你可能不知道的三個(gè)服務(wù)器安全工具

　　個(gè)人數(shù)據(jù)中心服務(wù)器的安全性可能會(huì)在保護(hù)企業(yè)網(wǎng)絡(luò)的洗牌中迷失。這些服務(wù)器安全工具將會(huì)有所幫助。企業(yè)網(wǎng)絡(luò)中內(nèi)部的服務(wù)器的開發(fā)往往是網(wǎng)絡(luò)攻擊者一個(gè)巨大的賺錢機(jī)器。

　　PWN在企業(yè)文件服務(wù)器的隔離區(qū)中，可以獲得敏感的客戶數(shù)據(jù)的所有方式。成成功開發(fā)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器，可以在網(wǎng)絡(luò)造成嚴(yán)重破壞。其所有的實(shí)際目的可以獲取域控制器特權(quán)，擁有該域以及其包含的所有數(shù)據(jù)。

　　在盡職調(diào)查中，謹(jǐn)慎的系統(tǒng)管理員應(yīng)該了解自己和自己的團(tuán)隊(duì)，并掌握更多一些有用的服務(wù)器安全的工具和機(jī)制。

　　Bro網(wǎng)絡(luò)安全監(jiān)控

　　Bro網(wǎng)絡(luò)安全監(jiān)控器是一個(gè)開源的網(wǎng)絡(luò)監(jiān)控工具，它帶有一個(gè)BSD許可證(即一個(gè)簡(jiǎn)單的，寬容和自由的計(jì)算機(jī)軟件許可證)，它允許幾乎無限制的使用。當(dāng)一個(gè)網(wǎng)絡(luò)連接的設(shè)備上安裝，Bro會(huì)監(jiān)控所有進(jìn)入和退出其網(wǎng)絡(luò)接口流量。除了Bro以外，還有類似的網(wǎng)絡(luò)監(jiān)控工具，比如Wireshark的和Snort，是其分解所有流量納入相關(guān)的日志文件和塊的流量，而不是簡(jiǎn)單地提醒流量的能力。

　　例如，當(dāng)一個(gè)網(wǎng)絡(luò)連接的設(shè)備在其默認(rèn)的配置退出的時(shí)候，Bro會(huì)捕獲.pcap格式的所有入站和出站流量，隨后根據(jù)其類型將每個(gè)數(shù)據(jù)包保存在一個(gè)日志文件中。如果一個(gè)HTTP包被捕獲，它被發(fā)送到http.log文件。如果一個(gè)DHCP報(bào)文被捕獲，它被發(fā)送到dhcp.log文件，而這種行為重復(fù)每個(gè)分組為每個(gè)類型的協(xié)議。如果經(jīng)過分析，系統(tǒng)管理員認(rèn)為某些HTTP流量是惡意的，他可以配置Bro塊以阻止上述流量。所有這一切都是非常不靈活的腳本。

　　管理者必須運(yùn)行在Unix或類Unix平臺(tái)，并{zd0}限度地采用Bro充分發(fā)揮其潛力，系統(tǒng)管理員應(yīng)該學(xué)習(xí)Bro的腳本語言。由于Bro捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，它可運(yùn)行在任何服務(wù)器的操作系統(tǒng)中。考慮到Bro是一個(gè)自由而強(qiáng)大的資源，與Bro的效果比較，其價(jià)格相比之下不算多。

　　讓我們查看服務(wù)器日志

　　在Linux服務(wù)器環(huán)境中，系統(tǒng)管理員可能認(rèn)為有必要檢查每個(gè)服務(wù)器上的流量。進(jìn)入日志查看，而不是全部檢查服務(wù)器的整個(gè)網(wǎng)絡(luò)注重，Logwatch重點(diǎn)在個(gè)人Linux服務(wù)器實(shí)施。更具體地通過Logwatch檢查服務(wù)器的日志，系統(tǒng)管理員將會(huì)看到電子郵件警報(bào)。

　　例如，Linux管理員對(duì)服務(wù)器跟蹤SecureShell(SSH)的活動(dòng)是一個(gè)很普遍的現(xiàn)象。Logwatch提醒系統(tǒng)管理員對(duì)SSH服務(wù)器有多少次失敗和成功的嘗試，以及有多少根登錄嘗試。跟蹤這樣的信息，讓系統(tǒng)管理員的頭腦意識(shí)到哪些并沒有成功地連接到服務(wù)器。

　　Logwatch主要是一個(gè)Linux的工具，系統(tǒng)管理員可以下載并通過以下命令來安裝Logwatch：

　　sudoapt-getinstalllogwatch

　　隨后，系統(tǒng)管理員可以編輯Logwatch.conf文件以電子郵件方式提醒他們認(rèn)為有必要通知的任何人。然后，配置Logwatch，并對(duì)特定類型的流量進(jìn)行提醒，或者干脆讓默認(rèn)設(shè)置保持不變，并根據(jù)需要編輯配置。

　　這里有一個(gè)失敗的禁令

　　本著Logwatch的同樣的精神，fail2ban是一個(gè)開源的基于Linux的入侵防御系統(tǒng)，許多人認(rèn)為其實(shí)是基于日志服務(wù)器的免費(fèi)安全工具。

　　像Logwatch，fail2ban的重點(diǎn)保護(hù)個(gè)人服務(wù)器，而不是企業(yè)的網(wǎng)絡(luò)活動(dòng)，其不同之處是阻止某種行為的能力，而不是簡(jiǎn)單的提醒。該工具通過檢查本地日志文件，并搜索惡意活動(dòng)的模式。一旦檢測(cè)到惡意活動(dòng)，fail2ban記錄惡意活動(dòng)的來源的IP地址，并將相關(guān)的IP地址插入IP地址表。

　　系統(tǒng)管理員對(duì)Linux服務(wù)器使用的fail2ban幫助安全Linux服務(wù)感興趣，如Apache，SSH或Courier，必須首先下載并通過以下命令安裝fail2ban：

　　sudoapt-getinstallfail2ban

　　根據(jù)服務(wù)器的配置，的fail2ban可能安裝，并且守護(hù)進(jìn)程已經(jīng)在運(yùn)行。因此，系統(tǒng)管理員應(yīng)該檢查配置文件，并插入他們希望阻止或忽略的IP地址。然后重新啟動(dòng)運(yùn)行fail2ban守護(hù)程序的命令：

　　sudo/etc/init.d/fail2banrestart

　　在這一點(diǎn)上，fail2ban將開始檢查當(dāng)?shù)氐娜罩疚募?，檢查出它認(rèn)為堵塞流量的惡意IP地址。

　　文章來源：深圳服務(wù)器托管 http:///