Linux安全技術內幕

第1章 Linux安全基礎 1
1.1 信息安全的重要性 1
1.1.1 網(wǎng)絡信息安全的基本概念 3
1.1.2 網(wǎng)絡威脅的基本表現(xiàn) 3
1.1.3 網(wǎng)絡信息安全領域的研究重點 4
1.1.4 網(wǎng)絡信息安全的五要素 5
1.1.5 經(jīng)典的P2DR模型 6
1.2 黑客攻擊的常見手段和步驟 6
1.2.1 黑客攻擊的常見方法 6
1.2.2 黑客攻擊的一般步驟 7
1.3 Linux操作系統(tǒng)的安全性 10
1.3.1 Linux操作系統(tǒng)的安全級別 10
1.3.2 現(xiàn)行Linux操作系統(tǒng)的安全機制 12
1.4 Linux網(wǎng)絡安全基礎 13
1.4.1 網(wǎng)絡基本原理 13
1.4.2 TCP/IP網(wǎng)絡 15
1.4.3 IP協(xié)議 17
1.4.4 TCP協(xié)議 19
1.4.5 UDP協(xié)議 22
1.4.6 ARP和RARP協(xié)議 23
1.4.7 ICMP協(xié)議 24
1.4.8 IPv4和IPv6 25
1.5 國內外相關安全標準概述 27
第2章 Linux概述 30
2.1 Linux的歷史 30
2.2 與Linux相關的基本概念 31
2.2.1 開源軟件 31
2.2.2 GNU 31
2.2.3 GPL 32
2.2.4 POSIX 33
2.3 Linux的主要特點 33
2.4 Linux的應用領域 34
2.5 Linux的內核及發(fā)行版本 35
2.6 常見的Linux發(fā)行版本 35
2.6.1 Red Hat Linux 35
2.6.2 Fedora Core/Fedora 36
2.6.3 Debian 37
2.6.4 Ubuntu 37
2.6.5 SuSE Linux 38
2.6.6 Mandriva 38
2.7 Linux的主要組成部分 39
2.7.1 內核 39
2.7.2 Shell 39
2.7.3 文件結構 40
2.7.4 實用工具 40
2.8 Fedora Linux的發(fā)展歷史 41
2.9 Fedora 10的主要特征 42
第3章 Fedora 10的安全安裝與啟動 44
3.1 Fedora 10的安裝 44
3.1.1 硬件需求 44
3.1.2 安裝方式 44
3.1.3 安裝過程 45
3.2 Fedora 10的啟動與登錄 56
3.2.1 安全登錄Linux 57
3.2.2 退出Linux 57
3.3 Linux的啟動安全 58
3.3.1 Linux的啟動過程 58
3.3.2 Linux的運行級別 59
3.3.3 GRUB密碼設定 60
第4章 用戶和組安全 62
4.1 用戶和組管理的基本概念 62
4.2 安全使用用戶和組文件 62
4.2.1 用戶賬號文件——passwd 63
4.2.2 用戶影子文件——shadow 64
4.2.3 組賬號文件——group 66
4.2.4 組賬號文件——gshadow 67
4.2.5 /etc/skel目錄 68
4.2.6 /etc/login.defs 配置文件 68
4.2.7 /etc/default/useradd文件 68
4.3 安全管理用戶和組工具 70
4.3.1 useradd：添加用戶工具 70
4.3.2 usermod：修改用戶信息工具 72
4.3.3 userdel：刪除用戶工具 73
4.3.4 groupadd：創(chuàng)建組工具 74
4.3.5 groupmod：修改組屬性工具 75
4.3.6 groupdel：刪除組工具 76
4.3.7 其他工具 77
4.4 使用Fedora用戶管理器管理用戶和組 77
4.4.1 啟動Fedora用戶管理器 77
4.4.2 創(chuàng)建用戶 78
4.4.4 創(chuàng)建用戶組 82
4.4.5 修改用戶組屬性 83
4.5 與用戶和組管理安全相關的其他安全機制 85
4.5.1 驗證用戶和組文件 85
4.5.2 用戶密碼的安全設定方法 87
第5章 保證Linux文件系統(tǒng)安全 89
5.1 Linux文件系統(tǒng)原理 89
5.1.1 Linux中的文件系統(tǒng)類型 89
5.1.2 Linux文件的類型 92
5.1.3 Linux中的目錄結構設定 93
5.2 安全設定文件/目錄訪問權限 95
5.2.1 文件/目錄訪問權限基本概念 95
5.2.2 改變文件/目錄的訪問權限 96
5.2.3 更改文件/目錄的所有權 98
5.2.4 改變文件的執(zhí)行權限 99
5.3 使用額外屬性保護Ext3文件系統(tǒng)安全 100
5.3.1 Ext3中的額外屬性 100
5.3.2 使用Ext3文件系統(tǒng)的屬性 102
5.3.3 Ext3屬性和文件權限的區(qū)別 102
5.3.4 使用chattr 104
5.4 使用加密文件系統(tǒng) 104
5.4.1 內核準備 105
5.4.2 創(chuàng)建加密設備 106
5.4.3 卸載加密設備 109
5.4.4 重新裝載加密設備 109
5.4.5 在Linux系統(tǒng)安裝時使用EFS 109
第6章 Linux系統(tǒng)安全增強技術 111
6.1 Linux安全增強的經(jīng)典模型 111
6.1.1 BLP安全模型 111
6.1.2 基于角色的訪問控制模型 112
6.1.3 多級別安全機制 113
6.1.4 操作系統(tǒng)安全加固方法 114
6.2 SELinux：Linux安全增強機制 115
6.2.1 SELinux的歷史 116
6.2.2 SELinux基本原理 116
6.2.3 SELinux相對于傳統(tǒng)機制的優(yōu)勢 117
6.2.4 SELinux中的上下文 117
6.2.5 SELinux中的目標策略 123
6.2.6 使用SELinux配置文件和策略目錄 134
6.2.7 使用SELinux的先決條件 136
6.2.8 SELinux中的布爾變量 140
第7章 Linux進程安全 143
7.1 Linux進程的基本原理 143
7.1.1 進程類型 143
7.1.2 進程的狀態(tài) 143
7.1.3 進程的工作模式 144
7.1.4 進程與線程的區(qū)別 145
7.2 Linux下的守護進程 145
7.2.1 守護進程基本原理 145
7.2.2 Linux下的重要守護進程 146
7.3 安全管理Linux進程 147
7.3.1 手工啟動Linux進程 147
7.3.2 自動執(zhí)行進程 148
7.3.3 資源空閑時執(zhí)行進程 150
7.3.4 周期性執(zhí)行進程 150
7.3.5 操作cron后臺進程 151
7.3.6 掛起及恢復進程 153
7.4 查看及終止進程 154
7.4.1 使用ps命令查看進程狀態(tài) 154
7.4.2 使用top命令查看進程狀態(tài) 156
7.4.3 使用kill命令終止進程 157
7.4.4 使用sleep命令暫停進程 158
7.5 安全管理每個進程的系統(tǒng)資源 158
7.5.1 限制進程創(chuàng)建大型文件 158
7.5.2 限制單個用戶調用的最大子進程個數(shù) 160
7.6 進程文件系統(tǒng)PROC 161
第8章 Linux日志管理安全 164
8.1 Linux日志管理簡介 164
8.2 Linux下重要日志文件介紹 165
8.2.1 /var/log/boot.log 165
8.2.2 /var/log/cron 166
8.2.3 /var/log/maillog 166
8.2.4 /var/log/syslog 166
8.2.5 /var/log/wtmp 168
8.2.6 /var/run/utmp 168
8.2.7 /var/log/xferlog 168
8.3 Linux下基本日志管理機制 169
8.3.1 who命令 169
8.3.2 users命令 170
8.3.3 last命令 171
8.3.4 ac命令 172
8.3.5 lastlog命令 173
8.4 使用syslog設備 173
8.4.1 syslog簡介 173
8.4.2 syslog配置文件 173
8.4.3 syslog進程 175
8.5 Linux日志使用的重要原則 176
8.6 Linux日志輸出查看方式 176
8.6.1 dmesg 176
8.6.2 tail 177
8.6.3 more和less 178
8.6.4 其他方式 179
第9章 xinetd安全管理Linux網(wǎng)絡服務 180
9.1 xinetd原理 180
9.2 xinetd服務配置文件 181
9.3 通過文件配置使用xinetd 183
9.4 通過圖形用戶界面進行配置使用xinetd 184
第10章 DHCP服務安全 185
10.1 DHCP原理 185
10.1.1 DHCP簡介 185
10.1.2 DHCP的工作流程 185
10.2 安裝和啟動DHCP服務器 186
10.2.1 安裝DHCP服務器 186
10.2.2 啟動和關閉DHCP服務器 187
10.3 安全配置DHCP服務 188
10.3.1 DHCP服務器配置文件 188
10.3.2 DHCP服務器配置實例 190
10.3.3 指定DHCP為指定網(wǎng)卡服務 191
10.4 安全配置DHCP客戶端 192
10.4.1 圖形界面配置Linux客戶端 192
10.4.2 配置文件配置Linux客戶端 192
10.5 使用chroot保證DHCP運行安全 193
10.5.1 下載和安裝Jail軟件 194
10.5.2 使用Jail創(chuàng)建chroot牢籠 195
第11章 DNS服務安全 198
11.1 DNS域名服務原理簡介 198
11.1.1 DNS簡介 198
11.1.2 DNS系統(tǒng)組成及基本概念 199
11.1.3 DNS服務器的類型 200
11.1.4 DNS的工作原理 200
11.2 安裝和啟動DNS服務器 201
11.2.1 安裝DNS服務器 201
11.2.2 啟動和關閉DNS服務器 202
11.3 安全配置DNS服務器 202
11.3.1 DNS服務器配置文件類型 202
11.3.2 named.conf主配置文件 203
11.3.3 區(qū)文件 204
11.3.4 DNS服務器配置實例 205
11.3.5 安全配置DNS客戶端 207
11.4 安全使用DNS服務器的高級技巧 208
11.4.1 配置輔助域名服務器做到冗余備份 208
11.4.2 配置高速緩存服務器提高DNS服務器性能 210
11.4.3 配置DNS負載均衡防止服務器宕機 211
11.4.4 配置智能DNS高速解析 212
11.4.5 合理配置DNS的查詢方式提高效率 215
11.4.6 使用dnstop監(jiān)控DNS流量 216
11.4.7 使用DNSSEC技術保護DNS安全 217
第12章 郵件服務安全 220
12.1 郵件系統(tǒng)簡介 220
12.1.1 郵件傳遞代理（MTA） 220
12.1.2 郵件存儲和獲取代理（MSA） 220
12.1.3 郵件客戶代理（MUA） 221
12.2 SMTP介紹 221
12.2.1 SMTP的模型 221
12.2.2 SMTP的基本命令 222
12.3 安裝與啟動Sendmail 223
12.4 安全配置sendmail.cf 224
12.5 安全配置sendmail.mc文件 227
12.6 防治垃圾郵件 228
12.6.1 常用技術 228
12.6.2 配置Sendmail防范垃圾郵件 229
12.6.3 使用SpamAssasin防治垃圾郵件 230
第13章 FTP服務安全 234
13.1 FTP簡介 234
13.1.1 FTP協(xié)議介紹 234
13.1.2 FTP文件類型 235
13.1.3 FTP文件結構 236
13.1.4 FTP傳輸模式 236
13.1.5 FTP常用命令 236
13.1.6 FTP典型消息 237
13.2 安裝和啟動vsftpd服務器 238
13.2.1 安裝vsftpd 238
13.2.2 啟動和關閉vsftpd 238
13.2.3 安全配置ftpusers文件 241
13.2.4 安全配置user_list文件 241
13.2.5 安全配置vsftpd.conf文件 242
13.2.6 配置其他一些安全選項 245
13.3 安全使用vsftpd服務器 246
13.3.1 匿名用戶使用vsftpd服務器 246
13.3.2 本地用戶使用vsftpd服務器 247
13.3.3 虛擬用戶使用vsftpd服務器 249
13.3.4 配置vsftpd服務器中chroot 252
13.3.5 配置vsftpd服務器在非標準端口工作 252
13.3.6 配置虛擬FTP服務器 253
13.3.7 使用主機訪問控制 255
第14章 Web服務安全 257
14.1 Web服務器簡介 257
14.1.1 HTTP基本原理 257
14.1.2 Apache服務器簡介 258
14.2 安裝Apache的最新版本 260
14.3 配置Apache服務器主文件 260
14.4 使用特定的用戶運行Apache服務器 265
14.5 配置隱藏Apache服務器的版本號 266
14.6 實現(xiàn)訪問控制 268
14.6.1 訪問控制常用配置指令 268
14.6.2 使用.htaccess文件進行訪問控制 269
14.7 使用認證和授權保護Apache 272
14.7.1 認證和授權指令 272
14.7.2 管理認證口令文件和認證組文件 273
14.7.3 認證和授權使用實例 274
14.8 設置虛擬目錄和目錄權限 275
14.9 使用Apache中的安全模塊 277
14.9.1 Apache服務器中安全相關模塊 277
14.9.2 開啟安全模塊 278
14.10 使用SSL保證安全 278
14.10.1 SSL簡介 278
14.10.2 Apache中運用SSL的基本原理 279
14.10.3 安裝和啟動SSL 284
14.11 Apache日志管理 287
14.11.1 日志管理概述 287
14.11.2 日志相關的配置指令 287
14.11.3 日志記錄等級和分類 288
14.11.4 幾個重要的日志文件 289
第15章 代理服務安全 293
15.1 代理服務器簡介 293
15.2 Squid簡介 294
15.3 安裝和啟動Squid Server 295
15.3.1 安裝Squid Server 295
15.3.2 啟動和關閉Squid Server 295
15.4 在客戶端使用Squid Server 296
15.4.1 在IE瀏覽器設置 296
15.4.2 在Linux瀏覽器中設置 297
15.5 安全配置Squid Server 299
15.5.1 配置Squid Server的基本參數(shù) 299
15.5.2 配置Squid Server的安全訪問控制 301
15.5.3 配置Squid Server的簡單實例 306
15.6 安全配置基于Squid的透明代理 306
15.6.1 Linux內核的相關配置 306
15.6.2 Squid的相關配置選項 308
15.6.3 iptables的相關配置 308
15.7 安全配置多級緩存改善Proxy服務器的性能 308
15.7.1 多級緩存簡介 308
15.7.2 配置多級緩存 309
15.8 Squid日志管理 311
15.8.1 配置文件中有關日志的選項 311
15.8.2 日志管理主文件——accesss.conf 312
第16章 防火墻技術 315
16.1 防火墻技術原理 315
16.1.1 防火墻簡介 315
16.1.2 防火墻的分類 317
16.1.3 傳統(tǒng)防火墻技術 318
16.1.4 新一代防火墻 319
16.1.5 防火墻技術的發(fā)展趨勢 321
16.1.6 防火墻的配置方式 323
16.2 Netfilter/iptables防火墻框架 323
16.2.1 簡介 323
16.2.2 安裝和啟動Netfilter/iptables系統(tǒng) 324
16.2.3 iptables基本原理 326
16.3 iptables簡單應用 327
16.4 使用IPtables完成NAT功能 331
16.4.1 NAT簡介 331
16.4.2 NAT的原理 332
16.4.3 NAT具體使用 333
16.5 防火墻與DMZ 336
16.5.1 DMZ原理 336
16.5.2 構建DMZ 337
第17章 入侵檢測技術 341
17.1 入侵檢測系統(tǒng)簡介 341
17.2 入侵檢測技術的發(fā)展 342
17.3 入侵檢測的分類 343
17.3.1 入侵檢測技術分類 343
17.3.2 入侵檢測系統(tǒng)分類 345
17.4 Snort簡介 347
17.5 安裝Snort 348
17.6 Snort的工作模式 349
17.6.1 嗅探器模式 349
17.6.2 數(shù)據(jù)包記錄器 349
17.6.3 網(wǎng)絡入侵檢測模式 350
17.7 Snort的使用方式 350
17.7.1 命令簡介 350
17.7.2 查看ICMP數(shù)據(jù)報文 351
17.7.3 配置Snort的輸出方式 353
17.7.4 配置Snort規(guī)則 353
17.8 自己動手編寫Snort規(guī)則 355
17.8.1 規(guī)則動作 355
17.8.2 協(xié)議 356
17.8.3 IP地址 356
17.8.4 端口號 356
17.8.5 方向操作符 357
17.8.6 activate/dynamic規(guī)則 357
17.8.7 一些重要的指令 357
17.8.8 一些重要的規(guī)則選項 358
17.8.9 使用Snort檢測攻擊 364
17.9 使用Snortcenter構建分布式入侵檢測系統(tǒng) 366
17.9.1 分布式入侵檢測系統(tǒng)的構成 366
17.9.2 系統(tǒng)安裝及部署 367
第18章 Linux集群技術 369
18.1 集群技術 369
18.1.1 集群簡介 369
18.1.2 集群系統(tǒng)的分類 370
18.1.3 高可用集群 370
18.1.4 高性能計算集群 371
18.2 Linux中的集群 372
18.2.1 Linux集群分類 372
18.2.2 科學集群 372
18.2.3 負載均衡集群 374
18.2.4 高可用性集群 376
18.3 LVS 377
18.3.1 LVS原理 377
18.3.2 安裝LVS 381
18.3.3 配置和使用LVS 382
第19章 VPN技術 385
19.1 VPN技術原理 385
19.1.1 VPN簡介 385
19.1.2 VPN的分類 386
19.2 Linux下的VPN 388
19.2.1 IPSec VPN 388
19.2.2 PPP Over SSH 389
19.2.3 CIPE：Crypto IP Encapsulation 389
19.2.4 SSL VPN 390
19.2.5 PPTP 390
19.3 使用OpenVPN 391
19.3.1 OpenVPN簡介 391
19.3.2 安裝OpenVPN 391
19.3.3 制作證書 392
19.3.4 配置服務端 396
19.3.5 配置客戶端 398
19.3.6 配置實例 398
第20章 Samba共享服務安全 400
20.1 Samba服務簡介 400
20.1.1 Samba工作原理 400
20.1.2 Samba服務器的功能 401
20.1.3 SMB協(xié)議 401
20.1.4 Samba服務的工作流程 401
20.2 安裝和啟動Samba 402
20.3 安全配置Samba服務器的用戶信息 404
20.3.1 創(chuàng)建服務器待認證用戶 404
20.3.2 將用戶信息轉換為Samba用戶信息 405
20.3.3 用戶轉換 405
20.3.4 Samba服務器和主瀏覽器 405
20.4 smb.conf文件配置詳解 406
20.4.1 設置工作組 407
20.4.2 設置共享Linux賬戶主目錄 407
20.4.3 設置公用共享目錄 408
20.4.4 設置一般共享目錄 409
20.4.5 設置共享打印機 410
20.4.6 具體設置實例 412
20.5 smb.conf中的選項和特定約定 421
20.6 使用testparm命令測試Samba服務器的配置安全 425
20.7 使用Samba日志 426
20.8 Linux和Windows文件互訪 426
20.8.1 Windows客戶使用Linux系統(tǒng)共享文件 426
20.8.2 用smbclient工具訪問局域網(wǎng)上的Windows系統(tǒng) 427
20.8.3 用smbclient工具訪問局域網(wǎng)上的其他系統(tǒng) 428
第21章 網(wǎng)絡文件系統(tǒng)安全 429
21.1 NFS服務概述 429
21.1.1 NFS基本原理 429
21.1.2 NFS服務中的進程 431
21.2 安裝和啟動NFS 432
21.2.1 安裝NFS 432
21.2.2 啟動NFS 432
21.3 NFS安全配置和使用 433
21.3.1 配置NFS服務器 433
21.3.2 配置NFS客戶機 433
21.3.3 安全使用NFS服務 435
21.4 圖形界面安全配置NFS服務器 436
21.5 保證NFS安全的使用原則 439
第22章 PGP安全加密技術 441
22.1 PGP技術原理 441
22.1.1 PGP簡介 441
22.1.2 PGP原理 442
22.2 使用GnuPG 447
22.2.1 GnuPG簡介 447
22.2.2 安裝GnuPG 449
22.2.3 GnuPG的基本命令 449
22.2.4 詳細使用方法 451
22.2.5 GnuPG使用實例 459
22.2.6 相關注意事項 465
第23章 PAM安全認證技術 466
23.1 PAM認證機制簡介 466
23.2 Linux-PAM的分層體系結構 467
23.2.1 分層體系結構概述 467
23.2.2 模塊層 468
23.2.3 應用接口層 468
23.3 Linux-PAM的配置 469
23.3.1 Linux-PAM單一配置文件的語法 469
23.3.2 口令映射機制 471
23.3.3 基于目錄的配置形式 472
23.4 Linux中常用的PAM安全模塊 473
23.5 Linux-PAM使用舉例 481
23.5.1 使用Linux-PAM控制用戶安全登錄 481
23.5.2 使用Linux-PAM控制Samba用戶的共享登錄 482
23.5.3 使用Linux-PAM控制FTP用戶的登錄 482
第24章 Linux面臨的網(wǎng)絡威脅及策略 485
24.1 掃描攻擊 485
24.2 木馬 488
24.3 拒絕服務攻擊和分布式拒絕服務攻擊 491
24.3.1 DoS攻擊 491
24.3.2 DDoS攻擊 494
24.4 病毒 496
24.4.1 Linux病毒的起源和歷程 496
24.4.2 病毒的主要類型 497
24.5 IP Spoofing 498
24.6 ARP Spoofing 498
24.7 Phishing 499
24.8 Botnet 501
24.9 跨站腳本攻擊 502
24.10 零日攻擊 502
24.11 “社會工程學”攻擊 503
24.12 使用備份應對網(wǎng)絡威脅 505
24.12.1 一些簡單實用的備份命令 505
24.12.2 備份機制和備份策略 506
第25章 Linux下優(yōu)秀的開源安全工具 518
25.1 Tripwire：系統(tǒng)完整性檢查工具 518
25.1.1 文件完整性檢查的必要性 518
25.1.2 Tripwire簡介 518
25.1.3 Tripwire的基本工作原理 519
25.1.4 安裝Tripwire 521
25.1.5 配置Tripwire 522
25.1.6 使用Tripwire進行文件監(jiān)控 527
25.1.7 使用Tripwire的原則和注意事項 529
25.2 John the Ripper：密碼分析及檢驗工具 529
25.2.1 John the Ripper簡介 529
25.2.2 安裝John the Ripper 530
25.2.3 基本命令和實用工具 530
25.2.4 密碼分析及檢驗 532
25.3 dmidecode：硬件狀態(tài)監(jiān)控工具 533
25.3.1 dmidecode簡介 533
25.3.2 安裝dmidecode工具 533
25.3.3 監(jiān)控硬件狀態(tài) 533
25.4 NMAP：端口掃描工具 535
25.4.1 NMAP簡介 535
25.4.2 安裝NMAP 536
25.4.3 使用NMAP進行多種掃描 537
25.5 Wireshark：網(wǎng)絡流量捕獲工具 541
25.5.1 Wireshark簡介 541
25.5.2 使用Wireshark 541
25.6 NTOP：網(wǎng)絡流量分析工具 545
25.6.1 NTOP簡介 545
25.6.2 使用NTOP 546
25.7 其他工具 549
25.7.1 安全備份工具 549
25.7.2 Nessus：網(wǎng)絡風險評估工具 552
25.7.3 Sudo：系統(tǒng)管理工具 552
25.7.4 NetCat：網(wǎng)絡安全界的瑞士軍刀 553
25.7.5 LSOF：隱蔽文件發(fā)現(xiàn)工具 554
25.7.6 Traceroute：路由追蹤工具 554
25.7.7 XProbe：操作系統(tǒng)識別工具 555
25.7.8 SATAN：系統(tǒng)弱點發(fā)現(xiàn)工具 555
附錄A Fedora 10命令參考 556
附錄B VMWare虛擬機安裝指南 617