免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1303 | 回复: 0

Linux下安全工具 [复制链接]

论坛徽章:
2
丑牛
日期:2013-09-29 09:47:222015七夕节徽章
日期:2015-08-21 11:06:17
发表于 2008-05-31 22:40 |显示全部楼层
 摘要:
  
    安全是系统管理员忧虑的主要问题之一,然而,由于internet引发的侵入危险变得越来越高.
  
    据统计,如果联接的用户数量增加,骇客的数量随之增加.因此,安全工具呈指数增加.再一次多谢自由软件社区,因为他们给我们提供了我们能见到的最好的工具和大量的文档.
  
    在本文结束部分的参考文献区你将会发现许多有趣的联接,显而易见地,本文将要提到的不可能没有疏漏之处,我提到的只是我挑选的一些好工具.
  
    这篇文章不但写给个人用户,同样也是给系统管理员提供的,尽管一些工具是为保护主机和提高网络安全专门设计的.大部分工具可以在许多unix上工作(如果不是全部的unix上),不管这些unix是商业的还是免费的.
  
    最后,这篇文章不是一篇"如何使你的网络或主机安全"的文章,而是一篇关于你能够(必须)用来提高一个网络或机器安全性的各种工具的介绍.
  
  一、通用的工具
  
    让我们把这部分称为"白帽子保护红帽子,击退黑帽子的工具(tools for whitehats to protect redhat from blackhats)":-).大多数linux发行版(不仅仅是redhat)都保含了一些好的安全工具,它们被用来使你的机器更加安全.
  
    在这些工具中,我们能数出TCPWrapper,PAM,影子口令工具等,因为它们是发行版的一部份,你可以找到关于它们的许多东西:HOWTO,man手册,所以我们不想在它们身上化太多时间.
  
    让我们从影子口令工具开始,简单来说,它们允许口令加密,文件/etc/passwd被文件/etc/shadow代替.
  
    比影子口令工具更精致的是PAM,就象名字所说的那样,这是另外一种认证方法,被用来配置对服务的访问控制.
  
    可以在一些文件中定义许多限制,这样能容易地进行管理.这些文件通常放在/etc/pam.d目录中.
  
    TCPWrapper,简单来说,是通过ip地址或主机名来限制服务访问权限.倚靠两个文件来决定容许访问还是拒绝访问,这两个文件是/etc/host.allow和/etc/host.deny
  
    TCPWrapper可以配置为两种工作模式:通过运行看守进程,或者是修改/etc/inetd.conf文件.如果你的unix系统没有包含TCPWrapper,你可以从ftp://ftp.porcupine.org/pub/security/获得它.
  
    现在,我要告诉你们,为什么我不详悉介绍上面提到的这些工具,因为有一个工具可以完成上叙所有的功能,这就是Bastille-Linux,如果你只想安装一个安全工具,那么就安装它吧,目前的常见的linux版本还没有包含它, 但你可以到http://bastille-linux.sourceforge.net网站上下载.
  
    顺便说一下,我们不会在本文介绍Bastille-Linux,这样做毫无意义,因为我的同事在九月份的LinuxFocus上有一篇相当不错的文章已经介绍了它.他已经介绍了所有的东西.去那看看吧,让我们把Bastille-Linux加入你生活中必不可少的重要工具中吧!
  
    另外一个常用的来提高安全性的工具是xinetd,它存在于http://www.xinetd.org,对不起,我也不打算介绍它,同样是是因为我的同事在十一月份的LinuxFocus上做完了这项工作.
  
    现在,让我们来看一看一些特别的东西.
  
  二、防火墙工具
  
    自由软件Linux带有把你机器变成防火墙的软件.2.2内核是iptables,而2.0内核则是ipfwadm.为了使iptables或ipfwadm工作,内核必需正确选择选项进行编译.关于这个问题,除了HOWTOS,还有很多相关文章,所以,同样我不打算多提.
  
    简单地说,我们可以把防火墙看作包过滤工具,工作最重要的部分是关心防火墙的配置,同样,一个错误配置的防火墙会变得非常危险.
  
    不管怎么说,防火墙相当重要.
  
    举个例子来说,Bastille-Linux可以给你提供一个基于ipchains的防火墙.
  
    如果你访问http://www.linuxapps.com,并在搜索区中键入"firewall",你至少能得到40个以上的答案.其中许多是基于ipchains或ipfwadm管理的图形化界面,另外一些是真正的大工具,含有大量的功能,举个例子,象T.REX,http://www.opensourcefirewall.com上的工具就是这样的东西.再提醒一次,一个防火墙在一个网络中必不可少,但是网络安全不能仅仅依靠它,告诉你,一个骇客可以在十五分钟之内攻破它.
  
  三、端口扫描
  
    在这里我们接触问题的核心部分,这个思想是:象一个骇客干的那样,使用同样的工具,来监测你机器或网络的弱点所在.
  
    在这个领域,我们能够在两个伟大的工具上受益,但还有其它更多的.
  
    第一个叫作nmap,你可以从http://www.insecure.org上下载到,同时还有大量的信息和链接等等.
  
    用nmap你可以检查你的网络或机器哪些端口是开放的.当然,你可以用其它的命令做到这点,例如lsof或netstat,但是只能检测你自己的机器.显而易见的,nmap当然也可以检查你自己的机器.
  
    nmap能提供给你许多信息,例如,它能告诉你运行的是哪种操作系统,通知你所开放的端口的危险性,最后,至少,nmap相当容易使用.
  
    nmap既可在shell下运行,也可以通过一个叫nmapfe的图形界面来运行.这个图形界面是基于gtk库的,nmap的当前版本是2.53,它可以在许多unix平台上运行,提供原代码,rpm包,带或不带图形界面.
  
    nmap是系统管理必不缺少的工具.
  
    多谢Fyodor先生,以及恭贺他的伟大工作.
  
    第二个叫作nessus,可从网站http://www.nessus.org上下载,nessus使用客户/服务器结构来工作,源代码遵循posix标准,能在许多unix版本上运行.甚至还有基于win32的客户端.nessus依赖nmap(要知道,没有nmap,nessus就不能运行),GUI客户端还需要GTK库函数的支持.
  
    nessus当前版本是1.06,通过nessus,你可一用一个命令扫描整个网络.这个命令就是网络地址,例如,在目标框中键入192.168.1.0/24,将会扫描整个子网的255台机器.
  
    尽管nessus比nmap复杂不少,但它不但容易使用,功能很多.比方说,它可以生成报告,比较各报告的差异...,另外一个功能相当有趣:nessus为端口扫描中发现的问题提供解决方案,只要这些机器是unix系统,这些建议通常有用,对其它操作系统,就没这么恰当,但这不是一个问题.
  
    下面是一台非常容易受攻击的机器的例子
  
    nessus还有另一项伟大的功能,它可以运行插件,这样,每次在任何地方发现新的安全漏洞,它都可以很快升级.
  
    nessus是另一个系统管理真的需要的工具,Deraison先生和Merci beaucoup做的棒极了.
  
    两个工具都在一个linux机器和其它不同操作系统的网络中测试过,有Linux RH 6.2, Irix 6.5.7, Solaris 2.6, NeXTStep 3.3,QNX RT, BeOS 5.0, Amiga OS 3.5,Not Terminated 4.0.在大多数平台上测试结果给人留下深刻印象,当然Amiga系统没有真正被认证,(因为它看起来象一台打印机或路由器!),但是有谁现在的网络中还有这种操作系统呢(除了我们)?
  
    不管怎么说,整些工具是今天网络中必须有的工具.
  
    为了结束这个章节,让我们来提一提其它一些工具象SARA(http://www-arc.com/sara/),或者是它的父辈SATAN(http://www.porcupine.org/satan/)或AINT(http://www.wwdsi.com).它们不但是端口扫瞄器而且它们都对提高网络安全非常有用.
  
  四、嗅探系统
  
    有些工具能发现端口扫描或入侵.标准的系统管理不能没有这种工具(这有点偏执!).
  
    第一套工具集来自算盘工程.你可以从http://www.psionic.com获得这些工具.其中包含三个工具:
  
  logcheck,portsentry和hostsentry.
  
  
    Logcheck版本是1.1.1,portsentry版本是1.0,hostsentry版本是0.0.2alpha.
  
    Portsentry是一个端口扫描发现工具,就象名字所说的那样,如果端口被某处扫描,portsentrt就会立即堵赛主机,要么就是使用防火墙扔掉路由(或者是一个不用的ip地址),或者只要TCPWrapper安装在你机器上,就把骇客的ip地址写进文件/etc/hosts.deny中,反应相当有效率! Portsentry依赖一个主要的配置文件和一些特殊的文件,这些特殊文件是用来忽视一些主机(也就是不堵塞它们),或者是堵塞某些主机的某些端口。通过配置文件,你可以定义portsentry的工作方式。
  
    首先,你要选择梆定到portsentry上的端口,是TCP还是UDP(或者两者都是),注意,如果你使用X11,就不能绑定到端口6000上!
  
    按照你使用的unix系统,你有两种不同的操作方式来监视端口,现在只有linux支持先进模式。
  
    下一步是堵塞选项,要么堵塞要么不堵塞扫描,或着运行外部命令。
  
    接着选择扔掉路由,或者把攻击者重定向到一个网络上不使用的ip地址或者是防火墙上。
  
    下一步是与TCPWrapper有关,那就是你得决定是不是写一个拒绝条目进文件/etc/hosts.deny中。
  
    接下来你可以定义一个外部命令来运行,最后,你可以为扫描选一个触发器值,(缺省为0)。
  
    以上就是你必须做的,我们假设你懂得关于日志记录的一切东西。因为,显而易见,所有的警告被记录下来。这意味着,如果你想把最终的警告放到/var/log/messages或var/log/syslog或/var/adm/messages等文件
  
    之外的某个地方,你可以修改你的syslog.conf文件。
  
    你可以选择在后台运行portsentry,这个选项取决于你得系统,在大多数unix版本上可以使用-tcp,-udp选项,在linux机器上可以用-atcp,-audp选项.(a代表先进)
  
    让我们来看一看扫描一台运行有portsentry的机器时的结果.
  
    如果你是一个每个星期


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/4206/showart_722235.html
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP