Même si les systèmes basés sur Linux sont souvent considérés comme impénétrables, il existe toujours des risques qui doivent être pris au sérieux.
Rootkits, virus, ransomware, et de nombreux autres programmes nuisibles peuvent souvent attaquer et causer des problèmes aux serveurs Linux.
Quel que soit le système d'exploitation, prendre des mesures de sécurité est un must pour les serveurs. Les grandes marques et organisations ont pris les mesures de sécurité entre leurs mains et ont développé des outils qui non seulement détectent les failles et les logiciels malveillants, mais les corrigent également et prennent des mesures préventives.
Heureusement, il existe des outils disponibles à bas prix ou gratuits qui peuvent vous aider dans ce processus. Ils peuvent détecter des défauts dans différentes sections d'un Serveur basé sur Linux.
Lynis
Lynis est un outil de sécurité renommé et une option privilégiée pour les experts en Linux. Il fonctionne également sur les systèmes basés sur Unix et macOS. Il s'agit d'une application logicielle open source utilisée depuis 2007 sous licence GPL.

Lynis est capable de détecter les failles de sécurité et les failles de configuration. Mais cela va plus loin: au lieu de simplement exposer les vulnérabilités, cela suggère des actions correctives. C'est pourquoi, pour obtenir des rapports d'audit détaillés, il est nécessaire de l'exécuter sur le système hôte.
L'installation n'est pas nécessaire pour utiliser Lynis. Vous pouvez l'extraire d'un package téléchargé ou d'une archive tar et l'exécuter. Vous pouvez également l'obtenir à partir d'un clone Git pour avoir accès à la documentation complète et au code source.
Lynis a été créé par l'auteur original de Rkhunter, Michael Boelen. Il propose deux types de services axés sur les particuliers et les entreprises. Dans les deux cas, il a une performance exceptionnelle.
Chkrootkit
Comme vous l'avez peut-être déjà deviné, le chkrootkit est un outil pour vérifier l'existence de rootkits. Les rootkits sont un type de logiciel malveillant qui peut donner accès au serveur à un utilisateur non autorisé. Si vous utilisez un serveur basé sur Linux, les rootkits peuvent être un problème.

chkrootkit est l'un des programmes basés sur Unix les plus utilisés pour détecter les rootkits. Il utilise des «chaînes» et «grep» (commandes de l'outil Linux) pour détecter les problèmes.
Il peut être utilisé à partir d'un autre répertoire ou d'un disque de secours, au cas où vous voudriez qu'il vérifie un système déjà compromis. Les différents composants de Chkrootkit s'occupent de rechercher les entrées supprimées dans les fichiers «wtmp» et «lastlog», de rechercher des enregistrements de renifleur ou des fichiers de configuration de rootkit, et de vérifier les entrées cachées dans «/ proc» ou les appels au programme «readdir».
Pour utiliser chkrootkit, vous devez obtenir la dernière version d'un serveur, extraire les fichiers source, les compiler et vous êtes prêt à partir.
Rkhunter
Le développeur Micheal Boelen était la personne derrière la création Rkhunter (Rootkit Hunter) en 2003. C'est un outil approprié pour les systèmes POSIX et peut aider à la détection des rootkits et autres vulnérabilités. Rkhunter passe en revue les fichiers (cachés ou visibles), les répertoires par défaut, les modules du noyau et les autorisations mal configurées.

Après un contrôle de routine, il les compare aux enregistrements sûrs et appropriés des bases de données et recherche les programmes suspects. Puisque le programme est écrit en Bash, il peut non seulement fonctionner sur des machines Linux mais aussi sur pratiquement toutes les versions d'Unix.
ClamAV
Ecrit en C ++, ClamAV est un antivirus open source qui peut aider à détecter les virus, chevaux de Troie et de nombreux autres types de logiciels malveillants. C'est un outil entièrement gratuit, c'est pourquoi de nombreuses personnes l'utilisent pour analyser leurs informations personnelles, y compris les e-mails, pour tout type de fichiers malveillants. Il sert également de manière significative de scanner côté serveur.

L'outil a été initialement développé, spécialement pour Unix. Pourtant, il a des versions tierces qui peuvent être utilisées sur Linux, BSD, AIX, macOS, OSF, OpenVMS et Solaris. Clam AV effectue une mise à jour automatique et régulière de sa base de données, afin de pouvoir détecter les menaces les plus récentes. Il permet une analyse en ligne de commande et dispose d'un démon évolutif multi-thread pour améliorer sa vitesse d'analyse.
Il peut parcourir différents types de fichiers pour détecter les vulnérabilités. Il prend en charge toutes sortes de fichiers compressés, y compris RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, format SIS, BinHex et presque tous les types de système de messagerie.
LMD
Détection de Malware Linux –Ou LMD, pour faire court– est un autre antivirus renommé pour les systèmes Linux, spécialement conçu autour des menaces généralement trouvées sur les environnements hébergés. Comme de nombreux autres outils capables de détecter les logiciels malveillants et les rootkits, LMD utilise une base de données de signatures pour trouver tout code malveillant en cours d'exécution et y mettre rapidement fin.

LMD ne se limite pas à sa propre base de données de signatures. Il peut exploiter les bases de données de ClamAV et de Team Cymru pour trouver encore plus de virus. Pour alimenter sa base de données, LMD capture les données sur les menaces à partir des systèmes de détection d'intrusion en périphérie du réseau. En faisant cela, il est capable de générer de nouvelles signatures pour les logiciels malveillants qui sont activement utilisés dans les attaques.
LMD peut être utilisé via la ligne de commande «maldet». L'outil est spécialement conçu pour les plates-formes Linux et peut facilement rechercher dans les serveurs Linux.
Radare2
Radare2 (R2) est un cadre d'analyse des binaires et de rétro-ingénierie avec d'excellentes capacités de détection. Il peut détecter les binaires mal formés, donnant à l'utilisateur les outils pour les gérer, neutralisant les menaces potentielles. Il utilise sdb, qui est une base de données NoSQL. Les chercheurs en sécurité logicielle et les développeurs de logiciels préfèrent cet outil pour son excellente capacité de présentation des données.

L'une des caractéristiques exceptionnelles de Radare2 est que l'utilisateur n'est pas obligé d'utiliser la ligne de commande pour accomplir des tâches telles que l'analyse statique / dynamique et l'exploitation de logiciels. Il est recommandé pour tout type de recherche sur des données binaires.
OpenVAS
Ouvrez le système d'évaluation des vulnérabilités, ou OpenVAS, est un système hébergé pour analyser les vulnérabilités et les gérer. Il est conçu pour les entreprises de toutes tailles, les aidant à détecter les problèmes de sécurité cachés dans leurs infrastructures. Initialement, le produit était connu sous le nom de GNessUs, jusqu'à ce que son propriétaire actuel, Greenbone Networks, change son nom en OpenVAS.
Depuis la version 4.0, OpenVAS permet la mise à jour continue - généralement par périodes de moins de 24 heures - de sa base de test de vulnérabilité réseau (NVT). En juin 2016, il comptait plus de 47,000 XNUMX NVT.

Les experts en sécurité utilisent OpenVAS en raison de sa capacité à analyser rapidement. Il présente également une excellente configurabilité. Les programmes OpenVAS peuvent être utilisés à partir d'une machine virtuelle autonome pour effectuer des recherches de logiciels malveillants en toute sécurité. Son code source est disponible sous une licence GNU GPL. De nombreux autres outils de détection de vulnérabilités dépendent d'OpenVAS - c'est pourquoi il est considéré comme un programme essentiel sur les plates-formes Linux.
REMnux
REMnux utilise des méthodes de rétro-ingénierie pour analyser les logiciels malveillants. Il peut détecter de nombreux problèmes liés au navigateur, cachés dans des extraits de code obscurcis par JavaScript et des applets Flash. Il est également capable de numériser des fichiers PDF et d'effectuer des analyses de mémoire. L'outil aide à détecter les programmes malveillants dans des dossiers et des fichiers qui ne peuvent pas être analysés facilement avec d'autres programmes de détection de virus.

Il est efficace grâce à ses capacités de décodage et de rétro-ingénierie. Il peut déterminer les propriétés des programmes suspects, et pour être léger, il est très indétectable par les programmes malveillants intelligents. Il peut être utilisé à la fois sous Linux et Windows, et ses fonctionnalités peuvent être améliorées à l'aide d'autres outils d'analyse.
Tiger
En 1992, l'Université Texas A&M a commencé à travailler sur Tiger pour augmenter la sécurité des ordinateurs de leur campus. Maintenant, c'est un programme populaire pour les plates-formes de type Unix. La particularité de cet outil est qu'il ne s'agit pas seulement d'un outil d'audit de sécurité, mais également d'un système de détection d'intrusion.
L'outil est gratuit à utiliser sous une licence GPL. Il dépend des outils POSIX et, ensemble, ils peuvent créer un cadre parfait qui peut augmenter considérablement la sécurité de votre serveur. Tiger est entièrement écrit en langage shell - c'est l'une des raisons de son efficacité. Il convient pour vérifier l'état et la configuration du système, et son utilisation polyvalente le rend très populaire parmi les utilisateurs des outils POSIX.
Maltrail
Maltrail est un système de détection de trafic capable de maintenir le trafic de votre serveur propre et de l'aider à éviter tout type de menaces malveillantes. Il effectue cette tâche en comparant les sources de trafic avec les sites sur liste noire publiés en ligne.
Outre la vérification des sites sur liste noire, il utilise également des mécanismes heuristiques avancés pour détecter différents types de menaces. Même s'il s'agit d'une fonctionnalité facultative, elle est pratique lorsque vous pensez que votre serveur a déjà été attaqué.

Il dispose d'un capteur capable de détecter le trafic qu'un serveur reçoit et d'envoyer les informations au serveur Maltrail. Le système de détection vérifie si le trafic est suffisamment bon pour échanger des données entre un serveur et la source.
YARA
Conçu pour Linux, Windows et macOS, YARA (Yet Another Ridiculous Acronym) est l'un des outils les plus essentiels utilisés pour la recherche et la détection de programmes malveillants. Il utilise des modèles textuels ou binaires pour simplifier et accélérer le processus de détection, ce qui se traduit par une tâche rapide et facile.

YARA a quelques fonctionnalités supplémentaires, mais vous avez besoin de la bibliothèque OpenSSL pour les utiliser. Même si vous n'avez pas cette bibliothèque, vous pouvez utiliser YARA pour la recherche de base sur les logiciels malveillants via un moteur basé sur des règles. Il peut également être utilisé dans Cuckoo Sandbox, un bac à sable basé sur Python idéal pour effectuer des recherches en toute sécurité sur les logiciels malveillants.
Comment choisir le meilleur outil?
Tous les outils que nous avons mentionnés ci-dessus fonctionnent très bien, et lorsqu'un outil est populaire dans les environnements Linux, vous pouvez être à peu près sûr que des milliers d'utilisateurs expérimentés l'utilisent. Une chose qui administrateurs système il faut se rappeler que chaque application dépend généralement d'autres programmes. Par exemple, c'est le cas avec ClamAV et OpenVAS.
Vous devez comprendre ce dont votre système a besoin et dans quels domaines il peut présenter des vulnérabilités. Tout d'abord, utilisez un outil léger pour rechercher quelle section nécessite votre attention. Utilisez ensuite l'outil approprié pour résoudre le problème.