linux 服务器 如何进行安全检查？

众所周知，网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。linux被认为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦linux系统中发现有安全漏洞，Internet上来自世界各地的志愿者会踊跃修补它。然而，系统管理员往往不能及时地得到信息并进行更正，这就给黑客以可乘之机。相对于这些系统本身的安全漏洞，更多的安全问题是由不当的配置造成的，可以通过适当的配置来防止。服务器上运行的服务越多，不当的配置出现的机会也就越多，出现安全问题的可能性就越大。对此，下面将介绍一些增强linux/Unix服务器系统安全性的知识。一、系统安全记录文件操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet，您发现有很多人对您的系统做Telnet/FTP登录尝试，可以运行"#more/var/log/secure　greprefused"来检查系统所受到的攻击，以便采取相应的对策，如使用SSH来替换Telnet/rlogin等。二、启动和登录安全性1#echo》/etc/issue然后，进行如下操作：#rm-f/etc/issue#rm-f/etc/issue三、限制网络访问1(ro，root_squash)/dir/to/exporthost2(ro，root_squash)/dir/to/export是您想输出的目录，host是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。#/usr/sbin/exportfs-a2"表示允许IP地址192允许通过SSH连接。配置完成后，可以用tcpdchk检查：#tcpdchktcpchk是TCP_Wrapper配置检查工具，它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。3登录终端设置/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，您可以编辑/etc/securetty且注释掉如下的行。#tty1#tty2#tty3#tty4#tty5#tty6这时，root仅可在tty1终端登录。4避免显示系统和版本信息。如果您希望远程登录用户看不到系统和版本信息，可以通过一下操作改变/etc/inetdconf文件：telnetstreamtcpnowaitroot/usr/sbin/tcpdintelnetd-h加-h表示telnet不显示系统信息，而仅仅显示"login:"四、防止攻击1阻止ping如果没人能ping通您的系统，安全性自然增加了。为此，可以在/etc/rcd/rclocal文件中增加如下一行：

众所周知，服务器是整个网络系统和计算平台的核心，许多重要的数据都保存在服务器上，很多网络服务都在服务器上运行，因此服务器性能的好坏决定了整个应用系统的性能。

　现在市面上不同品牌、不同种类的服务器有很多种，用户在选购时，怎样从纷繁的型号中选择出所需要的，适合于自己应用的服务器产品，仅仅从配置上判别是不够的，能够通过实际测试来筛选。而各种的评测软件有很多种，你应该选择哪个软件测试？下面就介绍一些较典型的测试工具：

　（一）服务器整机系统性能测试工具

　一台服务器系统的性能可以按照处理器、内存、存储、网络几部分来划分，而针对不同的应用，可能会对某些部分的性能要求高一些。

　Iometer（wwwiometerorg）：存储子系统读写性能测试

　Iometer是Windows系统下对存储子系统的读写性能进行测试的软件。可以显示磁盘系统的IO能力、磁盘系统的吞吐量、CPU使用率、错误信息等。用户可以通过设置不同的测试的参数，有存取类型(如sequential ,random)、读写块大小(如64K、256K)，队列深度等，来模拟实际应用的读写环境进行测试。

　Iometer作简单，可以录制测试脚本，可以准确有效的反映存储系统的读写性能，为各大服务器和存储厂商所广泛采用。

　Sisoft Sandra（wwwsisoftwarecouk）：WINDOWS下基准评测

　SiSoft发行的Sandra系列测试软件是Windows系统下的基准评测软件。此软件有超过三十种以上的测试项目，能够查看系统所有配件的信息，而且能够对部分配件（如CPU、内存、硬盘等）进行打分(benchmark)，并且可以与其它型号硬件的得分进行对比。另外，该软件还有系统稳定性综合测试、性能调整向导等附加功能。

　Sisoft Sandra软件在最近发布的Intel bensley平台上测试的内存带宽性能并不理想，不知道采用该软件测试的FBD内存性能是否还有参考价值,或许软件应该针对FBD内存带宽的测试项目做一个升级。

　Iozone（wwwiozoneorg）：linux下I/O性能测试

　现在有很多的服务器系统都是采用linux作系统，在linux平台下测试I/O性能可以采用iozone。

　iozone是一个文件系统的benchmark工具，可以测试不同的作系统中文件系统的读写性能。可以测试Read, write, re-read, re-write, read backwards, read strided, fread, fwrite, random read, pread ,mmap, aio_read, aio_write 等等不同的模式下的硬盘的性能。测试所有这些方面,生成excel文件，另外, iozone还附带了用gnuplot画图的脚本。

　该软件用在大规模机群系统上测试NFS的性能，更加具有说服力。

　Netperf（wwwnetperforg）：网络性能测试

　Netperf可以测试服务器网络性能，主要针对基于TCP或UDP的传输。Netperf根据应用的不同，可以进行不同模式的网络性能测试，即批量数据传输（bulk data transfer）模式和请求/应答（request/reponse）模式。Netperf测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据，以及另外一个系统能够以多块的速度接收数据。

　Netperf工具以client/server方式工作。server端是netserver，用来侦听来自client端的连接，client端是 netperf，用来向server发起网络测试。在client与server之间，首先建立一个控制连接，传递有关测试配置的信息，以及测试的结果；在控制连接建立并传递了测试配置信息以后，client与server之间会再建立一个测试连接，用来来回传递着特殊的流量模式，以测试网络的性能。

　对于服务器系统来说，网络性能显得尤其重要，有些服务器上为了节省成本，采用了桌面级的网络芯片，性能怎样，用这个软件一测便知了。

　以上介绍的这几款测试工具都是可以免费从网上下载的非商业软件，但是其测试结果和认可程度均是为大多数使用者所认同的。你可以根据自己的应用需求选择不同的软件进行测试。

　（二）针对应用的测试工具

　随着web应用的增多，服务器应用解决方案中以Web为核心的应用也越来越多，很多公司各种应用的架构都以web应用为主。一般的web测试和以往的应用程序的测试的侧重点不完全相同，在基本功能已经通过测试后，就要进行重要的系统性能测试了。系统的性能是一个很大的概念，覆盖面非常广泛，对一个软件系统而言包括执行效率、资源占用率、稳定性、安全性、兼容性、可靠性等等，以下重点从负载压力方面来介绍服务器系统性能的测试。系统的负载和压力需要采用负载测试工具进行，虚拟一定数量的用户来测试系统的表现，看是否满足预期的设计指标要求。负载测试的目标是测试当负载逐渐增加时，系统组成部分的相应输出项，例如通过量、响应时间、CPU负载、内存使用等如何决定系统的性能，例如稳定性和响应等。

　负载测试一般使用工具完成，有LoadRunner，Webload，QALoad等，主要的内容都是编写出测试脚本，脚本中一般包括用户常用的功能，然后运行，得出报告。

　使用压力测试工具对web服务器进行压力测试。测试可以帮助找到一些大型的问题，如死机、崩损、内存泄漏等，因为有些存在内存泄漏问题的程序，在运行一两次时可能不会出现问题，但是如果运行了成千上万次，内存泄漏得越来越多，就会导致系统崩滑。

　Loadrunner：预测系统行为和性能的负载测试工具

　目前，业界中有不少能够做性能和压力测试的工具，Mercury（美科利）Interactive公司的LoadRunner是其中的佼佼者，也已经成为了行业的规范,目前最新的版本81。

　LoadRunner 是一种预测系统行为和性能的负载测试工具，通过模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题，LoadRunner 能够对整个企业架构进行测试，LoadRunner 适用于各种体系架构，能支持广范的协议和技术（如Web、Ftp、Database等），能预测系统行为并优化系统性能。它通过模拟实际用户的作行为和实行实时性能监测，来帮助您更快的查找和发现问题。Loadrunner是一个强大有力的压力测试工具，它的脚本可以录制生成，自动关联。测试场景面向指标，实现了多方监控。而且测试结果采用图表显示，可以自由拆分组合。

　通过Loadrunner的测试结果图表对比，你可以寻找出系统瓶颈的原因，一般来说可以按照服务器硬件、网络、应用程序、作系统、中间件的顺序进行分析。

　Loadrunner是一款收费软件，根据测试项目和虚拟用户数目的不同而花费不同的费用。不过你可以下载到免费使用10天的测试版本。

　Webload：WEB性能压力测试

　webload是RadView公司推出的一个性能测试和分析工具,它让web应用程序开发者自动执行压力测试; webload通过模拟真实用户的作,生成压力负载来测试web的性能。

　用户创建的是基于javascript的测试脚本,称为议程agenda,用它来模拟客户的行为,通过执行该脚本来衡量web应用程序在真实环境下的性能。当前版本是60。webload提供巡航控制器cruise control的功能,利用巡航控制器,可以预定义web应用程序应该满足的性能指标,然后测试系统是否满足这些需求指标; cruise control能够自动把负载加到web应用程序,并将在此负荷下能够访问程序的客户数量生成报告。

　webload能够在测试会话执行期间对监测的系统性能生成实时的报告,这些测试结果通过一个易读的图形界面显示出来,并可以导出到excel和其他文件里。

　这两个软件的功能虽然强大，并且可以自动生成测试报告，但其终究是一个工具，如果你想真正的定位服务器性能的好坏和性能的瓶颈所在，需要使用工具的人对于测试软件的方方面面都要有了解，比如软件体系构架，网络拓扑，服务器硬件等知识。

扫描网站漏洞是要用专业的扫描工具，下面就是介绍几种工具

1 Nikto

　　这是一个开源的Web服务器扫描程序，它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器，这在其日志文件中相当明显。不过，如果你想试验一下，它也可以支持 LibWhisker的反IDS方法。不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提供信息类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过Web管理员或安全工程师们并不知道。

2 Paros proxy

　　这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序，hash 计算器，还有一个可以测试常见的Web应用程序攻击的扫描器。

3 WebScarab:

　　它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单地形式记录它观察的会话，并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。

4 WebInspect：

　　这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并会尝试一些常见的 Web攻击，如参数注入、跨站脚本、目录遍历攻击等等。

5 Whisker/libwhisker :

　　Libwhisker是一个Perla模块，适合于HTTP测试。它可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。 Whisker是一个使用libwhisker的扫描程序。

6 Burpsuite：

　　这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来，以列举、分析、攻击Web应用程序，或利用这些程序的漏洞。各种各样的burp工具协同工作，共享信息，并允许将一种工具发现的漏洞形成另外一种工具的基础。

7 Wikto:

　　可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分，如后端 miner和紧密的Google集成。它为MSNET环境编写，但用户需要注册才能下载其二进制文件和源代码。

8 Acunetix Web Vulnerability Scanner :

　　这是一款商业级的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。

9 Watchfire AppScan：

　　这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试，从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。

10 N-Stealth：

　　N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的升级频率更高。还要注意，实际上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。N-Stealth主要为Windows平台提供扫描，但并不提供源代码。

服务器有种类别和功能

这个是第一要素，我们需要了解服务器的类型和提供的功能。

常见的有，web服务器、DB服务器、sql服务器、接口服务器、媒体服务器、资源服务器、缓存服务器等等。

每一种类型的服务器对应的安检方式和使用的工具都不一样。

怎么安检呢？

大致关注以下几点：

1、TCP/UDP端口扫描

2、服务器的ACL访问控制列表

3、防火墙安全策略

4、NetBIOS、IPX、ICMP、IGMP等协议安全

5、针对不同的开发应用（如php/java/python/c++）进行探测扫描

6、查看系统版本是否有漏洞，官方可查

如何修复？

1、禁用危险端口

2、扫描有漏洞的应用程序（如php版本过低），升级到新版本

3、OS系统版本过低（如centos5），升级系统

4、强制规范ACL访问控制

5、对于防火墙策略做白名单限制，只允许符合条件的业务进行访问

6、一定要定时扫描服务器

目前，市场上有很多漏洞扫描工具，按照不同的技术(基于网络的、基于主机的、基于代理的、C/S的)、不同的特征、不同的报告方法，以及不同的监听模式，可以分成好几类。

不同的产品之间，漏洞检测的准确性差别较大，这就决定了生成的报告的有效性上也有很大区别。

选择正确的漏洞扫描工具，对于提高你的系统的安全性，非常重要。

本文除为读者说明如何正确选择一款合适的安全漏洞扫描工具，也会结合实际的安全产品——云鉴漏洞扫描云平台进行说明。

1、漏洞扫描概述

在字典中，Vulnerability意思是漏洞或者缺乏足够的防护。在军事术语中，这个词的意思更为明确，也更为严重------有受攻击的嫌疑。

每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。

这对于安全管理员来说，实在是个不利的消息。但是，多数的攻击者，通常做的是简单的事情。

发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着:多数攻击者所利用的都是常见的漏洞，这些漏洞，均有书面资料记载。

这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。如何快速简便地发现这些漏洞，这个非常重要。

漏洞，大体上分为两大类:

① 软件编写错误造成的漏洞;

② 软件配置不当造成的漏洞。

漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了，安全管理员在使用这些工具的同时，黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。

云鉴漏洞扫描云平台由北京安普诺信息技术有限公司（Anpro，简称安普诺）自主研发上线。

目前针对Linxu服务器中常规漏洞进行安全扫描，能够有效发现系统中存在的安全漏洞，除此之外，也为用户提供Andorid应用的漏洞扫描。

以此安全扫描平台为例，它适合于Linux操作系统，具体适合RedHat、CentOS系列的操作系统，所以需要对Linux操作系统进行扫描的就可以选择了。

2、漏洞扫描工具的衡量因素

决定是否采用漏洞扫描工具来防范系统入侵是重要的第一步。当您迈出了这一步后，接下来的是:如何选择满足您公司需要的合适的漏洞扫描技术，这同样也很重要。

以下列出了一系列衡量因素:

① 底层技术(比如，是被动扫描还是主动扫描，是基于主机扫描还是基于网络扫描);

② 特性;

③ 漏洞库中的漏洞数量;

④ 易用性;

⑤ 生成的报告的特性(内容是否全面、是否可配置、是否可定制、报告的格式、输出方式等);

⑥ 对于漏洞修复行为的分析和建议(是否只报告存在哪些问题、是否会告诉您应该如何修补这些漏洞);

⑦ 安全性(由于有些扫描工具不仅仅只是发现漏洞，而且还进一步自动利用这些漏洞，扫描工具自身是否会带来安全风险);

⑧ 性能;

⑨ 价格结构

云鉴采用基于主机的主动扫描，漏洞库中收集了常规系统、组件、应用、服务漏洞，除此之外实时更新最新漏洞进入漏洞库，采用C/S模式，用户只需要执行一条命令便能查看到报告。

按照服务器台数进行收费，出具的报告中包括对漏洞的分析和修复建议。