如何在CentOS 6.4安装Linux的Socket监视器(LSM)

介绍

在非常广泛的意义上,套接字被应用用于在彼此之间流式传输数据。 当涉及通过网络(无论是内部还是外部)进行远程通信时,应用于任务的主体保持不变,并且使用套接字来交换信息。

在这篇DigitalOcean文章中,我们将通过提高监控级别来提高系统安全性。 我们要建立的Linux的Socket监视器创建一个新的socket时,它发出警报,这是一个未知的应用程序接管其主机入侵的潜在信号。

了解套接字,端口和连接

被设计为在网络(例如互联网)上运行的应用需要根据它们的角色将它们自己绑定到某些端口,以便通过数据连接来进行远距离交换信息。

当应用程序成功启动(即,在端口80上运行的web服务器)时,它获得绑定到该端口号的套接字,基本上由网络地址(即IP地址)标识,协议(即信息的语言交换)和监听传入连接请求的端口号(例如80)。

另一方面,在线路的另一侧的客户端包括做出请求以便开始通信或[之后]向/从这些应用发送和接收数据的应用(例如,Firefox Web浏览器)。

最后,客户端在到达其目标应用程序(即,Web服务器)时做出的请求取决于所使用的协议(和规则集)而经历某些过程。 如果服务器决定接受它,则通过套接字在这两个方之间建立连接 - 实际上是一个新的连接,客户端和服务器都单独绑定到它们,使得服务器仍然可以继续监听其他传入请求同一时间。

了解如何识别可能的威胁

套接字是双向实例,用于在共享已建立的连接的各方之间发送和接收数据。 如果(或何时)打开了新端口或创建了意外的套接字,则意味着有一个应用程序可以侦听并通过传入请求获取命令,以便在其驻留的主机上执行,具体取决于它具有的权限。 当这种情况发生在一个不需要的或渗透的应用程序时,它是至关重要的快速处理它,这只能发生在通过套接字监控的快速检测。

Linux套接字监视器:应用程序

什么是Linux套接字监视器?

Linux的插座监视器 (LSM)是一个监控工具跟踪改变端口和插座(网络和进程间(应用程序之间使用的相同的机器上,IPC)的),通过比较快照花费-要么自动地(在安装时)或通过你的方向。

它使用实用工具的cron以一定的时间间隔-截至默认情况下,每10 minutes--一次安排其扫描和使用的检查端口/套接字。 如果它发现任何差异,通过发送电子邮件警报,它让你知道。

Linux套接字监视器如何工作?

Linux的插座监控实际上是一个非常聪明和紧凑的bash脚本(程序)。 它需要两个命令来下载,安装和开始监视。 当你第一次安装该工具,它会扫描当前端口和插槽创建您的网络的基础比较文件 --a 快照 它只需要一点配置,您输入您的电子邮件地址发送警报,就这样!

如何安装Linux套接字监视器?

LSM的最新版本位于其开发者的网站,网址为: http://www.rfxn.com/downloads/lsm-current.tar.gz

为了下载磁带存档(tar,tarball),请运行以下命令:

 wget http://www.rfxn.com/downloads/lsm-current.tar.gz

这将下载存档到您当前的文件夹。

让我们来提取压缩包内容:

 tar -xvfz lsm-current.tar.gz

我们现在可以通过运行其安装脚本来安装LSM。

输入目录并运行安装:

$ cd lsm-0.6
$ ./install.sh

当快速安装完成后,将显示应用程序本身的摘要以及已生成基本比较文件的通知,类似于以下内容:

.: LSM installed
Install path:    /usr/local/lsm
Config path:     /usr/local/lsm/conf.lsm
Executable path: /usr/local/sbin/lsm
LSM version 0.6 <lsm@r-fx.org>
Copyright (C) 2004, R-fx Networks
              2004, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL

generated base comparison files

我们现在可以通过修改配置文件来完成设置。

使用打开LSM配置文件nano文本编辑器:

 nano /usr/local/lsm/conf.lsm

在这里,您将看到一个相对较长的值列表,这些值由LSM用于操作。 我们需要修改的是名单上的第三个: USER="root"是位于顶部的注释部分之后。

使用箭头键,再往该行,并与您的电子邮件地址替换

例:

USER="system.alerts@mydomain.com"             # ..

如果要接收具有不同于默认值的主题行的警报(id电子邮件),您还可以修改文档上的以下行。

要更改电子邮件的主题行,请修改:

SUB="LSM Port Monitor Alert on $HOSTNAME"     # ..

到你喜欢的主题。 请一定要保持$HOSTNAME的是,其中将包含你机器的主机名,当你正在处理多个--a有益的方面。

如果你不知道如何设置机器的主机名,你可以参考这个对DigitalOcean帮助和社区部分优秀文章由星岛联网金斯维尔德洛夫。

我们很好去!

使用Linux套接字监视器

在正确安装后,LSM已经采取了当前的端口和插槽的快照,并成立了一个cron作业运行一次每次10分钟。

在任何给定时刻,您可以通过两个简单的命令删除或重新创建比较文件:

  • 删除快照(camparison文件): /usr/local/sbin/lsm -d
  • 手动运行对比测试: /usr/local/sbin/lsm -c

并重新创建快照:

  • 生成基数进行比较的文件: /usr/local/sbin/lsm -g

请注意:从您的系统发送电子邮件要求你安装了邮件用户代理应用程序。 有各种选项,你可以选择,如果你还没有一个。 后续文章将介绍如何安装代理。

:提交OS Tezer
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏