Linux安全策略與實(shí)例

第1章 Linux系統(tǒng)簡介　1
1.1 Linux的發(fā)展歷史　1
1.2 Linux與GNU、GPL以及POSIX的關(guān)系　2
1.2.1 GNU　2
1.2.2 GPL　2
1.2.3 POSIX　3
1.3 Linux的特性　3
1.4 Linux的應(yīng)用領(lǐng)域　4
1.5 Linux的內(nèi)核及發(fā)行版本　5
1.6 常見的Linux發(fā)行版本　5
1.6.1 Red Hat Linux　5
1.6.2 Fedora Core/Fedora　6
1.6.3 Debian　6
1.6.4 Ubuntu　7
1.6.5 SuSE Linux　7
1.7 Linux的主要組成部分　7
1.7.1 內(nèi)核　8
1.7.2 Shell　8
1.7.3 文件結(jié)構(gòu)　8
1.7.4 實(shí)用工具　9
1.8 Linux最新內(nèi)核版本的新特性　10
第2章 Linux系統(tǒng)啟動(dòng)安全　11
2.1 引導(dǎo)裝載程序原理　11
2.2 Linux系統(tǒng)運(yùn)行級別　12
2.3 LILO引導(dǎo)裝載程序　13
2.4 GRUB引導(dǎo)裝載程序　15
2.5 Linux系統(tǒng)啟動(dòng)安全保障技術(shù)　17
2.5.1 卸載LILO防止入侵　17
2.5.2 為LILO的單用戶模式添加口令　18
2.5.3 加固GRUB　19
第3章 Linux文件系統(tǒng)安全　20
3.1 Linux文件系統(tǒng)基本原理和概念　20
3.1.1 Linux常用的文件系統(tǒng)　20
3.1.2 Linux文件　23
3.1.3 Linux目錄　24
3.1.4 Linux目錄結(jié)構(gòu)　26
3.2 文件/目錄訪問權(quán)限管理　27
3.2.1 文件/目錄訪問權(quán)限　27
3.2.2 使用chmod改變文件/目錄的訪問權(quán)限　28
3.2.3 使用命令chown更改文件/目錄的所有權(quán)　30
3.2.4 使用setuid/setgid改變執(zhí)行權(quán)限　30
3.3 使用文件系統(tǒng)檢查工具保證文件系統(tǒng)安全　32
3.3.1 Tripwire工具簡介　32
3.3.2 Tripwire工作原理　32
3.3.3 安裝Tripwire　38
3.3.4 配置和使用Tripwire　38
3.3.5 使用Tripwire進(jìn)行文件監(jiān)控　42
3.3.6 使用Tripwire的技巧　43
第4章 Linux用戶和組管理安全　44
4.1 Linux下的用戶和組管理安全概述　44
4.2 幾個(gè)關(guān)鍵的用戶和組文件　44
4.2.1 用戶賬號文件——passwd　44
4.2.2 用戶影子文件——shadow　46
4.2.3 用戶組賬號文件——group　48
4.2.4 組賬號文件——gshadow　49
4.2.5 Linux用戶口令加密函數(shù)　50
4.2.6 使用pwck和grpck命令驗(yàn)證用戶和組文件　50
4.3 安全管理用戶和組　53
4.3.1 使用useradd命令添加用戶　53
4.3.2 使用usermod命令修改用戶信息　55
4.3.3 使用userdel命令刪除用戶　55
4.3.4 使用groupadd命令創(chuàng)建用戶組　55
4.3.5 使用groupmod命令修改用戶組屬性　56
4.3.6 使用groupdel命令刪除用戶組　57
4.4 用戶口令的安全性保證　57
4.4.1 安全用戶口令的設(shè)定原則　57
4.4.2 使用密碼分析工具驗(yàn)證　58
4.5 用戶和組文件的安全性保證　60
4.6 使用嵌入式認(rèn)證模塊-PAM　61
4.6.1 PAM的起源　61
4.6.2 Linux-PAM的分層體系結(jié)構(gòu)　62
4.6.3 Linux-PAM的應(yīng)用　62
第5章 Linux進(jìn)程管理安全　67
5.1 Linux中的進(jìn)程原理　67
5.1.1 進(jìn)程類型　67
5.1.2 進(jìn)程的狀態(tài)　67
5.1.3 進(jìn)程的主要工作模式　68
5.1.4 Linux下的守護(hù)進(jìn)程　69
5.1.5 Linux系統(tǒng)關(guān)鍵進(jìn)程介紹　69
5.2 Linux進(jìn)程管理　71
5.2.1 使用ps命令查看進(jìn)程狀態(tài)　71
5.2.2 使用top命令查看進(jìn)程狀態(tài)　73
5.2.3 使用kill命令終止進(jìn)程　74
5.2.4 使用sleep命令暫停進(jìn)程　75
5.2.5 使用nice改變進(jìn)程執(zhí)行優(yōu)先級　76
5.2.6 使用renice修改優(yōu)先級　76
5.2.7 使用pgrep命令查找進(jìn)程　76
5.3 Linux進(jìn)程文件系統(tǒng)PROC　77
5.3.1 使用PROC查看進(jìn)程　77
5.3.2 內(nèi)核模塊介紹　79
5.3.3 PROC常用的調(diào)用接口　81
第6章 Linux中的日志管理　85
6.1 Linux日志管理簡介　85
6.2 Linux中基本日志管理機(jī)制　86
6.2.1 who命令　86
6.2.2 users命令　87
6.2.3 last命令　87
6.2.4 ac命令　87
6.2.5 lastlog命令　88
6.3 使用syslog設(shè)備　88
6.3.1 syslog簡介　88
6.3.2 syslog配置文件　88
6.3.3 syslog進(jìn)程　90
6.3.4 實(shí)際應(yīng)用中的syslog調(diào)用接口　91
6.4 Linux日志使用注意事項(xiàng)　93
6.5 Linux日志輸出查看方式　93
6.5.1 dmesg　93
6.5.2 tail　95
6.5.3 more和less　95
6.5.4 其他方式　97
第7章 Linux磁盤安全管理　98
7.1 安全管理磁盤　98
7.1.1 磁盤存儲設(shè)備的命名　98
7.1.2 管理磁盤空間　99
7.2 硬件狀態(tài)監(jiān)控　106
7.2.1 獲取和安裝dmidecode工具　106
7.2.2 使用硬件狀態(tài)監(jiān)控工具　106
7.3 安全管理磁盤陣列　108
7.3.1 磁盤陣列原理　108
7.3.2 磁盤陣列的分類　108
7.3.3 Linux下使用磁盤陣列　110
7.4 Linux下的備份機(jī)制　113
7.4.1 常用備份命令　113
7.4.2 常用開源備份軟件　115
7.4.3 備份策略　117
第8章 SELinux原理　121
8.1 Linux操作系統(tǒng)安全性分析　121
8.1.1 Linux操作系統(tǒng)安全級別　121
8.1.2 Linux操作系統(tǒng)主要安全機(jī)制　123
8.2 操作系統(tǒng)安全原理　124
8.2.1 BLP安全模型　124
8.2.2 RBAC模型　125
8.2.3 多級別安全機(jī)制　126
8.2.4 常見的操作系統(tǒng)加固技術(shù)　127
8.3 SELinux：Linux安全增強(qiáng)機(jī)制　128
8.3.1 SELinux的來源　128
8.3.2 SELinux機(jī)制介紹　128
8.3.3 SELinux與傳統(tǒng)Linux的區(qū)別　129
8.3.4 SELinux中的上下文　130
8.3.5 SELinux中的目標(biāo)策略　134
8.3.6 SELinux配置文件和策略目錄介紹　140
8.3.7 使用SELinux的準(zhǔn)備　142
8.3.8 SELinux中布爾變量的使用　145
8.4 國內(nèi)外相關(guān)安全標(biāo)準(zhǔn)概述　148
第9章 Linux網(wǎng)絡(luò)原理　151
9.1 計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)和參考模型　151
9.1.1 計(jì)算機(jī)網(wǎng)絡(luò)簡介及模型　151
9.1.2 OSI七層模型　152
9.1.3 TCP/IP四層模型　154
9.2 TCP/IP協(xié)議棧原理　155
9.2.1 IP　156
9.2.2 TCP　159
9.2.3 UDP　161
9.3 IPv6　162
9.4 重要相關(guān)協(xié)議介紹　164
9.4.1 ICMP　164
9.4.2 ARP/RARP　165
9.4.3 SNMP　167
9.5 Linux重要網(wǎng)絡(luò)應(yīng)用端口　168
9.5.1 端口技術(shù)原理　168
9.5.2 端口分類　169
9.5.3 常用端口介紹　169
9.5.4 網(wǎng)絡(luò)端口掃描工具nmap　170
9.6 Linux網(wǎng)絡(luò)安全管理命令　174
9.6.1 ifconfig：網(wǎng)絡(luò)配置命令　174
9.6.2 ifup/ifdown：網(wǎng)卡激活/停用命令　175
9.6.3 hostname：主機(jī)名更改命令　175
9.6.4 route：路由配置命令　175
9.6.5 ping：網(wǎng)絡(luò)連通測試命令　176
9.6.6 Traceroute：網(wǎng)絡(luò)路徑跟蹤命令　176
9.6.7 netstat：網(wǎng)絡(luò)狀態(tài)查詢命令　176
9.6.8 arp命令　177
9.6.9 arpwatch：監(jiān)聽ARP記錄命令　177
9.7 使用xinetd管理Linux網(wǎng)絡(luò)服務(wù)　177
9.7.1 xinetd原理　177
9.7.2 /etc/xinetd.conf文件　178
9.7.3 xinetd服務(wù)配置文件　179
9.7.4 通過文件配置使用xinetd　180
9.7.5 通過圖形用戶界面配置使用xinetd　181
第10章 Linux網(wǎng)絡(luò)安全威脅　182
10.1 網(wǎng)絡(luò)安全簡介　182
10.1.1 網(wǎng)絡(luò)信息安全的要素　184
10.1.2 網(wǎng)絡(luò)中存在的威脅　185
10.1.3 網(wǎng)絡(luò)信息安全領(lǐng)域的研究重點(diǎn)　185
10.2 Linux網(wǎng)絡(luò)面臨的常見威脅　187
10.2.1 端口掃描　187
10.2.2 主機(jī)掃描　188
10.2.3 操作系統(tǒng)“指紋”掃描　189
10.2.4 木馬　189
10.2.5 DoS攻擊和DDoS攻擊　192
10.2.6 Linux下的病毒　196
10.2.7 IP地址欺騙　198
10.2.8 ARP欺騙　198
10.2.9 網(wǎng)絡(luò)釣魚　198
10.2.10 僵尸網(wǎng)絡(luò)　201
10.2.11 跨站腳本攻擊　202
10.2.12 零日攻擊　202
第11章 構(gòu)建安全的DNS服務(wù)　204
11.1 DNS服務(wù)安全簡介　204
11.1.1 DNS服務(wù)簡介　204
11.1.2 DNS服務(wù)存在的問題和面臨的威脅　207
11.2 安裝DNS的最新版本　208
11.3 正確配置DNS相關(guān)文件　209
11.3.1 幾個(gè)重要的DNS服務(wù)器配置文件類型　209
11.3.2 named.conf主配置文件　210
11.3.3 區(qū)文件　212
11.3.4 DNS服務(wù)器配置實(shí)例　213
11.3.5 使用Dlint工具進(jìn)行DNS配置文件檢查　215
11.3.6 使用命令檢驗(yàn)DNS功能　216
11.4 配置輔助域名服務(wù)器進(jìn)行冗余備份　219
11.5 配置高速緩存服務(wù)器緩解DNS訪問壓力　220
11.6 配置DNS負(fù)載均衡　222
11.7 安全配置和使用DNS　222
11.7.1 限制名字服務(wù)器遞歸查詢功能　222
11.7.2 限制區(qū)傳送　222
11.7.3 限制查詢　223
11.7.4 分離DNS　223
11.7.5 隱藏BIND的版本信息　224
11.7.6 使用非root權(quán)限運(yùn)行BIND　224
11.7.7 刪除DNS上不必要的其他服務(wù)　225
11.7.8 合理配置DNS的查詢方式　225
11.8 使用dnstop監(jiān)控DNS流量　226
第12章 構(gòu)建安全的Web服務(wù)　 228
12.1 Web服務(wù)器簡介　228
12.1.1 HTTP基本原理　228
12.1.2 Apache服務(wù)器簡介　229
12.2 Apache服務(wù)器面臨的網(wǎng)絡(luò)威脅　231
12.3 安裝Apache的最新版本　231
12.3.1 獲取Apache安裝包　231
12.3.2 使用httpd-2.2.11.tar.gz軟件包安裝Apache　232
12.3.3 使用httpd-2.2.11.tar.bz2軟件包安裝Apache　232
12.4 安全配置Apache服務(wù)器　233
12.4.1 httpd.conf配置文件格式　233
12.4.2 安全設(shè)定httpd.conf文件中的全局配置選項(xiàng)　234
12.5 使用特定的用戶運(yùn)行Apache服務(wù)器　237
12.6 配置隱藏Apache服務(wù)器的版本號　238
12.7 實(shí)現(xiàn)訪問控制　240
12.7.1 訪問控制常用配置指令　240
12.7.2 使用.htaccess文件進(jìn)行訪問控制　241
12.8 使用認(rèn)證和授權(quán)　244
12.8.1 認(rèn)證和授權(quán)指令　244
12.8.2 管理認(rèn)證口令文件和認(rèn)證組文件　245
12.8.3 認(rèn)證和授權(quán)使用實(shí)例　245
12.9 設(shè)置虛擬目錄和目錄權(quán)限　247
12.10 使用Apache中的安全模塊　249
12.10.1 Apache服務(wù)器中安全相關(guān)模塊　249
12.10.2 開啟安全模塊　250
12.11 使用SSL保證安全　251
12.11.1 SSL簡介　251
12.11.2 Apache中運(yùn)用SSL的基本原理　252
12.11.3 安裝和啟動(dòng)SSL　254
12.12 設(shè)置虛擬主機(jī)　257
12.12.1 設(shè)置IP型虛擬主機(jī)　257
12.12.2 設(shè)置名字型虛擬主機(jī)　260
12.13 Apache日志記錄　261
第13章 構(gòu)建安全的FTP服務(wù)　265
13.1 FTP簡介　265
13.1.1 FTP協(xié)議簡介　265
13.1.2 FTP服務(wù)器連接過程及模式　265
13.1.3 FTP文件類型　266
13.1.4 FTP文件結(jié)構(gòu)　267
13.1.5 FTP傳輸模式　267
13.1.6 FTP常用命令　267
13.1.7 FTP典型消息　268
13.2 FTP服務(wù)面臨的安全威脅　268
13.3 安裝最新版本的vsftpd服務(wù)器　269
13.4 安全配置vsftpd.conf文件　270
13.4.1 設(shè)定獨(dú)立模式的相關(guān)配置　270
13.4.2 設(shè)定登錄的相關(guān)配置　271
13.4.3 設(shè)定工作目錄和chroot“監(jiān)牢”的相關(guān)配置　272
13.4.4 設(shè)定文件下載與上傳的相關(guān)配置　273
13.4.5 設(shè)定消息的相關(guān)配置　274
13.4.6 設(shè)定顯示的相關(guān)配置　274
13.4.7 設(shè)定日志的相關(guān)配置　275
13.4.8 設(shè)定連接參數(shù)　275
13.4.9 其他設(shè)定　276
13.5 安全配置vsftpd.ftpusers文件　276
13.6 安全配置vsftpd.user_list文件　277
13.7 安全使用vsftpd服務(wù)器　278
13.7.1 匿名用戶使用vsftpd服務(wù)器　278
13.7.2 本地用戶使用vsftpd服務(wù)器　279
13.7.3 虛擬用戶使用vsftpd服務(wù)器　282
13.7.4 配置vsftpd服務(wù)器在非標(biāo)準(zhǔn)端口工作　284
13.7.5 配置虛擬FTP服務(wù)器　285
13.7.6 使用Linux-PAM控制vsftpd用戶的登錄　287
13.8 安全配置Wu-ftpd　288
13.8.1 配置ftpaccess文件　288
13.8.2 配置ftphosts文件　294
13.8.3 配置/etc/ftpservers文件　295
13.8.4 配置ftpusers文件　295
第14章 構(gòu)建安全的電子郵件服務(wù)　297
14.1 電子郵件系統(tǒng)原理　297
14.1.1 郵件傳遞代理　297
14.1.2 郵件存儲和獲取代理　297
14.1.3 郵件客戶代理　298
14.1.4 電子郵件系統(tǒng)的常用協(xié)議　298
14.2 SMTP介紹　299
14.2.1 SMTP的模型　299
14.2.2 SMTP的基本命令　300
14.2.3 電子郵件的結(jié)構(gòu)　301
14.2.4 Open Relay的原理　303
14.2.5 電子郵件系統(tǒng)與DNS　304
14.3 電子郵件系統(tǒng)面臨的安全威脅　304
14.4 安全使用sendmail Server　305
14.4.1 安裝最新版本的sendmail服務(wù)器　305
14.4.2 安全設(shè)置sendmail.cf文件中的選項(xiàng)　305
14.4.3 使用sendmail.mc文件　308
14.4.4 使用access數(shù)據(jù)庫　309
14.4.5 配置帶SMTP認(rèn)證的sendmail服務(wù)器　310
14.5 安全使用Postfix電子郵件服務(wù)器　311
14.5.1 安全配置Postfix郵件服務(wù)器　311
14.5.2 Postfix使用SMTP安全認(rèn)證　313
14.6 垃圾郵件防范技術(shù)　314
14.6.1 常用技術(shù)　315
14.6.2 設(shè)置sendmail防范垃圾郵件　316
14.6.3 安全配置Postfix防范垃圾郵件　317
14.6.4 客戶端配置垃圾郵件防護(hù)功能　317
第15章 使用防火墻保證Linux網(wǎng)絡(luò)安全　322
15.1 防火墻簡介　322
15.2 防火墻的主要分類　323
15.2.1 按防火墻的軟、硬件形式劃分　323
15.2.2 按防火墻的發(fā)展技術(shù)劃分　323
15.2.3 按防火墻的結(jié)構(gòu)劃分　323
15.2.4 按防火墻的應(yīng)用部署位置劃分　324
15.3 防火墻技術(shù)及其特點(diǎn)　324
15.3.1 數(shù)據(jù)包過濾防火墻技術(shù)　324
15.3.2 應(yīng)用層網(wǎng)關(guān)防火墻技術(shù)　324
15.3.3 代理防火墻技術(shù)　325
15.4 新一代防火墻的主要技術(shù)特點(diǎn)　325
15.4.1 傳統(tǒng)防火墻的發(fā)展歷史　325
15.4.2 防火墻體系結(jié)構(gòu)　326
15.4.3 新一代分布式防火墻概述　328
15.4.4 新一代嵌入式防火墻技術(shù)　329
15.4.5 新一代智能防火墻技術(shù)　329
15.4.6 防火墻技術(shù)的發(fā)展趨勢　330
15.5 使用Netfilter/iptables防火墻框架　331
15.5.1 Netfilter/iptables框架簡介　331
15.5.2 安裝Netfilter/iptables系統(tǒng)　332
15.5.3 iptables工作原理　333
15.5.4 使用iptable的過濾規(guī)則　334
15.5.5 使用iptables保障網(wǎng)絡(luò)服務(wù)安全　337
第16章 使用IDS保證Linux網(wǎng)絡(luò)安全　340
16.1 IDS簡介　340
16.2 IDS分類　341
16.3 Snort介紹　343
16.4 安裝Snort　344
16.5 Snort的工作模式　344
16.6 使用Snort　346
16.6.1 命令簡介　346
16.6.2 查看ICMP數(shù)據(jù)報(bào)文　347
16.6.3 配置Snort的輸出方式　349
16.6.4 配置Snort規(guī)則　349
16.7 編寫Snort規(guī)則　351
16.7.1 規(guī)則動(dòng)作　352
16.7.2 協(xié)議　352
16.7.3 IP地址　352
16.7.4 端口號　353
16.7.5 方向操作符　353
16.7.6 activate/dynamic規(guī)則對　353
16.7.7 一些重要的指令　354
16.7.8 規(guī)則選項(xiàng)　354
16.7.9 一些Snort規(guī)則的應(yīng)用舉例　360
16.8 Linux內(nèi)核IDS：LIDS　361
16.8.1 LIDS簡介　361
16.8.2 LIDS安裝　362
16.8.3 配置和使用LIDS　363
第17章 構(gòu)建安全的Linux遠(yuǎn)程登錄　367
17.1 SSH服務(wù)簡介　367
17.2 安裝最新版本的OpenSSH　368
17.3 安全配置openSSH　370
17.4 SSH的密鑰管理　373
17.5 使用scp命令遠(yuǎn)程復(fù)制文件　375
17.6 使用SSH設(shè)置“加密通道”　375
17.7 配置SSH的客戶端　377
17.8 配置SSH自動(dòng)登錄　380
17.9 使用Xmanager 3.0實(shí)現(xiàn)Linux遠(yuǎn)程登錄管理　383
第18章 Linux網(wǎng)絡(luò)流量安全管理　386
18.1 網(wǎng)絡(luò)流量管理簡介　386
18.1.1 流量識別　386
18.1.2 流量統(tǒng)計(jì)分析　387
18.1.3 流量限制　388
18.1.4 其他方面　388
18.2 需要管理的常見網(wǎng)絡(luò)流量　388
18.3 網(wǎng)絡(luò)流量捕捉：圖形化工具Wireshark　389
18.3.1 Wireshark簡介　389
18.3.2 層次化的數(shù)據(jù)包協(xié)議分析方法　390
18.3.3 基于插件技術(shù)的協(xié)議分析器　391
18.3.4 安裝Wireshark　391
18.3.5 使用Wireshark　392
18.4 網(wǎng)絡(luò)流量捕捉：命令行工具tcpdump　396
18.4.1 tcpdump簡介　396
18.4.2 安裝tcpdump　396
18.4.3 使用tcpdump　397
18.5 網(wǎng)絡(luò)流量分析-NTOP　400
18.5.1 NTOP介紹　400
18.5.2 安裝NTOP　401
18.5.3 使用NTOP　402
18.6 網(wǎng)絡(luò)流量限制-TC技術(shù)　405
18.6.1 TC技術(shù)原理　405
18.6.2 使用Linux TC進(jìn)行流量控制實(shí)例　405
18.7 網(wǎng)絡(luò)流量管理的策略　409
18.7.1 管理目標(biāo)　409
18.7.2 具體策略　410
參考文獻(xiàn)　413