Obáváte se přítomnosti rootkitu ve vašem systému Linux?
Máte podezření, že váš server, stolní počítač nebo notebook s Linuxem může být napaden rootkitem? Pro efektivní detekci a odstranění rootkitů je nutné systém důkladně prozkoumat. Jedním z nejlepších nástrojů pro skenování rootkitů v Linuxu je Tiger. Po spuštění vygeneruje detailní bezpečnostní zprávu o stavu vašeho Linuxu, včetně upozornění na potenciální problémy, jako jsou právě rootkity.
Tento článek vás provede instalací bezpečnostního nástroje Tiger a jeho využitím pro vyhledávání nebezpečných rootkitů.
Instalace nástroje Tiger
Aplikace Tiger není standardní součástí žádné distribuce Linuxu, takže před samotným použitím je nutné ji nainstalovat. Následující návod popisuje instalaci na systémech Ubuntu, Debian a Arch Linux bez nutnosti kompilace ze zdrojového kódu.
Ubuntu
Tiger je již dostupný v softwarových repozitářích Ubuntu. Pro instalaci otevřete terminál a zadejte následující příkaz:
sudo apt install tiger
Debian
V Debianu je Tiger také k dispozici a lze jej nainstalovat pomocí příkazu:
sudo apt-get install tiger
Arch Linux
V Arch Linuxu je bezpečnostní software Tiger dostupný prostřednictvím AUR. Pro instalaci postupujte podle následujících kroků:
Krok 1: Nainstalujte balíčky potřebné pro instalaci balíčků z AUR. Jedná se o Git a Base-devel.
sudo pacman -S git base-devel
Krok 2: Naklonujte repozitář Tiger AUR do vašeho počítače pomocí příkazu git clone.
git clone https://aur.archlinux.org/tiger.git
Krok 3: Přesuňte se do nově vytvořené složky tiger, která obsahuje soubor pkgbuild.
cd tiger
Krok 4: Vygenerujte instalační balíček pro Tiger pomocí příkazu makepkg. Upozorňujeme, že generování balíčku nemusí vždy proběhnout úspěšně kvůli problémům se závislostmi. V takovém případě si ověřte oficiální stránku Tiger AUR pro informace o závislostech a projděte si komentáře uživatelů, kteří mohou mít užitečné postřehy.
makepkg -sri
Fedora a OpenSUSE
Distribuce Fedora, OpenSUSE a další založené na RPM/RedHat nemají binární balíček pro snadnou instalaci Tigera. Pro použití můžete zvážit konverzi balíčku DEB pomocí nástroje alien, nebo postupovat podle pokynů pro kompilaci ze zdrojového kódu, které jsou popsány níže.
Obecný Linux
Pro kompilaci Tigera ze zdrojového kódu je nejprve nutné naklonovat kód z repozitáře. V terminálu zadejte:
git clone https://git.savannah.nongnu.org/git/tiger.git
Poté nainstalujte aplikaci spuštěním přiloženého shell skriptu:
sudo ./install.sh
Pokud chcete Tiger pouze spustit bez instalace, použijte příkaz:
sudo ./tiger
Detekce rootkitů v Linuxu pomocí Tigera
Tiger funguje automaticky a nemá specifické možnosti nebo parametry, které by uživatel mohl nastavovat. Nelze tedy přímo spustit „rootkit skenování“, namísto toho je nutné provést kompletní bezpečnostní kontrolu systému.
Při každém spuštění program provede důkladnou kontrolu různých typů bezpečnostních hrozeb. Mezi kontrolované oblasti patří například:
- Soubory hesel v Linuxu
- Soubory .rhost
- Soubory .netrc
- Konfigurační soubory ttytab, securetty a login
- Skupinové soubory
- Nastavení cesty Bash
- Kontrola přítomnosti rootkitů
- Položky při spuštění cron
- Detekce neoprávněného vniknutí
- Konfigurační soubory SSH
- Poslouchající procesy
- Konfigurační soubory FTP
Pro spuštění bezpečnostní kontroly Tigera získejte root shell pomocí příkazu su nebo sudo -s.
su -
nebo
sudo -s
S root oprávněními spusťte příkaz tiger pro zahájení auditu zabezpečení:
tiger
Nechte Tiger provést audit. Během procesu se vypisují informace o skenovaných oblastech a interakci se systémem. Po dokončení auditu se v terminálu zobrazí umístění bezpečnostní zprávy.
Zobrazení logů z Tigera
Pro zjištění, zda se ve vašem systému Linux nachází rootkit, si musíte prohlédnout vygenerovanou zprávu o zabezpečení.
Pro přístup ke zprávám Tigera otevřete terminál a přejděte do adresáře /var/log/tiger. Všimněte si, že přístup do /var/log je vyžaduje root oprávnění. Použijte tedy su nebo sudo -s:
su -
nebo
sudo -s
Poté přejděte do adresáře s logy pomocí příkazu:
cd /var/log/tiger
V adresáři s logy Tigera spusťte příkaz ls pro zobrazení seznamu všech souborů:
ls
Vyberte soubor se zprávou o zabezpečení, která se zobrazí v terminálu. Poté jeho obsah zobrazte pomocí příkazu cat:
cat security.report.xxx.xxx-xx:xx
Prostudujte si zprávu a zjistěte, zda Tiger ve vašem systému detekoval rootkit.
Odstranění rootkitů v Linuxu
Odstraňování rootkitů z linuxových systémů je obtížné i s nejlepšími dostupnými nástroji a ne vždy vede k úplnému úspěchu. Ačkoli existují programy, které mohou pomoci, jejich účinnost není stoprocentní.
Pokud Tiger ve vašem systému Linux detekoval nebezpečný rootkit, nejlepším řešením je zálohovat důležité soubory, vytvořit nové bootovací USB a kompletně přeinstalovat operační systém.