這篇文章不但寫給個(gè)人用戶,同樣也是給系統(tǒng)管理員提供的,盡管一些工具是為保護(hù)主機(jī)和提高網(wǎng)絡(luò)安全專門設(shè)計(jì)的.大部分工具可以在許多unix上工作(如果不是全部的unix上),不管這些unix是商業(yè)的還是免費(fèi)的。

　　 后,這篇文章不是一篇"如何使你的網(wǎng)絡(luò)或主機(jī)安全"的文章,而是一篇關(guān)于你能夠(必須)用來提高一個(gè)網(wǎng)絡(luò)或機(jī)器安全性的各種工具的介紹.

　　一、通用的工具

　　讓我們把這部分稱為"白帽子保護(hù)紅帽子,擊退黑帽子的工具(tools for whitehats to protect redhat from blackhats)":-).大多數(shù)linux發(fā)行版(不僅僅是redhat)都保含了一些好的安全工具,它們被用來使你的機(jī)器更加安全.

　　在這些工具中,我們能數(shù)出TCPWrapper,PAM,影子口令工具等,因?yàn)樗鼈兪前l(fā)行版的一部份,你可以找到關(guān)于它們的許多東西:HOWTO,man手冊,所以我們不想在它們身上化太多時(shí)間.

　　讓我們從影子口令工具開始,簡單來說,它們允許口令加密,文件/etc/passwd被文件/etc/shadow代替.

　　比影子口令工具更精致的是PAM,就象名字所說的那樣,這是另外一種認(rèn)證方法,被用來配置對服務(wù)的訪問控制.

　　可以在一些文件中定義許多限制,這樣能容易地進(jìn)行管理.這些文件通常放在/etc/pam.d目錄中.

　　TCPWrapper,簡單來說,是通過ip地址或主機(jī)名來限制服務(wù)訪問權(quán)限.倚靠兩個(gè)文件來決定容許訪問還是拒絕訪問,這兩個(gè)文件是/etc/host.allow和/etc/host.deny

　　TCPWrapper可以配置為兩種工作模式:通過運(yùn)行看守進(jìn)程,或者是修改/etc/inetd.conf文件.如果你的unix系統(tǒng)沒有包含TCPWrapper,你可以從ftp://ftp.porcuPINe.org/pub/security/獲得它.

　　現(xiàn)在,我要告訴你們,為什么我不詳悉介紹上面提到的這些工具,因?yàn)橛幸粋�(gè)工具可以完成上敘所有的功能,這就是Bastille-Linux,如果你只想安裝一個(gè)安全工具,那么就安裝它吧,目前的常見的linux版本還沒有包含它, 但你可以到http://bastille-linux.sourceforge.net網(wǎng)站上下載.

　　順便說一下,我們不會在本文介紹Bastille-Linux,這樣做毫無意義,因?yàn)槲业耐略诰旁路莸腖inuxFocus上有一篇相當(dāng)不錯(cuò)的文章已經(jīng)介紹了它.他已經(jīng)介紹了所有的東西.去那看看吧,讓我們把Bastille-Linux加入你生活中必不可少的重要工具中吧!

　　另外一個(gè)常用的來提高安全性的工具是xinetd,它存在于http://www.xinetd.org,對不起,我也不打算介紹它,同樣是是因?yàn)槲业耐略谑辉路莸腖inuxFocus上做完了這項(xiàng)工作.

　　現(xiàn)在,讓我們來看一看一些特別的東西。
二、防火墻工具

　　自由軟件Linux帶有把你機(jī)器變成防火墻的軟件.2.2內(nèi)核是iptables,而2.0內(nèi)核則是ipfwadm.為了使iptables或ipfwadm工作,內(nèi)核必需正確選擇選項(xiàng)進(jìn)行編譯.關(guān)于這個(gè)問題,除了HOWTOS,還有很多相關(guān)文章,所以,同樣我不打算多提.

　　簡單地說,我們可以把防火墻看作包過濾工具,工作 重要的部分是關(guān)心防火墻的配置,同樣,一個(gè)錯(cuò)誤配置的防火墻會變得非常危險(xiǎn).

　　不管怎么說,防火墻相當(dāng)重要.

　　舉個(gè)例子來說,Bastille-Linux可以給你提供一個(gè)基于ipchains的防火墻.

　　如果你訪問http://www.linuxapps.com,并在搜索區(qū)中鍵入"firewall",你至少能得到40個(gè)以上的答案.其中許多是基于ipchains或ipfwadm管理的圖形化界面,另外一些是真正的大工具,含有大量的功能,舉個(gè)例子,象T.REX,http://www.opensourcefirewall.com上的工具就是這樣的東西.再提醒一次,一個(gè)防火墻在一個(gè)網(wǎng)絡(luò)中必不可少,但是網(wǎng)絡(luò)安全不能僅僅依靠它,告訴你,一個(gè)駭客可以在十五分鐘之內(nèi)攻破它.

　　三、端口掃描

　　在這里我們接觸問題的核心部分,這個(gè)思想是:象一個(gè)駭客干的那樣,使用同樣的工具,來監(jiān)測你機(jī)器或網(wǎng)絡(luò)的弱點(diǎn)所在.

　　在這個(gè)領(lǐng)域,我們能夠在兩個(gè)偉大的工具上受益,但還有其它更多的.

　　第一個(gè)叫作nmap,你可以從http://www.insecure.org上下載到,同時(shí)還有大量的信息和鏈接等等.

　　用nmap你可以檢查你的網(wǎng)絡(luò)或機(jī)器哪些端口是開放的.當(dāng)然,你可以用其它的命令做到這點(diǎn),例如lSOF或netstat,但是只能檢測你自己的機(jī)器.顯而易見的,nmap當(dāng)然也可以檢查你自己的機(jī)器.

　　nmap能提供給你許多信息,例如,它能告訴你運(yùn)行的是哪種操作系統(tǒng),通知你所開放的端口的危險(xiǎn)性, 后,至少,nmap相當(dāng)容易使用.

　　nmap既可在shell下運(yùn)行,也可以通過一個(gè)叫nmapfe的圖形界面來運(yùn)行.這個(gè)圖形界面是基于gtk庫的,nmap的當(dāng)前版本是2.53,它可以在許多unix平臺上運(yùn)行,提供原代碼,rpm包,帶或不帶圖形界面.

　　nmap是系統(tǒng)管理必不缺少的工具.

• 1
• 2
• 3
• 4
• 下一頁

【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： 紅外遙控器的組成和原理
• 下一篇： 怎樣增強(qiáng)Linux系統(tǒng)安全性