首先，沒有哪個(gè)程序能做到讓你的網(wǎng)絡(luò)或服務(wù)器永久地安全，安全是一個(gè)不斷改進(jìn)、評估、再改進(jìn)的持續(xù)過程，幸運(yùn)的是，在linux下有許多好的工具在這個(gè)過程中能幫助你，在這篇文章中，我將向你推薦5款我最喜愛的安全工具，它們能幫助你預(yù)防，檢查，響應(yīng)入侵行為。盡管它更容易預(yù)防隨時(shí)可能發(fā)生的問題，但某些時(shí)候你遇到問題時(shí)，你還是需要檢查和響應(yīng)的，這就意味著在形式危及你需要它們之前，你得先熟悉它們的用法。 1、Nmap 為了評估一個(gè)機(jī)器的是否容易遵守攻擊，你需要知道有多少服務(wù)是暴露給攻擊者的。有一個(gè)優(yōu)秀的工具就是Fyodor的網(wǎng)絡(luò)映射器Nmap，Debian用戶可以通過apt-get;install;nmap來獲取它，務(wù)必要運(yùn)行它檢查服務(wù)器上究竟運(yùn)行了些什么服務(wù)―即使你認(rèn)為你已經(jīng)知道了也要運(yùn)行，很明顯，如果ssh端口已經(jīng)關(guān)閉，那么通過ssh密碼猜測就對你沒什么影響。 Nmap最簡單的用法就是在你本地的網(wǎng)絡(luò)上探測主機(jī)，在這個(gè)實(shí)例中，我們要求nmap發(fā)送ICMP;echo請求包（ping）到某段ip地址范圍內(nèi)的所有主機(jī)： $Content$nbsp;nmap;-sP;10.0.0.1-254 Starting;nmap;3.81;(;http://www.insecure.org/nmap/;) at;2006-11-01;14:46 NZDT Host;10.0.0.25;appears;to;be;up. MAC;Address:;00:0C:F1:AE:E6:08;(Intel) Host;10.0.0.51;appears;to;be;up. MAC;Address:;08:00:09:9A:1A:AA;(Hewlett;Packard) Host;10.0.0.70;appears;to;be;up. MAC;Address:;00:0F:EA:64:4E:1E;(Giga-Byte;Tech;Co.) ... 不過nmap最常用的是用來探測哪個(gè)服務(wù)正在運(yùn)行。因?yàn)門CP建立一個(gè)連接使用了3次握手，我們能檢查到無真實(shí)連接到它們但又被打開的端口，這就是著名的SYN或半打開掃描，當(dāng)用root登陸執(zhí)行時(shí)這是默認(rèn)的模式，如果作為一個(gè)正常用戶執(zhí)行，nmap嘗試全連接來測試是否每個(gè)端口是否是打開的。（題外話：在半打開模式下，我們發(fā)送初始化SYN數(shù)據(jù)包并監(jiān)聽響應(yīng)，RST表明端口是關(guān)閉的，SYN+ACK表示端口是打開的，如果沒有收到響應(yīng)，nmap標(biāo)記這個(gè)端口是被過濾了，某些防火墻會丟掉不該有的數(shù)據(jù)包，產(chǎn)生一個(gè)過濾狀態(tài)標(biāo)記，其他的將發(fā)送RST使得端口看起來是關(guān)閉的）典型地，如果一個(gè)服務(wù)器正在監(jiān)聽你不希望監(jiān)聽的端口，你應(yīng)該仔細(xì)檢查一下： #nmap;-sS;10.0.0.89 Starting;nmap;3.81;(;http://www.insecure.org/nmap/;) at;2006-11-01;14:52 NZDT Interesting;ports;on;10.0.0.89: (The;1637;ports;scanned;but;not;shown below;are;in;state:;closed) PORT;;;;;;STATE;SERVICE 21/tcp;;;;open;;ftp 22/tcp;;;;open;;ssh 42/tcp;;;;open;;nameserver 80/tcp;;;;open;;http 110/tcp;;;open;;pop3 ... Fyodor也添加了許多服務(wù)的指紋，你可以要求nmap標(biāo)識出特定的服務(wù)，在命令后加上-sV選項(xiàng)即可： #;nmap;-sV;10.0.0.89 Starting;nmap;3.81;(;http://www.insecure.org/nmap/;) at;2006-11-01;14:47 NZDT Interesting;ports;on;10.0.0.89: (The;1637;ports;scanned;but;not;shown below;are;in;state:;closed) PORT;;;;;;STATE;SERVICE;;;VERSION 21/tcp;;;;open;;ftp? 22/tcp;;;;open;;ssh;;;;;;;OpenSSH;3.8.1p1 Debian-8.sarge.4;(protocol;2.0) 42/tcp;;;;open;;nameserver? 80/tcp;;;;open;;http;;;;;;Apache;httpd;1.3.33 ((Debian;GNU/Linux);mod_gzip/1.3.26.1a;PHP/4.3.10-16) 110/tcp;;;open;;pop3? ... 其他難以置信的用法是操作系統(tǒng)的探測，在命令后加上-O參數(shù)即可，如果這個(gè)機(jī)器有至少一個(gè)端口打開和至少一個(gè)端口關(guān)閉的話，你就能準(zhǔn)確地獲取操作系統(tǒng)的信息： #;nmap;-O;-sS;10.0.0.89 Starting;nmap;3.81;(;http://www.insecure.org/nmap/;) at;2006-11-02;09:02 NZDT Interesting;ports;on;10.0.0.89: (The;1637;ports;scanned;but;not;shown below;are;in;state:;closed) PORT;;;;;;STATE;SERVICE 21/tcp;;;;open;;ftp ... Device;type:;general;purpose Running:;Linux;2.4.X|2.5.X|2.6.X OS;details:;Linux;2.5.25;-;2.6.3;or Gentoo;1.2;Linux;2.4.19;rc1-rc7),;Linux;2.6.3;-;2.6.8 Uptime;30.906;days;(since;Mon;Oct;;2;11:18:59;2006) 因此，請使用nmap在你的網(wǎng)絡(luò)上檢查所有機(jī)器，看是否存在有臨時(shí)安裝的但又被忘記刪除的服務(wù)，你也可以用它從你的網(wǎng)絡(luò)范圍之外來檢查你的防火墻是否正確地配置了。