3Talks 港人自講討論區 - Powered by Discuz! Board

標題: 常用的Linux網路安全工具介紹 [打印本頁]

作者: dc2507 時間: 2007-7-28 09:39 PM 標題: 常用的Linux網路安全工具介紹

儘管各種版本的Linux distribution 附帶了很多開放源的自由軟體，但是仍然有大量的有用的工具沒有被默認
包括在它們的安裝光碟內，特別是有一些可以增強Linux網路安全的工具包，它們大多也是開放源的自由軟體。
這裏簡單地介紹一下幾個增強Linux網路安全的工具。
1. sudo
sudo是系統管理員用來允許某些用戶以root身份運行部分/全部系統命令的程式。一個明顯的用途是增強了站點的安全性，如果你需要每天以root身份做一些日常工作，經常執行一些固定的幾個只有root身份才能執行的命令，那麽用sudo對你是非常適合的。
sudo的主頁在：http://www.courtesan.com/courtesan/products/sudo/

以Redhat 爲例，下面介紹一下安裝及設置過程：
首先，你能從sudo主頁上下載for Redhat Linux的rpm package.
它在ftp://ftp.freshmeat.net/pub/rpms/sudo/
當前最新的穩定版本1.5.9p4。

執行#rpm -ivh sudo* 進行安裝，然後用/usr/sbin/visudo編輯/etc/sudoers文件。
如果系統提示你找不到/usr/bin/vi但實際上你在目錄/bin下有vi程式，你需要
ln -sf /bin/vi /usr/bin/vi爲
vi 在/usr/bin下創建符號鏈結。（注：我在Redhat 6.1上遇到，Redhat 5.x上沒有此問題）
另外，如果出現某些其他錯誤，你可能還需要#chmod 700 /var/run/sudo

下面是我的/etc/sudoers文件例子：
[root@sh-proxy /etc]# more sudoers
Host_Alias SERVER=sh-proxy

# User alias specification

User_Alias  ADMIN=jephe,tome

# Cmnd alias specification

Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown,/etc/reboot

ADMIN SERVER=SHUTDOWN
jephe SERVER=/usr/bin/tail -f /var/log/maillog
jephe SERVER=/usr/bin/tail -f /var/log/messages

# User privilege specification
root ALL=(ALL) ALL
-----------

既然我經常需要遠端登錄到伺服器觀察email log文件/var/log/maillog的變化，
因此我加了這一行到 /etc/sudoers，這樣我不需要經常登錄作爲root來完成我
的日常工作，改善了安全性。

2. Sniffit
sniffit 是一個有名的網路埠探測器，你可以配置它在後臺運行以檢測哪些Tcp/ip
埠上用戶的輸入/輸出資訊。
最常用的功能是攻擊者可以用它來檢測你的23(telnet)和110(pop3)埠上的資料傳送
以輕鬆得到你的登錄口令和mail帳號密碼，sniffit基本上是被破壞者所利用的工具，
但是既然想知道如何增強你的站點的安全性，首先你應該知曉闖入者們所使用的各種工具。

sniffit 的主頁在 http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
你能從那裏下載最新的版本，安裝是非常容易的,就在根目錄運行#tar xvfz sniff*
解開所有文件到對應目錄。

你能運行sniffit -i以互動式圖形介面查看所有在指定網路介面上的輸入/輸出資訊。

如：爲了得到所有用戶通過某介面a.b.c.d接收郵件時所輸入的pop3帳號和密碼，你能運行
#sniffit -p 110 -t a.b.c.d &
#sniffit -p 110 -s a.b.c.d &
記錄文件放在目錄/usr/doc/sniffit*下面：
log file根據訪問者的IP地址，隨機高端埠號和用來檢測的網路介面IP地址和檢測
埠來命名。它利用了tcp/ip協定天生的虛弱性，因爲普通的telnet和pop3所傳的
用戶名和密碼資訊都是明文，不帶任何方式的加密。因此對telnet/ftp.你可以用
ssh/scp來替代. sniffit檢測到的ssh/scp資訊基本上是一堆亂碼，因此你不需要
擔心ssh所傳送的用戶名和口令資訊會被第三方所竊取。

3. ttysnoop(s)
ttysnoop是一個重定向對一個終端號的所有輸入/輸出到另一個終端的程式。目前我
所知道的它的所在網站爲
http://uscan.cjb.net,但是始終連不上去，從其他途徑我得到了ttysnoop-0.12c-5 ,
地址是http://rpmfind.net/linux/RPM/con ... p-0.12c-5.i386.html
這個版本好象還不能支援shadow password,安裝後你需要手動創建目錄/var/spool/ttysnoop
測試這個程式是有趣的，下面是相關指令：

首先改/etc/inetd.conf中的in.telnetd默認調用login登錄程式爲/sbin/ttysnoops,
象下面這樣：
[root@jephe /etc]# more inetd.conf | grep in.telnetd
telnet  stream  tcp    nowait  root /usr/sbin/tcpd  in.telnetd  -L /sbin/ttysnoops
更改後一定要運行killall -HUP inetd使之生效
確保不要使用陰影口令，用#pwunconv禁止陰影口令。
再編輯文件/etc/snooptab
默認配置就可以了。
[root@jephe /etc]# more snooptab
ttyS1          /dev/tty7    login /bin/login
ttyS2          /dev/tty8    login /bin/login
*             socket       login /bin/login
------
最後，如果在某個終端上有人登錄進來（你可以用w命令查看它在哪個終端），
如登錄終端設備爲ttyp0,則你可以登錄進伺服器打入#/bin/ttysnoop ttyp0
（提示輸入root口令,再次,上面提到的這個版本不支援陰影口令）以監視用戶的登錄視窗。

4. nmap
nmap 是用來對一個比較大的網路進行埠掃描的工具，它能檢測該伺服器有哪些
tcp/ip埠目前正處於打開狀態。你可以運行它來確保已經禁止掉不該打開的不安全的
埠號。
nmap的主頁在http://www.insecure.org/nmap/index.html

下面給出一個簡單的例子：
[root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on public.sta.net.cn (202.96.199.97):
Port State    Protocol  Service
21    open       tcp       ftp
23    open       tcp       telnet
25    open       tcp       smtp
109    open       tcp       pop-2
110    open       tcp       pop-3
143    open       tcp       imap2
513    open       tcp       login
514    open       tcp       shell
7000 open       tcp       afs3-fileserver

Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds

一 John the ripper

在Linux中，密碼以hash格式被存儲，你不能反向從該hash資料表中分析出密碼，但可以以一組單詞hash後
和它進行比較，如相同則就猜測出密碼。故起一個很難被猜測的密碼是非常關鍵的。一般地你決不能用字典存
在的某個單詞作爲密碼，那是相當容易被猜測出來的。另外也不能用一些常見的有規則性的字母數位排列來作
爲密碼，以123abc等。

John the ripper是一個高效的易於使用的密碼猜測程式，其主頁在http://www.openwall.com/john/
下載tar.gz格式的for UNIX的程式，然後用tar xvfz john*.tar.gz解開到任一目錄下。進入src目錄，打入
make linux-x86-any-elf (我用redhat 6.1)後會在run目錄下生成幾個執行文件，包括主程序john。現在要
Crack密碼就運行./john /etc/passwd即可。

  John也可以Crack由htpasswd 生成的用於驗證apache用戶的密碼，如果你用htpasswd -c apachepasswd user
創建了一個用戶user,並生成了密碼，你也可以用john apachepasswd來進行猜測。
  John在猜測密碼時輸出在終端上，並把猜測出的密碼存於john.pot文件中。
另一個password Cracker是大家知道的經典的Cracker. 主頁在http://www.users.dircon.co.uk/~crypto/

二.Logcheck

Logcheck是用來自動檢查系統安全入侵事件和非正常活動記錄的工具，它分析各種Linux log文件，
象/var/log/messages, /var/log/secure,/var/log/maillog等等，然後生成一個可能有安全問題的問題報告
自動發送email給管理員。你能設置它基於每小時,或者每天用crond來自動運行。

logcheck工具的主頁在http://www.psionic.com/abacus/logcheck/
下載後用tar xvfz logcheck*解開到一臨時目錄如/tmp下，然後用./make linux自動生成相應的文件到
/usr/local/etc,/usr/local/bin/等目錄下，你可能更改設置如發送通知能誰的郵件帳號，默認發送到root
，你能設置root的郵件別名帳號到一批人，更改設置讓其忽略某些類型的消息如你的郵件記錄文件中的
plug-gw，因爲plug-gw做反向IP查找，若找不到則記錄一個警告消息到/var/log/maillog，logcheck默認記錄
下所有這些警告發送給你，你可以通過設置忽略掉它們。

  利用logcheck工具分析你的所有logfile，避免了你每天經常手動地檢查它們，節省了時間，提高了效率。

三. Tripwire

Tripwire 是一個用來檢驗文件完整性的非常有用的工具，你能定義哪些文件/目錄需要被檢驗，不過默認
設置能滿足大多數的要求，它運行在四種模下：資料庫生成模式，資料庫更新模式，文件完整性檢查，互動式
資料庫更新。當初始化資料庫生成的時候，它生成對現有文件的各種資訊的資料庫文件，萬一以後你的系統文件
或者各種配置文件被意外地改變，替換，刪除，它將每天基於原始的資料庫對現有文件進行比較發現哪些文件
被更改，你能根據email的結果判斷是否有系統入侵等意外事件。

Tripwire的主頁在 http://www.tripwiresecurity.com , tripwire-1.2.3的版本你能免費使用.
如果你使用Redhat Linux 6.1，你也能得到最新的爲6.1重建的Tripwire-1.2.3
（http://rufus.w3.org/linux/RPM/po ... ire-1.2-3.i386.html）
當你手動更改了系統中的配置文件或程式時，你能手動再次生成一次資料庫文件，運行 tripwire
-initialize  在當前目錄下創建databases目錄並在該目錄下生成新的系統資料庫文件，然後cp到/var/spool/
tripwire目錄中覆蓋舊的。

歡迎光臨 3Talks 港人自講討論區 (http://3talks.com/)