Te neliniștește posibilitatea prezenței unui rootkit pe serverul, calculatorul desktop sau laptopul tău Linux? Dacă intenționezi să verifici și să elimini rootkit-urile de pe sistemul tău, primul pas este scanarea acestuia. Tiger este un instrument excelent pentru scanarea rootkit-urilor pe Linux. După ce este rulat, acesta generează un raport de securitate detaliat al sistemului tău Linux, evidențiind zonele cu probleme, inclusiv rootkit-urile.
În acest ghid, vom explora modul de instalare a instrumentului de securitate Tiger și cum să efectuăm o scanare pentru a depista rootkit-uri periculoase.
Instalarea Tiger
Tiger nu este inclus în mod implicit în nicio distribuție Linux. Așadar, înainte de a învăța cum să folosim Tiger, vom vedea cum să îl instalăm. Vei avea nevoie de Ubuntu, Debian sau Arch Linux pentru a instala Tiger fără a compila codul sursă.
Ubuntu
Tiger este de mult timp prezent în depozitele software Ubuntu. Pentru a-l instala, deschide un terminal și execută următoarea comandă apt:
sudo apt install tiger
Debian
Debian include, de asemenea, Tiger, care poate fi instalat cu comanda Apt-get install:
sudo apt-get install tiger
Arch Linux
Software-ul de securitate Tiger este disponibil în Arch Linux prin AUR (Arch User Repository). Urmează pașii de mai jos pentru a-l instala pe sistemul tău:
Pasul 1: Instalează manual pachetele necesare pentru instalarea pachetelor AUR. Acestea sunt Git și Base-devel:
sudo pacman -S git base-devel
Pasul 2: Clonează instantaneul Tiger AUR pe computerul tău Arch folosind comanda git clone:
git clone https://aur.archlinux.org/tiger.git
Pasul 3: Navighează în terminal din directorul implicit (acasă) în noul folder tiger, care conține fișierul pkgbuild:
cd tiger
Pasul 4: Generează un program de instalare Arch pentru Tiger. Construirea pachetului se face cu comanda makepkg. Atenție: uneori, generarea pachetului poate eșua din cauza unor probleme de dependență. Dacă întâmpini această problemă, verifică pagina oficială Tiger AUR pentru dependențe. De asemenea, citește comentariile, deoarece alți utilizatori ar putea oferi informații utile.
makepkg -sri
Fedora și OpenSUSE
Din păcate, nici Fedora, OpenSUSE, nici alte distribuții Linux bazate pe RPM/RedHat nu oferă un pachet binar ușor de instalat pentru Tiger. Pentru a-l folosi, ia în considerare conversia pachetului DEB cu ajutorul alien sau urmează instrucțiunile de compilare din codul sursă de mai jos.
Linux generic
Pentru a construi aplicația Tiger din sursă, trebuie să clonezi codul. Deschide un terminal și execută următoarele comenzi:
git clone https://git.savannah.nongnu.org/git/tiger.git
Instalează programul executând scriptul shell inclus:
sudo ./install.sh
Alternativ, dacă dorești să îl rulezi (în loc să îl instalezi), execută:
sudo ./tiger
Verificarea rootkit-urilor pe Linux
Tiger este o aplicație automată. Nu are opțiuni specifice sau comutatoare pe care utilizatorii le pot folosi din linia de comandă. Utilizatorul nu poate rula direct „o verificare de rootkit”, ci trebuie să folosească Tiger pentru a efectua o scanare completă.
De fiecare dată când este lansat, programul efectuează o scanare pentru diverse tipuri de amenințări de securitate. Vei putea observa tot ceea ce scanează. Unele dintre elementele verificate de Tiger includ:
Fișiere cu parole Linux.
Fișiere .rhost.
Fișiere .netrc.
Fișierele de configurare ttytab, securetty și de conectare.
Fișiere de grup.
Setările căii Bash.
Verificări de rootkit.
Intrări de pornire Cron.
Detectarea tentativelor de „efracție”.
Fișiere de configurare SSH.
Procese de ascultare.
Fișiere de configurare FTP.
Pentru a efectua o scanare de securitate Tiger pe Linux, obține un shell cu privilegii root folosind comanda su sau sudo -s:
su -
sau
sudo -s
Apoi, cu privilegii root, execută comanda tiger pentru a porni auditul de securitate:
tiger
Lasă comanda tiger să ruleze și urmărește procesul de audit. Acesta va afișa ce scanează și cum interacționează cu sistemul tău Linux. La final, va indica locația raportului de securitate în terminal.
Vizualizarea jurnalelor Tiger
Pentru a determina dacă există un rootkit pe sistemul tău Linux, trebuie să verifici raportul de securitate.
Pentru a accesa rapoartele de securitate Tiger, deschide un terminal și navighează în /var/log/tiger cu comanda CD.
Notă: Linux nu va permite accesul la /var/log utilizatorilor fără privilegii root. Trebuie să utilizezi su.
su -
sau
sudo -s
Apoi, intră în directorul jurnal cu:
cd /var/log/tiger
În directorul jurnal Tiger, rulează comanda ls. Aceasta va afișa toate fișierele din director.
ls
Selectează cu mouse-ul fișierul raport de securitate afișat în terminal și vizualizează-l cu comanda cat.
cat security.report.xxx.xxx-xx:xx
Analizează raportul pentru a vedea dacă Tiger a detectat un rootkit pe sistemul tău.
Eliminarea rootkit-urilor pe Linux
Eliminarea rootkit-urilor din sistemele Linux, chiar și cu cele mai performante instrumente, este dificilă și nu garantează succesul în toate cazurile. Deși există programe care pot facilita eliminarea acestor probleme, ele nu funcționează întotdeauna.
Dacă Tiger a identificat un rootkit periculos pe computerul tău Linux, cea mai bună soluție este să faci copii de rezervă ale fișierelor importante, să creezi un nou USB live și să reinstalezi complet sistemul de operare.