Укрепление защиты рабочих станций под Linux

Nov. 4th, 2010 03:58 pm
oio11: (Default)
[personal profile] oio11

Защита от вредоносного программного обеспечения
http://www.ibm.com/developerworks/ru/edu/l-harden-desktop/section3.html

Для вредоносного программного обеспечения часто используется термин malware (сокращенный вариант от malicious software). Вредоносным программным обеспечением является любая программа или файл, чьей целью является повредить или нарушить работу компьютера или сети. В этом разделе кратко описывается то, как вредоносное ПО может атаковать систему GNU/Linux, а также рассматриваются фундаментальные принципы построения операционной системы, помогающие предотвратить проникновение таких программ. За изложением данного материала следуют инструкции по реализации антивирусной защиты и по настройке защиты вашей системы от программ-руткитов.

Чтобы вредоносные программы или файлы могли распространяться и причинять вред системе, их необходимо запустить на выполнение. Система GNU/Linux разработана таким образом, чтобы пользователи не работали в системе под учетной записью root (администратор системы); благодаря этому, программы и файлы не могут быть запущены на выполнение без явного предоставления полномочий. Поскольку без полномочий администратора запуск программ в таком режиме работы невозможен, вредоносное ПО не может самостоятельно инсталлировать себя или распространяться в системе GNU/Linux. Система ограничения доступа и полномочий пользователей встроена в GNU/Linux и является одним из самых эффективных инструментов борьбы с распространением вредоносного программного обеспечения.

Вредоносные программы, разработанные для операционной системы Windows, не запустятся на компьютерах под управлением Linux. Как и Microsoft Office, который не может быть напрямую запущен в системе GNU/Linux, вредоносные программы и файлы также не смогут работать, поскольку исполняемые файлы написаны для Windows. Если вы попытаетесь запустить разработанную для Windows вредоносную программу в среде GNU/Linux, она не сможет определить, что она должна делать, поскольку все ее инструкции чтения, записи и выполнения написаны в соответствии с архитектурой Windows. Это особенность также помогает предотвратить написание вредоносного ПО для GNU/Linux, поскольку различия в дистрибутивах разных версий операционных систем достаточны для того, чтобы сделать некоторые вредоносные программы бесполезными.

Хотя некоторые аспекты работы вредоносного ПО не применимы к рабочим станциям под управлением GNU/Linux, существует ряд причин, по которым вам следует помнить о существовании таких программ. Отслеживание вредоносного программного обеспечения помогает предотвратить его распространение. Даже если вы не запускаете вредоносную программу в системе GNU/Linux, она может попасть на другие компьютеры. Например, если вы используете в вашей рабочей среде несколько операционных систем, вредоносное ПО может легко попасть из системы GNU/Linux в систему Windows через электронную почту, USB-накопитель или общий Samba-ресурс.

Другой пример - межплатформенное вредоносное ПО, поведение которого зависит от операционной системы хоста. Если такая программа обнаружит систему Windows, она будет выполнять одни действия, если же, например, будет обнаружена система Red Hat, эти действия будут другими.

Также необходимо помнить о все более популярных платформенно-независимых приложениях, таких как OpenOffice.org, Perl и Firefox. Вредоносное программное обеспечение может быть нацелено на использование определенных уязвимостей, не зависящих от используемой платформы. Например, червь MSIL.Yakizake отсылает электронные письма по каждому адресу из адресной книги почтовой программы Thunderbird, установленной на компьютере. При составлении сообщения учитывается DNS-суффикс, в результате почта составляется на соответствующем языке.

Наконец, необходимо обращать особое внимание на пакеты вредоносных программ, написанных специально для системы GNU/Linux. Программы-руткиты долгое время являлись ахиллесовой пятой администраторов GNU/Linux. Эти программы относятся к тому же семейству, что и программы-трояны. Руткит – это набор программных средств, позволяющих злоумышленнику получить доступ к учетной записи администратора (root) компьютера. Эти вредоносные пакеты распространяются под различными именами, например, tOrn и ARK, но результат их действия одинаков: вы теряете контроль над компьютером или сетью.

Установка антивирусной защиты: ClamAV

При установке программы ClamAV вы можете указать, будет ли она запускаться вами вручную или выполняться непрерывно в качестве демона. Для рабочих станций наиболее подходящим является последний вариант (при этом у вас также остается возможность выполнять сканирование вручную). Для установки ClamAV в качестве непрерывно работающего демона выполните следующие шаги:
  1. Включите компьютер и войдите в систему.
  2. В строке меню выберите Applications > Accessories > Terminal.
  3. Когда откроется окно терминала, введите следующую команду: sudo apt-get install clamav-daemon
  4. При получении приглашения введите пароль. В результате ваших действий будет установлен пакет с названием clamav-freshclam, который является пакетом обновления для приложения ClamAV.
  5. После этого вы увидите сообщение, показывающее, сколько дискового пространства будет использовано для установки приложения. Наберите в командной строке Y, чтобы начать установку.
Процесс установки должен занять не более нескольких минут. По его завершении вы увидите предупреждение, сообщающее о том, что антивирусная база данных старше x дней и ее необходимо обновить при первой же возможности.
В начало
Обновление базы вирусных сигнатур Вирусные сигнатуры представляют собой фрагменты кода, которые являются уникальными для различных вредоносных программ. Антивирусные сканеры сравнивают содержимое ваших файлов с фрагментами кода в базе данных вирусных сигнатур. При обнаружении совпадения антивирусная программа предупреждает вас об обнаружении зараженного фала на вашем компьютере и блокирует выполнение кода, содержащегося в этом файле. Авторы вредоносных программ постоянно создают и пытаются распространять новые зараженные файлы, поэтому наряду с установкой антивирусного ПО, поддержание антивирусных баз в актуальном состоянии является самой важнейшейой задачей защиты ваших файлов от заражения является поддержание антивирусных баз в актуальном состоянии. Если сигнатура отдельной конкретной вредоносной программы отсутствует в вашей антивирусной базе данных, антивирусный сканер не распознает этот код и позволит ему запуститься и произвести все действия, запрограммированные злоумышленником. Поскольку вместе с ClamAV вы установили пакет freshclam, вы можете обновить базы данных вирусных сигнатур прямо из терминала, выполнив следующие шаги:
  1. Наберите в строке терминала следующую команду: sudo freshclam
  2. При получении приглашения введите пароль. В результате выполнения этой команды ваша база вирусных сигнатур будет содержать самые последние данные на момент обновления.
  3. Команда freshclam не обновляет базы вирусных сигнатур в автоматическом режиме. Каждый раз, когда вы хотите обновить антивирусную базу, вы должны снова запустить команду freshclam. После первоначального обновления все последующие обновления можно выполнять с аргументом командной строки -v, чтобы проверить, находится ли антивирусная база данных в актуальном состоянии: sudo freshclam -v
В начало
Запуск ClamAV Теперь, когда база вирусных сигнатур обновлена, можно запускать ClamAV. Для ручного запуска процесса сканирования вашей домашней директории откройте окно терминала и введите clamscan. По завершении работы команды clamscan будет выведен отчет, в котором вы сможете увидеть, сколько директорий и файлов было проверено, и сколько было обнаружено зараженных файлов. Чтобы запустить ClamAV в качестве демона, откройте окно терминала и введите команду clamdscan. Команда clamdscan создает пользователя с именем ClamAV, после чего вы можете добавить его в группу, которой принадлежат проверяемые файлы.
В начало
Установка графической оболочки ClamTk для ClamAV Так как данное руководство рассчитано на начинающих, в этом разделе объясняется, как настроить ClamAV с использованием графического интерфейса пользователя (GUI) под названием ClamTk. Для его установки выполните следующие шаги:
  1. Закройте окно терминала.
  2. В строке меню выберите Applications > Add/Remove.
  3. В верхней части окна Add/Remove Applications выберите пункт All Open Source applications из раскрывающегося списка Show.
  4. Введите в окне поиска Clam и нажмите клавишу Enter.
  5. Когда в окне Add/Remove Applications будет найдено приложение ClamTk, оно будет отображено в списке под заголовком Virus Scanner в главной области окна (см. рисунок 1). Установите флажок Virus Scanner. Если вам будет предложено разрешить установку поддерживаемого сообществом программного обеспечения, нажмите кнопку Enable. Рисунок 1. Установка ClamTk с помощью инструмента Add/Remove Applications Установка ClamTk с помощью инструмента Add/Remove Applications  
  6. Нажмите кнопку Apply Changes в правой нижней части окна.
  7. Нажмите кнопку Apply.
  8. При получении приглашения введите пароль и нажмите кнопку OK.
  9. Когда вы увидите всплывающее окно с информацией об успешной установке приложения, нажмите кнопку Close.
В начало
Использование ClamTk Запустить ClamTk можно с рабочего стола, выбрав Applications > System Tools > Virus Scanner, но этот способ может потребовать от вас входа в систему от имени пользователя root, что нежелательно. Вместо этого вы можете запустить ClamTk с необходимыми правами следующим образом:
  1. Нажмите Alt-F2.
  2. Введите следующую команду: gksu clamtk
  3. Нажмите кнопку Run.
На рисунке 2 показано окно ClamTk Virus Scanner. Для выполнения команд вы можете использовать меню и панель инструментов. В разделе Information перечислены файлы и их статусы. Если файл заражен, он будет отмечен в этом списке (файлы, изображенные на рисунке 2, ожидают проверки). В нижней части окна находится раздел Status, в котором показано, сколько файлов было проверено и сколько было найдено зараженных файлов. Рисунок 2. Антивирусная проверка с использованием графической оболочки ClamTk Антивирусная проверка с использованием графической оболочки ClamTk Если вы обнаружите, что какие-либо файлы были заражены, то перед тем, как удалять файл, убедитесь, что он не является важным системным файлом. Особенно это относится к компьютерам с двойной загрузкой, поскольку с помощью GNU/Linux и ClamAV вы можете проверять директории Microsoft Windows.
В начало
Защита от руткитов Вероятно, самым опасным вредоносным ПО, с которым могут столкнуться пользователи GNU/Linux, являются руткиты. В этом разделе будет показано, как установить и использовать инструменты rkhunter и chkrootkit для борьбы с руткитами и прочими вредоносными программными средствами. Эти программы выполняют проверку компьютера на предмет подозрительных файлов, которые могли быть установлены злоумышленником с целью получить управление вашим компьютером. Установка и использование rkhunter Для установки rkhunter выполните следующие шаги:
  1. Снова откройте окно терминала, выбрав Applications > Accessories > Terminal.
  2. В окне терминала введите следующую команду: sudo aptitude install rkhunter
  3. При получении сообщения с информацией о необходимом для установки приложения количестве дискового пространства введите Y, чтобы начать установку.
После успешной установки программы rkhunter вы можете запустить ее для проверки компьютера на наличие ряда вредоносных программных средств. Для запуска программы наберите в окне терминала следующую команду: sudo rkhunter --check Если программа rkhunter выполняется правильно, вы увидите список директорий со статусом OK или Warning. После запуска программа rkhunter выполняет несколько типов проверок. По завершении одной проверки можно перейти к следующей, нажав клавишу Enter. Программа rkhunter проверяет следующие объекты:
  • Директории
  • Наличие руткитов на рабочей станции (пример результатов проверки изображен на рисунке 3)
  • Порты, наиболее часто используемые для лазеек типа back door
  • Файлы загрузки, учетные записи и группы, системные конфигурационные файлы и файловую систему
  • Приложения
После выполнения всех проверок rkhunter выводит отчет и создает журнал, содержащий результаты проверок. Рисунок 3. Поиск руткитов с помощью rkhunter Поиск руткитов с помощью rkhunter Так же, как и ClamAV, программу rkhunter необходимо регулярно обновлять, чтобы она могла обнаруживать новые уязвимости и вредоносные средства:
  1. В окне терминала выполните следующую команду: sudo rkhunter --update
  2. При получении приглашения введите пароль.
Установка и использование chkrootkit Хотя в большинстве случаев антивирусные программы от разных производителей не умеют корректно работать вместе, утилиты по отлову руткитов хорошо работают в связке, дополняя друг друга. Таким образом, для более полной защиты вы можете установить программу chkrootkit и использовать ее в дополнение к программе rkhunter. Для установки chkroot просто откройте окно терминала и выполните команду sudo aptitude install chkrootkit Когда программа chkroot будет установлена, вы можете запускать ее точно также, как и программу rkhunter. Для этого в окне терминала наберите следующую команду: sudo chkrootkit Когда chkroot завершит проверку, вы вернетесь назад в строку терминала. Если программа rkhunter или chkroot обнаружит что-то подозрительное в вашей системе, она просто проинформирует вас о возможной проблеме. Ни одна из этих программ не удаляет файлы с вашего компьютера. Если вы получили какое-либо предупреждение от одной из этих программ, изучите проблему, о которой сообщается, и убедитесь в том, что ее обнаружение не является ошибкой. После этого выполните необходимые действия для устранения угрозы. Иногда вам всего лишь необходимо обновить операционную систему или другое программное обеспечение. В других случаях вам нужно будет отыскать вредоносную программу и удалить ее из системы.
В начало
На предыдущую страницуСтраница 3 из 11 На предыдущую страницу
         




Tags:
  • Add Memory
  • Share This Entry
(will be screened)
(will be screened if not validated)
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting

If you are unable to use this captcha for any reason, please contact us by email at support@dreamwidth.org

 
Links will be displayed as unclickable URLs to help prevent spam.

Profile

oio11: (Default)
oio11
Мой блог

May 2025

S M T W T F S
    123
45678910
11121314151617
181920212223 24
25262728293031

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 15th, 2025 08:04 am
Powered by Dreamwidth Studios