Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 58 e 75 (in 17 versioni)
Versione 58 del 16/08/2008 17.44.03
Dimensione: 5179
Autore: SalvatorePalma
Commento: piccola controllata
Versione 75 del 11/07/2017 15.43.28
Dimensione: 4375
Autore: ivantu
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
## page was renamed from AlbertoTomaduz/Prove7
Linea 3: Linea 4:
[[Indice]] <<Indice>>
<<Informazioni(rilasci="17.04 16.04";)>>
Linea 7: Linea 9:
'''!RootkitHunder''' permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di '''backdoor''' e '''rootkit''' e non.

Le tecniche di scansione sono:
 * Verifica dei codici (has) MD5
 * Segnalazione di permessi errati
 * Blocco di tutti i moduli del kernel pericolosi
 * Scansione dì tutti i file eseguibili

= Preparativi =

Abilitare i [:Repository/Componenti:componenti] '''universe''' dei [:Repository:repository] ufficiali.
 '''Rootkit Hunter''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevole.
Linea 22: Linea 13:
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto ''rkhunter''.  * [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://rkhunter | rkhunter]] reperibile dal [[Repository/Componenti|componente]] '''universe''' dei [[Repository|repository ufficiali]].
Linea 26: Linea 17:
Completata l'installazione di '''!RootkitHunter''', è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di terminale il seguente comando:{{{ Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo digitare in [[AmministrazioneSistema/Terminale|terminale]] comando:
{{{
Linea 30: Linea 22:
= Utilizzo = = Avvio e utilizzo =
Linea 32: Linea 24:
Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando:
 Per avviare una scansione del sistema digitare comando in una finestra di [[AmministrazioneSistema/Terminale|terminale]]:
Linea 38: Linea 29:
Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili: Quella che segue è una spiegazione dei principali comandi disponibili:
Linea 43: Linea 34:
||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente ad intervalli di tempo regolari.|| ||<style="text-align:center">'''--cronjob''' || Esegue l'applicazione automaticamente a intervalli di tempo regolari.||
Linea 46: Linea 37:
Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:{{{
man rkhunter
}}}		 Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer.
Linea 50: Linea 39:
Una volta terminata la fase di controllo, '''!RootkitHunter''' mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.


Questo è un esempio del risultato di scansione riportato da '''!RootkitHunter''':		 Questo è un esempio del risultato di scansione:
Linea 73: Linea 59:
In questo caso analizzando la scansione sono state trovare le seguenti possibili vulnerabilità nel sistema:
 * Due possibili '''rootkit''' su 109
 * Cinque file sospetti su 122
 * Una applicazione sospettata di essere un '''rootkit''' su 3		 Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da '''Rootkit Hunter''' consultare il file `/var/log/rkhunter.log`.
Linea 78: Linea 61:
Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quando analizzato da '''!RootkitHunter''' consultare il relativo file di log `/var/log/rkhunter.log`. Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:
Linea 80: Linea 63:
Nel caso in cui nel log risultano dei file sospetti bisogna utilizzare le patch del kernel.   * [[http://www.lids.org/|lids]]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella `/dev`.
Linea 82: Linea 65:
Le principali patch del kernel anti '''Rootkit''' sono le seguenti:   * [[http://www.nsa.gov/selinux/|selinux]]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei [[AmministrazioneSistema/PermessiFile/permessi]].
Linea 84: Linea 67:
  * '''[http://www.lids.org/ Lids]:''' è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella `/dev`.   * [[http://www.nessus.org/nessus/|Nessus]]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.
Linea 86: Linea 69:
  * '''[http://www.nsa.gov/selinux/ SELinux]:''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.   * [[http://www.foundstone.com/us/index.asp|Carbonite]]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
Linea 88: Linea 71:
  * '''[http://www.nessus.org/nessus/ Nessus]:''' è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

  * '''[http://www.foundstone.com/us/index.asp Carbonite]:''' permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  * '''[http://www.tripwire.com/ Tripwire]:''' è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.		   * [[http://www.tripwire.com/|Tripwire]]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.
Linea 95: Linea 74:
 * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
 * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
 * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
 * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
Linea 100: Linea 75:
 * [[http://www.rootkit.nl/projects/rootkit_hunter.html|Sito ufficiale del progetto]]
 * [[http://it.wikipedia.org/wiki/Rootkit|Voce enciclopedica di RootKit]]
 * [[http://it.wikipedia.org/wiki/Backdoor|Voce enciclopedica di Backdoor]]
 * [[http://it.wikipedia.org/wiki/MD5|Voce enciclopedica di MD5]]
Linea 101: Linea 80:
CategoryHomepage CategorySicurezza

Questa guida è stata verificata solo con versioni obsolete di Ubuntu, potrebbe non essere più valida. Vuoi contribuire ad aggiornarla? Clicca qui!

Introduzione

Rootkit Hunter consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevole.

Installazione

Configurazione

Completata l'installazione di Rootkit Hunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo digitare in terminale comando: 

sudo rkhunter --update

Avvio e utilizzo

Per avviare una scansione del sistema digitare comando in una finestra di terminale: 

sudo rkhunter -c

Quella che segue è una spiegazione dei principali comandi disponibili:

Opzione

Descrizione

--disable-md5-check

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue l'applicazione automaticamente a intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer.

Questo è un esempio del risultato di scansione: 

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da Rootkit Hunter consultare il file /var/log/rkhunter.log.

Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:

  • lids: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella /dev.

  • selinux: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei AmministrazioneSistema/PermessiFile/permessi.

  • Nessus: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.

  • Carbonite: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  • Tripwire: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.

Ulteriori risorse

CategorySicurezza