金钱(警告)
状态: 被剥夺
本文涵盖了不再受支持的 CentOS 版本. 如果您目前正在运行运行 CentOS 6 的服务器,我们强烈建议升级或迁移到受支持的 CentOS 版本。
** 原因** : CentOS 6于2020年11月30日到期(EOL)并且不再收到安全补丁或更新。
See Instead : 本指南可能仍然有用作为参考,但可能不会在其他 CentOS 版本上工作. 如果可用,我们强烈建议使用为您正在使用的 CentOS 版本撰写的指南。
美元
介绍
在一个非常广泛的意义上,接口被应用程序用于互相传输数据。当涉及到通过网络(内部或外部)远程通信时,应用于任务的主要内容保持不变,并且接口用于交换信息。
在这篇DigitalOcean文章中,我们将通过提高监控水平来提高系统安全性,我们将设置 Linux Socket Monitor ,在创建新接口时发出警告,这是未知应用程序接管其主机的潜在入侵信号。
了解接口、端口和连接
旨在在网络(例如互联网)上运行的应用程序需要根据其作用而连接到某些端口,以便通过数据连接进行远程信息交换。
当一个应用程序成功启动(即在端口80上运行的Web服务器)时,它会得到一个连接到该端口号的接口,该接口被网络地址(即IP地址),使用的协议(即信息交换的语言)和端口号(例如80)识别,用于收听接入请求。
另一方面,客户端是由应用程序(例如Firefox Web Browser)组成,这些应用程序发出请求,以便开始通信或从这些应用程序发送和接收数据。
最后,客户端提出的请求,在达到其目标应用程序(即 Web 服务器)时,会根据使用的协议(和规则设置)进行某些程序。如果服务器决定接受它,则通过插件建立了这两方之间的连接 - 实际上是一个新的连接,客户端和服务器都单独连接到它,这样服务器仍然可以同时聆听其他接入请求。
了解如何识别可能的威胁
接口是双向的实例,用于在共享已建立的连接的各方之间发送和接收数据。如果(或当)有一个新的端口被打开或创建了一个意想不到的接口,这意味着一个应用程序已经准备好通过其所在的主机上传入的执行请求来收听和接收命令,这取决于它所拥有的权限。
Linux Socket Monitor: 应用程序
什么是Linux Socket Monitor?
Linux Socket Monitor(LSM)是一个监控工具,通过比较它所拍摄的快照来跟踪端口和接口的变化(网络和流程间(IPC)应用程序之间使用) - 无论是自动(安装时)还是根据您的方向。
它使用公用工具 cron 以特定的间隔安排扫描 - 默认情况下,每 10 分钟一次 - 并检查使用的端口 / 插槽. 如果它注意到任何差异,通过发送电子邮件警报,它会让你知道。
Linux Socket Monitor 是如何工作的?
Linux Socket Monitor实际上是一个非常聪明和紧凑的 bash 脚本(程序)。它需要两个命令来下载,安装和开始监控。当你第一次安装该工具时,它会扫描当前的端口和接口,以创建您的网络的 ** base比较文件** - 一个 snapshot。它只需要一些配置,通过它你输入你的电子邮件地址发送警报,这就是它!
如何安装Linux Socket Monitor?
LSM的最新版本位于其开发者的网站上:http://www.rfxn.com/downloads/lsm-current.tar.gz**
要下载磁带档案(tar,tarball),运行以下操作:
1wget http://www.rfxn.com/downloads/lsm-current.tar.gz
这将下载档案到您当前的文件夹。
让我们从 tarball 中提取内容:
1tar -xvfz lsm-current.tar.gz
我们现在已经准备好通过运行其安装脚本来安装 LSM。
** 输入目录并运行安装:**
1$ cd lsm-0.6
2$ ./install.sh
当快速安装完成时,您将看到应用程序本身的摘要,以及基于比较文件已生成的通知,类似于以下情况:
1.: LSM installed
2Install path: /usr/local/lsm
3Config path: /usr/local/lsm/conf.lsm
4Executable path: /usr/local/sbin/lsm
5LSM version 0.6 <[email protected]>
6Copyright (C) 2004, R-fx Networks
7 2004, Ryan MacDonald
8This program may be freely redistributed under the terms of the GNU GPL
9
10generated base comparison files
现在我们可以通过修改配置文件来完成设置。
** 使用「nano」文本编辑器打开 LSM 配置文件:**
1nano /usr/local/lsm/conf.lsm
在这里,你会看到一个相对较长的值列表,这些值是由LSM使用的操作。我们需要修改的是列表中的第三个值: `USER="root",这是在评论的部分位于顶部之后。
使用箭头键,下行到该行,并用您的电子邮件地址代替 root 。
** 例子:**
1USER="[email protected]" # ..
您还可以更改文档上的下一行,如果您希望收到与默认内容不同的主题行的警报(即电子邮件)。
** 若要更改电子邮件的主题行,请修改:**
1SUB="LSM Port Monitor Alert on $HOSTNAME" # ..
确保保持$HOSTNAME,其中将包含您的机器的主机名称 - 当您处理多个时,这是有用的方面。
如果您不确定如何设置您的机器的主机名称,您可以参阅DigitalOcean 帮助和社区部分的 Etel Sverdlov 的 This 很好的文章。
我们是好去的!
使用 Linux Socket 监视器
安装后不久,LSM已经拍摄了您当前的端口和接口的截图,并设置了一个 _cron 工作,每 10 分钟运行一次。
在任何时候,您可以通过两个简单的命令删除或重建比较文件:
- 删除快照(camparison 文件):
/usr/local/sbin/lsm -d - 手动运行比较测试:
/usr/local/sbin/lsm -c
然后再复制Snapshots:
- ** 生成基础比较文件:**
/usr/local/sbin/lsm -g
请注意: 从您的系统发送电子邮件需要您安装一个邮件用户代理应用程序. 如果您没有一个,您可以选择各种选项。