你可能不知道的三個服務(wù)器安全工具

　　個人數(shù)據(jù)中心服務(wù)器的安全性可能會在保護(hù)企業(yè)網(wǎng)絡(luò)的洗牌中迷失。這些服務(wù)器安全工具將會有所幫助。企業(yè)網(wǎng)絡(luò)中內(nèi)部的服務(wù)器的開發(fā)往往是網(wǎng)絡(luò)攻擊者一個巨大的賺錢機器。

　　PWN在企業(yè)文件服務(wù)器的隔離區(qū)中，可以獲得敏感的客戶數(shù)據(jù)的所有方式。成成功開發(fā)一個數(shù)據(jù)庫服務(wù)器，可以在網(wǎng)絡(luò)造成嚴(yán)重破壞。其所有的實際目的可以獲取域控制器特權(quán)，擁有該域以及其包含的所有數(shù)據(jù)。

　　在盡職調(diào)查中，謹(jǐn)慎的系統(tǒng)管理員應(yīng)該了解自己和自己的團(tuán)隊，并掌握更多一些有用的服務(wù)器安全的工具和機制。

　　Bro網(wǎng)絡(luò)安全監(jiān)控

　　Bro網(wǎng)絡(luò)安全監(jiān)控器是一個開源的網(wǎng)絡(luò)監(jiān)控工具，它帶有一個BSD許可證(即一個簡單的，寬容和自由的計算機軟件許可證)，它允許幾乎無限制的使用。當(dāng)一個網(wǎng)絡(luò)連接的設(shè)備上安裝，Bro會監(jiān)控所有進(jìn)入和退出其網(wǎng)絡(luò)接口流量。除了Bro以外，還有類似的網(wǎng)絡(luò)監(jiān)控工具，比如Wireshark的和Snort，是其分解所有流量納入相關(guān)的日志文件和塊的流量，而不是簡單地提醒流量的能力。

　　例如，當(dāng)一個網(wǎng)絡(luò)連接的設(shè)備在其默認(rèn)的配置退出的時候，Bro會捕獲.pcap格式的所有入站和出站流量，隨后根據(jù)其類型將每個數(shù)據(jù)包保存在一個日志文件中。如果一個HTTP包被捕獲，它被發(fā)送到http.log文件。如果一個DHCP報文被捕獲，它被發(fā)送到dhcp.log文件，而這種行為重復(fù)每個分組為每個類型的協(xié)議。如果經(jīng)過分析，系統(tǒng)管理員認(rèn)為某些HTTP流量是惡意的，他可以配置Bro塊以阻止上述流量。所有這一切都是非常不靈活的腳本。

　　管理者必須運行在Unix或類Unix平臺，并{zd0}限度地采用Bro充分發(fā)揮其潛力，系統(tǒng)管理員應(yīng)該學(xué)習(xí)Bro的腳本語言。由于Bro捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，它可運行在任何服務(wù)器的操作系統(tǒng)中?？紤]到Bro是一個自由而強大的資源，與Bro的效果比較，其價格相比之下不算多。

　　讓我們查看服務(wù)器日志

　　在Linux服務(wù)器環(huán)境中，系統(tǒng)管理員可能認(rèn)為有必要檢查每個服務(wù)器上的流量。進(jìn)入日志查看，而不是全部檢查服務(wù)器的整個網(wǎng)絡(luò)注重，Logwatch重點在個人Linux服務(wù)器實施。更具體地通過Logwatch檢查服務(wù)器的日志，系統(tǒng)管理員將會看到電子郵件警報。

　　例如，Linux管理員對服務(wù)器跟蹤SecureShell(SSH)的活動是一個很普遍的現(xiàn)象。Logwatch提醒系統(tǒng)管理員對SSH服務(wù)器有多少次失敗和成功的嘗試，以及有多少根登錄嘗試。跟蹤這樣的信息，讓系統(tǒng)管理員的頭腦意識到哪些并沒有成功地連接到服務(wù)器。

　　Logwatch主要是一個Linux的工具，系統(tǒng)管理員可以下載并通過以下命令來安裝Logwatch：

　　sudoapt-getinstalllogwatch

　　隨后，系統(tǒng)管理員可以編輯Logwatch.conf文件以電子郵件方式提醒他們認(rèn)為有必要通知的任何人。然后，配置Logwatch，并對特定類型的流量進(jìn)行提醒，或者干脆讓默認(rèn)設(shè)置保持不變，并根據(jù)需要編輯配置。

　　這里有一個失敗的禁令

　　本著Logwatch的同樣的精神，fail2ban是一個開源的基于Linux的入侵防御系統(tǒng)，許多人認(rèn)為其實是基于日志服務(wù)器的免費安全工具。

　　像Logwatch，fail2ban的重點保護(hù)個人服務(wù)器，而不是企業(yè)的網(wǎng)絡(luò)活動，其不同之處是阻止某種行為的能力，而不是簡單的提醒。該工具通過檢查本地日志文件，并搜索惡意活動的模式。一旦檢測到惡意活動，fail2ban記錄惡意活動的來源的IP地址，并將相關(guān)的IP地址插入IP地址表。

　　系統(tǒng)管理員對Linux服務(wù)器使用的fail2ban幫助安全Linux服務(wù)感興趣，如Apache，SSH或Courier，必須首先下載并通過以下命令安裝fail2ban：

　　sudoapt-getinstallfail2ban

　　根據(jù)服務(wù)器的配置，的fail2ban可能安裝，并且守護(hù)進(jìn)程已經(jīng)在運行。因此，系統(tǒng)管理員應(yīng)該檢查配置文件，并插入他們希望阻止或忽略的IP地址。然后重新啟動運行fail2ban守護(hù)程序的命令：

　　sudo/etc/init.d/fail2banrestart

　　在這一點上，fail2ban將開始檢查當(dāng)?shù)氐娜罩疚募?，檢查出它認(rèn)為堵塞流量的惡意IP地址。

　　文章來源：深圳服務(wù)器托管 http:///