Linux安全技術內(nèi)幕

前言

隨著黑客攻擊問題的不斷加劇，木馬、病毒、網(wǎng)絡釣魚、分布式拒絕服務攻擊、僵尸網(wǎng)絡等網(wǎng)絡威脅的不斷涌現(xiàn)，信息安全問題已經(jīng)成為國家、社會和企業(yè)關注的焦點問題。信息安全問題的范圍已經(jīng)擴展到計算機和通信領域的方方面面，其中作為基礎軟件的操作系統(tǒng)也不例外。作為一種優(yōu)秀的開源網(wǎng)絡操作系統(tǒng)，Linux在網(wǎng)絡技術日益發(fā)展的今天，憑借其在安全性、穩(wěn)定性等方面的巨大優(yōu)勢，正受到越來越多用戶的青睞，一些大型網(wǎng)絡及網(wǎng)站服務器都建立在Linux平臺之上。然而，其在系統(tǒng)管理、網(wǎng)絡服務管理等方面的安全問題仍然不可小視，針對該系統(tǒng)安全問題的分析和相應的安全技術保障已成為廣大網(wǎng)絡和系統(tǒng)管理員以及眾多操作系統(tǒng)用戶的迫切需求。本書從黑客攻擊的基本技術、Linux面臨的安全威脅、Linux安裝與啟動、Linux系統(tǒng)安全管理、Linux網(wǎng)絡服務安全管理、Linux核心安全技術、Linux優(yōu)秀開源安全工具等多個層面，力求系統(tǒng)、全面、科學地講述和揭示與Linux相關的原理、技術、機制等安全內(nèi)幕。本書所講述的Linux安全內(nèi)容覆蓋范圍廣，適用人群廣。在寫作思路上強調(diào)在“授人以漁”的前提下“授人以魚”，對每個知識點的介紹爭取做到深入淺出，從系統(tǒng)、科學的原理和機制介紹出發(fā)，并通過豐富多樣的圖表配以具體的步驟實現(xiàn)和詳細的講解。并且，編者精心選擇了目前市面上最為流行和穩(wěn)定的Fedora 10 Linux操作系統(tǒng)版本進行實例講解，以方便讀者在實際L,inux安全的管理和操作中進行對照學習，提高學習效率。

內(nèi)容概要

　　本書系統(tǒng)、全面、科學地講述和揭示了與Linux相關的原理、技術、機制等安全內(nèi)幕，全書共分25章，對Linux安全內(nèi)幕進行了全面、深入，和系統(tǒng)的分析，內(nèi)容包括黑客攻擊的基本技術、Linux面臨的安全威脅、Linux安裝與啟動、Linux系統(tǒng)安全管理、Linux網(wǎng)絡服務安全管理、Linux核心安全技術、Linux優(yōu)秀開源安全工具等?！　”緯闹v解和分析深入透徹，適用于眾多Linux愛好者、中高級Linux用戶、IT培訓人員及IT從業(yè)者，同時也兼顧網(wǎng)絡管理員和信息安全工作者，并可作為高等院校計算機和信息安全專業(yè)學生的教學參考書。

作者簡介

李洋，博士，信息安全專家，項目經(jīng)理。10余年來一直從事計算機網(wǎng)絡信息安全領域研發(fā)工作，曾主持和參與多項國家重點項目以及信息安全系統(tǒng)和企業(yè)信息安全系統(tǒng)的研發(fā)工作。在IEEE、ACM、《計算機世界》、《網(wǎng)管員世界》、51CTo等國際和國內(nèi)知名會議、期刊和媒體上發(fā)表學術論文和各類技術文章百余篇，并出版相關專著多部。

書籍目錄

第1章　Linux安全基礎	　1.1　信息安全的重要性	　　1.1.1　網(wǎng)絡信息安全的基本概念	　　1.1.2　網(wǎng)絡威脅的基本表現(xiàn)	　　1.1.3　網(wǎng)絡信息安全領域的研究重點	　　1.1.4　網(wǎng)絡信息安全的五要素	　　1.1.5　經(jīng)典的P2DR模型	　1.2　黑客攻擊的常見手段和步驟	　　1.2.1　黑客攻擊的常見方法	　　1.2.2　黑客攻擊的一般步驟	　1.3　Linux操作系統(tǒng)的安全性	　　1.3.1　Linux操作系統(tǒng)的安全級別	　　1.3.2　現(xiàn)行Linux操作系統(tǒng)的安全機制	　1.4　Linux網(wǎng)絡安全基礎	　　1.4.1　網(wǎng)絡基本原理	　　1.4.2　TCP/IP網(wǎng)絡	　　1.4.3　IP協(xié)議	　　1.4.4　TCP協(xié)議	　　1.4.5　UDP協(xié)議	　　1.4.6　ARP和RARP協(xié)議	　　1.4.7　ICMP協(xié)議	　　1.4.8　IPv4和IPv6	　1.5　國內(nèi)外相關安全標準概述第2章　Linux概述	　2.1　Linux的歷史	　2.2　與Linux相關的基本概念	　　2.2.1　開源軟件	　　2.2.2　GNU	　　2.2.3　GPL	　　2.2.4　POSIX	　2.3　Linux的主要特點	　2.4　Linux的應用領域	　2.5　Linux的內(nèi)核及發(fā)行版本	　2.6　常見的Linux發(fā)行版本	　　2.6.1　Red Hat Linux	　　2.6.2　Fedora Core/Fedora	　　2.6.3　Debian	　　2.6.4　Ubuntu	　　2.6.5　SuSE Linux	　　2.6.6　Mandriva	　2.7　Linux的主要組成部分	　　2.7.1　內(nèi)核	　　2.7.2　Shell	　　2.7.3　文件結構	　　2.7.4　實用工具	　2.8　Fedora Linux的發(fā)展歷史	　2.9　Fedora 10的主要特征第3章　Fedora 10的安全安裝與啟動	　3.1　Fedora 10的安裝	　　3.1.1　硬件需求	　　3.1.2　安裝方式	　　3.1.3　安裝過程	　3.2　Fedora 10的啟動與登錄	　　3.2.1　安全登錄Linux	　　3.2.2　退出Linux	　3.3　Linux的啟動安全	　　3.3.1　Linux的啟動過程	　　3.3.2　Linux的運行級別	　　3.3.3　GRUB密碼設定第4章　用戶和組安全	　4.1　用戶和組管理的基本概念	　4.2　安全使用用戶和組文件	　　4.2.1　用戶賬號文件——passwd	　　4.2.2　用戶影子文件——shadow	　　4.2.3　組賬號文件——group	　　4.2.4　組賬號文件——gshadow	　　4.2.5　/etc/skel目錄	　　4.2.6　/etc/login.defs 配置文件	　　4.2.7　/etc/default/useradd文件	　4.3　安全管理用戶和組工具	　　4.3.1　useradd：添加用戶工具	　　4.3.2　usermod：修改用戶信息工具	　　4.3.3　userdel：刪除用戶工具	　　4.3.4　groupadd：創(chuàng)建組工具	　　4.3.5　groupmod：修改組屬性工具	　　4.3.6　groupdel：刪除組工具	　　4.3.7　其他工具	　4.4　使用Fedora用戶管理器管理用戶和組	　　4.4.1　啟動Fedora用戶管理器	　　4.4.2　創(chuàng)建用戶	　　4.4.4　創(chuàng)建用戶組	　　4.4.5　修改用戶組屬性	　4.5　與用戶和組管理安全相關的其他安全機制	　　4.5.1　驗證用戶和組文件	　　4.5.2　用戶密碼的安全設定方法	第5章　保證Linux文件系統(tǒng)安全	　5.1　Linux文件系統(tǒng)原理	　　5.1.1　Linux中的文件系統(tǒng)類型	　　5.1.2　Linux文件的類型	　　5.1.3　Linux中的目錄結構設定	　5.2　安全設定文件/目錄訪問權限	　　5.02.1　文件/目錄訪問權限基本概念	　　5.2.2　改變文件/目錄的訪問權限	　　5.2.03　更改文件/目錄的所有權	　　5.2.4　改變文件的執(zhí)行權限	　5.3　使用額外屬性保護Ext3文件系統(tǒng)安全	　　5.3.1　Ext3中的額外屬性	　　5.3.2　使用Ext3文件系統(tǒng)的屬性	　　5.3.3　Ext3屬性和文件權限的區(qū)別	　　5.3.4　使用chattr	　5.4　使用加密文件系統(tǒng)	　　5.04.1　內(nèi)核準備	　　5.4.2　創(chuàng)建加密設備	　　5.4.3　卸載加密設備	　　5.4.4　重新裝載加密設備	　　5.4.5　在Linux系統(tǒng)安裝時使用EFS	第6章　Linux系統(tǒng)安全增強技術	　6.1　Linux安全增強的經(jīng)典模型	　　6.1.1　BLP安全模型	　　6.1.2　基于角色的訪問控制模型	　　6.1.3　多級別安全機制	　　6.1.4　操作系統(tǒng)安全加固方法	　6.2　SELinux：Linux安全增強機制	　　6.2.1　SELinux的歷史	　　6.2.2　SELinux基本原理	　　6.2.3　SELinux相對于傳統(tǒng)機制的優(yōu)勢	　　6.2.4　SELinux中的上下文	　　6.2.5　SELinux中的目標策略	　　6.2.6　使用SELinux配置文件和策略目錄	　　6.2.7　使用SELinux的先決條件	　　6.2.8　SELinux中的布爾變量第7章　Linux進程安全	　7.1　Linux進程的基本原理	　　7.1.1　進程類型	　　7.1.2　進程的狀態(tài)	　　7.1.3　進程的工作模式	　　7.1.4　進程與線程的區(qū)別	　7.2　Linux下的守護進程	　　7.2.1　守護進程基本原理	　　7.2.2　Linux下的重要守護進程	　7.3　安全管理Linux進程	　　7.3.1　手工啟動Linux進程	　　7.3.2　自動執(zhí)行進程	　　7.3.3　資源空閑時執(zhí)行進程	　　7.3.4　周期性執(zhí)行進程	　　7.3.5　操作cron后臺進程	　　7.3.6　掛起及恢復進程	　7.4　查看及終止進程	　　7.4.1　使用ps命令查看進程狀態(tài)	　　7.4.2　使用top命令查看進程狀態(tài)	　　7.4.3　使用kill命令終止進程	　　7.4.4　使用sleep命令暫停進程	　7.5　安全管理每個進程的系統(tǒng)資源	　　7.5.1　限制進程創(chuàng)建大型文件	　　7.5.2　限制單個用戶調(diào)用的最大子進程個數(shù)	　7.6　進程文件系統(tǒng)PROC	第8章　Linux日志管理安全	　8.1　Linux日志管理簡介	　8.2　Linux下重要日志文件介紹	　　8.2.1　/var/log/boot.log	　　8.2.2　/var/log/cron	　　8.2.3　/var/log/maillog	　　8.2.4　/var/log/syslog	　　8.2.5　/var/log/wtmp	　　8.2.6　/var/run/utmp	　　8.2.7　/var/log/xferlog	　8.3　Linux下基本日志管理機制	　　8.3.1　who命令	　　8.3.2　users命令	　　8.3.3　last命令	　　8.3.4　ac命令	　　8.3.5　lastlog命令	　8.4　使用syslog設備	　　8.4.1　syslog簡介	　　8.4.2　syslog配置文件	　　8.4.03　syslog進程	　8.5　Linux日志使用的重要原則	　8.6　Linux日志輸出查看方式	　　8.6.1　dmesg	　　8.6.2　tail	　　8.6.3　more和less	　　8.6.4　其他方式	第9章　xinetd安全管理Linux網(wǎng)絡服務	　9.1　xinetd原理	　9.2　xinetd服務配置文件	　9.3　通過文件配置使用xinetd	　9.4　通過圖形用戶界面進行配置使用xinetd	第10章　DHCP服務安全	　10.1　DHCP原理	　　10.1.1　DHCP簡介	　　10.1.2　DHCP的工作流程	　10.2　安裝和啟動DHCP服務器	　　10.2.1　安裝DHCP服務器	　　10.2.2　啟動和關閉DHCP服務器	　10.3　安全配置DHCP服務	　　10.3.1　DHCP服務器配置文件	　　10.3.2　DHCP服務器配置實例	　　10.3.3　指定DHCP為指定網(wǎng)卡服務	　10.4　安全配置DHCP客戶端	　　10.4.1　圖形界面配置Linux客戶端	　　10.4.2　配置文件配置Linux客戶端	　10.5　使用chroot保證DHCP運行安全	　　10.5.1　下載和安裝Jail軟件	　　10.5.2　使用Jail創(chuàng)建chroot牢籠	第11章　DNS服務安全	　11.1　DNS域名服務原理簡介	　　11.1.1　DNS簡介	　　11.1.2　DNS系統(tǒng)組成及基本概念	　　11.1.3　DNS服務器的類型	　　11.1.4　DNS的工作原理	　11.2　安裝和啟動DNS服務器	　　11.2.1　安裝DNS服務器	　　11.2.2　啟動和關閉DNS服務器	　11.3　安全配置DNS服務器	　　11.3.1　DNS服務器配置文件類型	　　11.3.2　named.conf主配置文件	　　11.3.3　區(qū)文件	　　11.3.4　DNS服務器配置實例	　　11.3.5　安全配置DNS客戶端	　11.4　安全使用DNS服務器的高級技巧	　　11.4.1　配置輔助域名服務器做到冗余備份	　　11.4.2　配置高速緩存服務器提高DNS服務器性能	　　11.4.3　配置DNS負載均衡防止服務器宕機	　　11.4.4　配置智能DNS高速解析	　　11.4.5　合理配置DNS的查詢方式提高效率	　　11.4.6　使用dnstop監(jiān)控DNS流量	　　11.4.7　使用DNSSEC技術保護DNS安全	第12章　郵件服務安全	　12.1　郵件系統(tǒng)簡介	　　12.1.1　郵件傳遞代理（MTA）	　　12.1.2　郵件存儲和獲取代理（MSA）	　　12.1.3　郵件客戶代理（MUA）	　12.2　SMTP介紹	　　12.2.1　SMTP的模型	　　12.2.2　SMTP的基本命令	　12.3　安裝與啟動Sendmail	　12.4　安全配置sendmail.cf	　12.5　安全配置sendmail.mc文件	　12.6　防治垃圾郵件	　　12.6.1　常用技術	　　12.6.2　配置Sendmail防范垃圾郵件	　　12.6.3　使用SpamAssasin防治垃圾郵件	第13章　FTP服務安全	　13.1　FTP簡介	　　13.1.1　FTP協(xié)議介紹	　　13.1.2　FTP文件類型	　　13.1.3　FTP文件結構	　　13.1.4　FTP傳輸模式	　　13.1.5　FTP常用命令	　　13.1.6　FTP典型消息	　13.2　安裝和啟動vsftpd服務器	　　13.2.1　安裝vsftpd	　　13.2.2　啟動和關閉vsftpd	　　13.2.3　安全配置ftpusers文件	　　13.2.4　安全配置user_list文件	　　13.2.5　安全配置vsftpd.conf文件	　　13.2.6　配置其他一些安全選項	　13.3　安全使用vsftpd服務器	　　13.3.1　匿名用戶使用vsftpd服務器	　　13.3.2　本地用戶使用vsftpd服務器	　　13.3.3　虛擬用戶使用vsftpd服務器	　　13.3.4　配置vsftpd服務器中chroot	　　13.3.5　配置vsftpd服務器在非標準端口工作	　　13.3.6　配置虛擬FTP服務器	　　13.3.7　使用主機訪問控制第14章　Web服務安全	　14.1　Web服務器簡介	　　14.1.1　HTTP基本原理	　　14.1.2　Apache服務器簡介	　14.2　安裝Apache的最新版本	　14.3　配置Apache服務器主文件	　14.4　使用特定的用戶運行Apache服務器	　14.5　配置隱藏Apache服務器的版本號	　14.6　實現(xiàn)訪問控制	　　14.6.1　訪問控制常用配置指令	　　14.6.2　使用.htaccess文件進行訪問控制	　14.7　使用認證和授權保護Apache	　　14.7.1　認證和授權指令	　　14.7.2　管理認證口令文件和認證組文件	　　14.7.3　認證和授權使用實例	　14.8　設置虛擬目錄和目錄權限	　14.9　使用Apache中的安全模塊	　　14.9.1　Apache服務器中安全相關模塊	　　14.9.2　開啟安全模塊	　14.10　使用SSL保證安全	　　14.10.1　SSL簡介	　　14.10.2　Apache中運用SSL的基本原理	　　14.10.3　安裝和啟動SSL	　14.11　Apache日志管理	　　14.11.1　日志管理概述	　　14.11.2　日志相關的配置指令	　　14.11.3　日志記錄等級和分類	　　14.11.4　幾個重要的日志文件第15章　代理服務安全	　15.1　代理服務器簡介	　15.2　Squid簡介	　15.3　安裝和啟動Squid Server	　　15.3.1　安裝Squid Server	　　15.3.2　啟動和關閉Squid Server	　15.4　在客戶端使用Squid Server	　　15.4.1　在IE瀏覽器設置	　　15.4.2　在Linux瀏覽器中設置	　15.5　安全配置Squid Server	　　15.5.1　配置Squid Server的基本參數(shù)	　　15.5.2　配置Squid Server的安全訪問控制	　　15.5.3　配置Squid Server的簡單實例	　15.6　安全配置基于Squid的透明代理	　　15.6.1　Linux內(nèi)核的相關配置	　　15.6.2　Squid的相關配置選項	　　15.6.3　iptables的相關配置	　15.7　安全配置多級緩存改善Proxy服務器的性能	　　15.7.1　多級緩存簡介	　　15.7.2　配置多級緩存	　15.8　Squid日志管理	　　15.8.1　配置文件中有關日志的選項	　　15.8.2　日志管理主文件——accesss.conf	第16章　防火墻技術	　16.1　防火墻技術原理	　　16.1.1　防火墻簡介	　　16.1.2　防火墻的分類	　　16.1.3　傳統(tǒng)防火墻技術	　　16.1.4　新一代防火墻	　　16.1.5　防火墻技術的發(fā)展趨勢	　　16.1.6　防火墻的配置方式	　16.2　Netfilter/iptables防火墻框架	　　16.2.1　簡介	　　16.2.2　安裝和啟動Netfilter/iptables系統(tǒng)	　　16.2.3　iptables基本原理	　16.3　iptables簡單應用	　16.4　使用IPtables完成NAT功能	　　16.4.1　NAT簡介	　　16.4.2　NAT的原理	　　16.4.3　NAT具體使用	　16.5　防火墻與DMZ	　　16.5.1　DMZ原理	　　16.5.2　構建DMZ	第17章　入侵檢測技術	　17.1　入侵檢測系統(tǒng)簡介	　17.2　入侵檢測技術的發(fā)展	　17.3　入侵檢測的分類	　　17.3.1　入侵檢測技術分類	　　17.3.2　入侵檢測系統(tǒng)分類	　17.4　Snort簡介	　17.5　安裝Snort	　17.6　Snort的工作模式	　　17.6.1　嗅探器模式	　　17.6.2　數(shù)據(jù)包記錄器	　　17.6.3　網(wǎng)絡入侵檢測模式	　17.7　Snort的使用方式	　　17.7.1　命令簡介	　　17.7.2　查看ICMP數(shù)據(jù)報文	　　17.7.3　配置Snort的輸出方式	　　17.7.4　配置Snort規(guī)則	　17.8　自己動手編寫Snort規(guī)則	　　17.8.1　規(guī)則動作	　　17.8.2　協(xié)議	　　17.8.3　IP地址	　　17.8.4　端口號	　　17.8.5　方向操作符	　　17.8.6　activate/dynamic規(guī)則	　　17.8.7　一些重要的指令	　　17.8.8　一些重要的規(guī)則選項	　　17.8.9　使用Snort檢測攻擊	　17.9　使用Snortcenter構建分布式入侵檢測系統(tǒng)	　　17.9.1　分布式入侵檢測系統(tǒng)的構成	　　17.9.2　系統(tǒng)安裝及部署	第18章　Linux集群技術	　18.1　集群技術	　　18.1.1　集群簡介	　　18.1.2　集群系統(tǒng)的分類	　　18.1.3　高可用集群	　　18.1.4　高性能計算集群	　18.2　Linux中的集群	　　18.2.1　Linux集群分類	　　18.2.2　科學集群	　　18.2.3　負載均衡集群	　　18.2.4　高可用性集群	　18.3　LVS	　　18.3.1　LVS原理	　　18.3.2　安裝LVS	　　18.3.3　配置和使用LVS第19章　VPN技術	　19.1　VPN技術原理	　　19.1.1　VPN簡介	　　19.1.2　VPN的分類	　19.2　Linux下的VPN	　　19.2.1　IPSec VPN	　　19.2.2　PPP Over SSH	　　19.2.3　CIPE：Crypto IP Encapsulation	　　19.2.4　SSL VPN	　　19.2.5　PPTP	　19.3　使用OpenVPN	　　19.3.1　OpenVPN簡介	　　19.3.2　安裝OpenVPN	　　19.3.3　制作證書	　　19.3.4　配置服務端	　　19.3.5　配置客戶端	　　19.3.6　配置實例	第20章　Samba共享服務安全	　20.1　Samba服務簡介	　　20.1.1　Samba工作原理	　　20.1.2　Samba服務器的功能	　　20.1.3　SMB協(xié)議	　　20.1.4　Samba服務的工作流程	　20.2　安裝和啟動Samba	　20.3　安全配置Samba服務器的用戶信息	　　20.3.1　創(chuàng)建服務器待認證用戶	　　20.3.2　將用戶信息轉換為Samba用戶信息	　　20.3.3　用戶轉換	　　20.3.4　Samba服務器和主瀏覽器	　20.4　smb.conf文件配置詳解	　　20.4.1　設置工作組	　　20.4.2　設置共享Linux賬戶主目錄	　　20.4.3　設置公用共享目錄	　　20.4.4　設置一般共享目錄	　　20.4.5　設置共享打印機	　　20.4.6　具體設置實例	　20.5　smb.conf中的選項和特定約定	　20.6　使用testparm命令測試Samba服務器的配置安全	　20.7　使用Samba日志	　20.8　Linux和Windows文件互訪	　　20.8.1　Windows客戶使用Linux系統(tǒng)共享文件	　　20.8.2　用smbclient工具訪問局域網(wǎng)上的Windows系統(tǒng)	　　20.8.3　用smbclient工具訪問局域網(wǎng)上的其他系統(tǒng)	第21章　網(wǎng)絡文件系統(tǒng)安全	　21.1　NFS服務概述	　　21.1.1　NFS基本原理	　　21.1.2　NFS服務中的進程	　21.2　安裝和啟動NFS	　　21.2.1　安裝NFS	　　21.2.2　啟動NFS	　21.3　NFS安全配置和使用	　　21.3.1　配置NFS服務器	　　21.3.2　配置NFS客戶機	　　21.3.3　安全使用NFS服務	　21.4　圖形界面安全配置NFS服務器	　21.5　保證NFS安全的使用原則第22章　PGP安全加密技術	　22.1　PGP技術原理	　　22.1.1　PGP簡介	　　22.1.2　PGP原理	　22.2　使用GnuPG	　　22.2.1　GnuPG簡介	　　22.2.2　安裝GnuPG	　　22.2.3　GnuPG的基本命令	　　22.2.4　詳細使用方法	　　22.2.5　GnuPG使用實例	　　22.2.6　相關注意事項	第23章　PAM安全認證技術	　23.1　PAM認證機制簡介	　23.2　Linux-PAM的分層體系結構	　　23.2.1　分層體系結構概述	　　23.2.2　模塊層	　　23.2.3　應用接口層	　23.3　Linux-PAM的配置	　　23.3.1　Linux-PAM單一配置文件的語法	　　23.3.2　口令映射機制	　　23.3.3　基于目錄的配置形式	　23.4　Linux中常用的PAM安全模塊	　23.5　Linux-PAM使用舉例	　　23.5.1　使用Linux-PAM控制用戶安全登錄	　　23.5.2　使用Linux-PAM控制Samba用戶的共享登錄	　　23.5.3　使用Linux-PAM控制FTP用戶的登錄	第24章　Linux面臨的網(wǎng)絡威脅及策略	　24.1　掃描攻擊	　24.2　木馬	　24.3　拒絕服務攻擊和分布式拒絕服務攻擊	　　24.3.1　DoS攻擊	　　24.3.2　DDoS攻擊	　24.4　病毒	　　24.4.1　Linux病毒的起源和歷程	　　24.4.2　病毒的主要類型	　24.5　IP Spoofing	　24.6　ARP Spoofing	　24.7　Phishing	　24.8　Botnet	　24.9　跨站腳本攻擊	　24.10　零日攻擊	　24.11 “社會工程學”攻擊	　24.12　使用備份應對網(wǎng)絡威脅	　　24.12.1　一些簡單實用的備份命令	　　24.12.2　備份機制和備份策略	第25章　Linux下優(yōu)秀的開源安全工具	　25.1　Tripwire：系統(tǒng)完整性檢查工具	　　25.1.1　文件完整性檢查的必要性	　　25.1.2　Tripwire簡介	　　25.1.3　Tripwire的基本工作原理	　　25.1.4　安裝Tripwire	　　25.1.5　配置Tripwire	　　25.1.6　使用Tripwire進行文件監(jiān)控	　　25.1.7　使用Tripwire的原則和注意事項	　25.2　John the Ripper：密碼分析及檢驗工具	　　25.2.1　John the Ripper簡介	　　25.2.2　安裝John the Ripper	　　25.2.3　基本命令和實用工具	　　25.2.4　密碼分析及檢驗	　25.3　dmidecode：硬件狀態(tài)監(jiān)控工具	　　25.3.1　dmidecode簡介	　　25.3.2　安裝dmidecode工具	　　25.3.3　監(jiān)控硬件狀態(tài)	　25.4　NMAP：端口掃描工具	　　25.4.1　NMAP簡介	　　25.4.2　安裝NMAP	　　25.4.3　使用NMAP進行多種掃描	　25.5　Wireshark：網(wǎng)絡流量捕獲工具	　　25.5.1　Wireshark簡介	　　25.5.2　使用Wireshark	　25.6　NTOP：網(wǎng)絡流量分析工具	　　25.6.1　NTOP簡介	　　25.6.2　使用NTOP	　25.7　其他工具	　　25.7.1　安全備份工具	　　25.7.2　Nessus：網(wǎng)絡風險評估工具	　　25.7.3　Sudo：系統(tǒng)管理工具	　　25.7.4　NetCat：網(wǎng)絡安全界的瑞士軍刀	　　25.7.5　LSOF：隱蔽文件發(fā)現(xiàn)工具	　　25.7.6　Traceroute：路由追蹤工具	　　25.7.7　XProbe：操作系統(tǒng)識別工具	　　25.7.8　SATAN：系統(tǒng)弱點發(fā)現(xiàn)工具	附錄A　Fedora 10命令參考	附錄B　VMWare虛擬機安裝指南

章節(jié)摘錄

插圖：由上述介紹可知，Linux操作系統(tǒng)的安全級別僅為C2級，安全級不高，很重要的一個原因就是超級用戶具有所有特權，而普通用戶不具有任何特權。操作系統(tǒng)的這種特權管理機制便于系統(tǒng)的維護和配置，但是不利于保證系統(tǒng)的安全性。一方面，一旦超級用戶的口令丟失或者口令讓不法用戶獲取，那么將會對系統(tǒng)造成極大的損失；另一方面，超級用戶的誤操作以及權限的濫用也對系統(tǒng)的安全構成了極大的威脅。因此，必須針對該操作系統(tǒng)實行最小特權管理機制。最小特權管理的主要思想比當前Linux系統(tǒng)的機制更為安全，它指的是系統(tǒng)不賦予用戶超過執(zhí)行任務所需特權之外的特權，也就是說，不存在具有所有權限的用戶。例如，可以將超級用戶的特權劃分為一組細粒度的特權，分別授予不同的系統(tǒng)管理員或者是相關的操作人員，使得系統(tǒng)中的這些人員只能夠使用自己的特權完成相應的屬于自己的工作，從而減少了由于特權用戶的口令丟失或者是誤操作所引起的不必要的損失。并且，為了保證系統(tǒng)的安全性，不應當將特權集于某個用戶，且對其賦予一個以上的職責，這樣，就不會由于一權獨攬造成權限濫用的不良后果。當然，根據(jù)實際的應用，還是可以按情況對某個用戶的權限進行必要的改變和增加，但是在執(zhí)行這種變化時必須充分考慮到這些改變和權限的增加對系統(tǒng)安全性造成的影響，因此，可以在具體的設計過程中根據(jù)實際應用情況進行分別細致的考慮。

編輯推薦

《Linux安全技術內(nèi)幕》是由清華大學出版社出版的。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    Linux安全技術內(nèi)幕 PDF格式下載

---