|
Dimensione: 4163
Commento:
|
Dimensione: 4344
Commento: EOL 11.04 → CategoryDaRevisionare
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| [[Indice]] [[VersioniSupportate(hardy)]] |
## page was renamed from AlbertoTomaduz/Prove7 #format wiki #language it <<Indice>> <<Informazioni(rilasci="11.04 10.10 10.04";)>> |
| Linea 5: | Linea 8: |
| '''Rootkit''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc. | |
| Linea 7: | Linea 9: |
| Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit''' e non. Le tecniche di scansione sono: * Verifica dei codici (has) MD5 . * Segnalazione di permessi errati. * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili. |
'''Rootkit Hunter''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevole. |
| Linea 14: | Linea 12: |
| Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma '''!RootkitHunter''' digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: | |
| Linea 16: | Linea 13: |
| * [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://rkhunter | rkhunter]] reperibile dal [[Repository/Componenti|componente]] '''universe''' dei [[Repository|repository ufficiali]]. = Configurazione = Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale: |
|
| Linea 17: | Linea 19: |
| sudo apt-get install rkhunter | sudo rkhunter --update |
| Linea 20: | Linea 22: |
| Completata l'installazione di '''Rootkit Hunter''', prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema. | = Avvio e utilizzo = |
| Linea 22: | Linea 24: |
| Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: |
Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale: |
| Linea 25: | Linea 26: |
| rkhunter --update | sudo rkhunter -c |
| Linea 28: | Linea 29: |
| = Utilizzo = | Quella che segue è una spiegazione dei principali comandi disponibili: |
| Linea 30: | Linea 31: |
| Per scansionare il sistema digitare: | ||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''|| ||<style="text-align:center">'''--disable-md5-check''' || Viene disabilitato il controllo sugli hash MD5.|| ||<style="text-align:center">'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.|| ||<style="text-align:center">'''--cronjob''' || Esegue l'applicazione automaticamente a intervalli di tempo regolari.|| ||<style="text-align:center">'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.|| |
| Linea 32: | Linea 37: |
| Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer. Questo è un esempio del risultato di scansione: |
|
| Linea 33: | Linea 41: |
| sudo rkhunter --checkall | System checks summary ===================== File properties checks... Files checked: 122 Suspect files: 5 Rootkit checks... Rootkits checked : 109 Possible rootkits: 2 Applications checks... Applications checked: 3 Suspect applications: 1 The system checks took: 1 minute and 37 seconds |
| Linea 36: | Linea 59: |
| Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili. | Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da '''Rootkit Hunter''' consultare il file `/var/log/rkhunter.log`. |
| Linea 38: | Linea 61: |
| ||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''|| ||<style="text-align:center">'''- -createlogfile''' || Crea un file di log della scansione in ''/var/log/rkhunter.log''.|| ||<style="text-align:center">'''- -disable-md5-check''' || Non esegue il controllo sugli hash MD5.|| ||<style="text-align:center">'''- -report-mode''' || Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.|| ||<style="text-align:center">'''- -cronjob''' || Esegue '''Rootkit Hunter''' automaticamente ad intervalli di tempo regolari.|| ||<style="text-align:center">'''- -skip-keypress''' || Evita di dover premere '''ok''' alla fine di ogni test.|| |
Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel: |
| Linea 45: | Linea 63: |
| Una volta terminata la fase di controllo, '''Rootkit Hunter''' mostra un report dello stato del sistema. | * [[http://www.lids.org/|lids]]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella `/dev`. |
| Linea 47: | Linea 65: |
| Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer. | * [[http://www.nsa.gov/selinux/|selinux]]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. |
| Linea 49: | Linea 67: |
| = Un Rootkit! E adesso? = | * [[http://www.nessus.org/nessus/|Nessus]]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema. |
| Linea 51: | Linea 69: |
| L'unica contromisura che si può adottare è quella di utilizzare patch del '''kernel'''. | * [[http://www.foundstone.com/us/index.asp|Carbonite]]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. |
| Linea 53: | Linea 71: |
| Allo stato attuale non esiste nessun programma in grado di eliminare '''rootkit''' presenti nel sistema operativo. Le principali patch del '''kernel''' anti '''Rootkit''' sono le seguenti: * '''[http://www.lids.org/ Lids]''' è una patch capace di bloccare il '''kernel''' se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella directory ''/dev''. * '''[http://www.nsa.gov/selinux/ SELinux]''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il Mandatory Access Control, nella prativa per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. * '''[http://www.nessus.org/nessus/ Nessus]''' è un ottimo strumento di tipo security scanner per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema. * '''[http://www.foundstone.com/us/index.asp Carbonite]''' permette il collegamento di ogni processo nella "task_struck" (la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. * '''[http://www.tripwire.com/ Tripwire]''' è uno strumento per il controllo delle checksum crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza. |
* [[http://www.tripwire.com/|Tripwire]]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza. |
| Linea 68: | Linea 74: |
| [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale] | |
| Linea 70: | Linea 75: |
| * [[http://www.rootkit.nl/projects/rootkit_hunter.html|Sito ufficiale del progetto]] * [[http://it.wikipedia.org/wiki/Rootkit|Voce enciclopedica di RootKit]] * [[http://it.wikipedia.org/wiki/Backdoor|Voce enciclopedica di Backdoor]] * [[http://it.wikipedia.org/wiki/MD5|Voce enciclopedica di MD5]] |
|
| Linea 71: | Linea 80: |
| CategoryHomepage | CategorySicurezza CategoryDaRevisionare |
Introduzione
Rootkit Hunter consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevole.
Installazione
Installare il pacchetto rkhunter reperibile dal componente universe dei repository ufficiali.
Configurazione
Completata l'installazione di Rootkit Hunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale:
sudo rkhunter --update
Avvio e utilizzo
Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale:
sudo rkhunter -c
Quella che segue è una spiegazione dei principali comandi disponibili:
Opzione |
Descrizione |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue l'applicazione automaticamente a intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer.
Questo è un esempio del risultato di scansione:
System checks summary
=====================
File properties checks...
Files checked: 122
Suspect files: 5
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 2
Applications checks...
Applications checked: 3
Suspect applications: 1
The system checks took: 1 minute and 37 secondsIl log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da Rootkit Hunter consultare il file /var/log/rkhunter.log.
Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:
lids: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella /dev.
selinux: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
Nessus: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.
Carbonite: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
Tripwire: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.
