本文介绍了如何利用开源工具chkrootkit构建入侵监测系统,以防rootkit的潜在威胁。通过详细步骤展示了如何安装、测试和自动化运行chkrootkit,并强调了备份系统命令以应对可能的命令篡改,确保监测的有效性。
导读:
所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通 过这类工具,入侵者建立了一条能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件(开放源代码)chkrootkit来建立入侵监测系 统,以保证对系统是否被安装了rootkit进行监测。
chkrootkit在监测rootkit是否存在的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统被安装了chkrootkit也无法检 测出它的存在。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我们在刚刚安装完操作系统以后,或者说是服务器开放之前,让 chkrootkit就开始工作。而且,当备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit使用初始备份的系统命令进行工作。
安装 chkrootkit
首先我们来下载和安装 chkrootkit 工具。(红色文字部分为用户需要输入的命令,蓝色文字为命令解释)
[root@localhost ~]#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ←下载chkrootkit
--03:05:31--
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz=> `chkrootkit.tar.gz'
Resolving ftp.pangeia.com.br... 200.23
所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通 过这类工具,入侵者建立了一条能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件(开放源代码)chkrootkit来建立入侵监测系 统,以保证对系统是否被安装了rootkit进行监测。
chkrootkit在监测rootkit是否存在的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统被安装了chkrootkit也无法检 测出它的存在。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我们在刚刚安装完操作系统以后,或者说是服务器开放之前,让 chkrootkit就开始工作。而且,当备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让 chkrootkit使用初始备份的系统命令进行工作。
安装 chkrootkit
首先我们来下载和安装 chkrootkit 工具。(红色文字部分为用户需要输入的命令,蓝色文字为命令解释)
[root@localhost ~]#wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ←下载chkrootkit
--03:05:31--
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz=> `chkrootkit.tar.gz'
Resolving ftp.pangeia.com.br... 200.23
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
