linux下的安全防护

1、root 长且复杂的密码
2、放置SSH的暴力破解，使用iptables的recent或者 DenyHost工具。
3、用户管理方面：
4、系统用户越少越好
5、对数据库的用户权限要严格控制
6、分析系统日志
7、检查 message日志，是否有硬件损坏。
8、检查重要文件的完整性。AIDE
9、停掉不必要的服务。
10、做***测试。
11、部署***检查软

流量检测工具：ntop
linux访问流程： 客户端->iptables->tcp_wrappers->service
iptables,基于IP、协议，端口进行控制的
tcp-wrappers，对服务本身进行控制的（/etc/hosts.allow,/etc/host.deny）

<service >:<ip ,domain,hostname ....>:<allow|deny>
也可以写在 /etc/hosts.allow
sshd:192.168.10.0/255.255.255.0
service ,基于行为进行控制的

linux下的***检测工具：

IDS新宠：PSAD

　　Psad是端口扫描***检测程序的简称，它作为一个新工具，可以与iptables和Snort等紧密合作，向我们展示所有试图进入网络的恶意企图。这是笔者首选的Linux***检测系统。它使用了许多snort工具，它可以与fwsnort和iptables的日志结合使用，意味着你甚至可以深入到应用层并执行一些内容分析。它可以像Nmap一样执行数据包头部的分析，向用户发出警告，甚至可以对其进行配置以便于自动阻止可疑的IP地址。

　　事实上，任何***检测系统的一个关键方面是捕获并分析大量的数据。如果不这样做，那只能是盲目乱来，并不能真正有效地调整IDS.我们可以将PSAD 的数据导出到AfterGlow 和 Gnuplot中，从而可以知道到底是谁正在***防火墙，而且是以一种很友好的界面展示。

　　老当益壮：Snort

　　正如一位可信任的老人，随着年龄的增长，Snort也愈发成熟。它是一款轻量级且易于使用的工具，可以独立运行，也可以与psad和iptables 一起使用。我们可以从Linux的发行版本的程序库中找到并安装它，比起过去的源代码安装这应该是一个很大的进步。至于保持其规则的更新问题，也是同样的简单，因为作为Snort的规则更新程序和管理程序，oinkmaster也在Linux发行版本的程序库中。

　　Snort易于管理，虽然它有一些配置上的要求。要开始使用它，默认的配置对大多数网络系统并不适用，因为它将所有不需要的规则也包括在其中。所以我们要做的第一件事情是清除所有不需要的规则，否则就会损害性能，并会生成一些虚假的警告。

　　另外一个重要的策略是要以秘密模式运行Snort，也就是说要监听一个没有IP地址的网络接口。在没有为它分配IP地址的接口上，如ifconfig eth0 up，以-i选项来运行Snort，如snort –i eth0.还有可能发生这样的事情：如果你的网络管理程序正运行在系统中，那它就会“有助于”展现出还没有配置的端口，因此建议还是清除网络管理程序。

　　Snort可以收集大量的数据，因此需要添加BASE(基本分析和安全引擎)，以便于获得一个友好的可视化的分析工具，它以较老的ACID(***数据库分析控制台)为基础。

　　简洁方便：chkrootkit和rootkit

　　Rootkit检测程序chkrootkit和rootkit Hunter也算是老牌的rootkit检测程序了。很明显，在从一个不可写的外部设备运行时，它们是更可信任的工具，如从一个CD或写保护的USB驱动器上运行时就是这样。笔者喜欢SD卡，就是因为那个写保护的的开关。这两个程序可以搜索已知的rooktkit、后门和本地的漏洞利用程序，并且可以发现有限的一些可疑活动。我们需要运行这些工具的理由在于，它们可以查看文件系统上的/proc、ps和其它的一些重要的活动。虽然它们不是用于网络的，但却可以快速扫描个人计算机。

　　多面手：Tripwire

　　Tripwire是一款***检测和数据完整性产品，它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生，但它能够将目前的状态与理想的状态相比较，以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化，就会被降到运行障碍最少的状态。

　　如果你需要控制对Linux或UNIX服务器的改变，可以有三个选择：开源的Tripwire、服务器版Tripwire、企业版Tripwire.虽然这三个产品有一些共同点，但却拥有大量的不同方面，使得这款产品可以满足不同IT环境的要求。

　　如开源的Tripwire对于监视少量的服务器是合适的，因为这种情形并不需要集中化的控制和报告;服务器版Tripwire对于那些仅在 Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理的IT组织是一个理想的方案;而企业版Tripwire 对于需要在Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器之间安全地审核配置的IT组织而言是最佳选择。

原文出自【比特网】，转载请保留原文链接：http://soft.chinabyte.com/os/443/11827943.shtml