首页 > 系统服务 > 详细

Linux系统安全笔记

时间:2019-01-02 23:05:21      阅读:273      评论:0      收藏:0      [点我收藏+]

Linux系统安全笔记

https://insecure.org/
https://sectools.org/
SecTools.Org:排名前125的网络安全工具


http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf
增强 Linux 桌面安全性


https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/index.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/l-harden-server-pdf.pdf
增强 Linux 服务器


-----恶意软件有哪些---------------------------------
https://en.wikipedia.org/wiki/Linux_malware

Malware(恶意软件)是 malicious software 的简称。
任何以破坏计算机系统或网络为目的的程序都是恶意软件。

1 Botnets 僵尸网络;
2 Ransomware 勒索软件;
3 Rootkits;
4 Trojan 木马;
5 Virus 病毒;
6 Worms 蠕虫;
7 Spyware 间谍程序等.

-----防范及检测软件-----------------------------------
ClamAV? is an open source antivirus engine for detecting trojans, viruses, malware & other malicious threats
ClamAV 是一种开源防病毒引擎,用于检测特洛伊木马,病毒,恶意软件和其他恶意威胁
https://www.clamav.net/
The latest stable release is 0.101.0; 2018-12-03 15:59:09 UTC


rkhunter
http://rkhunter.sourceforge.net/
Rootkit Hunter release 1.4.6 (February 20th 2018)

http://www.chkrootkit.org/
chkrootkit 0.52现已推出!(发布日期:2017年3月15日)
chrootkit 是一个在本地检查rootkit标志的工具。它包含:
chkrootkit:shell脚本,用于检查系统二进制文件以进行rootkit修改。
ifpromisc.c:检查接口是否处于混杂模式。
chklastlog.c:检查l astlog删除。
chkwtmp.c:检查wtmp删除。
check_wtmpx.c:检查wtmpx删除。(仅限Solaris)
chkproc.c:检查LKM特洛伊木马的迹象。
chkdirs.c:检查LKM特洛伊木马的迹象。
strings.c:快速和脏字符串替换。
chkutmp.c:检查utmp删除。

大多数反病毒软件不能与其他反病毒程序同时运行,但是 rootkit hunters 却可以。为了得到更全面
的保护,可以安装 chkrootkit,并让它与 rkhunter 一起运行。

-----防病毒软件的安装和使用---------------------------------
https://www.clamav.net/downloads
安装ClamAV:
apt-get install clamav
apt-get install clamav-daemon

如果您需要支持扫描压缩的RAR文件,首先需要启用非自由存档,然后您可以使用以下命令安装RAR插件:
apt-get install libclamunrar6


sudo freshclam //更新病毒定义
sudo freshclam -v //查看是否有新的定义

如果更新时提示如下,说明自动运行并在后台运行
freshclam.log is locked by another process

您可以使用该lsof命令找出正在使用该文件的进程,在您运行的情况下运行:
sudo lsof /var/log/clamav/freshclam.log

如果要停止守护程序并手动运行它:
sudo systemctl stop clamav-freshclam.service
手动运行:
sudo freshclam


clamscan //对主文件夹的手动扫描,并报告有多少目录和文件被扫描。它还会告诉您发现
了多少被感染的文件。
clamdscan //


sudo apt-get install ClamTK //用于 ClamAV 的 GUI
apt-cache show clamtk
要打开 ClamTK,按下 Alt-F2,输入 gksu clamtk,然后单击 Run。这样将以让程序运行所需的权限
启动 ClamACV GUI。


freshclam --datadir=/var/lib/clama/ #指定目录,这是默认目录。

 

 

 

sudo pkill -15 -x freshclam
然后手动运行:
sudo freshclam

但是在这种情况下,您可以使用:
sudo systemctl stop clamav-freshclam.service
停止守护进程。

sudo /etc/init.d/clamav-freshclam stop
sudo freshclam
sudo /etc/init.d/clamav-freshclam start

sudo service clamav-freshclam stop
sudo freshclam
sudo service clamav-freshclam start
sudo service clamav-freshclam status

https://askubuntu.com/questions/909273/clamav-error-var-log-clamav-freshclam-log-is-locked-by-another-process

 

can‘t download main.cvd from db.local.clamav.net
如果更新失败,可以手动下载病毒库:

http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd
http://database.clamav.net/bytecode.cvd

https://blog.csdn.net/zourzh123/article/details/45719757

clamav的病毒库可以在安装后配置自动升级,也可以按如下方法手动获取:
http://db.cn.clamav.net/daily.cvd

http://db.cn.clamav.net/main.cvd

http://db.cn.clamav.net/safebrowsing.cvd

http://db.cn.clamav.net/bytecode.cvd
---------------------
sigtool的用法

下载的病毒库cvd是由zlib压缩库压缩的文件,前512个bytes是一个特殊的头文件,记录引擎病毒库的简单信息,包括名字、创建时间、版本号、签名数量等,然后一个接
着一个存储病毒库文件。
clamav提供了一个签名工具sigtool,可以查看、生成和解压缩病毒库,在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件,可以通读代码了解详细过程。
1


sigtool -i main.cvd //sigtool查看cvd的信息
sigtool -u main.cvd //sigtool解压缩main.cvd

-----
1. 将如上地址下载的*.cvd文件放到例如:/home/tom/cvd/ 目录下;
2. 在该目录下执行如下命令:(需要安装python,也可使用其他web服务)
python -m SimpleHTTPServer #默认端口为8000
python -m SimpleHTTPServer 80 #指定端口为80
浏览器打开地址:127.0.0.1:8000 应该能看到你下载的cvd文件列表
3. 修改freshclam.conf配置文件
PrivateMirror 127.0.0.1
ScriptedUpdates no

https://www.clamav.net/documents/private-local-mirrors
----------------------------------
sudo apt-get install rkhunter
sudo rkhunter --check //然后按下 Enter 开始扫描
sudo rkhunter --update //Enter,然后输入密码。更新rkhunter版本

扫描可能被安装到桌面上的已知的恶意软件
扫描计算机上常用于后门访问的端口
扫描 startup 文件、组和账户、系统配置文件和文件系统
检查计算机上的应用程序。

---------------------------
sudo apt-get install chkrootkit

sudo chkrootkit //Enter。chkrootkit 立即开始扫描已知的漏洞和恶意软件

如果 rkhunter 或 chkrootkit 发现异常,它们会通知您,但是这些程序不会从计算机中删除文件。
如果该程序向您发出警告,那么可以搜索被报告的漏洞或恶意软件。
首先,确保发现的东西不是误报。
然后,确定采取什么必要的步骤来消除桌面受到的威胁。
有时候,只需更新操作系统或其他软件。
而在某些时候,必须找到恶意的程序,并将它从系统中删除。

------------------------------

Linux系统安全笔记

原文:https://www.cnblogs.com/sztom/p/10211554.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!