Thứ ba, 26/11/2013 | 00:00 GMT+7

Cách cài đặt Linux Socket Monitor (LSM) trên CentOS 6.4

Theo một nghĩa rất rộng, các socket được các ứng dụng sử dụng để truyền dữ liệu giữa nhau. Khi nói đến giao tiếp qua khoảng cách qua mạng (cho dù nội bộ hay bên ngoài), các nguyên tắc áp dụng cho nhiệm vụ vẫn giữ nguyên và các socket được sử dụng để trao đổi thông tin.


Trong bài viết DigitalOcean này, ta sẽ xem xét việc tăng cường bảo mật hệ thống bằng cách tăng mức độ giám sát được thực hiện. Ta sẽ cài đặt Linux Socket Monitor để gửi cảnh báo khi một socket mới được tạo, đây là một tín hiệu tiềm ẩn về sự xâm nhập của một ứng dụng không xác định chiếm quyền điều khiển của nó.

Hiểu về socket , cổng và kết nối

Các ứng dụng được thiết kế để chạy trên mạng (ví dụ như internet) cần phải tự liên kết với các cổng nhất định tùy thuộc vào role của chúng, để thực hiện công việc trao đổi thông tin theo khoảng cách thông qua các kết nối dữ liệu.

Khi một ứng dụng được chạy thành công (tức là web server chạy trên cổng 80), nó sẽ nhận được một socket liên kết với số cổng này, được xác định [về cơ bản] bởi địa chỉ mạng (tức là địa chỉ IP), giao thức (tức là ngôn ngữ của thông tin trao đổi) được sử dụng và số cổng (ví dụ: 80), sẽ lắng nghe các yêu cầu kết nối đến.

Mặt khác, khách hàng ở đầu dây bên kia bao gồm các ứng dụng (ví dụ: Trình duyệt web Firefox) thực hiện các yêu cầu để bắt đầu giao tiếp hoặc [sau đó] gửi và nhận dữ liệu đến / từ các ứng dụng này.

Cuối cùng, các yêu cầu do client đưa ra khi đến ứng dụng đích của nó (tức là web server ), phải trải qua một số quy trình nhất định tùy thuộc vào giao thức đang sử dụng (và bộ luật ). Nếu server quyết định chấp nhận nó, một kết nối sẽ được cài đặt giữa hai bên này thông qua các socket – và thực sự là một kết nối mới, mà cả client và server đều liên kết riêng lẻ, để server vẫn có thể tiếp tục lắng nghe các yêu cầu đến khác tại cùng thời gian.

Hiểu cách xác định các mối đe dọa có thể xảy ra

Sockets là version hai chiều, được sử dụng cho cả việc gửi và nhận dữ liệu giữa các bên chia sẻ kết nối đã cài đặt . Nếu (hoặc khi) có một cổng mới được mở hoặc một socket bất ngờ được tạo, điều đó nghĩa là có một ứng dụng sẵn sàng lắng nghe và nhận các lệnh thông qua các yêu cầu gửi đến để thực thi trên server mà nó cư trú, tùy thuộc vào quyền mà nó có. Và khi điều này xảy ra bởi một ứng dụng không mong muốn hoặc bị xâm nhập, điều quan trọng là phải nhanh chóng xử lý nó, điều này chỉ có thể xảy ra khi phát hiện nhanh thông qua giám sát socket .

Linux Socket Monitor: Ứng dụng


Linux Socket Monitor là gì?


Linux Socket Monitor (LSM) là một công cụ giám sát theo dõi các thay đổi đối với các cổng và socket (cả mạng và liên quá trình (IPC) được sử dụng giữa các ứng dụng trên cùng một máy) bằng cách so sánh các ảnh chụp nhanh mà nó thực hiện - tự động (khi cài đặt) hoặc bằng cách hướng của bạn.

Nó sử dụng công cụ tiện ích cron để lên lịch quét theo những khoảng thời gian nhất định – theo mặc định, cứ 10 phút một lần– và kiểm tra các cổng / socket đang được sử dụng. Nếu nó nhận thấy bất kỳ sự khác biệt nào, bằng cách gửi một cảnh báo qua email, nó sẽ cho bạn biết.

Linux Socket Monitor hoạt động như thế nào?


Linux Socket Monitor thực sự là một tập lệnh (chương trình) bash rất thông minh và nhỏ gọn. Nó yêu cầu hai lệnh để download , cài đặt và bắt đầu giám sát. Khi bạn cài đặt công cụ lần đầu, nó sẽ quét các cổng và socket hiện tại để tạo tệp so sánh cơ sở –một ảnh chụp nhanh về mạng của bạn. Nó chỉ yêu cầu một chút cấu hình, theo đó bạn nhập địa chỉ email của bạn để nhận thông báo, và thế là xong!

Cách cài đặt Linux Socket Monitor?


Phiên bản mới nhất của LSM được đặt trên trang web của nhà phát triển tại: http://www.rfxn.com/downloads/lsm-current.tar.gz

Để download repository băng (tar, tarball), hãy chạy như sau:

 wget http://www.rfxn.com/downloads/lsm-current.tar.gz 

Thao tác này sẽ tải file lưu trữ xuống folder hiện tại mà bạn có.

Hãy extract nội dung từ tarball :

 tar -xvfz lsm-current.tar.gz 

Bây giờ ta đã sẵn sàng cài đặt LSM bằng cách chạy lệnh cài đặt của nó.

Nhập folder và chạy cài đặt:

$ cd lsm-0.6 $ ./install.sh 

Khi quá trình cài đặt nhanh chóng hoàn tất, bạn sẽ thấy một bản tóm tắt về chính ứng dụng đó cùng với thông báo rằng các file so sánh cơ sở đã được tạo, tương tự như sau:

.: LSM installed Install path:    /usr/local/lsm Config path:     /usr/local/lsm/conf.lsm Executable path: /usr/local/sbin/lsm LSM version 0.6 <lsm@r-fx.org> Copyright (C) 2004, R-fx Networks               2004, Ryan MacDonald This program may be freely redistributed under the terms of the GNU GPL  generated base comparison files 

Bây giờ ta có thể hoàn thành cài đặt bằng cách sửa đổi file cấu hình.

Mở file cấu hình LSM bằng editor nano :

 nano /usr/local/lsm/conf.lsm 

Tại đây, bạn sẽ thấy một danh sách tương đối dài các giá trị được LSM sử dụng để hoạt động. Phần mà ta cần sửa đổi là phần thứ ba trong danh sách: USER="root" nằm sau các phần đã comment ở trên cùng.

Sử dụng các phím mũi tên của bạn, đi xuống dòng đó và thay thế folder gốc bằng địa chỉ email của bạn.

Thí dụ:

USER="system.alerts@mydomain.com"             # .. 

Bạn cũng có thể sửa đổi dòng sau trên tài liệu nếu bạn muốn nhận cảnh báo (email id) với dòng chủ đề khác với dòng tiêu đề mặc định.

Để thay đổi dòng tiêu đề của email, vui lòng sửa đổi:

SUB="LSM Port Monitor Alert on $HOSTNAME"     # .. 

đến một chủ đề bạn muốn . Đảm bảo giữ nguyên $HOSTNAME , nó sẽ chứa tên server của máy của bạn –một khía cạnh hữu ích khi bạn xử lý nhiều hơn một.

Nếu bạn không chắc chắn về cách đặt tên server của máy tính của bạn, bạn có thể tham khảo này bài báo xuất sắc bởi Etel Sverdlov trên phần DigitalOcean Help & cộng đồng.

Và ta rất tốt để đi!

Sử dụng màn hình socket Linux


Ngay sau khi cài đặt, LSM đã chụp nhanh các cổng và socket hiện tại của bạn, đồng thời cài đặt cron job để chạy 10 phút một lần.

Tại bất kỳ thời điểm nào, bạn có thể xóa hoặc tạo lại các file so sánh thông qua hai lệnh đơn giản:

  • Xóa ảnh chụp nhanh (tệp /usr/local/sbin/lsm -d ): /usr/local/sbin/lsm -d
  • /usr/local/sbin/lsm -c kiểm tra so sánh theo cách thủ công: /usr/local/sbin/lsm -c

Và để tạo lại các ảnh chụp nhanh:

  • Tạo file so sánh cơ sở: /usr/local/sbin/lsm -g

Xin lưu ý: Việc gửi email từ hệ thống của bạn yêu cầu bạn phải cài đặt ứng dụng tác nhân user thư. Có nhiều tùy chọn khác nhau bạn có thể chọn nếu bạn chưa có. Bài viết tiếp theo sẽ đề cập đến việc cài đặt một đại lý.

<div class = “author”> Gửi bởi: <a href=osystemhttps://twitter.com/ostezerosystem> OS Tezer </div>


Tags:

Các tin liên quan

Cách sử dụng ApacheBench để thực hiện kiểm tra tải trên VPS Arch Linux
2013-11-21
Cách thiết lập server VPN đa giao thức bằng SoftEther
2013-11-19
Cách thiết lập server e-mail Postfix với Dovecot
2013-11-14
Cách thiết lập WordPress với W3 Total Cache trên Lighttpd Server
2013-11-12
Thiết lập server ban đầu với Debian 7
2013-11-04
Cách cài đặt Linux, Nginx, MySQL, PHP (LEMP) trên Debian 7
2013-10-31
Cách sử dụng Tìm và Định vị để Tìm kiếm Tệp trên VPS Linux
2013-09-27
10 Trứng Phục sinh hàng đầu trên Linux
2013-09-18
Cách sử dụng SSH để kết nối với server từ xa trong Ubuntu
2013-09-10
Cách sử dụng ps, kill và hay để quản lý các tiến trình trong Linux
2013-09-06