP серверов. Конечно, можно вручную настроить IP-телефоны со всей необходимой информацией, но это трудозатратно и занимает много времени. DHCP может предоставлять отдельный DHCP сервер, роутер и даже сам Cisco Unified Communications Manager (CUCM) . Об этом мы и поговорим в сегодняшней статье.
Активация сервиса
Много сервисов, которые представлены в CUCM по умолчанию деактивированы. Для их активации нужно в панели Навигация выбрать пункт Cisco Unified Serviceability. В новом окне переходим в меню Tools → Service Activation.
На этой странице находим необходимый нам сервис Cisco DHCP Monitor Service, ставим галочку и нажимаем Save.
Настройка DHCP сервера
DHCP в CUCM имеет базовые возможности. Он поддерживает только IP-телефоны, и не очень много - до 1000. Это максимальная рекомендация в связи с высокой загрузкой CPU.
Для настройки DHCP вернемся во вкладку Cisco Unified CM Administration и перейдем во вкладку System → DHCP → DHCP Server. Нажимаем Add New и в новом окне указываем необходимые настройки. В выпадающем меню Host Server выберем сервер, на котором мы планируем развернуть DHCP, ниже укажем IP адреса DNS и TFTP серверов в полях Primary DNS IPv4 Address и Primary TFTP Server IPv4 Address (Option 150) , а также временные интервалы выдачи, в полях ARP Cache Timeout, IP Address Lease Time, Renewal (T1) Time и Rebinding (T2) Time. После этого нажимаем Save.
После этого переходим в соседнюю вкладку System → DHCP → DHCP Subnet. Здесь тоже нажимаем Add New и настраиваем параметры выдающихся подсетей. Из выпадающего списка выбираем наш DHCP сервер, указываем адрес подсети в поле Subnet Address, начальный и конечный адреса выдачи в Primary Range Start IP и Primary Range End IP, маску подсети и шлюз по умолчанию в полях Subnet Mask и Primary Router IP Address, адрес TFTP и DNS серверов в TFTP Server IP address и Primary DNS Server IP Address и внизу снова указываем желаемые временные интервалы. Затем нажимаем Save.
Также DHCP сервер для IP-телефонов можно настроить на роутере Cisco используя следующую конфигурацию:
service dhcp
! Включает сервис DHCP
!
ip dhcp excluded-address 10.1.1.1 10.1.1.10
! Определяет начальный и конечный интервал адресов, которые НЕ будут присваиваться
!
ip dhcp pool name IP_PHONES
! Создает пул адресов (регистрозависимое имя) и входит в режим конфигурации DHCP
!
network 10.1.1.0 255.255.255.0
! Определяет адрес подсети для DHCP пула
!
default-router address 10.1.1.1
! Определяет адрес шлюза по умолчанию (default gateway)
!
dns-server address 192.168.1.0 192.168.1.11
! Определяет адрес DNS сервера (можно указать до 8 адресов)
!
option 150 ip 192.168.1.2
! Определяет адрес TFTP сервера (также можно указать несколько адресов)
SNMP (Simple Network Management Protocol) - стандартный протокол для запроса информации о состоянии сетевых устройств, и он является pull протоколом - это означает, что SNMP обязан на регулярной основе запрашивать информацию о состоянии устройств - SNMP-коллекторы опрашивают устройства, а SNMP-агенты на устройствах передают данную информацию.
Частота опросов основывается на нескольких факторах, таких как:
Степень необходимой детализации получаемой информации;
Объем доступного места на хранилище;
Срок хранения данной информации;
SNMP является широко распространенным протоколом - в свободном доступе находится как достаточно много решений-коллекторов с открытым кодом, так и коммерческих вариантов - причем существуют как программные решения, так и “железные”. Маршрутизаторы и свичи чаще всего являются SNMP-агентами, также как и три основных операционных системы - Windows, Mac OS и Linux. Но с небольшой поправкой, на них SNMP служба должна быть запущена вручную.
Важно: SNMP может предоставить много полезной информации о “здоровье” оборудования, но необходимо помнить, что всегда нужно использовать безопасную версию SNMP протокола - с настроенной аутентификацией и нестандартной Community строкой.
Версии SNMP протокола
Всего существует три основных (они же и повсеместно используемые) версии SNMP протокола, в нашем случае мы будем использовать третью версию. Ниже, на всякий случай, приведено краткое описание каждой из версий.
SNMP v1
Первая версия является оригинальной версией и до сих пор используется, даже практически спустя тридцать лет. В данной версии нельзя применить никакие меры для повышения безопасности помимо Community строки, которая является чем-то вроде пароля. Если данная строка на Коллекторе соответствует строке на Агенте, то Коллектор сможет запросить информацию. Именно поэтому так важно изолировать SNMP и поместить его в отдельную подсеть и изменить Community строку.
SNMP v2c
Версия 2с привнесла дополнительные фичи в SNMP, но основным инструментом повышения безопасности все еще является Community строка. Следующая версия (v3) является предпочтительным вариантом, но некоторые организации все еще используют v1 и v2c.
SNMP v3
Третья версия имеет в себе фичи шифрования и аутентификации, а также способна отправлять настройки на удаленные SNMP-агенты. Данная версия является предпочтительной, но необходимо чтобы и Коллектор, и Агент поддерживали её. Несмотря на то, что SNMP v3 позволяет удаленно конфигурировать девайсы, большинство организаций не используют данную фичу - для этих целей используются такие решения как Ansible, Puppet, Chef или проприетарные системы управления.
Настройка на маршрутизаторе MikroTik
На большинстве устройств Community строкой является слово “public” - и этот факт широко известен, к примеру порт сканнер Nmap автоматически будет пробовать данный вариант. Если данная строка не была изменена, вы, по сути, предоставляете очевидную лазейку злоумышленникам. К сожалению, на маршрутизаторах MikroTik данную строку нельзя отключить или удалить, но её можно изменить и запретить.
/snmp community set 0 name=not_public read-access=no write-access=no
Затем необходимо создать SNMP Community со следующими параметрами:
Нестандартное имя;
Только чтение;
Аутентификация;
Шифрование;
Для этого можно использовать команду ниже - она сделает все необходимое, но, естественно, вам необходимо поменять строки wow_password и awesome_password на актуальные пароли, которые будут использоваться у вас в системе. Также поменяйте имя строки на любое другое - в примере используется имя perch_pike.
/snmp community add name=perch_pike read-access=yes write-access=no authentication-protocol=SHA1 authentication-password=wow_password
encryption-protocol=AES encryption-password=awesome_password security=private
Осталось выполнить всего одну команду для включения SNMP и настройки вашей локации и контактной информации для устройства:
/snmp set contact="Aristarh @ Merion Networks" location="Internet, RUS" enabled=yes
Заключение
SNMP - широко известный протокол, который также хорошо поддерживается компанией MikroTik и остальными производителями. Всегда используйте нестандартные Community строки, аутентификацию и шифрование, чтобы быть на 100% уверенными в том, что злоумышленники не могут получить информацию об устройствах в вашей сети - и тогда SNMP будет верным помощником в поддержке вашей сети.