五个顶级Linux安全工具

首先，我建议转换到另一个端口，仅使用密语，不是密码，或者用基础规则审核你的密码，记住sshd保护数据的传输—这就意味着如果你的访问控制非常弱的话，攻击者能够用一个安全的方法控制你的机器，这应该不是你想要的，我见过太多的Linux通过临时帐户被泄密，如upload/upload。要改变这个端口，编辑/etc/ssh/sshd_config文件，修改#Port 22为Port 12345，然后重新启动服务。

在下面的例子中，我们展示如何用密语替代密码，你在这里要做的是允许你客户端机器用户帐户能读取和写入远程机器的任何文件。

你可以忽略密语和不使用ssh-agent（ssh-add命令），登陆客户端兵输入下面的命令：

client% ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key【译者注：输入密钥保存的位置路径】 (/usr/local/sss/jriden/.ssh/id_rsa): Enter passphrase (empty for no passphrase):【译者注：输入密语】 MY PASSPHRASE Enter same passphrase again: MY PASSPHRASE【译者注：再输入一次密语】 Your identification has been saved in /usr/local/sss/jriden/.ssh/id_rsa. Your public key has been saved in /usr/local/sss/jriden/.ssh/id_rsa.pub. The key fingerprint is: 75:65:36:2b:ed:38:9f:4a:6d:c4:d8:ec:25:ed:ff:31 jriden@its-dev2 client% ssh-add Enter passphrase for /usr/local/sss/jriden /.ssh/id_rsa:【译者注：给你的证书输入密语】 MY PASSPHRASE Identity added: /usr/local/sss/jriden/.ssh/id_rsa (/usr/local/sss/jriden/.ssh/id_rsa) client%

现在，取得~/.ssh/id_rsa.pub，将其内容添加到服务器上~/.ssh/authorized_keys中或者~/.ssh/authorized_keys2中，确保移除了无关的新行，它们可能导致复制和粘贴变慢：

client% scp server:~/testfile . The authenticity of host 'server (130.123.128.86)' can't be established. RSA key fingerprint is 97:7b:e0:12:c2:f8:8e:05:cc:2b:74:50:9b:00:28:0e. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'server,130.123.128.86' (RSA) to the list of known hosts. testfile |***************************************************| 81940 00:00

这里之所以出现提示是因为服务器是一个不认识的主机，这是ssh尝试与主机欺骗的格斗，下一次连接的时候就不会出现这个提示了。

3、Tcpdump

tcpdump可能是检查网络通讯原始数据构成最著名的应用程序了，Debian用户可以通过apt-get install tcpdump来获取，tcpdump文件就是著名的pcap文件，因为pcap是实现包捕获的库。

在这个例子中，我们dump来自源端口53或目标端口53的所有通讯，意味着，所有的DNS通讯，我使用的-n参数，如果你想更详细一点，你可以使用src port 53或者dst port 53，除此之外，tcpdump尝试ip地址到域名的解析，以便于打印出比较友好的名字，那些DNS请求也将在我们的捕获中显示出来：

# tcpdump -n 'port 53' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 11:19:58.302298 IP 192.168.0.8.1037 > 192.168.128.1.53: 36224+ A? www.slashdot.org. (34) 11:19:58.360227 IP 192.168.128.1.53 > 192.168.0.8.1037: 36224 1/5/5 A 66.35.250.151 (239) ...

在其他事情中，snort能存储tcpdump格式的捕获数据，你需要用-r <文件名>和-w <文件名>参数来读取和写入存储的文件。

4、Snort

snort是一款最重要的开源网络入侵检测系统，基本上意味着它留意坏的通讯并给你提供警告，它始终保存你读取原始tcpdump内容的输出，Debian用户可以通过apt-get install snort来获取它，默认情况下，它将网络接口设置为混杂模式，也就是说，所有在线路上的数据包都被检查。

如果你正在尝试保护一个网络，通常你的snort传感器应该放在主路由器的SPAN端口上，这样它就能查看到所有经过那个路由器的网络通讯内容。（SPAN端口提供了所有经过路由器的通讯的一个总和）如果你正在尝试保护一个单独的主机，只需要在主机上简单地按照它即可。

Snort依靠一个规则数据库来检查数据包，/etc/snort/rules/bad-traffic.rules中有一个例子标记出了一个tcp端口号为0的无效通讯： 

alert tcp $EXTERNAL_NET any <> $HOME_NET 0 (msg:"BAD-TRAFFIC tcp port 0 traffic"; flow:stateless; classtype:misc-activity; sid:524; rev:8;)