Aunque los sistemas basados ​​en Linux a menudo se consideran impenetrables, todavía existen riesgos que deben tomarse en serio.

Rootkits, virus, ransomware, y muchos otros programas dañinos a menudo pueden atacar y causar problemas a los servidores Linux.

Independientemente del sistema operativo, la adopción de medidas de seguridad es imprescindible para los servidores. Grandes marcas y organizaciones han tomado las medidas de seguridad en sus manos y han desarrollado herramientas que no solo detectan fallas y malware, sino que también los corrigen y toman acciones preventivas.

Afortunadamente, hay herramientas disponibles por un precio bajo o gratis que pueden ayudar con este proceso. Pueden detectar fallas en diferentes secciones de un Servidor basado en Linux.

Lynis

Lynis es una herramienta de seguridad reconocida y una opción preferida por los expertos en Linux. También funciona en sistemas basados ​​en Unix y macOS. Es una aplicación de software de código abierto que se utiliza desde 2007 con una licencia GPL.

Lynis es capaz de detectar agujeros de seguridad y fallas de configuración. Pero va más allá de eso: en lugar de simplemente exponer las vulnerabilidades, sugiere acciones correctivas. Por eso, para obtener informes de auditoría detallados, es necesario ejecutarlo en el sistema host.

La instalación no es necesaria para usar Lynis. Puede extraerlo de un paquete descargado o un tarball y ejecutarlo. También puede obtenerlo de un clon de Git para tener acceso a la documentación completa y al código fuente.

Lynis fue creado por el autor original de Rkhunter, Michael Boelen. Tiene dos tipos de servicios basados ​​en particulares y empresas. En cualquier caso, tiene un desempeño sobresaliente.

Chkrootkit

Como ya habrás adivinado, el chkrootkit es una herramienta para comprobar la existencia de rootkits. Los rootkits son un tipo de software malicioso que puede dar acceso al servidor a un usuario no autorizado. Si está ejecutando un servidor basado en Linux, los rootkits pueden ser un problema.

chkrootkit es uno de los programas basados ​​en Unix más utilizados que puede detectar rootkits. Utiliza 'strings' y 'grep' (comandos de herramientas de Linux) para detectar problemas.

Se puede utilizar desde un directorio alternativo o desde un disco de rescate, en caso de que desee verificar un sistema ya comprometido. Los diferentes componentes de Chkrootkit se encargan de buscar entradas eliminadas en los archivos “wtmp” y “lastlog”, encontrar registros sniffer o archivos de configuración de rootkit y verificar entradas ocultas en “/ proc” o llamadas al programa “readdir”.

Para usar chkrootkit, debe obtener la última versión de un servidor, extraer los archivos fuente, compilarlos y estará listo para comenzar.

Rkhunter

El desarrollador Micheal Boelen fue la persona detrás de la creación rkhunter (Rootkit Hunter) en 2003. Es una herramienta adecuada para sistemas POSIX y puede ayudar con la detección de rootkits y otras vulnerabilidades. Rkhunter revisa minuciosamente los archivos (ocultos o visibles), directorios predeterminados, módulos del kernel y permisos mal configurados.

Después de una revisión de rutina, los compara con los registros seguros y adecuados de las bases de datos y busca programas sospechosos. Dado que el programa está escrito en Bash, no solo se puede ejecutar en máquinas Linux sino también en prácticamente cualquier versión de Unix.

ClamAV

Escrito en C ++, ClamAV es un antivirus de código abierto que puede ayudar a detectar virus, troyanos y muchos otros tipos de malware. Es una herramienta completamente gratuita, por eso mucha gente la usa para escanear su información personal, incluidos los correos electrónicos, en busca de cualquier tipo de archivo malicioso. También sirve significativamente como un escáner del lado del servidor.

La herramienta se desarrolló inicialmente, especialmente para Unix. Aún así, tiene versiones de terceros que se pueden usar en Linux, BSD, AIX, macOS, OSF, OpenVMS y Solaris. Clam AV realiza una actualización automática y periódica de su base de datos, para poder detectar incluso las amenazas más recientes. Permite el escaneo desde la línea de comandos y tiene un demonio escalable de subprocesos múltiples para mejorar su velocidad de escaneo.

Puede pasar por diferentes tipos de archivos para detectar vulnerabilidades. Admite todo tipo de archivos comprimidos, incluidos RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, formato SIS, BinHex y casi cualquier tipo de sistema de correo electrónico.

LMD

Linux Malware Detect –O LMD, para abreviar– es otro antivirus de renombre para sistemas Linux, diseñado específicamente en torno a las amenazas que suelen encontrarse en entornos alojados. Como muchas otras herramientas que pueden detectar malware y rootkits, LMD usa una base de datos de firmas para encontrar cualquier código malicioso en ejecución y terminarlo rápidamente.

LMD no se limita a su propia base de datos de firmas. Puede aprovechar las bases de datos de ClamAV y Team Cymru para encontrar aún más virus. Para completar su base de datos, LMD captura datos de amenazas de los sistemas de detección de intrusiones en el borde de la red. Al hacer esto, es capaz de generar nuevas firmas para malware que se utiliza activamente en ataques.

LMD se puede utilizar a través de la línea de comando "maldet". La herramienta está especialmente diseñada para plataformas Linux y puede buscar fácilmente a través de servidores Linux.

Radare2

Radare2 (R2) es un marco para analizar binarios y realizar ingeniería inversa con excelentes capacidades de detección. Puede detectar binarios mal formados, brindando al usuario las herramientas para administrarlos, neutralizando las amenazas potenciales. Utiliza sdb, que es una base de datos NoSQL. Los investigadores de seguridad de software y los desarrolladores de software prefieren esta herramienta por su excelente capacidad de presentación de datos.

Una de las características sobresalientes de Radare2 es que el usuario no está obligado a utilizar la línea de comandos para realizar tareas como análisis estático / dinámico y explotación de software. Se recomienda para cualquier tipo de investigación sobre datos binarios.

OpenVAS

Sistema abierto de evaluación de vulnerabilidades, o OpenVAS, es un sistema alojado para escanear vulnerabilidades y administrarlas. Está diseñado para empresas de todos los tamaños, ayudándolas a detectar problemas de seguridad ocultos dentro de sus infraestructuras. Inicialmente, el producto se conocía como GNessUs, hasta que su propietario actual, Greenbone Networks, cambió su nombre a OpenVAS.

Desde la versión 4.0, OpenVAS permite la actualización continua –por lo general en periodos menores a 24 horas– de su base de Network Vulnerability Testing (NVT). En junio de 2016, tenía más de 47,000 NVT.

Los expertos en seguridad usan OpenVAS debido a su capacidad para escanear rápidamente. También presenta una excelente capacidad de configuración. Los programas OpenVAS se pueden utilizar desde una máquina virtual autónoma para realizar una investigación segura de malware. Su código fuente está disponible bajo una licencia GNU GPL. Muchas otras herramientas de detección de vulnerabilidades dependen de OpenVAS, por eso se toma como un programa esencial en las plataformas basadas en Linux.

REMnux

REMnux utiliza métodos de ingeniería inversa para analizar malware. Puede detectar muchos problemas basados ​​en navegador, ocultos en fragmentos de código ofuscados de JavaScript y subprogramas de Flash. También es capaz de escanear archivos PDF y realizar análisis forenses de memoria. La herramienta ayuda a detectar programas maliciosos dentro de carpetas y archivos que no se pueden escanear fácilmente con otros programas de detección de virus.

Es eficaz debido a sus capacidades de decodificación e ingeniería inversa. Puede determinar las propiedades de programas sospechosos y, por ser liviano, es muy indetectable por programas maliciosos inteligentes. Se puede usar tanto en Linux como en Windows, y su funcionalidad se puede mejorar con la ayuda de otras herramientas de escaneo.

Tiger

En 1992, Texas A&M University comenzó a trabajar en Tigre para aumentar la seguridad de las computadoras de su campus. Ahora, es un programa popular para plataformas similares a Unix. Una característica única de la herramienta es que no solo es una herramienta de auditoría de seguridad, sino también un sistema de detección de intrusos.

La herramienta es de uso gratuito bajo una licencia GPL. Depende de las herramientas POSIX, y juntas pueden crear un marco perfecto que puede aumentar la seguridad de su servidor de manera significativa. Tiger está completamente escrito en lenguaje shell, esa es una de las razones de su eficacia. Es adecuado para verificar el estado y la configuración del sistema, y ​​su uso multipropósito lo hace muy popular entre las personas que usan herramientas POSIX.

Maltrail

maltrail es un sistema de detección de tráfico capaz de mantener limpio el tráfico de su servidor y ayudarlo a evitar cualquier tipo de amenazas maliciosas. Realiza esa tarea comparando las fuentes de tráfico con los sitios de la lista negra publicados en línea.

Además de buscar sitios en listas negras, también utiliza mecanismos heurísticos avanzados para detectar diferentes tipos de amenazas. Aunque es una función opcional, resulta útil cuando cree que su servidor ya ha sido atacado.

Tiene un sensor capaz de detectar el tráfico que recibe un servidor y enviar la información al servidor Maltrail. El sistema de detección verifica si el tráfico es lo suficientemente bueno para intercambiar datos entre un servidor y la fuente.

YARA

Hecho para Linux, Windows y macOS, YARA (Yet Another Ridiculous Acrónimo) es una de las herramientas más esenciales utilizadas para la investigación y detección de programas maliciosos. Utiliza patrones textuales o binarios para simplificar y acelerar el proceso de detección, lo que resulta en una tarea rápida y sencilla.

YARA tiene algunas características adicionales, pero necesita la biblioteca OpenSSL para usarlas. Aunque no tenga esa biblioteca, puede usar YARA para la investigación básica de malware a través de un motor basado en reglas. También se puede utilizar en Cuckoo Sandbox, una caja de arena basada en Python ideal para realizar una investigación segura de software malicioso.

¿Cómo elegir la mejor herramienta?

Todas las herramientas que hemos mencionado anteriormente funcionan muy bien, y cuando una herramienta es popular en entornos Linux, puede estar bastante seguro de que miles de usuarios experimentados la están utilizando. Una cosa que administradores del sistema Debe recordar que cada aplicación suele depender de otros programas. Por ejemplo, ese es el caso de ClamAV y OpenVAS.

Debe comprender qué necesita su sistema y en qué áreas puede tener vulnerabilidades. En primer lugar, utilice una herramienta ligera para investigar qué sección necesita atención. Luego use la herramienta adecuada para resolver el problema.