Чек-лист: как защитить безопасность на Linux
Когда хакер взламывает систему Linux, скорее всего, злоумышленники внесут изменения в основные пакеты, такие как OpenSSH, ядро и так далее.
1 способ: проверяем общие изменения
Для начала, проверьте, нет ли изменений в этих пакетах. Возможно, мошенники поменяли файлы или бинарии? Проверить можно таким образом на CentOS:
sudo rpm -qa | grep openssh | xargs -I '{}' sudo rpm -V '{}'
Если данная команда показывает видоизмененный файлы, в которые вы точно не вносили никаких изменений, значит, в вашу систему вторглись.
2 способ: объявляем охоту на мошенников
Следующий вариант - запустить корневую папку Hunter, чтобы проверить состояние системы:
- скачайте rkhunter.tar.gz
- скопируйте в /root и перейдите в /root
Проверьте, соответствует ли то, что вы видите, следующей последовательности команд:
tar zxvf rkhunter-1.4.2.tar.gz
cd rkhunter-1.4.2/
sh installer.sh --layout по умолчанию - инсталлировать изменения в /etc/rkhunter.conf ENABLE_TESTS="all" DISABLE_TESTS="none" HASH_CMD=SHA1 HASH_FLD_IDX=4 PKGMGR=RPM 7
/usr/local/bin/rkhunter --propupd
/usr/local/bin/rkhunter --update
/usr/local/bin/rkhunter -c -sk 10.
Скопируйте ссылку /var/log/rkhunter.log - и проверьте, использует ли ее rkhunter.
3 способ: виртуальная приватная сеть в помощь
Проделывая все эти действия, мы должны оставаться в безопасности. И неважно, была взломана система или мы перестраховались. Чтобы работать в защищённом режиме, установите VPN. Лучше воспользуйтесь универсальным продуктом, который работает как на 64-разрядной, так и на 32-разрядной версии. Так вы защитите Ubuntu, CentOS, Debian, Fedora, Raspberry Pi OS и Arch.
4 способ: обращаемся к мультифакторной аутентификации
Посмотрите /var/log/secure, чтобы проверить: возможно, аноним пытался войти в вашу систему, но провалил попытку аутентификации. Но этот вариант подходит, если вас взламывал начинающий хакер, не слишком хорошо владеющий навыками социальной инженерии.
В случае, если вы имеете дело с профессиональным киберпреступником, который, возможно, получил деньги за то, что взломал ваш компьютер, введите следующую команду:
[root@localhost ~]# less /var/log/secure |. Наберите 'authentication failures' - и, если попытки взлома имели место, вы увидите заметку наподобие: May 15 13:45:27 localhost sshd[2391]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.29.14 user=root.
В этой комбинации можно также увидеть хостинг, откуда происходили попытки залогиниться. Если перед вами появляется много подобных заметок, стоит проверить, завершилась ли успешно хотя бы одна из попыток аутентификации. Принятые логи будут выглядеть так:
May 15 13:45:27 localhost sshd[3551]: Accepted password for root from 192.168.29.14 port 36362 ssh2.
4 способ: вспомнить все
Проверьте, не происходят ли какие-то необычные процессы. Возможно, вы зафиксируете слишком высокое энергопотребление со стороны центрального процессора, особенно при использовании команд top и ps.
Чтобы просмотреть все процессы, функционирующие в системе, наберите ps aux | less.
Хорошая идея - проверить, не было ли вторжения в утилиту Crontab со стороны всех пользователей системы. Для этого воспользуйтесь командой:
crontab -u <user> -l .
По умолчанию, корень тождественен слову user.
Увидеть следы киберпреступника также можно в id_rsa.pub: здесь станет ясно, не было ли вторжения в папку .ssh в директории каждого пользователя Linux.
