syslog加密

1. 什麼是網路管理網路管理的目的是什麼

網路管理，英文名稱：Network Management，定義：監測、控制和記錄電信網路資源的性能和使用情況，以使網路有效運行，為用戶提供一定質量水平的電信業務。

網路管理的目的

1、故障管理

故障管理是網路管理中最基本的功能之一。用戶都希望有一個可靠的計算機網路。當網路中某個組成失效時，網路管理器必須迅速查找到故障並及時排除，網路故障管理包括故障檢測、隔離和糾正三方面。

2、計費管理

計費管理記錄網路資源的使用，目的是控制和監測網路操作的費用和代價。

3、配置管理

配置管理初始化網路、並配置網路，以使其提供網路服務。配置管理是一組對辨別、定義、控制和監視組成一個通信網路的對象所必要的相關功能，目的是為了 實現某個特定功能或使網路性能達到最優。

4、性能管理

性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網路及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網路以維持網路的性能。性能管理收集分析有關被管網路當前狀況的數據信息，並維持和分析性能日誌。

5、安全管理(Security Management)

網路安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理，另外還要維護和檢查安全日誌。

6、上網行為管理

小草網管軟體綜合智能動態帶寬保障，伺服器流量分析與保障、虛擬多設備管理等多項突破性技術，涵蓋流量分析、帶寬管理、上網行為管理、DMZ區伺服器管理，專線集中管理、企業級防火牆與路由器、負載均衡等功能，在網路性能、質量、安全等方面為客戶提供完整的解決方案。

2. 邏輯安全包括訪問控制加密安全管理及用戶身份認證對嗎

網路系統安全
網路信息系統的安全技術體系通常是在安全策略指導下合理配置和部署：網路隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、數據加密、身份認證、安全監控與審計等技術設備，並且在各個設備或系統之間，能夠實現系統功能互補和協調動作。
網路系統安全具備的功能及配置原則
1．網路隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離，並建立訪問控制機制，將絕大多數攻擊阻止在網路和服務的邊界以外。
2．漏洞發現與堵塞。通過對網路和運行系統安全漏洞的周期檢查，發現可能被攻擊所利用的漏洞，並利用補丁或從管理上堵塞漏洞。
3．入侵檢測與響應。通過對特定網路（段）、服務建立的入侵檢測與響應體系，實時檢測出攻擊傾向和行為，並採取相應的行動（如斷開網路連接和服務、記錄攻擊過程、加強審計等）。
4．加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息（如VPN方式）或數據加密通信方式；對保密或敏感數據進行加密存儲，可防止竊取或丟失。
5．備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。
6．監控與審計。在辦公網路和主要業務網路內配置集中管理、分布式控制的監控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日誌記錄；另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。
邊界安全解決方案
在利用公共網路與外部進行連接的「內」外網路邊界處使用防火牆，為「內部」網路（段）與「外部」網路（段）劃定安全邊界。在網路內部進行各種連接的地方使用帶防火牆功能的VPN設備，在進行「內」外網路（段）的隔離的同時建立網路（段）之間的安全通道。
1．防火牆應具備如下功能：
使用NAT把DMZ區的伺服器和內部埠影射到Firewall的對外埠；
允許Internet公網用戶訪問到DMZ區的應用服務：http、ftp、smtp、dns等；
允許DMZ區內的工作站與應用伺服器訪問Internet公網；
允許內部用戶訪問DMZ的應用服務：http、ftp、smtp、dns、pop3、https；
允許內部網用戶通過代理訪問Internet公網；
禁止Internet公網用戶進入內部網路和非法訪問DMZ區應用伺服器；
禁止DMZ區的公開伺服器訪問內部網路；
防止來自Internet的DOS一類的攻擊；
能接受入侵檢測的聯動要求，可實現對實時入侵的策略響應；
對所保護的主機的常用應用通信協議（http、ftp、telnet、smtp）能夠替換伺服器的Banner信息，防止惡意用戶信息刺探；
提供日誌報表的自動生成功能，便於事件的分析；
提供實時的網路狀態監控功能，能夠實時的查看網路通信行為的連接狀態（當前有那些連接、正在連接的IP、正在關閉的連接等信息），通信數據流量。提供連接查詢和動態圖表顯示。
防火牆自身必須是有防黑客攻擊的保護能力。
2．帶防火牆功能的VPN設備是在防火牆基本功能（隔離和訪問控制）基礎上，通過功能擴展，同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力，這類設備也有SVPN的，主要用於通過外部網路（公共通信基礎網路）將兩個或兩個以上「內部」區域網安全地連接起來，一般要求SVPN應具有一下功能：
防火牆基本功能，主要包括：IP包過慮、應用代理、提供DMZ埠和NAT功能等（有些功能描述與上相同）；
具有對連接兩端的實體鑒別認證能力；
支持移動用戶遠程的安全接入；
支持IPESP隧道內傳輸數據的完整性和機密性保護；
提供系統內密鑰管理功能；
SVPN設備自身具有防黑客攻擊以及網上設備認證的能力。
入侵檢測與響應方案
在網路邊界配置入侵檢測設備，不僅是對防火牆功能的必要補充，而且可與防火牆一起構建網路邊界的防禦體系。通過入侵檢測設備對網路行為和流量的特徵分析，可以檢測出侵害「內部」網路或對外泄漏的網路行為和流量，與防火牆形成某種協調關系的互動，從而在「內部」網與外部網的邊界處形成保護體系。
入侵檢測系統的基本功能如下：
通過檢測引擎對各種應用協議，操作系統，網路交換的數據進行分析，檢測出網路入侵事件和可疑操作行為。
對自身的資料庫進行自動維護，無需人工干預，並且不對網路的正常運行造成任何干擾。
採取多種報警方式實時報警、音響報警，信息記錄到資料庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日誌報警、Windows消息報警信息，並按照預設策略，根據提供的報警信息切斷攻擊連接。
與防火牆建立協調聯動，運行自定義的多種響應方式，及時阻隔或消除異常行為。
全面查看網路中發生的所有應用和連接，完整的顯示當前網路連接狀態。
可對網路中的攻擊事件，訪問記錄進行適時查詢，並可根據查詢結果輸出圖文報表，能讓管理人員方便的提取信息。
入侵檢測系統猶如攝像頭、監視器，在可疑行為發生前有預警，在攻擊行為發生時有報警，在攻擊事件發生後能記錄，做到事前、事中、事後有據可查。
漏洞掃描方案
除利用入侵檢測設備檢測對網路的入侵和異常流量外，還需要針對主機系統的漏洞採取檢查和發現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞，並提醒系統管理員對該缺陷和漏洞進行修補或堵塞。
對於漏洞掃描的結果，一般可以按掃描提示信息和建議，屬外購標准產品問題的，應及時升級換代或安裝補丁程序；屬委託開發的產品問題的，應與開發商協議修改程序或安裝補丁程序；屬於系統配置出現的問題，應建議系統管理員修改配置參數，或視情況關閉或卸載引發安全漏洞的程序模塊或功能模塊。
漏洞掃描功能是協助安全管理、掌握網路安全態勢的必要輔助，對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。
考慮到漏洞掃描能檢測出防火牆策略配置中的問題，能與入侵檢測形成很好的互補關系：漏洞掃描與評估系統使系統管理員在事前掌握主動地位，在攻擊事件發生前找出並關閉安全漏洞；而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產品，不但可以簡化管理，而且便於漏洞掃描、入侵檢測和防火牆之間的協調動作。
網路防病毒方案
網路防病毒產品較為成熟，且有幾種主流產品。本方案建議，網路防病毒系統應具備下列功能：
網路&單機防護—提供個人或家庭用戶病毒防護；
文件及存儲伺服器防護—提供伺服器病毒防護；
郵件伺服器防護—提供LotusNotes,MicrosoftExchange等病毒防護；
網關防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒；
集中管理—為企業網路的防毒策略，提供了強大的集中控管能力。
關於安全設備之間的功能互補與協調運行
各種網路安全設備（防火牆、入侵檢測、漏洞掃描、防病毒產品等），都有自己獨特的安全探測與安全保護能力，但又有基於自身主要功能的擴展能力和與其它安全功能的對接能力或延續能力。因此，在安全設備選型和配置時，盡可能考慮到相關安全設備的功能互補與協調運行，對於提高網路平台的整體安全性具有重要意義。
防火牆是目前廣泛用於隔離網路（段）邊界並實施進/出信息流控制的大眾型網路安全產品之一。作為不同網路（段）之間的邏輯隔離設備，防火牆將內部可信區域與外部危險區域有效隔離，將網路的安全策略制定和信息流動集中管理控制，為網路邊界提供保護，是抵禦入侵控制內外非法連接的。
但防火牆具有局限性。這種局限性並不說明防火牆功能有失缺，而且由於本身只應該承擔這樣的職能。因為防火牆是配置在網路連接邊界的通道處的，這就決定了它的基本職能只應提供靜態防禦，其規則都必須事先設置，對於實時的攻擊或異常的行為不能做出實時反應。這些控制規則只能是粗顆粒的，對一些協議細節無法做到完全解析。而且，防火牆無法自動調整策略設置以阻斷正在進行的攻擊，也無法防範基於協議的攻擊。
為了彌補防火牆在實際應用中存在的局限，防火牆廠商主動提出了協調互動思想即聯動問題。防火牆聯動即將其它安全設備（組件）（例如IDS）探測或處理的結果通過介面引入系統內調整防火牆的安全策略，增強防火牆的訪問控制能力和范圍，提高整體安全水平。
目前，防火牆形成聯動的主要有以下幾種方式：
1．與入侵檢測實現聯動
目前，實現入侵檢測和防火牆之間的聯動有兩種方式。一種是實現緊密結合，即把入侵檢測系統嵌入到防火牆中，即入侵檢測系統的數據來源不再來源於抓包，而是流經防火牆的數據流。但由於入侵檢測系統本身也是一個很龐大的系統，從目前的軟硬體處理能力來看，這種聯動難於達到預期效果。第二種方式是通過開放介面來實現聯動，即防火牆或者入侵檢測系統開放一個介面供對方調用，按照一定的協議進行通信、警報和傳輸，這種方式比較靈活，不影響防火牆和入侵檢測系統的性能。
防火牆與入侵檢測系統聯動，可以對網路進行動靜結合的保護，對網路行為進行細顆粒的檢查，並對網路內外兩個部分都進行可靠管理。【網路安全設計方案3篇】網路安全設計方案3篇。
2．與防病毒實現聯動
防火牆處於內外網路信息流的必經之地，在網關一級對病毒進行查殺是網路防病毒的理想措施。目前已有一些廠商的防火牆可以與病毒防治軟體進行聯動，通過提供API定義非同步介面，將數據包轉發到裝載了網關病毒防護軟體的伺服器上進行檢查，但這種聯動由於性能影響，目前並不適宜部署在網路邊界處。
3．與日誌處理間實現聯動
防火牆與日誌處理之間的聯動，目前國內廠商做的不多。比較有代表性的是CheckPoint的防火牆，它提供兩個API：LEA（LogExportAPI）和ELA（EventLoggingAPI），允許第三方訪問日誌數據。報表和事件分析採用LEAAPI，而安全與事件整合採用ELAAPI。防火牆產品利用這個介面與其他日誌伺服器合作，將大量的日誌處理工作由專門的服務設備完成，提高了專業化程度。
內部網路監控與審計方案
上面的安全措施配置解決了網路邊界的隔離與保護，網路與主機的健康（防病毒）運行，以及用戶訪問網路資源的身份認證和授權問題。
然而，縣衛生局網路內部各辦公網路、業務網路的運行秩序的維護，網路操作行為的監督，各種違規、違法行為的取證和責任認定，以及對操作系統漏洞引發的安全事件的監視和控制等問題，則是必須予以解決的問題。因此有必要在各種內部辦公網路、業務網內部部署集中管理、分布式控制的監控與審計系統。這種系統通過在區域網（子網）內的管理中心安裝管理器，在各台主機（PC機）中安裝的代理軟體形成一個監控與審計（虛擬網路）系統，通過對代理軟體的策略配置，使得每台工作主機（PC機）按照辦公或業務操作規范進行操作，並對可能經過主機外圍介面（USB口、串/並口、軟硬碟介面等）引入的非法入侵（包括病毒、木馬等），或非法外連和外泄的行為予以阻斷和記錄；同時管理器通過網路還能及時收集各主機上的安全狀態信息並下達控制命令，形成「事前預警、事中控制和事後審計」的監控鏈。
監控與審計系統應具有下列功能：
管理器自動識別區域網內所有被監控對象之間的網路拓撲關系，並採用圖形化顯示，包括被監控主機的狀態（如在線、離線）等；
支持對包含有多個子網的區域網進行全面監控；
系統對被監控對象的USB移動存儲設備、光碟機、軟碟機等外設的使用以及利用這些設備進行文件操作等非授權行為進行實時監視、控制和審計；
系統對被監控對象的串/並口等介面的活動狀態進行實時監視、控制和審計；
系統對進出被監控對象的網路通信(www,ftp,pop,smtp)數據包進行實時攔截、分析、處理和審計，對telnet通信數據包進行攔截；
系統可根據策略規定，禁止被監控對象進行撥號(普通modem撥號、ADSL撥號、社區寬頻撥號)連接，同時提供審計；
系統對被監控對象運行的所有進程進行實時監視和審計；
系統支持群組管理，管理員可以根據被監控對象的屬性特徵，將其劃分成不同的安全組，對每個組制定不同的安全策略，所有組的成員都根據該策略執行監控功能；
支持多角色管理，系統將管理員和審計員的角色分離，各司其職；
強審計能力，系統具有管理員操作審計、被監控對象發送的事件審計等功能；
系統自身有極強的安全性，能抗欺騙、篡改、偽造、嗅探、重放等攻擊。

3. linux中日誌文件存在哪裡

日誌文件通常保存在/var/log目錄下。

下面是幾個重要的日誌文件：

/var/log/messages：包括整體系統信息，其中也包含系統啟動期間的日誌。

/var/log/syslog：它和/etc/log/messages日誌文件不同，它只記錄警告信息，常常是系統出問題的信息。

/var/log/user.log：記錄所有等級用戶信息的日誌。/var/log/auth.log：包含系統授權信息，包括用戶登錄和使用的許可權機制等。

(3)syslog加密擴展閱讀：

日誌文件分為事件日誌和消息日誌。

事件日誌

事件日誌記錄在系統的執行中發生的事件，以便提供可用於理解系統的活動和診斷問題的跟蹤。 它們對理解復雜系統的活動至關重要，特別是在用戶交互較少的應用程序中。

它還可以用於組合來自多個源的日誌文件條目。 這種方法與統計分析相結合，可以產生不同伺服器上看起來不相關的事件之間的相關性。 其他解決方案採用網路范圍的查詢和報告。

消息日誌

互聯網中繼聊天（IRC），即時消息（IM）程序，具有聊天功能的對等文件共享客戶端和多人游戲（特別是MMORPG）通常具有自動記錄（即保存）文本通信的能力。

消息日誌幾乎是通用的純文本文件，但是IM和VoIP客戶端（其支持文本聊天，例如Skype）可以將它們保存在HTML文件中或以自定義格式以便於閱讀和加密。

參考資料：網路——日誌文件

4. 網路交換機哪些ios版本帶加密功能

交換機在公司或機房裡是常用的設備.我們來學習一下如何配置

在「傻瓜」型交換機肆意的今天，如何配置交換機對很多人來說都是一門高深的學問，甚至在被問及交換機如何配置時，有人會反問道：交換機還需要配置的么?

確實，交換機的配置過程復雜，而且根據品牌及產品的不同也各不相同，那麼我們應該如何配置交換機呢?本文將以圖文結合的方式來具體介紹一下交換機配置，希望對大家有所幫助。

交換機本地配置

談起交換機本地配置，首先我們來看一下交換機的物理連接。交換機的本地配置方式是通過計算機與交換機的「Console」埠直接連接的方式進行通信的。

計算機與交換機的「Console」埠連接

網管型交換機一般都有「Console」埠，用於進行交換機配置。

物理連接完成後就要進行交換機軟體配置，下面以思科「Catalyst 1900」為例來說明如何進行交換機軟體配置：

第1步：單擊「開始」按鈕，在「程序」菜單的「附件」選項中單擊「超級終端」，彈出如圖所示界面。

第2步：雙擊「Hypertrm」圖標，彈出如圖所示對話框。這個對話框是用來對立一個新的超級終端連接項。

第3步：在「名稱」文本框中鍵入需新建超的級終端連接項名稱，這主要是為了便於識別，沒有什麼特殊要求，我們這里鍵入「Cisco」，如果您想為這個連接項選擇一個自己喜歡的圖標的話，您也可以在下圖的圖標欄中選擇一個，然後單擊「確定」按鈕，彈出如圖所示的對話框。

第4步：在「連接時使用」下拉列表框中選擇與交換機相連的計算機的串口。單擊「確定」按鈕，彈出如圖所示的對話框。

第5步：在「波特率」下拉列表框中選擇「9600」，因為這是串口的最高通信速率，其他各選項統統採用默認值。單擊「確定」按鈕，如果通信正常的話就會出現類似於如下所示的主配置界面，並會在這個窗口中就會顯示交換機的初始配置情況。

Catalyst 1900 Management Console

Copyright(c)Cisco Systems，Inc。 1993-1999

All rights reserved。

Standard Edition Software

Ethernet address：00-E0-1E-7E-B4-40

PCA Number：73-2239-01

PCA Serial Number：SAD01200001

Model Number：WS-C1924-A

System Serial Number：FAA01200001

User Interface Menu

[M]Menus//主配置菜單

[I]IP Configuration//IP地址等配置

[P]Console Password//控制密碼配置

Enter Selection：//在此輸入要選擇項的快捷字母，然後按回車鍵確認

至此就正式進入了交換機配置界面了，下面的工作就可以正式配置交換機了。

交換機的基本配置

進入配置界面後，如果是第一次配置，則首先要進行的就是IP地址配置，這主要是為後面進行遠程配置而准備。IP地址配置方法如下：

在前面所出現的配置界面「Enter Selection：」後中輸入「I」字母，然後單擊回車鍵，則出現如下配置信息：

The IP Configuration Menu appears。

Catalyst 1900-IP Configuration

Ethernet Address：00-E0-1E-7E-B4-40

[I]IP address

[S]Subnet mask

[G]Default gateway

[B]Management Bridge Group

[M]IP address of DNS server 1

[N]IP address of DNS server 2

[D]Domain name

[R]Use Routing Information Protocol

-------------Actions-------------------

[P]Ping

[C]Clear cached DNS entries

[X]Exit to previous menu

Enter Selection：

在以上配置界面最後的「Enter Selection：」後再次輸入「I」字母，選擇以上配置菜單中的「IP address選項，配置交換機的IP地址，單擊回車鍵後即出現如下所示配置界面：

Enter administrative IP address in dotted quad format(nnn。nnn。nnn。nnn)：//按」nnn。nnn。nnn。nnn「格式輸入IP地址

Current setting===>0.0.0.0//交換機沒有配置前的IP地址為」0.0.0.0「，代表任何IP地址

New setting===>//在此處鍵入新的IP地址

如果你還想配置交換機的子網掩碼和默認網關，在以上IP配置界面裡面分別選擇」S「和」G「項即可。現在我們再來學習一下密碼的配置：

在以上IP配置菜單中，選擇」X「項退回到前面所介紹的交換機配置界面。

輸入」P「字母後按回車鍵，然後在出現的提示符下輸入一個4￣8位的密碼(為安全起見，在屏幕上都是以」*「號顯示)，輸入好後按回車鍵確認，重新回到以上登錄主界面。

在你配置好IP和密碼後，交換機就能夠按照默認的配置來正常工作。如果想更改交換機配置以及監視網路狀況，你可以通過控制命令菜單，或者是在任何地方通過基於WEB的Catalyst 1900 Switch Manager來進行操作。

如果交換機運行的是Cisco Catalyst 1900/2820企業版軟體。你可以通過命令控制埠(command-line
interface CLI)來改變配置。當進入配置主界面後，就在顯示菜單多了項」Command Line「，而少了項」Console
Password「，它在下級菜單中進行。

1 user(s)now active on Management Console。

User Interface Menu

[M]Menus

[K]Command Line

[I]IP Configuration

Enter Selection：

在這一版本中的配置方法與前面所介紹的配置方法基本一樣，不同的只是在這一版本中可以通過命令方式(選擇」[K]Command Line「項即可)進行一些較高級配置，下面本文僅作簡單介紹。

遠程配置交換機

交換機除了可以通過「Console」埠與計算機直接連接，還可以通過普通埠連接。此時配置交換機就不能用本地配置，而是需要通過Telnet或者Web瀏覽器的方式實現交換機配置。具體配置方法如下：

1、Telnet

Telnet協議是一種遠程訪問協議，可以通過它登錄到交換機進行配置。

假設交換機IP為：192.168.0.1，通過Telnet進行交換機配置只需兩步：

第1步，單機開始，運行，輸入「Telnet 192.168.0.1」

第2步，輸入好後，單擊「確定」按鈕，或單擊回車鍵，建立與遠程交換機的連接。然後，就可以根據實際需要對該交換機進行相應的配置和管理了。

2、Web

通過Web界面，可以對交換機設置，方法如下：

第1步，運行Web瀏覽器，在地址欄中輸入交換機IP，回車，彈出如下對話框。

第2步，輸入正確的用戶名和密碼。

第3步，連接建立，可進入交換機配置系統。

第4步，根據提示進行交換機設置和參數修改。

交換機的安全配置

交換機的安全配置在病毒肆意的今天越來越受到人們的關注，下面介紹六種交換機配置方法來增強交換機的安全。

1、 L2-L4層過濾

現在的新型交換機大都可以通過建立規則的方式來實現各種過濾需求。規則配置有兩種模式，一種是MAC模式配置，可根據用戶需要依據源MAC或目的MAC有效實現數據的隔離，另一種是IP模式配置，可以通過源IP、目的IP、協議、源應用埠及目的應用埠過濾數據封包。

建立好的規則必須附加到相應的接收或傳送埠上，則當交換機六種安全設置此埠接收或轉發數據時，根據過濾規則來過濾封包，決定是轉發還是丟棄。另外，交換機六種安全設置通過硬體「邏輯與非門」對過濾規則進行邏輯運算，實現過濾規則確定，完全不影響數據轉發速率。

2、802.1X 基於埠的訪問控制

為了阻止非法用戶對區域網的接入，保障網路的安全性，基於埠的訪問控制協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。

持有某用戶賬號的用戶無論在網路內的何處接入，都會超越原有802.1Q 下基於埠VLAN 的限制，始終接入與此賬號指定的VLAN組內，這一功能不僅為網路內的移動用戶對資源的應用提供了靈活便利，同時又保障了網路資源應用的安全性。

另外，GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能，即在802.1X的應用中，如果埠指定了Guest VLAN項，此埠下的接入用戶如果認證失敗或根本無用戶賬號的話，會成為Guest VLAN 組的成員，可以享用此組內的相應網路資源，這一種功能同樣可為網路應用的某一些群體開放最低限度的資源，並為整個網路提供了一個最外圍的接入安全。

3、流量控制(traffic control)

交換機六種安全設置的流量控制可以預防因為廣播數據包、組播數據包及因目的地址錯誤的單播數據包數據流量過大造成交換機六種安全設置帶寬的異常負荷，並可提高系統的整體效能，保持網路安全穩定的運行。

4、SNMP v3及SSH

安全網管SNMP v3 提出全新的體系結構，將各版本的SNMP 標准集中到一起，進而加強網管安全性。SNMP v3 建議的安全模型是基於用戶的安全模型，即USM.USM對網管消息進行加密和認證是基於用戶進行的。

具體地說就是用什麼協議和密鑰進行加密和認證均由用戶名稱(userNmae)權威引擎標識符(EngineID)來決定(推薦加密協議CBCDES，認證協議HMAC-MD5-96 和HMAC-SHA-96)，通過認證、加密和時限提供數據完整性、數據源認證、數據保密和消息時限服務，從而有效防止非授權用戶對管理信息的修改、偽裝和竊聽。

至於通過Telnet 的遠程網路管理，由於Telnet 服務有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令，受到攻擊，但採用SSH進行通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽，便於網管人員進行遠程的安全網路管理。

5、Syslog和Watchdog

交換機的Syslog日誌功能可以將系統錯誤、系統配置、狀態變化、狀態定期報告、系統退出等用戶設定的期望信息傳送給日誌伺服器，網管人員依據這些信息掌握設備的運行狀況，及早發現問題，及時進行配置設定和排障，保障網路安全穩定地運行。

Watchdog 通過設定一個計時器，如果設定的時間間隔內計時器沒有重啟，則生成一個內在CPU重啟指令，使設備重新啟動，這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟，保障網路的運行。

6、雙映像文件

一些最新的交換機，像ASUSGigaX2024/2048還具備雙映像文件。這一功能保護設備在異常情況下(固件升級失敗等)仍然可正常啟動運行。文件系統分majoy和

mirror兩部分進行保存，如果一個文件系統損害或中斷，另外一個文件系統會將其重寫，如果兩個文件系統都損害，則設備會清除兩個文件系統並重寫為出廠時默認設置，確保系統安全啟動運行。

如何清除交換機配置

一、清除交換機配置命令：write erase

二、刪除vlan.

第一步：察看當前VLAN配置

Cat2950#show vlan

第二步：察看Flash中的文件名稱(交換機的配置文件和ios都保存在Flash中)

Cat2950#dir flash: 看一下VLAN文件在FLASH里的具體名稱，一般的都是VLAN.DAT

第三步：刪除vlan.dat (交換機的VLAN信息保存在vlan.dat中)

Cat2950#delete flash:vlan.dat

第四步：察看當前的VLAN配置

Cat2950#show vlan

至此，交換機配置講解結束，希望本教程對您有所幫助。

5. 如何使Linux伺服器變得更安全

1.安裝和配置一個防火牆
一個配置適當的防火牆不僅是系統有效應對外部攻擊的第一道防線，也是最重要的一道防線。在新系統第一次連接上Internet之前，防火牆就應該被安裝並且配置好。防火牆配置成拒絕接收所有數據包，然後再打開允許接收的數據包，將有利於系統的安全。Linux為我們提供了一個非常優秀的防火牆工具，它就是netfilter/iptables。它完全是免費的，並且可以在一台低配置的老機器上很好地運行。防火牆的具體設置方法請參見iptables使用方法。

2、關閉無用的服務和埠
任何網路連接都是通過開放的應用埠來實現的。如果我們盡可能少地開放埠，就使網路攻擊變成無源之水，從而大大減少了攻擊者成功的機會。把Linux作為專用伺服器是個明智的舉措。例如，希望Linux成為的Web伺服器，可以取消系統內所有非必要的服務，只開啟必要服務。這樣做可以盡量減少後門，降低隱患，而且可以合理分配系統資源，提高整機性能。以下是幾個不常用的服務：
① fingerd（finger伺服器）報告指定用戶的個人信息，包括用戶名、真實姓名、shell、目錄和聯系方式，它將使系統暴露在不受歡迎的情報收集活動下，應避免啟動此服務。
② R服務（rshd、rlogin、rwhod、rexec）提供各種級別的命令，它們可以在遠程主機上運行或與遠程主機交互，在封閉的網路環境中登錄而不再要求輸入用戶名和口令，相當方便。然而在公共伺服器上就會暴露問題，導致安全威脅。

3、刪除不用的軟體包
在進行系統規劃時，總的原則是將不需要的服務一律去掉。默認的Linux就是一個強大的系統，運行了很多的服務。但有許多服務是不需要的，很容易引起安全風險。這個文件就是/etc/xinetd.conf，它制定了/usr/sbin/xinetd將要監聽的服務，你可能只需要其中的一個：ftp，其它的類如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等，除非你真的想用它，否則統統關閉。

4、不設置預設路由
在主機中，應該嚴格禁止設置預設路由，即default route。建議為每一個子網或網段設置一個路由，否則其它機器就可能通過一定方式訪問該主機。

5、口令管理
口令的長度一般不要少於8個字元，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或片語等設置口令，而且各用戶的口令應該養成定期更換的習慣。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具，建議你現在馬上安裝。如果你是系統管理員，你的系統中又沒有安裝口令過濾工具，請你馬上檢查所有用戶的口令是否能被窮盡搜索到，即對你的／ect／passwd文件實施窮盡搜索攻擊。用單詞作密碼是根本架不住暴力攻擊的。黑客們經常用一些常用字來破解密碼。曾經有一位美國黑客表示，只要用「password」這個字，就可以打開全美多數的計算機。其它常用的單詞還有：account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。
密碼設置和原則：
a.足夠長，指頭只要多動一下為密碼加一位，就可以讓攻擊者的辛苦增加十倍;
b. 不要用完整的單詞，盡可能包括數字、標點符號和特殊字元等;
c.混用大小寫字元;
d.經常修改。

6、分區管理
一個潛在的攻擊，它首先就會嘗試緩沖區溢出。在過去的幾年中，以緩沖區溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴重的是，緩沖區溢出漏洞佔了遠程網路攻擊的絕大多數，這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一台主機的部分或全部的控制權！。
為了防止此類攻擊，我們從安裝系統時就應該注意。如果用root分區記錄數據，如log文件，就可能因為拒絕服務產生大量日誌或垃圾郵件，從而導致系統崩潰。所以建議為/var開辟單獨的分區，用來存放日誌和郵件，以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區，特別是可以產生大量日誌的程序，還建議為/home單獨分一個區，這樣他們就不能填滿/分區了，從而就避免了部分針對Linux分區溢出的惡意攻擊。
很多Linux桌面用戶往往是使用Windows、Linux雙系統。最好使用雙硬碟。方法如下：首先將主硬碟的數據線拆下，找一個10GB左右的硬碟掛在計算機上，將小硬碟設置為從盤，按照平常的操作安裝Linux伺服器版本，除了啟動的引導程序放在MBR外，其它沒有區別。 安裝完成，調試出桌面後，關閉計算機。將小硬碟的數據線拆下，裝上原硬碟，並設定為主盤（這是為了原硬碟和小硬碟同時掛接在一個數據線上），然後安裝Windows軟體。將兩個硬碟都掛在數據線上，數據線是IDE 0介面，將原硬碟設定為主盤，小硬碟設定為從盤。如果要從原硬碟啟動，就在CMOS里將啟動的順序設定為「C、D、CDROM」，或者是「IDE0(HDD-0)」。這樣計算機啟動的時候，進入Windows界面。如果要從小硬碟啟動，就將啟動順序改為「D、C、CDROM」，或者是「IDE1(HDD-1)」，啟動之後，將進入Linux界面。平時兩個操作系統是互相不能夠訪問的。

7、防範網路嗅探：
嗅探器技術被廣泛應用於網路維護和管理方面，它工作的時候就像一部被動聲納，默默的接收看來自網路的各種信息，通過對這些數據的分析，網路管理員可以深入了解網路當前的運行狀況，以便找出網路中的漏洞。在網路安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防範嗅探器的危害.嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發現。對於一個安全性能要求很嚴格的企業，同時使用安全的拓撲結構、會話加密、使用靜態的ARP地址是有必要的。

8、完整的日誌管理
日誌文件時刻為你記錄著你的系統的運行情況。當黑客光臨時，也不能逃脫日誌的法眼。所以黑客往往在攻擊時修改日誌文件，來隱藏蹤跡。因此我們要限制對／var／log文件的訪問，禁止一般許可權的用戶去查看日誌文件。
另外要使用日誌伺服器。將客戶機的日誌信息保存副本是好主意，創建一台伺服器專門存放日誌文件，可以通過檢查日誌來發現問題。修改/etc/sysconfig/syslog文件加入接受遠程日誌記錄。

/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"

還應該設定日誌遠程保存。修改/etc/syslog.conf文件加入日誌伺服器的設置，syslog將保存副本在日誌伺服器上。
/etc/syslog.conf *.* @log_server_IP

可以使用彩色日誌過濾器。彩色日誌loco過濾器，目前版本是0.32。使用loco /var/log/messages | more可以顯示出彩色的日誌，明顯標記出root的位置和日誌中異常的命令。這樣可以減少分析日誌時人為遺漏。還要進行日誌的定期檢查。Red Hat Linux中提供了logwatch工具，定期自動檢查日誌並發送郵件到管理員信箱。需要修改/etc/log.d/conf/ logwatch.conf文件，在MailTo = root參數後增加管理員的郵件地址。Logwatch會定期檢查日誌，過濾有關使用root、sudo、telnet、ftp登錄等信息，協助管理員分析日常安全。完整的日誌管理要包括網路數據的正確性、有效性、合法性。對日誌文件的分析還可以預防入侵。例如、某一個用戶幾小時內的20次的注冊失敗記錄，很可能是入侵者正在嘗試該用戶的口令。

9、終止正進行的攻擊
假如你在檢查日誌文件時，發現了一個用戶從你未知的主機登錄，而且你確定此用戶在這台主機上沒有賬號，此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令文件或shadow文件中，此用戶的口令前加一個Ib或其他的字元)。若攻擊者已經連接到系統，你應馬上斷開主機與網路的物理連接。如有可能，你還要進一步查看此用戶的歷史記錄，查看其他用戶是否也被假冒，攻擊音是否擁有根許可權。殺掉此用戶的所有進程並把此主機的ip地址掩碼加到文件hosts.deny中。

10、使用安全工具軟體：
Linux已經有一些工具可以保障伺服器的安全。如bastille linux和Selinux。 bastille linux對於不熟悉 linux 安全設定的使用者來說，是一套相當方便的軟體，bastille linux 目的是希望在已經存在的 linux 系統上，建構出一個安全性的環境。增強安全性的Linux（SELinux）是美國安全部的一個研發項目，它的目的在於增強開發代碼的Linux內核，以提供更強的保護措施，防止一些關於安全方面的應用程序走彎路，減輕惡意軟體帶來的災難。普通的Linux系統的安全性是依賴內核的，這個依賴是通過setuid/setgid產生的。在傳統的安全機制下，暴露了一些應用授權問題、配置問題或進程運行造成整個系統的安全問題。這些問題在現在的操作系統中都存在，這是由於他們的復雜性和與其它程序的互用性造成的。SELinux只單單依賴於系統的內核和安全配置政策。一旦你正確配置了系統，不正常的應用程序配置或錯誤將只返回錯誤給用戶的程序和它的系統後台程序。其它用戶程序的安全性和他們的後台程序仍然可以正常運行，並保持著它們的安全系統結構。用簡單一點的話說就是：沒有任何的程序配置錯誤可以造成整個系統的崩潰。安裝SELinux SELinux的內核、工具、程序/工具包，還有文檔都可以到增強安全性的Linux網站上上下載你必須有一個已經存在的Linux系統來編譯你的新內核，這樣才能訪問沒有更改的系統補丁包。

11.使用保留IP地址
維護網路安全性最簡單的方法是保證網路中的主機不同外界接觸。最基本的方法是與公共網路隔離。然而，這種通過隔離達到的安全性策略在許多情況下是不能接受的。這時，使用保留IP地址是一種簡單可行的方法，它可以讓用戶訪問Internet同時保證一定的安全性。- RFC 1918規定了能夠用於本地 TCP/IP網路使用的IP地址范圍，這些IP地址不會在Internet上路由，因此不必注冊這些地址。通過在該范圍分配IP地址，可以有效地將網路流量限制在本地網路內。這是一種拒絕外部計算機訪問而允許內部計算機互聯的快速有效的方法。 保留IP地址范圍:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255。
來自保留IP地址的網路交通不會經過Internet路由器，因此被賦予保留IP地址的任何計算機不能從外部網路訪問。但是，這種方法同時也不允許用戶訪問外部網路。IP偽裝可以解決這一問題。

12、合理選擇Linux發行版本：
對於伺服器使用的Linux版本，既不使用最新的發行版本，也不選擇太老的版本。應當使用比較成熟的版本：前一個產品的最後發行版本如RHEL 3.0等。畢竟對於伺服器來說安全穩定是第一的。

13、部署Linux防範病毒軟體
Linux操作系統一直被認為是Windows系統的勁敵，因為它不僅安全、穩定、成本低，而且很少發現有病毒傳播。但是，隨著越來越多的伺服器、工作站和個人電腦使用Linux軟體，電腦病毒製造者也開始攻擊這一系統。對於Linux系統無論是伺服器，還是工作站的安全性和許可權控制都是比較強大的，這主要得力於其優秀的技術設計，不僅使它的作業系統難以宕機，而且也使其難以被濫用。Unix經過20多年的發展和完善，已經變得非常堅固，而Linux基本上繼承了它的優點。在Linux里，如果不是超級用戶，那麼惡意感染系統文件的程序將很難得逞。速客一號(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、 米蟲(Mimail)、勞拉（Win32.Xorala）病毒等惡性程序雖然不會損壞Linux伺服器，但是卻會傳播給訪問它的Windows系統平台的計算機。

6. linux下最常用的遠程管理工具是什麼 ss

在我們日常管理與維護伺服器個過程中，我們都需要使用遠程連接工具，今天我們就一同來總結下Linux常用的安全遠程連接工具-OpenSSH。
【遠程登錄協議】
1、telnet:是TCP/IP協議族中的一員，是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主
機工作的能力。默認使用的是TCP的23號埠，採用C/S架構，在用戶登錄的過程中傳輸的信息都是明文信息，安全無法保障，所以不建議用telnet。
2、ssh:為Secure Shell 的縮寫，由IETF的網路工作小組所制定；SSH
為建立在應用層和傳輸層基礎上的安全協議。SSH是目前較可靠，專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH
協議可以有效防止遠程管理過程中的信息泄露問題。默認使用的是TCP的22號埠，也是基於C/S架構，SSH有兩個版本v1與v2。
sshv1:基於CRC-32做MAC（消息摘要認證），不安全，強烈建議不使用；
sshv2:基於雙方主機的協商選擇使用最安全的MAC方式 ,其有如下特點：1、加密機制及MAC機制由雙方協商選定；2、基於DH實現密鑰交換，基於RSA或DSA實現身份認證；3、客戶端通過檢查伺服器端的主機密鑰來判斷是否能夠繼續通信；
【OpenSSH簡述】
OpenSSH 是一組用於安全地訪問遠程計算機的連接工具。它可以作為rlogin、rsh
rcp以及telnet的直接替代品使用。更進一步，其他任何TCP/IP連接都可以通過SSH安全地進行隧道/轉發。OpenSSH
對所有的傳輸進行加密，從而有效地阻止了竊聽、連接劫持，以及其他網路級的攻擊。OpenSSH 由 OpenBSD project 維護。
登錄過程和使用rlogin或telnet建立的會話非常類似。在連接時，SSH
會利用一個密鑰指紋系統來驗證伺服器的真實性。只有在第一次連接時，用戶會被要求輸入yes進行確認，之後的連接將會驗證預先保存下來的密鑰指紋。如果保
存的指紋與登錄時接收到的不符， 則將會給出警告。 指紋保存在 ~/.ssh/known_hosts中，對於SSHv2指紋，則是
~/.ssh/known_hosts2。
默認情況下，較新版本的OpenSSH只接受SSHv2連接。如果能用版本2則客戶程序會自動使用，否則它會返回使用版本1的模式。此外，也可以通
過命令行參數-1或-2來相應地強制使用版本1或2。 保持客戶端的版本1能力是為了考慮較早版本的兼容性,建議盡量使用版本2。
【SSH伺服器和客戶端工作流程】
OpenSSH使用C/S架構:
服務端工具(S)：sshd
客戶端工具(C)：ssh命令、putty、xshell、securecrt、sshshellclient；

【OpenSSH客戶端組件-ssh】
配置文本:/etc/ssh/ssh_config
使用方法：
ssh [username@] host [COMMAND]或 ssh -l username host [COMMAND]
-p PORT：指定遠程伺服器埠；
-l username:指定登錄遠程主機的用戶，不指定則使用當前用戶；
username@:等同於 -l username;
如果設置了COMMAND，表示使用username賬戶登錄遠程主機執行一次指定的命令並返回結果，不會停留在遠程主機上；
[root@www ~]# ssh 192.168.0.110 #使用root用戶登錄；
The authenticity of host '192.168.0.110 (192.168.0.110)' can't be established.
RSA key fingerprint is 01:2e:43:cc:bc:1d:f1:e5:f0:f4:89:78:74:a9:49:44.
Are you sure you want to continue connecting (yes/no)? yes #第一次連接，需手動進行確認；
Warning: Permanently added '192.168.0.110' (RSA) to the list of known hosts.
[email protected]'s password: #輸入遠程主機root賬戶的密碼；
Last login: Mon May 11 16:44:52 2015 from 192.168.0.104
[root@mailCentOS6 ~]# #登錄成功了，遠程主機名為mailCentOS6；
[root@mailCentOS6 ~]# ls #顯示遠程主機root家目錄下的文件；
2.sh boot.iso install.log sdb.mbr test1
anaconda-ks.cfg crontab install.log.syslog \temp\test
[root@mailCentOS6 ~]# exit #退出登錄；
logout
Connection to 192.168.0.110 closed.
[root@www ~]# ssh [email protected] ls #使用root登錄遠程主機，執行一次ls命令，返回結果便退出；
[email protected]'s password: #第二次連接，就不需要輸入yes了，直接輸入密碼即可；
2.sh
anaconda-ks.cfg
boot.iso
crontab
install.log
install.log.syslog
sdb.mbr
\temp\test
test1
[root@www ~]# #看到了嗎，我們當前並沒有登錄在遠程主機；
【OpenSSH伺服器端組件-sshd】
配置文件：/etc/ssh/sshd_config（通過修改此文件可以修改ssh的默認監聽埠與其他參數）
服務腳本：/etc/rc.d/init.d/sshd
服務啟動|停止|重啟：serveice sshd start|stop|restart
腳本配置文件：/etc/sysconfig/sshd
配置參數
# man sshd_config 查看配置參數的說明；
# vim /etc/sysconfig/sshd 通過編輯配置文件來修改配置參數；
#+空格+文字：以此格式開頭的行表示改行為注釋說明；
#+文字：以此格式開頭的行表示可啟用選項，不改變則表示使用該選項的默認設置,反之使用設定值「#」要去掉哦！
例：#Port 22 如不去掉#且22不變，表示使用默認的22號埠；
若把#Port 22改成port 7777，表示把sshd的監聽埠改成7777；
注意：修改參數與配置後，必須重啟服務（service sshd restart).
經常需要修改的參數：
[root@www ~]# cat /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22 #修改默認監聽的埠；
port 7777 #把sshd的監聽埠改成7777；
#AddressFamily any #監聽的地址家族，指定是監聽在IPV4上還是IPV6上，any表示所有；
#ListenAddress 0.0.0.0 #指定監聽的地址 （0.0.0.0表示本機的所有地址）；
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key #使用shhv1用到的主機密鑰；
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024 #密鑰長度；

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m #登錄寬限期；
#PermitRootLogin yes #是否允許管理員直接登錄；
#StrictModes yes
#MaxAuthTries 6 #最大密碼輸入錯誤次數；
#MaxSessions 10 #最大會話個數；

#RSAAuthentication yes #是否允許使用RSA機制來認證；
#PubkeyAuthentication yes
#--------中間不長改變的配置參數略----------

Subsystem sftp /usr/libexec/openssh/sftp-server #表示是否啟動sftp功能；

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
sshd認證方式：
1、基於口令的認證；
2、基於密鑰的認證；
# ssh-keygen -t rsa 用rsa演算法生成密鑰,默認密鑰為id_rsa（私鑰）, id_rsa.pub（公鑰）
# ssh-keygen -f /path/to/somefile -P oldpassword 根據現有的密鑰文件生成密鑰
-f /path/to/somefile: 密鑰文件保存在的位置；
-P '': 指定生成舊密鑰時使用的密碼；
方法一：把本地主機生成的公鑰 id_rsa.pub使用scp復制到遠程主機的上，在遠程主機使用cat id_rsa.pub>>.ssh/authorized_keys追加該公鑰信息，這樣就可以實現基於密鑰認證的ssh登錄；
方法二:# ssh--id -i .ssh/id_rsa.pub USERNAME@HOST
[root@www ~]# ssh-keygen -t rsa #用rsa演算法生成密鑰；
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #指定密鑰存放路徑及名稱，一般不用
#修改，直接回車；
Enter passphrase (empty for no passphrase): #輸入私鑰密碼；
Enter same passphrase again: #確認輸入私鑰密碼；
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c2:f9:c2:3d:4d:ca:52:39:7a:a7:33:de:42:11:d3:8f [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| o . |
| o o |
| . ...E . |
| + S.. |
| . B.= |
| =.B o |
| ++= |
| .o+. |
+-----------------+
[root@www ~]# ssh-keygen -f .ssh/id_rsa -P '' #根據現有密鑰文件重新生成密鑰；
Generating public/private rsa key pair.
.ssh/id_rsa already exists.
Overwrite (y/n)? y #提示是否確定要覆蓋；
Your identification has been saved in .ssh/id_rsa.
Your public key has been saved in .ssh/id_rsa.pub.
The key fingerprint is:
bf:55:f0:0b:a5:ee:4e:4a:1d:d3:b1:0e:66:ee:55:9b [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| |
| |
| . o |
| * o |
| S O = .|
| . * B oo|
| o * +E |
| . B . |
| o.+ |
+-----------------+
#-----使用方法一：實現通過密鑰文件完成身份驗證（不需要輸入密碼）-----
[root@www ~]# scp .ssh/id_rsa.pub [email protected]:/root/ #使用spc命令復制公鑰文件到遠程
#主機的用戶家目錄下的.ss/路徑下；
[email protected]'s password: #輸入登錄遠程主機的密碼；
id_rsa.pub 100% 397 0.4KB/s 00:00 #提示復製成功；
[root@mailCentOS6 ~]# ls .ssh/ #驗證確認文件復製成功；
id_rsa.pub known_hosts
[root@mailCentOS6 ~]# touch .ssh/authorized_keys #路徑內沒有自動驗證密鑰文件，創建一個；
[root@mailCentOS6 ~]# cat .ssh/id_rsa.pub >> .ssh/authorized_keys #把公鑰追加到自動驗證密鑰文件；
[root@www ~]# ssh 192.168.0.110
Last login: Mon May 11 20:45:10 2015 from 192.168.0.111
[root@mailCentOS6 ~]# #OK了，看到了沒有，不用輸入密碼我們就直接可以遠程登錄了！！

#-----使用方法二：實現通過密鑰文件完成身份驗證（不需要輸入密碼）-----
[root@mailCentOS6 ~]# rm -f .ssh/authorized_keys #刪除原有保存的自動驗證密鑰文件；
[root@www ~]# ssh--id -i .ssh/id_rsa.pub [email protected] #使用命令自動傳輸生成自動驗證密鑰文件；
[email protected]'s password:
Now try logging into the machine, with "ssh '[email protected]'", and check in:

.ssh/authorized_keys #提示生成的文件；

to make sure we haven't added extra keys that you weren't expecting.

[root@www ~]# ssh 192.168.0.110 #驗證看看是否可以登錄；
Last login: Mon May 11 21:02:29 2015 from 192.168.0.111
[root@mailCentOS6 ~]# ls .ssh/ #看到了沒有，我們現在已經登錄到了mailCentOS6這台主機上了；
authorized_keys known_hosts
【命令補充】
scp: 利用ssh協議在主機之間實現安全文件傳輸的工具
scp SRC1... DEST
分兩種情形：
1、源文件在本機，目標為遠程主機
# scp /path/to/somefile... USERNAME@HOST:/path/to/somewhere
源可以是目錄或文件有多個，目標必須是目錄
2、源文件在遠程，本地為目標
# scp USERNAME@HOST:/path/to/somewhere /path/to/somewhere

-r: 復制目錄時使用（實現遞歸復制），scp默認不能復制目錄；
-p: 保持源文件的元數據信息，包括mode和timestamp
-q: 靜默模式，復制過程不顯示狀態信息；
-p PORT: 指定ssh協議監聽的埠（遠程主機）。

7. linux安全加固應關閉什麼服務

這些都是安全加固的方法，服務不是靠關閉就能加固的。

一. 賬戶安全
1.1 鎖定系統中多餘的自建帳號
檢查方法:
執行命令
#cat /etc/passwd
#cat /etc/shadow
查看賬戶、口令文件，與系統管理員確認不必要的賬號。對於一些保留的系統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需要鎖定登陸。
備份方法：
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
加固方法:
使用命令passwd -l <用戶名>鎖定不必要的賬號。
使用命令passwd -u <用戶名>解鎖需要恢復的賬號。

圖1
風險:
需要與管理員確認此項操作不會影響到業務系統的登錄
1.2設置系統口令策略
檢查方法：
使用命令
#cat /etc/login.defs|grep PASS查看密碼策略設置
備份方法：
cp -p /etc/login.defs /etc/login.defs_bak
加固方法：
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數
PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數
PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數
PASS_MIN_LEN 9 #最小密碼長度9

圖2
風險：無可見風險
1.3禁用root之外的超級用戶
檢查方法：
#cat /etc/passwd 查看口令文件，口令文件格式如下：
login_name：password：user_ID：group_ID：comment：home_dir：command
login_name：用戶名
password：加密後的用戶密碼
user_ID：用戶ID，(1 ~ 6000) 若用戶ID=0，則該用戶擁有超級用戶的許可權。查看此處是否有多個ID=0。
group_ID：用戶組ID
comment：用戶全名或其它注釋信息
home_dir：用戶根目錄
command：用戶登錄後的執行命令
備份方法：
#cp -p /etc/passwd /etc/passwd_bak
加固方法：
使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。
使用命令passwd -u <用戶名>解鎖需要恢復的超級賬戶。
風險：需要與管理員確認此超級用戶的用途。
1.4 限制能夠su為root的用戶
檢查方法：
#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目
備份方法：#cp -p /etc/pam.d /etc/pam.d_bak
加固方法：
#vi /etc/pam.d/su
在頭部添加：
auth required /lib/security/pam_wheel.so group=wheel
這樣，只有wheel組的用戶可以su到root
#usermod -G10 test 將test用戶加入到wheel組

圖3
風險：需要PAM包的支持;對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸;和管理員確認哪些用戶需要su。
當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效
性。如果是因為PAM驗證故障，而引起root也無法登錄，只能使用single user或者rescue模式進行排錯。
1.5 檢查shadow中空口令帳號
檢查方法：
#awk -F: '( == "") { print }' /etc/shadow
備份方法：cp -p /etc/shadow /etc/shadow_bak
加固方法：對空口令賬號進行鎖定，或要求增加密碼

圖4
風險：要確認空口令賬戶是否和應用關聯，增加密碼是否會引起應用無法連接。
二、最小化服務
2.1 停止或禁用與承載業務無關的服務
檢查方法：
#who –r或runlevel 查看當前init級別
#chkconfig --list 查看所有服務的狀態
備份方法：記錄需要關閉服務的名稱
加固方法：
#chkconfig --level <服務名> on|off|reset 設置服務在個init級別下開機是否啟動

圖5
風險：某些應用需要特定服務，需要與管理員確認。
三、數據訪問控制
3.1 設置合理的初始文件許可權
檢查方法：
#cat /etc/profile 查看umask的值
備份方法：
#cp -p /etc/profile /etc/profile_bak
加固方法：
#vi /etc/profile
umask=027
風險：會修改新建文件的默認許可權，如果該伺服器是WEB應用，則此項謹慎修改。
四、網路訪問控制
4.1 使用SSH進行管理
檢查方法：
#ps –aef | grep sshd 查看有無此服務
備份方法：
加固方法：
使用命令開啟ssh服務
#service sshd start
風險：改變管理員的使用習慣
4.2 設置訪問控制策略限制能夠管理本機的IP地址
檢查方法：
#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句
備份方法：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法：
#vi /etc/ssh/sshd_config，添加以下語句
AllowUsers *@10.138.*.* 此句意為：僅允許10.138.0.0/16網段所有用戶通過ssh訪問
保存後重啟ssh服務
#service sshd restart
風險：需要和管理員確認能夠管理的IP段
4.3 禁止root用戶遠程登陸
檢查方法：
#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no
備份方法：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法：
#vi /etc/ssh/sshd_config
PermitRootLogin no
保存後重啟ssh服務
service sshd restart

圖6
風險：root用戶無法直接遠程登錄，需要用普通賬號登陸後su
4.4 限定信任主機
檢查方法：
#cat /etc/hosts.equiv 查看其中的主機
#cat /$HOME/.rhosts 查看其中的主機
備份方法：
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法：
#vi /etc/hosts.equiv 刪除其中不必要的主機
#vi /$HOME/.rhosts 刪除其中不必要的主機
風險：在多機互備的環境中，需要保留其他主機的IP可信任。
4.5 屏蔽登錄banner信息
檢查方法：
#cat /etc/ssh/sshd_config 查看文件中是否存在Banner欄位，或banner欄位為NONE
#cat /etc/motd 查看文件內容，該處內容將作為banner信息顯示給登錄用戶。
備份方法：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法：
#vi /etc/ssh/sshd_config
banner NONE
#vi /etc/motd
刪除全部內容或更新成自己想要添加的內容
風險：無可見風險
4.6 防止誤使用Ctrl+Alt+Del重啟系統
檢查方法：
#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋
備份方法：
#cp -p /etc/inittab /etc/inittab_bak
加固方法：
#vi /etc/inittab
在行開頭添加註釋符號「#」
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

圖7
風險：無可見風險
五、用戶鑒別
5.1 設置帳戶鎖定登錄失敗鎖定次數、鎖定時間
檢查方法：
#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置
備份方法：
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法：
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置為密碼連續錯誤6次鎖定，鎖定時間300秒
解鎖用戶 faillog -u <用戶名> -r
風險：需要PAM包的支持;對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸;
當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效
性。
5.2 修改帳戶TMOUT值，設置自動注銷時間
檢查方法：
#cat /etc/profile 查看有無TMOUT的設置
備份方法：
#cp -p /etc/profile /etc/profile_bak
加固方法：
#vi /etc/profile
增加
TMOUT=600 無操作600秒後自動退出
風險：無可見風險
5.3 Grub/Lilo密碼
檢查方法：
#cat /etc/grub.conf|grep password 查看grub是否設置密碼
#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼
備份方法：
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法：為grub或lilo設置密碼
風險：etc/grub.conf通常會鏈接到/boot/grub/grub.conf
5.4 限制FTP登錄
檢查方法：
#cat /etc/ftpusers 確認是否包含用戶名，這些用戶名不允許登錄FTP服務
備份方法：
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法：
#vi /etc/ftpusers 添加行，每行包含一個用戶名，添加的用戶將被禁止登錄FTP服務
風險：無可見風險
5.5 設置Bash保留歷史命令的條數
檢查方法：
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數
備份方法：
#cp -p /etc/profile /etc/profile_bak
加固方法：
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令

圖8
風險：無可見風險
六、審計策略
6.1 配置系統日誌策略配置文件
檢查方法：
#ps –aef | grep syslog 確認syslog是否啟用
#cat /etc/syslog.conf 查看syslogd的配置，並確認日誌文件是否存在
系統日誌(默認)/var/log/messages
cron日誌(默認)/var/log/cron
安全日誌(默認)/var/log/secure
備份方法：
#cp -p /etc/syslog.conf

圖9
6.2 為審計產生的數據分配合理的存儲空間和存儲時間
檢查方法：
#cat /etc/logrotate.conf 查看系統輪詢配置，有無
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 的配置
備份方法：
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法：
#vi /etc/logrotate.d/syslog
增加
rotate 4 日誌文件保存個數為4，當第5個產生後，刪除最早的日誌
size 100k 每個日誌的大小
加固後應類似如下內容：
/var/log/syslog/*_log {
missingok
notifempty
size 100k # log files will be rotated when they grow bigger that 100k.
rotate 5 # will keep the logs for 5 weeks.
compress # log files will be compressed.
sharedscripts
postrotate
/etc/init.d/syslog condrestart >/dev/null 2>1 || true
endscript
}

8. 如何檢查Linux系統伺服器的安全性

但由於該操作系統是一個多用戶操作系統，黑客們為了在攻擊中隱藏自己，往往會選擇 Linux作為首先攻擊的對象。那麼，作為一名Linux用戶，我們該如何通過合理的方法來防範Linux的安全呢？下面筆者搜集和整理了一些防範 Linux安全的幾則措施，現在把它們貢獻出來，懇請各位網友能不斷補充和完善。 1、禁止使用Ping命令Ping命令是計算機之間進行相互檢測線路完好的一個應用程序，計算機間交流數據的傳輸沒有 經過任何的加密處理，因此我們在用ping命令來檢測某一個伺服器時，可能在網際網路上存在某個非法分子，通過專門的黑客程序把在網路線路上傳輸的信息中途 竊取，並利用偷盜過來的信息對指定的伺服器或者系統進行攻擊，為此我們有必要在Linux系統中禁止使用Linux命令。在Linux里，如果要想使 ping沒反應也就是用來忽略icmp包，因此我們可以在Linux的命令行中輸入如下命令： echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢復使用ping命令，就可以輸入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意對系統及時備份為了防止系統在使用的過程中發生以外情況而難以正常運行，我們應該對Linux完好的系統進 行備份，最好是在一完成Linux系統的安裝任務後就對整個系統進行備份，以後可以根據這個備份來驗證系統的完整性，這樣就可以發現系統文件是否被非法修 改過。如果發生系統文件已經被破壞的情況，也可以使用系統備份來恢復到正常的狀態。備份信息時，我們可以把完好的系統信息備份在CD-ROM光碟上，以後 可以定期將系統與光碟內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全級別的要求特別高，那麼可以將光碟設置為可啟動的並且將驗證工作作為系統啟 動過程的一部分。這樣只要可以通過光碟啟動，就說明系統尚未被破壞過。 3、改進登錄伺服器將系統的登錄伺服器移到一個單獨的機器中會增加系統的安全級別，使用一個更安全的登錄伺服器 來取代Linux自身的登錄工具也可以進一步提高安全。在大的Linux網路中，最好使用一個單獨的登錄伺服器用於syslog服務。它必須是一個能夠滿 足所有系統登錄需求並且擁有足夠的磁碟空間的伺服器系統，在這個系統上應該沒有其它的服務運行。更安全的登錄伺服器會大大削弱入侵者透過登錄系統竄改日誌 文件的能力。 4、取消Root命令歷史記錄在Linux下，系統會自動記錄用戶輸入過的命令，而root用戶發出的命令往往具有敏感的 信息，為了保證安全性，一般應該不記錄或者少記錄root的命令歷史記錄。為了設置系統不記錄每個人執行過的命令，我們可以在Linux的命令行下，首先 用cd命令進入到/etc命令，然後用編輯命令來打開該目錄下面的profile文件，並在其中輸入如下內容： HISTFILESIZE=0
HISTSIZE=0當然，我們也可以直接在命令行中輸入如下命令： ln -s /dev/null ~/.bash_history5、為關鍵分區建立只讀屬性Linux的文件系統可以分成幾個主要的分區，每個分區分別進行不同的配置和安裝，一般情況 下至少要建立/、/usr/local、/var和/home等分區。/usr可以安裝成只讀並且可以被認為是不可修改的。如果/usr中有任何文件發生 了改變，那麼系統將立即發出安全報警。當然這不包括用戶自己改變/usr中的內容。/lib、/boot和/sbin的安裝和設置也一樣。在安裝時應該盡 量將它們設置為只讀，並且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。 當然將所有主要的分區都設置為只讀是不可能的,有的分區如/var等，其自身的性質就決定了不能將它們設置為只讀，但應該不允許它具有執行許可權。 6、殺掉攻擊者的所有進程假設我們從系統的日誌文件中發現了一個用戶從我們未知的主機登錄，而且我們確定該用戶在這台 主機上沒有相應的帳號，這表明此時我們正在受到攻擊。為了保證系統的安全被進一步破壞，我們應該馬上鎖住指定的帳號，如果攻擊者已經登錄到指定的系統，我 們應該馬上斷開主機與網路的物理連接。如有可能，我們還要進一步查看此用戶的歷史記錄，再仔細查看一下其他用戶是否也已經被假冒，攻擊者是否擁有有限權 限；最後應該殺掉此用戶的所有進程，並把此主機的IP地址掩碼加入到文件hosts.deny中。 7、改進系統內部安全機制我們可以通過改進Linux操作系統的內部功能來防止緩沖區溢出，從而達到增強Linux系 統內部安全機制的目的，大大提高了整個系統的安全性。但緩沖區溢出實施起來是相當困難的，因為入侵者必須能夠判斷潛在的緩沖區溢出何時會出現以及它在內存 中的什麼位置出現。緩沖區溢出預防起來也十分困難，系統管理員必須完全去掉緩沖區溢出存在的條件才能防止這種方式的攻擊。正因為如此，許多人甚至包括 Linux Torvalds本人也認為這個安全Linux補丁十分重要，因為它防止了所有使用緩沖區溢出的攻擊。但是需要引起注意的是，這些補丁也會導致對執行棧的 某些程序和庫的依賴問題，這些問題也給系統管理員帶來的新的挑戰。 8、對系統進行跟蹤記錄為了能密切地監視黑客的攻擊活動，我們應該啟動日誌文件，來記錄系統的運行情況，當黑客在攻 擊系統時，它的蛛絲馬跡都會被記錄在日誌文件中的，因此有許多黑客在開始攻擊系統時，往往首先通過修改系統的日誌文件，來隱藏自己的行蹤，為此我們必須限 制對/var/log文件的訪問，禁止一般許可權的用戶去查看日誌文件。當然，系統中內置的日誌管理程序功能可能不是太強，我們應該採用專門的日誌程序，來 觀察那些可疑的多次連接嘗試。另外，我們還要小心保護好具有根許可權的密碼和用戶，因為黑客一旦知道了這些具有根許可權的帳號後，他們就可以修改日誌文件來隱 藏其蹤跡了。 9、使用專用程序來防範安全有時，我們通過人工的方法來監視系統的安全比較麻煩，或者是不周密，因此我們還可以通過專業 程序來防範系統的安全，目前最典型的方法為設置陷井和設置蜜罐兩種方法。所謂陷井就是激活時能夠觸發報警事件的軟體，而蜜罐（honey pot）程序是指設計來引誘有入侵企圖者觸發專門的報警的陷井程序。通過設置陷井和蜜罐程序，一旦出現入侵事件系統可以很快發出報警。在許多大的網路中， 一般都設計有專門的陷井程序。陷井程序一般分為兩種：一種是只發現入侵者而不對其採取報復行動，另一種是同時採取報復行動。 10、將入侵消滅在萌芽狀態入侵者進行攻擊之前最常做的一件事情就是端號掃瞄，如果能夠及時發現和阻止入侵者的端號掃瞄 行為，那麼可以大大減少入侵事件的發生率。反應系統可以是一個簡單的狀態檢查包過濾器，也可以是一個復雜的入侵檢測系統或可配置的防火牆。我們可以採用諸 如Abacus Port Sentry這樣專業的工具，來監視網路介面並且與防火牆交互操作，最終達到關閉埠掃瞄攻擊的目的。當發生正在進行的埠掃瞄時，Abacus Sentry可以迅速阻止它繼續執行。但是如果配置不當，它也可能允許敵意的外部者在你的系統中安裝拒絕服務攻擊。正確地使用這個軟體將能夠有效地防止對 端號大量的並行掃瞄並且阻止所有這樣的入侵者。 11、嚴格管理好口令前面我們也曾經說到過，黑客一旦獲取具有根許可權的帳號時，就可以對系統進行任意的破壞和攻 擊，因此我們必須保護好系統的操作口令。通常用戶的口令是保存在文件/etc/passwd文件中的，盡管/etc/passwd是一個經過加密的文件， 但黑客們可以通過許多專用的搜索方法來查找口令，如果我們的口令選擇不當，就很容易被黑客搜索到。因此，我們一定要選擇一個確保不容易被搜索的口令。另外，我們最好能安裝一個口令過濾工具，並借用該工具來幫助自己檢查設置的口令是否耐得住攻擊。

9. 求流光4.71的使用方法

流光4.71的使用方法,這里有使用說明可以下載自己看一下:http://www.yeshack.com/jc/200508/2345.html

工具這種東西本身就是一把雙刃劍，如果因為自己的站點密碼太過簡單而被攻破然後歸罪於網際網路上一些免費或共享軟體的話，恐怕是有些目光短淺了 。管轄的系統存在漏洞而不自知的話，就算沒被人『幹掉'，也只是一種暫時的『虛假安全'。

一、小榕流光使用的簡單說明

要談流光還真找不著感覺——在小榕的幫助文件里已經把軟體的使用方法詳盡無比地描述過了（強烈建議使用者使用前將幫助文件多讀兩遍）——我就說三個方面吧——高手完全可以略過的......

1、 對某FTP主機一次完整的在線安全檢測過程

A、選定主機：右鍵單擊FTP主機選項，從彈出菜單中選擇添加——將目標的IP地址填入，如"210.142.192.13"......

B、選定用戶：右鍵單擊該IP地址，可選添加(將想測試的用戶名逐個加入)添加方案(可在方案中編輯希望測試的用戶名列表)從列表添加(直接從字典文件中導入)及從SMTP主機導入(導入SMTP主機探測到的用戶名)，假設你想探測的用戶名為quack,便直接在"添加"中填入quack。

C、選擇字典：

a、簡單模式探測：在選項菜單條中對字典及簡單模式設置做適當修正以適應本次測試要求，當然你也可以在面板上的單詞小寫、簡單後綴等按鈕直接選定。

b、標准模式探測：在"解碼字典或方案"中選定某一字典(方案)。

D、調整設置：檢查選項菜單欄中的系統設置、連接選項和探測選項，將本次測試的各種選項調整至最優。

E、開始探測：在"探測"菜單中選定"簡單模式"或"標准模式"，開始此次安全檢測。

F、注意事項：由於流光的系統佔用較高，最好不要再開其它應用程序；在在線檢測時可能有時會出現假死機現象，這時你可以通過觀察MODEM的RD與SD燈來判斷程序是否正常運作。

2、密碼字典的選用：在線探測相當耗時，所以一個合適的字典會大大降低你的"檢測成本"，流光里的工具菜單欄對生成適合自己使用的字典檔是一個相當實用的工具——我個人覺得尤其值得使用的是"方案編輯工具"，它能夠在你鎖定特定用戶檢測時發揮較大的作用，具體使用幫助文件中寫得非常詳細，我就不再多說了 ——當然流光里附帶的XKEY也是一個相當不錯的字典生成程序。

3、流光其實不僅僅是一個在線安全檢測工具——而是一個"工具包"，同時具有以下幾個輔助功能

A、探測主機埠

B、探測主機類型

C、FINGER

D、掃描POP3、FTP主機

E、驗證主機用戶

而其主要功能是對POP3、FTP、HTTP、PROXY主機進行在線密碼安全檢測。所以——一句話，功能強大，試過便知。

至於同樣原理的在線密碼破解軟體國內流行的也並不少，如很早以前的emailcrack、wwwhack、網路刺客1 以及現在流傳很廣網路刺客2、Webcrack、Xavior等等，流光在很大程度上集成了這些軟體的功能，但這些軟體早期的產品也都缺乏IP隱藏或類似功能，而近期的Webcrack以及Xavior則都具備從代理伺服器端進行探測的功能，我認為這應該是在線探測的一個方向——安全第一嘛——基於此想法，我對流光在探測中會留下的記錄進行試驗：對一位網管朋友的WINDOWS2000 Beta3 SERVER 英文版進行了一番測試，對其上已知的帳號進行密碼強攻, 經探測得知其FTP埠是開放的,在未預先通知的情況下對其進行攻擊，事後打電話詢問其記錄情況，在EVENT VIEWER里有如下信息：WARNING:The server was unable to logon the Windows NT account 'houxiourong' e to the following error: Logon failure: unknown user name or bad password.The data is the error code. 而甚至他告訴我，當我的攻擊進行到一半時，他的主機上就彈出了The System log file is full.的信息提示框——失敗的登陸次數太多以至於其默認為512K的記錄文件被撐飽了！所以我要奉勸某些心懷叵測的人們——別做壞事......

二、密碼設置的基本常識及工具

1、有關口令的一些統計

A、數目：在UNIX系統里可以建立多於43,000,000,000,000,000個不同的口令，但如果僅僅組合10種主要

語言的字典，加上這些字的反向、大寫、簡單後綴等一些微小變形，僅能產生不到5,000,000個字......加

上一些俚語......也不會超出這個數量級。

B、國外某機構在對一個無約束環境的用戶口令選擇的調查中顯示，只有1.4%的用戶口令中含有控制符。

2、介紹幾個工具

A、CrackLib 簡介及應用舉例

by JeffreyDong

CrackLib 是什麼?

CrackLib: A ProActive Password Sanity Library

By: Alec Muffett

Address: [email protected]

CrackLib是一個可用於類UNIX系統下的函數庫, 一般來說, 通常只使用其中的一個函數. :-) 它可以用於編寫和passwd有關的程序中, 其基本思想是很簡單的, 就是防止用戶使 用過於簡單, 容易被猜測出來或容易被一些工具搜索到的密碼. 密碼攻擊是網路上最為常見的攻擊手段. 隨著國內計算機用戶水平的提高, 有很多人學 會了使用工具搜索密碼的方法, 由於某些原因, 含有被加密密碼的文件會被某些用戶獲 取; 這時, 過於簡單的密碼就會成為攻擊者的突破口. 網上有很多這方面的報道.(我的 一個朋友告訴我他曾用一個星期的時間算出了BTA一個管理員的密碼. wow! :-P) 通過限 制用戶使用不安全的密碼, 可以提高你的系統的安全性.

CrackLib的特點

CrackLib並不是一個可以直接運行使用的程序, 它是一個函數庫, 你可以利用其中的函 數寫自己的程序,或是加入其它程序中, 用來提高安全性. 比如, 你可以重寫passwd, 使用戶在選擇密碼時受到限制. CrackLib使用一個字典, 它查找字典以判斷所選用密碼是否是不安全的密碼, 所以你也可 以加入其它信息, 使用自己的字典.比如, 加入公司的名稱, 實驗室牆上的單詞等等潛在 的不安全密碼.

CrackLib的使用非常簡單, 它可以被應用於很多地方, 只需加入簡單的幾行源碼, 就可以 得到非常好的效果.

CrackLib的安裝

CrackLib可以很容易的在Internet上找到, 我現在使用的版本是2.7, 跑在我的i586/RedHat Linux和i386/Slackware Linux上. 如果你無法找到它的話, 趕緊去補一補如何在Internet 上查找特定的軟體吧, 因為這是一項非常重要的基本功. CrackLib好象沒有什麼文檔, 這也是GNU急需加強的地方. 但是它的安裝非常簡單, 只要按照 README文件

中所敘述的就可以了.如果你用的distribution中包含了這個包, 那它說不定已經 安裝在你的機器上了,如RedHat 5.1等. :-) 需要注意的是, 不同版本中一些文件所處的目錄位置不同, 你要先確定它們所處的位置. 比 如, 在RedHat 5.1中, 字典是在/usr/lib/中, 文件名為cracklib_dict.*, 而不是README中 所舉例的/usr/local/lib/pw_dict.*

應用舉例

這里我舉一個很簡單的例子, 試圖用很短的篇幅來說明用法.

char *FascistCheck(char *pw, char *dictpath);

這是CrackLib中最常用的函數. pw是用戶選擇的密碼, 你要去驗證它是不是不安全的. dictpath是字典所在路徑, 注意, 要把文件名中"."之前的部分加上.以RedHat 5.1為例, 假設你已正確的安裝了CrackLib 2.7和FireBird BBS 2.66M. 讓我們來 看看如何把CrackLib加入BBS中去. :-) 首先, 改寫bbs_src目錄下的register.c:

/* ----------- begin ---------- */

char *msg;

/* ----------- end ---------- */

......

while( 1 ) {

getdata(0,0,"請設定您的密碼 (Setup Password): ",passbuf,PASSLEN,NOECHO,YEA) ;

if( strlen( passbuf ) < 4 || !strcmp( passbuf, newuser.userid ) ) {

prints("密碼太短或與使用者代號相同, 請重新輸入\n") ;

continue;

}

/* ----------- begin ---------- */

if (msg = (char*) FascistCheck(passbuf, CRACKLIBPATH)) {

printf("請另選密碼! (%s)\n",msg);

continue;

}

/* ----------- end ---------- */

strncpy( newuser.passwd, passbuf, PASSLEN );

getdata(0,0,"請再輸入一次你的密碼 (Reconfirm Password): ",passbuf,PASSLEN,NOECHO,YEA);

if( strncmp( passbuf, newuser.passwd, PASSLEN ) != 0 ) {

prints("密碼輸入錯誤, 請重新輸入密碼.\n") ;

continue;

}

passbuf[8] = '\0' ;

strncpy( newuser.passwd, genpasswd( passbuf ), PASSLEN );

break;

}

begin和end注釋所夾部分為改動處, 下同.

接著改寫bbs_src目錄下的userinfo.c:

/* ----------- begin ---------- */

char *msg;

/* ----------- end ---------- */

......

getdata(i++,0,"請設定新密碼: ",buf,PASSLEN,NOECHO,YEA);

if( buf[0] == '\0' ) {

prints("\n\n密碼設定取消, 繼續使用舊密碼\n");

fail++;

break;

}

strncpy(genbuf,buf,PASSLEN) ;

/* ----------- begin ---------- */

if (msg = (char*) FascistCheck(buf, CRACKLIBPATH)) {

printf("\n請另選密碼! (%s)\n", msg);

prints("\n密碼設定取消, 繼續使用舊密碼\n");

fail++;

break;

}

/* ----------- end ---------- */

getdata(i++,0,"請重新輸入新密碼: ",buf,PASSLEN,NOECHO,YEA);

if(strncmp(buf,genbuf,PASSLEN)) {

prints("\n\n新密碼確認失敗, 無法設定新密碼。\n");

fail++;

break;

}

接著在bbs.h中加入:

#ifndef CRACKLIBPATH

#define CRACKLIBPATH "/usr/lib/cracklib_dict"

#endif

注意這里是字典所處的位置.

最後改動bbs的Makefile:

OS_DEF = -DLINUX -DTERMIOS

CC = gcc

CFLAGS = -O2

/* ----------- begin ---------- */

LIBS = -ltermcap -lbsd -lcrack

/* ----------- end ---------- */

然後make, make install就可以了. :-) 很簡單, 不是嗎?

注意：本段關於cracklib的說明轉載於[網路工作室]

B、Proactive Checking

這個程序能在輸入口令時進行一系列的口令檢查，這會對避免不安全口令出現於你的系統有幫助作用。它與一般的shadow和NIS(也就是yellow page)口令系統共同工作。

C、Shadow

這個程序取代了原來系統的口令保護機制，它將/etc/passwd文件中的口令信息轉移到文件/etc/shadow中，還有一些如口令到期機制、允許16字元口令等功能。

D、Passwd+

這是一個典型的增強型口令系統。

三、應有的措施及其基本知識

1、日誌文件

大多數日誌文件都是由系統一行接著一行寫入的文本文件。比如sulog會記錄用戶使用su命 令試圖進入系統的情況，在sulog文件尾部附加一條信息，以記錄su命令是否被成功使用。不同版本的UNIX系統存放日誌文件的目錄不同，常見目錄如下：/usr/adm 早期的UNIX系統/var/adm 較新版本的UNIX系統/var/log 用於Solaris\Linux\BSD等系統中在這些目錄或其子目錄下，你可以找到下列文件acct 或 pacct 記錄每個用戶使用過的命令aculog 撥出"貓"的記錄lastlog 記錄用戶最後一次成功登陸時間及最後一次失敗登陸時間loginlog 不良登陸記錄messages 輸出到主控台及由syslog系統服務程序產生的消息sulog su的使用情況

utmp 記錄當前登陸的每個有戶

utmpx 擴展的utmp

wtmp 記錄每一次用戶登陸和注銷的歷史信息及系統開關信息

wtmpx 擴展wtmp

vold.log 使用外部介質產生的錯誤

xferlog FTP存取情況

2、定期運行如crack之類的口令破解程序以檢查系統中是否存在弱帳戶。

10. linux下，文件怎麼加密！高手請進！

http://hi..com/troika/blog/item/0d8e861818182ebe4bedbc61.html
linux下主要用的是TrueCrypt