Linux系统安全基础
分類: 图书,计算机/网络,操作系统/系统开发,LINUX ,
作者: 美.海赛 著 史兴华 译
出 版 社: 人民邮电出版社
出版时间: 2002-2-1字数:版次: 1版1次页数: 277印刷时间:开本:印次:纸张:I S B N : 9787115099655包装: 平装内容简介
本书讨论了有关Linux系统安全的基本知识,全书共分五大部分、24章,内容包括:Linux安装、系统安全、网络安全、数据加密、入侵检测和恢复等。通过学习全部24章课程,你可以逐步构建并且运行一个安全的Linux网络。
本书内容全面,分析问题详尽、透彻,讲解深入浅出,适合各个层次的Linux用户学习和参考。
目录
第一部分 适合所有任务的基本安全
第1章 选择和安装Linux版本2
1.1 确定机器的任务2
1.2 选择Linux版本3
1.2.1 功能/安全性平衡3
1.2.2 选择主流的Linux版本4
1.3 安全为主的Linux安装7
1.3.1 第一步:从源代码直接获得Linux7
1.3.2 第二步:定义若干分区8
1.3.3 第三步:只安装并激活基本组件9
1.3.4 第四步:完成文件系统分离,并修改/etc/fstab文件10
1.3.5 第五步:安装所有的最近更新14
1.4 小结14
1.5 问与答15
1.6 新名词16
第2章 BIOS和主板17
2.1 安装Linux之前的安全问题17
2.2 系统BIOS17
2.2.1 进入BIOS设置18
2.2.2 浏览BIOS设置18
2.2.3 BIOS口令保护19
2.2.4 引导程序的口令保护19
2.2.5 引导顺序配置20
2.3 辅助BIOS系统21
2.4 外部/附加设备22
2.5 控制Flash BIOS更新23
2.6 小结24
2.7 问与答24
2.8 新名词25
第3章 物理安全26
3.1 为什么说物理安全很重要26
3.2 位置、位置、位置!26
3.3 困难位置的对策27
3.3.1 电源重启27
3.3.2 引导设备29
3.3.3 锁定"盒子"29
3.4 访问审核30
3.5 小结31
3.6 问与答31
3.7 新名词32
第4章 引导过程33
4.1 Linux装载程序33
4.1.1 /etc/lilo.conf文件34
4.1.2 password关键字35
4.1.3 restricted关键字36
4.1.4 同时使用password和restricted37
4.1.5 prompt和timeout关键字38
4.1.6 保存更改39
4.1.7 /etc/lilo.conf文件的权限39
4.2 Init程序和/etc/inittab文件39
4.2.1 缺省运行级别39
4.2.2 Three-Key Smash40
4.3 小结41
4.4 问与答41
4.5 新名词42
第5章 系统和用户管理基础43
5.1 /etc/securetty 、/etc/shells和.bash_logout文件43
5.2 SysV风格的初始化进程44
5.2.1 发现并禁止不需要的服务46
5.2.2 重新激活被禁止的服务48
5.3 安全地创建用户账号48
5.3.1 Shadow和MD549
5.3.2 添加用户的第一步:/usr/sbin/groupadd49
5.3.3 添加用户的第二步:/usr/sbin/useradd50
5.3.4 添加用户的第三步:passwd和chage50
5.4 小结51
5.5 问与答51
5.6 新名词52
5.7 练习52
第6章 TCP/IP网络安全53
6.1 保护inetd-Internet Daemon53
6.1.1 为什么inetd是危险的53
6.1.2 /etc/inetd.conf文件54
6.1.3 /etc/services文件55
6.2 适当使用TCP Wrappers57
6.2.1 TCP Wrappers说明57
6.2.2 健康Paranoia (/etc/hosts.deny文件)58
6.2.3 保守的例外(/etc/hosts.allow文件)59
6.2.4 更多的TCP Wrappers技巧59
6.2.5 使用tcpdchk和tcpdmatch60
6.3 日志、syslogd和安全61
6.3.1 记录一切信息61
6.3.2 记录到其他地方61
6.4 小结62
6.5 问与答62
6.6 新名词62
6.7 练习63
第7章 文件系统安全64
7.1 理解权限64
7.1.1 文件所有者64
7.1.2 访问权限65
7.1.3 权限举例67
7.2 修改权限68
7.2.1 使用字符方式的chmod68
7.2.2 使用数字方式的chmod69
7.3 使用umask设置缺省权限70
7.4 特殊情况、风险和解决办法71
7.4.1 特别目录权限71
7.4.2 Device Node71
7.4.3 SUID/SGID可执行文件72
7.4.4 利用chmod设置SUID/SGID73
7.4.5 清除不必要的SUID/SGID权限73
7.4.6 检查反常的SUID/SGID文件74
7.4.7 保持SUID/SGID二进制文件为最新74
7.5 只能追加和只读的文件74
7.6 只读root文件系统75
7.7 mount和fstab的选项76
7.8 小结77
7.9 问与答77
7.10 新名词78
第8章 特别文件系统安全工具80
8.1 Linux上的POSIX访问控制列表80
8.1.1 一个需要ACL功能的示例80
8.1.2 POSIX ACLs for Linux软件包81
8.1.3 setfacl命令的语法84
8.1.4 getfacl命令的语法85
8.1.5 缺省权限(getfacl、setfacl 和目录)85
8.1.6 ACL Mask权限86
8.1.7 在文件之间复制ACL87
8.1.8 告诫和需要考虑的事项87
8.2 安全文件删除工具88
8.3 小结88
8.4 问与答89
8.5 新名词89
第9章 充分利用PAM90
9.1 PAM配置基础90
9.2 PAM的工作原理基础92
9.3 使用PAM:过期口令93
9.4 使用PAM:增强wheel安全94
9.5 使用PAM:其他验证95
9.6 小结96
9.7 问与答96
9.8 新名词97
9.9 练习97
第二部分 网络安全
第10章 使用ipchains 做防火墙和路由100
10.1 网络安全和内核100
10.2 使用ipchains101
10.2.1 理解ipchains规则102
10.2.2 ipchains工具的调用语法103
10.2.3 一个规则设置示例104
10.2.4 masquerade105
10.2.5 端口转发106
10.2.6 组合上述命令107
10.3 小结108
10.4 问与答108
10.5 新名词109
10.6 练习110
第11章 使用iptables 做防火墙和路由111
11.1 iptables是什么?它与ipchains有何关系111
11.2 网络安全与内核111
11.3 使用iptables113
11.3.1 理解iptables规则114
11.3.2 iptables工具的调用语法115
11.3.3 基于状态的匹配117
11.3.4 一个规则设置示例117
11.3.5 Masquerade和NAT118
11.3.6 端口转发119
11.3.7 组合上述命令119
11.4 小结121
11.5 问与答121
11.6 新名词122
11.7 练习122
第12章 保护Apache、FTP 和SMTP服务123
12.1 安全与Apache HTTPD服务器123
12.1.1 全局的基本安全指令123
12.1.2 全局日志指令125
12.1.3 Directory和DirectoryMatch作用域126
12.1.4 其他的作用域128
12.1.5 验证128
12.1.6 Options和AllowOverride指令130
12.1.7 访问文件131
12.2 安全和FTP132
12.2.1 匿名FTP与私有FTP132
12.2.2 /etc/ftpaccess文件132
12.2.3 /etc/ftpusers文件133
12.2.4 匿名上传权限134
12.3 安全与sendmail134
12.3.1 通过包过滤保护Sendmail134
12.3.2 使用TCP Wrappers保护Sendmail135
12.3.3 m4和sendmail.cf配置信息136
12.4 小结136
12.5 问与答136
12.6 新名词137
12.7 练习137
第13章 网络安全-- 利用BIND做DNS138
13.1 Chroot BIND之前的安全138
13.1.1 域端口的包过滤138
13.1.2 注意named.conf139
13.2 在Chroot环境中运行named141
13.2.1 添加用户和组141
13.2.2 创建"Jail"142
13.2.3 为Chroot named设置syslogd143
13.2.4 在chroot的Jail中启动named143
13.3 小结144
13.4 问与答144
13.5 新名词144
第14章 网络安全-- NFS和Samba145
14.1 网络文件系统NFS安全145
14.1.1 选择NFS服务器145
14.1.2 包含基于内核的NFS支持146
14.1.3 配置/etc/exports文件146
14.1.4 NFS包过滤148
14.2 Samba安全150
14.2.1 启动SWAT150
14.2.2 SWAT的全局安全选项151
14.2.3 SWAT中的共享安全选项152
14.2.4 包过滤和Samba153
14.3 小结154
14.4 问与答155
14.5 新名词155
第15章 保护X11R6访问156
15.1 为什么X的安全是一个问题156
15.2 基于主机的认证156
15.2.1 /etc/Xn.hosts文件157
15.2.2 xhost命令158
15.2.3 基于主机的认证问题159
15.3 基于Token的认证160
15.3.1 使用xauth命令160
15.3.2 启动X服务器161
15.3.3 分发Cookie161
15.3.4 基于主机的认证和基于token的认证的相互作用161
15.3.5 X显示管理器(XDM)162
15.4 X与包过滤162
15.5 小结163
15.6 问与答164
15.7 新名词164
第三部分 数据加密
第16章 加密数据流168
16.1 SSH和OpenSSH的用途168
16.2 安装、配置和使用SSH169
16.2.1 下载、安装SSH169
16.2.2 其他配置170
16.2.3 利用SSH远程登录172
16.2.4 基于主机的验证173
16.2.5 公钥验证174
16.2.6 在FTP中使用SSH174
16.2.7 通过SSH隧道TCP流175
16.2.8 使用SSH增强X的安全176
16.3 安装、配置和使用OpenSSH176
16.3.1 下载并安装OpenSSL177
16.3.2 下载并安装OpenSSH177
16.3.3 其他配置179
16.3.4 利用OpenSSH远程登录180
16.3.5 RhostsRSA验证181
16.3.6 基于用户的公钥验证181
16.3.7 通过OpenSSH隧道TCP流182
16.3.8 使用OpenSSH增强X的安全182
16.4 小结182
16.5 问与答183
16.6 新名词183
第17章 Kerberos简介185
17.1 Kerberos是什么185
17.2 建立密钥分发中心185
17.2.1 下载和安装Kerberos 5186
17.2.2 配置Kerberos 5187
17.3 管理Kerberos 5191
17.3.1 添加管理员委托人191
17.3.2 添加和配置主机委托人193
17.3.3 添加用户委托人194
17.3.4 有关Kadmin的更多细节195
17.4 使用Kerberos 5195
17.4.1 获得票证195
17.4.2 删除票证197
17.4.3 更改口令197
17.4.4 加密数据流197
17.5 小结197
17.6 问与答198
17.7 新名词198
第18章 加密Web数据200
18.1 编译和安装Apache+mod_ssl200
18.1.1 下载Apache、OpenSSL和mod_ssl200
18.1.2 解压缩和编译OpenSSL201
18.1.3 解压缩、配置、编译mod_ssl和Apache201
18.1.4 创建一个自己签发的证书202
18.1.5 安装和配置Apache目录树204
18.2 启动SSL增强的Apache服务器205
18.3 小结206
18.4 问与答207
18.5 新名词207
第19章 加密文件系统数据209
19.1 TCFS简介209
19.2 TCFS的安装准备210
19.2.1 一个空的EXT2分区210
19.2.2 安装并运行NFS210
19.2.3 准备好2.2.16或者2.2.17内核系统210
19.3 下载和安装TCFS211
19.3.1 解压缩源代码并打补丁211
19.3.2 编译和安装TCFS发行版本211
19.3.3 编译打补丁的内核214
19.3.4 编译加密模块并激活TCFS214
19.4 使用TCFS215
19.4.1 激活TCFS访问(管理任务)215
19.4.2 利用加密(用户任务)215
19.4.3 加密文件216
19.5 小结217
19.6 问与答217
19.7 新名词218
第20章 加密E-mail数据219
20.1 快速浏览PGP219
20.2 获取并安装GPG219
20.3 生成你的密钥220
20.4 使用密钥工作222
20.4.1 密钥列表222
20.4.2 输入和输出密钥222
20.4.3 签名和信任223
20.5 使用GPG的具体细节225
20.5.1 数据签名225
20.5.2 加密和解密数据226
20.6 小结227
20.7 问与答228
20.8 新名词228
第四部分 入侵检测、审核与恢复
第21章 审核与监控230
21.1 启用SAINT230
21.1.1 下载和安装SAINT230
21.1.2 使用SAINT231
21.2 SWATCH监控236
21.2.1 下载和安装SWATCH236
21.2.2 利用SWATCH监控日志237
21.2.3 匹配文件格式237
21.3 小结239
21.4 问与答239
21.5 新名词240
第22章 探测攻击过程241
22.1 Snort简介241
22.2 Snort的特殊需求241
22.3 下载和安装Snort242
22.3.1 安装libpcap242
22.3.2 安装libnet243
22.3.3 安装Snort243
22.4 使用Snort244
22.5 适当的Snort报告245
22.5.1 练习使用SnortSnarf246
22.6 小结246
22.7 问与答246
22.8 新名词247
第23章 保护数据248
23.1 数据备份和安全248
23.1.1 保护你的珍贵数据248
23.1.2 系统二进制程序被修改248
23.1.3 Root Kit249
23.2 使用tar和afio进行备份249
23.2.1 使用tar进行简单的备份和恢复249
23.2.2 使用afio进行简单的备份和恢复250
23.2.3 使用mt操作磁带设备251
23.2.4 使用mtx操作转换器设备252
23.3 定期备份、循环备份和保护备份253
23.3.1 定期备份253
23.3.2 循环备份253
23.3.3 将备份存放到多个地点254
23.4 专有的备份软件255
23.4.1 BRU255
23.4.2 Arkeia255
23.5 小结255
23.6 问与答255
23.7 新名词256
第24章 从攻击中恢复257
24.1 警示标记257
24.2 最坏的情形258
24.2.1 立即离线258
24.2.2 停止Linux258
24.2.3 谨慎引导259
24.3 将剩余数据存档259
24.4 了解发生的问题259
24.5 通知有关当局260
24.6 回到在线状态261
24.6.1 重新格式化和重新安装261
24.6.2 恢复重要数据261
24.6.3 注意漏洞261
24.6.4 特别注意重复的访问者262
24.7 重新在线262
24.8 小结263
24.9 问与答263
24.10 新名词264
第五部分 附录
附录A 有关安全的重要配置文件266
附录B 系统账号文件格式269
附录C 著名的安全Web站点271
C.1 通用安全站点271
C.2 与Linux相关的安全站点271
附录D 快速安全清单273
附录E 相关软件的Web链接277
