常用的Linux網路安全工具介紹

2021-04-12 12:19:17 字數 4736 閱讀 9500

儘管各種版本的linux distribution 附帶了很多開放源的自由軟體,但是仍然有大量的有用的工具沒有被預設。

包括在它們的安裝光碟內,特別是有一些可以增強linux網路安全的工具包,它們大多也是開放源的自由軟體。

這裡簡單地介紹一下幾個增強linux網路安全的工具。

1. sudocode:

[copy to clipboard]

[root@sh-proxy /etc]# more sudoers

host_alias server=sh-proxy

# user alias specification

user_alias admin=jephe,tome

# cmnd alias specification

cmnd_alias shutdown=/etc/halt,/etc/shutdown,/etc/reboot

admin server=shutdown

jephe server=/usr/bin/tail -f /var/log/maillog

jephe server=/usr/bin/tail -f /var/log/messages

# user privilege specification

root all=(all) all

-----------

既然我經常需要遠端登入到伺服器觀察email log檔案/var/log/maillog的變化,因此我加了這一行到 /etc/sudoers,這樣我不需要經常登入作為root來完成我的日常工作,改善了安全性。

2. sniffit

sniffit 是乙個有名的網路埠探測器,你可以配置它在後台執行以檢測哪些tcp/ip埠上使用者的輸入/輸出資訊。

最常用的功能是攻擊者可以用它來檢測你的23(telnet)和110(pop3)埠上的資料傳送以輕鬆得到你的登入口令和mail帳號密碼,sniffit基本上是被破壞者所利用的工具,但是既然想知道如何增強你的站點的安全性,首先你應該知曉闖入者們所使用的各種工具。

你能執行sniffit -i以互動式圖形介面檢視所有在指定網路介面上的輸入/輸出資訊。

如:為了得到所有使用者通過某介面a.b.c.d接收郵件時所輸入的pop3帳號和密碼,你能執行

#sniffit -p 110 -t a.b.c.d &

#sniffit -p 110 -s a.b.c.d &

記錄檔案放在目錄/usr/doc/sniffit*下面:

log file根據訪問者的ip位址,隨機高階埠號和用來檢測的網路介面ip位址和檢測埠來命名。它利用了tcp/ip協議天生的虛弱性,因為普通的telnet和pop3所傳的使用者名稱和密碼資訊都是明文,不帶任何方式的加密。 因此對telnet/ftp.你可以用ssh/scp來替代. sniffit檢測到的ssh/scp資訊基本上是一堆亂碼,因此你不需要擔心ssh所傳送的使用者名稱和口令資訊會被第三方所竊取。

3. ttysnoop(s)

ttysnoop是乙個重定向對乙個終端號的所有輸入/輸出到另乙個終端的程式。目前我所知道的它的所在**為http://uscan.cjb.net,但是始終連不上去,從其它途徑我得到了ttysnoop-0.12c-5 ,位址是http://rpmfind.net/linux/rpm/contrib/libc6/i386/ttysnoop-0.12c-5.i386.html這個版本好象還不能支援shadow password,安裝後你需要手動建立目錄/var/spool/ttysnoop測試這個程式是有趣的,下面是相關指令:

首先改/etc/inetd.conf中的in.telnetd預設呼叫login登入程式為/sbin/ttysnoops,象下面這樣:

code:

[copy to clipboard]

[root@jephe /etc]# more inetd.conf | grep in.telnetd

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -l /sbin/ttysnoops

更改後一定要執行killall -hup inetd使之生效,確保不要使用陰影口令,用#pwunconv禁止陰影口令。

再編輯檔案/etc/snooptab預設配置就可以了。

code:

[copy to clipboard]

[root@jephe /etc]# more snooptab

ttys1 /dev/tty7 login /bin/login

ttys2 /dev/tty8 login /bin/login

* socket login /bin/login

------

最後,如果在某個終端上有人登入進來(你可以用w命令檢視它在哪個終端),如登入終端裝置為ttyp0,則你可以登入進伺服器打入#/bin/ttysnoop ttyp0(提示輸入root口令,再次,上面提到的這個版本不支援陰影口令)以監視使用者的登入視窗。

4. nmap

nmap 是用來對乙個比較大的網路進行埠掃瞄的工具,它能檢測該伺服器有哪些tcp/ip埠目前正處於開啟狀態。你可以執行它來確保已經禁止掉不該開啟的不安全的埠號。

nmap的主頁在http://www.insecure.org/nmap/index.html

下面給出乙個簡單的例子:

code:

[copy to clipboard]

[root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn

starting nmap v. 2.12 by fyodor ([email protected], www.insecure.org/nmap/)

interesting ports on public.sta.net.cn (202.96.199.97):

port state protocol service

21 open tcp ftp

23 open tcp telnet

25 open tcp **tp

109 open tcp pop-2

110 open tcp pop-3

143 open tcp imap2

513 open tcp login

514 open tcp shell

7000 open tcp afs3-fileserver

nmap run completed -- 1 ip address (1 host up) scanned in 15 seconds

第二部分

一 john the ripper

在linux中,密碼以hash格式被儲存,你不能反向從該hash資料表中分析出密碼,但可以以一組單詞hash後和它進行比較,如相同則就猜測出密碼。故起乙個很難被猜測的密碼是非常關鍵的。一般地你決不能用字典存在的某個單詞作為密碼,那是相當容易被猜測出來的。另外也不能用一些常見的有規則性的字母數字排列來作為密碼,以123abc等。

john the ripper是乙個高效的易於使用的密碼猜測程式,其主頁在http://www.openwall.com/john/

john也可以crack由htpasswd 生成的用於驗證apache使用者的密碼,如果你用htpasswd -c apachepasswd user建立了乙個使用者user,並生成了密碼,你也可以用john apachepasswd來進行猜測。john在猜測密碼時輸出在終端上,並把猜測出的密碼存於john.pot檔案中。

另乙個password cracker是大家知道的經典的cracker. 主頁在http://www.users.dircon.co.uk/~crypto/

二.logcheck

logcheck是用來自動檢查系統安全入侵事件和非正常活動記錄的工具,它分析各種linux log檔案,

象/var/log/messages, /var/log/secure,/var/log/maillog等等,然後生成乙個可能有安全問題的問題報告自動傳送email給管理員。你能設定它基於每小時,或者每天用crond來自動執行。

利用logcheck工具分析你的所有logfile,避免了你每天經常手動地檢查它們,節省了時間,提高了效率。

三. tripwire

tripwire 是乙個用來檢驗檔案完整性的非常有用的工具,你能定義哪些檔案/目錄需要被檢驗,不過預設設定能滿足大多數的要求,它執行在四種模下:資料庫生成模式,資料庫更新模式,檔案完整性檢查,互動式資料庫更新。當初始化資料庫生成的時候,它生成對現有檔案的各種資訊的資料庫檔案,萬一以後你的系統檔案或者各種配置檔案被意外地改變,替換,刪除,它將每天基於原始的資料庫對現有檔案進行比較發現哪些檔案被更改,你能根據email的結果判斷是否有系統入侵等意外事件。

tripwire的主頁在 http://www.tripwiresecurity.com , tripwire-1.2.3的版本你能免費使用。如果你使用redhat linux 6.1,你也能得到最新的為6.1重建的tripwire-1.2.3

(http://rufus.w3.org/linux/rpm/powertools/6.1/i386/tripwire-1.2-3.i386.html)當你手動更改了系統中的配置檔案或程式時,你能手動再次生成一次資料庫檔案,執行 tripwire-initialize 在當前目錄下建立databases目錄並在該目錄下生成新的系統資料庫檔案,然後cp到/var/spool/tripwire目錄中覆蓋舊的 

網路安全學習 2常用工具

功能區介紹 該功能主要用於檢視 的目錄及元素,scope主要是配合site map做一些過濾的功能。1.intercept模組 抓包 該模組主要是控制抓取到的資料報,用於顯示修改http請求及響應內容,並可以將攔截的http請求快速傳送至其他模組處理。forward 用於手動傳送資料。當前所需要的h...

網路安全 Linux基礎

上一階段完成了vm虛擬機器安裝和centos6作業系統的安裝,接下來講解一下linux一些基礎知識。cd 命令,cd home 進入 home 目錄cd root 進入 root 目錄 cd 返回上一級目錄 cd 當前目錄 ls 檢視當前目錄所有的檔案和目錄。ls a 檢視所有的檔案,包括隱藏檔案,...

網路安全測試工具收集

附件預覽 2012 黑客x檔案 2010年電子雜誌彙總 2011 年 黑客x檔案 電子雜誌彙總 知名廠商安全閘道器配置手冊 無線密碼破解綜合教程 ddos 攻擊與檢測精選工具合集 the tangled web syngress 安全叢書 xss attacks 電子書 web應用安全測試規範 we...