由于存在所有这些udalenka,原来训练用的笔记本电脑(以前是半空的)现在已经成为主要的工作机器,值得以某种方式进行更深思熟虑的保护。一般而言,当局明确暗示了什么。笔记本电脑上现在是Ubuntu 20.04 beta。这一切都始于清晰的BIOS设置和全盘加密,我可能不应该写这些。但是后来,我决定了解rkhunter实用程序(“ rootkit,后门,嗅探器和漏洞利用扫描程序”)在文件级别可以做什么。我对已经几年没有更新的软件没有太大的期望。我必须马上说,我非常怀疑使用2018年2月的签名来搜索rootkit,但是其他操作方式之一-检查文件哈希值令我感兴趣。谁对这样的经历和到目前为止发生的事情感兴趣-欢迎光临。这个想法很简单-但让我们在早上有用的东西脚本中添加一个检查,以查看是否应更改其文件的MD5哈希值是否未更改。至少在软件包更新之前。在我看来,这样的清单很轻,但并非没有用。能够计算和检查实用程序哈希值的当前版本仅由包管理器设置:apt search rkhunter
rkhunter/focal,focal,now 1.4.6-8 all [installed]
rootkit, backdoor, sniffer and exploit scanner
主要的猎人配置位于/etc/rkhunter.conf中,首先,要解决我的问题,这些是我在此处设置的参数:ENABLE_TESTS=hashes
因为,除了哈希之外,没有什么让我感兴趣。其他可能的测试列表可以通过该命令获得。sudo rkhunter --list test
我仍然认为MD5-ok碰撞与数学有关,但与实践无关。我并不坚持这种观点,但是几乎每天我都在查看好的恶意软件,到目前为止,还没有在野外遇到这样的冲突。因此,对于我而言,现在在配置中就足够了。HASH_CMD=MD5
然后,他指示了他的软件包管理器,最重要的是,指示了我感兴趣的文件哈希。该路径将是例如/ bin和/ usr / bin。对于出现在目录中但在计算时不存在的文件,猎人也会发出警告。PKGMGR=DPKG
USER_FILEPROP_FILES_DIRS=/bin/*
USER_FILEPROP_FILES_DIRS=/usr/bin/*
这是重要的一点:使用我的设置,扫描不是基于软件包,而是基于目录。可能这是更正确的,因为这些软件包包含许多不可执行的文件,并且必须首先将其过滤掉,例如通过文件过滤掉。到目前为止,我已经选择增加目录和异常列表的路径。到目前为止,我们已经完成了扫描仪的配置,现在该使用新设置来更新/var/lib/rkhunter/db/rkhunter.dat中正确的哈希值的基础了。为此,您需要一个命令(如果使用其他方法,它也将软件包名称添加到数据库中)。sudo rkhunter --propupd
之后,您感兴趣的所有文件及其哈希将出现在rkhunter.dat中。就我而言,这些文件是2847个文件,而索引器用了900万个2117个文件。例如,对于三千个MD5,考虑md5sum为/ bin / ls为0.003s,但确实存在。就是这样,我们准备进行检查。尚未战斗,某些恶意软件不太可能已经设法改变了哈希值。sudo rkhunter -c
这里有一个非常有用的键-rwo(仅报告警告),它将跳过所有成功的比较并仅给出警告。您需要在/var/log/rkhunter.log中查找工作结果。至于检查的速度,对于我的近三千个二进制文件,它是10m 27,489s,与索引时间相当。我们对验证进行了整理,但是更新软件包时仍然存在重新编制索引的问题。那些。我们做了apt更新,现在不认为所有更新的文件都是恶意软件。扫描程序还有另一个配置/ etc / default / rkhunter,用于自动执行任务。在其中我们将设置参数。APT_AUTOGEN="yes"
在/etc/apt/apt.conf.d/90rkhunter中,有一个脚本负责后重新索引编制:
// Makes sure that rkhunter file properties database is updated after each remove or install only APT_AUTOGEN is enabled
DPkg::Post-Invoke { "if [ -x /usr/bin/rkhunter ] && grep -qiE '^APT_AUTOGEN=.?(true|yes)' /etc/default/rkhunter; then /usr/share/rkhunter/scripts/rkhupd.sh; fi"; };
实际上,每个人都喜欢接受任何补充。希望对您有所帮助。