Linux极客的56个技巧(10)
nmap如果以root身份运行,可以提供更多的信息。当它以root身份运行时,通过使用-O标志,它可以使用特殊的数据包来决定远程机器的操作系统。此外,你可以通过使用-sS标志来实现半开的TCP扫描。nmap将会发送一个SYN数据包到远程的主机,然后等待接收它回应的ACK。如果nmap收到一个ACK,它就知道这个端口是开放的。
这不同于普通的TCP三次握手,客户端会发送一个SYN包,如果它收到了初始的服务器ACK,客户端随后会将一个ACK送回服务器。攻击者们时常使用这个选项来避免使他们的扫描登陆到远程机器上。
nmap -sS -O rigel
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on rigel.nnc (192.168.0.61):(The 1578 ports scanned but not shown below are in state: filtered)Port State Service7/tcpopen echo 9/tcpopen discard 13/tcp open daytime 19/tcp open chargen 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp open smtp 37/tcp open time 79/tcp open finger 111/tcpopen sunrpc 512/tcpopen exec 513/tcpopen login 514/tcpopen shell 587/tcpopen submission 7100/tcp open font-service 32771/tcpopen sometimes-rpc5 32772/tcpopen sometimes-rpc7 32773/tcpopen sometimes-rpc9 32774/tcpopen sometimes-rpc11 32777/tcpopen sometimes-rpc17 Remote operating system guess: Solaris 9 Beta through Release on SPARCUptime 44.051 days (since Sat Nov1 16:41:50 2003)Nmap run completed -- 1 IP address (1 host up) scanned in 166 seconds
伴随着OS探测的激活,nmap可以确认OS是Solaris,但是现在你还可以知道,它可能是运行在SPARC处理器上的Version 9。
一个强大的功能是可以被用于和你的nmap的XML输出性能保持联系。使用-oX命令行转换而激活,就像这样:
nmap -sS -O -oX scandata.xml rigel
这在扫描IP地址范围或者你全部的网络时是特别有用的,你可以将所有通过扫描收集起来的信息放到一个XML文件里,并经过解析后插入到数据库中。这里是一个开放的端口的XML入口:
<port protocol="tcp" portid="22"><state state="open" /><service name="ssh" method="table" conf="3" /></port>
nmap是一个强大的工具。通过使用它的XML输出性能,一点点的脚本,还有一个数据库,你可以创造一个更强大的可以在你的网络上监测未授权的服务和机器的工具。
53:备份你的bootsector(引导扇区)难度:高级
应用程序:Shell
妨碍引导装入,双启动和很多其他下热闹的程序会留给你一个混乱的引导扇区。为什么不在你可以备份的时候给它创建一个备份呢:
引导装载器混乱、双启动及许多其他的可怕的进程可能造成乱七八糟的启动区。
dd if=/dev/hda of=bootsector.img bs=512 count=1
很显然,你应该改变这个装置来显示你的boot驱动(有可能是SCSI的sda)。还要非常小心,别把事情搞砸——你可能会轻而易举地毁掉你的驱动!恢复时使用:
dd if=bootsector.img of=/dev/hda54:保护日志文件
难度:高级
应用程序:很多
在一个入侵过程中,一个入侵者将会很可能在很多系统日志中留下能反映他行为的迹象:一个有价值的审计追踪应该被保护。没有可靠的日志,就很难发现攻击者是如何侵入,或者是从哪里来的攻击。这个信息在分析事件、联系相关方面并给予反馈上,是很关键的。但是,如果入侵成功,什么才能阻止他来移除他的这些错误行为的痕迹呢?
这就是文件属性能发挥作用、挽回败局的地方(或者至少使事情没那么糟)。Linux和BSD都有给文件和目录分配额外的属性这个功能。这不同于标准的Unix权限方案中,系统为所有的用户提供的普遍的属性设置,而且它们比文件权限或者ACL都要更深层次影响文件访问。
在Linux中,你可以看到并且通过lsattr和chattr命令分别修改一个给出文件的设置。在写这篇文章时,Linux的文件属性只能在你使用ext2和ext3时获得。这还有些XFS和ReiserFS的关于获得属性支持的内核补丁。一个保护日志文件的有用的属性是append-only。当这个属性被设置后,文件不能被删除,而且写操作只能被允许在文件的最后追加。
在Linux下要设置append-only标志,运行这条命令:
chattr +afilename
看看+a属性是如何工作的:创建一个文件然后设置它的append-only属性:
touch /var/log/logfileecho "append-only not set" > /var/log/logfilechattr +a /var/log/logfileecho "append-only set" > /var/log/logfilebash: /var/log/logfile: Operation not permitted
