Linux服务器安全策略详解

第1章Linux网络基础与Linux.第1章服务器的安全威胁 11.1Linux网络基础 11.1.1Linux网络结构的特点 11.1.2TCP/IP四层模型和OSI七层模型 21.1.3TCP/IP提供的主要用户应用程序 41.1.4端口号分配 41.2Linux的TCP/IP网络配置 61.2.1Linux的TCP/IP网络配置文件 71.2.2网络配置工具 71.2.3配置网络接口 91.3分级解析对Linux服务器的攻击 141.3.1攻击者使用什么操作系统 151.3.2典型的攻击者有什么特征 151.3.3攻击者典型的目标是什么 151.3.4实施攻击的原因是什么 151.3.5攻击级别 161.3.6反击措施 181.4开源软件网络安全概述 191.5本章小结 21第2章OpenSSL与Linux网络安全 222.1理解SSL和OpenSSL如何工作 222.1.1SSL功能 222.1.2SSL协议简介 232.1.3SSL工作流程 232.1.4OpenSSL简介 252.1.5OpenSSL的组成 252.2理解服务器证书（CA） 262.2.1X.509协议简介 262.2.2金字塔结构的优缺点 272.2.3相关名词解释 272.3Linux下安装和配置OpenSSL 282.3.1下载OpenSSL源代码 282.3.2安装OpenSSL 292.3.3产生CA凭证 302.3.4CA产生次级凭证 302.3.5OpenSSL应用 322.3.6OpenSSL常用命令 352.4数字证书在客户端的应用 372.5OpenSSL面临的安全问题及其2.5解决思路 382.5.1OpenSSL面临的安全问题 382.5.2解决思路 392.6本章小结 39第3章PAM与OpenLDAP 403.1PAM工作原理 403.1.1什么是PAM 403.1.2为什么使用PAM 413.1.3PAM体系结构 413.1.4PAM工作流程图 423.2PAM配置文件 433.3建立PAM应用程序 443.4PAM常用认证模块及其应用.. 463.4.1PAM常用认证模块 463.4.2PAM模块应用实例 473.5安全应用PAM 483.5.1删除不再需要的PAM配置文件和3.5.1模块 483.5.2对PAM配置进行备份 483.5.3设置资源限制 483.5.4限制su命令 493.6动手制作Linux下基于PAM机制3.6的USBKey 493.6.1什么是USBKey 493.6.2建立pam_usb应用 493.7Liunx目录服务器介绍 513.8安装配置OpenLDAP服务器 533.8.1安装OpenLDAP服务器 533.8.2配置OpenLDAP服务器 533.8.3启动OpenLDAP服务器 553.9配置OpenLDAP客户端 563.9.1配置LinuxOpenLDAP客户端 563.9.2Outlook如何使用OpenLDAP 563.10监控OpenLDAP服务器 573.10.1使用uptime命令 573.10.2使用cron命令定时监测3.10.2系统负载 573.10.3OpenLDAP进程的监控 573.10.4端口的监控 583.11安全管理OpenLDAP服务器 583.11.1自动启动OpenLDAP服务器 583.11.2使用访问控制（AccessControl）3.11.2实现用户认证 583.11.3禁止整个服务器的匿名访问 593.11.4配置OpenLDAP使用TLS通信 593.11.5管理OpenLDAP服务器 593.11.6OpenLDAP在Linux上集群的3.11.6应用 613.12本章小结 61第4章Linux网络服务和xinetd 624.1Linux启动过程 624.1.1Linux的启动过程详解 624.1.2Linux运行级 664.1.3/etc/inittab文件详解 674.1.4init和/etc/inittab 684.2守护进程 694.2.1Linux守护进程的概念 694.2.2Linux系统提供的服务及其守护4.2.2进程列表 704.2.3Linux守护进程的运行方式 734.3xinetd 754.3.1什么是xinetd 754.3.2xinetd的特色 754.3.3使用xinetd启动守护进程 764.3.4解读/etc/xinetd.conf和4.3.4/etc/xinetd.d/* 764.3.5配置xinetd 774.3.6xinetd防止拒绝服务攻击4.3.6（DenialofServices）的原因 824.4Linux服务管理工具 834.4.1redhat-config-services 834.4.2ntsysv 844.4.3chkconfig 854.5安全选择Linux服务 854.6本章小结 86第5章DNS服务器的安全策略 875.1DNS服务器的工作原理 875.2域名服务的解析原理和过程 885.3DNS服务器面临的安全问题 905.3.1DNS欺骗 905.3.2拒绝服务攻击 925.3.3缓冲区漏洞攻击 925.3.4分布式拒绝服务攻击 925.3.5缓冲区溢出漏洞攻击 935.3.6不安全的DNS动态更新 935.4增强DNS安全性的方法 945.4.1选择安全没有缺陷的DNS版本 945.4.2保持DNS服务器配置正确.可靠 945.5建立一个完整的DNS 955.5.1DNS分类 955.5.2安装BIND域名服务器软件 955.5.3named配置文件族内容 965.5.4配置惟高速存域名服务器 965.5.5配置主域名服务器 965.5.6配置辅助域名服务器 985.5.7配置域名服务器客户端 995.6DNS故障排除工具 1005.6.1dlint 1005.6.2DNS服务器的工作状态检查 1015.7全面加固DNS服务器 1035.7.1使用TSIG技术 1035.7.2使用DNSSEC技术 1055.8配置安全的DNS服务器 1065.8.1隔离DNS服务器 1065.8.2为BIND创建chroot 1065.8.3隐藏BIND的版本号 1075.8.4避免透露服务器的信息 1075.8.5关闭DNS服务器的gluefetching5.8.5选项 1075.8.6控制区域（zone）传输 1075.8.7请求限制 1085.8.8其他强化措施 1085.8.9为DNS服务器配置5.8.9DNSFloodDetector 1095.8.10建立完整的域名服务器 1105.8.11建立DNS日志 1115.8.12增强DNS服务器的防范5.8.12DoS/DDoS功能 1125.8.13使用分布式DNS负载均衡 1125.8.14防范DNS服务器网络 1135.8.15配置防火墙 1135.9本章小结 113第6章Web服务器的安全策略 1146.1Web服务器软件Apache简介 1146.1.1Apache的发展历史 1146.1.2市场情况 1156.1.3Apache的工作原理 1166.1.4Apache服务器的特点 1176.2Apache服务器面临的安全问题 1186.2.1HTTP拒绝服务 1186.2.2缓冲区溢出 1196.2.3攻击者获得root权限 1196.3配置一个安全的Apache服务器 1196.3.1勤打补丁 1196.3.2隐藏和伪装Apache的版本 1206.3.3建立一个安全的目录结构 1206.3.4为Apache使用专门的用户和6.3.4用户组 1216.3.5Web目录的访问策略 1216.3.6Apache服务器访问控制方法 1226.3.7管理Apache服务器访问日志 1226.3.8Apache服务器的密码保护 1306.3.9减少CGI和SSI风险 1326.3.10让Apache服务器在“监牢”6.3.10中运行 1336.3.11使用SSL加固Apache 1356.3.12Apache服务器防范DoS 1406.3.13利用LDAP对Apache进行认证 1406.3.14其他安全工具 1416.4本章小结 142第7章电子邮件服务器的安全策略 1437.1电子邮件系统的组成和相关协议 1437.1.1操作系统 1447.1.2邮件传输代理MTA 1447.1.3邮件分发代理MDA 1467.1.4邮件用户代理MUA 1467.1.5电子邮件服务器协议及其7.1.5相关命令 1467.2电子邮件服务器的工作原理 1527.2.1电子邮件的工作流程 1527.2.2电子邮件的历史 1537.2.3电子邮件地址的组成 1537.2.4电子邮件系统和DNS的联系 1547.3电子邮件服务器面临的安全隐患 1557.3.1Linux病毒 1557.3.2网络攻击 1557.3.3垃圾邮件及其防范 1557.4安装安全的Sendmail服务器 1597.4.1安装Sendmail服务器 1597.4.2提高Sendmail的防垃圾邮件能力 1607.4.3其他保护Sendmail的安全措施 1627.4.4配置基于Sendmail的Webmail 1637.4.5增强Webmail邮件服务器的安全 1677.4.6监控Sendmail的日志文件 1687.5安装安全的Postfix服务器 1697.5.1安装Postfix服务器 1697.5.2保护Postfix服务器 1737.5.3自动监控Postfix邮件服务器 1747.6本章小结 177第8章FTP服务器的安全策略 1788.1FTP的工作原理 1788.1.1FTP简介 1788.1.2FTP的功能 1798.1.3FTP服务器登录方式的分类 1798.1.4FTP的工作原理 1798.1.5FTP的典型消息和子命令 1818.1.6Linux服务器端的主要FTP软件 1848.2FTP服务器面临的安全隐患 1858.2.1缓冲区溢出攻击 1858.2.2数据嗅探 1858.2.3匿名访问缺陷 1858.2.4访问漏洞 1868.3配置安全的Wu-ftpd服务器 1868.3.1配置Wu-ftpd服务器 1868.3.2Wu-ftpd服务器的配置文件8.3.2/etc/ftpaccess 1878.3.3其他配置文件 1908.3.4增强Wu-ftpd服务器安全性的8.3.4方法 1918.4配置安全的ProFTPD服务器 1958.4.1配置ProFTPD服务器 1958.4.2增强ProFTPD服务器安全性的8.4.2方法 1988.5配置安全的Vsftpd服务器 2078.5.1快速构建Vsftpd服务器 2078.5.2Vsftpd配置文件 2088.5.3Vsftpd的设置选项 2098.5.4通过Web浏览器管理Vsftpd8.5.4服务器 2158.5.5分析Vsftpd服务器的日志文件 2178.5.6使用BlockHosts对抗暴力破解 2188.5.7在RHEL4.0下安装支持SSL的8.5.7最新版本的Vsftpd 2188.5.8使用quota为ftpuser加入磁盘8.5.8限额 2188.6安全使用客户端工具 2198.6.1命令行模式 2198.6.2图形界面模式（gFTP） 2208.7本章小结 221第9章Samba服务器的安全策略 2229.1Samba简介 2229.1.1什么是Samba 2229.1.2Samba的历史起源 2229.1.3SMB协议 2239.1.4为什么使用Samba 2239.1.5Samba软件包的功能 2249.2安装配置Samba服务器 2259.2.1安装Samba服务器 2259.2.2Samba配置文件 2259.2.3设置Samba密码文件 2299.2.4启动Samba服务器 2309.2.5测试Samba配置文件 2309.2.6在Windows环境测试RHEL4.09.2.6默认配置 2319.3配置Samba服务器共享文件及9.3打印机 2339.3.1配置文件共享 2339.3.2配置共享打印机 2349.3.3在Linux环境下应用Samba服务 2359.4其他配置Samba的方法和用好9.4Linux下的网络邻居 2369.4.1图形化配置工具system-config-9.4.1samba 2369.4.2使用SWAT管理工具管理Samba 2399.4.3其他工具 2419.4.4用好Linux下的网络邻居 2419.5Samba服务器面临的安全隐患 2459.5.1非法访问数据 2459.5.2计算机病毒 2459.5.3Samba文件服务器的安全级别 2459.6提升Samba服务器的安全性 2469.6.1不要使用明语密码 2469.6.2尽量不使用共享级别安全 2469.6.3尽量不要浏览器服务访问 2469.6.4通过网络接口控制Samba访问 2479.6.5通过主机名称和IP地址列表9.6.5控制Samba访问 2479.6.6使用pam_smb对WindowsNT/20009.6.6服务器的用户进行验证 2479.6.7为Samba配置防范病毒软件 2489.6.8使用Iptables防火墙保护Samba 2499.6.9使用Gsambad管理监控Samba9.6.9服务器 2499.6.10使用SSL加固Samba 2529.7本章小结 252第10章NFS服务器的安全策略 25310.1NFS服务器的工作原理 25310.1.1NFS简介 25310.1.2为何使用NFS 25410.1.3NFS协议 25410.1.4什么是RPC（Remote10.1.4ProcedureCall） 25510.2安装配置NFS服务器 25710.2.1NFS网络文件的系统结构 25710.2.2配置/etc/exports文件 25810.2.3激活服务portmap和nfsd 25910.2.4exportfs命令 25910.2.5检验目录/var/lib/nfs/xtab 25910.2.6showmount 25910.2.7观察激活的端口号 26010.2.8NFS服务器的启动和停止 26010.3NFS的图形化配置 26010.3.1NFS服务器配置窗口 26110.3.2添加NFS共享 26110.3.3常规选项 26210.3.4用户访问 26210.3.5编辑NFS共享 26310.4NFS的客户端配置 26310.4.1使用mount命令 26410.4.2扫描可以使用的NFSServer10.4.2目录 26510.4.3卸载NFS网络文件系统 26510.4.4应用实例 26510.4.5其他挂载NFS文件系统的方法 26610.5NFS服务器面临的安全隐患 26710.6提升NFS服务器的安全性 26710.6.1使用tcp_wrappers 26710.6.2注意配置文件语法错误 26710.6.3使用Iptables防火墙 26710.6.4把开放目录限制为只读权限 26810.6.5禁止对某些目录的访问 26810.6.6rootSquashing访问问题 26810.6.7使用nosuid和noexec选项 26810.6.8保护portmap的安全性 26910.6.9保留ACL 26910.7本章小结 270第11章DHCP服务器的安全策略 27111.1DHCP服务器的工作原理 27111.1.1DHCP简介 27111.1.2为什么使用DHCP 27111.1.3DHCP的工作流程 27211.1.4DHCP的设计目标 27311.2安装DHCP服务器 27311.2.1DHCP配置文件 27311.2.2配置实例 27411.2.3启动DHCP服务器 27611.2.4设置DHCP客户端 27811.3DHCP服务器的故障排除 27911.3.1客户端无法获取IP地址 27911.3.2DHCP客户端程序和DHCP11.3.2服务器不兼容 28011.4提升DHCP服务器的安全性 28011.4.1管理监控DHCP服务器 28011.4.2让DHCP服务器在监牢中运行 28211.4.3提供备份的DHCP设置 28411.5本章小结 285第12章Squid服务器的安全策略 28612.1代理服务器的工作原理 28612.1.1各种代理服务器的比较 28612.1.2Squid工作原理和流程图 28712.1.3代理服务器的优点 28812.1.4代理服务器的分类及特点 28912.2配置安全的Squid代理服务器 28912.2.1Squid的启动 29012.2.2Squid的配置文件 29012.2.3Squid的命令参数 29112.3代理服务器面临的安全隐患 29312.3.1客户端非法访问不良网站 29312.3.2计算机病毒 29412.4提升Squid代理服务器的安全性 29412.4.1控制对客户端访问 29412.4.2管理代理服务器端口 29612.4.3使用用户认证 29612.5全面监控Squid代理服务器12.5的运行 29712.6关注Squid代理服务器的日志 30112.6.1Squid日志格式 30212.6.2分析access.log日志文件 30212.6.3使用Linux命令 30212.6.4使用专业软件分析 30312.7为Squid代理服务器串联HAVP 30712.8本章小结 308第13章SSH服务器的安全策略 30913.1SSH服务器的工作原理 30913.1.1传统远程登录的安全隐患 30913.1.2SSH能保护什么 30913.1.3SSH服务器和客户端工作流程 31013.2安装配置OpenSSH服务器 31113.2.1安装与启动OpenSSH 31113.2.2配置文件 31213.3SSH服务器面临的安全隐患 31513.3.1软件漏洞 31513.3.2口令暴力破解 31513.3.3SSH所不能防范的网络攻击 31513.3.4OpenSSH中可能安放有13.3.4特洛伊木马 31513.4提升SSH服务器的安全性 31613.4.1升级旧版本 31613.4.2使用xinetd模式运行OpenSSH 31613.4.3使用BlockHosts对抗暴力破解 31713.4.4使用TCP会绕程序 31713.4.5管理SSH监听端口 31813.4.6关闭Telnet服务 31913.4.7禁止root用户登录SSH服务器 31913.4.8启用防火墙保护OpenSSH13.4.8服务器 31913.4.9使用Protocol2 31913.4.10不使用r系列命令 31913.4.11修改配置文件 32013.5如何安全应用SSH客户端 32113.5.1安全应用Linux下的SSH13.5.1客户端 32113.5.2生成密钥对 32513.5.3命令测试 32613.5.4使用WindowsSSH客户端登录13.5.4OpenSSH服务器 32813.6本章小结 334第14章Linux防火墙 33514.1防火墙简介 33514.1.1什么是防火墙 33514.1.2防火墙的功能 33514.1.3防火墙技术分类 33614.2Linux防火墙 33814.2.1Linux防火墙的历史 33814.2.2Netfilter/Iptables系统是如何14.2.2工作的 33914.2.3Iptables的基础 34014.2.4建立规则和链 34614.3Iptables配置实战 35014.3.1初试化配置方案 35014.3.2Web服务器设置 35114.3.3DNS服务器设置 35114.3.4邮件服务器Sendmail设置 35114.3.5不回应ICMP封包 35114.3.6防止IPSpoofing 35114.3.7防止网络扫描 35214.3.8允许管理员以SSH方式连接到14.3.8防火墙修改设定 35214.3.9快速构架Linux个人防火墙 35214.4升级Iptables控制BT 35614.4.1P2P应用现状 35714.4.2下载软件 35714.4.3安装 35714.4.4测试 35714.4.5使用 35914.5本章小结 359第15章Linux网络环境下的VPN构建 36015.1VPN概述 36015.1.1VPN定义 36015.1.2VPN的功能 36115.1.3VPN的分类 36115.1.4VPN的隧道协议 36215.2Linux下的主要VPN技术 36415.2.1IPSec（InternetProtocol15.2.1Security） 36415.2.2PPPOVERSSH 36415.2.3CIPE（CryptoIP15.2.3Encapsulation） 36415.2.4PPTP 36415.3构建基于CIPE技术的15.3LinuxVPN 36515.3.1CIPE概述 36515.3.2使用RedHatLinux的网络管理15.3.2工具来配置CIPEVPN 36615.3.3通过配置文件配置CIPEVPN 36915.4构建基于PPTP技术的15.4LinuxVPN 37315.4.1PPTP以及Poptop简介 37315.4.2PPP简介 37315.4.3在Linux2.4内核下安装配置15.4.3PPTP服务器 37415.4.4在Linux2.6内核下安装配置15.4.4PPTP服务器 37815.4.5Linux下PPTP客户端连接15.4.5VPN服务器 37915.5构建基于SSHVNC技术的15.5LinuxVPN 38215.5.1VNC技术概述 38215.5.2使用NHC＋SSH建立Linux和15.5.2Windows的安全隧道 38315.5.3使用SSHTools实现Linux下15.5.3远程VPN办公 38515.5.4VNC服务器维护技巧 39015.6构建基于IPSec技术的15.6LinuxVPN 39215.6.1IPSec及IKE简介 39215.6.2在RHEL4.0配置IPSec 39215.7本章小结 395第16章使用IDS保护Linux服务器 39616.1什么是IDS 39616.1.1IDS定义 39616.1.2IDS的工作流程 39616.1.3IDS部署的位置 39716.1.4IDS的功能 39816.1.5IDS（入侵检测系统）模型 39816.1.6IDS分类 39916.2Linux下配置基于主机的IDS 39916.2.1RPM包管理器作为一种IDS 39916.2.2其他基于主机的IDS 40016.2.3安装配置Tripwire 40116.3Linux下配置基于网络的IDS 40316.3.1什么是基于网络的IDS 40316.3.2Snort简介 40416.4Snort的安装配置 40416.4.1配置IDS的网络拓扑结构 40516.4.2安装Snort 40616.4.3建立Snort数据库 40616.4.4安装配置ACID 40716.4.5配置Apache服务器用户认证 40716.4.6建立Snort规则 40816.4.7启动Apache和MySQL16.4.8服务进程 40816.4.8为Snort创建专用的用户和组16.4.8来启动Snort 40816.4.9使用Web浏览器监控Snort 40916.5建立分布式Snort入侵检测系统 40916.5.1安装SnortCenter3 40916.5.2修改配置文件 41016.5.3snortcenter-agent下载配置步骤 41016.5.4完成配置 41016.6本章小结 411第17章Linux网络监控策略 41317.1安装配置MRTG监控Linux17.1网络 41317.1.1SNMP简介和MRTG监控过程 41317.1.2Linux下MRTG的安装与配置 41417.1.3建立MRTG监控中心 41517.1.4MRTG软件的不足和RRDTool的17.1.4对比 41617.2安装配置NTOP监控Linux网络 41717.2.1P2P对于网络流量提出挑战 41717.2.2NTOP的安装 41917.2.3软件使用方法 42217.3NTOP的安全策略 42717.3.1经常查看NTOP的进程和日志 42817.3.2进行Web访问认证 42817.3.3加密连接NTOP 42917.3.4NTOP使用技巧和总结 43017.4本章小结 431第18章Linux常用安全工具 43218.1使用SAINT执行安全审核 43218.1.1什么是SAINT 43218.1.2工作模式 43318.1.3安装SAINT 43318.1.4SAINT设置 43418.1.5启动SAINT 43518.2使用端口扫描软件Nmap 43918.2.1Nmap简介 43918.2.2使用Nmap 43918.2.3nmap命令实例 43918.2.4Nmap图形前端 44218.2.5Nmap使用注意事项 44218.3使用网络数据采集分析工具18.3Tcpdump 44218.3.1Tcpdump简介 44218.3.2Tcpdump的安装 44318.3.3Tcpdump的命令行选项 44318.3.4Tcpdump的过滤表达式 44418.3.5Tcpdump过滤数据包实例 44518.3.6Tcpdump的输出结果 44518.4使用Ethereal分析网络数据 44718.4.1Ethereal简介 44718.4.2安装Ethereal 44718.4.3使用Ethereal 44718.5使用EtherApe分析网络流量 45118.5.1EtherApe简介 45118.5.2EtherApe软件下载安装 45218.5.3EtherApe软件使用方法 45218.6使用GnuPGP进行数据加密 45418.6.1GnuPGP简介 45418.6.2GnuPGP安装 45418.6.3生成密钥 45418.6.4查看密钥 45518.6.5公钥的使用 45518.6.6GnuPGP应用实例（软件包18.6.6签名验证） 45618.6.7GnuPGP应用实例（在Mutt中18.6.7使用GnuPG） 45618.7其他安全工具简介 45618.7.1密码分析工具Johntheripper 45618.7.2系统管理工具sudo 45718.7.3开放源代码风险评估工具18.7.3Nessus 45718.7.4网络瑞士军刀Netcat 45718.7.5网络探测工具Hping2 45718.7.6列出打开的文件命令工具LSOF 45718.7.7强大的无线嗅探器Kismet 45718.7.8802.11WEP密码破解工具18.7.8AirSnort 45718.7.9安全管理员的辅助工具SARA 45818.7.10高级的traceroute工具18.7.10Firewalk 45818.7.11主动操作系统指纹识别工具18.7.11XProbe2 45818.8本章小结 458第19章防范嗅探器攻击和Linux病毒 45919.1防范嗅探器攻击 45919.1.1嗅探器攻击原理 45919.1.2嗅探器的检测技术 46019.1.3嗅探器的安全防范 46119.2Linux病毒的防范 46319.2.1Linux病毒的历史 46319.2.2Linux平台下的病毒分类 46419.2.3Linux病毒的防治 46519.2.4Linux防病毒软件 46519.2.5安装配置f-prot反病毒软件 46619.3本章小结 474第20章Linux数据备份恢复技术 47520.1Linux备份恢复基础 47520.1.1什么是备份 47520.1.2备份的重要性 47620.2Linux备份恢复策略 47620.2.1备份前需考虑的因素 47620.2.2备份介质的选择 47620.2.3Linux备份策略 47820.2.4确定要备份的内容 47920.2.5Linux常用备份恢复命令 48020.3Linux常用备份恢复工具 48520.3.1Xtar 48620.3.2Kdat 48720.3.3Taper 48720.3.4Arkeia 48820.3.5GhostforLinux 48920.3.6mkCDrec 49020.3.7NeroLINUX 49120.3.8K3b 49220.3.9KOnCD 49320.3.10CDCreator 49320.3.11X-CD-Roast 49420.3.12webCDcreator 49520.3.13rsync 49620.3.14mirrordir 49620.3.15partimage 49620.3.16dvdrecord 49720.3.17DVD+RW-Tools 49820.4Linux备份恢复实例 49920.4.1用mirrordir做硬盘分区镜像 49920.4.2使用partimage备份恢复20.4.2Linux分区 50020.4.3Linux异构网络中共享光盘刻录 50920.5本章小结 522附录A使用Linux帮助信息 523附录BLinux用户和用户组管理命令 534附录CLinux文件处理命令 547附录DLinux网络设备管理命令 569附录ELinux进程管理命令 584附录FLinux磁盘管理维护命令 594附录GLinux设备管理命令 606附录HLinux其他常用命令... 616