Linux 서버에서 보안 결함 및 맬웨어를 검사하는 11가지 도구

Linux 기반 시스템은 종종 뚫을 수 없는 것으로 간주되지만 여전히 심각하게 받아들여야 할 위험이 있습니다.

루트킷, 바이러스, 랜섬웨어 및 기타 여러 유해 프로그램은 종종 Linux 서버를 공격하고 문제를 일으킬 수 있습니다.

운영 체제에 관계없이 서버에 대한 보안 조치는 필수입니다. 대형 브랜드와 조직은 보안 조치를 취하고 결함과 맬웨어를 탐지할 뿐만 아니라 이를 수정하고 예방 조치를 취하는 도구를 개발했습니다.

다행히도 이 프로세스에 도움이 될 수 있는 저렴한 가격 또는 무료 도구가 있습니다. 그들은 Linux 기반 서버의 다른 섹션에서 결함을 감지할 수 있습니다.

리니스

리니스 유명한 보안 도구이자 Linux 전문가가 선호하는 옵션입니다. Unix 및 macOS 기반 시스템에서도 작동합니다. 2007년부터 GPL 라이선스로 사용된 오픈 소스 소프트웨어 앱입니다.

Lynis는 보안 허점과 구성 결함을 탐지할 수 있습니다. 그러나 그 이상입니다. 취약점을 노출하는 대신 수정 조치를 제안합니다. 그렇기 때문에 자세한 감사 보고서를 얻으려면 호스트 시스템에서 실행해야 합니다.

Lynis를 사용하기 위해 설치가 필요하지 않습니다. 다운로드한 패키지나 tarball에서 압축을 풀고 실행할 수 있습니다. 전체 문서 및 소스 코드에 액세스할 수 있도록 Git 클론에서 가져올 수도 있습니다.

Lynis는 Rkhunter의 원작자인 Michael Boelen이 만들었습니다. 개인과 기업을 기반으로 하는 두 가지 유형의 서비스가 있습니다. 두 경우 모두 뛰어난 성능을 제공합니다.

Chkrootkit

이미 짐작하셨겠지만, chkrootkit 루트킷의 존재를 확인하는 도구입니다. 루트킷은 권한이 없는 사용자에게 서버 액세스 권한을 부여할 수 있는 악성 소프트웨어 유형입니다. Linux 기반 서버를 실행하는 경우 루트킷이 문제가 될 수 있습니다.

chkrootkit은 루트킷을 탐지할 수 있는 가장 많이 사용되는 유닉스 기반 프로그램 중 하나입니다. ‘문자열’ 및 ‘grep'(Linux 도구 명령)를 사용하여 문제를 감지합니다.

이미 손상된 시스템을 확인하려는 경우 대체 디렉토리 또는 복구 디스크에서 사용할 수 있습니다. Chkrootkit의 다른 구성 요소는 “wtmp” 및 “lastlog” 파일에서 삭제된 항목을 찾고, 스니퍼 레코드 또는 루트킷 구성 파일을 찾고, “/proc” 또는 “readdir” 프로그램 호출에서 숨겨진 항목을 확인합니다.

chkrootkit을 사용하려면 서버에서 최신 버전을 가져와 소스 파일을 추출하고 컴파일하면 준비가 완료됩니다.

르쿤터

개발자인 Michael Boelen은 르쿤터 (Rootkit Hunter) 2003. POSIX 시스템에 적합한 도구이며 루트킷 및 기타 취약점 탐지에 도움이 될 수 있습니다. Rkhunter는 파일(숨김 또는 표시), 기본 디렉토리, 커널 모듈 및 잘못 구성된 권한을 철저히 검토합니다.

정기 점검 후 데이터베이스의 안전하고 적절한 기록과 비교하여 의심스러운 프로그램을 찾습니다. 이 프로그램은 Bash로 작성되었기 때문에 Linux 시스템뿐만 아니라 거의 모든 Unix 버전에서 실행할 수 있습니다.

ClamAV

C++로 작성되었으며, ClamAV 바이러스, 트로이 목마 및 기타 여러 유형의 맬웨어를 탐지하는 데 도움이 되는 오픈 소스 바이러스 백신입니다. 완전히 무료인 도구이기 때문에 많은 사람들이 이메일을 포함한 개인 정보를 검색하여 모든 종류의 악성 파일을 검색하는 데 사용합니다. 또한 서버 측 스캐너로도 상당한 역할을 합니다.

이 도구는 처음에 특히 Unix용으로 개발되었습니다. 여전히 Linux, BSD, AIX, macOS, OSF, OpenVMS 및 Solaris에서 사용할 수 있는 타사 버전이 있습니다. Clam AV는 가장 최근의 위협도 탐지할 수 있도록 데이터베이스를 자동으로 정기적으로 업데이트합니다. 명령줄 스캔이 가능하며 스캔 속도를 향상시키기 위해 확장 가능한 다중 스레드 악마가 있습니다.

다양한 종류의 파일을 통해 취약점을 탐지할 수 있습니다. RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, SIS 형식, BinHex 및 거의 모든 유형의 이메일 시스템을 포함한 모든 종류의 압축 파일을 지원합니다.

LMD

Linux 맬웨어 감지 줄여서 LMD는 Linux 시스템용으로 유명한 또 다른 바이러스 백신으로, 일반적으로 호스팅 환경에서 발견되는 위협을 중심으로 특별히 설계되었습니다. 맬웨어 및 루트킷을 탐지할 수 있는 다른 많은 도구와 마찬가지로 LMD는 서명 데이터베이스를 사용하여 실행 중인 악성 코드를 찾아 신속하게 종료합니다.

LMD는 자체 서명 데이터베이스로 제한되지 않습니다. ClamAV 및 Team Cymru의 데이터베이스를 활용하여 더 많은 바이러스를 찾을 수 있습니다. 데이터베이스를 채우기 위해 LMD는 네트워크 에지 침입 탐지 시스템에서 위협 데이터를 캡처합니다. 이를 통해 공격에 적극적으로 사용되는 맬웨어에 대한 새 서명을 생성할 수 있습니다.

LMD는 “maldet” 명령줄을 통해 사용할 수 있습니다. 이 도구는 Linux 플랫폼용으로 특별히 제작되었으며 Linux 서버를 쉽게 검색할 수 있습니다.

Radare2

Radare2 (R2)는 바이너리를 분석하고 뛰어난 탐지 능력으로 리버스 엔지니어링을 수행하기 위한 프레임워크입니다. 기형 바이너리를 탐지하여 사용자에게 관리 도구를 제공하여 잠재적 위협을 무력화할 수 있습니다. NoSQL 데이터베이스인 sdb를 활용합니다. 소프트웨어 보안 연구원과 소프트웨어 개발자는 탁월한 데이터 표시 기능으로 인해 이 도구를 선호합니다.

Radare2의 뛰어난 기능 중 하나는 사용자가 정적/동적 분석 및 소프트웨어 활용과 같은 작업을 수행하기 위해 명령줄을 사용하지 않아도 된다는 것입니다. 바이너리 데이터에 대한 모든 유형의 연구에 권장됩니다.

오픈바스

개방형 취약성 평가 시스템 또는 오픈바스, 취약점을 스캔하고 관리하기 위한 호스팅 시스템입니다. 모든 규모의 기업을 위해 설계되어 인프라에 숨겨진 보안 문제를 감지할 수 있습니다. 초기에 이 제품은 현재 소유자인 Greenbone Networks가 이름을 OpenVAS로 변경할 때까지 GNessUs로 알려졌습니다.

버전 4.0부터 OpenVAS는 NVT(Network Vulnerability Testing) 기반의 지속적인 업데이트(보통 24시간 미만)를 허용합니다. 2016년 6월 현재 47,000개 이상의 NVT가 있습니다.

보안 전문가는 빠른 스캔 기능 때문에 OpenVAS를 사용합니다. 또한 뛰어난 구성 가능성을 제공합니다. OpenVAS 프로그램은 안전한 맬웨어 연구를 수행하기 위해 독립형 가상 머신에서 사용할 수 있습니다. 소스 코드는 GNU GPL 라이선스에 따라 사용할 수 있습니다. 다른 많은 취약점 탐지 도구는 OpenVAS에 의존하므로 Linux 기반 플랫폼에서 필수 프로그램으로 간주됩니다.

렘눅스

렘눅스 악성코드 분석을 위해 리버스 엔지니어링 방법을 사용합니다. JavaScript 난독화된 코드 스니펫 및 Flash 애플릿에 숨겨진 많은 브라우저 기반 문제를 감지할 수 있습니다. 또한 PDF 파일을 스캔하고 메모리 포렌식을 수행할 수 있습니다. 이 도구는 다른 바이러스 탐지 프로그램으로 쉽게 검사할 수 없는 폴더 및 파일 내의 악성 프로그램 탐지를 도와줍니다.

디코딩 및 리버스 엔지니어링 기능으로 인해 효과적입니다. 의심되는 프로그램의 속성을 판별할 수 있으며, 가볍기 때문에 스마트 악성 프로그램에 의해 매우 탐지되지 않습니다. Linux와 Windows 모두에서 사용할 수 있으며 다른 스캔 도구를 사용하여 기능을 개선할 수 있습니다.

호랑이

1992년 Texas A&M University는 호랑이 캠퍼스 컴퓨터의 보안을 강화하기 위해 이제 Unix 계열 플랫폼에서 널리 사용되는 프로그램입니다. 이 도구의 독특한 점은 보안 감사 도구일 뿐만 아니라 침입 탐지 시스템이라는 것입니다.

이 도구는 GPL 라이선스에 따라 무료로 사용할 수 있습니다. 이는 POSIX 도구에 의존하며 함께 서버의 보안을 크게 향상시킬 수 있는 완벽한 프레임워크를 만들 수 있습니다. Tiger는 전적으로 쉘 언어로 작성되었습니다. 이것이 그 효과에 대한 이유 중 하나입니다. 시스템 상태 및 구성을 확인하는 데 적합하며 다목적 사용으로 인해 POSIX 도구를 사용하는 사람들 사이에서 매우 인기가 있습니다.

말트레일

말트레일 서버의 트래픽을 깨끗하게 유지하고 모든 종류의 악의적인 위협을 피할 수 있는 트래픽 탐지 시스템입니다. 트래픽 소스를 온라인에 게시된 블랙리스트 사이트와 비교하여 해당 작업을 수행합니다.

블랙리스트에 있는 사이트를 확인하는 것 외에도 다양한 종류의 위협을 탐지하기 위해 고급 휴리스틱 메커니즘을 사용합니다. 선택적 기능이지만 서버가 이미 공격을 받았다고 생각할 때 유용합니다.

서버가 가져오는 트래픽을 감지하고 Maltrail 서버에 정보를 보낼 수 있는 센서가 있습니다. 탐지 시스템은 트래픽이 서버와 소스 간에 데이터를 교환하기에 충분한지 확인합니다.

야라

Linux, Windows 및 macOS용으로 제작되었으며, 야라 (Yet Another Ridiculous Acronym)은 악성 프로그램의 연구 및 탐지에 사용되는 가장 필수적인 도구 중 하나입니다. 텍스트 또는 이진 패턴을 사용하여 탐지 프로세스를 단순화하고 가속화하여 빠르고 쉬운 작업을 수행합니다.

YARA에는 몇 가지 추가 기능이 있지만 이를 사용하려면 OpenSSL 라이브러리가 필요합니다. 해당 라이브러리가 없더라도 규칙 기반 엔진을 통해 YARA를 사용하여 기본적인 멀웨어 연구를 수행할 수 있습니다. 악성 소프트웨어의 안전한 연구를 수행하는 데 이상적인 Python 기반 샌드박스인 Cuckoo Sandbox에서도 사용할 수 있습니다.

최고의 도구를 선택하는 방법?

위에서 언급한 모든 도구는 매우 잘 작동하며 Linux 환경에서 도구가 널리 사용되면 수천 명의 숙련된 사용자가 사용하고 있음을 확신할 수 있습니다. 시스템 관리자가 기억해야 할 한 가지는 각 응용 프로그램이 일반적으로 다른 프로그램에 종속된다는 것입니다. 예를 들어 ClamAV 및 OpenVAS의 경우입니다.

시스템이 필요로 하는 것과 취약점이 있는 영역을 이해해야 합니다. 먼저, 가벼운 도구를 사용하여 주의가 필요한 섹션을 조사하십시오. 그런 다음 적절한 도구를 사용하여 문제를 해결하십시오.