Chkrootkit

Troska o bezpieczeństwo serwera to oczywista część działań każdego administratora sieci. Należy przestrzegać podstawowych zasad, sprawdzać logi serwera, monitorować działanie uruchomionych usług. Dobrze jest posiadać narzędzia, które wspomagają codzienną kontrolę. Należy do nich chkrootkit.

Ten niewielki program potrafi monitorować stan naszego serwera, sprawdzając wiele działających komponentów systemu. Sprawdza działające usługi, przegląda uruchomione procesy i sprawdza najważniejsze dla systemu aplikacje, takie jak su, cron, ifconfig i inne.

Program dostępny jest w formie pakietu, a więc instalujemy go standardowo. Po instalacji możemy uruchomić go za pomocą dodatkowego skryptu nazywającego sie check-rootkit (dobrze byłoby zmienić nazwę tego skryptu na swoją własną, łatwo rozpoznawalną i nie wzbudzającą podejrzeń ewentualnego włamywacza).

[root@serwer] check-rootkit
ROOTDIR is `/’
Checking `amd’… not found
Checking `basename’… not infected
Checking `biff’… not found
Checking `chfn’… not infected
Checking `chsh’… not infected
Checking `cron’… not infected
Checking `date’… not infected
/…/
Searching for sniffer’s logs, it may take a while… nothing found
Searching for HiDrootkit’s default dir… nothing found
Searching for t0rn’s default files and dirs… nothing found
/…/

Tak wyglądają fragmenty wyświetlanych przez program czynności. Możemy też wywołanie programu dodać do crona i wówczas dostaniemy powiadomienie mailem (potrzebny jest wtedy exim).

0 3 * * * (cd /usr/bin; ./chkrootkit 2>&1 | mail -s „chkrootkit raport” nazwa@domena.pl)

Oczywiście aplikacja ta nie zapewni nam ochrony przed włamaniami, ale może nas uprzedzić o zmianach w systemie, mogących świadczyć o włamaniach, czy uruchomionych bez wiedzy admina programach, a również o sniffowaniu wewnątrz sieci.
W. Trąmpczyński


Dodaj komentarz