4375
Commento:
|
4247
Piccole correzioni
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 9: | Linea 9: |
'''Rootkit Hunter''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevole. | '''Rootkit Hunter''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti alla ricerca di applicazioni malevole. |
Linea 13: | Linea 13: |
* [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://rkhunter | rkhunter]] reperibile dal [[Repository/Componenti|componente]] '''universe''' dei [[Repository|repository ufficiali]]. | [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://rkhunter | rkhunter]]. |
Linea 17: | Linea 17: |
Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo digitare in [[AmministrazioneSistema/Terminale|terminale]] comando: {{{ |
Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema. A tale scopo digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando: {{{ |
Linea 24: | Linea 23: |
Per avviare una scansione del sistema digitare comando in una finestra di [[AmministrazioneSistema/Terminale|terminale]]: {{{ |
Per avviare una scansione del sistema digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando: {{{ |
Linea 31: | Linea 29: |
||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''|| | ||<style="background-color:#cccccc;":> '''Opzione'''||<style="background-color:#cccccc;":> '''Descrizione'''|| |
Linea 65: | Linea 63: |
* [[http://www.nsa.gov/selinux/|selinux]]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei [[AmministrazioneSistema/PermessiFile/permessi]]. | * [[http://www.nsa.gov/selinux/|selinux]]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei [[AmministrazioneSistema/PermessiFile|permessi]]. |
Introduzione
Rootkit Hunter consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti alla ricerca di applicazioni malevole.
Installazione
Installare il pacchetto rkhunter.
Configurazione
Completata l'installazione di Rootkit Hunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema. A tale scopo digitare nel terminale il comando:
sudo rkhunter --update
Avvio e utilizzo
Per avviare una scansione del sistema digitare nel terminale il comando:
sudo rkhunter -c
Quella che segue è una spiegazione dei principali comandi disponibili:
Opzione |
Descrizione |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue l'applicazione automaticamente a intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer.
Questo è un esempio del risultato di scansione:
System checks summary ===================== File properties checks... Files checked: 122 Suspect files: 5 Rootkit checks... Rootkits checked : 109 Possible rootkits: 2 Applications checks... Applications checked: 3 Suspect applications: 1 The system checks took: 1 minute and 37 seconds
Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da Rootkit Hunter consultare il file /var/log/rkhunter.log.
Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:
lids: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella /dev.
selinux: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
Nessus: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.
Carbonite: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
Tripwire: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.