使用psad检测入侵行为
项目主页:
Psad可以记录下入侵行为,还可以监控iptable。
安装psad:
sudo aptitude -y install psad后台进程会自动运行。
检查当前的状态:
sudo psad -S你可以修改psad设置,检测到入侵行为时给管理员发送电子邮件。
Nmap:端口扫描
项目主页:
Nmap允许你查看打开的端口,验证UFW/iptable工作是否正常。
安装nmap:
sudo aptitude install -y nmap端口扫描:
nmap -v -sT localhostSYN扫描:
sudo nmap -v -sS localhost扫描类型解释:
Chkrootkit:检查rootkit
项目主页:
Chkrootkit扫描系统中是否存在rootkit。
理想情况下,你并不需要做这种扫描,但现实中最好还是定期运行一下。
安装chkrootkit:
sudo aptitude install -y chkrootkit运行chkrootkit:
sudo chkrootkitLogWatch
Ubuntu社区文档: https://help.ubuntu.com/community/Logwatch
日志再详细,如果没有一款好用的日志查看器,日志起的作用也非常有限,Logwatch可以从海量的日志中精选出最有用的信息,形成一个易读的报告,每天打开Logwatch看一下系统产生的日志是一个良好的习惯。
安装:
sudo aptitude -y install logwatch用法:
sudo logwatch | less持续维护
你的服务器现在更安全了,但不要就此停下来,每周例行一次维护是个好习惯。
更新软件:
sudo aptitude update sudo aptitude safe-upgrade我喜欢使用safe-upgrade,因为它执行的是安全更新。
请看:
或者,你可以将安全更新设置为自动,如果你不能每周维护一次,这不是一个完美的解决方案,因为管理员没有监控更新了什么,更新后也没有执行测试。请看: https://help.ubuntu.com/10.04/serverguide/C/automatic-updates.html
检查入侵行为:
sudo psad -S请先使用tiger分析一下系统,因为tiger在/var/log/tiger中的报告属于root用户,每次都运行一下这些命令,解决有些用户的权限问题。
sudo -i tiger grep FAIL /var/log/tiger/`ls -t1 /var/log/tiger | head -1` exit在上面的命令中,使用grep从最新的报告文件中提取出Fail标记,ls子句给grep输送目录中的最新文件,sudo -i命令允许你以root用户运行多个命令,使用exit结束命令。
使用tigexp列出Fail代码的解释:
tigexp dev002f使用nmap扫描端口:
sudo nmap -v -sS localhost检查rootkit:
sudo chkrootkit查看日志:
sudo logwatch | less