Linux安全性：默认保护未启用，防御安全该如何开展？

hwyzw

    Linux 中安装的 8 个顶级防御安全工具

    很多时候，我们会见到一些博客宣称 Linux 是不会被攻击者攻破的。这确实是事实，因为服务器以及台式机所使用的 GNU/Linux 操作系统附带了诸多能够有助于减轻攻击的工具。其中最大的问题在于这些保护在默认情况下是未被启用的。你的网络安全在很大程度上是由那些被配置好的工具来决定的，这些工具用于检查漏洞、恶意软件和病毒，然后按照设定进行预防。

    在本博客里，我们要讨论在 Linux 中安装的 8 个顶级的防御安全工具。防御安全能够被定义为网络安全的一个部分，其重点在于在对组织进行保护的同时，去预防、检测以及响应攻击。这种保护涵盖的范围从网络分析到设计安全计划，而这些安全计划旨在确保集成安全控制的有效性。

    防御安全涉及的主要任务是：

    以下是在 Linux 中安装的 8 个顶级防御安全工具。

    1. SIEM

    SIEM 是安全信息和事件管理的简称。它的作用是收集主机以及网络方面的日志和事件，接着把数据进行规范化处理，以便进行进一步的分析，像警报、报告、搜索等这些操作。SIEM 能够被当作安全团队执行日常任务的一个中央仪表板。

    SIEM 需要多个  Stack 组件，其中包括：

    借助  SIEM，用户可以受益于：

    2. 网络厨师

    它是一个简单的工具，能提供直观的 Web 界面，用于执行所需的网络操作。其操作范围涵盖从 XOR 以及类似的简单编码，到 AES、DES 等更为复杂的加密。你还可以创建二进制和十六进制转储，进行数据的压缩和解压缩操作，计算哈希值与校验和，更改字符编码，以及进行 IPv6 和 X.509 解析等。

    该工具的目的是帮助技术和非技术专业人员。它能让这些人员以复杂的方式去操作数据。并且无需具备任何深厚的技术背景知识。

     由以下 4 个主要领域组成：

    3.GVM漏洞扫描器

    漏洞扫描器对于防范穿过防火墙的威胁起着极为重要的作用。它能够在网络被感染或遭到破坏之前发现这些情况并发出警报，同时还能减轻风险。较为常见的漏洞扫描器有某某、某某等。

   

    （GVM）是它的新名称，它是常用的漏洞扫描器之一。这个漏洞扫描器功能齐全，它作为大型安全管理器（GSM）的组件之一而存在。

    该工具在 2009 年首次开始实施，是由一家商业/开源公司经过多年开发才形成的，如今它已经变得极为强大。以下是 GVM 所具备的一些优点：

    该工具能够被使用，可用于和安全团队，尤其适用于“蓝队”环境中的团队。渗透测试人员在处理错误赏金事宜时，也能够使用此工具。

    要安装  漏洞管理，请点击以下链接：

    4.全包抓包

    您是否在寻觅安全基础设施，用以以标准 PCAP 格式来存储和索引网络流量呢？如果是这样，完整数据包捕获便是您的最优之选。不过，此工具并非要对入侵检测系统（IDS）进行取代，而是要提升可见性。

     有许多相关功能。其中一些包括：

    5.事件响应平台

    这是一款开源工具且免费，其目的是让 SOC、CSIRT、CERT 以及任何信息安全从业人员能够便捷地处理安全任务，这些任务需要分析并且要立即修复。这款安全事件响应平台工具是 MISP 的最佳伴侣，它能够与一个或多个 MISP 实例实现同步，并且可以从 MISP 事件开始进行调查。能够把结果导出成 MISP 事件，以此协助团队去检测已经处理过的攻击并作出反应。也可以和其他工具一起运用，助力安全分析师以及研究人员对无数的可观察数据进行分析。

    与  相关的主要功能是：

    它支持多种身份验证方式，其中包括 LDAP 、本地帐户、基本身份验证、API 密钥以及多重身份验证。另外还有“马尔科姆”这一内容。

    它是一种能够以数据包捕获（PCAP）文件或者 Zeek 日志的形式来处理网络流量数据的工具。下面的图展示了其架构。

    传感器或数据包捕获设备负责进行网络监控。它通过网络设备（如交换机或路由器）上的 SPAN 端口来实现，或者使用网络 TAP 设备。接着生成包含所需数据的 Zeek 日志和会话，然后将其安全地发送出去。完整的 PCAP 文件被保存在传感器设备本地，以便以后进行分析。

   

    首先，利用映射和查找的方式来对网络数据进行解析，其中包括解析来自 MAC 地址中的组织唯一标识符（docs/OUI）所对应的硬件制造商以及 GeoIP 映射等内容。接着，将这些解析后的数据以文档格式进行存储，并且可以通过仪表板或者阿基梅来进行查看或使用。

    下面是如何设置  的说明：

    7. IDS

    一款开源入侵和威胁检测工具，它的特点是高性能，因而闻名。许多公共和私人组织都利用该工具来守护资产。该工具是由开放信息安全基金会（OISF）在 2009 年研发出来的。它具备通过运用入侵防御（IPS）、网络安全监控（NSM）、PCAP 处理以及入侵检测（IDS）等方式来识别并阻止攻击的能力。

    商店中有免费的应用程序，这些应用程序的图片如下，它们是由 Eric 开发的。

    与  IDS 相关的炫酷功能包括：

    要安装 ，请点击以下链接：

    8.Zeek入侵检测系统

    Zeek 是一款开源的网络流量分析器，很多组织都运用它来辅助对可疑或恶意活动的调查。此工具还能够支持其他几种流量分析方面的任务，其中包含性能的测量以及故障的排除。

    Zeek 用户从大量描述网络活动的日志中获得了很大益处。这些日志包含网络上看到的每个连接的全面记录，还包含所有应用程序层记录。像带有请求的 URI、DNS 请求、SSL 证书、MIME 类型等的 HTTP 会话也在其中。Zeek 会把收集到的所有信息写入 JSON 日志文件，而这些信息能够被外部工具进行处理。用户可以借助 SIEM 工具来对数据进行存储、分析以及可视化。

    Zeeks主要用于以下领域：

    总的来说，Zeeks 给那些想要了解自身基础设施运营情况的安全和网络团队带来了许多优势。

    判决

    在 Linux 中安装的 8 种顶级防御安全工具的详细指南已经结束。有许多其他工具未在此处列出。您可以随意选择最适合您的那一种。