Habang ang GNU / Linux ay isang lubos na ligtas na operating system, maraming tao ang naakit sa isang maling kahulugan ng seguridad. Mayroon silang maling ideya na walang maaaring mangyari dahil nagtatrabaho sila mula sa isang ligtas na kapaligiran. Totoo na napakaliit ng malware na umiiral para sa kapaligiran ng Linux, ngunit napaka-posible pa rin na ang isang pag-install ng Linux ay maaaring ma-kompromiso sa huli. Kung wala nang iba pa, kung gayon isasaalang-alang ang posibilidad ng mga rootkit at iba pang katulad na pag-atake ay isang mahalagang bahagi ng pangangasiwa ng system. Ang isang rootkit ay tumutukoy sa isang hanay ng mga tool ng mga gumagamit ng third party matapos silang makakuha ng pag-access sa isang computer system na hindi nila wastong may access. Ang kit na ito ay maaaring magamit upang mabago ang mga file nang walang kaalaman ng mga naaangkop na gumagamit. Ang hindi nakalista na package ay nagbibigay ng teknolohiyang kinakailangan upang mabilis na makahanap ng nasabing nakompromiso na software.
Ang Unhide ay nasa mga repository para sa karamihan ng mga pangunahing pamamahagi ng Linux. Ang paggamit ng isang command manager ng package tulad ng sudo apt-get install na hindi naganap ay sapat upang pilitin itong i-install sa mga lasa ng Debian at Ubuntu. Ang mga server na may pag-access sa GUI ay maaaring gumamit ng Synaptic Package Manager. Ang mga pamamahagi ng Fedora at Arch ay may paunang mga built na bersyon ng hindi pagtago para sa kanilang sariling mga system sa pamamahala ng package. Kapag na-install na ang hindi nakilala, dapat magamit ito ng mga tagapangasiwa ng system ng iba't ibang mga paraan.
Paraan 1: Mga Bruteforcing Process ID
Ang pinaka-pangunahing diskarteng nagsasangkot ng bruteforcing bawat proseso ng ID upang matiyak na wala sa kanila ang nakatago mula sa gumagamit. Maliban kung mayroon kang pag-access sa ugat, i-type ang sudo na hindi itago ang brute -d sa prompt ng CLI. Ang pagpipiliang d ay doble sa pagsubok upang mabawasan ang bilang ng maling mga positibong iniulat.
Ang output ay labis na pangunahing. Matapos ang isang mensahe sa copyright, i-unside ang ipapaliwanag ang mga tseke na ginagawa nito. Magkakaroon ng isang linya na nagsasabi:
[*] Simula sa pag-scan gamit ang malupit na puwersa laban sa PIDS na may tinidor ()at isa pang nagsasabi:
[*] Simula sa pag-scan gamit ang malupit na puwersa laban sa PIDS na may mga function na pthread
Kung walang iba pang output, kung gayon walang dahilan para mag-alala. Kung may natagpuan ang mabangong subroutine ng programa, mag-uulat ito ng tulad ng:
Natagpuan NAGTAGO PID: 0000
Ang apat na zero ay papalitan ng wastong numero. Kung binabasa lamang nito na ito ay isang pansamantalang proseso, maaaring ito ay isang maling positibo. Huwag mag-atubiling patakbuhin ang pagsubok nang maraming beses hanggang sa magbigay ito ng isang malinis na resulta. Kung mayroong karagdagang impormasyon, maaari itong mag-garantiya ng isang follow-up na tseke. Kung kailangan mo ng isang mag-log maaari mong gamitin ang -f switch upang lumikha ng isang file ng log sa kasalukuyang direktoryo. Ang mga mas bagong bersyon ng programa ay tumawag sa file na ito na hindi itinago-linux.log, at nagtatampok ito ng payak na output ng teksto.
Paraan 2: Paghahambing / proc at / bin / ps
Maaari mong idirekta sa halip ang pagkakahulugan upang ihambing ang mga listahan ng proseso ng / bin / ps at / proc upang matiyak na ang dalawang magkakahiwalay na listahan sa tugma ng puno ng Unix file. Kung mayroong isang bagay na mali, pagkatapos ay iulat ng programa ang hindi pangkaraniwang PID. Nakasaad sa mga panuntunan sa Unix na ang mga nagpapatakbo ng proseso ay dapat magpakita ng mga numero ng ID sa dalawang listahang ito. I-type ang sudo na hindi ilakip ang proc -v upang simulan ang pagsubok. Ang pag-hit sa v ay maglalagay ng programa sa mode na verbose.
Ang pamamaraang ito ay magbabalik ng isang prompt na nagsasabi:
[*] Naghahanap ng mga nakatagong proseso sa pamamagitan ng / proc stat scanKung may anumang kakaibang mangyari, lilitaw ito pagkatapos ng linya ng teksto na ito.
Paraan 3: Pagsasama-sama ng Mga Diskarte sa Proc at Procfs
Kung kinakailangan maaari mong talagang ihambing ang / bin / ps at / proc mga listahan ng puno ng file ng Unix habang inihahambing din ang lahat ng impormasyon mula sa listahan ng / bin / ps sa mga virtual na entry ng mga proktor. Sinusuri nito ang parehong mga patakaran ng puno ng Unix file pati na rin ang data ng mga procfs. I-type ang sudo na hindi ilalahad ang procall -v upang maisagawa ang pagsubok na ito, na maaaring tumagal ng kaunting oras dahil kailangan itong i-scan ang lahat / mga stat ng stat pati na rin ang maraming iba pang mga pagsubok. Ito ay isang mahusay na paraan upang matiyak na ang lahat sa isang server ay copasetic.
Paraan 4: Paghahambing sa mga Resulta ng mga prokreta sa / bin / ps
Ang mga nakaraang pagsubok ay masyadong kasangkot para sa karamihan ng mga application, ngunit maaari mong patakbuhin ang proc file system ng mga tseke nang nakapag-iisa para sa ilang kakayahang magamit. I-type ang sudo na hindi itago ang mga proktor -m, na magsasagawa ng mga tseke na ito kasama ang maraming iba pang mga tseke na ibinigay sa pamamagitan ng pagtama sa -m.
Ito ay pa rin isang medyo kasangkot na pagsubok, at maaaring magtagal. Nagbabalik ito ng tatlong magkakahiwalay na linya ng output:
Tandaan na maaari kang lumikha ng isang buong pag-log sa alinman sa mga pagsubok na ito sa pamamagitan ng pagdaragdag ng -f sa utos.
Paraan 5: Pagpapatakbo ng isang Mabilis na Pag-scan
Kung kailangan mo lamang magpatakbo ng isang mabilis na pag-scan nang hindi patungkol sa iyong sarili na may malalim na mga tseke, pagkatapos ay i-type lamang ang sudo nang hindi mabilis na itago, na dapat tumakbo nang mabilis gaya ng ipahiwatig ng pangalan. Sinusuri ng pamamaraang ito ang mga listahan ng proc pati na rin ang sistema ng file ng proc. Nagpapatakbo din ito ng isang tseke na nagsasangkot sa paghahambing ng impormasyong nakolekta mula / bin / ps sa impormasyong ibinigay ng mga tawag sa mga mapagkukunan ng system. Nagbibigay ito ng isang solong linya ng output, ngunit sa kasamaang palad ay nagdaragdag ng panganib ng maling mga positibo. Kapaki-pakinabang na mag-double check pagkatapos suriin ang mga nakaraang resulta.
Ang output ay ang mga sumusunod:
[*] Naghahanap ng mga nakatagong proseso sa pamamagitan ng paghahambing ng mga resulta ng mga tawag sa system, proc, dir at psMaaari kang makakita ng maraming mga pansamantalang proseso na lumitaw pagkatapos patakbuhin ang scan na ito.
Paraan 6: Pagpapatakbo ng isang Reverse Scan
Ang isang mahusay na pamamaraan para sa pag-sniff ng mga rootkit ay nagsasangkot ng pag-verify ng lahat ng mga thread ng ps. Kung pinatakbo mo ang utos ng ps sa isang prompt ng CLI, maaari mong makita ang isang listahan ng utos na tumatakbo mula sa isang terminal. Ang kabaligtaran na pag-scan ay napatunayan na ang bawat isa sa mga thread ng processor na ang mga imahe ng ps ay nagpapakita ng wastong mga tawag sa system at maaaring tingnan sa listahan ng mga procfs. Ito ay isang mahusay na paraan upang matiyak na ang isang rootkit ay hindi pumatay ng isang bagay. I-type lamang ang sudo na hindi ibalik ang baligtad upang patakbuhin ang tsek na ito. Dapat itong tumakbo nang napakabilis. Kapag tumakbo ito, dapat abisuhan ka ng programa na naghahanap ito ng mga pekeng proseso.
Paraan 7: Paghahambing / basahan / ps sa Mga Tawag sa System
Sa wakas ang pinaka-komprehensibong tseke ay nagsasangkot ng paghahambing ng lahat ng impormasyon mula sa listahan ng / bin / ps na may impormasyong kinuha mula sa wastong mga tawag sa system. I-type ang sudo na hindi ilakip ang mga sys upang simulan ang pagsubok na ito. Ito ay higit sa malamang na magtatagal upang tumakbo kaysa sa iba. Dahil nagbibigay ito ng napakaraming iba't ibang mga linya ng output, maaari mong hilingin na gamitin ang -f log-to-file na utos upang gawing mas madali itong tingnan muli ang lahat ng nahanap.
Basahin ang 4 na minuto
