linux 服务器必备的常用安全软件

linux 服务器必备的常用安全软件

linux 服务器必备的常用安全软件：作为一个合格的网络系统管理员，要谁时应对可能发生的安全问题，掌握Linux下各种必须的安全工具设备是很重要的。本文主要介绍Linux 上常用的安全工具，例如，Nmap、Snort、Nesseu等安装、使用和维护知识。通过这些工具管理人员能够了解其系统目前存在的安全隐患、入侵者可能利用的漏洞，及时发现入侵，并构造一个坚固的防御体系将入侵拒之门外。

一、安全信息收集软件

对于系统管理员来说，了解和掌握系统当前的安全状态是做到―知己‖的第一个步骤。安全信息收集软件就是用来收集目前系统安全状态的有力工具。端口扫描软件和漏洞扫描软件是常用的信息收集软件。入侵者通常通过端口扫描软件来掌握系统开放端口，运行服务器软件版本和操作系统版本等相关信息。而对于管理人员，通过这些软件可以让管理人员从入侵者的角度来审视系统，并且能够根据这些信息进行相应的配置和修改来迷惑入侵者。漏洞扫描软件能够获得具体的漏洞信息，利用这些漏洞信息，入侵者能够轻易地访问系统、获得非授权信息，甚至是获得整个系统的控制权限。而对于管理人员，通过漏洞扫描软件获得的信息能够帮助自己及时对系统进行加固和防御，让入侵者无机可乘。

1、Nmap

Nmap是一个网络探测和安全扫描程序，使用这个软件可以扫描大型的网络，以获取那台主机正在运行及提供什么服务等信息。Nmap支持很多扫描技术，例如UDP、TCPconnect()、TCP SYN（半开扫描）、FTP代理（bounce攻击）、反向标志、ICMP、FIN、ACK扫描、圣诞树（Xmas Tree）、SYN扫描和null扫描。Nmap还提供了一些高级的特征，例如，通过TCP/IP协议栈特征探测操作系统类型、秘密扫描、动态延时、重传计算和并行扫描，通过并行ping扫描探测关闭的主机、诱饵扫描，避开端口过滤检测，直接RPC扫描（无须端口影射）、碎片扫描，以及灵活的目标和端口设定。

（1）安装

Nmap的安装很简单，Linux各发行版本上通常都已经安装了Namp。这里首先用

―nmap-v‖查看当前系统所安装的nmap版本号：

# nmap -v

Starting nmap V. 4.00.(/nmap/)

……

由于目前系统所安装的Nmap为4.00，不是最新版本，因此要首先从

/nmap/下载最新版本的源代码。目前最新版本为Nmap-5.5.tar.bz2，该文件为源代码压缩包，需要用bzip2进行解压缩。我们将该文件下载并保存在/root/nmap 下，以root用户进行安装。

# bzip2 –cd nmap-5.5.tar.bz2∣tar xvf-

该命令将Nmap源代码解压缩至目录nmap-5.5。

进入该目录进行配置：

# ./configure

配置结束后用make命令进行编译：

# make

编译结束后用make install进行安装：

# make install

(2)使用

◆各种扫描模式与参数

首先需要输入要探测的主机IP地址作为参数。假设一个LAN中有两个节点：

192.168.12.1和192.168.12.2

# nmap 192.168.12. 1

Starting nmap 5.5(/nmap/) at 2010-01-24 15:24 CST

Interesting ports on 192.168.12. 1：(The 1651 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

25/tcp open smtp

80/tcp open http

135/tcp open msrpc

139/tcp open netbios-ssn

443/tcp open https

445/tcp open Microsoft-ds

1025/tcp open NFS-or-IIS

1033/tcp open netinfo

1521/tcp open oracle

2030/tcp open device2

3372/tcp open msdtc

8080/tcp open http-proxy

MAC Address: 00:E0:4C:12:FA:4B (Realtek Semiconductor)

Nmap run completed – 1 IP address (1 host up)

Scanned in 22.882 seconds

上面是对目标主机进行全面TCP扫描的结果，显示了监听端口的服务情况，这一基本操作不需要任何参数。但是，由于在扫描过程中建立了完整的TCP连接，主机可以很容易地监测到这类扫描。该命令是参数开关-sT的缺省。

-sS选项可以进行更加隐蔽地扫描，并防止被目标主机检测到，但此方式需要用户拥有root权限。-sF、-sX和-sN则可以进行一些超常的扫描。假如目标主机安装了过滤和日志软件来检测同步空闲字符SYN，那么-sS的隐蔽作用就失效了，此时可以采用-sF(隐蔽FIN)、-sX(Xmas Tree)及-sN(Null)方式扫描。

这里需要注意的是，由于微软的实现方式不同，对于运行Win 2003,Vista等NT的机器FIN 、Xmas或Null的扫描结果都是将端口关闭，由此可作为推断目标主机运行Windows操作系统的一种方法。以上命令都需要有root权限。-sU选项是监听目标主机的UDP，而不是默认的TCP端口。尽管在Linux机器上有时慢一些，比如，输入上面的例子：# nmap -sU 192.168.12.1

Starting nmap 5.5 (/nmap/) at 2010-01-24 15:28 CST

Interesting ports on 192.168.12.1:

(The 1472 ports scanned but not shown below are in state:closed)

PORT STATE SERVICE

135/udp open msrpc

137/udp open∣filtered netbios-ns

138/udp open∣filtered netbios-dgm

445/udp open∣filtered microsoft-ds

500/udp open∣filtered isakmp

3456/udp open∣filtered IISrpc-or-vat

MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)

Nmap run completed – 1 IP address (1 host up) scanned in 4.381 seconds

◆操作系统探测

使用-O选项可推断目标主机的操作系统，既可与上述的命令参数联合使用，也可单独调用。Nmap利用TCP/IP―指纹‖技术来推测目标主机的操作系统。还使用前面的例子：#nmap -O 192.168.12. 1

Starting nmap 5.5(/nmap/)at 2010-01-24 16:03 CST

Interesting ports on 192.168.12. 1:

(The 1651 ports scanned but not shown below are in state:closed)

PORT STATE SERVICE

25/tcp open smtp

80/tcp open http

135/tcp open msrpc

139/tcp open netbios-ssn

443/tcp open https

445/tcp open Microsoft-ds

1025/tcp open NFS-or-IIS

1033/tcp open netinfo

1521/tcp open oracle

2030/tcp open device2

3372/tcp open msdtc

8080/tcp open http-proxy

MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)