如果你只有
台电脑
那么对你而言花费大量
工夫仔细审查系统弱点和问题是完全可能
可能你并不真得希望这样但却有此可能不过在现实世界中我们需要些好工具来帮助我们监视系统并向我们发出警告告诉我们哪里可能出现问题因此我们可以经常地轻松下入侵检测可能是种令我们操心问题的不过事情总有两方面幸好Linux管理员们拥有可供选择强大工具最佳策略是采用分层思路方法即将“老当益壮”
如Snort、iptables等老前辈和psad、AppArmor、SELinuxu等些新生力量结合起来借助强大分析工具我们就可以始终站在技术前沿 在现代
机器上任何用户账户都有可能被用来作恶笔者认为将全部重点都放在保护root上就好像其它用户账户不重要样这是Linux和Unix安全中个长期存在、慢性弱点问题次简单重装可以替换受损系统文件不过数据文件如何办?任何入侵都拥有造成大量破坏潜力事实上要散布垃圾邮件、复制敏感文件、提供虚假音乐或电影文件、对其它系统发动攻击根本就不需要获得对root访问 IDS新宠:PSAD
Psad是端口扫描攻击检测
简称它作为个新工具可以和iptables和Snort等紧密合作向我们展示所有试图进入网络恶意企图这是笔者首选Linux入侵检测系统它使用了许多snort工具它可以和fwsnort和iptables日志结合使用意味着你甚至可以深入到应用层并执行些内容分析它可以像Nmap样执行数据包头部分析向用户发出警告甚至可以对其进行配置以便于自动阻止可疑IP地址 事实上
任何入侵检测系统个关键方面是捕获并分析大量数据如果不这样做那只能是盲目乱来并不能真正有效地调整IDS我们可以将PSAD数据导出到AfterGlow 和 Gnuplot中从而可以知道到底是谁正在攻击防火墙而且是以种很友好界面展示 老当益壮:Snort
正如
位可信任老人随着年龄增长Snort也愈发成熟它是款轻量级且易于使用工具可以独立运行也可以和psad和iptables起使用我们可以从Linux发行版本库中找到并安装它比起过去源代码安装这应该是个很大进步至于保持其规则更新问题也是同样简单
作为Snort规则更新和管理oinkmaster也在Linux发行版本库中 Snort易于管理
虽然它有些配置上要求要开始使用它默认配置对大多数网络系统并不适用它将所有不需要规则也包括在其中所以我们要做第件事情是清除所有不需要规则否则就会损害性能并会生成些虚假警告 另外
个重要策略是要以秘密模式运行Snort也就是说要监听个没有IP地址网络接口在没有为它分配IP地址接口上如
config eth0 up以-i选项来运行Snort如snort –i eth0还有可能发生这样事情:如果你网络管理正运行在系统中那它就会“有助于”展现出还没有配置端口因此建议还是清除网络管理 Snort可以收集大量
数据因此需要添加BASE(基本分析和安全引擎)以便于获得个友好可视化分析工具它以较老ACID(入侵数据库分析控制台)为基础 简洁方便:chkrootkit和rootkit
Rootkit检测
chkrootkit和rootkit Hunter也算是老牌rootkit检测了很明显在从个不可写外部设备运行时它们是更可信任工具如从个CD或写保护USB驱动器上运行时就是这样笔者喜欢SD卡就是那个写保护开关这两个可以搜索已知rooktkit、后门和本地漏洞利用并且可以发现有限些可疑活动我们需要运行这些工具理由在于它们可以查看文件系统上/proc、ps和其它些重要活动虽然它们不是用于网络但却可以快速扫描个人计算机 多面手:Tripwire
Tripwire是
款入侵检测和数据完整性产品它允许用户构建个表现最优设置基本服务器状态它并不能阻止损害事件发生但它能够将目前状态和理想状态相比较以决定是否发生了任何意外或故意改变如果检测到了任何变化就会被降到运行障碍最少状态 如果你需要控制对Linux或UNIX服务器
改变可以有 3个选择:开源Tripwire、服务器版Tripwire、企业版Tripwire虽然这 3个产品有些共同点但却拥有大量区别方面使得这款产品可以满足区别IT环境要求 如开源
Tripwire对于监视少量服务器是合适这种情形并不需要集中化控制和报告;服务器版Tripwire对于那些仅在Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理IT组织是个理想方案;而企业版Tripwire对于需要在Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器的间安全地审核配置IT组织而言是最佳选择 篇文章: SQL元数据注射和解决方案篇文章: 搭建个Windows下蜜罐系统
最新评论