如果你只有一臺(tái)電腦，那么對(duì)你而言花費(fèi)大量的工夫仔細(xì)審查系統(tǒng)的弱點(diǎn)和問(wèn)題是完全可能的?？赡苣悴⒉徽娴孟Ｍ@樣，但卻有此可能。不過(guò)，在現(xiàn)實(shí)世界中，我們需要一些好的工具來(lái)幫助我們監(jiān)視系統(tǒng)，并向我們發(fā)出警告，告訴我們哪里可能出現(xiàn)問(wèn)題，因此我們可以經(jīng)常地輕松一下。入侵檢測(cè)可能是一種令我們操心的問(wèn)題之一。不過(guò)，事情總有兩方面，幸好Linux的管理員們擁有可供選擇的強(qiáng)大工具。最佳的策略是采用分層的方法，即將“老當(dāng)益壯”的程序，如 Snort、iptables等老前輩與psad、Apparmor、SELinuxu等一些新生力量結(jié)合起來(lái)，借助強(qiáng)大的分析工具，我們就可以始終站在技術(shù)的前沿。

在現(xiàn)代，機(jī)器上的任何用戶(hù)賬戶(hù)都有可能被用來(lái)作惡。筆者認(rèn)為，將全部的重點(diǎn)都放在保護(hù)root上，就好像其它用戶(hù)賬戶(hù)不重要一樣，這是Linux和Unix安全中一個(gè)長(zhǎng)期存在的、慢性的弱點(diǎn)問(wèn)題。一次簡(jiǎn)單的重裝可以替換受損的系統(tǒng)文件，不過(guò)數(shù)據(jù)文件怎么辦?任何入侵都擁有造成大量破壞的潛力。事實(shí)上，要散布垃圾郵件、復(fù)制敏感文件、提供虛假的音樂(lè)或電影文件、對(duì)其它系統(tǒng)發(fā)動(dòng)攻擊，根本就不需要獲得對(duì)root的訪(fǎng)問(wèn)。

IDS新寵：PSAD

Psad是端口掃描攻擊檢測(cè)程序的簡(jiǎn)稱(chēng)，它作為一個(gè)新工具，可以與iptables和Snort等緊密合作，向我們展示所有試圖進(jìn)入網(wǎng)絡(luò)的惡意企圖。這是筆者首選的Linux入侵檢測(cè)系統(tǒng)。它使用了許多snort工具，它可以與fwsnort和iptables的日志結(jié)合使用，意味著你甚至可以深入到應(yīng)用層并執(zhí)行一些內(nèi)容分析。它可以像Nmap一樣執(zhí)行數(shù)據(jù)包頭部的分析，向用戶(hù)發(fā)出警告，甚至可以對(duì)其進(jìn)行配置以便于自動(dòng)阻止可疑的IP地址。

事實(shí)上，任何入侵檢測(cè)系統(tǒng)的一個(gè)關(guān)鍵方面是捕獲并分析大量的數(shù)據(jù)。如果不這樣做，那只能是盲目亂來(lái)，并不能真正有效地調(diào)整IDS。我們可以將PSAD的數(shù)據(jù)導(dǎo)出到AfterGlow 和 Gnuplot中，從而可以知道到底是誰(shuí)正在攻擊防火墻，而且是以一種很友好的界面展示。

老當(dāng)益壯：Snort

正如一位可信任的老人，隨著年齡的增長(zhǎng)，Snort也愈發(fā)成熟。它是一款輕量級(jí)且易于使用的工具，可以獨(dú)立運(yùn)行，也可以與psad和iptables一起使用。我們可以從Linux的發(fā)行版本的程序庫(kù)中找到并安裝它，比起過(guò)去的源代碼安裝這應(yīng)該是一個(gè)很大的進(jìn)步。至于保持其規(guī)則的更新問(wèn)題，也是同樣的簡(jiǎn)單，因?yàn)樽鳛镾nort的規(guī)則更新程序和管理程序，oinkmaster也在Linux發(fā)行版本的程序庫(kù)中。 Snort易于管理，雖然它有一些配置上的要求。要開(kāi)始使用它，默認(rèn)的配置對(duì)大多數(shù)網(wǎng)絡(luò)系統(tǒng)并不適用，因?yàn)樗鼘⑺胁恍枰囊?guī)則也包括在其中。所以我們要做的第一件事情是清除所有不需要的規(guī)則，否則就會(huì)損害性能，并會(huì)生成一些虛假的警告。

另外一個(gè)重要的策略是要以秘密模式運(yùn)行Snort，也就是說(shuō)要監(jiān)聽(tīng)一個(gè)沒(méi)有IP地址的網(wǎng)絡(luò)接口。在沒(méi)有為它分配IP地址的接口上，如ifconfig eth0 up，以-i選項(xiàng)來(lái)運(yùn)行Snort，如snort –i eth0。還有可能發(fā)生這樣的事情：如果你的網(wǎng)絡(luò)管理程序正運(yùn)行在系統(tǒng)中，那它就會(huì)“有助于”展現(xiàn)出還沒(méi)有配置的端口，因此建議還是清除網(wǎng)絡(luò)管理程序。

Snort可以收集大量的數(shù)據(jù)，因此需要添加BASE(基本分析和安全引擎)，以便于獲得一個(gè)友好的可視化的分析工具，它以較老的ACID(入侵?jǐn)?shù)據(jù)庫(kù)分析控制臺(tái))為基礎(chǔ)。

簡(jiǎn)潔方便：chkrootkit和rootkit

Rootkit檢測(cè)程序chkrootkit和rootkit Hunter也算是老牌的rootkit檢測(cè)程序了。很明顯，在從一個(gè)不可寫(xiě)的外部設(shè)備運(yùn)行時(shí)，它們是更可信任的工具，如從一個(gè)CD或?qū)懕Ｗo(hù)的USB驅(qū)動(dòng)器上運(yùn)行時(shí)就是這樣。筆者喜歡SD卡，就是因?yàn)槟莻€(gè)寫(xiě)保護(hù)的的開(kāi)關(guān)。這兩個(gè)程序可以搜索已知的rooktkit、后門(mén)和本地的漏洞利用程序，并且可以發(fā)現(xiàn)有限的一些可疑活動(dòng)。我們需要運(yùn)行這些工具的理由在于，它們可以查看文件系統(tǒng)上的/proc、ps和其它的一些重要的活動(dòng)。雖然它們不是用于網(wǎng)絡(luò)的，但卻可以快速掃描個(gè)人計(jì)算機(jī)。

多面手：Tripwire

Tripwire是一款入侵檢測(cè)和數(shù)據(jù)完整性產(chǎn)品，它允許用戶(hù)構(gòu)建一個(gè)表現(xiàn)最優(yōu)設(shè)置的基本服務(wù)器狀態(tài)。它并不能阻止損害事件的發(fā)生，但它能夠?qū)⒛壳暗臓顟B(tài)與理想的狀態(tài)相比較，以決定是否發(fā)生了任何意外的或故意的改變。如果檢測(cè)到了任何變化，就會(huì)被降到運(yùn)行障礙最少的狀態(tài)。

如果你需要控制對(duì)Linux或UNIX服務(wù)器的改變，可以有三個(gè)選擇：開(kāi)源的Tripwire、服務(wù)器版Tripwire、企業(yè)版Tripwire。雖然這三個(gè)產(chǎn)品有一些共同點(diǎn)，但卻擁有大量的不同方面，使得這款產(chǎn)品可以滿(mǎn)足不同IT環(huán)境的要求。

如開(kāi)源的Tripwire對(duì)于監(jiān)視少量的服務(wù)器是合適的，因?yàn)檫@種情形并不需要集中化的控制和報(bào)告;服務(wù)器版Tripwire對(duì)于那些僅在Linux/UNIX/Windows平臺(tái)上要求服務(wù)器監(jiān)視并提供詳細(xì)報(bào)告和最優(yōu)化集中服務(wù)器管理的IT組織是一個(gè)理想的方案;而企業(yè)版Tripwire對(duì)于需要在Linux/UNIX/Windows服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、桌面和目錄服務(wù)器之間安全地審核配置的IT組織而言是最佳選擇。

【編輯推薦】

1. Linux系統(tǒng)下配置Netware服務(wù)器方法
2. 嵌入式設(shè)備上的 Linux 系統(tǒng)開(kāi)發(fā)
3. 深度介紹Linux內(nèi)核是如何工作的(1)