Chi si addentra per la prima volta all'interno dell'ecosistema delle distribuzioni Linux spesso si pone la domanda "Ma sarà utile qualche sistema di sicurezza addizionale?". La risposta è ovviamente no, i sistemi Linux non sono perfetti ma dal punto di vista della sicurezza per gli utenti domestici non ci sono reali rischi usando una distribuzione comune.
Ma in ambito aziendale la questione è diversa, per proteggere i dati sensibili che passano sui server delle imprese è necessario tenere un livello di guardia maggiore rispetto ad un PC casalingo. Ecco perché esistono intere divisioni dedicate alla sicurezza in tutte le più grandi aziende. Inoltre negli anni sono nati diversi tool dedicati alla ricerca delle minacce anche sui sistemi Linux.
ClamAV
Partiamo da ClamAV, si tratta di un progetto open source e i suoi algoritmi sono capaci di scovare diversi programmi malevoli come trojans, malware e virus informatici di vario genere. Il multi-threaded scanner daemon di ClamAV risulta essere perfetto per l'utilizzo all'interno di server mail e per lo scanning on-demand. I suoi pacchetti si trovano nei repository di numerose distribuzioni Linux.
Su Ubuntu è possibile installare in questo modo:
sudo apt install clamav clamtkmentre per avviare una scansione si dovrà prima di tutto aggiornare il database delle firme:
sudo freshclame poi selezionare la directory da esaminare:
clamscan -r -i DirectorydiprovaClamAV dispone anche di una comoda interfaccia in GTK cosi da non essere vincolati ad usare la shell per eseguire le scansioni.
Sophos
Passiamo al secondo tool di oggi ovvero Sophos. È una soluzione proprietaria che mette a disposizione dell'utente una vasta gamma di scanner e di tool per la rimozione di software malevoli per Linux, Windows, MacOS e Android. L'unico neo di Sophos, oltre alla sua licenza proprietaria, è l'assenza di una GUI più moderna, è possibile utilizzarlo solamente tramite la shell.
Sophos può essere installato tramite un comodo script:
sudo sh install.shUna volta accettati i termini di licenza sarà possibile avviare il demone di Sophos rispondendo in modo affermativo alle domande dell'installer. Al termine della procedura si può verificare lo status del demone avviato:
/opt/sophos-av/bin/savdstatuspoi basterà scegliere una directory come obbiettivo per la scansione:
savscan Directorydiprovachkrootkit
L'ultimo tool di oggi è chkrootkit. Viene distribuito sotto licenza open source ed è molto utile quando si vuole individuare un rootkit, ovvero un programma che va a modificare i file di sistema. In particolare chkrootkit tiene d'occhio alcuni aspetti e comportamenti del sistema:
- status dei binari di sistema;
- cancellazione dei file di log;
- cancellazione dei file wtmp;
- cancellazione dei file utmp;
- presenza di strane sostituzioni nei file di sistema.
Il pacchetto del tool si trova facilmente nei repository delle distribuzioni:
sudo apt install chkrootkituna volta installato si può avviare una scansione semplicemente lanciando l'istruzione:
sudo chkrootkit/https://www.html.it/app/uploads/2024/11/hacker-cinesi-vpn.jpg)
/https://www.html.it/app/uploads/2024/11/truffe-qr-code-.jpg)
/https://www.html.it/app/uploads/2024/11/IPTV_______.jpg)
/https://www.html.it/app/uploads/2024/11/t-mobile-.jpg)