考试网 >> IT认证 >> Linux >> Linux指导 >> 高级Linux安全管理技巧

发布时间：2006-06-28 11:04     点击：

　　AbacusPortSentry还可以被配置来对Linux系统上的UDP扫瞄作出反应，甚至还可以对各种半扫瞄作出反应，如FIN扫瞄，这种扫描试图通过只发送很小的探测包而不是建立一个真正的连接来避免被发现。

　　当然更好的办法就是使用专门的入侵检测系统，如ISS公司的RealSecure等，它们可以根据入侵报警和攻击签名重新配置防火墙。但这样的产品一般价格较高，普及的用户承受起来有困难。

　　六、反攻击检测

　　系统主要通过阻止入侵企图来防止入侵，而反攻击系统则可以反向进行端口扫瞄或发起其它的攻击，这一着让入侵者不仅入侵阴谋未能得逞，反而“引狼入室”，招致反攻击。

　　有些安全系统如AbacusSentry具有一定的反攻击能力。比如有的站点有了防止用户通过telnet进行连接，在应答telnet连接请求时，系统将返回一些不受欢迎的恶意信息。这只是一种最简单也是最轻微的反攻击措施。

　　一般情况下并不提倡使用反攻击功能，因为这样的反攻击措施很容易被非法利用来攻击其它的系统。

　　七、改进登录

　　服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。

　　在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。

　　●安全syslog即使使用单独的登录服务器，Linux自身的syslog工具也是相当不安全的。因此，有人开发了所谓的安全log服务器，将密码签名集成到日志中。这会确保入侵者即使在窜改系统日志以后也无法做到不被发现。现在最常用的用于取代syslog的安全log服务器称为“安全syslog（ssyslong）”，用户可以从CoreSDI站点http://www.core-sdi.com/ssylog处下载这个工具。这个守护程序实现一个称为PEQ-1的密码协议来实现对系统日志的远程审计。即使在入侵者获得系统超级用户权限的情况下也仍然可以进行审计，因为协议保证了以前以及入侵过程中的的log信息没有审计者（在远程可信任的主机上）的通知无法被修改。

www.babit.hu/products/syslog-ng.html处下载这个工具。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。