3种Linux常用的rootkit安全扫描工具

以前从未使用过 rootkit 扫描工具，也是在处理18日这次服务器入侵事件时，在网上找到的可用工具，确实很方便，可以通过命令行扫描系统下的目录内是否包含已知rootkit数据库中的后门文件，并帮助你把它找出来。最后还可以通过扫描日志查看到详细的警告信息和可疑的文件路径，帮助你进一步排查系统入侵信息。

优点

这些可以帮助你找到在已知数据库中存在的 rootkit 或高度疑似的后门文件。

缺点

部分未知的或还未被发现、报告过的rootkit可能并不能有效的检出。

我使用的是 rkhunter, 体验非常好，每一步都会向你报告是否继续执行，在执行后还会提供完整的日志可供后续进一步排查。为了以后使用，我将常用的三款工具的安装和用法都列出来了。

1.chkrootkit

安装方法：

sudo apt update
sudo apt install chkrootkit

安装完成后，通过下列命令开始安全扫描：

sudo chkrootkit

2.rkhunter

通过下列命令可以完成安装：

sudo apt update
sudo apt install rkhunter

安装完成后需要更新到最新的数据库：

sudo rkhunter --update

等待更新完成后，执行下列命令进行扫描：

sudo rkhunter --check

3.Lynis

通过这个命令即可完成安装：

sudo apt update
sudo apt install lynis

然后直接执行命令对系统进行安全审计：

sudo lynis audit system

使用这些工具时，需要你以具有root权限的用户进行运行，才能让工具可以扫描到系统级别的文件和目录。扫描完成后，你要仔细查看报告和扫描日志，特别注意提示信息包括 warning 信息或更高级别。

这里也同时给我自己几点安全建议：

1. 定期备份数据，确保遇到灾难性丢失之后还可以恢复业务。
2. 定期执行系统更新和安全扫描，以降低被入侵的风险。
3. 关闭系统非业务必须端口，缩小IP访问范围，禁止远程SSH登录，进一步降低远程攻击可能性。