常用的Linux網(wǎng)絡(luò)安全工具簡(jiǎn)介 　　盡管各種版本的Linux distribution 附帶了很多開放源代碼的自由軟件，但是仍然有大量的有用 的工具沒有被默認(rèn)包括在它們的安裝光盤內(nèi)，特別是有一些可以增強(qiáng)Linux網(wǎng)絡(luò)安全的工具包，它 們大多也是開放源的自由軟件。 這里簡(jiǎn)單地介紹一下幾個(gè)增強(qiáng)Linux網(wǎng)絡(luò)安全的工具。 1. sudo sudo是系統(tǒng)管理員用來(lái)允許某些用戶以root身份運(yùn)行部分/全部系統(tǒng)命令的程序。一個(gè)明顯的用途 是增強(qiáng)了站點(diǎn)的安全性，如果你需要每天以root身份做一些日常工作，經(jīng)常執(zhí)行一些固定的幾個(gè) 只有root身份才能執(zhí)行的命令，那么用sudo對(duì)你是非常適合的。 sudo的主頁(yè)在：http://www.courtesan.com/courtesan/products/sudo/ 以Redhat 為例，下面介紹一下安裝及設(shè)置過(guò)程： 首先，你能從sudo主頁(yè)上下載for Redhat Linux的rpm package. 它在ftp://ftp.freshmeat.net/pub/rpms/sudo/ 當(dāng)前最新的穩(wěn)定版本1.5.9p4。 執(zhí)行#rpm -ivh sudo* 進(jìn)行安裝，然后用/usr/sbin/visudo編輯/etc/sudoers文件。如果系統(tǒng)提 示你找不到/usr/bin/vi但實(shí)際上你在目錄/bin下有vi程序，你需要ln -sf /bin/vi /usr/bin/vi 為 vi 在/usr/bin下創(chuàng)建符號(hào)鏈接。（注：我在Redhat 6.1上遇到，Redhat 5.x上沒有此問(wèn)題） 另外，如果出現(xiàn)某些其它錯(cuò)誤，你可能還需要#chmod 700 /var/run/sudo 下面是我的/etc/sudoers文件例子： [root@sh-proxy /etc]# more sudoers Host_Alias SERVER=sh-proxy # User alias specification User_Alias ADMIN=jephe,tome # Cmnd alias specification Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown,/etc/reboot ADMIN SERVER=SHUTDOWN jephe SERVER=/usr/bin/tail -f /var/log/maillog jephe SERVER=/usr/bin/tail -f /var/log/messages # User privilege specification root ALL=(ALL) ALL ----------- 既然我經(jīng)常需要遠(yuǎn)程登錄到服務(wù)器觀察email log文件/var/log/maillog的變化，因此我加了這一 行到 /etc/sudoers，這樣我不需要經(jīng)常登錄作為root來(lái)完成我的日常工作，改善了安全性。 補(bǔ)充說(shuō)明我覺得這主要可以防止sniffit,后門程序當(dāng)然sudo沒有被后門的 2. Sniffit sniffit 是一個(gè)有名的網(wǎng)絡(luò)端口探測(cè)器，你可以配置它在后臺(tái)運(yùn)行以檢測(cè)哪些Tcp/ip端口上用戶 的輸入/輸出信息。 最常用的功能是攻擊者可以用它來(lái)檢測(cè)你的23(telnet)和110(pop3)端口上的數(shù)據(jù)傳送以輕松得到 你的登錄口令和mail帳號(hào)密碼，sniffit基本上是被破壞者所利用的工具，但是既然想知道如何增 強(qiáng)你的站點(diǎn)的安全性，首先你應(yīng)該知曉闖入者們所使用的各種工具。 sniffit 的主頁(yè)在 http://reptile.rug.ac.be/~coder/sniffit/sniffit.html 你能從那里下載最新的版本，安裝是非常容易的,就在根目錄運(yùn)行#tar xvfz sniff* 解開所有文件到對(duì)應(yīng)目錄。 你能運(yùn)行sniffit -i以交互式圖形界面查看所有在指定網(wǎng)絡(luò)接口上的輸入/輸出信息。如：為了得 到所有用戶通過(guò)某接口a.b.c.d接收郵件時(shí)所輸入的pop3帳號(hào)和密碼，你能運(yùn)行 #sniffit -p 110 -t a.b.c.d & #sniffit -p 110 -s a.b.c.d & 記錄文件放在目錄/usr/doc/sniffit*下面： log file根據(jù)訪問(wèn)者的IP地址，隨機(jī)高端端口號(hào)和用來(lái)檢測(cè)的網(wǎng)絡(luò)接口IP地址和檢測(cè)端口來(lái)命 名。它利用了tcp/ip協(xié)議天生的虛弱性，因?yàn)槠胀ǖ膖elnet和pop3所傳的用戶名和密碼信息都是 明文，不帶任何方式的加密。 因此對(duì)telnet/ftp.你可以用ssh/scp來(lái)替代. sniffit檢測(cè)到的 ssh/scp信息基本上是一堆亂碼，因此你不需要擔(dān)心ssh所傳送的用戶名和口令信息會(huì)被第三方所 竊取。 補(bǔ)充如果是只抓口令的會(huì)我覺得hunt,linsniff.c好用一些另要注意一些反sniffit的程序 如antisniffit 3. ttysnoop(s) ttysnoop是一個(gè)重定向?qū)σ粋€(gè)終端號(hào)的所有輸入/輸出到另一個(gè)終端的程序。目前我所知道的它的 所在網(wǎng)站為http://uscan.cjb.net,但是始終連不上去，從其它途徑我得到了ttysnoop-0.12c-5 , 地址是http://rpmfind.net/linux/RPM/contrib/libc6/i386/ttysnoop-0.12c-5.i386.html這個(gè) 版本好象還不能支持shadow password,安裝后你需要手動(dòng)創(chuàng)建目錄/var/spool/ttysnoop測(cè)試這個(gè) 程序是有趣的，下面是相關(guān)指令：首先改/etc/inetd.conf中的in.telnetd默認(rèn)調(diào)用login登錄程 序?yàn)?sbin/ttysnoops,象下面這樣： [root@jephe /etc]# more inetd.conf │ grep in.telnetd telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -L /sbin/ttysnoops 更改后一定要運(yùn)行killall -HUP inetd使之生效 確保不要使用陰影口令，用#pwunconv禁止陰影口令。 再編輯文件/etc/snooptab 默認(rèn)配置就可以了。 [root@jephe /etc]# more snooptab ttyS1 /dev/tty7 login /bin/login ttyS2 /dev/tty8 login /bin/login * socket login /bin/login ------ 最后，如果在某個(gè)終端上有人登錄進(jìn)來(lái)（你可以用w命令查看它在哪個(gè)終端），如登錄終端設(shè)備為 ttyp0,則你可以登錄進(jìn)服務(wù)器打入#/bin/ttysnoop ttyp0（提示輸入root口令,再次,上面提到的 這個(gè)版本不支持陰影口令）以監(jiān)視用戶的登錄窗口。 沒有用過(guò)，我想寫還是有一定管理作用的 4. nmap nmap 是用來(lái)對(duì)一個(gè)比較大的網(wǎng)絡(luò)進(jìn)行端口掃描的工具，它能檢測(cè)該服務(wù)器有哪些tcp/ip端口目前 正處于打開狀態(tài)。你可以運(yùn)行它來(lái)確保已經(jīng)禁止掉不該打開的不安全的端口號(hào)。nmap的主頁(yè)在 http://www.insecure.org/nmap/index.html 下面給出一個(gè)簡(jiǎn)單的例子： [root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on public.sta.net.cn (202.96.199.97): Port State Protocol Service 21 open tcp ftp 23 open tcp telnet 25 open tcp smtp 109 open tcp pop-2 110 open tcp pop-3 143 open tcp imap2 513 open tcp login 514 open tcp shell 7000 open tcp afs3-fileserver Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds ========== nmap我認(rèn)為最好用的端口掃描器之一學(xué)這么一點(diǎn)是不夠的還有很多選項(xiàng)的，以 后發(fā)文章介紹 在Linux中，密碼以hash格式被存儲(chǔ)，你不能反向從該hash數(shù)據(jù)表中分析出密碼，但可以以一組單 詞hash后和它進(jìn)行比較，如相同則就猜測(cè)出密碼。故起一個(gè)很難被猜測(cè)的密碼是非常關(guān)鍵的。一 般地你決不能用字典存在的某個(gè)單詞作為密碼，那是相當(dāng)容易被猜測(cè)出來(lái)的。另外也不能用一些 常見的有規(guī)則性的字母數(shù)字排列來(lái)作為密碼，以123abc等。 John the ripper是一個(gè)高效的易于使用的密碼猜測(cè)程序，其主頁(yè)在 http://www.openwall.com/john/ 下載tar.gz格式的for UNIX的程序，然后用tar xvfz john*.tar.gz解開到任一目錄下。進(jìn)入src 目錄，打入make linux-x86-any-elf (我用redhat 6.1)后會(huì)在run目錄下生成幾個(gè)執(zhí)行文件，包 括主程序john?，F(xiàn)在要Crack密碼就運(yùn)行./john /etc/passwd即可。 John也可以Crack由htpasswd 生成的用于驗(yàn)證apache用戶的密碼，如果你用htpasswd -c apachepasswd user 創(chuàng)建了一個(gè)用戶user,并生成了密碼，你也可以用john apachepasswd來(lái)進(jìn)行 猜測(cè)。 John在猜測(cè)密碼時(shí)輸出在終端上，并把猜測(cè)出的密碼存于john.pot文件中。 另一個(gè)password Cracker是大家知道的經(jīng)典的Cracker. 主頁(yè)在 http://www.users.dircon.co.uk/~crypto/ 好用window版下也有，window下也可以用亂刀更方便一些 二.Logcheck Logcheck是用來(lái)自動(dòng)檢查系統(tǒng)安全入侵事件和非正?；顒?dòng)記錄的工具，它分析各種Linux log文 件，象/var/log/messages, /var/log/secure,/var/log/maillog等等，然后生成一個(gè)可能有安全 問(wèn)題的問(wèn)題報(bào)告自動(dòng)發(fā)送email給管理員。你能設(shè)置它基于每小時(shí),或者每天用crond來(lái)自動(dòng)運(yùn) 行。 logcheck工具的主頁(yè)在http://www.psionic.com/abacus/logcheck/ 下載后用tar xvfz logcheck*解開到一臨時(shí)目錄如/tmp下，然后用./make linux自動(dòng)生成相應(yīng)的 文件到/usr/local/etc,/usr/local/bin/等目錄下，你可能更改設(shè)置如發(fā)送通知能誰(shuí)的郵件帳 號(hào)，默認(rèn)發(fā)送到root，你能設(shè)置root的郵件別名帳號(hào)到一批人，更改設(shè)置讓其忽略某些類型的消 息如你的郵件記錄文件中的plug-gw，因?yàn)閜lug-gw做反向IP查找，若找不到則記錄一個(gè)警告消息 到/var/log/maillog，logcheck默認(rèn)記錄下所有這些警告發(fā)送給你，你可以通過(guò)設(shè)置忽略掉它 們。 利用logcheck工具分析你的所有l(wèi)ogfile，避免了你每天經(jīng)常手動(dòng)地檢查它們，節(jié)省了時(shí)間，提高 了效率。 作為管理經(jīng)常用的工具之一我以后會(huì)詳細(xì)介紹的 三. Tripwire Tripwire 是一個(gè)用來(lái)檢驗(yàn)文件完整性的非常有用的工具，你能定義哪些文件/目錄需要被檢驗(yàn)， 不過(guò)默認(rèn)設(shè)置能滿足大多數(shù)的要求，它運(yùn)行在四種模下：數(shù)據(jù)庫(kù)生成模式，數(shù)據(jù)庫(kù)更新模式，文 件完整性檢查，互動(dòng)式數(shù)據(jù)庫(kù)更新。當(dāng)初始化數(shù)據(jù)庫(kù)生成的時(shí)候，它生成對(duì)現(xiàn)有文件的各種信息 的數(shù)據(jù)庫(kù)文件，萬(wàn)一以后你的系統(tǒng)文件或者各種配置文件被意外地改變，替換，刪除，它將每天 基于原始的數(shù)據(jù)庫(kù)對(duì)現(xiàn)有文件進(jìn)行比較發(fā)現(xiàn)哪些文件被更改，你能根據(jù)email的結(jié)果判斷是否有系 統(tǒng)入侵等意外事件。 Tripwire的主頁(yè)在 http://www.tripwiresecurity.com , tripwire-1.2.3的版本你能免費(fèi)使用. 如果你使用Redhat Linux 6.1，你也能得到最新的為6.1重建的Tripwire-1.2.3 （http://rufus.w3.org/linux/RPM/powertools/6.1/i386/tripwire-1.2-3.i386.html） 當(dāng)你手動(dòng)更改了系統(tǒng)中的配置文件或程序時(shí)，你能手動(dòng)再次生成一次數(shù)據(jù)庫(kù)文件，運(yùn)行 tripwire -initialize 在當(dāng)前目錄下創(chuàng)建databases目錄并在該目錄下生成新的系統(tǒng)數(shù)據(jù)庫(kù)文 件，然后cp到/var/spool/tripwire目錄中覆蓋舊的。

最新評(píng)論