Quando si gestiscono ambienti Linux è importante conoscere alcuni strumenti che ci danno la possibilità di aumentare i livelli di sicurezza su più parametri dell'ambiente. Abbiamo già visto il miglior antivirus gratuito per Linux. Oggi Solvetic oggi analizzerà alcuni strumenti che saranno pratici in tutto ciò che riguarda il miglioramento del livello di sicurezza negli ambienti Linux.
Sebbene Linux sia tecnicamente molto più sicuro di altri sistemi operativi come Windows o macOS, ciò non significa che in un dato momento possa essere attaccato da qualche tipo di virus, malware o intruso che comprometta l'integrità e la disponibilità delle informazioni ivi archiviate.
Ecco perché come utenti Linux dobbiamo adottare misure di sicurezza fondamentali e di base per impedirci di essere in qualche modo vittime di qualche tipo di attacco ed è per questo motivo che Solvetic presenta alcuni dei migliori strumenti di sicurezza per ambienti Linux e in questo caso noi utilizzerà Ubuntu 17.04.
GUFW
GUFW (Graphic Uncomplicated Firewall) non è altro che la versione grafica del noto UFW o firewall manager di Ubuntu attraverso il quale avremo la possibilità di gestire tutte le regole, in entrata e in uscita, della rete. Sebbene Ubuntu abbia iptables per impostazione predefinita per questa attività, è molto più semplice utilizzare e gestire le regole utilizzando GUFW.
È un punto fondamentale a livello di sicurezza poiché il firewall ci consente di gestire ciò che entra ed esce dalla rete utilizzando le porte di Ubuntu. L'uso di GUFW è molto semplice, possiamo aprirlo utilizzando una delle seguenti opzioni:
- Esegui gufw dal terminale
- Usa l'opzione Cerca sul computer e lì inserisci gufw
Lì possiamo creare, modificare o eliminare le diverse regole e stabilire che tipo di autorizzazioni avranno, in uscita o in entrata. Allo stesso modo, abbiamo la possibilità di creare diversi profili all'interno del sistema, se necessario.
Keepassx
Keepassx è un gestore di password, che utilizziamo quotidianamente su più piattaforme e sappiamo che una password che cade nelle mani sbagliate può mettere a rischio molte informazioni sensibili. Per evitare ciò abbiamo l'applicazione Keepassx che è stata sviluppata con l'obiettivo di proteggere il più possibile ogni password memorizzata nel sistema.
Keepassx è concesso in licenza da GNU e ci consente di memorizzare informazioni come
- Indirizzi URL
- Nomi utente
- Le password
- Commenti ecc
L'importante è che tutte queste informazioni possano essere archiviate in un unico database e impostare una password protetta dalla crittografia AES Twofish a 256 bit.Questa applicazione utilizza un database compatibile con KeePass Password Safe.
Per la sua installazione in Ubuntu eseguiremo i seguenti comandi nel loro ordine:
sudo add-apt-repository ppa: eugenesan / ppa sudo apt-get update sudo apt-get install keepassx
vongolaAV
ClamAV è l'antivirus integrato in Ubuntu e attraverso il quale avremo la possibilità di analizzare il sistema alla ricerca di virus e altre minacce. ClamAV ci consente di eseguire scansioni parziali o profonde in Ubuntu e altre distribuzioni Linux.
Tra i suoi vantaggi abbiamo
- Scansione agile del sistema
- Concesso in licenza da GNU
- Interfaccia facile da usare
- Possibilità di utilizzare l'interfaccia grafica o la riga di comando per l'analisi
- Cerca virus come worm, malware, trojan, ecc.
In ambienti Linux è anche conosciuto come ClamTK e possiamo installarlo utilizzando il seguente comando:
sudo apt-get install clamtkDurante l'esecuzione dell'applicazione, questo sarà l'ambiente offerto:
Come possiamo vedere, abbiamo la possibilità di scansionare vari tipi di elementi, aggiungere oggetti attendibili alla lista bianca, pianificare scansioni, ecc.
È fondamentale disporre di uno strumento che ci permetta di analizzare il sistema alla ricerca di minacce poiché l'utilizzo della rete è quotidiano e frequentato da più utenti che non sempre tengono conto delle raccomandazioni di sicurezza.
Grsync
Un'altra delle opzioni di sicurezza che abbiamo la possibilità di implementare è utilizzare strumenti che ci consentono di eseguire copie di backup delle informazioni più sensibili al fine di preservarne l'integrità e la disponibilità. Ci sono diverse opzioni ma una delle più complete in Grsync che possiamo installare eseguendo il seguente comando:
sudo apt-get install grsyncGrsync è un'applicazione grafica che ci permette di creare copie di backup di più file in ambienti Linux. Con Grsync possiamo eseguire il backup di file e cartelle in modo semplice e completo. Grsync è l'interfaccia grafica di Rsync che è lo strumento di backup tramite la riga di comando. È concesso in licenza da GPL e fa uso delle librerie GTK, motivo per cui è un'applicazione OpenSource.
Grsync ci offre funzionalità come
- Compatibile con più sistemi operativi
- Ampie opzioni di personalizzazione
- Supporta l'unità
- Utilizzo della riga di comando con le utility Rsync
- Possibilità di eseguire più sessioni contemporaneamente
- Gratuito
- Possibilità di importare ed esportare sessioni, ecc.
Chkrootkit
Come indica il nome, Chkrootkit è uno strumento locale sviluppato per rilevare ed eliminare i rootkit nel sistema operativo.
Ricorda che un rootkit ha un accesso privilegiato al sistema ma rimane nascosto agli amministratori, mettendo a rischio la sicurezza e l'integrità delle informazioni e dei servizi di sistema.
Chkrootkit contiene strumenti come:
- chkrootkit: È uno script che analizza i binari di sistema per rilevare le modifiche apportate da rootkit.
- ifpromisc.c: Controlla se l'interfaccia è in modalità promiscua.
- chklastlog.c: verifica la rimozione di lastlog.
- chkwtmp.c: verifica la rimozione di wtmp.
- check_wtmpx.c: verifica la rimozione di wtmp. (Solo per sistemi Solaris)
- chkproc.c: verifica la presenza di tracce del trojan LKM.
- chkdirs.c: verifica la presenza di tracce del trojan LKM.
- stringhe.c: Analizzare la sostituzione delle stringhe.
- chkutmp.c: Analizza la rimozione di UTMP.
La versione attuale di chkrootkit è la 0.52 e per la sua installazione eseguiremo il seguente comando:
sudo apt-get install chkrootkitPer eseguire un'analisi generale del sistema, che richiede meno di un minuto, eseguiremo la seguente riga:
sudo chkrootkitSaremo in grado di vedere il file analizzato e la sua rispettiva condizione attuale. Possiamo aggiungere il parametro -q per visualizzare solo i file infetti:
sudo chkrootkit -q
Alcuni dei rootkit più comunemente rilevati sono:
01. lrk3, lrk4, lrk5, lrk6 (e loro varianti);
02. rootkit Solaris;
03. rootkit FreeBSD;
04. t0rn (e sue varianti);
05. Rootkit di Ambient (ARK);
06. Verme Ramen;
07. rh [67] -formatore;
08. RSHA;
09. rootkit rumeno;
10. RK17;
11. Verme del leone;
12. Adoro il verme;
13. Verme LPD;
14. kenny-rk;
15. Adoro LKM;
16. Verme di merda;
17. Verme Omega;
18. Wormkit Verme;
19. Maniac-RK;
20. dsc-rootkit;
21. Ducoci rootkit;
LUKS
LUKS è uno standard sviluppato per la crittografia dell'hard disk in Linux basato su un formato disco standard che facilita la distribuzione e la corretta gestione delle password degli utenti attivi del sistema. LUKS salva tutte le informazioni di configurazione nell'intestazione del disco che facilita la migrazione regolare del disco.
LUKS ci offre le seguenti caratteristiche:
- È libero
- Sicuro contro tutti i tipi di attacchi
- Supporta più tasti
- Revoca efficace della password
L'attuale versione di LUKS è 1.7.5 e possiamo installarla utilizzando due opzioni:
Direttamente con un file .tar al seguente link:
Eseguendo la seguente riga nel terminale:
sudo apt-get install cryptsetupSuccessivamente possiamo crittografare la nostra unità utilizzando la seguente sintassi:
cryptsetup -y -v luksfromat (percorso unità)
Wireshark
Indubbiamente uno degli strumenti più utilizzati al mondo per la cattura e l'analisi dei pacchetti in entrata e in uscita di una rete con cui possiamo convalidare che tutti i protocolli siano conformi agli standard e che le informazioni di rete non vengano violate.
Con Wireshark avremo le seguenti caratteristiche:
- Analisi di oltre 100 protocolli di rete
- Cattura dal vivo
- Analisi della rete offline
- Può essere eseguito su più sistemi operativi come Windows, Linux, macOS, Solaris, FreeBSD.
- Ha una ricca analisi VoIP
- Ha più filtri per una migliore analisi
- Supporta la decrittazione di più protocolli come Pise, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP e WPA/WPA2.
- I dati acquisiti in tempo reale possono essere letti da Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI e altro.
- I risultati possono essere esportati in XML, PostScript®, CSV o testo normale.
- Ha un righello di colore per un'analisi migliore
Per installare Wireshark in Ubuntu 17 dobbiamo eseguire le seguenti righe:
sudo add-apt-repository ppa: wireshark-dev / stable (Installa i repository PPA) sudo apt-get update (Aggiorna i repository) sudo apt-get install wireshark (Installa Wireshark)
Firejail
Firejail è stato sviluppato con lo scopo di proteggere l'accesso a determinate applicazioni in quanto è un programma SUID che riduce il rischio di violazioni della sicurezza limitando l'ambiente di esecuzione dell'applicazione selezionata utilizzando funzioni come i namespace Linux e seccomp-bpf.
Con Firejail ogni processo ha la propria vista privata dei kernel. Firejail è scritto in linguaggio C senza dipendenze virtuali e può essere eseguito su più edizioni di Linux con kernel 3.0 in poi e tutte le sue funzioni di sicurezza vengono eseguite direttamente sul kernel Linux.
Con Firejail possiamo eseguire test di vari processi come:
- Server
- Applicazioni grafiche
- Sessioni di accesso utente
Firejail include i profili di vari programmi come Mozilla Firefox, Chromium, VLC. Per installare Firejail eseguiremo il seguente comando:
sudo apt-get install firejailPer il suo utilizzo possiamo eseguire le seguenti righe:
firejail firefox: eseguire Mozilla Firefox firejail Transmission-gtk: eseguire programmi applicativi Bit Torrent firejail vlc: eseguire il client VLC sudo firejail /etc/init.d/nginx: eseguire il server Nginx
Abbiamo opzioni pratiche e utili per migliorare la sicurezza dei nostri ambienti Linux e quindi essere sicuri ogni giorno che sia il sistema che le informazioni siano protetti.
