《世界500大企业经验实录 最完整的Linux安全圣经》求取 ⇩

第1篇安全运行维护理论及背景准备2

Chapter 01知彼：企业资讯安全现状剖析2

1.1资讯安全问题概览2

1.1.1骇客入侵4

1.1.2病毒发展趋势4

1.1.3内部威胁5

1.1.4自然灾害6

1.2各经济大国安全问题概要6

1.3企业面临的主要资讯安全威胁14

1.3.1扫描14

1.3.2特洛伊木马15

1.3.3拒绝服务攻击和分散式拒绝服务攻击18

1.3.4病毒25

1.3.5IP欺骗29

1.3.6 ARP欺骗29

1.3.7网路钓鱼30

1.3.8僵尸网路34

1.3.9跨站指令稿攻击36

1.3.10缓冲区溢位攻击37

1.3.11 SQL植入攻击38

1.3.12零日攻击38

1.3.13「社会工程学」攻击39

1.3.14中间人攻击41

1.3.15密码攻击42

1.4认识骇客42

1.5剖析骇客的攻击方法44

1.5.1确定攻击目标44

1.5.2踩点和资讯搜集45

1.5.3获得许可权46

1.5.4许可权提升47

1.5.5攻击实施47

1.5.6留取后门程式48

1.5.7掩盖入侵痕迹48

Chapter 02知己：企业资讯安全技术概览49

2.1实体层防护：实体隔离49

2.2系统层防护：安全作业系统和资料库安全53

2.2.1选用安全作业系统53

2.2.2作业系统密码设定56

2.2.3资料库安全技术58

2.3网路层防护：防火墙61

2.3.1防火墙简介61

2.3.2防火墙的分类63

2.3.3传统防火墙技术65

2.3.4新一代防火墙的技术特点67

2.3.5防火墙技术的发展趋势70

2.3.6防火墙的设定方式71

2.3.7防火墙的实际安全部署建议72

2.4应用层防护：IDS／IPS75

2.4.1入侵侦测系统简介75

2.4.2入侵侦测技术的发展76

2.4.3入侵侦测技术的分类78

2.4.4入侵侦测系统的分类80

2.4.5入侵防御系统（IPS）84

2.4.6IPS的发展84

2.4.7 IPS的技术特征86

2.4.8 IPS的功能特点86

2.4.9 IPS的产品种类90

2.5闸道级防护：UTM92

2.6 Web应用综合防护：WAF93

2.7资料防护：资料加密及备份95

2.7.1加密技术的基本概念95

2.7.2加密系统的分类96

2.7.3常用的加密演算法99

2.7.4加密演算法的主要应用场景101

2.7.5资料备份及恢复技术102

2.8远端存取安全保障：VPN105

2.8.1VPN简介105

2.8.2 VPN的分类107

2.9身份认证技术110

2.9.1静态密码111

2.9.2智慧卡（IC卡）111

2.9.3简讯密码112

2.9.4动态随身认证112

2.9.5USB Key113

2.9.6生物识别技术113

2.9.7双因素身份认证113

2.10管理层：资讯安全标准化组织及标准114

2.10.1国际资讯安全标准概览114

第2篇企业Linux安全运行维护规划及选型118

Chapter 03规划：企业资讯安全工作想法119

3.1资讯安全的本质119

3.2资讯安全概念经纬线：从层次到属性121

3.3业界资讯安全专家定义的资讯安全：资讯安全四要素124

3.4企业资讯安全的实施内容和依据（框架）126

3.4.1基本原则126

3.4.2传统的企业资讯安全架构129

3.4.3新的企业资讯安全框架及其实施内涵129

3.5规划企业Linux安全的实施内容133

Chapter 04选型：企业Linux软硬体选型及安装部署135

4.1Linux应用套件选择135

4.1.1 Linux的历史135

4.1.2与Linux相关的基本概念137

4.1.3 Lin ux的主要特点140

4.1.4 Lin ux的应用领域141

4.1.5常见的Linux发行套件141

4.1.6企业的选择：Fedora vs Red Hat Enterprise Linux147

4.2 Linux核心版本选择148

4.3Linux伺服器选型149

4.3.1 CPU（处理器）149

4.3.2 RAM（记忆体）150

4.3.3处理器架构150

4.3.4伺服器类型选型152

4.4Linux安装及部署158

4.4.1注意事项158

4.4.2其他需求159

4.5大规模自动部署安装Linux159

4.5.1PXE技术160

4.5.2架设Yum软体来源160

4.5.3安装相关服务161

第3篇企业Linux安全运行维护实战166

Chapter 05高屋建瓴：「四步」完成企业Linux系统安全防护167

5.1分析：企业Linux系统安全威胁168

5.2理念：企业级Linux系统安全立体式防范系统168

5.3企业Linux档案系统安全防护169

5.3.1企业Linux档案系统的重要档案及目录169

5.3.2档案／目录存取权限172

5.3.3字母档案许可权设定法173

5.3.4数字档案许可权设定法174

5.3.5特殊存取模式及贴上位元的设定法175

5.3.6使用档案系统一致性检查工具：Tripwire176

5.3.7根使用者安全管理197

5.4企业Linux处理程序安全防护214

5.4.1确定Linux下的重要处理程序215

5.4.2处理程序安全命令列管理方法218

5.4.3使用处理程序档案系统管理处理程序220

5.4.4管理中常用的PROC档案系统呼叫介面223

5.5企业Linux使用者安全管理227

5.5.1管理使用者及群组档案安全227

5.5.2使用者密码管理234

5.6企业Linux记录档安全管理241

5.6.1Linux下的记录档分类241

5.6.2使用基本指令进行记录档管理242

5.6.3使用syslog装置247

5.7应用LIDS进行Linux系统入侵侦测253

5.7.1LIDS简介253

5.7.2安装LIDS254

5.7.3设定和使用LIDS256

Chapter 06锦上添花：企业Linux作业系统ACL应用及安全强化261

6.1安全强化必要性分析261

6.2强化第一步：使用ACL进行灵活存取控制262

6.2.1传统的使用者-使用者群组-其他使用者（U-G-O）存取控制机制回顾262

6.2.2扩充的存取控制清单（ACL）方式265

6.3强化第二步：使用SELinux强制存取控制274

6.3.1安全模型274

6.3.2SELinux：Linux安全增强机制原理280

6.3.3 SELinux中的上下文（context）283

6.3.4 SELinux中的目标策略（Targeted Policy）289

6.3.5 SELinux设定档和策略目录介绍298

6.3.6使用SELinux的准备300

6.3.7 SELinux中布林（ boolean ）变数的使用304

Chapter 07紧密布控：企业Web伺服器安全防护309

7.1Web安全威胁分析及解决想法309

7.2Web伺服器选型310

7.2.1 HTTP基本原理310

7.2.2为何选择Apache伺服器312

7.2.3安装Apache314

7.3安全设定Apache伺服器315

7.4Web服务存取控制322

7.4.1存取控制常用设定指令322

7.4.2使用.htaccess档案进行存取控制323

7.5使用认证和授权保护Apache326

7.5.1认证和授权指令326

7.5.2管理认证密码档案和认证群组档案328

7.5.3认证和授权使用实例328

7.6使用Apache中的安全模组330

7.6.1Apache伺服器中安全相关模组330

7.6.2开启安全模组330

7.7使用SSL保障Web通讯安全332

7.7.1SSL简介332

7.7.2 Apache中运用SSL的基本原理333

7.7.3使用开放原始码的OpenSSL保护Apache通讯安全339

7.8Apache记录档管理和统计分析343

7.8.1记录档管理概述343

7.8.2与记录档相关的设定指令344

7.8.3记录档记录等级和分类345

7.8.4使用Webalizer对Apache进行记录档统计和分析346

7.9其他有效的安全措施350

7.9.1使用专用的使用者执行Apache伺服器350

7.9.2设定隐藏Apache伺服器的版本编号350

7.9.3设定虚拟目录和目录许可权352

7.9.4使Web服务执行在「监牢」中354

7.10 Web系统安全架构防护要点357

7.10.1Web系统风险分析357

7.10.2方案的原则和想法358

7.10.3网路拓扑及要点剖析361

Chapter 08谨小慎微：企业基础网路服务防护363

8.1企业基础网路服务安全风险分析364

8.1.1企业域名服务安全风险分析364

8.1.2企业电子邮件服务安全风险分析366

8.2企业域名服务安全防护366

8.2.1正确设定DNS相关档案366

8.2.2使用Dlint工具进行DNS设定档检查373

8.2.3使用指令检验DNS功能374

8.2.4设定辅助域名伺服器进行容错备份378

8.2.5设定快取记忆体伺服器缓解DNS存取压力380

8.2.6设定DNS负载平衡382

8.2.7限制名称伺服器递回查询功能382

8.2.8限制区传送（zone transfer）383

8.2.9限制查询（query）383

8.2.10分离DNS（split DNS）384

8.2.11隐藏BIND的版本资讯385

8.2.12使用非root许可权执行BIND385

8.2.13删除DNS上不必要的其他服务385

8.2.14合理设定DNS的查询方式386

8.2.15使用dnstop监控DNS流量387

8.3企业电子邮件服务安全防护388

8.3.1安全使用Sendmail Server388

8.3.2安全使用Postfix电子邮件伺服器393

8.3.3企业垃圾邮件防护397

Chapter 09未雨绸缪：企业级资料防护411

9.1企业资料防护技术分析412

9.2资料加密技术原理412

9.2.1对称加密、解密412

9.2.2非对称加密、解密413

9.2.3公开金钥结构的保密通讯原理414

9.2.4公开金钥结构的鉴别通讯原理415

9.2.5公开金钥结构的鉴别＋保密通讯原理415

9.3应用一：使用GnuPG进行应用资料加密416

9.3.1安装GnuPG416

9.3.2GnuPG的基本指令416

9.3.3 GnuPG的详细使用方法417

9.3.4 GnuPG使用实例423

9.3.5 GnuPG使用中的注意事项425

9.4应用二：使用SSH加密资料传输通道426

9.4.1安装最新版本的OpenSSH427

9.4.2设定○penSSH428

9.4.3 SSH的金钥管理432

9.4.4使用scp指令远端拷贝档案434

9.4.5使用SSH设定「加密通道」435

9.5应用三：使用OpenSSL进行应用层加密437

9.6资料防泄露技术原理及其应用438

Chapter 10通道保障：企业行动通讯资料防护443

10.1 VPN使用需求分析443

10.1.1VPN简介443

10.1.2 VPN安全技术分析445

10.2 Linux提供的VPN类型448

10.2.1IPSec VPN448

10.2.2 PPP Over SSH449

10.2.3 CIPE：Crypto IP Encapsulation449

10.2.4 SSL VPN450

10.2.5 PPPTD451

10.3使用OpenVPN建构SSL VPN452

10.3.1 OpenVPN简介452

10.3.2安装○penVPN452

10.3.3制作凭证453

10.3.4设定服务端456

10.3.5设定用户端457

10.3.6一个实际的设定实例458

10.4使用IPSec VPN459

10.4.1安装ipsec-tools459

10.4.2设定IPSec VPN460

Chapter 11运筹帷幄：企业Linux伺服器远端安全管理465

11.1远端控制及管理的基本原理466

11.1.1远端监控与管理原理466

11.1.2远端监控与管理的主要应用范围467

11.1.3远端监控及管理的基本内容468

11.2使用Xmanager 3.0实现Linux远端登入管理469

11.2.1设定Xmanager伺服器端469

11.2.2设定Xmanager用户端470

11.3使用VNC实现Linux远端系统管理472

11.3.1VNC简介472

11.3.2启动VNC伺服器472

11.3.3使用VNC Viewer实现Linux远端系统管理474

11.3.4使用SSH＋VNC实现安全的Linux远端桌面管理476

Chapter 12举重若轻：企业网路流量安全管理479

12.1网路流量管理简介480

12.1.1流量识别480

12.1.2流量统计分析482

12.1.3流量限制482

12.1.4其他方面482

12.2需要管理的常见网路流量483

12.3网路流量捕捉：图形化工具Wireshark485

12.3.1Wireshark简介485

12.3.2层次化的资料封包协定分析方法485

12.3.3以外挂程式技术为基础的协定分析器486

12.3.4安装Wireshark487

12.3.5使用Wireshark488

12.4网路流量捕捉：命令列工具tcpdump491

12.4.1tcpdump简介491

12.4.2安装tcpdump491

12.4.3使用tcpdump492

12.5网路流量分析—NTOP496

12.5.1NTOP介绍496

12.5.2安装NTOP498

12.5.3使用NTOP499

12.6网路流量限制—TC技术502

12.6.1TC（Traffic Control）技术原理502

12.6.2使用Linux TC进行流量控制实例503

12.7网路流量管理的策略508

12.7.1网路流量管理的目标508

12.7.2网路流量管理的实际策略509

Chapter 13兵来将挡，水来土掩：企业级防火墙部署及应用511

13.1防火墙技术简介512

13.2 Netfilter／Iptables防火墙框架技术原理512

13.2.1Linux中的主要防火墙机制演进512

13.2.2 Netfilter／Iptables架构简介513

13.2.3 Netfilter／Iptables模组化工作架构515

13.2.4安装和启动Netfilter／Iptables系统516

13.2.5使用Iptables撰写防火墙规则517

13.3使用Iptables撰写规则的简单应用520

13.4使用Iptables完成NAT功能524

13.4.1NAT简介524

13.4.2 NAT的原理525

13.4.3 NAT的实际使用527

13.5防火墙与DMZ的配合使用530

13.5.1DMZ原理530

13.5.2建构DMZ531

13.6防火墙的实际安全部署建议535

13.6.1方案一：错误的防火墙部署方式535

13.6.2方案二：使用DMZ536

13.6.3方案三：使用DMZ＋二路防火墙536

13.6.4方案四：通透式防火墙536

Chapter 14铜墙铁壁：企业立体式入侵侦测及防御539

14.1入侵侦测技术简介540

14.2网路入侵侦测及防御：Snort540

14.2.1安装Snort540

14.2.2设定Snort541

14.3撰写Snort规则548

14.3.1规则动作549

14.3.2协定549

14.3.3 IP位址549

14.3.4通讯埠编号550

14.3.5方向运算符号（direction operator）551

14.3.6 activate／dynamic规则551

14.3.7 Snort规则简单应用举例552

14.3.8 Snort规则进阶应用举例554

14.4主机入侵侦测及防御：LIDS556

14.5分散式入侵侦测：SnortCenter556

14.5.1分散式入侵侦测系统的组成556

14.5.2系统安装及部署557

第4篇企业Linux安全监控560

Chapter 15管中窥豹：企业Linux系统及效能监控561

15.1常用的效能监测工具561

15.1.1uptime562

15.1.2 dmesg563

15.1.3 top564

15.1.4 iostat564

15.1.5 vmstat565

15.1.6 sar566

15.1.7 KDE System Guard567

15.1.8 free568

15.1.9 Traffic-vis569

15.1.10 pmap570

15.1.11 strace571

15.1.12 ulimit572

15.1.13 mpstat574

15.2 CPU监控详解576

15.2.1上下文切换577

15.2.2执行佇列577

15.2.3 CPU使用率578

15.2.4使用vmstat工具进行监控578

15.2.5使用m pstat工具进行多处理器监控580

15.2.6 CPU监控归纳582

15.3记忆体监控详解583

15.3.1 Virtual Memory介绍583

15.3.2 Virtual Memory Pages583

15.3.3 Kernel Memory Paging583

15.3.4 kswapd583

15.3.5使用vmstat进行记忆体监控584

15.3.6记忆体监控归纳585

15.4I／O监控详解585

15.4.1I／O监控介绍585

15.4.2读和写资料——记忆体分页586

15.4.3 Major and Minor Page Faults（主要分页错误和次要分页错误）586

15.4.4 The File Buffer Cache（档案快取区）587

15.4.5 Type of Memory Pages587

15.4.6 Writing Data Pages Back to Disk588

15.4.7监控I／O588

15.4.8 Calculating IO’s Per Second（IOpS的计算）588

15.4.9 Random. vs Sequential I／O（随机／顺序I／○）589

15.4.10判断虚拟记忆体对I／O的影响591

15.4.11 I／O监控归纳592

Chapter 16见微知著：企业级Linux网路监控593

16.1 Cacti网路监控工具简介593

16.2安装和设定Cacti595

16.2.1安装辅助工具596

16.2.2安装Cacti603

16.3使用Cacti607

16.3.1Cacti介面介绍607

16.3.2建立监测点609

16.3.3检视监测点612

16.3.4为已有Host增加新的监控图616

16.3.5合并多个资料来源到一张图上617

16.3.6使用Cacti外挂程式619

Chapter 17他山之石：发现企业网路漏洞623

17.1发现企业网路漏洞的大致想法624

17.1.1基本想法624

17.1.2采用网路安全扫描624

17.2通讯埠扫描625

17.2.1通讯埠扫描技术的基本原理625

17.2.2通讯埠扫描技术的主要种类626

17.2.3快速安装Nmap631

17.2.4使用Nmap确定开放通讯埠632

17.3漏洞扫描653

17.3.1漏洞扫描基本原理653

17.3.2选择：网路漏洞扫描与主机漏洞扫描654

17.3.3高效使用网路漏洞扫描655

17.3.4快速安装Nessus658

17.3.5使用Nessus扫描660

第5篇企业Linux安全运行维护指令、工具664

Chapter 18终极挑战：企业Linux核心建构665

18.1企业级Linux核心简介665

18.2下载、安装和预备核心原始程式码667

18.2.1先决条件667

18.2.2下载原始程式码667

18.2.3安装原始程式码668

18.2.4预备原始程式码669

18.3原始程式码设定和编译Linux核心670

18.3.1标记核心670

18.3.2 .config：设定核心670

18.3.3订制核心672

18.3.4清理原始程式码树674

18.3.5复制设定档674

18.3.6编译核心映射档案和可载入模组675

18.3.7使用可载入核心模组675

18.4安装核心、模组和相关档案676

18.5 Linux系统故障处理677

18.5.1修复档案系统677

18.5.2重新安装MBR677

18.5.3当系统无法启动时678

18.5.4挽救已安装的系统678

Chapter 19神兵利器：企业Linux资料备份及安全工具679

19.1安全备份工具679

19.1.1Amanda679

19.1.2BackupPC680

19.1.3 Bacula680

19.1.4 Xtar681

19.1.5 Taper681

19.1.6 Arkeia681

19.1.7 webCDcreator682

19.1.8 Ghost for Linux682

19.1.9 NeroLINUX682

19.1.10 mkCDrec683

19.2 Sudo：系统管理工具683

19.3 NetCat：网路安全界的瑞士刀684

19.4 LSOF隐蔽档案发现工具685

19.5 Traceroute：路由追踪工具686

19.6 XProbe作业系统识别工具687

19.7 SATAN：系统弱点发现工具687

Appendix A企业级Linux指令速查指南689

A.1档案系统管理指令690

which690

whereis690

u mask690

split691

slocate691

rm692

rhmask692

rcp692

patch693

paste694

od695

mv696

mktemp696

Isattr697

locate697

file697

diffstat698

cat698

chattr699

chgrp699

find700

cksum703

gitview703

cmp704

indent704

cp707

touch708

Tmpwatch708

tee709

cut709

diff709

A.2系统管理指令711

groupdel711

groupmod711

id712

pstree712

rlogin713

rsh713

rwho713

Ismod714

insmod714

grpunconv714

grpconv715

export715

enable715

dmesg716

depmod716

su716

lastb717

logrotate717

newgrp718

procinfo718

sudo719

suspend719

swatch720

tload720

uname721

userconf721

vlock722

whoami722

whois722

A.3系统设定指令722

alias722

unset723

unalias723

ulimit723

set724

rmmod725

resize725

sndconfig725

setup726

setenv726

setconsole726

reset726

pwunconv727

pwconv727

passwd728

ntsysv728

modprobe728

modi nfo729

mkkickstart729

chroot730

chkconfig730

A.4磁碟管理及维护指令730

cd730

df731

dirs731

du732

edquota733

eject733

Indir733

Is734

mkdir736

pwd736

quota737

quotacheck737

tree737

umount738

sync739

symlinks739

swapon740

swapoff740

mkswap740

mkinitrd741

mkfs741

mke2fs741

mkbootdisk742

q uotaoff743

quotaon743

repq uota743

rmdir744

stat744

hdparm744

fsck745

fsck.ext2746

fdisk747

e2fsck748

dd749

badblocks749

ar750

bunzip2751

bzip2751

bzi p2recover752

compress752

cpio753

dump755

gunzip756

gzexe756

gzip757

Iha758

restore759

tar760

unarj763

unzip763

zip764

zipinfo766

A.5网路指令767

arpwatch767

cu767

dnsconf768

getty769

ifconfig769

netconf770

netstat770

ping771

Appendix B网路工具资源整理773