本文详细介绍入侵监测系统的构建(chkrootkit )
所谓rootkit,是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉,通过这类工具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统是否被安装了rootkit进行监测。
chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令。但不排除一种情况,那就是入侵者有针对性的已经将 chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的。那样的话,用chkrootkit构建入侵监测系统将失去任何意义。对此,我们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作。而且,在服务器开放之前,备份chkrootkit使用的系统命令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作。
安装chkrootkit
首先来下载和安装chkrootkit工具。[root@localhost~]#wgetftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ←下载chkrootkit
--03:05:31--ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
=>`chkrootkit.tar.gz'
Resolvingftp.pangeia.com.br...200.239.53.35
Connectingtoftp.pangeia.com.br|200.239.53.35|:21...connected.
Logginginasanonymous...Loggedin!
==>SYST...done.==>PWD...done.
==>TYPEI...done.==>CWD/pub/seg/pac...done.
==>PASV...done.==>RETRchkrootkit.tar.gz...done.
Length:37,140(36K)(unauthoritative)
100%[====================================>]37,1405.67K/sETA00:00
03:05:46(5.30KB/s)-`chkrootkit.tar.gz'saved[37140]
[root@localhost~]#tarzxvfchkrootkit.tar.gz ←展开被压缩的源代码
[root@localhost~]#cdchkrootkit* ←进入chkrootkit源代码的目录
[root@localhostchkrootkit-0.46a]#makesense ←编译
[root@localhostchkrootkit-0.46a]#cd.. ←返回上层目录
[root@localhost~]#cp-rchkrootkit-*/usr/local/chkrootkit ←复制编译后文件所在的目录到指定位置
[root@localhost~]#rm-rfchkrootkit* ←删除遗留的源代码目录及相关文件
测试chkrootkit
来源:Centos 责编:豆豆技术应用
正在加载评论...