系统管理：充分利用Linux的安全防护工具(1)

Linux的安全防护离不开各种工具，Linux的开源性也促进了这些优秀的安全防护工具的发展。目前在Linux环境下的安全工具林林总总，种类繁多。本文精选一些比较常用的、具有代表性的加以介绍，它们包括系统管理工具和网络管理工具。

它们基本都是开源的，一般都随着诸如Red Hat Linux、Debian Linux等发行套件而发布，一些发行套件里面没有的，用户可以按照本文所提供的方式下载使用。由于篇幅的关系，本文只对这些工具的用途、原理和使用作指导性的介绍，要了解更加详细的使用情况，读者可以根据文中的介绍去查找和使用。

◆协议分析工具--Ethereal

Ethereal是一个有名的网络端口探测器，是可以在Linux、Solaris、SGI等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。一般说来，Ethereal基本上是为破坏者所利用的工具，而对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent 等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（TC）的方法来规范、合理的分配带宽资源，提高网络的利用率。 

ethereal可以在http://www.ethereal

.com/download.html上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。目前最新版本为：ethereal 0.10.12。

# cp ethereal-0.10.12.tar.bz2 /usr/local/src/

# cd /usr/local/src/

# bzip2 -d ethereal-0.10.12.tar.bz2

# tar xvf ethereal-0.10.12.tar

另外，同Tcpdump一样，在编译Ethereal之前应先确定已经安装pcap库（libpcap），这是编译Ethereal时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Ethereal：

# cd ethereal-0.10.12

# ./configure

# make

# make install

当编译并安装好Ethereal后，就可以执行"ethereal"命令来启动Ethereal。在用 Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。Ethereal使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。

Ethereal和其他的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息;中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用Ethereal可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。