作为一个 Linux 管理员 , 防御病毒 , 间谍程序 , rootkit 等非常重要 .
 下面为你列举了 Linux 安全工具 .


Nmap Security Scanner  [url]http://insecure.org/nmap/[/url]
 阅读安装文档 .  [url]http://insecure.org/nmap/install/[/url]
 体验 [url]http://www.nmap-tutorial.com/html/nmap-tutorial-single.html[/url]
 相关 pdf 文档 [url]http://insecure.org/nmap/docs/nmap-mindmap.pdf[/url]

Nessus Vulnerability Scanner  [url]http://www.nessus.org/[/url]
 阅读扫描报告示例 [url]http://www.nessus.org/demo/report.html[/url]
 阅读 [url]http://www.nessus.org/documentation/index.php?doc=install[/url]
 阅读技术指南 [url]http://searchsecurity.techtarget.com/generic/0[/url],295582,sid14_gci1159345,00.html
 阅读基础知识 [url]http://www.edgeos.com/nessuskb/[/url]
中文文档:http://rhcss.blog.51cto.com/672018/139831
使用说明:NESSUS使用说明

Clam AntiVirus [url]http://clamav.net/[/url]
 安装帮助 [url]http://wiki.clamav.net/Main/FirstInstallation[/url]
 访问 wiki [url]http://wiki.clamav.net/Main/WebHome[/url]
PDF 文档 [url]http://clamav.net/doc/latest/clamdoc.pdf[/url]
中文文档:http://rhcss.blog.51cto.com/672018/139826

Snort [url]http://snort.org/[/url]
 用户手册 [url]http://snort.org/docs/snort_htmanuals/htmanual_261/[/url]
 相关文档 [url]http://snort.org/docs/[url]

Chkrootkit
PDF 文档 [url]http://www.giac.org/practical/gsec/Bill_Hutchison_GSEC.pdf[/url]
中文文档:http://rhcss.blog.51cto.com/672018/139825

Tripwire [url]http://sourceforge.net/projects/tripwire/[/url]
详细指南 [url]http://sourceforge.net/docman/display_doc.php?docid=2078&group_id=3130[/url]
Howto 文档 [url]http://www.alwanza.com/howto/linux/tripwire.html[/url]
中文文档:http://rhcss.blog.51cto.com/672018/139824

Rootkit Hunter [url]http://rkhunter.sourceforge.net/[/url]
 安装指南 [url]http://wiki.linuxquestions.org/wiki/Rootkit_Hunter[/url]

Kismet [url]http://www.kismetwireless.net/[/url]
 介绍 [url]http://www.kismetwireless.net/documentation.shtml#readme[/url]
 论坛 [url]http://www.kismetwireless.net/Forum/General/[/url]

Shorewall [url]http://www.shorewall.net/[/url]
 安装文档 [url]http://www.shorewall.net/Install.htm[/url]
 快速入门 [url]http://www.shorewall.net/shorewall_quickstart_guide.htm[/url]
 功能介绍 [url]http://www.shorewall.net/shorewall_features.htm[/url]
中文使用介绍:http://rhcss.blog.51cto.com/672018/139830

Ethereal ( 现名为 Wireshark ) [url]http://www.wireshark.org/[/url]
 用户指南 [url]http://www.wireshark.org/docs/wsug_html/[/url]
 访问 wiki [url]http://wiki.wireshark.org/[/url]
中文手册:http://man.lupaworld.com/content/network/wireshark/
 
系统安全:认识 Linux平台五大 IDS ***检测工具
如果你只有一台电脑,那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样,但却有此可能。不过,在现实世界中,我们需要一些好的工具来帮助我们监视系统,并向我们发出警告,告诉我们哪里可能出现问题,因此我们可以经常地轻松一下。***检测可能是一种令我们操心的问题之一。不过,事情总有两方面,幸好 Linux的管理员们拥有可供选择的强大工具。最佳的策略是采用分层的方法,即将 老当益壮 的程序,如 Snortiptables等老前辈与 psadAppArmorSELinuxu等一些新生力量结合起来,借助强大的分析工具,我们就可以始终站在技术的前沿。
    在现代,机器上的任何用户账户都有可能被用来作恶。笔者认为,将全部的重点都放在保护 root上,就好像其它用户账户不重要一样,这是 LinuxUnix安全中一个长期存在的、慢性的弱点问题。一次简单的重装可以替换受损的系统文件,不过数据文件怎么办?任何***都拥有造成大量破坏的潜力。事实上,要散布垃圾邮件、复制敏感文件、提供虚假的音乐或电影文件、对其它系统发动***,根本就不需要获得对 root的访问。
    IDS 新宠:PSAD
    Psad是端口扫描***检测程序的简称,它作为一个新工具,可以与 iptablesSnort等紧密合作,向我们展示所有试图进入网络的恶意企图。这是笔者首选的 Linux***检测系统。它使用了许多 snort工具,它可以与 fwsnortiptables的日志结合使用,意味着你甚至可以深入到应用层并执行一些内容分析。它可以像 Nmap一样执行数据包头部的分析,向用户发出警告,甚至可以对其进行配置以便于自动阻止可疑的 IP地址。
    事实上,任何***检测系统的一个关键方面是捕获并分析大量的数据。如果不这样做,那只能是盲目乱来,并不能真正有效地调整 IDS。我们可以将 PSAD的数据导出到 AfterGlow Gnuplot中,从而可以知道到底是谁正在***防火墙,而且是以一种很友好的界面展示。
    老当益壮:Snort     
    正如一位可信任的老人,随着年龄的增长, Snort也愈发成熟。它是一款轻量级且易于使用的工具,可以独立运行,也可以与 psadiptables一起使用。我们可以从 Linux的发行版本的程序库中找到并安装它,比起过去的源代码安装这应该是一个很大的进步。至于保持其规则的更新问题,也是同样的简单,因为作为 Snort的规则更新程序和管理程序, oinkmaster也在 Linux发行版本的程序库中。
    Snort易于管理,虽然它有一些配置上的要求。要开始使用它,默认的配置对大多数网络系统并不适用,因为它将所有不需要的规则也包括在其中。所以我们要做的第一件事情是清除所有不需要的规则,否则就会损害性能,并会生成一些虚假的警告。
    另外一个重要的策略是要以秘密模式运行 Snort,也就是说要监听一个没有 IP地址的网络接口。在没有为它分配 IP地址的接口上,如 ifconfig eth0 up,以 -i选项来运行 Snort,如 snort –i eth0。还有可能发生这样的事情:如果你的网络管理程序正运行在系统中,那它就会 有助于 展现出还没有配置的端口,因此建议还是清除网络管理程序。
    Snort可以收集大量的数据,因此需要添加 BASE(基本分析和安全引擎 ),以便于获得一个友好的可视化的分析工具,它以较老的 ACID(***数据库分析控制台 )为基础。
    简洁方便:chkrootkitrootkit
    Rootkit检测程序 chkrootkitrootkit Hunter也算是老牌的 rootkit检测程序了。很明显,在从一个不可写的外部设备运行时,它们是更可信任的工具,如从一个 CD或写保护的 USB驱动器上运行时就是这样。笔者喜欢 SD卡,就是因为那个写保护的的开关。这两个程序可以搜索已知的 rooktkit、后门和本地的漏洞利用程序,并且可以发现有限的一些可疑活动。我们需要运行这些工具的理由在于,它们可以查看文件系统上的 /procps和其它的一些重要的活动。虽然它们不是用于网络的,但却可以快速扫描个人计算机。
    多面手:Tripwire
    Tripwire是一款***检测和数据完整性产品,它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生,但它能够将目前的状态与理想的状态相比较,以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化,就会被降到运行障碍最少的状态。
    如果你需要控制对 LinuxUNIX服务器的改变,可以有三个选择:开源的 Tripwire、服务器版 Tripwire、企业版 Tripwire。虽然这三个产品有一些共同点,但却拥有大量的不同方面,使得这款产品可以满足不同 IT环境的要求。
如开源的 Tripwire对于监视少量的服务器是合适的,因为这种情形并不需要集中化的控制和报告;服务器版 Tripwire对于那些仅在 Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理的 IT组织是一个理想的方案;而企业版 Tripwire对于需要在 Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器之间安全地审核配置的 IT组织而言是最佳选择。
 
文件系统完整性检测:AIDE
完整性是计算机安全的三要素之一,保密性和可靠性是另外两个重要的要素,完整性涉及保证数据可性,并且没有以任何方式被修改或损害的方法,保证数据的完整性的一个方面就是保证数据所保存系统的完整性。AIDE是一款文件系统完整性检测工具,其提供了很多非常有用的功能。
系统安全:Linux主机服务器被***后需采取的措施
1 、拨掉网线
    这是最安全的断开链接的方法,除了保护自己外,也可能保护同网段的其他主机。
    2 、分析登录文件信息,搜索可能***的途径
    被***后,决不是重新安装就可以了,还要分析主机被***的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平。
    如果不知道如何找出***途径,下次还有可能发生同样的事。一般:
    (1) 、分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞。一般分析的文件为:/var/log/messages/var/log/secure文件。还可以使用last命令找出最后一个登录者的信息。
    (2) 、检查主机开放的服务:很多Linux管理员不知道自己的主机上开放了多少服务,每个服务都有漏洞或不该启动的增强型或测试型功能。找出系统上的服务,逐个检查服务是否有漏洞或设置上的失误。
    (3) 、重要数据备份
    所谓重要的数据就是非Linux上的原有数据。如/etc/passwd,/etc/shadow,WWW网页的数据,/home里的用户文件,至于/etc/*,/usr/,/var等目录下的数据就不要备份了。
    (4) 、系统重装
    重要的是选择合适的包,不要将所有的包都安装。
    (5) 、包漏洞修补
 
    安装后,要立即更新系统包,更新后再设置防火墙机制,同时关闭一些不必要的服务,最后才插上网线。
    (6) 、关闭或卸载不需要的服务
    启动的服务越少,系统***的可能性就越底。
    (7) 、数据恢复与恢复服务设置
    备份的数据要复制回系统,然后将提供的服务再次开放。
    (8) 、将主机开放到网络上