首先没有哪个能做到让你网络或服务器永久地安全安全是个不断改进、评估、再改进持续过程幸运是在linux下有许多好工具在这个过程中能帮助你在这篇文章中我将向你推荐5款我最喜爱安全工具它们能帮助你预防检查响应入侵行为尽管它更容易预防随时可能发生问题但某些时候你遇到问题时你还是需要检查和响应这就意味着在形式危及你需要它们的前你得先熟悉它们使用方法
1、Nmap
为了评估个机器是否容易遵守攻击你需要知道有多少服务是暴露给攻击者有个优秀工具就是Fyodor网络映射器NmapDebian用户可以通过apt-get nmap来获取它务必要运行它检查服务器上究竟运行了些什么服务—即使你认为你已经知道了也要运行很明显如果ssh端口已经关闭那么通过ssh密码猜测就对你没什么影响
Nmap最简单使用方法就是在你本地网络上探测主机在这个例子中我们要求nmap发送ICMP echo请求包(ping)到某段ip地址范围内所有主机:
$Content$nbsp;nmap -sP 10.0.0.1-254
Starting nmap 3.81 ( http://www.insecure.org/nmap/ )
at 2006-11-01 14:46
NZDT
Host 10.0.0.25 appears to be up.
MAC Address: 00:0C:F1:AE:E6:08 (Intel)
Host 10.0.0.51 appears to be up.
MAC Address: 08:00:09:9A:1A:AA (Hewlett Packard)
Host 10.0.0.70 appears to be up.
MAC Address: 00:0F:EA:64:4E:1E (Giga-Byte Tech Co.)
...
不过nmap最常用是用来探测哪个服务正在运行TCP建立个连接使用了3次握手我们能检查到无真实连接到它们但又被打开端口这就是著名SYN或半打开扫描当用root登陆执行时这是默认模式如果作为个正常用户执行nmap尝试全连接来测试是否每个端口是否是打开(题外话:在半打开模式下我们发送化SYN数据包并监听响应RST表明端口是关闭SYN+ACK表示端口是打开如果没有收到响应nmap标记这个端口是被过滤了某些防火墙会丢掉不该有数据包产生个过滤状态标记其他将发送RST使得端口看起来是关闭)典型地如果个服务器正在监听你不希望监听端口你应该仔细检查下:
#nmap -sS 10.0.0.89
Starting nmap 3.81 ( http://www.insecure.org/nmap/ )
at 2006-11-01 14:52
NZDT
Interesting ports on 10.0.0.89:
(The 1637 ports scanned but not shown
below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
42/tcp open nameserver
80/tcp open http
110/tcp open pop3
...
Fyodor也添加了许多服务指纹你可以要求nmap标识出特定服务在命令后加上-sV选项即可:
# nmap -sV 10.0.0.89
Starting nmap 3.81 ( http://www.insecure.org/nmap/ )
at 2006-11-01 14:47
NZDT
Interesting ports on 10.0.0.89:
(The 1637 ports scanned but not shown
below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh OpenSSH 3.8.1p1
Debian-8.sarge.4 (protocol 2.0)
42/tcp open nameserver?
80/tcp open http Apache httpd 1.3.33
((Debian GNU/Linux) mod_gzip/1.3.26.1a PHP/4.3.10-16)
110/tcp open pop3?
...
其他难以置信使用方法是操作系统探测在命令后加上-O参数即可如果这个机器有至少个端口打开和至少个端口关闭话你就能准确地获取操作系统信息:
# nmap -O -sS 10.0.0.89
Starting nmap 3.81 ( http://www.insecure.org/nmap/ )
at 2006-11-02 09:02
NZDT
Interesting ports on 10.0.0.89:
(The 1637 ports scanned but not shown
below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
...
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.5.25 - 2.6.3 or
Gentoo 1.2 Linux 2.4.19 rc1-rc7), Linux 2.6.3 - 2.6.8
Uptime 30.906 days (since Mon Oct 2 11:18:59 2006)
因此请使用nmap在你网络上检查所有机器看是否存在有临时安装但又被忘记删除服务你也可以用它从你网络范围的外来检查你防火墙是否正确地配置了
最新评论