بسبب كل هذا udalenka ، اتضح أن جهاز الكمبيوتر المحمول للتدريب ، نصفه فارغًا من قبل ، أصبح الآن آلة العمل الرئيسية ويستحق حمايته بطريقة أكثر عمقًا. ما الذي تشير إليه السلطات بشكل عام بشكل واضح. على الكمبيوتر المحمول الآن الإصدار التجريبي من Ubuntu 20.04.بدأ كل شيء بإعدادات BIOS واضحة وتشفير كامل للقرص ، وهو أمر ربما لا ينبغي الكتابة عنه. ولكن بعد ذلك قررت أن أفهم ما يمكن أن تفعله أداة rkhunter ("rootkit، backdoor، sniffer and استغلال استغلال") على مستوى الملف .لم يكن لدي توقعات كبيرة من البرنامج الذي لم يتم تحديثه لبضع سنوات. يجب أن أقول على الفور أنني أشك كثيرًا في استخدام توقيعات فبراير 2018 للبحث عن الجذور الخفية ، ولكن أحد طرق التشغيل الأخرى - التحقق من تجزئات الملف ، أثار اهتمامي. من يهتم بمثل هذه التجربة وما حدث حتى الآن - مرحبًا بك في القط.الفكرة بسيطة - لكن دعنا نضيف فحصًا في البرنامج النصي للأشياء المفيدة في الصباح لمعرفة ما إذا كانت تجزئات MD5 للملفات التي لا يجب تغييرها لم تتغير. على الأقل حتى تحديثات الحزمة. هذا خفيف للغاية ، ولكن ليس عديم الفائدة ، في رأيي ، في القائمة البيضاء. يتم تعيين الإصدار الحالي القادر على حساب وفحص تجزئات الأداة ببساطة بواسطة مدير الحزم:apt search rkhunter
rkhunter/focal,focal,now 1.4.6-8 all [installed]
rootkit, backdoor, sniffer and exploit scanner
التكوين الرئيسي للصياد موجود في /etc/rkhunter.conf ، أولاً ، لحل مشكلتي ، هذه هي المعلمات التي قمت بتعيينها هناك:ENABLE_TESTS=hashes
لأنه ، بصرف النظر عن التجزئة ، لا شيء يهمني حتى الآن. يمكن الحصول على قائمة الاختبارات المحتملة الأخرى عن طريق الأمر.sudo rkhunter --list test
ما زلت أعتبر تصادم MD5-ok ذا صلة بالرياضيات ، ولكن ليس بالممارسة. أنا لا أصر على هذا الرأي ، ولكن كل يوم تقريبا أنظر إلى برامج ضارة جيدة وحتى الآن لم أواجه مثل هذه الصراعات في البرية. حتى الآن في التكوين يكفي بالنسبة لي.HASH_CMD=MD5
ثم أشار إلى مدير الحزم الخاص به ، والأهم من ذلك ، الأدلة ، تجزئات الملف التي تهمني. سيكون المسار ، على سبيل المثال ، / bin و / usr / bin. حول الملفات التي ظهرت في الدلائل ، لكنها لم تكن موجودة وقت الحساب ، سيعطي الصياد أيضًا تحذيرات.PKGMGR=DPKG
USER_FILEPROP_FILES_DIRS=/bin/*
USER_FILEPROP_FILES_DIRS=/usr/bin/*
إليك نقطة مهمة: باستخدام الإعدادات الخاصة بي ، لا يعتمد المسح على الحزم ، ولكن على الأدلة. من المحتمل أن يكون هذا أكثر صحة ، لأن الحزم تحتوي على الكثير من الملفات غير القابلة للتنفيذ ويجب أولاً تصفيتها ، على سبيل المثال ، من خلال الملف. حتى الآن ، اخترت مسار زيادة قائمة الأدلة والاستثناءات.لقد انتهينا من تكوين الماسح الضوئي الآن ، فقد حان الوقت لتحديث قاعدة التجزئة الصحيحة في /var/lib/rkhunter/db/rkhunter.dat بالإعدادات الجديدة. للقيام بذلك ، تحتاج إلى أمر (يأخذ أيضًا أسماء الحزم لإضافتها إلى قاعدة البيانات ، إذا ذهبت في الاتجاه الآخر).sudo rkhunter --propupd
بعد ذلك ، يجب أن تظهر جميع الملفات التي تهمك وتجزئتها في rkhunter.dat. في حالتي ، هذه 2847 ملفًا ، واستغرق المفهرس 9 مليونًا و 1177 ثانية. إنه يشبه إلى حد كبير ثلاثة آلاف MD5s ، مع الأخذ في الاعتبار md5sum لـ / bin / ls مقابل 0.003s ، ولكن هناك بالفعل.هذا كل شيء ، نحن على استعداد لإجراء فحص. لم يتم القتال بعد ، فمن غير المحتمل أن تكون بعض البرامج الضارة قد نجحت بالفعل في تغيير التجزئات.sudo rkhunter -c
هناك مفتاح واحد مفيد للغاية هنا - rwo (تحذيرات التقرير فقط) ، والتي ستتخطى جميع المقارنات الناجحة وتعطي التحذيرات فقط. تحتاج إلى البحث عن نتيجة العمل في /var/log/rkhunter.log. أما بالنسبة لسرعة الشيك ، فقد كان بالنسبة لي ما يقرب من ثلاثة آلاف ثنائيات 10 م 27489 ثانية ، مقارنة بوقت الفهرسة.قمنا بفرز عملية التحقق ، ولكن يبقى السؤال عن إعادة الفهرسة عند تحديث الحزم. أولئك. قمنا بالتحديث المناسب ولا نعتبر الآن جميع الملفات المحدثة برامج ضارة. يحتوي الماسح الضوئي على config / etc / default / rkhunter لأتمتة المهام. في ذلك سنقوم بتعيين المعلمة.APT_AUTOGEN="yes"
وفي /etc/apt/apt.conf.d/90rkhunter يكمن نص برمجي مسؤول عن إعادة الفهرسة بعد:
// Makes sure that rkhunter file properties database is updated after each remove or install only APT_AUTOGEN is enabled
DPkg::Post-Invoke { "if [ -x /usr/bin/rkhunter ] && grep -qiE '^APT_AUTOGEN=.?(true|yes)' /etc/default/rkhunter; then /usr/share/rkhunter/scripts/rkhupd.sh; fi"; };
في الواقع ، يسعد الجميع قبول أي إضافات. اتمنى ان تكون مفيدة