保障Linux 系统应用安全的常用开源工具盘点

相比Windows操作系统，Linux系统提供了更好的安全，它自带了多种安全功能帮助加固应用安全。但仅靠Linux系统本身的安全策略是远远不够的，用户需要借助更多有价值的开源安全工具来发现潜在的威胁和漏洞。本文对目前常用的Linux开源安全工具进行了梳理和盘点，并对其应用特点进行了分析。

ClamAV是一款保障Linux服务器安全的开源防病毒引擎，可以多线程扫描搜索已知的威胁特征。产品会自动更新病毒特征库，确保新威胁不会对用户构成威胁。该工具还是多平台工具，因此用户可以在服务器上使用它，也可以在网络上的其他操作系统上使用它。免费版的功能不如高级收费版丰富，但实际应用表现同样不俗，不过需要用户习惯于使用命令行接口来运行ClamAV。如果用户想要GUI，可以结合使用ClamTK和ClamAV。

传送门：https://www.clamav.net/

Rkhunter又叫Rootkit Hunter，主要用于发现Linux服务器发行版上的本地安全漏洞，比如后门和rootkit。与上面介绍的其他工具不同，Rkhunter专注于从内到外保护服务器，而不是仅仅防范外部威胁。它专门寻找本地问题的常见迹象，比如不适当的权限、隐藏的程序和隐藏的文件等。很多安全团队认为，>Rkhunter已成为帮助探查服务器上已有漏洞问题的必备工具之一。

传送门：https://sourceforge.net/projects/rkhunter/

OSSEC和OSSEC+都是开源且完全免费的服务器入侵检测软件。要获得含有附加功能的OSSEC+，用户只需要注册登录即可。这种入侵检测系统还可以充当系统信息和事件管理解决方案，可实现安全监控和日志功能的集中整合。这款跨平台工具有助于满足Linux服务器应用的合规要求，提供了基于社区的实时威胁共享和机器学习等功能。系统还有各种免费和高级插件来扩展功能，比如与Cloudflare集成，从其他工具提取安全规则以及通过Slack工作区接收警报。

传送门：https://www.ossec.net/

LMD（Linux Malware Detect）旨在快速检测和删除恶意活动及相关代码，它可以快速响应威胁，并保护Linux服务器。然而与许多防病毒工具不同，LMD并不仅仅依赖单个数据库来获取病毒特征。这款工具充分利用ClamAV的现有数据库以及Team Cymru的数据库。它还为检测到的任何未知恶意软件生成特征，从而使威胁数据库更完善。用户需要从GitHub下载LMD的安装文件和文档，然后使用maldet命令来运行它：maldet --scan-all。

传送门：https://github.com/rfxn/linux-malware-detect

OpenVas是Greenbone Enterprise Appliance的免费开源版，其企业版并非完全免费，需要定制化设计和配置。然而，免费版也同样能满足很多用户需要。用户可以直接在Greenbone社区版论坛和GitHub上找到最新的免费稳定版和社区应用指南。OpenVas的漏洞评估系统利用了50000多个网络漏洞测试库（NVTB）来确保工具及时更新。它能够发现一系列广泛的Linux漏洞，甚至可在跨平台系统上顺畅运行。如果用户想测试效果，它在虚拟机上也可以顺畅运行。

传送门：https://www.openvas.org/

Nikto是一款好用的Web服务器扫描器，可以执行查找危险文件、发现过时版本、检查服务器配置问题等多项任务。目前有详细的文档可帮助用户掌握Nikto的所有功能。有必要指出一点，扫描旨在尽快运行，不提供隐身模式，因此日志文件是可见的。然而，这对于大多数服务器来说应该不是问题。

传送门：https://github.com/sullo/nikto

Burp Suite社区版旨在测试Web应用程序，除了主要的Burp Proxy可以拦截HTTP和HTTPS流量外，免费开源版还包括Repeater、Decoder、Sequencer和Comparer。这款工具可审查收集的数据以寻找任何潜在弱点，从而确保用户的Web应用程序安全无恙。使用另付费的专业版，用户还可以获得Burp Intruder，从而可以模拟攻击，进一步提高服务器和Web应用程序的安全性。

传送门：https://portswigger.net/burp/communitydownload

Snort是一款开源版的入侵防御系统，它使用一系列规则发现网络上的恶意活动。只要某事件符合规则，用户就会立即收到警报。Snort主要有三个目的：充当数据包嗅探器、数据包记录器和完整的网络入侵防御系统。无论用户在运行个人Linux服务器还是复杂的企业网络，都可以免费使用该工具，有详细的文档可帮助用户配置Snort以满足具体要求。

传送门：https://www.snort.org/

无论是帮助用户查找安全漏洞，还是确保系统符合法规遵从，Lynis工具都能很好满足需求。它是一种非常实用的开源安全审计工具，在Linux、Unix和macOS上都能够运行顺畅。除了执行安全健康扫描外，用户还可以利用Lynis用于安全审计、渗透测试、合规测试、系统强化和漏洞检测。每次扫描都针对用户的系统量身定制，用户无需安装任何其他工具即可使用它。

传送门：https://cisofy.com/lynis/

REMnux与本文介绍的其他工具不同。这个Linux工具包主要用于帮助分析恶意软件。分析新型恶意软件对于加强Linux服务器的防御同样至关重要。企业对于新型恶意软件了解越深入，就越容易更新开源安全工具，以检测和预防将来的感染。理想情况下，用户应该将REMnux作为虚拟机来运行以分析恶意软件，而不影响用户的主系统。另一个好处是，该工具包提供了各种恶意软件分析工具的Docker映像。这意味着用户可以将它们作为容器来运行，不必安装更多的工具。

传送门：https://remnux.org/

文章来源：安全牛编译整理