常用的Linux网络安全工具介绍！！！

huashi3483

size=18:1c8b84d2b5][b:1c8b84d2b5][color=darkblue:1c8b84d2b5]常用的Linux网络安全工具介绍[/color:1c8b84d2b5][/b:1c8b84d2b5][/size:1c8b84d2b5]
( W; d5 T4 S3 M' }3 @! b4 }作者：吴阿亭  

' @2 u7 |0 X  \; W- |, I" K* K[b:1c8b84d2b5]简介：[/b:1c8b84d2b5]
$ ?3 e, w& _7 o+ X　　尽管各种版本的Linux distribution 附带了很多开放源的自由软件，但是仍然有大量的有用的工具没有被默认。
1 ?# i) }2 k" C% l% V　　包括在它们的安装光盘内，特别是有一些可以增强Linux网络安全的工具包，它们大多也是开放源的自由软件。

这里简单地介绍一下几个增强Linux网络安全的工具。
/ G" L  I8 Z. D* U+ G! X6 T% a0 A. L$ y[b:1c8b84d2b5]1. sudo[/b:1c8b84d2b5]
  b6 g* q, }* k- I$ {" T* t　　 sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性，如果你需要每天以root身份做一些日常工作，经常执行一些固定的几个只有root身份才能执行的命令，那么用sudo对你是非常适合的。
3 f* t3 Z1 v$ |% a! [sudo的主页在：http://www.courtesan.com/courtesan/products/sudo/
　　 以Redhat 为例，下面介绍一下安装及设置过程：
! D+ R# O: g# j& L. j% ?6 i　　首先，你能从sudo主页上下载for Redhat Linux的rpm package.
它在ftp://ftp.freshmeat.net/pub/rpms/sudo/ 当前最新的稳定版本1.5.9p4。
: X5 @  ~9 J/ }
　　执行#rpm -ivh sudo* 进行安装，然后用/usr/sbin/visudo编辑/etc/sudoers文件。
$ _3 M3 {2 i2 D如果系统提示你找不到/usr/bin/vi但实际上你在目录/bin下有vi程序，你需要
* c0 I/ g" k/ }3 o# fln -sf /bin/vi /usr/bin/vi为vi 在/usr/bin下创建符号链接。（注：我在Redhat 6.1上遇到，Redhat 5.x上没有此问题）
　　另外，如果出现某些其它错误，你可能还需要#chmod 700 /var/run/sudo

2 P) Y4 G/ X, g6 g, y& M下面是我的/etc/sudoers文件例子：
0 }5 q$ M/ o2 L8 b[code:1:1c8b84d2b5][root@sh-proxy /etc]# more sudoers
Host_Alias SERVER=sh-proxy

# User alias specification

User_Alias ADMIN=jephe,tome

# Cmnd alias specification
7 p: n- Y2 R, o" J# S
/ m7 U; C3 a  H( s7 ?Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown,/etc/reboot

& M/ F4 ]% {! ~. x1 M# XADMIN SERVER=SHUTDOWN
jephe SERVER=/usr/bin/tail -f /var/log/maillog
% v, N( W7 \. O" A" [8 x  ]5 w7 Ojephe SERVER=/usr/bin/tail -f /var/log/messages
/ V: L4 M% E2 K, a9 o  J
# User privilege specification
: m# @5 l0 r2 T: S2 d' L' u( Broot ALL=(ALL) ALL[/code:1:1c8b84d2b5]

3 w/ q: Q2 @, W-----------
2 y# [+ i& C' Y! ]; H) K7 F+ Q, ~
　　既然我经常需要远程登录到服务器观察email log文件/var/log/maillog的变化，因此我加了这一行到 /etc/sudoers，这样我不需要经常登录作为root来完成我的日常工作，改善了安全性。
6 Z* Z) E6 E$ m4 v6 Q
8 y" o3 O" A& V7 f2 O7 A; R[b:1c8b84d2b5]2. Sniffit[/b:1c8b84d2b5]
　　sniffit 是一个有名的网络端口探测器，你可以配置它在后台运行以检测哪些Tcp/ip端口上用户的输入/输出信息。
　　最常用的功能是攻击者可以用它来检测你的23(telnet)和110(pop3)端口上的数据传送以轻松得到你的登录口令和mail帐号密码，sniffit基本上是被破坏者所利用的工具，但是既然想知道如何增强你的站点的安全性，首先你应该知晓闯入者们所使用的各种工具。
: @# A2 g+ c2 ^) T% o$ o9 D# @
. o& C6 H/ ~" m　　sniffit 的主页在 http://reptile.rug.ac.be/~coder/sniffit/sniffit.html你能从那里下载最新的版本，安装是非常容易的,就在根目录运行#tar xvfz sniff*解开所有文件到对应目录。

　　你能运行sniffit -i以交互式图形界面查看所有在指定网络接口上的输入/输出信息。
* t+ ]  S8 S# K! @$ X) _' d
如：为了得到所有用户通过某接口a.b.c.d接收邮件时所输入的pop3帐号和密码，你能运行
, c$ z( `/ r5 R) Y- \#sniffit -p 110 -t a.b.c.d &
7 }4 U* i; W0 |0 ?2 f" R- x#sniffit -p 110 -s a.b.c.d &
6 N$ [- B' N- G! A) V/ ], @记录文件放在目录/usr/doc/sniffit*下面：
$ ?+ x- f' S6 P9 K# C% p" F　　log file根据访问者的IP地址，随机高端端口号和用来检测的网络接口IP地址和检测端口来命名。它利用了tcp/ip协议天生的虚弱性，因为普通的telnet和pop3所传的用户名和密码信息都是明文，不带任何方式的加密。 因此对telnet/ftp.你可以用ssh/scp来替代. sniffit检测到的ssh/scp信息基本上是一堆乱码，因此你不需要担心ssh所传送的用户名和口令信息会被第三方所窃取。


; n: q+ j- L7 \2 V7 O[b:1c8b84d2b5]3. ttysnoop(s)[/b:1c8b84d2b5]
- G  Y  V/ Q4 O$ p$ N& {　　ttysnoop是一个重定向对一个终端号的所有输入/输出到另一个终端的程序。目前我所知道的它的所在网站为http://uscan.cjb.net,但是始终连不上去，从其它途径我得到了ttysnoop-0.12c-5 ,地址是http://rpmfind.net/linux/RPM/contrib/libc6/i386/ttysnoop-0.12c-5.i386.html这个版本好象还不能支持shadow password,安装后你需要手动创建目录/var/spool/ttysnoop测试这个程序是有趣的，下面是相关指令：
* X; ~7 O; }& K! r
2 k& {* ~3 m. ]7 ]4 w; D　　首先改/etc/inetd.conf中的in.telnetd默认调用login登录程序为/sbin/ttysnoops,象下面这样：
[code:1:1c8b84d2b5][root@jephe /etc]# more inetd.conf | grep in.telnetd
& Q/ a! i5 g& K0 d, ~( Ntelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -L /sbin/ttysnoops[/code:1:1c8b84d2b5]
　　更改后一定要运行killall -HUP inetd使之生效，确保不要使用阴影口令，用#pwunconv禁止阴影口令。
3 H) C; \, v2 }& D0 q: M; _再编辑文件/etc/snooptab默认配置就可以了。
[code:1:1c8b84d2b5][root@jephe /etc]# more snooptab
ttyS1 /dev/tty7 login /bin/login
2 r) V6 m3 e+ rttyS2 /dev/tty8 login /bin/login
4 R0 d4 h. w" A8 }* socket login /bin/login[/code:1:1c8b84d2b5]
+ c$ L. \* k4 C; N0 p, a1 h------
( K, ~; I. F+ f) n　　最后，如果在某个终端上有人登录进来（你可以用w命令查看它在哪个终端），如登录终端设备为ttyp0,则你可以登录进服务器打入#/bin/ttysnoop ttyp0（提示输入root口令,再次,上面提到的这个版本不支持阴影口令）以监视用户的登录窗口。

[b:1c8b84d2b5]4. nmap[/b:1c8b84d2b5]
" v( E% S; K% ]　　nmap 是用来对一个比较大的网络进行端口扫描的工具，它能检测该服务器有哪些tcp/ip端口目前正处于打开状态。你可以运行它来确保已经禁止掉不该打开的不安全的端口号。
+ {! p. Z+ g: z7 f2 `+ I3 R  ~　　nmap的主页在http://www.insecure.org/nmap/index.html

下面给出一个简单的例子：
9 y7 H' f" P, p% h# W[code:1:1c8b84d2b5][root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn
* O1 v+ x: K5 n  A; Y
( b' `+ x9 \9 E; C* y) c( C" f) cStarting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on public.sta.net.cn (202.96.199.97):
2 s( j/ g6 P' J9 o0 HPort State Protocol Service
21 open tcp ftp
23 open tcp telnet
25 open tcp smtp
+ g4 f) c- m  ?: e( D/ r) J109 open tcp pop-2
0 z- \% \3 [6 a  B1 P110 open tcp pop-3
; G) g8 d. H5 i" y+ ]. v* J143 open tcp imap2
513 open tcp login
1 z4 `) @' F) e) |514 open tcp shell
7000 open tcp afs3-fileserver
9 a5 v; N, h2 l; H( p, j! `$ p' [
Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds[/code:1:1c8b84d2b5]
" I1 C  _6 y) M5 a- |& Y! b% Y

% T/ a& r: T+ P4 R4 v) w
[b:1c8b84d2b5]第二部分[/b:1c8b84d2b5]

[b:1c8b84d2b5]一 John the ripper[/b:1c8b84d2b5]
8 k( z6 I- z( c
0 q2 B# o  j. L' |; }* D　　在Linux中，密码以hash格式被存储，你不能反向从该hash数据表中分析出密码，但可以以一组单词hash后和它进行比较，如相同则就猜测出密码。故起一个很难被猜测的密码是非常关键的。一般地你决不能用字典存在的某个单词作为密码，那是相当容易被猜测出来的。另外也不能用一些常见的有规则性的字母数字排列来作为密码，以123abc等。

, I3 L5 L: A5 F6 K7 H1 H6 T9 w) U　　John the ripper是一个高效的易于使用的密码猜测程序，其主页在http://www.openwall.com/john/
" Z2 ~- g1 T1 A, L% w9 W下载tar.gz格式的for UNIX的程序，然后用tar xvfz john*.tar.gz解开到任一目录下。进入src目录，打入 make linux-x86-any-elf (我用redhat 6.1)后会在run目录下生成几个执行文件，包括主程序john。现在要Crack密码就运行./john /etc/passwd即可。

2 V, T  g( Q9 ?1 |3 i　　John也可以Crack由htpasswd 生成的用于验证apache用户的密码，如果你用htpasswd -c apachepasswd user创建了一个用户user,并生成了密码，你也可以用john apachepasswd来进行猜测。John在猜测密码时输出在终端上，并把猜测出的密码存于john.pot文件中。
* W9 v4 B( A0 M$ Q& z4 N　　另一个password Cracker是大家知道的经典的Cracker. 主页在http://www.users.dircon.co.uk/~crypto/
, J% Z& O9 U3 f' K  r7 V$ {' Y, H
[b:1c8b84d2b5]二.Logcheck[/b:1c8b84d2b5]

3 f* [- `+ I7 {" o" A　　Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具，它分析各种Linux log文件，
; R* V$ F$ V, H象/var/log/messages, /var/log/secure,/var/log/maillog等等，然后生成一个可能有安全问题的问题报告自动发送email给管理员。你能设置它基于每小时,或者每天用crond来自动运行。
8 j3 T- {: {& w8 s- o& l( Y+ K1 X
5 V3 i' z4 f/ n　　logcheck工具的主页在http://www.psionic.com/abacus/logcheck/下载后用tar xvfz logcheck*解开到一临时目录如/tmp下，然后用./make linux自动生成相应的文件到/usr/local/etc,/usr/local/bin/等目录下，你可能更改设置如发送通知能谁的邮件帐号，默认发送到root，你能设置root的邮件别名帐号到一批人，更改设置让其忽略某些类型的消息如你的邮件记录文件中的plug-gw，因为plug-gw做反向IP查找，若找不到则记录一个警告消息到/var/log/maillog，logcheck默认记录下所有这些警告发送给你，你可以通过设置忽略掉它们。

　　利用logcheck工具分析你的所有logfile，避免了你每天经常手动地检查它们，节省了时间，提高了效率。
8 R: ]3 }( p! r8 W4 c- E. q
2 y' H! J% Q3 ~: Z, G. i% G[b:1c8b84d2b5]三. Tripwire[/b:1c8b84d2b5]
1 P+ R' m: r) w
2 \  d" J# c# m. U2 p0 l% q  \$ ?' k　　Tripwire 是一个用来检验文件完整性的非常有用的工具，你能定义哪些文件/目录需要被检验，不过默认设置能满足大多数的要求，它运行在四种模下：数据库生成模式，数据库更新模式，文件完整性检查，互动式数据库更新。当初始化数据库生成的时候，它生成对现有文件的各种信息的数据库文件，万一以后你的系统文件或者各种配置文件被意外地改变，替换，删除，它将每天基于原始的数据库对现有文件进行比较发现哪些文件被更改，你能根据email的结果判断是否有系统入侵等意外事件。

1 F; V8 P5 t; ^$ W: @　　Tripwire的主页在 http://www.tripwiresecurity.com , tripwire-1.2.3的版本你能免费使用。如果你使用Redhat Linux 6.1，你也能得到最新的为6.1重建的Tripwire-1.2.3
7 p4 Z, l4 |9 F（http://rufus.w3.org/linux/RPM/powertools/6.1/i386/tripwire-1.2-3.i386.html）当你手动更改了系统中的配置文件或程序时，你能手动再次生成一次数据库文件，运行 tripwire-initialize 在当前目录下创建databases目录并在该目录下生成新的系统数据库文件，然后cp到/var/spool/tripwire目录中覆盖旧的。