Karena semua udalenka ini, ternyata laptop pelatihan, setengah kosong sebelumnya, kini telah menjadi mesin kerja utama dan layak untuk melindunginya entah bagaimana dengan lebih bijaksana. Apa, secara umum, jelas diisyaratkan oleh pihak berwenang. Di laptop sekarang adalah Ubuntu 20,04 beta.Semuanya dimulai dengan pengaturan BIOS yang jelas dan enkripsi disk lengkap, yang mungkin tidak seharusnya saya tulis. Tetapi kemudian saya memutuskan untuk memahami apa yang dapat dilakukan oleh utilitas rkhunter ("rootkit, backdoor, sniffer, dan exploit scanner") pada tingkat file .Saya tidak memiliki harapan besar dari perangkat lunak yang belum diperbarui selama beberapa tahun. Saya harus segera mengatakan bahwa saya sangat meragukan penggunaan tanda tangan Februari 2018 untuk mencari rootkit, tetapi salah satu mode operasi lainnya - memeriksa hash file, membuat saya tertarik. Siapa yang tertarik dengan pengalaman seperti itu dan apa yang telah terjadi sejauh ini - selamat datang di kucing.Idenya sederhana - tetapi mari kita tambahkan cek di skrip hal berguna di pagi hari untuk melihat apakah MD5 hash file yang tidak boleh diubah tidak berubah. Setidaknya sampai pembaruan paket harus. Sangat ringan, tapi tidak sia-sia, menurut saya, masuk daftar putih. Versi saat ini yang mampu menghitung dan memeriksa hash utilitas diatur hanya oleh manajer paket:apt search rkhunter
rkhunter/focal,focal,now 1.4.6-8 all [installed]
rootkit, backdoor, sniffer and exploit scanner
Konfigurasi pemburu utama ada di /etc/rkhunter.conf dan pertama, untuk menyelesaikan masalah saya, ini adalah parameter yang saya atur di sana:ENABLE_TESTS=hashes
Karena, selain hash, belum ada yang menarik minat saya. Daftar tes lain yang mungkin dapat diperoleh dengan perintah.sudo rkhunter --list test
Saya masih menganggap tabrakan MD5-ok terkait dengan matematika, tetapi tidak untuk berlatih. Saya tidak bersikeras pada pendapat ini, tetapi hampir setiap hari saya melihat malware yang baik dan sejauh ini belum menemukan konflik seperti itu di alam liar. Jadi untuk sekarang di konfigurasi sudah cukup bagi saya.HASH_CMD=MD5
Kemudian ia menunjuk manajer paketnya dan, yang paling penting, direktori, mengajukan hash yang menarik minat saya. Path akan, misalnya, / bin dan / usr / bin. Tentang file yang muncul di direktori, tetapi yang tidak ada pada saat perhitungan, pemburu juga akan memberikan peringatan.PKGMGR=DPKG
USER_FILEPROP_FILES_DIRS=/bin/*
USER_FILEPROP_FILES_DIRS=/usr/bin/*
Inilah poin penting: dengan pengaturan saya, pemindaian tidak didasarkan pada paket, tetapi pada direktori. Mungkin, ini lebih benar, karena paket-paket berisi banyak file yang tidak dapat dieksekusi dan mereka harus disaring terlebih dahulu, misalnya melalui file. Sejauh ini, saya telah memilih jalur untuk meningkatkan daftar direktori dan pengecualian.Kami telah menyelesaikan konfigurasi pemindai sekarang, sekarang saatnya untuk memperbarui dasar hash yang benar di /var/lib/rkhunter/db/rkhunter.dat dengan pengaturan baru. Untuk melakukan ini, Anda memerlukan perintah (itu juga membutuhkan nama paket untuk ditambahkan ke database, jika Anda pergi ke arah lain).sudo rkhunter --propupd
Setelah itu, semua file yang menarik bagi Anda dan hash mereka akan muncul di rkhunter.dat. Dalam kasus saya, ini adalah 2.847 file, dan pengindeks mengambil 9m 2.117. Agak banyak, seperti, untuk tiga ribu MD5, mengingat md5sum untuk / bin / ls untuk 0,003, tetapi memang ada.Itu saja, kami siap menjalankan cek. Belum bertempur, kecil kemungkinan beberapa malware telah berhasil mengubah hash.sudo rkhunter -c
Ada satu kunci yang sangat berguna di sini - rwo (hanya laporan peringatan), yang akan melewati semua perbandingan yang berhasil dan hanya memberikan peringatan. Anda perlu mencari hasil kerja di /var/log/rkhunter.log. Sedangkan untuk kecepatan cek, untuk hampir tiga ribu binari saya 10m 27.489, sebanding dengan waktu pengindeksan.Kami menyortir verifikasi, tetapi pertanyaannya tetap tentang pengindeksan ulang saat memperbarui paket. Itu kami melakukan pembaruan dan sekarang tidak menganggap semua file yang diperbarui sebagai malware. Pemindai memiliki konfigurasi lain / etc / default / rkhunter untuk mengotomatisasi tugas. Di dalamnya kita akan mengatur parameter.APT_AUTOGEN="yes"
Dan di /etc/apt/apt.conf.d/90rkhunter terdapat skrip yang bertanggung jawab untuk post-reindexing:
// Makes sure that rkhunter file properties database is updated after each remove or install only APT_AUTOGEN is enabled
DPkg::Post-Invoke { "if [ -x /usr/bin/rkhunter ] && grep -qiE '^APT_AUTOGEN=.?(true|yes)' /etc/default/rkhunter; then /usr/share/rkhunter/scripts/rkhupd.sh; fi"; };
Sebenarnya, semua orang, tambahan apa pun senang menerima. Semoga bermanfaat.