Debian安全手册

源出处：

http://www.linuxsir.org/bbs/showthread.php?t=173302

http://www.nl.debian.org/doc/manual...o/index.en.html

翻译:etony 转载请注明源自www.linuxsir.org

Debian 安全手册

摘要

本文档主要涉及Debian项目的安全部分. 其源于让缺省的 Debian GNU/Linux 发行版的安装过程更加安全和强壮. 同时也涉及一些常见的使用 Debian GNU/Linux 配置安全网络环境的任务, 提供了很多安全工具的附加信息, 并且对 Debian 安全小组如何加强安全策略进行讨论.

版权声明

Copyright © 2002, 2003, 2004 Javier Fern醤dez-Sanguino Pe馻

Copyright © 2001 Alexander Reelsen, Javier Fern醤dez-Sanguino Pe馻

Copyright © 2000 Alexander Reelsen

在遵守 GNU 公共许可证, Version 2 或自由软件基金会发布的更新版本的条款下, 授权复制, 发布以及/或者修改本文档. 本文档的发布寄予有用的期望，但不做任何保证.

在遵守并包含本文档版权声明的前提下，制作和发布本文档的完整拷贝是允许的.

在遵守上述完整拷贝版本有关版权声明的前提下，拷贝和发布基于本文档完整拷贝的修改版本是允许的，并且，发布所有通过修改本文档而得到的工作成果，须使用与本文档的许可声明一致的许可声明.

在遵守上述修改版本版权声明的前提下，拷贝和发布本文档其它语言的翻译版本是允许的，如果本许可声明有经自由软件基金会（Free Software Foundation）核准的当地化译本，则遵循当地化译本.

目录

* 1 介绍

o 1.1 作者

o 1.2 手册下载

o 1.3 组织信息与反馈

o 1.4 预备知识

o 1.5 需要添加一些内容(FIXME/TODO)

o 1.6 更新记录/历史

o 1.7 荣誉与感谢!

* 2 开始之前

o 2.1 系统用途

o 2.2 应当知道的一般性安全问题

o 2.3 Debian对安全问题的态度

* 3 安装前和安装时

o 3.1 选择一个BIOS密码

o 3.2 系统分区

o 3.3 准备好前不要连入互联网

o 3.4 设置root密码

o 3.5 激活shadow密码和MD5密码

o 3.6 运行最少服务需求

o 3.7 I安装最少数量的需求软件

o 3.8 阅读 Debian 的安全邮件列表

* 4 安装后

o 4.1 订阅 Debian 安全公告邮件列表

o 4.2 进行安全更新

o 4.3 修改 BIOS (再次)

o 4.4 设置 LILO 或 GRUB 密码

o 4.5 取消 root 的提示等待

o 4.6 禁用软盘启动

o 4.7 限制控制台登录

o 4.8 限制系统通过控制台重起

o 4.9 正确的挂接分区

o 4.10 提供安全的用户访问

o 4.11 使用 tcpwrappers

o 4.12 日志与警告的重要性

o 4.13 增加内核补丁

o 4.14 保护免受缓冲溢出

o 4.15 文件的安全传送

o 4.16 文件系统的限制和控制

o 4.17 安全的网络访问

o 4.18 生成系统快照

o 4.19 其它建议

* 5 增强系统上运行服务的安全性

o 5.1 ssh 安全化

o 5.2 Squid 安全化

o 5.3 FTP 安全化

o 5.4 对 X 窗口系统的安全访问

o 5.5 安全打印控制(lpd 和lprng 的问题)

o 5.6 邮件服务的安全化

o 5.7 增强 BIND 的安全性

o 5.8 增加 Apache 的安全性

o 5.9 增强 finger 的安全性

o 5.10 常用 chroot 和 suid

o 5.11 明文密码

o 5.12 禁用 NIS

o 5.13 禁用 RPC 服务

o 5.14 增加防火墙

* 6 Debian 系统安全配置的自动化

o 6.1 harden

o 6.2 Bastille Linux

* 7 Debian 的安全机制

o 7.1 Debian 安全小组

o 7.2 Debian 安全公告

o 7.3 Debian 安全构建机制

o 7.4 Debian中对软件包签字

* 8 Debian 中的安全工具

o 8.1 远程风险评估工具

o 8.2 网络扫描器工具

o 8.3 内部审计

o 8.4 源代码的审核

o 8.5 虚拟专用网

o 8.6 公钥机制 (PKI)

o 8.7 SSL 机制

o 8.8 病毒工具

o 8.9 GPG 代理

* 9 被攻陷之前

o 9.1 系统的及时更新

o 9.2 设置入侵检测

o 9.3 设置入侵检测

o 9.4 避免 root-kits

o 9.5 天才/偏执的主意 — 您能做些什么

* 10 攻陷之后(事件响应)

o 10.1 常见方法

o 10.2 备份系统

o 10.3 联系您当地的 CERT

o 10.4 法律评估

* 11 常见问题解答 (FAQ)

o 11.1 Debian操作系统的安全

o 11.2 我的系统存在漏洞!(您确认吗?)

o 11.3 有关 Debian 安全小组的问题

* A 增强安全性 step by step

* B 配置清单

* C 配置单机IDS

* D 配置网桥防火墙

o D.1 提供 NAT 和防火墙能力的网桥

o D.2 提供防火墙能力的网桥

o D.3 基本的 IPtables 规矩

* E 修改默认Bind安装的脚本范例.

* F 在防火墙的保护下安全更新

* G SSH 的 chroot 环境

o G.1 环境的自动构建(简单的方法)

o G.2 修补 SSH 使其具有 chroot 功能

o G.3 环境的手动配置(复杂的方法)

* H Apache 的 Chroot 环境

o H.1 介绍

o H.2 安装服务器

o H.3 其它