加强 Linux 桌面安全
简介
对计算机的恶意攻击与日俱增。尽管编写的用于攻击 GNU/Linux 系统的病毒比 Windows 系统少得多,但 GNU/Linux 病毒确实存在。此外,可感染运行 Linux 的计算机的其他类型的恶意软件的数量(以及纯攻击数量)也在不断增长。最近 Wirenet.1 攻击了运行 Linux 和 Mac OS X 的计算机。该恶意软件盗窃了存储在计算机上的 Internet 浏览器、电子邮件客户端和即时消息工具中的密码和其他信息。
独立于平台的环境(比如 OpenOffice.org、Perl 和 Firefox)也未能幸免于难。举例而言,我们在运行 Windows、Mac OS X 和 Linux 的机器上都发现了 Dropper.MsPMs — 一个恶意的 Java 归档 (JAR) 文件。
一些恶意的包是专为 GNU/Linux 编写的。rootkit 是一个允许攻击者获得计算机上的 root(管理员)帐户访问权限的工具集合,它是和特洛伊密码一样的恶意软件系列中的一部分。这些恶意软件包具有不同的名称,比如 tOrn 和 ARK。
防御恶意软件
许多因素决定了系统的安全程度,但最重要的是系统的配置方式。本文将介绍 GNU/Linux 桌面的配置。通过执行一些步骤来正确配置您的计算机系统,从而保障计算机的安全。首先从反病毒保护开始。
安装反病毒保护软件:ClamAV
ClamAV 是一个开源 (GPL) 反病毒引擎,其设计目标是检测特洛伊木马、病毒、恶意软件和其他恶意威胁。安装它时,您可以指定希望手动运行该程序,还是通过将它连接到后台进程让它持续运行。对于桌面,以后台进程形式运行该程序最为理想,因为在这种状况下您仍然可以选择执行手动扫描。
要将 ClamAV 安装为持续运行的后台进程,可执行以下步骤:
- 打开计算机并登录。
- 在菜单栏中,单击 Applications > Accessories > Terminal。
- 在启动终端后,输入以下命令:
sudo apt-get install clamav-daemon
- 在系统提示您时,输入您的密码。
这么做会安装一个名为
clamav-freshclam的包,它是 ClamAV 应用程序的更新程序包。 - 您现在会看到一条消息,提醒您安装该软件时需要使用多大的磁盘空间。在提示符上输入
Y来开始安装。安装流程只需两分钟的时间。完成安装后,您将看到一个警报,指出您的病毒数据库是 x 天以前的,您应该使用以下的一系列步骤来更新它。
- 在提示符下,运行命令
sudo freshclam。
运行 freshclam 会将病毒定义更新为最新版本。保持定义最新非常重要,因为这是 ClamAV 识别恶意软件的方式。
病毒定义 是恶意软件程序所独有的代码模式。反病毒扫描器将您文件的内容与病毒定义数据库中的代码模式进行比较。如果找到匹配值,该程序会提醒您计算机上有一个受感染的文件,并阻止该文件中的代码执行。
如果恶意软件的某个特定部分的定义未在您的病毒定义数据库中,那么反病毒扫描器无法知道它就是恶意代码,因此会让它继续运行,并承受执行它所带来的损害。定期更新您的定义,以提供最全面的保护。
启动 ClamAV
在更新病毒定义后,就可以启动 ClamAV 了。要对您的主文件夹运行手动扫描,可以转到终端提示符并输入 clamscan。完成 clamscan 命令后,您会看到一个关于扫描了多少目录和文件以及找到了有多少受感染文件的报告。
要以后台进程形式运行 ClamAV,可以转到终端提示符并输入 clamdscan。clamdscan 命令创建了一个名为 ClamAV 的用户。然后,您可以将此用户添加到拥有您想要扫描的文件的组中。
通过 rkhunter 防御 rootkit
GNU/Linux 用户面对的最危险的恶意软件或许是 rootkit。Rootkit Hunter (rkhunter) 和 chkrootkit 程序会在桌面上扫描可疑的文件,攻击者可能安装这些文件来获取您计算机的控制权。
要安装 rkhunter(查找并删除 rootkit 的最优秀程序之一),可执行以下步骤:
- 要导航回终端,可单击 Applications > Accessories > Terminal。
- 在终端 shell 中,输入以下命令:
sudo aptitude install rkhunter
- 在收到一条告诉您该软件需要使用多少空间的消息后,输入
Y开始安装。
rkhunter 安装后,您可运行它来检查桌面中的攻击破坏。转到终端提示符并输入 sudo rkhunter --check。
如果 rkhunter 正确运行,您会看到一个在旁边包含词汇 OK 或 Warning 的目录列表。启动后,rkhunter 会执行多种类型的扫描。一次扫描完成后,按下 Enter 键开始下一次扫描。扫描类型包括:
- 目录
- 桌面上的攻击破坏
- 常用于后门访问的端口
- 启动文件、组和帐户、系统配置文件和文件系统
- 应用程序
所有扫描都完成后,rkhunter 将为您提供一份报告,并使用结果创建一个日志文件。
和 ClamAV 一样,您需要定期更新 rkhunter,以便它可以检测最新的漏洞和攻击破坏:
- 从终端输入
sudo rkhunter --update。 - 在系统提示您时输入您的密码。
使用 Tiger 扫描您的系统
在安全性方面,建立基准是您可做的最重要的事情之一。从这里,您可以确定是否有任何内容被篡改,因为篡改会修改基准内容。如果安装一个 Office 办公套件,您也会修改基准,但您已经能批准进行此添加。如果在您的机器上安装了一个恶意软件,对基准的检查也会发现这个恶意软件。
大多数人都不了解如何手动创建其计算机配置的基准。但是,一个名为 Tiger 的程序会审核计算机系统,查看是否修改了任何内容。如果内容被修改,该软件会提供一个错误代码。
要将 Tiger 安装在 Ubuntu 桌面上,请先打开终端。从这里运行以下命令:
sudo aptitude -y install tiger
该命令将 Tiger 软件放在您的机器上。现在,您需要运行它。
在终端仍处于打开状态的情况下,运行 sudo tiger 来创建一个安全问题报告,将该报告保存到 /var/log/tiger 中。该文件的名称常常包含计算机的主机名,后跟日期和时间,例如 security.report.hostname.121220-8:46。该文件的名称会在报告完成时提供给您。
要查看报告,可运行 sudo gedit 并包含 /var/log/tiger 和文件名。使用此示例,该命令为:
sudo gedit /var/log/tiger/security.report.hostname.121220-8:46
该报告随后会提供它找到的问题的错误代码。您可以在线查找每个错误代码的含义。