Lynis — универсальный сканер, инструмент для аудита

Lynis (rkhunter) — сканер для аудита безопасности Linux систем. Выполняет детальный аудит безопасности и конфигурации вашей Linux системы.

Загрузим последнюю версию Lynis с сайта разработчиков: https://cisofy.com/download/lynis/, lynis будет установлен в директорию /usr/local/lynis/, также будет создана символическая ссылка.

cd /tmp
wget https://cisofy.com/files/lynis-2.4.8.tar.gz
tar xvfz lynis-2.4.8.tar.gz
mv lynis /usr/local/
ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Теперь нужно обновить базу данных:

lynis update info

Запускаем сканирование:

lynis audit system

После проведения сканирования, вы увидите отчет. Для продолжения сканирования, нажмите Enter.

Lynis security scanner

По окончанию сканирования, увидите отчет о сканировании, также будут даны рекомендации:

Lynis scan is finished

Что бы запустить Lynis не в интерактивном режиме, добавьте опцию —quick:

lynis —quick

Можно запускать Lynis автоматически, для этого создайте задачу в cron:

0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "lynis output of my server" you@yourdomain.com)

Lynis будет стартовать каждую ночь в 3 часа утра. Измените адрес почты на ваш.

Добра!

Chkrootkit — сканер руткитов

Chkrootkit — это классический сканер руткитов с открытым исходным кодом, хороший инструмент для обнаружения присутствующих в системе руткитов, Это свободная утилита с открытым исходным кодом, доступная во множестве дистрибутивов. Разработчики сканера, поддерживают его в актуальном состоянии.

И так, установите пакет:

apt-get install chkrootkit

Для установки в ручном режиме, скачайте файлы с www.chkrootkit.org:

wget —passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvfz chkrootkit.tar.gz
cd chkrootkit-*/
make sense

Вы можете переместить каталог chkrootkit куда угодно.

Я перенесу его в /usr/local/chkrootkit

cd ..
mv chkrootkit-/ /usr/local/chkrootkit

Для быстрого доступа, создайте символическую ссылку:

ln -s /usr/local/chkrootkit/chkrootkit /usr/local/bin/chkrootkit

Чтобы запустить проверку, выполните команду:

chkrootkit

Возможны ложные срабатывания:

Checking `bindshell\’…                                     INFECTED (PORTS:  465)

Не волнуйтесь, 465 порт занят SMTPS (Secure SMTP) — почтовым сервером, поэтому срабатывание на него может быть ложным.

Для автоматизации сканирования, вы можете запускать chkrootkit с помощью cron. Вы будете получать отчет на почту.

  1. Выясните путь, где установлен chkrootkit:

which chkrootkit

Пример:

root@server1:/tmp/chkrootkit-0.50# which chkrootkit
/usr/sbin/chkrootkit

У меня Chkrootkit установлен в /usr/sbin/chkrootkit, для того что бы создать задание в cron, нам нужен этот путь:

Выполните:

crontab -e

Пример задания в cron:

0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output of my server" you@yourdomain.com)

Ура, chkrootkit будет стартовать каждый сутки в 3 часа утра. Не забудьте замените путь к chkrootkit  и изменить адрес почты на ваш.

Добра!