Linux服务器上始终存在持续不断的高水平攻击和端口扫描,而正确配置的防火墙和定期的安全系统更新增加了额外的一层以确保系统安全,但您也应该经常注意是否有人进入。还有助于确保您的服务器不存在任何旨在破坏其正常运行的程序。
本文中介绍的工具是为这些安全扫描而创建的,它们能够识别病毒、恶意软件、Rootkit和恶意行为。您可以使用这些工具进行定期系统扫描,例如每天晚上,并将报告邮寄到您的电子邮件地址。
1. Lynis – 安全审计和 Rootkit 扫描程序
Lynis是一款免费、开源、功能强大且流行的安全审计和扫描工具,适用于类 Unix/Linux 操作系统。它是一种恶意软件扫描和漏洞检测工具,可扫描系统的安全信息和问题、文件完整性、配置错误;执行防火墙审核、检查已安装的软件、文件/目录权限等等。
重要的是,它不会自动执行任何系统强化,但是,它只是提供使您能够强化服务器的建议。
我们将使用以下命令从源安装最新版本的Lynis(即3.0.9 )。
cd /opt/
sudo wget https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz
sudo tar xvzf lynis-3.0.9.tar.gz
sudo mv lynis /usr/local/
sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
现在您可以使用以下命令执行系统扫描。
sudo lynis audit system
要使lynis每晚自动运行,请添加以下 cron 条目,该条目将在凌晨3 点运行 并将报告发送到您的电子邮件地址。
0 3 * * * /usr/local/bin/lynis --quick 2>&1 | mail -s "Lynis Reports of My Server" you@yourdomain.com
2. Chkrootkit – Linux Rootkit 扫描程序
Chkrootkit也是另一个免费的开源 Rootkit 检测器,可在类 Unix 系统上本地检查 Rootkit 的迹象。它有助于检测隐藏的安全漏洞。
chkrootkit软件包由一个 shell 脚本(用于检查系统二进制文件是否有 rootkit 修改)和许多用于检查各种安全问题的程序组成。
可以在基于 Debian 的系统上使用以下命令安装chkrootkit工具。
sudo apt install chkrootkit
在基于 RHEL 的系统上,您需要使用以下命令从源安装它。
sudo yum update
sudo yum install wget gcc-c++ glibc-static
sudo wget -c ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
sudo tar –xzf chkrootkit.tar.gz
sudo mkdir /usr/local/chkrootkit
sudo mv chkrootkit-0.58b/* /usr/local/chkrootkit
cd /usr/local/chkrootkit
sudo make sense
要使用Chkrootkit检查您的服务器,请运行以下命令。
sudo chkrootkit
或
sudo /usr/local/chkrootkit/chkrootkit
运行后,它将开始检查您的系统是否有已知的恶意软件和 Rootkit,该过程完成后,您可以看到报告的摘要。
要每晚自动运行Chkrootkit,请添加以下 cron 条目,该条目将在凌晨 3 点运行并将报告发送到您的电子邮件地址。
0 3 * * * /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit Reports of My Server" you@yourdomain.com
3. Rkhunter – Linux Rootkit 扫描程序
RootKit Hunter是一款免费、开源、功能强大、易于使用且众所周知的工具,用于扫描 Linux 等 POSIX 兼容系统上的后门、rootkit 和本地漏洞。
顾名思义,它是一个rootkit猎手,一种安全监控和分析工具,可以彻底检查系统以发现隐藏的安全漏洞。
可以在Ubuntu和基于 RHEL 的系统上使用以下命令安装rkhunter工具 。
sudo apt install rkhunter [在Debian系统上]
sudo yum install rkhunter [在RHEL系统上]
要使用rkhunter检查您的服务器,请运行以下命令。
sudo rkhunter -c
要每晚自动运行rkhunter,请添加以下 cron 条目,该条目将在凌晨 3 点运行并将报告发送到您的电子邮件地址。
0 3 * * * /usr/sbin/rkhunter -c 2>&1 | mail -s "rkhunter Reports of My Server" you@yourdomain.com
4.ClamAV——防病毒软件工具包
ClamAV是一种开源、多功能、流行的跨平台防病毒引擎,用于检测计算机上的病毒、恶意软件、木马和其他恶意程序。
它是 Linux 上最好的免费防病毒程序,也是邮件网关扫描软件的开源标准,支持几乎所有邮件文件格式。
它支持所有系统上的病毒数据库更新以及仅 Linux 上的按访问扫描。此外,它还可以扫描档案和压缩文件,并支持Zip、Tar、7Zip和Rar等格式和其他功能。
可以在基于 Debian的系统上使用以下命令安装ClamAV 。
sudo apt install clamav
可以在基于 RHEL 的系统上使用以下命令安装ClamAV 。
sudo yum -y update
sudo -y install clamav
安装后,您可以使用以下命令更新签名并扫描目录。
# freshclam
sudo clamscan -r -i DIRECTORY
其中DIRECTORY是要扫描的位置。选项-r,表示递归扫描以及-i仅显示受感染文件的方法。
5. LMD – Linux 恶意软件检测
LMD(Linux 恶意软件检测)是一款开源、强大且功能齐全的 Linux 恶意软件扫描程序,专为共享托管环境而设计,但可用于检测任何 Linux 系统上的威胁。它可以与ClamAV扫描仪引擎集成以获得更好的性能。
它提供了一个完整的报告系统来查看当前和以前的扫描结果,支持每次扫描执行后的电子邮件警报报告,以及许多其他有用的功能。
有关LMD 的安装和使用,请阅读我们的文章如何在 Linux 中使用 ClamAV 作为防病毒引擎安装 LMD。
在本文中,我们分享了 5 个工具的列表,用于扫描 Linux 服务器中的恶意软件和 Rootkit。请在评论部分告诉我们您的想法。
