你可能不知道的三個服務器安全工具

　　個人數(shù)據(jù)中心服務器的安全性可能會在保護企業(yè)網(wǎng)絡的洗牌中迷失。這些服務器安全工具將會有所幫助。企業(yè)網(wǎng)絡中內(nèi)部的服務器的開發(fā)往往是網(wǎng)絡攻擊者一個巨大的賺錢機器。

　　PWN在企業(yè)文件服務器的隔離區(qū)中，可以獲得敏感的客戶數(shù)據(jù)的所有方式。成成功開發(fā)一個數(shù)據(jù)庫服務器，可以在網(wǎng)絡造成嚴重破壞。其所有的實際目的可以獲取域控制器特權，擁有該域以及其包含的所有數(shù)據(jù)。

　　在盡職調(diào)查中，謹慎的系統(tǒng)管理員應該了解自己和自己的團隊，并掌握更多一些有用的服務器安全的工具和機制。

　　Bro網(wǎng)絡安全監(jiān)控

　　Bro網(wǎng)絡安全監(jiān)控器是一個開源的網(wǎng)絡監(jiān)控工具，它帶有一個BSD許可證(即一個簡單的，寬容和自由的計算機軟件許可證)，它允許幾乎無限制的使用。當一個網(wǎng)絡連接的設備上安裝，Bro會監(jiān)控所有進入和退出其網(wǎng)絡接口流量。除了Bro以外，還有類似的網(wǎng)絡監(jiān)控工具，比如Wireshark的和Snort，是其分解所有流量納入相關的日志文件和塊的流量，而不是簡單地提醒流量的能力。

　　例如，當一個網(wǎng)絡連接的設備在其默認的配置退出的時候，Bro會捕獲.pcap格式的所有入站和出站流量，隨后根據(jù)其類型將每個數(shù)據(jù)包保存在一個日志文件中。如果一個HTTP包被捕獲，它被發(fā)送到http.log文件。如果一個DHCP報文被捕獲，它被發(fā)送到dhcp.log文件，而這種行為重復每個分組為每個類型的協(xié)議。如果經(jīng)過分析，系統(tǒng)管理員認為某些HTTP流量是惡意的，他可以配置Bro塊以阻止上述流量。所有這一切都是非常不靈活的腳本。

　　管理者必須運行在Unix或類Unix平臺，并{zd0}限度地采用Bro充分發(fā)揮其潛力，系統(tǒng)管理員應該學習Bro的腳本語言。由于Bro捕獲網(wǎng)絡上的數(shù)據(jù)包，它可運行在任何服務器的操作系統(tǒng)中?？紤]到Bro是一個自由而強大的資源，與Bro的效果比較，其價格相比之下不算多。

　　讓我們查看服務器日志

　　在Linux服務器環(huán)境中，系統(tǒng)管理員可能認為有必要檢查每個服務器上的流量。進入日志查看，而不是全部檢查服務器的整個網(wǎng)絡注重，Logwatch重點在個人Linux服務器實施。更具體地通過Logwatch檢查服務器的日志，系統(tǒng)管理員將會看到電子郵件警報。

　　例如，Linux管理員對服務器跟蹤SecureShell(SSH)的活動是一個很普遍的現(xiàn)象。Logwatch提醒系統(tǒng)管理員對SSH服務器有多少次失敗和成功的嘗試，以及有多少根登錄嘗試。跟蹤這樣的信息，讓系統(tǒng)管理員的頭腦意識到哪些并沒有成功地連接到服務器。

　　Logwatch主要是一個Linux的工具，系統(tǒng)管理員可以下載并通過以下命令來安裝Logwatch：

　　sudoapt-getinstalllogwatch

　　隨后，系統(tǒng)管理員可以編輯Logwatch.conf文件以電子郵件方式提醒他們認為有必要通知的任何人。然后，配置Logwatch，并對特定類型的流量進行提醒，或者干脆讓默認設置保持不變，并根據(jù)需要編輯配置。

　　這里有一個失敗的禁令

　　本著Logwatch的同樣的精神，fail2ban是一個開源的基于Linux的入侵防御系統(tǒng)，許多人認為其實是基于日志服務器的免費安全工具。

　　像Logwatch，fail2ban的重點保護個人服務器，而不是企業(yè)的網(wǎng)絡活動，其不同之處是阻止某種行為的能力，而不是簡單的提醒。該工具通過檢查本地日志文件，并搜索惡意活動的模式。一旦檢測到惡意活動，fail2ban記錄惡意活動的來源的IP地址，并將相關的IP地址插入IP地址表。

　　系統(tǒng)管理員對Linux服務器使用的fail2ban幫助安全Linux服務感興趣，如Apache，SSH或Courier，必須首先下載并通過以下命令安裝fail2ban：

　　sudoapt-getinstallfail2ban

　　根據(jù)服務器的配置，的fail2ban可能安裝，并且守護進程已經(jīng)在運行。因此，系統(tǒng)管理員應該檢查配置文件，并插入他們希望阻止或忽略的IP地址。然后重新啟動運行fail2ban守護程序的命令：

　　sudo/etc/init.d/fail2banrestart

　　在這一點上，fail2ban將開始檢查當?shù)氐娜罩疚募瑱z查出它認為堵塞流量的惡意IP地址。

　　文章來源：深圳服務器托管 http:///