作者:Joshua Drake 编译:许坚明
2002-6-10 14:26:38
你想让你的Linux计算机变得更加牢固吗?其实这不难,这里有五个工具可以帮助你来达成这个目标。
Chkrootkit
首先要介绍 chkrootkit ,这个程序是设计用来检查许多广为人知的rootkit 的(在chkrootkit的网站有这些rootkit的列表)。运行chkrookit非常简单:下载源代码,解开软件包,在文件被解开的路径里敲入 make 。完成后,chkrootkit就随时侯命了。这是在我的机器上chkrootkit的一个输出的例子:
[root@jd chkrootkit-0.34]# ./chkrootkit
ROOTDIR is ``/''
Checking ``amd''... not found
Checking ``basename''... not infected
Checking ``biff''... not found
Checking ``chfn''... not infected
Checking ``chsh''... not infected
Checking ``cron''... not infected
Checking ``date''... not infected
Checking ``du''... not infected
Checking ``dirname''... not infected
Checking ``echo''... not infected
Checking ``egrep''... not infected
Checking ``env''... not infected
Checking ``find''... not infected
[...]
chkrootkit是一个很不错的实用工具,它可以进一步让我们确信:我们的机器并没有被黑。
可以这样说,我一直在寻找这样一组好的工具,可以实现网络监视和基本的网络安全。在做这种研究的过程中我遇到以下几个程序,包括NetSaint,OpenNMS,nmap, Bastille Linux,and Snort。
NetSaint
NetSaint 是一个简单的,用于监视你网络的基于Web的实用工具。它甚至具有一个WAP(Wireless Access Protocol)接口。它支持一个强有力的插件机制来增加附加的功能和特性。当我摆弄NetSaint的时候,唯一一点我不太喜欢的是它自称是开放源代码社区的一个副项目。
假如符合以下几个特征,NetSaint作为开放源代码社区的一个副项目可能会出现问题:
1.有许多特点
2.没有太多的文档
3.零散的发布计划
4.没有技术支持
5.安装困难
6.没有打包成RPM文件
我对第6点特别感到恼火,但是我已经陷身在开放源代码里好长一段时间了,在编译PostgreSQL 或 Apache 来定制参数和优化性能的同时,我也对应付所有这些源代码感到疲倦。我只想敲入 rpm -i 来把工作完成。无论如何,我似乎把话题扯远了。
OpenNMS
继续我们的介绍,OpenNMS看来是一个很好的程序。我以前曾下载和安装过它,但是不能让它正常工作起来,但这毕竟是以前的事了,我想自那之后它已经作了很多改进。
假如你熟悉Hp的OpenView网络节点管理产品,你将会喜欢OpenNMS。OpenNM
S需要Java,SNMP和PostgreSQL的支持。安装OpenNMS完全不用你费神,因为开发者使这个产品成熟至可以和商业软件竞争(有时候甚至比商业软件更好)。
Nmap
假如你想在网络里执行端口扫描,看看是否该锁的端口都锁定了,我建议你用nmap,以下是nmap的一些输出例子:
Interesting ports on (192.168.1.1):
(The 1545 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
53/tcp open domain
2030/tcp open device2
32778/tcp filtered sometimes-rpc19
Remote operating system guess: Linux 2.1.19 - 2.2.17
Uptime 10.959 days (since Sun Oct 7 16:26:15 2001)
Nmap运行完成了 -- 平均扫描一个IP地址(一个主机)要3秒。
Nmap支持几种不同类型的扫描,包括Stealth,Fin和基于连接的扫描。你可以把它运用到操作系统检测和不同类型协议的扫描里,例如TCP ping和ICMP ping。
你也可以让nmap报告你正在扫描的机器的漏洞信息。关于运行nmap的一个警告:如果你要用nmap扫描 – 你要确定执行扫描的主机在被扫描主机的portsentry.ignore 文件里。假如不是,你会发现你的机器被你正在扫描的机器阻塞了。
Bastille Linux
Bastille Linux 是一个软件包,设计用于保护和加强Linux。Bastille Linux支持基于Red Hat和Mandrake的系统。我过去就用过Bastille,它工作得很好。关于Bastille有一件事我很欣赏的,就是你使用它的同时它会教你。在这个程序中你执行的每一步都有说明。它会告诉你为什么这是好的,和将影响那些潜在的地方。这些特性使得Bastille不只是一个强大的安全加强工具,而且也是一个教学工具。
Snort
我要介绍的最后一个工具是Snort。Snort是一个开放源代码,并且支持一系列特性的网络入侵检测系统,它在网络安全的圈子里倍受重视。它有定制的规则集,有把日志纪录到数据库的功能,也能和其它程序例如tcpdump 一起工作。