一.系统升级
系统 centos7.4
本机的VMware操作
yum update 或者 yum upgrade
输入y
耗时3-5min,执行完上面的操作后,系统变为centos7.5
把已经安装在系统上的软件都更新掉
扫描完成之后问你是否更新,输入y回车开始下载
下载完成之后开始升级软件
升级完成
1
二.基于主机的扫描软件
1.sXid
sxid 是一个系统监控程序
可监视系统中 suid,sgid 文件以及没有属主的变化,以可选的形式报告这些改变
可在配置文件中设置用 email 的形式通知这些改变
可直接在标准输出上显示这些变化
suid,sgid 文件以及没有属主的文件很有可能是别人放置的后门程序,这些都要特别注意
系统初始状态,最小化安装
下载地址
http://freshmeat.sourceforge.net/projects/sxid
rz 上传
tar xzf sxid-4.20130802.tar.gz
cd sxid-4.20130802
yum -y install gcc gcc-c++
./configure 如图2
cd src/
make 执行完此操作后,编译完成了,不需要再操作了
分析:
如果执行"make install",会显示:Nothing to be done for 'install-exec-am'
此时执行"make clean"和"make"后,还会显示上面的内容
就表示已经编译安装ok了,不需要再编译了
cp examples/sxid.conf /usr/local/etc/
配置文件 /usr/local/etc/sxid.conf 定义了 sxid 的工作方式
如:
日志文件 /var/log/sxid.log
日志文件的循环次数
配置固定后把 sxid.conf 设置为不可改变,把 sxid.log 设置为只可添加(不操作)
chattr +i /usr/local/etc/sxid.conf 只能看
chattr +a /var/log/sxid.log 只能追加内容
yum -y install sendmail
yum -y install mailx
执行命令
sxid
mail 显示收到邮件,查看即可,就是sxid生成的报告内容
sxid -k 加上 -k 选项来进行检查,这时检查很灵活,既不记入日志,也不会发出 email,可以随时做检查
建议加入计划任务,待解决
2
2.Linux Security Auditing Tool (LSAT)
LSAT 是一款本地安全扫描程序
发现默认配置不安全时,它可以生成报告
LSAT由Triode开发,主要针对基于RPM的Linux发布设计的
下载链接:https://sourceforge.net/projects/usat/files/?source=navbar
rz 上传
tar zxf lsat-0.9.8.2.tgz
cd lsat-0.9.8.2
./configure 如图3
make 如图4
make install 如图5
3
4
5
cd /root/
lsat 执行后,会在对应路径下生成 lsat.out lsatsha512.out 两个文件
cat lsat.out |less 该文件就是生成的报告文件 如图6和7
cat lsatsha512.out 加密文件?
LSAT检查的内容很多,主要有:
检查无用的RPM安装
检查inetd和Xinetd和一些系统配置文件
检查SUID和SGID文件
检查777的文件
检查进程和服务
开放端口
LSAT的常用方法是用cron定期调用
然后用diff比较当前报告和以前报告的区别,就可以发现系统配置发生的变化
diff lsat.out lsat.out.old 如图8
再执行lsat,生成的新文件是lsat.out,旧文件自动变为lsat.out.old
参考文章
http://blog.sina.com.cn/s/blog_89c999580102wki4.html
6
7
8
三.基于网络的扫描软件
1.nmap(Network Mapper)
Nmap是在免费软件基金会的GNU General Public License (GPL)下发布
基本功能:
探测一组主机是否在线;
扫描主机端口,嗅探提供的网络服务;
判断主机的操作系统。
语法简单,功能强大
netstat -ntlp --inet 如图9
-l (listen) 仅列出 Listen (监听) 的服务
-t (tcp) 仅显示tcp相关内容
-n (numeric) 直接显示ip地址以及端口,不解析为服务名或者主机名
-p (pid) 显示出socket所属的进程PID 以及进程名字
--inet 显示ipv4相关协议的监听
过滤掉监控在127.0.0.1的端口
netstat -ntlp --inet | grep -v 127.0.0.1
9
nmap 192.168.10.88 -p1-65535 如图10
-p 指定端口范围
如果不指定要扫描的端口,Nmap默认扫描从1到1024再加上nmap-services列出的端口
nmap-services是一个包含大约2200个著名的服务的数据库
Nmap通过查询该数据库可以报告那些端口可能对应于什么服务器,但不一定正确。
所以正确扫描一个机器开放端口的方法是上面命令:-p1-65535
10
nmap -O 192.168.10.241 探测目标主机操作系统类型
nmap -A 192.168.10.95 探测目标主机操作系统类型
nmap -sU 192.168.10.88 -Pn
-sU:表示udp scan , udp端口扫描
-Pn:不对目标进行ping探测(不判断主机是否在线)(直接扫描端口)
11
nmap 192.168.10.88 -p20-200,7777,8888 扫描一个IP的多个端口,如图11
nmap 192.168.10.88 192.168.10.181 扫描多个IP
nmap 192.168.10.88,181
nmap 192.168.10.181-183 扫描连续的IP
nmap 192.168.10.0/24 扫描一个子网网段的所有IP
12
cat ip.txt
192.168.10.181
192.168.10.182
nmap -iL ip.txt
13
nmap 192.168.10.181-185 --exclude 192.168.10.182 扫描地址段时排除某个IP地址
nmap 192.168.10.181-185 --exclude 192.168.10.182-183 扫描时排除多个IP地址
nmap 192.168.10.181-185 --exclude 192.168.10.182,192.168.10.184
nmap 192.168.10.181-185 --excludefile ip.txt 扫描多个地址时排除文件里的IP地址
可以是不连续的IP,添加到一个文件里
参考文章
https://www.cnblogs.com/nmap/p/6232207.html
nmap -PS 192.168.25.102 扫描开放的端口
yum list ntsysv
yum -y install ntsysv
ntsysv 系统服务器管理器
空格键 加/删*
tab键 ok/cancel
2.p0f
p0f对于网络攻击非常有用
利用SYN数据包实现操作系统被动检测技术,能够正确地识别目标系统类型。
它不向目标系统发送任何的数据,只是被动地接受来自目标系统的数据进行分析。
因此,很大的优点是:几乎无法被检测到;
p0f是专门系统识别工具,其指纹数据库非常详尽,特别适合于安装在网关中。
下载地址
http://lcamtuf.coredump.cx/p0f3/releases/
rz 上传
tar xzf p0f-3.09b.tgz
yum -y install libpcap-devel libpcap gcc gcc-c++
cd p0f-3.09b.tgz
./build.sh 如图14
./p0f -h 如图15
14
15
用法: p0f [ ...选项... ] [ '过滤规则' ]
网络接口选项:
-i iface - 指定监听的网络接口
-r file - 读取由抓包工具抓到的网络数据包文件
-p - 设置 -i参数 指定的网卡 为混杂模式
-L - 列出所有可用接口
操作模式和输出设置:
-f file - 指定指纹数据库 (p0f.fp) 路径,不指定则使用默认数据库。(默认:/etc/p0f/p0f.fp)
-o file - 将信息写入指定的日志文件中。只有同一网卡的log文件才可以附加合并到本次监听中来。
-s name - 回答 unix socket 的查询 API
-u user - 以指定用户身份运行程序,工作目录会切换到到当前用户根目录下;
-d - 以后台进程方式运行p0f (requires -o or -s)
性能相关的选项:
-S limit - 设置API并发数,默认为20,上限为100;
-t c,h - 设置连接超时时间 (30s,120m)
-m c,h - 设置最大网络连接数(connect)和同时追踪的主机数(host)(默认值: c = 1,000, h = 10,000).
通过 man tcpdump 命令可以了解更过 过滤选项表达式。阻止p0f查看网络流量。
./p0f -i ens33 -p -o /tmp/p0f.log
监听网卡ens33,并开启混杂模式,并且把这些内容写入到/tmp/p0f.log日志文件中,这样会监听到每一个网络连接
一旦收到报文就会显示相关信息,并且不断刷新
再开一个窗口
curl www.baidu.com
或者
192.168.25.102 ssh连接 192.168.25.101
此时,就会显示内容了
可检测内容:
防火墙的存在或伪装;
到远程系统的距离以及它启动的时间;
其他网络连接以及ISP
image.png
网友评论