适用于 windows 和 *nix 服务器的服务器安全审计工具

Nessus 是一个很好的开始，因为它可以进行比端口扫描和横幅抓取更深入的漏洞评估。

我建议的一件事是不要将其保留为“我们进行了扫描，没关系，无事可做”，并且可能安排重新扫描以检查配置更改。

虽然这是一个很好的开始，但没有什么能比手动枚举漏洞/错误配置更好。但这显然需要时间、精力和金钱，它们可能并不值得。

如果您的数据超出您的控制范围，您是否觉得您为保护这些服务器而投入的时间、金钱和精力与操作损失、数据丢失、法律诉讼的成本相平衡？

永远，永远依赖于一种工具。Nessus 是一个好的开始，但随后会使用额外的扫描仪和审计工具——越多越好。

GFI Languard、eEye Retina、Lumension Scan（以前称为 Harris STAT）都很不错，尽管您必须花钱才能获得它们。它们会有一些重叠，但每个都进行独特的检查，因此它们只能在评估机器的脆弱性时相互补充。当然，您必须用常识交叉检查每个发现以排除误报——多种工具可以帮助您解决这个问题。

除了操作系统扫描仪，如果您计划托管任何数据库，您可能需要考虑选择 AppDetectivePro。对于网站，请查看 HP WebInspect 或 Paros。对于网络密码检查，Cain & Abel 非常棒——但请确保您有权使用它，尤其是一些更高级的功能。

我建议查看一些开源工具产品——nmap 是检查机器上打开了哪些端口以及发送任意数据的 netcat 的绝佳方法。使用 Wireshark 嗅探来自主机的网络流量，无论是通过跨接端口还是网络分路器，并分析结果——这通常有助于识别不必要和不安全的网络（如 telnet、FTP 和任何低于 v3 的 SNMP 版本）网络协议。SNMP 读/写字符串基本上是密码——而 SNMP v1 和 v2（或 2c）是完全明文。不要使用它们，如果你是的话，请逐步淘汰它们。

最后，但可能是最重要的，请查看相关操作系统的 NSA 配置指南（如果他们发布了）、DoD 的 DISA 安全技术实施指南以及 Microsoft 操作系统的 Microsoft 安全指南。这些可以帮助您构建一些经过验证的强化机器，并且应该是任何安全系统构建的起点。了解您的原始配置对于确定系统是否受到威胁，甚至是特定漏洞是否影响您的环境有很大帮助。

只是一个说明——总是，总是在进行与安全相关的更改之前备份系统——特别是如果你使用 NSA 或 DISA 指南——如果你明白我的意思，他们专注于安全，不一定是操作。

您还可以使用 nessus 通过登录一个框并在 windows 和 unix 上运行审计脚本来运行审计。Tenable 为 PCI DSS、CIS Benchmark 和 NSA Rhel5 指南提供了其中的一些。

我们有一个所有机器都安装到的基线，以及已安装的任何应用程序的附加内容。这涵盖了要检查的大量内容，从开放端口到 setuig/gid 可执行文件，再到严格的访问控制检查。所做的任何更改都需要记录并链接到我们的票务系统，所有更改都由更改管理部门批准。我们会定期运行扫描以确保一切正常。如果没有，我们可以从我们在系统中的审计跟踪中找出是谁进行了更改。

因此，无论何时我们都可以在配置数据库中准确了解机器的外观，既可以从外部使用 nessus 和其他工具检查它，也可以从内部使用 nessus 和合规插件。因此，当任何审计员突然访问并让我们证明我们知道任何随机服务器的状态时，我们可以这样做，并提供审计跟踪以满足合规性。

这一切都不容易，或设置起来很有趣。但是在我们所处的市场中，我们必须满足合规性要求，因此必须有人启动并运行它。