2024年5月16日发(作者：香港vps)

linux 服务器必备的常用安全软件： 作为一个合格的网络系统管理员，要谁时应对可能发

生的安全问题，掌握Linux下各种必须的安全 工具设备是很重要的。本文主要介绍Linux

上常用的安全工具，例如，Nmap、Snort、Nesseu等安装、使用和维护知识。通过这些工具

管理人员 能够了解其系统目前存在的安全隐患、入侵者可能利用的漏洞，及时发现入侵，

并构造一个坚固的防御体系将入侵拒之门外。

一、安全信息收集软件

对于系统管理员来说，了解和掌握系统当前的安全状态是做到―知己‖的第一个步骤。安全信

息收集软件就是用来收集目前系统安全状态的有力工具。端口扫描软件 和漏洞扫描软件是

常用的信息收集软件。入侵者通常通过端口扫描软件来掌握系统开放端口，运行服务器软件

版本和操作系统版本等相关信息。而对于管理人员，通 过这些软件可以让管理人员从入侵

者的角度来审视系统，并且能够根据这些信息进行相应的配置和修改来迷惑入侵者。漏洞扫

描软件能够获得具体的漏洞信息，利用 这些漏洞信息，入侵者能够轻易地访问系统、获得

非授权信息，甚至是获得整个系统的控制权限。而对于管理人员，通过漏洞扫描软件获得的

信息能够帮助自己及时 对系统进行加固和防御，让入侵者无机可乘。

1、Nmap

Nmap是一个网络探测和安全扫描程序，使用这个软件可以扫描大型的网络，以获取那台主

机正在运行及提供什么服务等信息。Nmap支持很多 扫描技术，例如UDP、TCPconnect()、

TCP SYN（半开扫描）、FTP代理（bounce攻击）、反向标志、ICMP、FIN、ACK扫描、圣

诞树（Xmas Tree）、SYN扫描和null扫描。Nmap还提供了一些高级的特征，例如，通过

TCP/IP协议栈特征探测操作系统类型、秘密扫描、动态延时、重传 计算和并行扫描，通过

并行ping扫描探测关闭的主机、诱饵扫描，避开端口过滤检测，直接RPC扫描（无须端口

影射）、碎片扫描，以及灵活的目标和端口设 定。

（1）安装

Nmap的安装很简单，Linux各发行版本上通常都已经安装了Namp。这里首先用―nmap-v‖

查看当前系统所安装的nmap版本号：

# nmap -v

Starting nmap V. 4.00.

……

由于目前系统所安装的Nmap为4.00，不是最新版本，因此要首先从载最新版本的源代码。

目前最新版本为2，该文件为源代码压缩包，需要用bzip2进行解压缩。我们

将该文件下载并保存在/root/nmap下，以root用户进行安装。

# bzip2 –cd 2∣tar xvf-

该命令将Nmap源代码解压缩至目录nmap-5.5。

进入该目录进行配置：

# ./configure

配置结束后用make命令进行编译：

# make

编译结束后用make install进行安装：

# make install

(2)使用

◆各种扫描模式与参数

首先需要输入要探测的主机IP地址作为参数。假设一个LAN中有两个节点：192.168.12.1

和192.168.12.2

# nmap 192.168.12. 1

Starting nmap 5.5(/nmap/) at 2010-01-24 15:24 CST

Interesting ports on 192.168.12. 1： (The 1651 ports scanned but not shown below are in state:

closed)

PORT STATE SERVICE

25/tcp open smtp

80/tcp open http

135/tcp open msrpc

139/tcp open netbios-ssn

443/tcp open https

445/tcp open Microsoft-ds

1025/tcp open NFS-or-IIS

1033/tcp open netinfo

1521/tcp open oracle

2030/tcp open device2

3372/tcp open msdtc

8080/tcp open http-proxy

MAC Address: 00:E0:4C:12:FA:4B (Realtek Semiconductor)

Nmap run completed – 1 IP address (1 host up)

Scanned in 22.882 seconds

上面是对目标主机进行全面TCP扫描的结果，显示了监听端口的服务情况，这一基本

操作不需要任何参数。但是， 由于在扫描过程中建立了完整的TCP连接，主机可以很容易

地监测到这类扫描。该命令是参数开关-sT的缺省。

-sS选项可以进行更加隐蔽地扫描，并防止被目标主机检测到，但此方式需要用户拥有

root权限。-sF、-sX和-sN则可以进行一些超常的扫描。假如目标主机安装了过滤和日志软

件来检测同步空闲字符SYN，那么-sS的隐蔽作用就失效了，此时可以采用-sF(隐蔽FIN)、

-sX(Xmas Tree)及-sN(Null)方式扫描。

这里需要注意的是，由于微软的实现方式不同，对于运行Win 2003,Vista等NT的机器

FIN 、Xmas或Null的扫描结果都是将端口关闭，由此可作为推断目标主机运行Windows

操作系统的一种方法。以上命令都需要有root权限。-sU选 项是监听目标主机的UDP，而

不是默认的TCP端口。尽管在Linux机器上有时慢一些，比如，输入上面的例子：

# nmap -sU 192.168.12.1

Starting nmap 5.5 (/nmap/) at 2010-01-24 15:28 CST

Interesting ports on 192.168.12.1:

(The 1472 ports scanned but not shown below are in state:closed)

PORT STATE SERVICE

135/udp open msrpc

137/udp open∣filtered netbios-ns

138/udp open∣filtered netbios-dgm

445/udp open∣filtered microsoft-ds

500/udp open∣filtered isakmp

3456/udp open∣filtered IISrpc-or-vat

MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)

Nmap run completed – 1 IP address (1 host up) scanned in 4.381 seconds

◆操作系统探测