chkrootkitからの誤報＞＞Back_doorが仕込まれた？

（OSいじりちうの備忘録です＜文脈・誤字不問です～　^^）
Ubuntu-Sever 16.04 LTSをインストールしたBxbt-2807で、chkrootkitを実行した結果、下記の1行をみつけました。

「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」
「Eburyっていう（ssh関連の）Rootkitがしこまれたよ」？

ぐぐってみると、「chkrootkitのバグ・誤報」って情報が溢れています。
でも、なぜか英語の情報ばっかりだわ。。。。。＞＜

気になるので、ステップを追ってUbuntu-Sever 16.04 LTSをクリーンインストールし直してみます。
（↑　OSいじり遊びの理由ができた～～　＾＾）


１）正規urlからダウンロードしたimgファイルで、CDを使用して最小構成をインストール
　　　　Openssh-server、Standard systemもインストール対象からはずしておきます。

２）sudo apt-get update, sudo apt-get upgrade　で、OSをUpdateしておきます。
　　　　kept-backが出ているので、sudo apt-get dist-upgrade

３）rootのパスワードを変更しておきます。
　　　sudo passwd root

４）ufw をインストールして、すべてのポートを閉じておきます。（自宅サーバーなので）
　　　sudo ufw disable
　　　sudo ufw default DENY
　　　sudo ufw enable

５）chkrootkitをインストールし、実行
　　　sudo apt-get install chkrootkit
　　　sudo chkrootkit

お～～、もうこの段階で以下の警報がでています。
「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」

変な所へは接続していませんし、ポートも閉じていますので、5分ほどの間にrootkitが仕込まれたとは考えにくいですよね。
やっぱりchkrootkitのバグですね～。

どうも、 chkrootkitのサポートは休止しているみたいで、改善されないみたいです。

６）nano, openssh-serverをインスト
　　　sudo apt-get install openssh-server
　　　sudo apt-get install nano
　　　sudo nano /etc/ssh/sshd_config で、使用ポート22を「xxxxx」にし、
　　　PermitRootLogin no　に変更
　　　
　　　ufwで、変更したポートをLan内の特定機からのみに開いておきます。
　　　　　sudo ufw allow from 192.168.**.** to any port xxxxx

７）chkrootkitの代わりに、rkhunterをインストールします。
　　　sudo apt-get install rkhunter
　　　使用方法
         sudo rkhunter --update 更新
　　　　sudo rkhunter --propupd　 File-properties-data更新、OSupdate/upgrade時に必要
　　　　sudo rkhunter -c　　　　　チェック実行

　　　scanしてみましたが、rkhunterは「異常なし」でオールグリーンです^^)
　　　No warnings were found while checking the system.

８）あと、以下のものを順次インストールしていきます。
　　　lsof, aptitude, bash-completion, lm-sensors, screen, dnsutils, mono-complete,
　　 exim4, logwatch
　　　　
９）rkhunterで、File-properties-data更新後に再チェック
　　　　　　　　sudo rkhunter --propupd　 File-properties-data更新
　　　　　　　　sudo rkhunter -c　　　　　チェック実行
　　
１０）Opensimを入れて、運転開始





ここで、rkhunterのscan経過をSSで追ってみます。

まず、File-propertiesのチェック結果画面
OSのupgradeや新規パッケージのインストロール後にrkhunterを作動させると、ここに警報が出る場合があります。
「sudo rkhunter --propupd　 File-properties-data更新」の実行が必要になります。

次は心臓部のrootkit検査中の画面

NetworkやLocal-hostの設定状態もチェックしてくれています。

最後は総合結果の表示です。

OpenSim立ち上げ後にscanしてみると警報がでました。

「sudo nano /var/log/rkhunter.log」でログファイルを調べてみると、
Performing filesystem checks
[07:33:58] Warning: Suspicious file types found in /dev:
[07:33:58] /dev/shm/mono.15209: data

ファイル形式がちと変わっていますが、Opensimでmonoが実行中にramdisk領域（tmpfs）に作成される一時ファイルです。15209の部分がいろいろ変化します。
OpenSimを停止させると、このファイルは無くなりますね。

安全だろうと勝手に思い込んで、rkhunter設定ファイルを編集

$ sudo nano /etc/rkhunter.confに以下を追記して安全定義しました。。。^^)
ALLOWDEVFILE=/dev/shm/mono.*

さて、大丈夫かな～？＜＜　もう少し遊べそう・・・・

Ubuntu-Sever 16.04 LTSをインストールしてみました

まだBxbt-2807のOS換装で遊んでいます^^)

前回インストしたDebian8.*なら、LTSになるはずですが、どうもはっきりしません。

そこで、サポート期限がはっきりしている「Ubuntu-Sever 16.04 LTS」に換装しました。
これなら、2021年4月までサポートがあります。←　マイクロソフトより親切だぁ！

Downloadしたimgファイルは670MBで、CD1枚に焼けるサイズです。
Bxbt-2807のbiosはdefaultからboot優先順位を変更しただけでOKでした。

インストール途中での各種サーバーパッケージ選択は、すべて非選択にしました。
先にufwを入れてFire-wallを設定してからの方が安心できると思ったからです。

あとから、以下のパッケージをapt-getでインストしています。
nano, ufw, openssh-server, lsof, aptitude, bash-completion, chkrootkit, lm_sensors, screen, dnsutils, mono-complete, exim4, logwatch

SSはリモート接続したときの立ち上がり画面ですが、Debianよりも良さそう。

まずupdate要・不要が接続時に判りますね～^^)
それとdhclientで接続しているポートが少なくなっています。

メモリー使用量は大差ありません。
ヘッドレス化もOKでした。

特筆すべきは、monoのVersionが大分あがっていて、4.2.1になっていました。

まあ、Opensimのサーバーにはどれも影響しませんが、正常に稼働しています。。^^)
（成功したときの感動が、だんだん少なくなっていきます・・・・＞＜）

Debian8.5.0で、Bxbt-2807をヘッドレス化

モニターをはずすと立ち上がらなかったのですが、以下の記事を参考にして解決できました。
「Headless Ubuntu Server 15.10 on Gigabyte GB-BXBT-2807」
http://michael-peeters.blogspot.jp/2016/02/headless-ubuntu-server-1510-on-gigabyte.html

まず、/etc/default/grubをnanoで開きます。
sudo nano /etc/default/grub

次に以下の１行目を編集、２行目をアンコメント化します。

①GRUB_CMDLINE_LINUX_DEFAULT=""
...
②GRUB_TERMINAL=console

/etc/default/grubを保存後、grubをupdateします。
sudo update-grub2

これでrebootすればヘッドレス化はOKです。

おし、「Bxbt-2807 + Debian最小構成」の満足度９９％～～　＾＾）

Debian8で、最小構成に再挑戦

新規購入のBxbt-2807機＋Debian8で、コマンドによる電源OFFができなかったために、Desktop環境に妥協して問題を回避していましたが、再挑戦することにしました。

Bios設定は、Boot選択を変えた以外はデフォルトのままです。
（デフォでのOS選択はWindows8になっています）

「Desktop環境」や「Standard system」などすべて非選択でクリーンインストすると、「shutdown -h mow、poweroff、reboot」の各コマンドも完璧に作動しました。

あと以下のPackageを追加しました。
sudo, ufw, openssh-server, lsof, aptitude, bash-completion, chkrootkit, lm_sensors, screen, mono-complete

メモリー使用量は約75MBで、Lanへの接続ポートもsshdとdhclientだけです。
これなら、管理し易いわぁ～　^^)

これでOpenSimを稼働させるとメモリー使用量は350MB付近ですが、時間が経過すると450MB付近で落ち着きますね。 LXDEのDesktop環境より約100MBほど少なくなりました。

前回の最小構成で失敗した時との差は、「BiosのOS選択」だけみたい。。。。＞＜

----------------------------------------------------------------------
（追記2016.6.28）
exim4と logwatchのパッケージを追加しました。＞不正アクセスの見張り役です　＾＾）
SSでの接続ポートにはexim4も表れますが、SSは元のままです。

トレンドマイクロのWeb安全性調査か？、成りすまし接続か？

このSSは、JOGへ接続しているOpenSimサーバー（Raspberry_pi_2）のポートで、トレンドマイクロからの接続をファイアウォールがブロックした異常記録です。

ポートは開いていますので、なぜブロックしたのかは解りません＞＜

先日までは頻度が少なくて気にしていなかったのですが、１０回／日にもなると気になります。

Google先生に「トレンドマイクロ、Web調査」で聞いてみると、積極的に調査しているとのこと。
これは、顧客が訪問したWEBが怪しいところなら警報を出すためらしいです。

ブロックしているので、トレンドマイクロからはどう思われているのかも気になります。

いろいろ調べてるうちに、顧客ではなくても調査できる以下のトレンドマイクロのページが見つかりました。
https://global.sitesafety.trendmicro.com/?cc=jp
「トレンドマイクロによるWebサイトの安全性の評価」

実際にOpensimで運用しているURLを入れてみますと、「安全」と評価されました。

でも、ブロックした異常接続が「成りすまし」の可能性もありますので、しばらくは挙動を注視しておこうと思います。

Debian8最小構成での電源問題

BXBT-2807で、「shutdown -h nowでも電源が完全に切断できない問題」が残っていましたが、解決できました。

Debian8をインストールするとき、最小構成になるようにしたためで、電源関連の一部のパッケージかスクリプト・設定が入らなかったのかも？と思ったからです。

Biosの設定はデフォルトに戻し、「Desktop環境」と「Standard system」を含めてクリーンインストすると、「shutdown -h mow、poweroff、reboot」の各コマンドも完璧に作動しました。

DesktopはGNOMEより軽いと言われているLXDEを使用しています。

リモート端末からscreenを使ってバックグラウンドでもOpensimを起動させれますので、この状態でヘッドレス化も可能です。

でも、キーボードとモニターは切り替えSWで別機と共用できますので、あえてヘッドレス化も不要かな。

BXBT-2807本体よりも高価なWindows10を購入しなくてもOKになりました　^^)

SSはOpensimで9個のSimを稼働させている状態です。（起動後1時間経過）
メモリー：      8GBのうち、519MB使用
CPU稼働率：１～５％近辺
CPU温度：    56℃

BXBT-2807にDebianをインストールしてみました

昨日届いたGB-BXBT-2807開梱・セットしてDebianをインストールした時の備忘録です。

省電力狙いなのでWifiははずしたままにしておきます。
8GBのメモリーと、500GBのHDDを使用します。

（HDDかSSDかとまよったのですが、どちらも消費電力は1W程度なので、安いほうを選択^^)

Debian_8.5.0-amd64-netinst.isoをCDに焼いて、USB_DVDドライバーを使用します。

本体電源ONの直後に「Delete」キーを数回押して、まずBiosの確認をしておきます。
versionは「F8」で、現行の最新版でした　←ラッキー　^^)

「CPUのTurbo Mode」と「Onboard Audio」をDisableに設定変更しました。
「OSの選択」は、Windows7とWindows8の選択肢だけで、Linuxはありません。
そこでしかたなく、Windows7を選択しました。

DVDドライバをBoot指定して、Debianインストを始めましたが、途中で以下の警告が出ました。
「Missing Firmware:  rtl_nic/rtl8168g-2.fw が不足」

Lan関連なので、これがないと先へ進めません・・・・・　＞＜

Google先生に聞いて、以下のurlから上記が含まれているfirmware-realtek_0.43_all.debをダウンロードし、usbメモリーへそのまま焼いて本体へ差し込んでやると、
必要なものが自動的に読み込まれて、中断していたインストが再開されます。
https://packages.debian.org/ja/jessie/firmware-realtek
「パッケージ: firmware-realtek (0.43) [non-free] 」

わざわざ別パッケージを再取得させるところが、「お堅いDebian」さんかな～　^^)

Opensimのサーバー用に使用する予定ですので、デスクトップなどもインストしません、

無事にインストールが完了したあとは、いつも通りssh_server、ufw、mono-completeなどを入れてリモート端末から、Opensimを立ち上げることができました。

この状態でCPU温度を調べてみますと５５～５６℃です。
CPU負荷率は４～５%程度なので、消費電力も本体全体で5W以内だと思います。

ケース底面に自然対流での空気吸い込み穴を追加してやれば、もう少し温度は下がると思いますが。。。。

なお、現状での不満は、「shutdown -h now」でOSやHDDは停止するのですが、電源が完全に切断されずに、USB電源は生きたままになっています。
改めて電源SWを「長押し」する必要がでてきます。

同じ原因だとおもいますが「reboot」命令も使えませんね・・・・＞＜

上記２欠点のため、満足度は95%程度かな～～　^^)

いまさら２年前のPCを買う？？

本格的な暑さ到来までに、あと１か月以上もありますが、耐熱連続試験中？のXS35機が壊れる前に次の予備機を発注してしまいました＾＾）

対象機は、GIGABYTE GB-BXBT-2807で、CPUは Celeron N2807。

昨年から実売されはじめたN3000や3150とは違って、Debianが素直にインストールできそうな感じのものです。

TDPが4.3w、通常使用時のSDPは2.5wで省エネタイプのファンレス。
2コア2スレッドの2.16MHｚバーストで非力ですが、サーバー用なのでいいかな？

税込み14,689円（ドスパラ）だったのも魅力です。
メモリー8GBを一緒に買っても、2万円でおつりが来ます。

届けば、しばらくはOS入れ替え遊びができそう。。。。。＾＾）

Stand-aloneでHypergridなOpensimサーバー２

しばらく使っていなかったStand-aloneでHypergridなOpensimサーバーをopensim-0.8.2.1にversion-upしました。

パソコンはサブ機として使用していたXS35で、OSはLinux-Beanです。
今回もShinobarさんの、以下の解説を参考にさせていただきました。

「スタンドアロンだけどハイパーグリッド ver.0.8.1」
http://sakurapup.browserloadofcoolness.com/viewtopic.php?f=23&t=2711&p=21148#p21148

XS35機はファンレスで消費電力20W弱ですが、今回はハードディスクをセットしていますので、夏場の高温に耐えるかどうかが心配です。

壊れたら、新しいのでもっと消費電力の少ない製品が出ているので、買い替えるかな？

OSgridとJOGのときの持ち物をiarで復活させると、約7000アイテムで1.3GBほどあります。
これではRaspberry_Pi2でのRamdisk運用は無理ですね。。。。。

Hypergridアドレスは、kimikodover.ddns.net:9000 です　^^)