Linux常用的安全工具[Linux安全]

　　“工欲善其事,必先利其器”.作为一个合格的系统管理员,要应对大概发生的安全事件,掌握Linux下各种必须的安全工具是主要大事.本文主要介绍Linux上常用的安全工具,比方,Nmap、Snort、Nesseu等安装、利用和保护知识.通过这些工具管理人员可以理解其系统目前存在的安全隐患、入侵者大概操纵的漏洞,及时发现入侵,并构造一个巩固的防备体系将入侵拒之门外.

　　1、安全信息汇集软件

　　关于系统管理员来说,理解和掌握系统当前的安全状况是做到“知己”的第一个步骤.安全信息汇集软件就是用来汇集目前系统安全状况的有力工具.端口扫描软件和漏洞扫描软件是常用的信息汇集软件.入侵者普通通过端口扫描软件来掌握系统开放端口,运行服务器软件版本和操作系统版本等相关信息.而关于管理人员,通过这些软件可以让管理人员从入侵者的角度来审视系统,并且可以按照这些信息举行呼应的配置和改正来迷惑入侵者.漏洞扫描软件可以得到具体的漏洞信息,操纵这些漏洞信息,入侵者可以简单地拜候系统、得到非受权信息,乃至是得到整个系统的掌握权限.而关于管理人员,通过漏洞扫描软件得到的信息可以帮忙自己及时对系统举行加固和防备,让入侵者无机可乘.

　　1、Nmap

　　Nmap是一个网络探测和安全扫描程序,利用这个软件可以扫描大型的网络,以获得那台主机正在运行及供应什么服务等信息.Nmap支持很多扫描技术,比方UDP、TCPconnect()、TCP SYN(半开扫描)、FTP代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描.Nmap还供应了一些高级的特点,比方,通过TCP/IP协议栈特点探测操作系统范例、奥秘扫描、动态延时、重传计算和并行扫描,通过并行ping扫描探测关闭的主机、钓饵扫描,避初阶口过滤检测,直接RPC扫描(无须端口影射)、碎片扫描,以及机动的目标和端口设定.

　　(1)安装

　　Nmap的安装很简单,Linux各发行版本上普通都已经安装了Namp.这里首先用“nmap-v”查看当前系统所安装的nmap版本号:

　　# nmap -v

　　Starting nmap V. 4.00.(www.insecure.org/nmap/)

　　……

　　由于目前系统所安装的Nmap为4.00,不是最新版本,因此要首先从http://www.insecure.org/nmap/下载最新版本的源代码.目前最新版本为Nmap-5.5.tar.bz2,该文件为源代码紧缩包,需求用bzip2举行解紧缩.我们将该文件下载并保存在/root/nmap下,以root用户举行安装.

　　# bzip2 –cd nmap-5.5.tar.bz2∣tar xvf-

　　该号令将Nmap源代码解紧缩至目录nmap-5.5.

　　进入该目录举行配置:

　　# ./configure

　　配置完毕后用make号令举行编译:

　　# make

　　编译完毕后用make install举行安装:

　　# make install

　　(2)利用

　　◆各种扫描情势与参数

　　首先需求输入要探测的主机IP地址作为参数.假定一个LAN中有两个节点:192.168.12.1和192.168.12.2

　　# nmap 192.168.12. 1

　　Starting nmap 5.5(http://www.insecure.org/nmap/) at 2010-01-24 15:24 CST

　　Interesting ports on 192.168.12. 1: (The 1651 ports scanned but not shown below are in state: closed)

　　PORT STATE SERVICE

　　25/tcp open smtp

　　80/tcp open http

　　135/tcp open msrpc

　　139/tcp open netbios-ssn

　　443/tcp open https

　　445/tcp open Microsoft-ds

　　1025/tcp open NFS-or-IIS

　　1033/tcp open netinfo

　　1521/tcp open oracle

　　2030/tcp open device2

　　3372/tcp open msdtc

　　8080/tcp open http-proxy

　　MAC Address: 00:E0:4C:12:FA:4B (Realtek Semiconductor)

　　Nmap run completed – 1 IP address (1 host up)

　　Scanned in 22.882 seconds

　　上面是对目标主机举行全面TCP扫描的后果,显示了监听端口的服务情形,这一基本操作不需求任何参数.但是, 由于在扫描历程中成立了完好的TCP衔接,主机可以很简单地监测到这类扫描.该号令是参数开关-sT的缺省.

　　-sS选项可以举行越发躲藏地扫描,并避免被目标主机检测到,但此方法需求用户拥有root权限.-sF、-sX和-sN则可以举行一些超凡的扫描.假定目标主机安装了过滤和日记软件来检测同步闲暇字符SYN,那么-sS的躲藏作用就失效了,此时可以采取-sF(躲藏FIN)、-sX(Xmas Tree)及-sN(Null)方法扫描.

　　这里需求注意的是,由于微软的实现方法差别,关于运行Win 2003,Vista等NT的机械FIN 、Xmas或Null的扫描后果都是将端口关闭,由此可作为推断目标主机运行Windows操作系统的一种办法.以上号令都需求有root权限.-sU选项是监听目标主机的UDP,而不是默许的TCP端口.固然在Linux机械上有时慢一些,比方,输入上面的例子:

　　# nmap -sU 192.168.12.1

　　Starting nmap 5.5 (http://www.insecure.org/nmap/) at 2010-01-24 15:28 CST

　　Interesting ports on 192.168.12.1:

　　(The 1472 ports scanned but not shown below are in state:closed)

　　PORT STATE SERVICE

　　135/udp open msrpc

　　137/udp open∣filtered netbios-ns

　　138/udp open∣filtered netbios-dgm

　　445/udp open∣filtered microsoft-ds

　　500/udp open∣filtered isakmp

　　3456/udp open∣filtered IISrpc-or-vat

　　MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)

　　Nmap run completed – 1 IP address (1 host up) scanned in 4.381 seconds

　　◆操作系统探测

　　利用-O选项可推断目标主机的操作系统,既可与上述的号令参数结合利用,也可单独调用.Nmap操纵TCP/IP“指纹”技术来猜测目标主机的操作系统.还利用前面的例子:

　　#nmap -O 192.168.12. 1

　　Starting nmap 5.5(http://www.insecure.org/nmap/)at 2010-01-24 16:03 CST

　　Interesting ports on 192.168.12. 1:

　　(The 1651 ports scanned but not shown below are in state:closed)

　　PORT STATE SERVICE

　　25/tcp open smtp

　　80/tcp open http

　　135/tcp open msrpc

　　139/tcp open netbios-ssn

　　443/tcp open https

　　445/tcp open Microsoft-ds

　　1025/tcp open NFS-or-IIS

　　1033/tcp open netinfo

　　1521/tcp open oracle

　　2030/tcp open device2

　　3372/tcp open msdtc

　　8080/tcp open http-proxy

　　MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)

　　Device type: general purpose

　　Running:Microsoft Windows 95/98/ME∣NT/2K/XP

　　OS details:Microsoft Windows Millennium Edition(Me),Windows 2000 Pro or Advanced Server,or Windows XP

　　Nmap run completed – 1 IP address(1 host up) scanned in 3.398 seconds

　　Nmap供应了一个OS数据库,上例中检测到了该主机运行的操作系统为Windows系列操作系统,大概为Windows 98、Windows 2000 Pro,大概为Windews vista/Windows 7等.

　　◆更进一步的利用

　　除了一次只扫描一个目标主机外,还可以同时扫描一个主机群,比方“nmap –sT –O 203.187.1.1-50”便可以同时扫描并探测IP地址在203.187.1.1到203.187.1.50之间的每一台主机.当然这需求更多的时间,耗费更多的系统资源和网络带宽,输出后果也大概很长.所以,可以利用下面号令将后果重定向运送到一个文件中:

　　#nmap -sT -O -oN test.txt 202.96.1.1-50

　　别的的一些号令参数选项以下:

　　-I 举行TCP反向用户认证扫描,可以泄露扫描用户信息;

　　-iR 举行随机主机扫描;

　　-p 扫描特定的端口范围;

　　-v 长数据显示,“-v -v”是最长数据显示;

　　-h 快速帮忙.

　　下面给一个综合了上述参数的例子:

　　#nmap -sS -p 23,80 -oN ftphttpscan.txt 203.187.53.50-100

　　◆Nmap图形用户界面

　　Nmap有一些图形用户前端,比方,NmapFE(GTK界面)网址为

　　http://codebox.net/nmapfe.html;Kmap(Qt/KDE前端)网址为

　　http://www.edotorg.org/kde/kmap/;KNmap(KDE前端)网址为

　　http://pages.infinit.net/rewind/.

　　2.Nessus

　　Nessus是一个功效强盛而又易于利用的远程安全扫描器,它不但免费,并且更新极快.安全扫描器的功效是对指定网络举行安全检査,找出该网络能否存在有招致对手攻击的安全漏洞.该系统被计划为Client/Sever情势,服务器端负责举行安全查抄,客户端用来配置管理服务器端.在服务端还采取了plug-in的体系,答应用户加入履行特定功效的插件,该插件可以举行更快速和更复杂的安全查抄.在Nessus中还采取了一个同享的信息接口,称之知识库,此中保存了前面举行检査的后果.查抄的后果可以HTML、纯文本、LaTeX(一种文本文件格局)等几种格局保存.在将来的新版本中,Nessus将会支持速度更快的安全查抄,并且这种查抄将会占用更少的带宽,此中大概会用到集群的技术以提高系统的运行效率.

　　Nessus的主要长处在于其采取了基于多种安全漏洞的扫描,避免了扫描不完好的情形;它是免费的,比起商业的安全扫描工具,如ISS具有价钱上风;扩大性强、简单利用、功效强盛,可以扫描出多种安全漏洞.

　　Nessus的安全查抄美满是由plug-ins的插件完成的.目前Nessus供应的安全查抄插件已达18类750个,并且这个数目还会增添.比方,在useless services类中,Echo port open和Chargen插件用来测试主机能否易遭到已知的echo-chargen攻击;在backdoors类中,PcAnywhere插件用来查抄主机能否运行了BO、PcAnywhere等后台程序.更可喜的是,此中包含了对近来暴虐一时的CodeRed及其变种的检测.

　　在Nessus主页中不但具体介绍了各种插件的功效,还供应了办理问题的相关筹划.有关plug-in的具体阐明,请参看http://cgi.nessus.org/plugins/dump.php3?viewby=family.

　　除了这些插件外,Nessus还为用户供应了描写攻击范例的脚本语言,举行附加的安全测试,这种语言称为Nessus攻击脚本语言(NSSL),用它来完成插件的编写.在客户端,用户可以指定运行Nessus服务的机械、利用的端口扫描器、测试的内容及测试的IP地址范围.Nessus本身是工作在多线程底子上的,所以用户还可以设置系统同时工作的线程数.这样用户在远端便可以设置Nessus的工作配置.安全检测完成后,服务端将检测后果返回到客户端,客户端生成直观的报告.在这个历程当中,由于服务器向客户端传送的内容是系统的安全弱点,为了避免通信内容遭到监听,其传输历程还可以挑选加密.

　　(1)安装软件

　　Nessus由客户端和服务器端两部份构成.首先看服务器端的安装.从http://ftp.nessus.org/nessus/nessus-2.2.2a/src/下载源代码包,此中包含nasl库文件libnasl-2.2.2a.tar.gz、nessus核心文件nessus-core-2.2.2a.tar.gz、nessus库文件nessus-libraries-2.2a.tar.gz和nessus插件文件nessus-plugins-2.2.2a.tar.gz 四个文件.

　　首先用“tar xzvf nessus-*”将这四个软件包解开.第一个先安装nessus的lib库:

　　#cd nessus-libaries

　　#./configure & make &make install

　　然后以一样的办法按照上面的次序安装别的三个软件包.安装完毕后,确认在etc/ld.so.conf文件加入已安装库文件的途径/usr/local/lib.假如没有,则只需在该文件中加入这个途径,然后履行ldconfig,这样nessus运行的时刻便可以找到运行库了
　　以上是“Linux常用的安全工具[Linux安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：