linux 服务器必备的常用安全软件： 作为一个合格的网络系统管理员，要谁时应对可能发生的安全问题，掌握Linux下各种必须的安全工具设备是很重要的。本文主要介绍Linux上常用的安全工具，例如，Nmap、Snort、Nesseu等安装、使用和维护知识。通过这些工具管理人员能够了解其系统目前存在的安全隐患、入侵者可能利用的漏洞，及时发现入侵，并构造一个坚固的防御体系将入侵拒之门外。 一、安全信息收集软件 对于系统管理员来说，了解和掌握系统当前的安全状态是做到“知己”的第一个步骤。安全信息收集软件就是用来收集目前系统安全状态的有力工具。端口扫描软件和漏洞扫描软件是常用的信息收集软件。入侵者通常通过端口扫描软件来掌握系统开放端口，运行服务器软件版本和操作系统版本等相关信息。而对于管理人员，通过这些软件可以让管理人员从入侵者的角度来审视系统，并且能够根据这些信息进行相应的配置和修改来迷惑入侵者。漏洞扫描软件能够获得具体的漏洞信息，利用这些漏洞信息，入侵者能够轻易地访问系统、获得非授权信息，甚至是获得整个系统的控制权限。而对于管理人员，通过漏洞扫描软件获得的信息能够帮助自己及时对系统进行加固和防御，让入侵者无机可乘。 1、Nmap Nmap是一个网络探测和安全扫描程序，使用这个软件可以扫描大型的网络，以获取那台主机正在运行及提供什么服务等信息。Nmap支持很多扫描技术，例如UDP、TCPconnect()、TCP SYN（半开扫描）、FTP代理（bounce攻击）、反向标志、ICMP、FIN、ACK扫描、圣诞树（Xmas Tree）、SYN扫描和null扫描。Nmap还提供了一些高级的特征，例如，通过TCP/IP协议栈特征探测操作系统类型、秘密扫描、动态延时、重传计算和并行扫描，通过并行ping扫描探测关闭的主机、诱饵扫描，避开端口过滤检测，直接RPC扫描（无须端口影射）、碎片扫描，以及灵活的目标和端口设定。 （1）安装 Nmap的安装很简单，Linux各发行版本上通常都已经安装了Namp。这里首先用“nmap-v”查看当前系统所安装的nmap版本号： # nmap -v Starting nmap V. 4.00.(www.insecure.org/nmap/) …… 由于目前系统所安装的Nmap为4.00，不是最新版本，因此要首先从http://www.insecure.org/nmap/下载最新版本的源代码。目前最新版本为Nmap-5.5.tar.bz2，该文件为源代码压缩包，需要用bzip2进行解压缩。我们将该文件下载并保存在/root/nmap下，以root用户进行安装。 # bzip2 –cd nmap-5.5.tar.bz2∣tar xvf- 该命令将Nmap源代码解压缩至目录nmap-5.5。 进入该目录进行配置： # ./configure 配置结束后用make命令进行编译： # make 编译结束后用make install进行安装： # make install  (2)使用 ◆各种扫描模式与参数 首先需要输入要探测的主机IP地址作为参数。假设一个LAN中有两个节点：192.168.12.1和192.168.12.2  # nmap 192.168.12. 1 Starting nmap 5.5(http://www.insecure.org/nmap/) at 2010-01-24 15:24 CST Interesting ports on 192.168.12. 1： (The 1651 ports scanned but not shown below are in state: closed) PORT    STATE SERVICE 25/tcp    open smtp 80/tcp    open http 135/tcp   open msrpc 139/tcp   open netbios-ssn 443/tcp   open https 445/tcp   open Microsoft-ds 1025/tcp open NFS-or-IIS 1033/tcp open netinfo 1521/tcp open oracle 2030/tcp open device2 3372/tcp open msdtc 8080/tcp open http-proxy MAC Address: 00:E0:4C:12:FA:4B (Realtek Semiconductor) Nmap run completed – 1 IP address (1 host up) Scanned in 22.882 seconds     上面是对目标主机进行全面TCP扫描的结果，显示了监听端口的服务情况，这一基本操作不需要任何参数。但是， 由于在扫描过程中建立了完整的TCP连接，主机可以很容易地监测到这类扫描。该命令是参数开关-sT的缺省。     -sS选项可以进行更加隐蔽地扫描，并防止被目标主机检测到，但此方式需要用户拥有root权限。-sF、-sX和-sN则可以进行一些超常的扫描。假如目标主机安装了过滤和日志软件来检测同步空闲字符SYN，那么-sS的隐蔽作用就失效了，此时可以采用-sF(隐蔽FIN)、-sX(Xmas Tree)及-sN(Null)方式扫描。     这里需要注意的是，由于微软的实现方式不同，对于运行Win 2003,Vista等NT的机器FIN 、Xmas或Null的扫描结果都是将端口关闭，由此可作为推断目标主机运行Windows操作系统的一种方法。以上命令都需要有root权限。-sU选项是监听目标主机的UDP，而不是默认的TCP端口。尽管在Linux机器上有时慢一些，比如，输入上面的例子： # nmap -sU 192.168.12.1 Starting nmap 5.5 (http://www.insecure.org/nmap/) at 2010-01-24 15:28 CST  Interesting ports on 192.168.12.1: (The 1472 ports scanned but not shown below are in state:closed) PORT    STATE        SERVICE 135/udp   open       msrpc 137/udp   open∣filtered netbios-ns 138/udp   open∣filtered netbios-dgm 445/udp   open∣filtered   microsoft-ds 500/udp   open∣filtered isakmp 3456/udp open∣filtered IISrpc-or-vat MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor) Nmap run completed – 1 IP address (1 host up) scanned in 4.381 seconds ◆操作系统探测 使用-O选项可推断目标主机的操作系统，既可与上述的命令参数联合使用，也可单独调用。Nmap利用TCP/IP“指纹”技术来推测目标主机的操作系统。还使用前面的例子： #nmap -O 192.168.12. 1 Starting nmap 5.5(http://www.insecure.org/nmap/)at 2010-01-24 16:03 CST Interesting ports on 192.168.12. 1: (The 1651 ports scanned but not shown below are in state:closed) PORT    STATE SERVICE 25/tcp    open smtp 80/tcp    open http 135/tcp   open msrpc 139/tcp   open netbios-ssn 443/tcp   open https 445/tcp   open Microsoft-ds 1025/tcp open NFS-or-IIS 1033/tcp open netinfo 1521/tcp open oracle 2030/tcp open device2 3372/tcp open msdtc 8080/tcp open http-proxy MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor) Device type: general purpose Running:Microsoft Windows 95/98/ME∣NT/2K/XP OS details:Microsoft Windows Millennium Edition(Me),Windows 2000 Pro or Advanced Server,or Windows XP Nmap run completed – 1 IP address(1 host up) scanned in 3.398 seconds Nmap提供了一个OS数据库，上例中检测到了该主机运行的操作系统为Windows系列操作系统，可能为Windows 98、Windows 2000 Pro，或者为Windews vista/Windows 7等。 ◆更进一步的应用 除了一次只扫描一个目标主机外，还可以同时扫描一个主机群，比如“nmap –sT –O 203.187.1.1-50”就可以同时扫描并探测IP地址在203.187.1.1到203.187.1.50之间的每一台主机。当然这需要更多的时间，耗费更多的系统资源和网络带宽，输出结果也可能很长。所以，可以使用下面命令将结果重定向输送到一个文件中： #nmap -sT -O -oN test.txt 202.96.1.1-50 另外的一些命令参数选项如下： -I 进行TCP反向用户认证扫描，可以透露扫描用户信息； -iR 进行随机主机扫描； -p 扫描特定的端口范围； -v 长数据显示，“-v -v”是最长数据显示； -h 快捷帮助。 下面给一个综合了上述参数的例子： #nmap -sS -p 23,80 -oN ftphttpscan.txt 203.187.53.50-100 ◆Nmap图形用户界面 Nmap有一些图形用户前端，比如，NmapFE(GTK界面)网址为 http://codebox.net/nmapfe.html；Kmap(Qt/KDE前端)网址为 http://www.edotorg.org/kde/kmap/；KNmap(KDE前端)网址为 http://pages.infinit.net/rewind/。 2.Nessus      Nessus是一个功能强大而又易于使用的远程安全扫描器，它不仅免费，而且更新极快。安全扫描器的功能是对指定网络进行安全检査，找出该网络是否存在有导致对手攻击的安全漏洞。该系统被设计为Client/Sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。在服务端还采用了plug-in的体系，允许用户加入执行特定功能的插件，该插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检査的结果。检查的结果可以HTML、纯文本、LaTeX（一种文本文件格式）等几种格式保存。在未来的新版本中，Nessus将会支持速度更快的安全检查，而且这种检查将会占用更少的带宽，其中可能会用到集群的技术以提高系统的运行效率。 Nessus的主要优点在于其采用了基于多种安全漏洞的扫描，避免了扫描不完整的情况；它是免费的，比起商业的安全扫描工具，如ISS具有价格优势；扩展性强、容易使用、功能强大，可以扫描出多种安全漏洞。    Nessus的安全检查完全是由plug-ins的插件完成的。