保护你的Ubuntu服务器(4)

使用psad检测入侵行为

项目主页:

Psad可以记录下入侵行为,还可以监控iptable。

安装psad:

sudo aptitude -y install psad

后台进程会自动运行。

检查当前的状态:

sudo psad -S

你可以修改psad设置,检测到入侵行为时给管理员发送电子邮件。

Nmap:端口扫描

项目主页:

Nmap允许你查看打开的端口,验证UFW/iptable工作是否正常。

安装nmap:

sudo aptitude install -y nmap

端口扫描:

nmap -v -sT localhost

SYN扫描:

sudo nmap -v -sS localhost

扫描类型解释:

Chkrootkit:检查rootkit

项目主页:

Chkrootkit扫描系统中是否存在rootkit。

理想情况下,你并不需要做这种扫描,但现实中最好还是定期运行一下。

安装chkrootkit:

sudo aptitude install -y chkrootkit

运行chkrootkit:

sudo chkrootkit

LogWatch

Ubuntu社区文档: https://help.ubuntu.com/community/Logwatch

日志再详细,如果没有一款好用的日志查看器,日志起的作用也非常有限,Logwatch可以从海量的日志中精选出最有用的信息,形成一个易读的报告,每天打开Logwatch看一下系统产生的日志是一个良好的习惯。

安装:

sudo aptitude -y install logwatch

用法:

sudo logwatch | less

持续维护

你的服务器现在更安全了,但不要就此停下来,每周例行一次维护是个好习惯。

更新软件:

sudo aptitude update sudo aptitude safe-upgrade

我喜欢使用safe-upgrade,因为它执行的是安全更新。

请看:

或者,你可以将安全更新设置为自动,如果你不能每周维护一次,这不是一个完美的解决方案,因为管理员没有监控更新了什么,更新后也没有执行测试。请看: https://help.ubuntu.com/10.04/serverguide/C/automatic-updates.html

检查入侵行为:

sudo psad -S

请先使用tiger分析一下系统,因为tiger在/var/log/tiger中的报告属于root用户,每次都运行一下这些命令,解决有些用户的权限问题。

sudo -i tiger grep FAIL /var/log/tiger/`ls -t1 /var/log/tiger | head -1` exit

在上面的命令中,使用grep从最新的报告文件中提取出Fail标记,ls子句给grep输送目录中的最新文件,sudo -i命令允许你以root用户运行多个命令,使用exit结束命令。

使用tigexp列出Fail代码的解释:

tigexp dev002f

使用nmap扫描端口:

sudo nmap -v -sS localhost

检查rootkit:

sudo chkrootkit

查看日志:

sudo logwatch | less

linux

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wyzzsf.html