nmap +shell脚本实现内网端口巡检

bmwm3

　　nmap的命令很多，这里就不介绍了，想了解的话，网上很多的文章可以参考。
　　#############################################################
　　通过nmap端口扫描获取开放的端口，以达到内网体检的目的
　　#############################################################
　　1、通过salt获得主机列表
salt '*' cmd.run 'ifconfig|grep addr|sed -n "4p"|cut -d ":" -f 2|cut -d " " -f 1' > /root/hosts_list　　获得的文件内容大致如下：
　　node1:
　　192.168.2.11
　　node2:
　　192.168.2.12
　　node3:
　　192.168.2.13
　　注意：
　　主机地址一定要是上面这种结构的，不然下面的sed后的结果不是纯IP列表，发给nmap扫描会报错的。
　　2、nmap对这个主机列表进行端口扫描
　　# 注意：刚开始没显式指定端口范围，发现例如27017这些端口都没扫描出来，后来就加了-p 1-65535参数，但是发现扫描特别慢，慎重考虑。
sed -n 'n;p' /root/hosts_list|xargs -p 1-65535 nmap -sS > /tmp/port_list && egrep "Nmap scan report|open" /tmp/port_list > /tmp/list && rm -f /tmp/port_list　　获得的文件内容大致如下：
　　Nmap scan report for node1 (192.168.2.11)
　　22/tcp open  ssh
　　Nmap scan report for node2 (192.168.2.12)
　　22/tcp open  ssh
　　Nmap scan report for node3 (192.168.2.13)
　　22/tcp open  ssh
　　3、每天执行一次下面的这个脚本，获取最新的开放的端口，并比对旧的数据，发现端口异动就自动报警。
#!/bin/bash　　
# Description: nmap扫描线上服务器的开放端口
　　
# Author: lirl
　　
# Date: 2016/10/02
　　
sed -n 'n;p' /root/hosts_list|xargs nmap -p 1-65535 -sS > /tmp/port_list && egrep "Nmap scan report|open" /tmp/port_list > /tmp/list_$(date +%F)
　　
if [ $? -eq 0 ];then
　　
if ! diff /tmp/list /tmp/list_"$(date +%F)" -y -W 100 > /tmp/port_change_list 2> /dev/null ;then
　　
echo -e "[+] some port changed $(date +%F) , Please check file /tmp/port_change_list.\n"  >> /tmp/openports_stats
　　
# mail -s "Port stats Changed,Please login salt to check." xxxx@126.com < /tmp/port_change_list
　　
else
　　
echo -e "[-] none port changed $(date +%F).\n" >> /tmp/openports_stats
　　
fi
　　
fi
　　获得的/tmp/port_change_list 文件内容大致如下：
　　Nmap scan report for node1 (192.168.2.11)Nmap scan report for node1 (192.168.2.11)
　　22/tcp open  ssh22/tcp open  ssh
　　Nmap scan report for node2 (192.168.2.12)Nmap scan report for node2 (192.168.2.12)
　　22/tcp open  ssh22/tcp open  ssh
　　Nmap scan report for node3 (192.168.2.13)Nmap scan report for node3 (192.168.2.13)
　　22/tcp open  ssh22/tcp open  ssh
　　80/tcp   open  http      <
　　3306/tcp open  mysql      <
　　很明显，我们能看出哪些端口是增加的或者减少的。
　　4、如果确定当前端口是正常流程修改的，可以更新端口列表模板
cp /tmp/list_$(date +%F) /tmp/list　　基本上完成这几步骤，就差不多了，还有很多不完善的地方，等想到了在补充进来。