Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 1 e 62 (in 61 versioni)
Versione 1 del 28/07/2008 10.51.13
Dimensione: 599
Autore: Alberto
Commento:
Versione 62 del 17/10/2008 23.55.21
Dimensione: 4248
Autore: AlessioTreglia
Commento: sistemata
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
#format wiki
#language it
Linea 2: Linea 4:
[[VersioniSupportate(hardy)]]
Linea 5: Linea 6:
'''Rootkit''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.
Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit' e non.
Le tecniche di scansione sono:
 * Verifica dei codici (has) MD5 .
 * Segnalazione di permessi errati.
 * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.
 
'''!RootkitHunder''' permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevoli.

= Installazione =

Per installare '''!RootkitHunder''' è necessario [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto ''rkhunter'', reperibile dal [:Repository/Componenti:componente] '''universe''' dei [:Repository:repository ufficiali].

= Configurazione =

Completata l'installazione di '''!RootkitHunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale:
{{{
sudo rkhunter --update
}}}

= Avvio e utilizzo =

Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale:
{{{
sudo rkhunter -c
}}}

Quella che segue è una spiegazione dei principali comandi disponibili:

||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''||
||<style="text-align:center">'''--disable-md5-check''' || Viene disabilitato il controllo sugli hash MD5.||
||<style="text-align:center">'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.||
||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente a intervalli di tempo regolari.||
||<style="text-align:center">'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.||

Una volta terminata la scansione, '''!RootkitHunter''' mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmai malevoli all'interno del computer.

Questo è un esempio del risultato di scansione:
{{{
System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds
}}}

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da '''!RootkitHunter''' consultare il file `/var/log/rkhunter.log`.

Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:

  * [http://www.lids.org/ lids]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella `/dev`.

  * [http://www.nsa.gov/selinux/ selinux]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  * [http://www.nessus.org/nessus/ Nessus]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.

  * [http://www.foundstone.com/us/index.asp Carbonite]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  * [http://www.tripwire.com/ Tripwire]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.

= Ulteriori risorse =

 * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
 * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
 * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
 * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
----
CategoryHomepage

Indice

Introduzione

RootkitHunder permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevoli.

Installazione

Per installare RootkitHunder è necessario [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto rkhunter, reperibile dal [:Repository/Componenti:componente] universe dei [:Repository:repository ufficiali].

Configurazione

Completata l'installazione di RootkitHunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale: 

sudo rkhunter --update

Avvio e utilizzo

Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale: 

sudo rkhunter -c

Quella che segue è una spiegazione dei principali comandi disponibili:

Opzione

Descrizione

--disable-md5-check

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue RootkitHunter automaticamente a intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Una volta terminata la scansione, RootkitHunter mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmai malevoli all'interno del computer.

Questo è un esempio del risultato di scansione: 

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da RootkitHunter consultare il file /var/log/rkhunter.log.

Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:

  • [http://www.lids.org/ lids]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella /dev.

  • [http://www.nsa.gov/selinux/ selinux]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  • [http://www.nessus.org/nessus/ Nessus]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.

  • [http://www.foundstone.com/us/index.asp Carbonite]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  • [http://www.tripwire.com/ Tripwire]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.

Ulteriori risorse

CategoryHomepage