Linux经常使用的安全工具

Linux经常使用的安全工具

  “工欲善其事，必先利其器”。做为一个合格的系统管理员，要应对可能发生的安全事件，掌握Linux下各类必须的安全工具是首要大事。本文主要介绍Linux上经常使用的安全工具，例如，Nmap、Snort、Nesseu等安装、使用和维护知识。经过这些工具管理人员可以了解其系统目前存在的安全隐患、***者可能利用的漏洞，及时发现***，并构造一个坚固的防护体系将***拒之门外。

1、安全信息收集软件

对于系统管理员来讲，了解和掌握系统当前的安全状态是作到“知己”的第一个步骤。安全信息收集软件就是用来收集目前系统安全状态的有力工具。端口扫描软件和漏洞扫描软件是经常使用的信息收集软件。***者一般经过端口扫描软件来掌握系统开放端口，运行服务器软件版本和操做系统版本等相关信息。而对于管理人员，经过这些软件可让管理人员从***者的角度来审视系统，而且可以根据这些信息进行相应的配置和修改来迷惑***者。漏洞扫描软件可以得到具体的漏洞信息，利用这些漏洞信息，***者可以轻易地访问系统、得到非受权信息，甚至是得到整个系统的控制权限。而对于管理人员，经过漏洞扫描软件得到的信息可以帮助本身及时对系统进行加固和防护，让***者无机可乘。

一、Nmap

Nmap是一个网络探测和安全扫描程序，使用这个软件能够扫描大型的网络，以获取那台主机正在运行及提供什么服务等信息。Nmap支持不少扫描技术，例如UDP、TCPconnect()、TCP SYN（半开扫描）、FTP代理（bounce***）、反向标志、ICMP、FIN、ACK扫描、圣诞树（Xmas Tree）、SYN扫描和null扫描。Nmap还提供了一些高级的特征，例如，经过TCP/IP协议栈特征探测操做系统类型、秘密扫描、动态延时、重传计算和并行扫描，经过并行ping扫描探测关闭的主机、诱饵扫描，避开端口过滤检测，直接RPC扫描（无须端口影射）、碎片扫描，以及灵活的目标和端口设定。

（1）安装

Nmap的安装很简单，Linux各发行版本上一般都已经安装了Namp。这里首先用“nmap-v”查看当前系统所安装的nmap版本号：

# nmap -v

Starting nmap V. 4.00.(www.insecure.org/nmap/)

……

因为目前系统所安装的Nmap为4.00，不是最新版本，所以要首先从http://www.insecure.org/nmap/下载最新版本的源代码。目前最新版本为Nmap-5.5.tar.bz2，该文件为源代码压缩包，须要用bzip2进行解压缩。咱们将该文件下载并保存在/root/nmap下，以root用户进行安装。

# bzip2 –cd nmap-5.5.tar.bz2∣tar xvf-

该命令将Nmap源代码解压缩至目录nmap-5.5。

进入该目录进行配置：

# ./configure

配置结束后用make命令进行编译：

# make

编译结束后用make install进行安装：

# make install

 (2)使用

◆各类扫描模式与参数

首先须要输入要探测的主机IP地址做为参数。假设一个LAN中有两个节点：192.168.12.1和192.168.12.2

 # nmap 192.168.12. 1

Starting nmap 5.5(http://www.insecure.org/nmap/) at 2010-01-24 15:24 CST

Interesting ports on 192.168.12. 1： (The 1651 ports scanned but not shown below are in state: closed)

PORT    STATE SERVICE

25/tcp    open smtp

80/tcp    open http

135/tcp   open msrpc

139/tcp   open netbios-ssn

443/tcp   open https

445/tcp   open Microsoft-ds

1025/tcp open NFS-or-IIS

1033/tcp open netinfo

1521/tcp open oracle

2030/tcp open device2

3372/tcp open msdtc

8080/tcp open http-proxy

MAC Address: 00:E0:4C:12:FA:4B (Realtek Semiconductor)

Nmap run completed – 1 IP address (1 host up)

Scanned in 22.882 seconds

    上面是对目标主机进行全面TCP扫描的结果，显示了监听端口的服务状况，这一基本操做不须要任何参数。可是， 因为在扫描过程当中创建了完整的TCP链接，主机能够很容易地监测到这类扫描。该命令是参数开关-sT的缺省。

    -sS选项能够进行更加隐蔽地扫描，并防止被目标主机检测到，但此方式须要用户拥有root权限。-sF、-sX和-sN则能够进行一些超常的扫描。假如目标主机安装了过滤和日志软件来检测同步空闲字符SYN，那么-sS的隐蔽做用就失效了，此时能够采用-sF(隐蔽FIN)、-sX(Xmas Tree)及-sN(Null)方式扫描。

    这里须要注意的是，因为微软的实现方式不一样，对于运行Win 2003,Vista等NT的机器FIN 、Xmas或Null的扫描结果都是将端口关闭，由此可做为推断目标主机运行Windows操做系统的一种方法。以上命令都须要有root权限。-sU选项是监听目标主机的UDP，而不是默认的TCP端口。尽管在Linux机器上有时慢一些，好比，输入上面的例子：

# nmap -sU 192.168.12.1

Starting nmap 5.5 (http://www.insecure.org/nmap/) at 2010-01-24 15:28 CST

 Interesting ports on 192.168.12.1:

(The 1472 ports scanned but not shown below are in state:closed)

PORT    STATE        SERVICE

135/udp   open       msrpc

137/udp   open∣filtered netbios-ns

138/udp   open∣filtered netbios-dgm

445/udp   open∣filtered   microsoft-ds

500/udp   open∣filtered isakmp

3456/udp open∣filtered IISrpc-or-vat

MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)

Nmap run completed – 1 IP address (1 host up) scanned in 4.381 seconds

◆操做系统探测

使用-O选项可推断目标主机的操做系统，既可与上述的命令参数联合使用，也可单独调用。Nmap利用TCP/IP“指纹”技术来推测目标主机的操做系统。还使用前面的例子：

#nmap -O 192.168.12. 1

Starting nmap 5.5(http://www.insecure.org/nmap/)at 2010-01-24 16:03 CST

Interesting ports on 192.168.12. 1:

(The 1651 ports scanned but not shown below are in state:closed)

PORT    STATE SERVICE

25/tcp    open smtp

80/tcp    open http

135/tcp   open msrpc

139/tcp   open netbios-ssn

443/tcp   open https

445/tcp   open Microsoft-ds

1025/tcp open NFS-or-IIS

1033/tcp open netinfo

1521/tcp open oracle

2030/tcp open device2

3372/tcp open msdtc

8080/tcp open http-proxy

MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor)

Device type: general purpose

Running:Microsoft Windows 95/98/ME∣NT/2K/XP

OS details:Microsoft Windows Millennium Edition(Me),Windows 2000 Pro or Advanced Server,or Windows XP

Nmap run completed – 1 IP address(1 host up) scanned in 3.398 seconds

Nmap提供了一个OS数据库，上例中检测到了该主机运行的操做系统为Windows系列操做系统，可能为Windows 9八、Windows 2000 Pro，或者为Windews vista/Windows 7等。

◆更进一步的应用

除了一次只扫描一个目标主机外，还能够同时扫描一个主机群，好比“nmap –sT –O 203.187.1.1-50”就能够同时扫描并探测IP地址在203.187.1.1到203.187.1.50之间的每一台主机。固然这须要更多的时间，耗费更多的系统资源和网络带宽，输出结果也可能很长。因此，可使用下面命令将结果重定向输送到一个文件中：

#nmap -sT -O -oN test.txt 202.96.1.1-50

另外的一些命令参数选项以下：

-I 进行TCP反向用户认证扫描，能够透露扫描用户信息；

-iR 进行随机主机扫描；

-p 扫描特定的端口范围；

-v 长数据显示，“-v -v”是最长数据显示；

-h 快捷帮助。

下面给一个综合了上述参数的例子：

#nmap -sS -p 23,80 -oN ftphttpscan.txt 203.187.53.50-100

◆Nmap图形用户界面

Nmap有一些图形用户前端，好比，NmapFE(GTK界面)网址为

http://codebox.net/nmapfe.html；Kmap(Qt/KDE前端)网址为

http://www.edotorg.org/kde/kmap/；KNmap(KDE前端)网址为

http://pages.infinit.net/rewind/。

2.Nessus

     Nessus是一个功能强大而又易于使用的远程安全扫描器，它不只免费，并且更新极快。安全扫描器的功能是对指定网络进行安全检査，找出该网络是否存在有致使对手***的安全漏洞。该系统被设计为Client/Sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。在服务端还采用了plug-in的体系，容许用户加入执行特定功能的插件，该插件能够进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检査的结果。检查的结果能够HTML、纯文本、LaTeX（一种文本文件格式）等几种格式保存。在将来的新版本中，Nessus将会支持速度更快的安全检查，并且这种检查将会占用更少的带宽，其中可能会用到集群的技术以提升系统的运行效率。

Nessus的主要优势在于其采用了基于多种安全漏洞的扫描，避免了扫描不完整的状况；它是免费的，比起商业的安全扫描工具，如ISS具备价格优点；扩展性强、容易使用、功能强大，能够扫描出多种安全漏洞。

   Nessus的安全检查彻底是由plug-ins的插件完成的。目前Nessus提供的安全检查插件已达18类750个，并且这个数量还会增长。好比，在useless services类中，Echo port open和Chargen插件用来测试主机是否易受到已知的echo-chargen***；在backdoors类中，PcAnywhere插件用来检查主机是否运行了BO、PcAnywhere等后台程序。更可喜的是，其中包括了对最近肆虐一时的CodeRed及其变种的检测。

   在Nessus主页中不但详细介绍了各类插件的功能，还提供了解决问题的相关方案。有关plug-in的详细说明，请参看http://cgi.nessus.org/plugins/dump.php3?viewby=family。

除了这些插件外，Nessus还为用户提供了描述***类型的脚本语言，进行附加的安全测试，这种语言称为Nessus***脚本语言（NSSL),用它来完成插件的编写。在客户端，用户能够指定运行Nessus服务的机器、使用的端口扫描器、测试的内容及测试的IP地址范围。Nessus自己是工做在多线程基础上的，因此用户还能够设置系统同时工做的线程数。这样用户在远端就能够设置Nessus的工做配置。安全检测完成后，服务端将检测结果返回到客户端，客户端生成直观的报告。在这个过程中，因为服务器向客户端传送的内容是系统的安全弱点，为了防止通讯内容受到监听，其传输过程还能够选择加密。

(1)安装软件

Nessus由客户端和服务器端两部分组成。首先看服务器端的安装。从http://ftp.nessus.org/nessus/nessus-2.2.2a/src/下载源代码包，其中包括nasl库文件libnasl-2.2.2a.tar.gz、nessus核心文件nessus-core-2.2.2a.tar.gz、nessus库文件nessus-libraries-2.2a.tar.gz和nessus插件文件nessus-plugins-2.2.2a.tar.gz 四个文件。

首先用“tar xzvf nessus-*”将这四个软件包解开。第一个先安装nessus的lib库：

#cd nessus-libaries

#./configure & make &make install

而后以一样的方法按照上面的顺序安装其它三个软件包。安装完毕后，确认在etc/ld.so.conf文件加入已安装库文件的路径/usr/local/lib。若是没有，则只需在该文件中加入这个路径，而后执行ldconfig，这样nessus运行的时候就能够找到运行库了。

◆建立用户

Nessus服务端有本身的用户资料库，其中对每一个用户都作了约束。用户能够在整个网络范围内经过nessusd服务端进行安全扫描。用nessus-adduser命令建立用户，根据命令提示建立用户。

Nessus-adduser是Nessusd的附带工具，安装完毕后，在安装目录下会产生这个程序。

◆配置Nessus服务端程序Nessusd

Nessusd的配置文件为nessusd.conf，位于/usr/local/etc/nessus/目录下，通常状况下不须要改动。这里还须要运行nessus-mkcert来生成服务器证书，能够按照默认设置。

◆启动nessusd

在上面的准备工做完成后，以root用户身份用下面的命令启动服务端：

# netssusd –D

Loading the plugins...3570(out of 5830)

载入完全部插件后将以系统服务进程的身份运行。

(2)使用

按照上面的方法启动Nessus的服务进程后，就能够执行客户端程序进行安全扫描了。

首先提示登陆到Nessus服务器，在Nessus Host后面输入Nessus服务器所在的Linux机器IP地址，端口号及加密方式不须要作改动。输入用户名，单击 “Log in”登陆。系统会询问是否接受服务器证书，选择第一项，而后单击“YES”接受证书。

一旦登陆成功，“Log in”按钮会变为“Log out”，对话框的旁边还会有connected的提示。登陆后就能够进行相应的漏洞扫描了。下面经过选择Plug-in插件来进行相应的安全扫描。下面是插件所能检査的***方法，单击每一个***方法会弹出一个对话框介绍它的危害性及解决方法。而后选择扫描的目标主机，单击“target selection”，在窗口中输入目标地址，如上面所输入的192.168.12. 2。这里做者用的是一个内部地址，还能够用192.168.6.0/24的方式指定扫描192.168.6.1到192.168.6.255整个网段。

设置完毕后，单击“start scan”开始进行扫描。根据选择的插件数量、扫描的范围扫描时间不等。扫描结束后会有扫描结果。

在窗口的中列出了全部被扫描的网络、主机和主机相 应的端口，Nessus给出了安全漏洞的严重等级、问题的产生缘由及解决方法。最后，扫描结果还可以以XML、ASCⅡ、HTML、NSR等多种格式存盘，作为参考资料供之后使用。

***检测系统（IDS）

一、原理

    ***检测系统（Intrusion Detection System,IDS）是一种主动保护本身免受***的一种网络安全技术。做为防火墙的合理补充，***检测技术可以帮助系统监测***行为，扩展了系统管理员的安全管理能力（包括安全审计、监视、***识别和响应），提升了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。 ***检测被认为是防火墙以后的第二道安全闸门，可以在不影响网络性能的状况下能对网络进行监测，防止或减轻上述的网络威胁。

***检测系统有不少种，从部署的位置能够分为如下几种：

◆基于网络的系统，它放置于网络之上，靠近被检测的系统，它们监测网络流量并判断是否正常。

◆基于主机的系统，其常常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。

◆最近出现的一种系统，位于操做系统的内核之中，并监测系统的最底层行为。

从检测的技术手段上能够分为如下两种：

◆误用检测是将收集到的数据与预先肯定的特征知识库里的各类***模式进行比较，若是发现有***特征，则判断有***。特征知识库是将己知的***方法和技术的特征提取出来创建的一个知识库。

◆异常检测则是对收集到的数据进行统计分析。它首先假定全部的***行为与正常行为不一样，这样发现与正常行为有不一样时，则判断存在***。它须要创建正常行为的标准，如登陆时错误次数为多少时视为正常。

相比而言，误用检测的原理简单，很容易配置，特征知识库也容易扩充。但它存在一个致命的弱点――只能检测到已知的***方法和技术。异常检测能够检测出已知的和未知的***方法和技术，可是其问题在于正常行为标准只能采用人工智能、机器学习算法等来生成，而且须要大量的数据和时间，同时，因为如今人工智能和机器学习算法仍处于研究阶段。因此如今的***检测系统大多采用误用检测的分析方法。

下面给介绍的Snort就是一个基于网络的、采用误用分析技术的***检测系统。

2.Snort的安装、配置和使用

Snort是一个开放源码的网络***检测系统。Snort的功能包括采用Libpcap捕获数据链路层的分组，并进行协议栈分析(TCP/IP协议)。Snort在内部使用Misused检测模型进行***检测，即经过一个完整的***规则库来实时匹配，并探测***行为。这个规则库很是全面，包含了探测缓冲区溢出、端口扫描、CGI***等，并处于不断更新当中。Snort能够轻易发现使用Nmap或Trin00等进行的***。Snort也容许用户方便地编写和加人本身的规则。日志能够存储成Tcpdump二进制格式、ASCⅡ格式或数据库格式（包括 MYSQL、PostgreSQL),甚至XML格式。

(1)安装

在http://www.snort.org/能够下载最新版本的Snort，目前最新稳定版本是2.8.0，下载文件为Snort-2.8.0RC2.tar.gz。安装的方法同上面介绍的几个软件相似。依次通过解压缩后运行“./configure”、“make”和“make install”。要注意的是，Snort须要libpcap库支持，若是还没有安装能够到http://www.tcpdump.org/下载libpcap源代码进行安装，目前最新版本为0.8.3。

执行文件安装完毕后还须要下载最新的规则文件。Snort采用基于误用的检测技术，须要按照预先定义好的规则同网络当中的流量进行比对，特征一致时认为有***事件发生，从而釆取相应动做，所以保持最新的特征库对Snort来讲尤为重要。将下载到的规则文件解压缩，获得rules目录，其内容为按照***类型和***目标划分为不一样规则文件。

(2)配置

Snort依靠命令启动时指定的配置文件进行配置，一般是/etc/snort.conf，能够编辑Snort配置文件源文件所在目录下/etc/snort.conf来进行配置。

# vi /root/snort/snort-2.8.0RC2/etc/

其中须要修改的地方以下：

Var HOME_NET yournetwork

Var RULE_PATH /etc/snort/rules

Preprocessor http_inspect:global\

此外还能够根据须要选择规则集合当中的规则文件，例如：

iis_unicode_map /etc/snort/rules/Unicode.map 1252

Include /etc/snort/rules/reference.config

Include /etc/snort/rules/classification.config

yournetwork即为所釆用的IP地址段，规则文件所在目录为刚才下载规则文件解压缩所在目录。

（3）使用

输入下面代码：

#snort –D –c /root/snort/snort-2.8.0RC2/etc/snort.conf

其中，-D参数代表Snort之后台进程方式运行，-c指名所釆用的配置文件位置。启动以后能够查看/var/log/snort/alert内容来检査结果。

#vi alert

[**][1:469:3]ICMP PING NMAP [**]

[Classification:Attempted Information Leak][Priority:2]

01/28-17:30:33.813923 192.168.100.122 ->202.12.37.7

ICMP TTL:50 TOS:0x0 ID:36381 IpLen:20 Dgmlen:28

Type:8 Code:0 ID:51597 Seq:14292 ECHO

[Xref=>http://www.whitehats.com/info/IDS162]

[**][122:1:0](portscan)TCP Portscan[**]

01/28-17:30:33.916752 192.168.12.1 ->202.12.37.7

PROTO255 TTL:0 TOS:0x0 ID:0 iplen:20 Dgmlen:182 DF

由上能够看到，告警文件中记录了网络当中一次Nmap端口扫描的行为。

防火墙系统

一、基本原理

防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界便是釆用不一样安全策略的两个网络链接处，好比用户网络和互联网之间链接、跟其它业务往来单位的网络链接及用户内网不一样部门之间的链接等。防火墙的目的就是在网络链接之间创建一个安全控制点，经过容许、拒绝或从新定向通过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

目前，有不少厂商提供各类类型的防火墙平台，一般有几种经常使用的分类方法：   

按照产品形式可分为硬件防火墙和软件防火墙；

按照性能能够分为百兆级和千兆级防火墙；

按照操做模式可分为透明模式、路由模式和NET（网络地址转换）；

按照部署位置可分为边界防火墙和主机/我的防火墙；

l按照OSI模型层次可分为包过滤防火墙、状态检测 防火墙和应用代理防火墙。

其中包过滤防火墙是最基本的防火墙，由一些基本路由设备经过内部的网络访问控制规则实现。它通常是工做在网络层，但在现代网络结构中，为了实现负载均衡/高可用性，也可能在网络第二层实现。包过滤防火墙的访问控制功能由一套规则集组成，这些规则集是基于网络报文的如下信息实现的源地址、目的地址、流量类型、网络会话特征或物理端口。

下面介绍的iptables就是一款优秀的网络层防火墙用他能很容易构建一个功能强大、性能优异的防火墙系统。

2.iptables的安装、配置和使用

Netfilter/iptables IP数据包过滤系统是一个功能强大的工具，可用于添加、编辑和除去规则，这些规则是在作数据包过滤决策时防火墙所遵循和组成的规则。这些规则存储在专用的数据包过滤表中，而这些表则集成在Linux内核中。Linux 2.4内核提供的防火墙系统实际上由netfilter和iptables组成。netfilter组件是内核的一部分，由一些数据包过滤表组成、这些表包含内核用来控制数据包过滤处理的规则集。iptables组件是一种工具，运行在用户空间， 它用来维护存储在内核中的数据包过滤表中的规则。经过 iptalbes能够方便地修改、添加和删除规则，也能够构建本身的定制规则。内核根据规则来决定，对来自某些源、前往某些目的地或具备某些协议类型的数据处理，能够是 ACCEPT（容许该数据包经过）、DROP(丢弃该数据包)，或者是REJECT（阻塞数据包）。

根据规则处理的数据包类型，能够将规则分组在不一样链中。处理入站数据包的规则被添加到INPUT链中；处理出站数据包的规则被添加到OUTPUT链中；处理正在转发的数据包的规则被添加到FORWARD链中。这三个链是基本数据包过滤表中内置的缺省主链。

此外，还有其它许多可用链类型，如PREROUTING和POSTROUTING,以及提供用户定义的链。每一个链均可以有一个策略，它定义“缺省目标”，也就是要执行的缺省操做，当数据包与链中的任何规则都不匹配时，执行此操做。

创建规则并将链放在适当的位置以后，就能够开始进行真正的数据包过滤工做。这时内核空间从用户空间接管工做。当数据包到达防火墙时，内核先检查数据包的头信息，尤为是数据包的目的地，这个过程称为路由。

若是数据包源自外界并前往系统，并且防火墙是打开的，那么内核将它传递到内核空间数据包过滤表的INPUT链。若是数据包源自系统内部或系统所链接的内部网上的其它源，而且此数据包要前往另外一个外部系统，那么数据包被传递到OUTPUT链。相似的，源自外部系统并前往外部系统的数据包被传递到FORWARD链。接下来，将数据包的头信息与它所传递到的链中的每条规则进行比较，看它是否与某条规则全匹配，若是数据包与某条规则匹配，那么内核就对该数据包执行由该规则的目标指定的操做。可是，若是数据包与这条规则不匹配，那么它将与链中的下一条规则进行比较。最后，若是数据包与链中的任何规则都不匹配，那么内核将参考该链的策略来决定如何处理该数据包。

(1)安装

一般的Linux发行版本都支持iptalbes，不少状况下它已经随着操做系统而被安装。若是在安装操做系统时没有选择防火墙支持，那么须要从新编译内核才能使用iptables。对于如何从新编译内核，这里就再也不赘述。关于iptables的安装能够参看iptables使用手册，或者相应How-to文档http://www.linuxguruz.com/iptables/howto/iptables-HOWTO.html

(2)配置

下面介绍iptalbes的经常使用参数。

◆对规则的操做

加入(append)一个新规则到一个链(-A)的最后。

在链内某个位置插入(insert)一个新规则(-I)，一般是插在最前面。

在链内某个位置替换(replace)一条规则(-R)。

在链内某个位置删除(delete)一条规则(-D)。

删除(delete)链内第一条规则(-D)。

◆指定源地址和目的地址

经过“――source/--src/-s”能够指定源地址(这里的/表示或者的意思，下同),经过“—destination/--dst/-s”能够指定目的地址。有四种方法能够指定IP地址：使用完整的域名，如www.buaa.educn；使用IP地址，如192.168.1.1；用X.X.X.X/X.X.X.X指定一个网络地址，如192.168.1.0/255.255.255.0；

用X.X.X.X/X指定一个网络地址，如192.168.1.0/24，这里的24代表了子网掩码的有效位数。

◆指定网络接口

使用”—in-interface/-i”或“—out-interface/-o”来指定网络接口。

◆指定协议及端口

经过“――protocol/-p”选项来指定协议，若是是UDP和TCP协议，还可以使用“—source-port/--sport”和“—destination-port/--dport”来指明端 口。

关于防火墙的具体应用，这里限于篇幅就不详细介绍，在之后的文章中会以一个具体的例子来讲明如何利用iptables的防火墙和网络地址转换（NAT）功能来提供一个安全、稳定、可靠的Internet接入。

小结

     Linux系统以其强大的功能和开放的平台，为许多安全工具提供支持。除了以上列举到的Nmap、Nessue、Snort、iptables等软件外，还有诸多的安全工具可以在Linux平台下运行。掌握这些工具的原理、配置和使用对于维护信息系统的安全性来讲是极其重要的。

http://os.51cto.com/art/201205/334699.htm