除了要讓系統(tǒng)更加安全之外，還有一些工具可以用來(lái)判斷系統(tǒng)抵擋各種攻擊的能力，例如：使用諸如 blockall 之類的防火墻工具，您可以限制所有到達(dá)的 TCP 通信;使用諸如 floppyfw 之類的工具，您可以在一張軟盤中實(shí)現(xiàn)防火墻。Labrea 是一個(gè)“粘蜜罐”，可以限定蠕蟲(chóng)和端口掃描攻擊，從而消除它們的影響。還有很多入侵檢測(cè)系統(tǒng)(IDS)，例如非常流行的 Snort 和 logsnorter。報(bào)文嗅探器，例如 ethereal、dsniff、driftnet、urlsnarf 和 msgsnarf，可以幫助過(guò)濾未用的通信，例如會(huì)浪費(fèi)帶寬的 IM 消息。無(wú)線工具，例如 airsnarf、airsnort 和 kismet，可以幫助評(píng)估無(wú)線網(wǎng)絡(luò)的情況。有些成功的工具，例如 chntpw(可以重置 Windows 系統(tǒng)上的密碼)和 pwl9x(可以攻擊 Windows 9x 密碼文件)，以及 allwords2(一個(gè) 27 MB 英文字典)可以促使大家采用更長(zhǎng)的包含數(shù)字的非標(biāo)準(zhǔn)密碼。如果您認(rèn)為這已經(jīng)涉及了所有的方面，那么就請(qǐng)?jiān)囈幌氯毕菰u(píng)估工具，例如 hydra、nessus 和 nmap。嘿!大部分工具都只能在 Linux 上運(yùn)行!

　　現(xiàn)在 Linux 不是什么問(wèn)題，畢竟它是免費(fèi)的，我可以在自己家的系統(tǒng)上運(yùn)行。但是誰(shuí)愿意花上一個(gè)周末的時(shí)間來(lái)安裝和配置系統(tǒng)呢?起碼我不愿意。如果我希望測(cè)試工作時(shí)所使用的機(jī)器又該如何呢?我需要獲得授權(quán)才能在上面安裝 Linux 嗎?這里有一個(gè)非常簡(jiǎn)單的解決方案。就是這里。歡迎進(jìn)入 LiveCD 上的安全評(píng)估工具世界。

       關(guān)于 LiveCD

　　LiveCD 是一個(gè)保存在可啟動(dòng)的 CD-ROM 上的操作系統(tǒng)(以及其他軟件)，從這上面可以啟動(dòng) OS，而不用再進(jìn)行漫長(zhǎng)的安裝過(guò)程。大部分都是基于 Linux 內(nèi)核的(但是也有一些 LiveCD 是為其他操作系統(tǒng)準(zhǔn)備的)。它在工作時(shí)將這些文件放到一個(gè) RAM 磁盤上(這樣就減少了應(yīng)用程序可以使用的 RAM 數(shù)量，從而會(huì)降低系統(tǒng)的性能，但是不要忘了，我們的目標(biāo)是評(píng)估系統(tǒng)的安全性)。一旦取出 LinveCD 并重新啟動(dòng)系統(tǒng)之后，原始的系統(tǒng)就恢復(fù)了。有些 LiveCD 上還提供了一個(gè)安裝工具，使用它可以將系統(tǒng)安裝到硬盤或 USB 磁盤中;大部分這種 LiveCD 都可以訪問(wèn)內(nèi)部/外部硬盤、磁盤和閃存上的信息。

　　syslinux 用來(lái)啟動(dòng)基于 Linux 的 LiveCD，以及 Linux 軟盤。對(duì)于 PC 來(lái)說(shuō)，可啟動(dòng) CD 通常遵守 El Torito 規(guī)范，這會(huì)將磁盤上的某個(gè)文件(可能是隱藏的)當(dāng)作一個(gè)軟盤映像來(lái)使用。很多 LiveCD 都使用了一個(gè)壓縮的文件系統(tǒng)映像，其中通常提供了 cloop 壓縮 loopback 驅(qū)動(dòng)器來(lái)有效地雙倍利用存儲(chǔ)能力。

　　市場(chǎng)上有一些模擬器，可以用來(lái)試驗(yàn) LiveCD，而不用將其刻錄到 CD 上并在計(jì)算機(jī)上啟動(dòng)。支持最廣泛的 i386 模擬器是 VMWare;其他模擬器還有 Qemu、PearPC 和 Bochs，它們都可以用來(lái)模擬 x86 和/或 PowerPC® 平臺(tái);但是根據(jù)它們所采用的模擬方法不同，它們的速度要比一些商業(yè)化的版本慢。另外一個(gè)商業(yè)版本的模擬器是 VirtualPC。

　　現(xiàn)在讓我們來(lái)看一看部分 LiveCD 的安全工具。

　　Auditor

　　Auditor 安全工具是基于 Knoppix 的。由于不用安裝，我們只需要將 CD 放到 CD-ROM 中幾分鐘就可以開(kāi)始使用分析平臺(tái)了。

　　Auditor 的主要開(kāi)發(fā)者 Max Moser 指出 LiveCD 環(huán)境的菜單結(jié)構(gòu)是它的最大優(yōu)點(diǎn)。即使用戶不清楚工具的名字，也可以使用正確的工具。除了大約 300 個(gè)工具之外，Auditor 安全包還包含了一些有關(guān)標(biāo)準(zhǔn)配置和密碼的培訓(xùn)信息，以及各種不同地區(qū)和語(yǔ)言的單詞列表，大約有 6400 萬(wàn)條。CD 中還包含了一些輔助工具，例如 Web 瀏覽器、文本編輯器以及一些可以用來(lái)創(chuàng)建分析報(bào)告的圖形工具。

　　您可以使用 auditor-hdinstall 腳本將 Auditor 安裝到硬盤上。您應(yīng)該有 2 GB 的硬盤空間。安裝程序不會(huì)為您創(chuàng)建分區(qū)，因此要確保提前進(jìn)行分區(qū)和格式化。

　　LiveCD 的自動(dòng)配置腳本可以簡(jiǎn)化對(duì)各種硬件的使用。Moser 指出無(wú)線工具(例如 Wellenreiter 和 Kismet)都可以使用自動(dòng)硬件識(shí)別工具進(jìn)行配置，這樣就避免了在使用無(wú)線網(wǎng)卡時(shí)所需要的那些煩人的配置任務(wù)。

　　圖 1. Auditor 工具

　　Whoppix

　　與 Auditor 類似，WhiteHat Knoppix 也是一個(gè)穿透測(cè)試(pengtest)工具。Whoppix 的誕生是由于其開(kāi)發(fā)者 Muts 被要求對(duì)一個(gè)大型組織進(jìn)行一次內(nèi)部穿透測(cè)試。他解釋說(shuō)，“Pentest 的指導(dǎo)原則是不允許我將其安裝在自己的筆記本上，也不能修改組織內(nèi)部的任何客戶機(jī)的配置，就像在本地計(jì)算機(jī)上安裝軟件一樣?！?/P>

　　Whoppix 是一個(gè)穿透測(cè)試的天堂。其中包含了很多有用的工具，以及大量知識(shí)庫(kù)(黑客用來(lái)獲得對(duì)您的系統(tǒng)的訪問(wèn)權(quán)限的方法)。盡管 Muts 并不非常喜歡 CD 中的很多文檔，但是他打包時(shí)所采用的方法卻是惟一的。Muts 并沒(méi)有對(duì)這些工具進(jìn)行簡(jiǎn)單的解釋，而是與其他幾個(gè)非常活躍的成員一起為這些工具提供了幾個(gè)很小的 flash 演示視頻圖像，這樣即使一個(gè)新手也可以明白如何攻擊一個(gè)未經(jīng)仔細(xì)配置的 msql 數(shù)據(jù)庫(kù)。

　　到版本 2.6 SP1 為止，Whoppix 都是使用缺省的 knoppix 內(nèi)核。新的版本(目前尚未發(fā)布)采用了一個(gè)定制的 2.6.11.5 版本的內(nèi)核，其中提供了對(duì) WiFi 更好的支持(Orinoco 補(bǔ)丁)。

　　盡管您可以將 Whoppix 安裝到硬盤上，但是 Muts 并沒(méi)有對(duì)此提供強(qiáng)有力的支持。他的想法是提供一個(gè)可移植的 pentest 平臺(tái)，您可以直接利用這個(gè)平臺(tái)，而不用再經(jīng)歷懶惰的黑客計(jì)算機(jī)的設(shè)置過(guò)程。“我的長(zhǎng)期目標(biāo)之一是為這些工具編寫文檔，并可能會(huì)出版一本叫做 'Whoppix hack ' 的書籍(非常類似于 'knoppix hacks')，” Muts 說(shuō)。 “我正在尋找 Whoppix 的一些通用幫助，這既包括技術(shù)層面的，也包括其他的。如果有人愿意在這些文檔上為我提供一些幫助，那真是太好了?！?/P>

　　圖 2. Whoppix 工具

　　Knoppix-STD

#p#

　　這個(gè)發(fā)行版本也是一個(gè)定制過(guò)的 Knoppix 版本，它重點(diǎn)關(guān)注信息安全工具，因此就得名 STD(Security Tools Distribution)。 Knoppix-STD 目前由 Mark Cumming 進(jìn)行維護(hù)，從最初他就是一名非常活躍的貢獻(xiàn)者。 Cumming 這樣解釋 Knoppix-STD 的目標(biāo)以及它與其他類似項(xiàng)目的區(qū)別：“隨著所有的工具都開(kāi)源之后，有很多工具所做的都是同樣的事情;安全 CD 也不例外。從頭開(kāi)始，STD 的設(shè)計(jì)就不是用戶友好的;這就是說(shuō)，我們并不會(huì)迎合大眾化的口味。實(shí)際的情況是我們使用 Linux 作為實(shí)現(xiàn)最終目的的一種手段;STD 是關(guān)于安全性工具的一套方案，而不是一個(gè) Linux，盡管我們有很多 Linux 的愛(ài)好者。STD 試圖盡量遠(yuǎn)離喧囂聲。我們并非沒(méi)有 xwindows，但是如果有一種簡(jiǎn)單的終端方法可以實(shí)現(xiàn)所需要的功能，那么我們就使用這種方法;我們不會(huì)僅僅是出于興趣就開(kāi)發(fā)一個(gè) GUI。我們并不關(guān)心要確保這是實(shí)現(xiàn)某種功能所特有的唯一工具;實(shí)際上，我們計(jì)劃包含目前可以使用的所有工具?！?/P>

　　STD 已經(jīng)為那些對(duì)安全性感興趣的人們建立了一個(gè)教學(xué)工具，這意味著其中包括很多的文檔。每個(gè)工具集都有自己的文檔目錄。您可以在 /usr/bin 中每個(gè)相關(guān)的工具集目錄中訪問(wèn)這些工具。您會(huì)發(fā)現(xiàn)“粘蜜罐”、防火墻、IDS 以及一些網(wǎng)絡(luò)工具可幫助您更好地映射異構(gòu)網(wǎng)絡(luò)。

　　“現(xiàn)在我們正在建立一個(gè)開(kāi)發(fā)團(tuán)隊(duì)機(jī)構(gòu)來(lái)繼續(xù)發(fā)展 STD 項(xiàng)目。我們?cè)噲D從 ‘一個(gè)人做所有的事情’ 這種模式轉(zhuǎn)換到一種更加開(kāi)放的開(kāi)發(fā)環(huán)境中，它可以組織成幾個(gè)單獨(dú)的小組，每個(gè)小組都具有自己的組長(zhǎng)。這樣開(kāi)發(fā)一個(gè) LiveCD 就可以利用開(kāi)發(fā)和編譯 LiveCD 發(fā)行版的自然特性了。我們也不需要有實(shí)際硬件和帶寬基礎(chǔ)設(shè)施來(lái)支持 CVS 等。” Cumming 解釋說(shuō)。他承諾說(shuō)將來(lái)的版本會(huì)與現(xiàn)有的版本有顯著的區(qū)別，并對(duì) WiFi 提供更好的支持?！皩?lái)，我們將開(kāi)發(fā)對(duì)少量無(wú)線網(wǎng)卡的支持。我們需要對(duì)那些只購(gòu)買了 9.99 美元最便宜網(wǎng)卡的用戶提供支持，這種支持的份量占據(jù)了我們開(kāi)發(fā)的大部分時(shí)間?！?Cumming 說(shuō)。

　　您也可以將 STD 安裝到硬盤上，這可以使用普通的 Knoppix hd-install 腳本實(shí)現(xiàn)，默認(rèn)是包含這個(gè)腳本的。STD 進(jìn)行了很大的嘗試來(lái)幫助用戶修正問(wèn)題，但是當(dāng)很多新用戶選擇 RedHat 桌面系統(tǒng)來(lái)直接替換 Knoppix 之后，他們就失去了官方支持。

　　STD 論壇非?；钴S，如果您希望深入了解 Knoppix-STD，這是個(gè)好地方。

　　圖 3. Whoppix 中的缺陷測(cè)試

　　PHLAK

　　PHLAK(Professional Hacker Linux Assault Kit)是 Morphix 的一個(gè)派生版本。根據(jù) Morphix 的模塊化特性，用戶可以使用很小的模塊來(lái)添加自己的工具/設(shè)置，而不用換出整張 CD。Morphix 的所有開(kāi)發(fā)特性在 PHLAK 中都可以使用。

　　“我們也可以在 PHLAK 中添加一些教育內(nèi)容。用戶可以瀏覽文檔來(lái)學(xué)習(xí)有關(guān)安全性的內(nèi)容，以及如何使用這些工具，”Shawn Hawkins 解釋說(shuō)，他是 PHLAK 的開(kāi)發(fā)人員之一，同時(shí)也是 Web 管理員。/usr/share/doc 下面的文檔大概有 118 MB。這里存放著有關(guān)各種安全工具的信息，分為 13 類，包括分析、認(rèn)證、審計(jì)、掃描和隧道。還有有關(guān)緩沖區(qū)溢出、防火墻、入侵檢測(cè)等更多內(nèi)容。“我們?cè)?0.2-1 中所添加的另一個(gè)東西是 XPde，我們稱之為 'sneaky'，原因非常顯然(使用了一個(gè)偽 Linux 發(fā)行版)。當(dāng)然，我們還添加了一些自己的東西，整個(gè)主題，其他工具，等等，” Hawkins 說(shuō)。

　　目前正在開(kāi)發(fā)的 0.3 版本采用了新的 Morphix 基礎(chǔ)和 2.6 版本的內(nèi)核。Hawkins 還許諾說(shuō)要提供更好的無(wú)線支持，Morphix 的新硬盤安裝程序、更多文檔以及一些新的安全工具。

　　您可以使用 Morphix 0.5Pre4 中提供的新安裝程序腳本將 PHLAK 安裝到硬盤中。它已經(jīng)為滿足 PHLAK 的要求進(jìn)行了一些修改，大約會(huì)拷貝 1.5 到 2.0 GB 的數(shù)據(jù)。

　　在長(zhǎng)期運(yùn)行過(guò)程中，您可能期望使用一個(gè)精簡(jiǎn)版本的 PHLAK，它可以安裝在一個(gè) 128 MB 或 256 MB 的 USB 閃存上。Hawkins 還討論了有關(guān)在將來(lái)的 PHLAK 發(fā)行版本中包含一個(gè)新文件系統(tǒng) unionfs 的問(wèn)題，這個(gè)文件系統(tǒng)讓那些從 CD 引導(dǎo)的用戶可以對(duì)文件系統(tǒng)進(jìn)行寫操作。雖然這不會(huì)將用戶的信息保存到 CD 上，但是可以使用 apt-get 進(jìn)行升級(jí)，更新 nessus 插件，以及需要對(duì)這個(gè)文件系統(tǒng)具有寫權(quán)限的任何事情。

　　圖 4. PHLAK 中的文檔

　　結(jié)束語(yǔ)

　　盡管所有人都同意對(duì)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行安全評(píng)估是一個(gè)關(guān)鍵問(wèn)題，但進(jìn)行徹底的評(píng)估是一件非常耗時(shí)的任務(wù)，可能應(yīng)該與其他測(cè)試(例如性能測(cè)試)一起進(jìn)行;迅速檢查系統(tǒng)缺陷的能力也是一個(gè)非常有用的工具，這 4 種 LiveCD 形式的安全評(píng)估包可以解決這一問(wèn)題。

【編輯推薦】

1. 使用Linux系統(tǒng)的Live CD進(jìn)行安全審核
2. SuSE LINUX 9.1 Personal Edition Live CD-ROM SSH Server默認(rèn)帳戶漏洞
3. 全面深入講解Fedora Live CD使用方法
4. 分析描述打造創(chuàng)建Fedora Live CD
5. 用Live cd 修復(fù)Grub具體實(shí)現(xiàn)說(shuō)明
6. 構(gòu)建Fedora Live CD