简介:
虽然各种版别的Linux distribution 附带了许多敞开源代码的自由软件,可是依然有很多的有用的东西没有被默许包含在它们的装置光盘内,特别是有一些能够增强Linux网络安全的东西包,它们大多也是敞开源的自由软件。
这儿简略地介绍一下几个增强Linux网络安全的东西。
1. sudo
sudo是体系办理员用来答应某些用户以root身份运转部分/悉数体系指令的程序。一个显着的用处是增强了站点的安全性,假如你需求每天以root身份做一些日常作业,常常履行一些固定的几个只要root身份才干履行的指令,那么用sudo对你是十分合适的。
sudo的主页在:http://www.courtesan.com/courtesan/products/sudo/
以Redhat 为例,下面介绍一下装置及设置进程:
首要,你能从sudo主页上下载for Redhat Linux的rpm package.
它在ftp://ftp.freshmeat.net/pub/rpms/sudo/
当时最新的安稳版别1.5.9p4。
履行#rpm -ivh sudo* 进行装置,然后用/usr/sbin/visudo修改/etc/sudoers文件。假如体系提示你找不到/usr/bin/vi但实际上你在目录/bin下有vi程序,你需求ln -sf /bin/vi /usr/bin/vi为 vi 在/usr/bin下创立符号链接。(注:我在Redhat 6.1上遇到,Redhat 5.x上没有此问题)
别的,假如呈现某些其它过错,你或许还需求#chmod 700 /var/run/sudo
下面是我的/etc/sudoers文件比如:
[root@sh-proxy /etc]# more sudoers
Host_Alias SERVER=sh-proxy
# User alias specification
User_Alias ADMIN=jephe,tome
# Cmnd alias specification
Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown,/etc/reboot
ADMIN SERVER=SHUTDOWN
jephe SERVER=/usr/bin/tail -f /var/log/maillog
jephe SERVER=/usr/bin/tail -f /var/log/messages
# User privilege specification
root ALL=(ALL) ALL
———–
已然我常常需求长途登录到服务器调查email log文件/var/log/maillog的改变,因而我加了这一行到 /etc/sudoers,这样我不需求常常登录作为root来完结我的日常作业,改进了安全性。
弥补阐明我觉得这首要能够避免sniffit,后门程序当然sudo没有被后门的
2. Sniffit
sniffit 是一个有名的网络端口探测器,你能够装备它在后台运转以检测哪些Tcp/ip端口上用户的输入/输出信息。
最常用的功用是攻击者能够用它来检测你的23(telnet)和110(pop3)端口上的数据传送以轻松得到你的登录口令和mail帐号暗码,sniffit基本上是被破坏者所运用的东西,可是已然想知道怎么增强你的站点的安全性,首要你应该知晓闯入者们所运用的各种东西。
sniffit 的主页在 http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
你能从那里下载最新的版别,装置是十分简略的,就在根目录运转#tar xvfz sniff*
解开一切文件到对应目录。
你能运转sniffit -i以交互式图形界面检查一切在指定网络接口上的输入/输出信息。如:为了得到一切用户经过某接口a.b.c.d接纳邮件时所输入的pop3帐号和暗码,你能运转
#sniffit -p 110 -t a.b.c.d
#sniffit -p 110 -s a.b.c.d
记载文件放在目录/usr/doc/sniffit*下面:
log file依据访问者的IP地址,随机高端端口号和用来检测的网络接口IP地址和检测端口来命名。它运用了tcp/ip协议天然生成的衰弱性,由于一般的telnet和pop3所传的用户名和暗码信息都是明文,不带任何方法的加密。 因而对telnet/ftp.你能够用ssh/scp来代替. sniffit检测到的ssh/scp信息基本上是一堆乱码,因而你不需求忧虑ssh所传送的用户名和口令信息会被第三方所盗取。
弥补假如是只抓口令的会我觉得hunt,linsniff.c好用一些另要注意一些反sniffit的程序
如antisniffit
3. ttysnoop(s)
ttysnoop是一个重定向对一个终端号的一切输入/输出到另一个终端的程序。现在我所知道的它的地点网站为http://uscan.cjb.net,可是一直连不上去,从其它途径我得到了ttysnoop-0.12c-5 ,地址是http://rpmfind.net/linux/RPM/con … p-0.12c-5.i386.html这个版别好象还不能支撑shadow password,装置后你需求手动创立目录/var/spool/ttysnoop测验这个程序是风趣的,下面是相关指令:首要改/etc/inetd.conf中的in.telnetd默许调用login登录程序为/sbin/ttysnoops,象下面这样:
[root@jephe /etc]# more inetd.conf | grep in.telnetd
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -L /sbin/ttysnoops
更改后必定要运转killall -HUP inetd使之收效
保证不要运用暗影口令,用#pwunconv制止暗影口令。
再修改文件/etc/snooptab
默许装备就能够了。
[root@jephe /etc]# more snooptab
ttyS1 /dev/tty7 login /bin/login
ttyS2 /dev/tty8 login /bin/login
* socket login /bin/login
——
最终,假如在某个终端上有人登录进来(你能够用w指令检查它在哪个终端),如登录终端设备为ttyp0,则你能够登录进服务器打入#/bin/ttysnoop ttyp0(提示输入root口令,再次,上面说到的这个版别不支撑暗影口令)以监督用户的登录窗口。
没有用过,我想写仍是有必定办理效果的
4. nmap
nmap 是用来对一个比较大的网络进行端口扫描的东西,它能检测该服务器有哪些tcp/ip端口现在正处于翻开状况。你能够运转它来保证现已制止掉不应翻开的不安全的端口号。nmap的主页在http://www.insecure.org/nmap/index.html
下面给出一个简略的比如:
[root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn
Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on public.sta.net.cn (202.96.199.97):
