如何在CentOS 6.4安装Linux的Socket监视器（LSM）

介绍

在非常广泛的意义上，套接字被应用用于在彼此之间流式传输数据。 当涉及通过网络（无论是内部还是外部）进行远程通信时，应用于任务的主体保持不变，并且使用套接字来交换信息。

在这篇DigitalOcean文章中，我们将通过提高监控级别来提高系统安全性。 我们要建立的Linux的Socket监视器创建一个新的socket时，它发出警报，这是一个未知的应用程序接管其主机入侵的潜在信号。

了解套接字，端口和连接

被设计为在网络（例如互联网）上运行的应用需要根据它们的角色将它们自己绑定到某些端口，以便通过数据连接来进行远距离交换信息。

当应用程序成功启动（即，在端口80上运行的web服务器）时，它获得绑定到该端口号的套接字，基本上由网络地址（即IP地址）标识，协议（即信息的语言交换）和监听传入连接请求的端口号（例如80）。

另一方面，在线路的另一侧的客户端包括做出请求以便开始通信或[之后]向/从这些应用发送和接收数据的应用（例如，Firefox Web浏览器）。

最后，客户端在到达其目标应用程序（即，Web服务器）时做出的请求取决于所使用的协议（和规则集）而经历某些过程。 如果服务器决定接受它，则通过套接字在这两个方之间建立连接 - 实际上是一个新的连接，客户端和服务器都单独绑定到它们，使得服务器仍然可以继续监听其他传入请求同一时间。

了解如何识别可能的威胁

套接字是双向实例，用于在共享已建立的连接的各方之间发送和接收数据。 如果（或何时）打开了新端口或创建了意外的套接字，则意味着有一个应用程序可以侦听并通过传入请求获取命令，以便在其驻留的主机上执行，具体取决于它具有的权限。 当这种情况发生在一个不需要的或渗透的应用程序时，它是至关重要的快速处理它，这只能发生在通过套接字监控的快速检测。

Linux套接字监视器：应用程序

什么是Linux套接字监视器？

Linux的插座监视器 （LSM）是一个监控工具跟踪改变端口和插座（网络和进程间（应用程序之间使用的相同的机器上，IPC）的），通过比较快照花费-要么自动地（在安装时）或通过你的方向。

它使用实用工具的cron以一定的时间间隔-截至默认情况下，每10 minutes--一次安排其扫描和使用的检查端口/套接字。 如果它发现任何差异，通过发送电子邮件警报，它让你知道。

Linux套接字监视器如何工作？

Linux的插座监控实际上是一个非常聪明和紧凑的bash脚本（程序）。 它需要两个命令来下载，安装和开始监视。 当你第一次安装该工具，它会扫描当前端口和插槽创建您的网络的基础比较文件 --a 快照 。 它只需要一点配置，您输入您的电子邮件地址发送警报，就这样！

如何安装Linux套接字监视器？

LSM的最新版本位于其开发者的网站，网址为： http://www.rfxn.com/downloads/lsm-current.tar.gz

为了下载磁带存档（tar，tarball），请运行以下命令：

 wget http://www.rfxn.com/downloads/lsm-current.tar.gz

这将下载存档到您当前的文件夹。

让我们来提取压缩包内容：

 tar -xvfz lsm-current.tar.gz

我们现在可以通过运行其安装脚本来安装LSM。

输入目录并运行安装：

$ cd lsm-0.6
$ ./install.sh

当快速安装完成后，将显示应用程序本身的摘要以及已生成基本比较文件的通知，类似于以下内容：

.: LSM installed
Install path:    /usr/local/lsm
Config path:     /usr/local/lsm/conf.lsm
Executable path: /usr/local/sbin/lsm
LSM version 0.6 <lsm@r-fx.org>
Copyright (C) 2004, R-fx Networks
              2004, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL

generated base comparison files

我们现在可以通过修改配置文件来完成设置。

使用打开LSM配置文件nano文本编辑器：

 nano /usr/local/lsm/conf.lsm

在这里，您将看到一个相对较长的值列表，这些值由LSM用于操作。 我们需要修改的是名单上的第三个： USER="root"是位于顶部的注释部分之后。

使用箭头键，再往该行，并与您的电子邮件地址替换根 。

例：

USER="system.alerts@mydomain.com"             # ..

如果要接收具有不同于默认值的主题行的警报（id电子邮件），您还可以修改文档上的以下行。

要更改电子邮件的主题行，请修改：

SUB="LSM Port Monitor Alert on $HOSTNAME"     # ..

到你喜欢的主题。 请一定要保持$HOSTNAME的是，其中将包含你机器的主机名，当你正在处理多个--a有益的方面。

如果你不知道如何设置机器的主机名，你可以参考这个对DigitalOcean帮助和社区部分优秀文章由星岛联网金斯维尔德洛夫。

我们很好去！

使用Linux套接字监视器

在正确安装后，LSM已经采取了当前的端口和插槽的快照，并成立了一个cron作业运行一次每次10分钟。

在任何给定时刻，您可以通过两个简单的命令删除或重新创建比较文件：

• 删除快照（camparison文件）： /usr/local/sbin/lsm -d
• 手动运行对比测试： /usr/local/sbin/lsm -c

并重新创建快照：

• 生成基数进行比较的文件： /usr/local/sbin/lsm -g

请注意：从您的系统发送电子邮件要求你安装了邮件用户代理应用程序。 有各种选项，你可以选择，如果你还没有一个。 后续文章将介绍如何安装代理。