26.01.2010

По мотивам статей о безопасности в Linux

Прочитав последние статьи на habrahabr.ru о безопасности в Linux
Linux, безопасность и все такое…, Linux, безопасность, подумаем о будущем задумался о том, что к вопросу безопасности отношусь достаточно халатно. Решил исправить ситуацию.

Поставил сканер руткитов:
rkhunter
Простенькая, но эффективная программа для отслеживания руткитов. Устанавливается элементарно:
apt-get install rkhunter
Дальше обновляем базы:
rkhunter --update
И запускаем проверку:
rkhunter --check

Сразу скажу - руткитов не нашел. Но кое что полезное из проверки извлек. Теперь подробнее.
rkhunter выдает итоги проверки по разделам последовательно, так же все сообщения складывает в лог:
sudo less /var/log/rkhunter.log

1-ый Warning
ругается на unhide

смотрим:
# apt-cache show unhide|grep Desc
Description: Forensic tool to find hidden processes and ports
вроде ничего подозрительного, сам unhide установился по зависимостям при установке rkhunter

2-ой Warning
не понравились версии gnupg, openssl, openssh

ну ставить что то более свежее думаю бессмысленно, может быть на текущий момент это и не самые новые компоненты, зато подписанные и собранные самими маинтейнерами дистрибутива...

3-ий Warning


Warning: Suspicious file types found in /dev:
[14:36:51] /dev/shm/pulse-shm-1886040878: data
[14:36:52] Checking for hidden files and directories [ Warning ]
[14:36:52] Warning: Hidden directory found: /etc/.java
[14:36:52] Warning: Hidden directory found: /dev/.udev
[14:36:52] Warning: Hidden directory found: /dev/.initramfs
посмотрел /etc/.java/ оказалась непустая
budda@desktop:/etc/.java$ cat .systemPrefs/.system
cat: .systemPrefs/.system: Нет такого файла или каталога
/dev/.udev - тоже не пустой, но почему сканеру не понравились эти папки понятия не имею, есть предположение, что в этих системных папках просто "непринято" создавать скрытые каталоги...

4-ый Warning
показал, что открыт доступ рута по сети через ssh, действительно, как то не секюрно, исправил


Как резюме хотел бы отметить, что пользователь Linux защищен пока только самой системой, более продуманной и устойчивой к вторжениям благодаря политикам безопасности. Но хотелось бы более удобных и интуитивно понятных инструментов сканирования, анализа. Хотелось бы получать более подробные объяснения и рекомендации по устранению найденных уязвимостей.