【IT168 专稿】如果你只有一台电脑，那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样，但却有此可能。不过，在现实世界中，我们需要一些好的工具来帮助我们监视系统，并向我们发出警告，告诉我们哪里可能出现问题，因此我们可以经常地轻松一下。入侵检测可能是一种令我们操心的问题之一。不过，事情总有两方面，幸好Linux的管理员们拥有可供选择的强大工具。非常好的的策略是采用分层的方法，即将“老当益壮”的程序，如Snort、iptables等老前辈与psad、AppArmor、SELinuxu等一些新生力量结合起来，借助强大的分析工具，我们就可以始终站在技术的前沿。

    在现代，机器上的任何用户账户都有可能被用来作恶。笔者认为，将全部的重点都放在保护root上，就好像其它用户账户不重要一样，这是Linux和Unix安全中一个长期存在的、慢性的弱点问题。一次简单的重装可以替换受损的系统文件，不过数据文件怎么办？任何入侵都拥有造成大量破坏的潜力。事实上，要散布垃圾邮件、复制敏感文件、提供虚假的音乐或电影文件、对其它系统发动攻击，根本就不需要获得对root的访问。

    IDS新宠：PSAD

    Psad是端口扫描攻击检测程序的简称，它作为一个新工具，可以与iptables和Snort等紧密合作，向我们展示所有试图进入网络的恶意企图。这是笔者首选的Linux入侵检测系统。它使用了许多snort工具，它可以与fwsnort和iptables的日志结合使用，意味着你甚至可以深入到应用层并执行一些内容分析。它可以像Nmap一样执行数据包头部的分析，向用户发出警告，甚至可以对其进行配置以便于自动阻止可疑的IP地址。

    事实上，任何入侵检测系统的一个关键方面是捕获并分析大量的数据。如果不这样做，那只能是盲目乱来，并不能真正有效地调整IDS。我们可以将PSAD的数据导出到AfterGlow 和 Gnuplot中，从而可以知道到底是谁正在攻击防火墙，而且是以一种很友好的界面展示。