Linux系统安全笔记

Linux系统安全笔记

https://insecure.org/
https://sectools.org/
SecTools.Org：排名前125的网络安全工具

http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf
增强 Linux 桌面安全性

https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/index.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/l-harden-server-pdf.pdf
增强 Linux 服务器

-----恶意软件有哪些---------------------------------
https://en.wikipedia.org/wiki/Linux_malware

Malware（恶意软件）是 malicious software 的简称。
任何以破坏计算机系统或网络为目的的程序都是恶意软件。

1 Botnets 僵尸网络;
2 Ransomware 勒索软件;
3 Rootkits;
4 Trojan 木马;
5 Virus 病毒;
6 Worms 蠕虫;
7 Spyware 间谍程序等.

-----防范及检测软件-----------------------------------
ClamAV® is an open source antivirus engine for detecting trojans, viruses, malware & other malicious threats
ClamAV 是一种开源防病毒引擎，用于检测特洛伊木马，病毒，恶意软件和其他恶意威胁
https://www.clamav.net/
The latest stable release is 0.101.0; 2018-12-03 15:59:09 UTC

rkhunter
http://rkhunter.sourceforge.net/
Rootkit Hunter release 1.4.6 (February 20th 2018)

http://www.chkrootkit.org/
chkrootkit 0.52现已推出！（发布日期：2017年3月15日）
chrootkit 是一个在本地检查rootkit标志的工具。它包含：
chkrootkit：shell脚本，用于检查系统二进制文件以进行rootkit修改。
ifpromisc.c：检查接口是否处于混杂模式。
chklastlog.c：检查l astlog删除。
chkwtmp.c：检查wtmp删除。
check_wtmpx.c：检查wtmpx删除。（仅限Solaris）
chkproc.c：检查LKM特洛伊木马的迹象。
chkdirs.c：检查LKM特洛伊木马的迹象。
strings.c：快速和脏字符串替换。
chkutmp.c：检查utmp删除。

大多数反病毒软件不能与其他反病毒程序同时运行，但是 rootkit hunters 却可以。为了得到更全面
的保护，可以安装 chkrootkit，并让它与 rkhunter 一起运行。

-----防病毒软件的安装和使用---------------------------------
https://www.clamav.net/downloads
安装ClamAV：
apt-get install clamav
apt-get install clamav-daemon

如果您需要支持扫描压缩的RAR文件，首先需要启用非自由存档，然后您可以使用以下命令安装RAR插件：
apt-get install libclamunrar6

sudo freshclam //更新病毒定义
sudo freshclam -v //查看是否有新的定义

如果更新时提示如下，说明自动运行并在后台运行
freshclam.log is locked by another process

您可以使用该lsof命令找出正在使用该文件的进程，在您运行的情况下运行：
sudo lsof /var/log/clamav/freshclam.log

如果要停止守护程序并手动运行它：
sudo systemctl stop clamav-freshclam.service
手动运行：
sudo freshclam

clamscan //对主文件夹的手动扫描，并报告有多少目录和文件被扫描。它还会告诉您发现
了多少被感染的文件。
clamdscan //

sudo apt-get install ClamTK //用于 ClamAV 的 GUI
apt-cache show clamtk
要打开 ClamTK，按下 Alt-F2，输入 gksu clamtk，然后单击 Run。这样将以让程序运行所需的权限
启动 ClamACV GUI。

freshclam --datadir=/var/lib/clama/ #指定目录，这是默认目录。

sudo pkill -15 -x freshclam
然后手动运行：
sudo freshclam

但是在这种情况下，您可以使用：
sudo systemctl stop clamav-freshclam.service
停止守护进程。

sudo /etc/init.d/clamav-freshclam stop
sudo freshclam
sudo /etc/init.d/clamav-freshclam start

sudo service clamav-freshclam stop
sudo freshclam
sudo service clamav-freshclam start
sudo service clamav-freshclam status

https://askubuntu.com/questions/909273/clamav-error-var-log-clamav-freshclam-log-is-locked-by-another-process

can't download main.cvd from db.local.clamav.net
如果更新失败，可以手动下载病毒库：

http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd
http://database.clamav.net/bytecode.cvd

https://blog.csdn.net/zourzh123/article/details/45719757

clamav的病毒库可以在安装后配置自动升级，也可以按如下方法手动获取：
http://db.cn.clamav.net/daily.cvd

http://db.cn.clamav.net/main.cvd

http://db.cn.clamav.net/safebrowsing.cvd

http://db.cn.clamav.net/bytecode.cvd
---------------------
sigtool的用法

下载的病毒库cvd是由zlib压缩库压缩的文件，前512个bytes是一个特殊的头文件，记录引擎病毒库的简单信息，包括名字、创建时间、版本号、签名数量等，然后一个接
着一个存储病毒库文件。
clamav提供了一个签名工具sigtool，可以查看、生成和解压缩病毒库，在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件，可以通读代码了解详细过程。
1

sigtool -i main.cvd //sigtool查看cvd的信息
sigtool -u main.cvd //sigtool解压缩main.cvd

-----
1. 将如上地址下载的*.cvd文件放到例如：/home/tom/cvd/ 目录下；
2. 在该目录下执行如下命令：（需要安装python，也可使用其他web服务）
python -m SimpleHTTPServer #默认端口为8000
python -m SimpleHTTPServer 80 #指定端口为80
浏览器打开地址：127.0.0.1:8000 应该能看到你下载的cvd文件列表
3. 修改freshclam.conf配置文件
PrivateMirror 127.0.0.1
ScriptedUpdates no

https://www.clamav.net/documents/private-local-mirrors
----------------------------------
sudo apt-get install rkhunter
sudo rkhunter --check //然后按下 Enter 开始扫描
sudo rkhunter --update //Enter，然后输入密码。更新rkhunter版本

扫描可能被安装到桌面上的已知的恶意软件
扫描计算机上常用于后门访问的端口
扫描 startup 文件、组和账户、系统配置文件和文件系统
检查计算机上的应用程序。

---------------------------
sudo apt-get install chkrootkit

sudo chkrootkit //Enter。chkrootkit 立即开始扫描已知的漏洞和恶意软件

如果 rkhunter 或 chkrootkit 发现异常，它们会通知您，但是这些程序不会从计算机中删除文件。
如果该程序向您发出警告，那么可以搜索被报告的漏洞或恶意软件。
首先，确保发现的东西不是误报。
然后，确定采取什么必要的步骤来消除桌面受到的威胁。
有时候，只需更新操作系统或其他软件。
而在某些时候，必须找到恶意的程序，并将它从系统中删除。

------------------------------