Los administradores de sistemas se enfrentan a toda clase de problemas a diario. Por ejemplo, supongamos que se ha implementado Linux como servidor en un centro de datos debido a la confiabilidad y seguridad parte de la plataforma de código abierto; contrario a la creencia popular, el uso de Linux no es la solución definitiva a sus problemas de seguridad. En otras palabras, cualquier equipo conectado a la red es vulnerable, sin importar el sistema operativo.
En estos entornos siempre convergen muchos usuarios con diferentes niveles de acceso y empleando estos servidores con diversos propósitos. Independientemente del uso que se dé al servidor, es importante que los administradores implementen los mecanismos de seguridad necesarios para prevenir potenciales riesgos de seguridad.
En esta ocasión, los especialistas en análisis de malware del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán un método para agregar una capa de protección adicional, integrando Linux Malware Detection (LMD) y ClamAV. Esta combinación emplea LMMD como funcionalidad para la detección de malware y ClamAV como motor antivirus.
Los expertos en análisis de malware mencionan que la configuración de estas herramientas combinadas pueden proteger los servidores Linux contra la mayoría de las amenazas de seguridad conocidas.
Instalación y configuración de LMD
Lo primero que haremos es instalar LMD. Para esto, vaya a su servidor y descargue la última versión usando el siguiente comando:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Una vez que se complete la descarga, descomprima el archivo usando el comando:
tar xvzf maldetect-current.tar.gz
Instale el software usando el siguiente comando:
sudo ./install.sh
Después de instalar LMD, debemos configurarlo para que funcione con ClamAV, que será instalado después, señalan los expertos en análisis de malware.
Abra el archivo de configuración con el siguiente comando:
sudo nano /usr/local/maldetect/conf.maldet
Asegúrese de que los siguientes parámetros de configuración estén establecidos en este archivo:
email_alert = 1
email_addr = EMAIL
email_subj = "Malware alerts for $ HOSTNAME - $ (date +% Y-% m-% d)"
quarantine_hits = 1
quarantine_clean = 1
quarantine_susp = 1
scan_clamscan = "1"
Donde EMAIL es la dirección de correo electrónico a la que se enviarán las notificaciones.
Si no necesita recibir alertas por correo electrónico, deje el parámetro email_alert en 0 y no cambie el registro email_addr, señalan los especialistas en análisis de malware.
Finalmente, guarde y cierre el archivo.
Instalación de ClamAV
El siguiente paso es la instalación de ClamAV. Para hacer esto, ingrese el comando:
sudo apt-get install clamav clamav-daemon –y
Acorde a los especialistas en análisis de malware, si está utilizando una distribución basada en Red Hat, primero debe habilitar el repositorio EPEL con el siguiente comando:
sudo dnf install epel-release –y
Al concluir este paso, puede instalar ClamAV usando estos comandos:
sudo dnf update
sudo dnf install clamd
Primeras pruebas
Para probar este sistema, descargaremos algunos archivos maliciosos al servidor. En este caso, los expertos en análisis de malware recurrieron al uso de EICAR.
Cambie al directorio /srv (empleando el comando cd/srv) y ejecute los siguientes comandos:
sudo wget http://www.eicar.org/download/eicar.com
sudo wget http://www.eicar.org/download/eicar.com.txt
sudo wget http://www.eicar.org/download/eicar_com.zip
sudo wget http://www.eicar.org/download/eicarcom2.zip
Después de haber descargado los archivos, ejecute un escaneo de este directorio usando este comando:
sudo maldet --scan-all / srv
Cuando finalice el análisis, debería ver que el sistema ha encontrado todos los archivos maliciosos y los ha puesto en cuarentena.
Posteriormente los cuatro archivos EICAR se eliminarán del directorio /srv. No necesita preocuparse por iniciar un escaneo manualmente, ya que LMD se configurará para ejecutarse diariamente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.