Linux平台四大IDS入侵檢測工具

　　如果你只有一台電腦，那麼對你而言花費大量的工夫仔細審查系統的弱點和問題是完全可能的。可能你並不真得希望這樣，但卻有此可能。不過，在現實世界中，我們需要一些好的工具來幫助我們監視系統，並向我們發出警告，告訴我們哪裡可能出現問題，因此我們可以經常地輕松一下。入侵檢測可能是一種令我們操心的問題之一。不過，事情總有兩方面，幸好Linux的管理員們擁有可供選擇的強大工具。最佳的策略是采用分層的方法，即將“老當益壯的程序，如Snort、iptables等老前輩與psad、AppArmor、SELinuxu等一些新生力量結合起來，借助強大的分析工具，我們就可以始終站在技術的前沿。

　　在現代，機器上的任何用戶賬戶都有可能被用來作惡。筆者認為，將全部的重點都放在保護root上，就好像其它用戶賬戶不重要一樣，這是Linux和Unix安全中一個長期存在的、慢性的弱點問題。一次簡單的重裝可以替換受損的系統文件，不過數據文件怎麼辦?任何入侵都擁有造成大量破壞的潛力。事實上，要散布垃圾郵件、復制敏感文件、提供虛假的音樂或電影文件、對其它系統發動攻擊，根本就不需要獲得對root的訪問。

　　IDS新寵：PSAD

　　Psad是端口掃描攻擊檢測程序的簡稱，它作為一個新工具，可以與iptables和Snort等緊密合作，向我們展示所有試圖進入網絡的惡意企圖。這是筆者首選的Linux入侵檢測系統。它使用了許多snort工具，它可以與fwsnort和iptables的日志結合使用，意味著你甚至可以深入到應用層並執行一些內容分析。它可以像Nmap一樣執行數據包頭部的分析，向用戶發出警告，甚至可以對其進行配置以便於自動阻止可疑的IP地址。

　　事實上，任何入侵檢測系統的一個關鍵方面是捕獲並分析大量的數據。如果不這樣做，那只能是盲目亂來，並不能真正有效地調整IDS。我們可以將PSAD的數據導出到AfterGlow 和 Gnuplot中，從而可以知道到底是誰正在攻擊防火牆，而且是以一種很友好的界面展示。

　　老當益壯：Snort

　　正如一位可信任的老人，隨著年齡的增長，Snort也愈發成熟。它是一款輕量級且易於使用的工具，可以獨立運行，也可以與psad和iptables一起使用。我們可以從Linux的發行版本的程序庫中找到並安裝它，比起過去的源代碼安裝這應該是一個很大的進步。至於保持其規則的更新問題，也是同樣的簡單，因為作為Snort的規則更新程序和管理程序，oinkmaster也在Linux發行版本的程序庫中。

　　Snort易於管理，雖然它有一些配置上的要求。要開始使用它，默認的配置對大多數網絡系統並不適用，因為它將所有不需要的規則也包括在其中。所以我們要做的第一件事情是清除所有不需要的規則，否則就會損害性能，並會生成一些虛假的警告。

　　另外一個重要的策略是要以秘密模式運行Snort，也就是說要監聽一個沒有IP地址的網絡接口。在沒有為它分配IP地址的接口上，如ifconfig eth0 up，以-i選項來運行Snort，如snort –i eth0。還有可能發生這樣的事情：如果你的網絡管理程序正運行在系統中，那它就會“有助於展現出還沒有配置的端口，因此建議還是清除網絡管理程序。

　　Snort可以收集大量的數據，因此需要添加BASE(基本分析和安全引擎)，以便於獲得一個友好的可視化的分析工具，它以較老的ACID(入侵數據庫分析控制台)為基礎。

　　簡潔方便：chkrootkit和rootkit

　　Rootkit檢測程序chkrootkit和rootkit Hunter也算是老牌的rootkit檢測程序了。很明顯，在從一個不可寫的外部設備運行時，它們是更可信任的工具，如從一個CD或寫保護的USB驅動器上運行時就是這樣。筆者喜歡SD卡，就是因為那個寫保護的的開關。這兩個程序可以搜索已知的rooktkit、後門和本地的漏洞利用程序，並且可以發現有限的一些可疑活動。我們需要運行這些工具的理由在於，它們可以查看文件系統上的/proc、ps和其它的一些重要的活動。雖然它們不是用於網絡的，但卻可以快速掃描個人計算機。

　　多面手：Tripwire

　　Tripwire是一款入侵檢測和數據完整性產品，它允許用戶構建一個表現最優設置的基本服務器狀態。它並不能阻止損害事件的發生，但它能夠將目前的狀態與理想的狀態相比較，以決定是否發生了任何意外的或故意的改變。如果檢測到了任何變化，就會被降到運行障礙最少的狀態。

　　如果你需要控制對Linux或UNIX服務器的改變，可以有三個選擇：開源的Tripwire、服務器版Tripwire、企業版Tripwire。雖然這三個產品有一些共同點，但卻擁有大量的不同方面，使得這款產品可以滿足不同IT環境的要求。

　　如開源的Tripwire對於監視少量的服務器是合適的，因為這種情形並不需要集中化的控制和報告;服務器版Tripwire對於那些僅在Linux/UNIX/Windows平台上要求服務器監視並提供詳細報告和最優化集中服務器管理的IT組織是一個理想的方案;而企業版Tripwire對於需要在Linux/UNIX/Windows服務器、數據庫、網絡設備、桌面和目錄服務器之間安全地審核配置的IT組織而言是最佳選擇。

　　作者：Jack

　　【賽迪網-IT技術報道】在上周四(3月27日)的“PWN 2 OWN”2008年全球黑客大賽上，黑客謝恩?麥考萊(Shane Macaulay)一舉攻破微軟Vista系統，並因此獲得5000美元獎金和一台作為獎品的筆記本。

　　本周一，麥考萊將其獎品筆記本在eBay上拍賣，起價為0.01美元，並模稜兩可的暗示這台機器可能仍含有可攻擊Vista的執行代碼。由於周一是歐美國家盛行的愚人節，有人懷疑麥考萊是在惡作劇。但麥考萊當天表示，這台富士通筆記本已歸他個人所有，他本人有權對其隨意處置。

　　當晚美國太平洋時間11點，eBay網站刪除了麥考萊上述拍賣信息，並稱他的這種做法不利於廣大計算機用戶安全。eBay一位發言人表示：“麥考萊的拍賣信息上故意添加了含有Vista攻擊代碼等字樣，這已經引起了網絡安全專家們的注意。”

　　“PWN 2 OWN”2008年全球黑客大賽於上周三進行，大賽舉辦方提供了三部運行不同操作系統的筆記本電腦，以供各參賽黑客小組實施攻擊，這些操作系統分別為微軟Vista、蘋果Mac OS X及Ubuntu Linux。周三當天，所有參賽小組都沒能成功攻破任何一台筆記本。

　　上周四大賽舉辦方改變了攻擊規則，當天以查理?米勒(CharlIE Miller)為主的參賽小組在不到2分鐘時間內攻破了蘋果MacBook Air超薄筆記本，並為此獲得了1萬美元獎金。周五是大賽的最後一天。當天參賽黑客謝恩?麥考萊(Shane Macaulay)一舉攻破了微軟Vista系統，所獲獎金為5000美元。到周五為止，只有運行Ubuntu系統的筆記本沒有被攻破。

　　業界人士稱，如果麥考萊上述拍賣行為不是開愚人節玩笑，他就有可能違反了PWN 2 OWN大賽的相應規則。此前大賽舉辦方規定，任何參賽人員發現相應漏洞後，不得對外公布他們所發現的產品漏洞和相應攻擊方式，以便相應廠商能及時修補漏洞。

　　(責任編輯：李磊)

　　防火牆是保護我們網絡的第一道屏障，如果這一道防線失守了，那麼我們的網絡就危險了。所以我們有必要注意一下安裝防火牆的注意事項。

　　1.制定好的安全策略

　　防火牆加強了一些安全策略。如果你沒有在放置防火牆之前制定安全策略的話，那麼現在就是制定的時候了。它可以不被寫成書面形式，但是同樣可以作為安全策略。如果你還沒有明確關於安全策略應當做什麼的話，安裝防火牆就是你能做的最好的保護你的站點的事情，並且要隨時維護它也是很不容易的事情。要想有一個好的防火牆，你需要好的安全策略。

　　2. 一個防火牆在許多時候並不是一個單一的設備

　　除非在特別簡單的案例中，防火牆很少是單一的設備，而是一組設備。就算你購買的是一個商用的“all-in-one防火牆應用程序，你同樣得配置其他機器(例如你的網絡服務器)來與之一同運行。這些其他的機器被認為是防火牆的一部分，這包含了對這些機器的配置和管理方式，他們所信任的是什麼，什麼又將他們作為可信的等等。你不能簡單的選擇一個叫做“防火牆的設備卻期望其擔負所有安全責任。

　　3. 防火牆並不是現成的隨時獲得的產品

　　選擇防火牆更像買房子而不是選擇去哪裡度假。防火牆和房子很相似，你必須每天和它待在一起，你使用它的期限也不止一兩個星期那麼多。都需要維護否則都會崩潰掉。建設防火牆需要仔細的選擇和配置一個解決方案來滿足你的需求，然後不斷的去維護它。需要做很多的決定，對一個站點是正確的解決方案往往對另外站點來說是錯誤的。

　　4. 防火牆並不會解決你所有的問題

　　並不要指望防火牆靠自身就能夠給予你安全。防火牆保護你免受一類攻擊的威脅，人們嘗試從外部直接攻擊內部。但是卻不能防止從LAN內部的攻擊，它甚至不能保護你免受所有那些它能檢測到的攻擊。

　　5. 使用默認的策略

　　正常情況下你的手段是拒絕除了你知道必要和安全的服務以外的任何服務。但是新的漏洞每天都出現，關閉不安全的服務意味著一場持續的戰爭。

　　6. 有條件的妥協，而不是輕易的

　　人們都喜歡做不安全的事情。如果你允許所有的請求的話，你的網絡就會很不安全。如果你拒絕所有的請求的話，你的網絡同樣是不安全的，你不會知道不安全的東西隱藏在哪裡。那些不能和