Урок 71: Аудит безопасности и поиск руткитов (Lynis, chkrootkit)

Цель урока: Провести комплексную проверку сервера на уязвимости. Мы научимся искать руткиты (шпионские программы хакеров) и использовать профессиональный аудитор Lynis, который выставит вашему серверу оценку безопасности и подскажет, что исправить.

Мы работаем от root.

Часть 1: Что мы ищем?

1. Руткиты (Rootkits): Это программы-невидимки. Хакер ставит их, чтобы иметь вечный доступ к серверу. Они умеют прятаться от команд ls, ps и top. Вы думаете, что сервер чист, а он работает на злоумышленника.

2. Мисконфигурации (Weak Settings): Это не вирусы, а ваши ошибки. Например, открытый лишний порт, разрешенный вход без пароля, старая версия ядра.

Часть 2: Охота на шпионов (chkrootkit)

chkrootkit (Check Rootkit) - это классическая утилита, которая ищет признаки известных троянов и "закладок".

Шаг 1: Установка

apt update
apt install -y chkrootkit

Шаг 2: Запуск сканирования
Просто запустите команду. Она проверит системные файлы.

chkrootkit

Шаг 3: Анализ результатов
Вывод будет длинным. Смотрите на ключевые слова в конце строк:

• not infected - чисто.

• not found - чисто (троян не найден).

• INFECTED - Внимание! Потенциальная угроза.

⚠️ Важно о ложных срабатываниях:
Иногда chkrootkit паникует зря.
Пример частой ошибки: Searching for Linux/Ebury - Operation Windigo... INFECTED.
Если вы увидели INFECTED, не удаляйте сервер сразу. Сначала погуглите сообщение. Часто это бывает из-за специфических настроек SSH у хостера. Но проверить стоит.

Часть 3: Большой аудит (Lynis)

Если chkrootkit ищет вирусы, то Lynis оценивает качество вашей защиты. Это как строгий инспектор, который ходит с чек-листом по вашему серверу.

Шаг 1: Установка
Lynis есть в репозиториях, но там часто старая версия. Однако для обучения её достаточно.

apt install -y lynis

Шаг 2: Запуск аудита
Запускаем полную проверку системы:

lynis audit system

Как проходит процесс:
Lynis начнет выводить сотни строк проверок. Они маркируются цветами:

• Зеленый [ OK ] / [ NONE ]: Всё хорошо.

• Желтый [ SUGGESTION ]: Не критично, но можно улучшить.

• Красный [ WARNING ]: Опасная дыра в безопасности!

Программа будет делать паузы. Нажимайте Enter, чтобы продолжить, или Ctrl+C, чтобы прервать (если хотите пропустить чтение и сразу получить отчет).
Совет: Можно запустить lynis audit system --quick, чтобы он не ждал нажатий Enter.

Часть 4: Разбор полетов (Отчет Lynis)

Самое интересное - в самом конце вывода. Прокрутите вниз.

1. Индекс защиты (Hardening Index)
Вы увидите что-то вроде:
Hardening index : 64 [############# ]

• Ниже 50: Сервер дырявый как решето.

• 60-75: Хороший базовый уровень (норма для обычного VDS).

• Выше 80: Уровень параноика (или профессионального Enterprise-сервера).

2. Секция "Suggestions" (Предложения)
Здесь Lynis пишет конкретные советы. Пример:

* Configure SSH to disable root login [SSH-7412]
* Install a spam daemon [MAIL-8848]

3. Как понять совет?
У каждого совета есть код в скобках (например, SSH-7412).
Чтобы узнать подробности и как это исправить, используйте команду:

lynis show details SSH-7412

Он напишет объяснение, почему это важно.

Часть 5: Практика. Исправляем одну уязвимость

Скорее всего, Lynis поругает вас за то, что SSH разрешает вход по паролю или разрешает вход руту (если вы не отключили это в ранних уроках). Или предложит скрыть версию баннера SSH, чтобы хакеры не знали, какая у вас версия.

Давайте выполним одно требование "Hardening" (усиления защиты).
Например: Запретить показ версии Debian/Ubuntu при входе по SSH.
(По умолчанию, когда вы подключаетесь, сервер радостно пишет: Debian GNU/Linux 11.... Хакеру это помогает подобрать эксплойт).

Шаг 1: Меняем настройки SSH
Открываем конфиг:

nano /etc/ssh/sshd_config

Ищем (или добавляем в конец) строку DebianBanner:

DebianBanner no

Шаг 2: Перезапускаем SSH

systemctl restart ssh

Шаг 3: Проверяем Lynis снова
Запустите lynis audit system --quick.
Ваш Hardening Index должен вырасти на пару пунктов, а предупреждение исчезнуть.

Именно так и происходит работа по безопасности:

1. Запустили аудит.

2. Нашли желтые/красные пункты.

3. Погуглили, исправили конфиг.

4. Повторили.

Часть 6: Не забываем про базу (Apt Upgrade)

Никакой Lynis не спасет, если у вас дырявое программное обеспечение.
90% взломов происходит через уязвимости в старых версиях софта.

Золотая привычка администратора:
Раз в неделю (или настройте автоматику) выполнять:

apt update
apt upgrade

Если вы видите, что обновилось ядро (linux-image-...) или systemd - сервер желательно перезагрузить (reboot).

Часть 7: Проверка открытых портов (Финал)

Мы это делали в Уроке 36, но в контексте безопасности это нужно повторить.
Lynis проверяет конфиги, но ss проверяет факты.

ss -tulpn

Внимательно посмотрите на колонку Local Address:Port.

• Вы должны видеть там только то, что вы сами устанавливали:

  • :22 (SSH)

  • :80 / :443 (Nginx/Apache)

  • :3306 (MySQL - и то, желательно, чтобы там было 127.0.0.1:3306, а не 0.0.0.0:3306, чтобы базу не ломали из интернета).

• Если видите какой-то странный порт (например, 6667 или 12345) и программу, которую вы не знаете - это сигнал тревоги.

Итоги урока

Вы провели аудит своего сервера.

1. chkrootkit - это антивирус. Запускаем раз в месяц, чтобы убедиться, что нас не взломали "по-тихому".

2. Lynis - это тренер. Он показывает слабые места в настройках. Стремитесь к индексу хотя бы 70.

3. Обновления - главная защита. Старый софт = взломанный сервер.

Теперь ваш сервер настроен, оптимизирован и проверен на прочность.

Впереди Финальный Урок 72.
Мы не будем учить новые команды. Мы составим "Аварийный чемоданчик" (Чек-лист).
Что делать, если в 3 часа ночи звонит клиент и кричит "САЙТ ЛЕЖИТ!"? Мы пропишем четкий алгоритм действий, основанный на всех 71 уроках, чтобы вы не паниковали, а действовали как профессионал.

Перейти к просмотру - УРОК №72.