原文地址

尽管基于 Linux 的系统通常被认为是不可渗透的，但仍然存在需要认真对待的风险。

Rootkit、病毒、勒索软件和许多其他有害程序通常会攻击 Linux 服务器并导致问题。

不管是什么操作系统，采取安全措施对服务器来说都是必须的。大品牌和组织已经采取了他们手中的安全措施，并开发了不仅可以检测缺陷和恶意软件，还可以纠正它们并采取预防措施的工具。

幸运的是，有一些低价或免费的工具可以帮助完成这个过程。他们可以检测基于 Linux 的服务器不同部分的缺陷。

1. Lynis

Lynis是著名的安全工具，也是 Linux 专家的首选。它也适用于基于 Unix 和 macOS 的系统。它是一个开源软件应用程序，自 2007 年以来一直在 GPL 许可下使用。
Lynis 能够检测安全漏洞和配置缺陷。但它不止于此：它不仅会暴露漏洞，还建议采取纠正措施。这就是为什么要获得详细的审计报告，必须在主机系统上运行它。

使用 Lynis 不需要安装。您可以从下载的包或 tarball 中提取它并运行它。您还可以从 Git 克隆中获取它以访问完整的文档和源代码。

Lynis 由 Rkhunter 的原作者 Michael Boelen 创建。它有基于个人和企业的两种类型的服务。无论哪种情况，它都有出色的表现。

2. Chkrootkit

您可能已经猜到了，chkrootkit是一个检查 rootkit 是否存在的工具。Rootkit 是一种恶意软件，可以让未经授权的用户访问服务器。如果您运行的是基于 Linux 的服务器，则 rootkit 可能是一个问题。
chkrootkit 是最常用的基于 Unix 的程序之一，可以检测 rootkit。它使用“字符串”和“grep”（Linux 工具命令）来检测问题。

它可以从备用目录或救援光盘中使用，以防您希望它验证已经受损的系统。Chkrootkit 的不同组件负责在“wtmp”和“lastlog”文件中查找已删除的条目，查找嗅探器记录或 rootkit 配置文件，并检查“/proc”中的隐藏条目或对“readdir”程序的调用。

要使用 chkrootkit，您应该从服务器获取最新版本，提取源文件，编译它们，然后就可以开始了。

3. Rkhunter

开发人员 Micheal Boelen 是2003 年开发Rkhunter（Rootkit Hunter）的幕后推手。它是适用于 POSIX 系统的工具，可以帮助检测 Rootkit 和其他漏洞。Rkhunter 彻底检查文件（隐藏或可见）、默认目录、内核模块和错误配置的权限。
在例行检查后，它将它们与数据库的安全和正确记录进行比较，并查找可疑程序。由于该程序是用 Bash 编写的，因此它不仅可以在 Linux 机器上运行，而且几乎可以在任何版本的 Unix 上运行。

4. ClamAV

ClamAV是用 C++ 编写的，是一种开源防病毒软件，可以帮助检测病毒、特洛伊木马和许多其他类型的恶意软件。这是一个完全免费的工具，这就是为什么很多人使用它来扫描他们的个人信息（包括电子邮件）以查找任何类型的恶意文件的原因。它还可以作为服务器端扫描仪发挥重要作用。
该工具最初是为 Unix 开发的。尽管如此，它还有可用于 Linux、BSD、AIX、macOS、OSF、OpenVMS 和 Solaris 的第三方版本。Clam AV 会自动定期更新其数据库，以便能够检测到最新的威胁。它允许命令行扫描，并且它有一个多线程可扩展的恶魔来提高它的扫描速度。

它可以通过不同类型的文件来检测漏洞。它支持各种压缩文件，包括 RAR、Zip、Gzip、Tar、Cabinet、OLE2、CHM、SIS 格式、BinHex，以及几乎任何类型的电子邮件系统。

5. LMD

Linux 恶意软件检测（简称 LMD）是另一种著名的 Linux 系统防病毒软件，专门针对通常在托管环境中发现的威胁而设计。与许多其他可以检测恶意软件和 rootkit 的工具一样，LMD 使用签名数据库来查找任何恶意运行代码并快速终止它。

LMD 并不局限于自己的签名数据库。它可以利用 ClamAV 和 Team Cymru 的数据库来查找更多病毒。为了填充其数据库，LMD 从网络边缘入侵检测系统捕获威胁数据。通过这样做，它能够为攻击中积极使用的恶意软件生成新的签名。

LMD 可以通过“maldet”命令行使用。该工具专为 Linux 平台设计，可以轻松搜索 Linux 服务器。

6. Radare2

Radare2 (R2) 是一个用于分析二进制文件和进行逆向工程的框架，具有出色的检测能力。 它可以检测格式错误的二进制文件，为用户提供管理它们的工具，消除潜在威胁。 它使用 sdb，这是一个 NoSQL 数据库。 软件安全研究人员和软件开发人员更喜欢该工具，因为它具有出色的数据呈现能力。

Radare2 的突出特点之一是用户不会被迫使用命令行来完成静态/动态分析和软件开发等任务。 推荐用于任何类型的二进制数据研究。

7. OpenVAS

开放式漏洞评估系统（Open Vulnerability Assessment System，简称OpenVAS）是一个用于扫描和管理漏洞的托管系统。它专为各种规模的企业而设计，可帮助他们检测隐藏在其基础设施中的安全问题。最初，该产品被称为 GNessUs，直到其当前所有者 Greenbone Networks 更名为 OpenVAS。

从 4.0 版开始，OpenVAS 允许对其网络漏洞测试 (NVT) 基础进行持续更新——通常在不到 24 小时的时间内。截至 2016 年 6 月，它拥有超过 47,000 个 NVT。

安全专家使用 OpenVAS 是因为它能够快速扫描。它还具有出色的可配置性。可以从独立的虚拟机中使用 OpenVAS 程序进行安全的恶意软件研究。它的源代码在 GNU GPL 许可下可用。许多其他漏洞检测工具依赖于 OpenVAS——这就是为什么它被视为基于 Linux 的平台中必不可少的程序。

8. REMnux

REMnux使用逆向工程方法来分析恶意软件。它可以检测许多基于浏览器的问题，这些问题隐藏在 JavaScript 混淆代码片段和 Flash 小程序中。它还能够扫描 PDF 文件并执行内存取证。该工具有助于检测文件夹和文件中的恶意程序，这些程序无法用其他病毒检测程序轻松扫描。

由于其解码和逆向工程能力，它是有效的。它可以确定可疑程序的属性，并且由于它是轻量级的，因此智能恶意程序很难检测到它。它可以在 Linux 和 Windows 上使用，并且可以在其他扫描工具的帮助下改进其功能。

9. Tiger

1992 年，德克萨斯 A&M 大学开始研究Tiger，以提高他们校园计算机的安全性。现在，它是类 Unix 平台的流行程序。该工具的独特之处在于它不仅是一个安全审计工具，而且还是一个入侵检测系统。

该工具可在 GPL 许可下免费使用。它依赖于 POSIX 工具，它们一起可以创建一个完美的框架，可以显着提高服务器的安全性。Tiger 完全是用shell 语言编写的——这是其有效性的原因之一。它适用于检查系统状态和配置，其多功能用途使其在使用 POSIX 工具的人中非常受欢迎。

10. Maltrail

Maltrail是一个流量检测系统，能够保持您服务器的流量干净并帮助它避免任何类型的恶意威胁。它通过将流量来源与在线发布的黑名单站点进行比较来执行该任务。

除了检查列入黑名单的站点外，它还使用先进的启发式机制来检测不同类型的威胁。尽管它是一个可选功能，但当您认为您的服务器已经受到攻击时，它会派上用场。

它有一个传感器，能够检测服务器获得的流量并将信息发送到 Maltrail 服务器。检测系统验证流量是否足以在服务器和源之间交换数据。

11. YARA

YARA（Yet Another Ridiculous Acronym）专为 Linux、Windows 和 macOS 打造，是用于研究和检测恶意程序的最重要工具之一。它使用文本或二进制模式来简化和加速检测过程，从而实现快速而轻松的任务。

YARA 确实有一些额外的功能，但您需要 OpenSSL 库才能使用它们。即使您没有该库，您也可以使用 YARA 通过基于规则的引擎进行基本的恶意软件研究。它还可以用于 Cuckoo 沙箱，这是一个基于 Python 的沙箱，非常适合对恶意软件进行安全研究。

如何选择最好的工具？

我们上面提到的所有工具都运行良好，当一个工具在 Linux 环境中流行时，您可以非常确定成千上万的有经验的用户正在使用它。系统管理员应该记住的一件事是每个应用程序通常都依赖于其他程序。例如，ClamAV 和 OpenVAS 就是这种情况。

您需要了解您的系统需要什么以及它可能在哪些方面存在漏洞。首先，使用轻量级工具研究需要注意的部分。然后使用适当的工具来解决问题。