使用Linux系统的LiveCD进行安全审核

    你有没有过这样的时候——你很想了解在你的网络上和系统中正在发生什么，但是你随后又想到：我可没时间去寻找和安装那么一大堆审核工具。如果你曾经需要深入了解一下网络状态、系统或应用软件的话，这里有个办法可以让你获得所有可能需要的工具，而不用安装哪怕一点点软件。

    有种非常有趣的Linux版本（以及BSD，Windows偶尔也有）被叫做“Live CD”。这种Live CD其实是一个放在CDROM（或DVDROM）上的操作系统，可以直接从光驱启动并进入桌面系统或笔记本系统，然后你可以运行一个“Live Copy”的操作系统，所有的工具都存放在CDROM上或者内存里，而不是硬盘上。

    Live CD现在被用于各种各样的用途，主要是用于演示——以及购买软件前的试用。有用于Linux桌面系统版本的Live CD（比如Ubuntu），有用于模拟游戏、并行计算以及集群和网格、科学/数学计算、生物信息学的……当然，也有用于系统安全测试与审核的（在本文结尾有个资源列表，会列出一些广为人知的审核Live CD）。

    工具

    在这个“称手工具”的部分，我们来看看Linux的Live CD如何用于系统审核。有许多可以用于安全的Live CD；看起来，对于人们到底需要怎样的工具，或者这个工具到底是怎样的，每个人都有自己不同的想法。我们这里看一下Backtrack，它无论是综合性能或是工具集都是该系列中的佼佼者。

    使用Live Auditing CD来进行测试

    首先，是几句忠告：

    Nmap是一个非常强力的工具——而Linux Auditing Live CD比它要强，因为它内含了上百个（甚至更多）的工具。NMap是一个系统，用于扫描主机上的漏洞以及那些很容易被人忽视的开放端口，而这些Live CD的审核/安全套装绝大多数都提供系统开锁和破解工具；对于加强网络的安全性来说，这些工具非常有用。不过，就像NMap一样，如果你不按正途去使用它的话，那么你会发现，自己会因为Baktrack中更为强力的工具，而身陷大麻烦中。

    Backtrack中有很多工具，就像绝大多数Auditing Live CD一样，它能提供成打的工具。创建者已经试图打破现有的大型工具选择组合，从而将Backtrack分解成按照功能进行分类管理的部分（本节将使用Backtrack所使用的名字，其他的Live CD可能会使用不同的术语）。

    “缺陷漏洞”包——包括现有各种网站和数据库漏洞和缺陷的连接列表，并联到对应的补丁。

    “列举（Enumeration）工具”——DNS以及目录服务类型工具，在检查一个主机或者网络到底提供何种服务时非常有用，并可以使用这些服务获取信息。

    “扫描器（Scanners）” ——这就是那些类似NMap的工具，可以帮助一个审核者探测网络上的系统，或探测一个指定的主机（或一群主机）上是否存在开放的端口和已知的漏洞。

    “密码破解器（Password Crackers）”——就是字面的那种意思，用来破解系统密码的工具。这些工具除了可以用于破解系统，也可以用于查看用户是否有容易被人破解的薄弱密码。

    “哄骗工具（Spoofing）” ——这些是可以使审核者的机器伪装成一系列不同种类系统或服务的工具，从而察看在不同类型的安全状况下，谁能够对网络服务或系统造成冲击。

    “嗅探器（Sniffers）” ——嗅探器由一个大范围的工具组成，从类似WireShark（就是以前的“Ethereal”）这样的网络分析工具，到关注各种高等协议（比如AOL Instant Messenger，IRC，Jabber）的高等协议分析工具，甚至还有数据库处理的嗅叹器。

    “无线工具（Wireless Tools）” ——一组802.11无线网络扫描器以及监控工具，可以用于监控，分析，以及测试WiFi网络。

    “蓝牙工具（BlueTooth）” ——一组用于检查蓝牙网络和设备的工具。

    “CISCO工具（CISCO Tools）” ——一组用于探测和连接CISCO路由器的工具。

    “数据库工具（Database Tools）” ——一组用于分析数据库连接和通信的工具，适用于许多常见的数据库。

    “取证工具（Forensic Tools）” ——一组非常有用的，在审核过程中可以系统化的整理并记录所发现的数据；一些工具可以将数据存入数据库，其他的则是让调查者可以建立一个硬盘的纯正备份，然后对此硬盘镜像进行保护和检查的系统。

    Backtrack系统也包含了大量可以在本地运行的服务器（比如网页服务器等等），以及其他系统，比如像“蜜罐”这样的工具可以用于吸引网络上的攻击者，从而观察他们用于攻击的工具，以及他们用于探测系统和网络的工具到底是什么。

    Linux审核Live CD可以被用于多种模式：作为纯粹的检验工具，可以被用于查探在网络上运行的是什么（举例来说，使用一个网络分析器），服务类型以及信息流。或者，他们可以被用于审核指定系统的安全状态（举例来说，试图使用口令破解工具闯入系统，或者测试已知的漏洞是否存在）。并且，数据捕捉工具可以让你保留所有你产生的数据，并以一种方法管理它，从而建立一个证据链以用于正式审核或其他研究。

    最后，你可能会疑惑，怎么才能保存你捕捉到的数据呢？你现在运行的系统仅仅存在于一台笔记本的内存里，一旦系统重启，所有的一切都没了。不过，这些Live CD的设计者看起来已经把什么都考虑到了：你可以激活网卡接口，并赋予你的临时审核工作站一个IP地址，然后你就可以存取你的网络文件系统，就像你平时正常工作时所做的那样；或者你可以简单的把一个USB闪盘插到空闲的USB接口上，然后把数据保存到上面即可。

    适合工作的工具

    正如一篇相关的短文中所指出的那样，没有办法来判断类似Backtrack（或任何其他基于Live CD的可用审核/安全系统）这样一个工具集的范围和宽度。不过，如果你需要能够迅速地安装一套审核套装软件，需要确保网络上一切OK，从而能够让老板（或者自己）满意，那么你就不能错过一个Backtrack这样的工具，这一点再简单不过了。

    审核/安全Live CD

    正像我们说明过的，审核/安全Live CD有非常非常多的种类。一些是内容完整的版本（你常常可以选择把他们安装到系统盘上，而不是仅仅以Live CD的形式来运行它们），其他一些则是小到完全可以用一个USB闪盘来存储和运行。