dabian 最小安裝，安裝好時，只會占去 70MB 多的空間，可以說真是"小而美小而簡"，因為 dabian 的使用哲學就是：「有用到的軟體再裝」，不像紅帽會把你可能會用到的通通裝進去，不過也就是因為如此，所以預設的 debian 把很多軟體都省略了！
以下介紹 debian 編譯環境，所需要安裝的一些套件！

1.build-essential
你要編譯軟體時最基本要裝這個， 他相依 libc6-dev,gcc,g++,make,dpkg-dev，安裝他就幫你安裝好這些。

2.apt-file
一般來說，若已經裝好 build-essential 應該還是不夠的，因為它只會安裝一些預設的函式庫，若編譯軟體時出現找不到函式庫的錯誤訊息時，可以用 apt-file 來搜尋。
ex：apt-file安裝好時必須先 update ( ~# apt-file update)

底下介紹一套掃木馬的程式 chkrootkit
安裝方式非常簡單，你可以選擇到官網下載，或是直接用 apt-get 安裝，都可以！

1. chkrootkit 官方網站 http://www.chkrootkit.org
2. 執行 apt-get install chkrootkit
3. 安裝好之後，執行 chkrootkit 就會開始掃描了。

範例畫面：

# chkrootkit

ROOTDIR is `/’
Checking `amd’… not found
Checking `basename’… not infected
Checking `biff’… not infected
Checking `chfn’… not infected
Checking `chsh’… not infected
Checking `cron’… not infected
Checking `date’… not infected
Checking `du’… not infected
Checking `dirname’… not infected
Checking `echo’… not infected
Checking `egrep’… not infected
Checking `env’… not infected
Checking `find’… not infected
Checking `fingerd’… not found
Checking `gpm’… not found
Checking `grep’… not infected
Checking `hdparm’… not found
Checking `su’… not infected
Checking `ifconfig’… INFECTED
Checking `inetd’… not infected
Checking `inetdconf’… not infected
Checking `identd’… not found
Checking `init’… not infected
Checking `killall’… not infected
Checking `ldsopreload’… not infected
Checking `login’… not infected
Checking `ls’… not infected
Checking `lsof’… not infected
Checking `mail’… not infected
Checking `mingetty’… not found
Checking `netstat’… not infected
Checking `named’… not found
Checking `passwd’… not infected
Checking `pidof’… not infected
Checking `pop2′… not found
Checking `pop3′… not found
Checking `ps’… not infected
Checking `pstree’… INFECTED
Checking `rpcinfo’… not infected
Checking `rlogind’… not found
Checking `rshd’… not found
Checking `slogin’… not infected
Checking `sendmail’… not infected
Checking `sshd’… not infected
Checking `syslogd’… not infected
Checking `tar’… not infected
Checking `tcpd’… not infected
Checking `tcpdump’… not infected
Checking `top’… not infected
Checking `telnetd’… not found
Checking `timed’… not found
Checking `traceroute’… not infected
Checking `vdir’… not infected
Checking `w’… not infected
Checking `write’… not infected
Checking `aliens’… no suspect files
Searching for sniffer’s logs, it may take a while… nothing found
Searching for HiDrootkit’s default dir… nothing found
Searching for t0rn’s default files and dirs… nothing found
Searching for t0rn’s v8 defaults… Possible t0rn v8 (or variation) rootkit installed
Searching for Lion Worm default files and dirs… nothing found
Searching for RSHA’s default files and dir… nothing found
Searching for RH-Sharpe’s default files… nothing found
Searching for Ambient’s rootkit (ark) default files and dirs… nothing found
Searching for suspicious files and dirs, it may take a while… nothing found
Searching for LPD Worm files and dirs… nothing found
Searching for Ramen Worm files and dirs… nothing found
Searching for Maniac files and dirs… nothing found
Searching for RK17 files and dirs… nothing found
Searching for Ducoci rootkit… nothing found
Searching for Adore Worm… nothing found
Searching for ShitC Worm… nothing found
Searching for Omega Worm… nothing found
Searching for Sadmind/IIS Worm… nothing found
Searching for MonKit… nothing found
Searching for Showtee… Warning: Possible Showtee Rootkit installed
Searching for OpticKit… nothing found
Searching for T.R.K… nothing found
Searching for Mithra… nothing found
Searching for OBSD rk v1… nothing found
Searching for LOC rootkit… nothing found
Searching for Romanian rootkit… /usr/include/file.h /usr/include/proc.h
Searching for Suckit rootkit… nothing found
Searching for Volc rootkit… nothing found
Searching for Gold2 rootkit… nothing found
Searching for TC2 Worm default files and dirs… nothing found
Searching for Anonoying rootkit default files and dirs… nothing found
Searching for ZK rootkit default files and dirs… nothing found
Searching for ShKit rootkit default files and dirs… nothing found
Searching for AjaKit rootkit default files and dirs… nothing found
Searching for zaRwT rootkit default files and dirs… nothing found
Searching for Madalin rootkit default files… nothing found
Searching for anomalies in shell history files… nothing found
Checking `asp’… not infected
Checking `bindshell’… INFECTED (PORTS: 1008)
Checking `lkm’… You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs’… not found
Checking `sniffer’… lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[27847])
eth1: not promisc and no packet sniffer sockets
Checking `w55808′… not infected
Checking `wted’… nothing deleted
Checking `scalper’… not infected
Checking `slapper’… not infected
Checking `z2′… nothing deleted

看來這一台主機中毒很深，如果發現到木馬，網管的主控權恐怕早已經交出去了，趕緊備份重要資料，準備重灌吧！

至於 eth0: PACKET SNIFFER(/sbin/dhclient[27847]) 這一個問題，應該不是木馬所引起的，只要有裝 MRTG 等類似監控分析流量的程式就會被 chkrootkit 誤認為是嗅探器(sniffer)，不過還是要注意一下。

dabian vim 的設定

這樣顏色就會出現了，我們在閱讀上就比較不會那麼吃力了!!
試試看吧!!

        開始追查，挖靠!!主機裡真的被放進了一個新網站，還真是著時的嚇了一跳，先拷貝一份起來(先求自保)，在把 Apache 關掉，先研究一下這個假網站，不過還真做的一模一樣！

        大概過沒多久，我的信箱就多了一封信，原來是那個人已經發現網站被移除了，寫信過來罵我，FxxK U，接下來 root 的密碼就被改掉了，可見他不是經由 Apache 進來的，當下手摸著鍵盤，盯著螢幕發呆，可見我有點手足無措.....

        呆了大概五分鐘之後，先想辦法把 root 權限奪回來吧！這時候 root 不管設什麼密碼都沒用了，雖然沒用不過還是有一些後續的事情要處理，沒有 root 辦不了事，打開 webmin 哈哈，沒想到還來這一招吧，先拿下 root ，安裝 chkrootkit ，抓到木馬!!

重點訊息如下：

Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command

        靠!! /sbin/init ，真夠狠，把他刪了就不能開機嘍，跑到大陸的駭客網站看一下到底是什麼手法，搜尋一下 Suckit rootkit 就找到了，還真是公開阿，原來這是一套核心溢位的的攻擊手法，2.4.18以下的都適用，而且還會在你的電腦裡放置"嗅探器"，難怪我輸入什麼密碼都沒用，最強的是，你在 PS 裡完全看不到它在運行的程序，這裡有詳細方法(http://www.phrack.org/show.php?p=58&a=7)，有興趣自己研究，

        而有使用 debian 的朋友，如果你還在用 2.4 的核心，建議你趕快升級一下吧!!不然的話被盯上可就不好了，因為 debian 官網也曾經被這種程式攻擊成功過(http://moto.debian.org.tw/viewtopic.php?t=2446) 主機關閉了幾天重灌，現在核心也已經更新完畢，加了兩道防火牆，等待下一次的挑戰吧!!(苦笑)

Suckit rootkit 進化核心 2.6

http://blog.linux.org.tw/~timhsu/archives/2005_03.html

        windows 上我們習慣用 ghost，linux 當然也是用 ghost 比較方便，雖然很芭樂，但是好用就好，其實看過許多的方式，ghost 的確是比較方便的，操作介面上也比較上手。

[ 執行前須注意事項 ]

1. 準備一個 FAT32 的磁區，要從主硬碟裡分割出，或是另外增加一個新硬碟，都可以。
    
2. 如果你的系統要完整的備份成一個影像檔，那你的 linux 系統檔案就必須全部安裝在 " / "(根目錄)以下，也就是說 /home /var 或是其他的目錄，都不能安裝在其他磁區，若你不想這樣，那就要分磁區來做影像檔，一個磁區作一個，這樣才能達到完整備份，但是這樣的做法比較有彈性一點，可以斟酌使用。
     
3. 準備一張 linux 的開機片，或是安裝光碟，可以開機就可以，因為 ghost 無法備份 MBR，所以當我們將系統還原回去後，會無法開機，所以要有光碟片進入系統來重建 MBR。

[ 實作篇 ]

當上面的行前準備都做好時，我們就可以來實做一下嘍！

1.備份篇
        用 ghost 光碟來開機，進入程式之後，就跟我們備份 windows 步驟一樣，指定要備份磁區，指定存放的磁區。

建議使用：Local → Partition → To Image

        選擇 Image 這樣的話，如果以後換硬碟的話，就不用擔心硬碟不同而還原不回去的情形了，當然也可以選 disk，會連分割區一起備份，請依個人喜好斟酌使用。

2.還原篇
        用 ghost 光碟來開機，還原我們備份的 Image 檔案，重開機之後，你會發現無法開進 linux，那是因為我們剛剛說的 MBR 的問題，免驚，用 linux 光碟開機 (這裡示範的是安裝片)，看到 boot: 之後輸入：rescue root=/dev/hda1，開進系統後，下達 lilo -v，如果沒有任何錯誤訊息，再重新開機即可。

bandwidthd 圖型化是以網段中各自獨立的 IP 為對象，它可以不同的色彩來顯示 HTTP, TCP, UDP, ICMP, VPN 以及 P2P 協定的交通流量。

和 MRTG 不同的是，bandwidthd 追蹤的是各別的 IP 用量，而不像 MRTG 是顯示某一網路介面的總量，對於網管人員而言，bandwidthd 可說是一項好用的利器。

下載位址：
http://sourceforge.net/project/showfiles.php?group_id=89685&release_id=18485

[ 安裝 ]
bandwidthd 的安裝方法可說十分簡單，首先您要檢查一下基本的配備是否充足：

須先安裝有以下函式庫：
libpcap ( http://www.tcpdump.org/ )
libpng (http://www.libpng.org/ )
libgd ( http://www.boutell.com/gd/ )

備註：
[ dabian apt-get ]
apt-get install libgd-dev
apt-get install libpng3-dev
apt-get install libpcap-dev

系統須有支援 System V IPC (大部份 Unix/Linux 都有) 接著，便可來安裝 bandwidthd 啦!

1.將新版的 bandwidthd-1.2.0.tgz 抓回來。

2.以 root 身份執行以下動作

3.至此即已安裝完成，它會將 bandwidthd 安裝 至 /usr/local/bandwidthd 下，夠簡單吧！

[ 設定 ]
1.編輯 /usr/local/bandwidthd/etc/bandwidthd.conf

2.把其中 subnet 的設定設好即可，以 203.68.102.0/26 四分之一網段為例：
subnet 203.68.102.0 255.255.255.192

3.存檔之後，便可準備執行 /usr/local/bandwidthd/bandwidthd

[ 顯示 ]
在您的 web 主目錄下執行：
ln -s /usr/local/bandwidthd/htdocs bandwidthd

接著您便可用 http://您的主機/bandwidthd
看到網路中各主機的頻寬使用情況啦!

[ 官方 domo 頁面 ]
http://bandwidthd.sourceforge.net/demo/

　　防火牆是做啥用的？很多人常常把防火牆跟防毒軟體搞混，其實這兩種軟體性質是截然不同的，防毒軟體就是在防止一些惡意的程式來破壞主機或盜取主機資料的軟體；而防火牆的功能就是在阻擋這一些來自網路上的惡意連線的入侵、或是植入病毒，所以這兩種軟體是相輔相成的。

　　廣義的來說，只要能夠分析與過濾進入我們管理之網域的封包資料，就可以稱為防火牆。

　　其實設定防火牆，並沒有想像中那麼難，簡易的防火牆設定，只要幾行規則，就可以達到不錯的效果，先了解到 iptables 的一些規則：

先觀察主機中，iptables 的列表：

上面是一般主機尚未進行規則設定的列表

INPUT 進入主機封包的狀態
FORWARD 封包轉向的狀態
OUTPUT 出去主機封包的狀態

　　後面接的 ACCEPT 意思是開放，也就是說目前三種封包狀態都是開放，不管是什麼封包通通照單全收，這一種情形對主機來說是很危險的。

　　一般來講，訂定 iptables 規則時，INPUT 通常都會定的很嚴格，反之，FORWARD、OUTPUT 就會定的比較鬆，有時甚至是全部 ACCEPT，其實是看使用者習慣的問題，依照不同情形制定規則，不過 INPUT 這部分是比較需要下工夫的。

開始制定規則：

開始寫規則前，必須將之前的規則全部清空

請注意，如果在遠端連線的時候，『這三個指令必須要用 scripts 來連續執行』， 不然肯定『會讓您自己被主機擋在門外！』

加入簡易的防火牆設定：