Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 28 e 82 (in 54 versioni)
Versione 28 del 11/08/2008 12.12.53
Dimensione: 3694
Autore: Alberto
Commento:
Versione 82 del 11/09/2024 16.44.41
Dimensione: 4384
Autore: ivantu
Commento: +20.04 +22.04
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
[[Indice]]
[[VersioniSupportate(hardy)]]		 ## page was renamed from AlbertoTomaduz/Prove7
#format wiki
#language it
<<Indice>>
<<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?f=46&t=622175"; rilasci="22.04 20.04 17.04 16.04";)>>
Linea 5: Linea 8:
'''Rootkit''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.
Linea 7: Linea 9:
Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit''' e non.

Le tecniche di scansione sono:
 * Verifica dei codici (has) MD5 .
 * Segnalazione di permessi errati. * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.		 '''Rootkit Hunter''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti alla ricerca di applicazioni malevole.
Linea 14: Linea 12:
Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma '''!RootkitHunter''' digitare in [:AmministrazioneSistema/RigaDiComando:terminale]:
Linea 16: Linea 13:
{{{
sudo apt-get install rkhunter		 [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://rkhunter | rkhunter]].

= Configurazione =

Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema. A tale scopo digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{
sudo rkhunter --update
Linea 20: Linea 21:
Completata l'installazione di '''Rootkit Hunter''', prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema. = Avvio e utilizzo =
Linea 22: Linea 23:
Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]:

{{{
rkhunter --update		 Per avviare una scansione del sistema digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{
sudo rkhunter -c
Linea 28: Linea 27:
= Utilizzo = Quella che segue è una spiegazione dei principali comandi disponibili:
Linea 30: Linea 29:
Per scansionare il sistema digitare: ||<:> '''Opzione'''||<:> '''Descrizione'''||
||<:>'''--disable hashes''' || Viene disabilitato il controllo sugli hash MD5.||
||<:>'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.||
||<:>'''--cronjob''' || Esegue l'applicazione automaticamente a intervalli di tempo regolari.||
||<:>'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.||
Linea 32: Linea 35:
{{{
sudo rkhunter --checkall		 Per visualizzare l'elenco completo delle opzioni e dei test disponibili, digitare nel [[AmministrazioneSistema/Terminale|terminale]] i seguenti comandi:{{{
rkhunter --help}}} {{{
man rkhunter}}} {{{
sudo rkhunter --list tests}}}

Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer.

Questo è un esempio del risultato di scansione:{{{
System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds
Linea 36: Linea 61:
Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili. Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da '''Rootkit Hunter''' consultare il file `/var/log/rkhunter.log`.
Linea 38: Linea 63:
||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''||
||<style="text-align:center">'''- -createlogfile''' || Crea un file di log della scansione in ''/var/log/rkhunter.log''.||
||<style="text-align:center">'''- -disable-md5-check''' || Non esegue il controllo sugli hash MD5.||
||<style="text-align:center">'''- -report-mode''' || Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.||
||<style="text-align:center">'''- -cronjob''' || Esegue '''Rootkit Hunter''' automaticamente ad intervalli di tempo regolari.||
||<style="text-align:center">'''- -skip-keypress''' || Evita di dover premere '''ok''' alla fine di ogni test.||		 Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:
Linea 45: Linea 65:
Una volta terminata la fase di controllo, '''Rootkit Hunter''' mostra un report dello stato del sistema.

Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer.

= Un Rootkit! E adesso? =

L'unica contromisura che si può adottare è quella di utilizzare patch del '''kernel'''.

Allo stato attuale non esiste nessun programma in grado di eliminare '''rootkit''' presenti nel sistema operativo.

Le principali patch del '''kernel''' anti '''Rootkit''' sono le seguenti:

 * '''[http://www.lids.org/ Lids]''' Questa patch è capace di bloccare il '''kernel''' se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella directory ''/dev''.

 * '''[http://www.nsa.gov/selinux/ SELinux]''' Questa patch aumenta il grado si sicurezza del proprio sistema operativo.

 * '''[http://www.nessus.org/nessus/ Nessus]''' Questo è un ottimo strumento per la ricerca di qualsiasi tipo di vulnerabilità all' interno del sistema

 * '''[http://www.foundstone.com/us/index.asp Carbonite]''' Questo permette il collegamento di ogni processo nella "task_struck" (la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

 * '''[http://www.tripwire.com/ Tripwire]''' E' uno strumento per il controllo delle checksum crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.		   * [[http://www.lids.org/|lids]]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella `/dev`.
  * [[http://www.nsa.gov/selinux/|selinux]]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei [[AmministrazioneSistema/PermessiFile|permessi]].
  * [[http://www.nessus.org/nessus/|Nessus]]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.
  * [[http://www.foundstone.com/us/index.asp|Carbonite]]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
  * [[http://www.tripwire.com/|Tripwire]]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.
Linea 68: Linea 72:
[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale]
 * [[http://www.rootkit.nl/projects/rootkit_hunter.html|Sito ufficiale del progetto]]
 * [[http://it.wikipedia.org/wiki/Rootkit|Voce enciclopedica di RootKit]]
 * [[http://it.wikipedia.org/wiki/Backdoor|Voce enciclopedica di Backdoor]]
 * [[http://it.wikipedia.org/wiki/MD5|Voce enciclopedica di MD5]]
Linea 71: Linea 79:
CategoryHomepage CategorySicurezza

Guida verificata con Ubuntu: 20.04 22.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Rootkit Hunter consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti alla ricerca di applicazioni malevole.

Installazione

Installare il pacchetto rkhunter.

Configurazione

Completata l'installazione di Rootkit Hunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema. A tale scopo digitare nel terminale il comando:

sudo rkhunter --update

Avvio e utilizzo

Per avviare una scansione del sistema digitare nel terminale il comando:

sudo rkhunter -c

Quella che segue è una spiegazione dei principali comandi disponibili:

Opzione

Descrizione

--disable hashes

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue l'applicazione automaticamente a intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Per visualizzare l'elenco completo delle opzioni e dei test disponibili, digitare nel terminale i seguenti comandi:

rkhunter --help

man rkhunter

sudo rkhunter --list tests

Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmi malevoli all'interno del computer.

Questo è un esempio del risultato di scansione:

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da Rootkit Hunter consultare il file /var/log/rkhunter.log.

Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:

  • lids: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella /dev.

  • selinux: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  • Nessus: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.

  • Carbonite: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  • Tripwire: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.

Ulteriori risorse

CategorySicurezza