Сергей Маликов
25.07.2019
152

Сканирование сервера с CentOS на уязвимости

Lynis Lynis – бесплатная  утилита для анализа и тестирования на уязвимости в ОС  Linux. Эта утилита   выявляет  наличие проблем по безопасности, анализирует брандмауэр, ошибки конфигурации;  сканирует установленные пакеты, права доступа к файлам / каталогам и др. При этом, нужно подчеркнуть, что она не исправляет уязвимости в безопасности автоматически, но выводит отчеты, позволяющие повысить уровень защиты […]

Lynis

Lynis – бесплатная  утилита для анализа и тестирования на уязвимости в ОС  Linux. Эта утилита   выявляет  наличие проблем по безопасности, анализирует брандмауэр, ошибки конфигурации;  сканирует установленные пакеты, права доступа к файлам / каталогам и др.

При этом, нужно подчеркнуть, что она не исправляет уязвимости в безопасности автоматически, но выводит отчеты, позволяющие повысить уровень защиты вашего сервера .

Чтобы установить lуnus из исходного  кода введите след. Команды:

 wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz

tar xvzf lynis-2.6.5.tar.gz

 mv lynis /usr/local/

 ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

Просканировать систему  можно с командой

lynis audit system

Чтобы протестировать сервер на уязвимости в автоматическом режиме, необходимо добавить задание в cron, которое отработает в 4 часа и отправит уведомление  на  почту.

0 4 * * * /usr/local/bin/lynis –quick 2>&1 | mail -s “Отчет по безопасности” mail@domain.ru

ClamAV

ClamAV – это антивирусная утилита с открытым исходным кодом для Linux, для обнаружения вирусов, вредоносных программ и эксплойтов в php.

Для утилиты ClamAV в CentOS необходимо установить репозиторий EPEL:

yum install epel-release

Для установки ClamAV

yum -y install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd

В случа, если ClamAV будет использоваться  с включенным SELInux необходимо выполнить

setsebool -P antivirus_can_scan_system 1
setsebool -P clamd_use_jit 1

Для настройки ClamAV сначала нужно удалить конфигурацию example, чтобы создать собственную:

sed -i ‘/ ^ Example / d’ /etc/clamd.d/scan.conf

Откройте файл scan.conf

vi /etc/clamd.d/scan.conf

Раскомментируйте следующую строку убрав # вначале

LocalSocket /var/run/clamd.scan/clamd.sock

Чтобы обновлять  ClamAV, нужно включить инструмент под названием Freshclam.  Создаtv резервную копию из файла конфигураци

cp /etc/freshclam.conf /etc/freshclam.conf.bak

Удалите строку Example из freshclam.conf

sed -i -e “s/^Example/#Example/” /etc/freshclam.conf

Запустите обновление антивируса

Freshclam

Запустите сервис Clamd и добавите его в автозагрузку

systemctl start clam-freshclam.service

systemctl enable clam-freshclam.service

systemctl enable clamd.service

 systemctl enable clamd@scan.service

 systemctl start clamd.service

 systemctl start clamd@scan.service

Для проверки текущей папки используйте команду :

clamscan –infected –remove –recursive ./

Rkhunter

RKH (RootKit Hunter) – это бесплатная утилита  для тестирования на уязвимости   в Linux системах.

rkhunter можно установить в системах CentOS используя пакетный менеджер yum

yum install epel-release

yum install rkhunter

Чтобы проверить ваш сервер утилитой  rkhunter наберите.

\rkhunter –c

Также можно отключить некоторые  тесты (по умолчанию все  тесты включены).

rkhunter  –disable [,…]

rkhunter  –nomow, –no-mail-on-warning

Не отправлять сообщение, если появляются только warning’и.

rkhunter может просканировать сервер на уязвимости ночью, автоматически, для этого необходимо добавить задание в cron, которое отработает в 4 часа и отправит уведомление  на  почту.

0 4 * * * /usr/sbin/rkhunter -c 2> & 1 |  mail -s “Отчет rkhunter” mail@domain.ru

 
avatar
  Подписаться  
Уведомление о

Остались вопросы?

Я - Виталий Шелест, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.

VoIP оборудование

ближайшие курсы

ближайшие Вебинары

ONLINE

Why Choose HUGE?

Unlimited pre-designed elements

Each and every design element is designed for retina ready display on all kind of devices

User friendly interface and design

Each and every design element is designed for retina ready display on all kind of devices

100% editable layered PSD files

Each and every design element is designed for retina ready display on all kind of devices

Created using shape layers

Each and every design element is designed for retina ready display on all kind of devices