Ubuntu 的 ufw 和 iptables 有關係嗎 ？

阿舍開始用這個 ufw 程式來管理防火牆已經是好久以前的事了，因為，ufw 簡單又好用，很適合阿舍在個人電腦上和伺服器上簡單的防火牆設定，因此，自從阿舍知道 Ubuntu 有個 ufw 程式之後，就沒再去好好的研究過功能強大的 iptables 程式哩 ! 不過，阿舍心中一直有一個疑問，那就是 "ufw 和 iptables 有什麼關係嗎 ? " ...

(figure Credit Mattw )

Raspberry Pi 安裝 Kali Linux 當隨身漏洞檢測和網路工具盒

阿舍昨天剛介紹完直接用 Kali Linux 的虛擬機器內建的 OpenVAS 來快速使用 OpenVAS 做測試的方法，今天就順道再來介紹一下 Kali Linux 的另一種應用，就是把它安裝在 Raspberry Pi 上來當做隨身的網路檢測工具盒，讓你可以帶著它，只要插上網路或連上無線網路就可以開始做檢測哩 ! ....

說是做安全檢測是正面積極的說法，實際上是，如果你公司的有線網路或無線網路管理的不夠嚴謹的話，有心人士只要拿著這個只有信用卡大小的電腦偷偷的連上公司的網路，那麼他也可以來幫忙你的公司來做漏洞檢測的，然後，再做他想做的事哩 !  這種從內部竊入的方式，相對來說是比較好取得更多資訊的 ....

第一次開啟 X Window 後，會跳出來問要不要設定一下

最簡單的 OpenVAS (漏洞檢測工具) 安裝和使用方式

阿舍之前有寫過文章來說明如何在 Ubuntu 上安裝 OpenVAS 這套軟體來做系統的漏洞檢測，不過，說實在的，阿舍覺得這個 OpenVAS 實在是不太好安裝哩 ! 因為 OpenVAS 的組成元件不少，所以，安裝步驟就有點給它多囉 ! 不過，用 OpenVAS 來做簡單的安全漏洞檢測 (專業一點的說法，是叫做「滲透測試 (Penetration Testing)」...) 算是滿方便又有效的工具哩 !

Kali Linux 內含 OpenVAS

Ubuntu 用 ufw 指令快速啟用和設定防火牆

ufw (UncomplicatedFirewall) 是 Ubuntu 內建用來提供給使用者快速設定防火牆的程式，所以，只要安裝好就會這支程式可以用，不用特別再安裝其它的防火牆程式，阿舍還滿常用的，通常，阿舍在安裝好 Ubuntu 之後，就會利用這支 ufw 程式啟動防火牆功能來做個簡單的安全防護哩 !

Kali Linux tools for Ubuntu

阿舍是真的有一點點誤會這個 Kali Linux tools for Ubuntu 的用途了哩 ! 阿舍本來以為，只要加了 Kali Linux tools for Ubuntu 的 PPA，然後，下個 apt-get 指令來安裝，就可以在 Ubuntu 裡會有個包含 Kali Linux 提供的所有工具的選單項目哩 ! 結果咧 ! 和阿舍想的不太一樣，Kali Linux tools for Ubuntu 目前的方式似乎比較像是早期的 Linux Mint 所採用的方式哩 !

安裝  Kali Linux Tools for Ubuntu 軟體後的選單

BackBox Linux - Ubuntu 版的滲透測試工具

阿舍之前有介紹過 Kali Linux 這個發行版本，而 BackBox Linux 的用途和 Kali Linux 很像，就是有預載了不少可以用來作網路安全檢測 (比較正式的說法是「滲透測試 (Penetration Testing)」)的工具，因為用途很像，所以，也有人拿 BackBox Linux 來和 Kali Linux 的前代版本 BackTrack 作比較，不過，阿舍試過後覺得，這個 BackBox Linux 和 Kali Linux 及 BackTrack 的定位應該是不太一樣的哩 !

BackBox Linux 

Kali Linux - 滲透測試用的 Linux 發行版本

官方說法，說這個 Kali Linux 是「滲透測試 (Penetration Testing)」用的，其實，阿舍覺得算是有一些些的含蓄，不過，就正面的用途來說，Kali Linux 就真的是可以用來測試公司網路會被駭客駭入和滲透的程度哩 ! 但是，如果是從負面的角度來看，這個 Kali Linux 就可以說是一個給駭客用的工具集哩 ! 是可以被不良人士很方便使用的駭客用 Linux 發行版本哩 !

Kali Linux 的桌面

Ubuntu 安裝與使用 Rootkit 掃描程式

就如很多說的，這個 Linux 是不太容易中毒的，但是，這並不是說 Linux 比較厲害，所以，能夠百毒不侵，而是因為 Linux 的權限控管比較嚴謹一點，一般的使用者就算不幸中毒，病毒也會因為沒有適當的權限可以修改和讀取系統檔案而發揮不了作用，不過，要是系統管理者的帳號中毒，那麼一切就難說了，因此，想要攻擊 Linux 系統的高手們，就不會用病毒來玩，而是改以透過系統漏洞取得最高權限的方式來侵入 Linux 系統，而這種以最高權限方式來潛入系統後，偷偷執行程式的方式，就叫做「Rootkit」。 

圖片來源 : Sir Arthur's Den

AnonymoX 網路匿名服務

AnonymoX 是 FireFox 的免費擴充套件，但是，實際上卻是一個 Freemium 的服務哩 ! 阿舍覺得 AnonymoX 透過 FireFox 的免費擴充套件來推服務的方式，真是聰明，不過，倒不是每個服務都可以用這種方式來推哩 ! AnonymoX 主要是以提供代理伺服器 (Proxy Server) 的方式來收取費用，可是，提供 Proxy Server 的公司和網站不少，AnonymoX 有什麼不一樣嗎 ?

圖片引用自 addons.mozilla.org

Lightweight Portable Security (LPS) - 安全的 Linux 發行版本 ?

Lightweight Portable Security 簡稱 LPS 是由美國軍方的 ATSPI ( Antiamper Software Protection Initiative ) 組織所研發的 Linux 版本，而 ATSPI 研發這個 Lightweight Portable Security 的目的，就是要提供給美國軍方和政府機構人員可以有可隨身攜帶且安全的閱讀軟體，避免在不小心把機密的檔案給留在別人的電腦裡了哩 ! 同時，也提供安全的連線來連回美國軍方和政府機構的私有網路的。

那麼 LPS 和一般的 Linux 有什麼不同嗎 ? 那是當然的囉 ! 這個 LPS 基本上是設計安裝在可開機的 USB 和CD-ROM 上的，然後，LPS 開機後不會去掛載電腦上的任何他硬碟，所以，不會寫任何資料到被使用的電腦的硬碟上，可避免資料外洩，另外，這個 LPS 只有預載一個可以讀取 Smart Card  的  Firefox  瀏覽器'和 PDF 及文字檔的閱讀取，以及一套可加密精靈軟體和Java 環境，其他的就沒了，整個看來這個 LPS 的用途就是上網和閱讀 PDF 和文字檔哩 !

LPS 除了給美國人用的版本之外，還有一個 LPS-Public 的公開版本，任何人都可以從 ATSPI 的網站來下載，如果你的公司有一些別安全考量，也許可以考慮一下使用 LPS-Public 來防止資料外洩，還有，個人的話，隨身帶一個 LPS-Public，和別人借電腦上網時，就不用擔心留下什麼不該留的足跡哩 ! ....

DuoSecurity.com - Two-factor authentication 認證服務

阿舍之前有介紹過這個 Two-factor authentication，是一種用來提高使用者身份驗證安全性的機制，不過，如果要自己來弄，實在是有點的小麻煩，所以，就有人出來提供這種 Two-factor authentication 的服務，而這個 DuoSecurity 就是做這種服務的公司來的。

DuoSecurity 提供多種認證方式，包括手機回呼 (  Phone CallBack)、簡訊密碼傳送 ( Passcode) 、密碼產生器 ( Token Machine ) 和智慧型手機軟體 ( Apps ) 等，所以，不管是有沒有手機都是可以使用 DuoSecurity 所提供的服務的，而提供這些多樣的 Two-factor authentication 機制，DuoSecurity 號程稱只要15 分鐘就可以搞定，而且，DuoSecurity 可以整合多家公司的 VPN 服務，讓你的網站和 DuoSecurity 之間，可以安全的溝通和傳輸。

DuoSecurity 是收費的服務，不過，有提供前 10 個帳號免費的試用服務，所以，如果你們家的網站有需要，或是有興趣，可以去註冊來試試看，除了有前 10 個帳號免費外，還有 30 天的試用期哩 ! 算是滿有誠意的哩 ! ( 另外，還外加 Open Source 專案可以免費申請) ，至於超過 10 個以上的帳號的收費方式，是以每月計價的，一個使用者帳號收 3 塊美金，超過 500 個帳號就要電洽了。

阿舍並沒有去註冊試用，但是，這個 DuoSecurity 看來還滿有試意的，功能似乎也不錯，只是 3 塊一個帳號，有點貴哩 ! 不過，人數多還可以談，是還好，如果你的網站很怕或1千萬不可以讓使用者帳號會被人盗用，而且，又沒本錢自己來做 Two-factor authentication 的話，就可以考慮這個 DuoSecurity 所提供的服務囉 !

Two-factor authentication 是什麼 ?

Two-factor authentication 的概念很簡單，就是說，只有帳號和密碼認證是不夠的，還要再透過第二種認證方式來驗證使用者的身份，而第二種驗證方式可以用指紋和眼球等生物特徵，或是經由手機 Call out和傳送簡訊等方式來達成，也就是說，Two-factor authentication 是使用二種工具來認證帳號的方式。

阿舍仔細想想，其實，這個 Two-factor authentication 已經出現在我們身邊有好一陣子了哩 ! 像有一家銀行在阿舍改網路帳號密碼時，除了要輸入原來的密碼之外，還要輸入簡訊傳來的密碼，還有，另外一家銀行是直接給個密碼機，在登入時，除輸入帳號和密碼之外，還要輸入這個密碼機所產生的密碼才能登入，所以，Two-factor authentication 在銀行界似乎是比較被常用到哩 ! 畢竟 Two-factor authentication 的主要目的是在加強安全性。

這個 Two-factor authentication 的認證方式，主要是可降低帳號被盗用的風險，但是，並不能排除資料在傳輸過程被竊取的問題，所以，使用 Two-factor authentication 的方式還是得要配合其他的安全措施才能具有足夠的安全性哩 !

php5-suhosin 簡介

PHP 5 的 Suhosin 擴充是針對 PHP5 的已知和未知的安全問題提供增強保護的修正，此修正會對 PHP5 的核心進行調校，同時也提供一套增強安全的 PHP 擴充，所以，在安裝 PHP 後，建議還是要安裝一下 php5-suhosin 擴充，會比較安全哩 ! 安裝方式如下：

apt-get install php5-suhosin

建議在安裝完 PHP5 及其相關模組後，最後才安裝此模組，如果在安裝的時候出現找不到套件的訊息時，請參考這裡。