Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 28 e 29
Versione 28 del 11/08/2008 12.12.53
Dimensione: 3694
Autore: Alberto
Commento:
Versione 29 del 11/08/2008 13.12.14
Dimensione: 4123
Autore: Alberto
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 59: Linea 59:
 * '''[http://www.nsa.gov/selinux/ SELinux]''' Questa patch aumenta il grado si sicurezza del proprio sistema operativo.  * '''[http://www.nsa.gov/selinux/ SELinux]''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo.
Il principio su cui è basato è il Mandatory Access Control, nella prativa per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
Linea 61: Linea 62:
 * '''[http://www.nessus.org/nessus/ Nessus]''' Questo è un ottimo strumento per la ricerca di qualsiasi tipo di vulnerabilità all' interno del sistema  * '''[http://www.nessus.org/nessus/ Nessus]''' Questo è un ottimo strumento per la ricerca di qualsiasi tipo di vulnerabilità all' interno del sistema.

Indice VersioniSupportate(hardy)

Introduzione

Rootkit è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.

Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5 .
  • Segnalazione di permessi errati. * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.

Installazione

Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma RootkitHunter digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: 

sudo apt-get install rkhunter

Completata l'installazione di Rootkit Hunter, prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema.

Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: 

rkhunter --update

Utilizzo

Per scansionare il sistema digitare: 

sudo rkhunter --checkall

Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili.

Opzione

Descrizione

- -createlogfile

Crea un file di log della scansione in /var/log/rkhunter.log.

- -disable-md5-check

Non esegue il controllo sugli hash MD5.

- -report-mode

Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.

- -cronjob

Esegue Rootkit Hunter automaticamente ad intervalli di tempo regolari.

- -skip-keypress

Evita di dover premere ok alla fine di ogni test.

Una volta terminata la fase di controllo, Rootkit Hunter mostra un report dello stato del sistema.

Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer.

Un Rootkit! E adesso?

L'unica contromisura che si può adottare è quella di utilizzare patch del kernel.

Allo stato attuale non esiste nessun programma in grado di eliminare rootkit presenti nel sistema operativo.

Le principali patch del kernel anti Rootkit sono le seguenti:

  • [http://www.lids.org/ Lids] Questa patch è capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella directory /dev.

  • [http://www.nsa.gov/selinux/ SELinux] è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo.

Il principio su cui è basato è il Mandatory Access Control, nella prativa per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  • [http://www.nessus.org/nessus/ Nessus] Questo è un ottimo strumento per la ricerca di qualsiasi tipo di vulnerabilità all' interno del sistema.

  • [http://www.foundstone.com/us/index.asp Carbonite] Questo permette il collegamento di ogni processo nella "task_struck" (la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  • [http://www.tripwire.com/ Tripwire] E' uno strumento per il controllo delle checksum crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

Ulteriori risorse

[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale]

CategoryHomepage