【转载】Linux实践工程师学习笔记十三:常用系统安全分析工具

扫描器nmap(FC5默认没有安装),rpm包在第5张盘
#nmap 192.168.0.22      默认扫描TCP端口
#nmap -sU -sR -sS 192.168.0.22
      -sU  UDP扫描
      -sR  RPC扫描
      -sS  TCP SYN扫描
可扫描单个主机或IP段192.168.0.0/24
#grep syslog /etc/services     搜索文件中含有syslog字符串的行,搜索文件中的字符串。
 
嗅探器tcpdump
#tcpdump -i eth0 -X dst 192.168.0.22
           -i eth0    指定监听的接口
           -X          以十六进制显示包头信息
           dst        指定目标主机地址或端口
#tcpdump -I eth0 -X dst 192.168.0.22 and dst port 21
监听数据包目标为192.168.0.22并且端口为21的数据
 
日志服务器syslog
配置文件/etc/syslog.conf
左边指定消息类型       右边指定消息记录位置
*.info;mail.none;authpriv.none;cron.none     /var/log/messages
任何程序的信息,只要是info级别以上都记录在/var/log/messages,但不记录mail,authpriv,cron的消息
mail.*                                                       /var/log/maillog
邮件的所有消息都记录在/var/log/maillog文件中
如修改了配置文件需从新启动服务
#service syslog restart
#vi /etc/syslog.conf
*.*                 @192.168.0.22
将所有程序的所有消息发送给192.168.0.22主机处理,但同时192.168.0.22要开启允许远程消息
#vi /etc/sysconfig/syslog 修改
SYSLOGD_OPTIONS=”-m 0 -r -x”
#service syslog restart
日志服务端口默认514/udp
#netstat -unl | grep :514         显示日志服务是否运行
         -u    UDP协议
         -t    TCP协议
         -n    用数值表示主机地址、端口号
         -l    仅显示正在监听的进程
         -p    显示进程名及PID
 
日志系统
1.编缉/etc/syslog.conf
2.重启日志服务器
#service syslog restart
3.检查日志/var/log/*
安全信息放在/var/log/secure里
邮件信息放在/var/log/maillog
计划任务信息/var/log/cron
大部分信息放在/var/log/messages
#tail -f messages                 监视系统信息的变化
推荐日志分析软件SWATCH

posted on 2007-07-30 18:09 黑虫 阅读(237) 评论(0)  编辑 收藏 引用 所属分类: Unix/Linux

只有注册用户登录后才能发表评论。
<2007年7月>
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234

导航

统计

常用链接

留言簿(4)

随笔分类(31)

随笔档案(31)

awmsky

搜索

最新评论

阅读排行榜

评论排行榜