Добавьте Охотника За Руткитами Для Проверки Хэшей Файлов В Утреннем Скрипте.

Из-за всей этой удаленной работы получилось, что ранее полупустой учебный ноутбук теперь стал основной рабочей машиной и защищать его стоит как-то более продуманно.

На что, в общем-то, недвусмысленно намекают власти.

На ноутбуке в настоящее время установлена бета-версия Ubuntu 20.04. У меня все началось с четких настроек в биосе и полнодискового шифрования, о которых, наверное, не стоит писать.

Но потом я решил разобраться, что умеет утилита на уровне файлов рхантер («руткит, бэкдор, сниффер и сканер эксплойтов»).

У меня не было больших ожиданий от программного обеспечения, которое не обновлялось уже пару лет. Скажу сразу, что я очень сомневаюсь в полезности сигнатур февраля 2018 года для поиска руткитов, но один из других режимов работы — проверка хешей файлов — меня заинтересовал.

Кому интересен подобный опыт и что получилось на данный момент - добро пожаловать под кат. Идея проста — добавим в утренний скрипт полезных задач проверку на то, не изменились ли MD5-хеши файлов, для которых они не должны меняться.

По крайней мере, пока пакеты не обновятся.

На мой взгляд, это очень легкий, но не бесполезный белый список.

Текущая версия утилиты, способной рассчитывать и проверять хеши, устанавливается просто пакетным менеджером:

   

 apt search rkhunter
 rkhunter/focal,focal,now 1.4.6-8 all [installed]
   rootkit, backdoor, sniffer and exploit scanner

   

sudo rkhunter --list test

Я по-прежнему считаю столкновение MD5 вопросом математики, а не практики.

Я не настаиваю на этом мнении, но хорошие вредоносные программы я смотрю практически каждый день и с такими коллизиями в дикой природе еще не сталкивался.

Так что мне пока в конфиге достаточно.

HASH_CMD=MD5

Далее я указал свой менеджер пакетов и самое главное каталоги и хеши файлов, которые меня интересовали.

Путь на данный момент будет, например, /bin и /usr/bin. Hunter также выдаст предупреждения о файлах, появившихся в каталогах, но не существовавших на момент расчета.

PKGMGR=DPKG USER_FILEPROP_FILES_DIRS=/bin/* USER_FILEPROP_FILES_DIRS=/usr/bin/*

Здесь важный момент: при моих настройках сканирование происходит не по пакетам, а по каталогам.

Наверное, это правильнее, потому что пакеты содержат много неисполняемых файлов и их нужно предварительно отфильтровать, например, через file. Пока я выбрал путь увеличения списка каталогов и исключений.

На данный момент мы закончили настройку сканера, теперь пришло время обновить базу правильных хешей в /var/lib/rkhunter/db/rkhunter.dat новыми настройками.

Для этого нужна команда (она же берет имена пакетов для добавления в базу, если пойти другим путем).

sudo rkhunter --propupd

После этого все интересующие вас файлы и их хеши должны появиться в rkhunter.dat. В моем случае это 2847 файлов, а индексатор занял 9м 2117с.

Кажется, что это много для трех тысяч MD5, учитывая, что md5sum для /bin/ls составляет 0,003 с, но это так.

Все, мы готовы приступить к проверке.

Ещё не боевой, вряд ли какая-то вредоносная программа уже поменяла хэши.

sudo rkhunter -c

Здесь есть один очень полезный переключатель --rwo (только отчеты о предупреждениях), который будет пропускать все успешные сравнения и выдавать только предупреждения.

Результат работы нужно искать в /var/log/rkhunter.log. Что касается скорости проверки, то для моих почти трех тысяч бинарников она составила 10м 27489с, что сопоставимо со временем индексации.

С проверкой разобрались, но вопрос переиндексации при обновлении пакетов остался.

Те.

Мы сделали подходящее обновление и теперь не считаем все обновленные файлы вредоносными.

У сканера есть еще один конфиг /etc/default/rkhunter для автоматизации задач.

Здесь мы установим параметр.

APT_AUTOGEN="yes"

А в /etc/apt/apt.conf.d/90rkhunter есть скрипт, отвечающий за постпереиндексацию:

// Makes sure that rkhunter file properties database is updated after each remove or install only APT_AUTOGEN is enabled DPkg::Post-Invoke { "if [ -x /usr/bin/rkhunter ] && grep -qiE '^APT_AUTOGEN=.

?(true|yes)' /etc/default/rkhunter; then /usr/share/rkhunter/scripts/rkhupd.sh; fi"; };

Собственно, всё, любые дополнения с радостью принимаются.

Я надеюсь, что это было полезно.

Теги: #информационная безопасность #настройка Linux #ubuntu #malware #rkhunter

• Получите Конкурентное Преимущество С Помощью Онлайн-Визитных Карточек

  19 Oct, 24

• Apple Выпустила Ios 9 Для Iphone И Ipad

  19 Oct, 24

• Открытый Вебинар «Рекрутинг В Ит: От Заявки До Предложения»

  19 Oct, 24

• Организация Разделов На Системном Диске В Облаке Selectel

  19 Oct, 24

• Топ-10 Запросов Promql Для Мониторинга Kubernetes

  19 Oct, 24

• Comet Mg201M 1969Г. С ​​Барахолкой И Теплой Лампой Gta Sa

  19 Oct, 24

• Музей Удивительных Фактов

  19 Oct, 24

• «Рунет Сегодня», 30 Мая 2011. Эксперт Вопроса: Максим Медведев

  19 Oct, 24

• Поиск И Анализ Оптимального Цветового Пространства Для Построения Привлекающих Внимание Объектов На Заданном Классе Изображений

  19 Oct, 24

• Тест Производительности Хостинга

  19 Oct, 24