常用系統安全分析工具
掃描器nmap(FC5預設沒有安裝),rpm包在第5張盤
#nmap 192.168.0.22 預設掃描TCP連接埠
#nmap -sU -sR -sS 192.168.0.22
-sU UDP掃描
-sR RPC掃描
-sS TCP SYN掃描
可掃描單個主機或IP段192.168.0.0/24
#grep syslog /etc/services 搜尋檔案中含有syslog字串的行,搜尋檔案中的字串。
嗅探器tcpdump
#tcpdump -I eth0 -X dst 192.168.0.22
-i eth0 指定監聽的介面
-X 以十六進位顯示包頭資訊
dst 指定目標主機地址或連接埠
#tcpdump -I eth0 -X dst 192.168.0.22 and dst port 21
監聽資料包目標為192.168.0.22並且連接埠為21的資料
Log Service器syslog
設定檔/etc/syslog.conf
左邊指定訊息類型 右邊指定訊息記錄位置
*.info;mail.none;authpriv.none;cron.none /var/log/messages
任何程式的資訊,只要是info層級以上都記錄在/var/log/messages,但不記錄mail,authpriv,cron的訊息
mail.* /var/log/maillog
郵件的所有訊息都記錄在/var/log/maillog檔案中
如修改了設定檔需從新啟動服務
#service syslog restart
#vi /etc/syslog.conf
*.* @192.168.0.22
將所有程式的所有訊息發送給192.168.0.22主機處理,但同時192.168.0.22要開啟允許遠程訊息
#vi /etc/sysconfig/syslog 修改
SYSLOGD_OPTIONS=”-m 0 -r -x”
#service syslog restart
Log Service連接埠預設514/udp
#netstat -unl | grep :514 顯示Log Service是否運行
-u UDP協議
-t TCP協議
-n 用數值表示主機地址、連接埠號碼
-l 僅顯示正在監聽的進程
-p 顯示進程名及PID
日誌系統
1.編緝/etc/syslog.conf
2.重啟Log Service器
#service syslog restart
3.檢查日誌/var/log/*
安全資訊放在/var/log/secure裡
郵件資訊放在/var/log/maillog
計劃任務資訊/var/log/cron
大部分資訊放在/var/log/messages
#tail -f messages 監視系統資訊的變化
推薦日誌分析軟體SWATCH