Linux系统如何发现并快速的阻止系统攻击_机房360

摘要：I more fishduck ttyp6 nexus Tue Sep 28 16:03 still logged in birdrat ttyp5 speedy Tue Sep 28 15:57 still logged in root tty1 Tue Sep 28 12:54 still logged in 将显示谁什么时候登陆进来,登陆了多长时间等信息。通过查看你可以发现非法登陆者信息。

　　网络安全的地位十分的重要，而服务器是网络安全中最关键的环节之一。Linux被认为是一个比较安全的Internet服务器，然而，系统管理员往往不能及时地得到信息并进行更正，这就给黑客以可乘之机。　　
　　
　　你也可以查看以前的wtmp文件如wtmp.1，你可以用命令：#last-f/var/log/wtmp.1|more但是你还需要注意你的log文件的状态信息，如果它特别小或者大小为0则说明可能有攻击者进入系统，并且修改了这个文件。为了防止任何用户修改某些文件，如对log文件只允许添加，而不允许删除操作等等：可以通过使用LinuxIntrusionDetectionSystem可以防止攻击者修改LOG文件password文件等。该工具可以在启动lilo时来决定是否允许对某些特定文件的修改。该工具的详细信息可以通过访问www.soaring-bird.com.cn/oss_proj/lids/index.html获得。
　　
　　系统的所有进程的祖父进程被成称为"init"，其进程ID号是1。你可以通过下面的命令,看到init进程信息。#psax|grepinit1?S6:03init系统在启动时的init进程将会启动"inetd"进程，正如前面提到的该进程实现监听网络请求，监听是通过网络端口号来实现的。例如你telnet到你的linux服务器上时，实际上你上请求inetd进程启动进程in.telnetd进程在23端口来处理你的访问请求实现通信。随后，in.telnetd进程启动一个询问你的用户名和密码的进程，然后你就登陆到机器了。inetd同时监听很多端口来等待访问请求，然后激活完成相关服务的程序。你可以通过查看文件/etc/services来看哪个服务使用哪个端口。
　　
　　节省资源角度来说，利用一个进程而不是每种服务对应一个进程是有意义的。当一个攻击者第一次访问你的站点时，他们往往使用成为端口扫描仪的工具，通过该工具攻击者来查看你开放了那些系统服务。LInux上比较出名的一个端口扫描仪是nmap.可以从http://www.insecure.org/nmap/index.html下载得到该软件，最新的版本甚至有一个图形化界面nmapfe。下面我们就运行nmap看可以得到什么结果：选项'-sS',指使用TCPSYN,也就是半连接half-pen扫描,'-O',只同时探测被扫描系统的操作系统o。(利用OS指纹的技术，可以参见http://www.isbase.com/book/showQueryL.asp?libID=271)阻止系统攻击者知道了对方使用的何种操作系统就可以有针对性的寻找该操作系统的常见漏洞：
　　
　　#nmap -sS -O localhost
　　
　　Starting nmap V.2.3BETA5 by Fyodor(fyodor@dhp.com,
　　
　　www.insecure.org/nmap/)
　　
　　Interesting ports on localhost(127.0.0.1):
　　
　　Port State Protocol Service
　　
　　21 open tcp ftp
　　
　　23 open tcp telnet
　　
　　25 open tcp smtp
　　
　　53 open tcp domain
　　
　　79 open tcp finger
　　
　　80 open tcp http
　　
　　98 open tcp linuxconf
　　
　　111 open tcp sunrpc
　　
　　113 open tcp auth
　　
　　139 open tcp netbios-ssn
　　
　　513 open tcp login
　　
　　514 open tcp shell
　　
　　515 open tcp printer
　　
　　TCP Sequence Prediction:class="random" positive increments
　　
　　Difficulty=4360068(Good luck!)
　　
　　Remote operating system guess:Linux2.1.122-2.2.12
　　
　　Nmap run completed--1 IP address(1 host up)scanned in 2
　　
　　seconds
　　
　　这些打开的端口就是攻击者入侵点。当你修改过inetd.conf文件以关闭某些服务，从新启动inetd后，你再用nmap扫描就可以发现被注释掉的服务扫描不到了。
　　
　　当然，管理员还可以使用一些其他的安全扫描工具如：satan或Nessus等来检测自己的系统的安全可靠性，在攻击者发现其以前更早的发现自己的系统的漏洞，并加以弥补。
　　
　　以上的相关内容就是对Linux环境下发现并快速的阻止系统攻击的介绍，望你能有所收获。
　　
　　责任编辑：Lily

JIFANG360.com - 机房360

Linux系统如何发现并快速的阻止系统攻击