常用系统安全分析工具

常用系统安全分析工具

扫描器nmap (查看开的服务和端口)
#nmap 192.168.0.22 默认扫描TCP 端口
#nmap -sU -sR -sS 192.168.0.22
-sU UDP 扫描   -sR RPC 扫描    -sS TCP SYN 扫描
可扫描单个主机或IP段192.168.0.0/24
#grep syslog /etc/services 搜索文件中含有syslog 字符串的行，搜索文件中的字符串。
嗅探器tcpdump (查看流量和捕抓端口、包信息)
#tcpdump –i eth0 -X dst 192.168.0.22
-i eth0 指定监听的接口  -X 以十六进制显示包头信息  dst 指定目标主机地址或端口
#tcpdump -i eth0 -X dst 192.168.0.22 and dst port 21监听数据包目标为192.168.0.22 并且端口为21 的数据
日志服务器syslog
配置文件/etc/syslog.conf
左边指定消息类型右边指定消息记录位置
*.info;mail.none;authpriv.none;cron.none /var/log/messages
任何程序的信息，只要是info 级别以上都记录在
/var/log/messages，但不记录mail,authpriv,cron 的消息
mail.*    /var/log/maillog
邮件的所有消息都记录在/var/log/maillog 文件中如修改了配置文件需从新启动服务
#service syslog restart
#vi /etc/syslog.conf
*.*    @192.168.0.22
将所有程序的所有消息发送给192.168.0.22 主机处理，但同时192.168.0.22要开启允许远程消息
#vi /etc/sysconfig/syslog 修改
SYSLOGD_OPTIONS=”-m 0 -r -x”
#service syslog restart
日志服务端口默认   514/udp   -- grep syslog /etc/services
#netstat -unl | grep :514 显示日志服务是否运行
-u UDP 协议 -t TCP 协议
-n 用数值表示主机地址、端口号 -l 仅显示正在监听的进程 -p 显示进程名及PID
日志系统
1.编缉/etc/syslog.conf
2.重启日志服务器
#service syslog restart
3.检查日志/var/log/*
安全信息放在/var/log/secure   邮件信息放在/var/log/maillog
计划任务信息/var/log/cron     大部分信息放在/var/log/messages
#tail -f messages 监视系统信息的变化
推荐日志分析软件SWATCH

 

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/11364208/viewspace-344606/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/11364208/viewspace-344606/