五个顶级Linux安全工具

Nov 22 06:24:00 localhost kernel: filter: IN=eth0 OUT=MAC=00:0a:e6:4e:6d:49:00:14:6c:67:cc:9a:08:00 SRC=192.168.50.40 DST=192.168.0.8 LEN=402 TOS=0x00 PREC=0x00 TTL=47 ID=3345 PROTO=UDP SPT=30766 DPT=1026 LEN=382

日志输出看起来有点恐怖，但是你能容易地拣出你想要的信息，首先，你看到的是日期和主机名，IN和OUT描述了数据包是来自哪个端口和通过哪个端口出去的，MAC给出了源和目标MAC地址，SRC和DST是源和目标ip地址，PROTO是UDP，TCP，ICMP等等，SPT和DPT是源和目标端口号，例如：大部分到服务的连接如ssh都有一个临时的源端口，如35214，和一个目标端口22，那么象前面说道的windows机器的信使服务数据包，你可以安全地忽略它。

当你安装号防火墙后，务必再从另外一台机器上运行一次nmap，来检查是否只打开了正确的端口。

总结

安全是不断提高、评估你的保护尺度的一个循环过程，上面的工具允许你保护你的服务器，确保它按需要进行工作，分析意外事件的网络通讯，记住，意外总是让人不愉快的！正如Larry Niven说的：“你不理解的任何事情都是危险的除非你理解了它”。

当你正在使用这些工具时，尝试思考安全的3个步骤：预防，检查和响应。如果可能你最好预防事情的发生，发生入侵后清除的代价是昂贵的，并且你可能丢失掉有用的数据，无论如何，你将理解一些入侵的知识，因此尽你所能做好预防工作。

TCP 3次握手

UDP是一个无连接的协议，相反，TCP在传输失败时会重新再发送一次数据，它的设置比UDP更复杂，以3次握手开始，初始化一个连接，客户端发送一个SYN（开始同步）数据包，服务器然后用一个SYN+ACK数据包进行响应（如果端口是打开的情况下），然后客户端响应一个ACK（告知收到）数据包，连接就这样建立了，这些数据包携带数据序列号，它允许协议检查和重新发送丢失的数据包，如果端口是关闭的或被防火墙过滤了，响应可能是RST或没有响应，更多信息可以查看nmap文档。

【51CTO.COM 独家翻译，转载请注明出处及作者！】