Linux系统下的安全工具详细介绍

　　按照你使用的unix系统，你有两种不同的操作方式来监视端口，现在只有linux支持先进模式。

　　下一步是堵塞选项，要么堵塞要么不堵塞扫描，或着运行外部命令。

　　接着选择扔掉路由，或者把攻击者重定向到一个网络上不使用的ip地址或者是防火墙上。

　　下一步是与TCPWrapper有关，那就是你得决定是不是写一个拒绝条目进文件/etc/hosts.deny中。

　　接下来你可以定义一个外部命令来运行，最后，你可以为扫描选一个触发器值，（缺省为0）。

　　以上就是你必须做的，我们假设你懂得关于日志记录的一切东西。因为，显而易见，所有的警告被记录下来。这意味着，如果你想把最终的警告放到/var/log/messages或var/log/syslog或/var/adm/messages等文件

　　之外的某个地方，你可以修改你的syslog.conf文件。

　　你可以选择在后台运行portsentry,这个选项取决于你得系统,在大多数unix版本上可以使用-tcp,-udp选项,在linux机器上可以用-atcp,-audp选项.(a代表先进)

　　让我们来看一看扫描一台运行有portsentry的机器时的结果.

　　如果你是一个每个星期看一次日志的系统管理员(你应该换个工作了),算盘工程提供了另外一个工具:logcheck.如果在日志中发现异常的现象时,这个工具通过cron任务和发邮件给管理员.

　　这个套件中最新的工具叫作hostsentry,看起来相当有趣,但我没有测试过.

　　如果你想要一个伟大,简单和高效的工具时,选portsentry!

　　谢谢Rowland先生,他的工作非常伟大,顺便说一下,我喜欢他的幽默.

　　另外一个系统管理员真的不可少的工具叫snort.

　　snort是一个IDS(入侵检测系统)并且非常精确的轻量级的工具.你能从http://www.snort.org网站上下载1.6.3版本的snort.据说可以在任何能和libpcap工作的平台上运行.最好使用最新版的libpcap.顺便说一下,你可以得到win32版的snort.

　　snort可以分析ip数据流,提供非常健壮的日志功能.snort依赖规则脚本,你可以监视你想要监视的东西.

　　甚至提供给你一个规则数据库,这样,你就得做一个重要的决定:把探测器放在何处,或者你会提出,啦种流量要监控?今,出,在防火墙外还是内部?

　　我们宁愿建议在任何一个地方!!!这对我而言,是个严肃的问题,如果你是一个"标准"的系统管理员,探测器越多越好.

　　现在你决定监听某处,你必须选择应用的规则.snort带有许多基本的规则,后门,ddos,finger,ftp...这些规则被放在snort-lib文件中,你可以从snort的网站上得到新的和升级的规则.

　　你只要把snort设置好选项作为后台任务运行就可以了,如果要把snort当做守护进程运行,选项就是-D因为你可以重定向日志,所以你也能定义日志记录在哪里,甚至是另外一台机器.

　　在这篇文章中提到snort的所有功能是不可能的,这篇文章只能告诉你一部份.不管这么说。

上一篇：Linux下通过FTP来备份Mysql数据

下一篇：Linux 下采用软件实现RAID

昵称 (必填)

验证码 (必填)