防线——企业Linux安全运维理念和实战

作者：李洋

图书详细信息：

ISBN：9787302318071

定价：79元

印次：1-1

装帧：平装

印刷日期：2013-7-15

本书作者有多年的世界500强企业的信息安全管理工作经验，深谙500强企业信息安全建设、规划、实施和管理的细节、难点和重点问题。世界500强企业对于信息安全工作的重视程度，对于信息安全在建设、规划、实施和管理等方面都有其独到之处，可以为其他中小型和大型企业所借鉴和参照。基于这个目的，本书以笔者在500强企业中使用企业级开源作业系统Linux在信息安全中的部署和使用方法为切入点，来介绍如何做好信息安全工作。

本书共分为5篇，包含19章和两个附录。面向企业实际需求，对如何使用企业开源Linux作业系统来进行信息安全建设进行了全面、深入和系统的分析，并通过大量的威胁分析、解决思路、解决技术及实现实例来进行介绍。

本书覆盖知识面广，立意较高，几乎覆盖了企业套用开源Linux系统进行信息安全建设的方方面面。

本书适用于信息安全从业人员、众多Linux爱好者、IT培训人员及IT从业者、企业高级管理人员（CIO、CEO、CSO等），并可作为高等院校计算机和信息安全专业学生的教学参考用书。

目 录

第一篇 安全运维理论及背景準备

第1章 知彼：企业信息安全现状

剖析 3

1.1 信息安全问题概览 4

1.1.1 黑客入侵 5

1.1.2 病毒发展趋势 6

1.1.3 内部威胁 6

1.1.4 自然灾害 6

1.2 各经济大国安全问题概要 7

1.3 企业面临的主要信息安全威胁 12

1.3.1 扫描 12

1.3.2 特洛伊木马 12

1.3.3 拒绝服务攻击和分散式拒绝

服务攻击 14

1.3.4 病毒 18

1.3.5 IP 欺骗 21

1.3.6 ARP 欺骗 21

1.3.7 网路钓鱼 22

1.3.8 殭尸网路 24

1.3.9 跨站脚本攻击 25

1.3.10 缓冲区溢出攻击 26

1.3.11 SQL注入攻击 26

1.3.13 “社会工程学 ”攻击 28

1.3.14 中间人攻击 29

1.3.15 密码攻击 29

1.4 认识黑客 29

1.5 剖析黑客的攻击手段 30

1.5.1 确定攻击目标 31

1.5.2 踩点和信息蒐集 31

1.5.3 获得许可权 32

1.5.4 许可权提升 33

1.5.5 攻击实施 33

1.5.6 留取后门程式 33

1.5.7 掩盖入侵痕迹 33

第2章 知己：企业信息安全

技术概览 35

2.1 物理层防护：物理隔离 36

2.2 系统层防护：安全作业系统和

资料库安全 38

2.2.1 选用安全作业系统 38

2.2.2 作业系统密码设定 40

2.2.3 资料库安全技术 41

2.3 网路层防护：防火墙 43

2.3.1 防火墙简介 43

2.3.2 防火墙的分类 45

2.3.3 传统防火墙技术 46

2.3.4 新一代防火墙的技术特点 47

2.3.5 防火墙技术的发展趋势 49

2.3.6 防火墙的配置方式 50

2.3.7 防火墙的实际安全

部署建议 51

2.4 套用层防护：IDS/IPS 52

2.4.1 入侵检测系统简介 52

2.4.2 入侵检测技术的发展 53

2.4.3 入侵检测技术的分类 55

2.4.4 入侵检测系统的分类 56

2.4.5 入侵防御系统（IPS） 58

2.4.6 IPS的发展 59

2.4.7 IPS的技术特徵 59

2.4.8 IPS的功能特点 60

2.4.9 IPS的产品种类 62

2.5 网关级防护：UTM 63

2.6 Web套用综合防护：WAF 64

2.7 数据防护：数据加密及备份 66

2.7.1 加密技术的基本概念 66

2.7.2 加密系统的分类 66

2.7.3 常用的加密算法 68

2.7.4 加密算法的主要套用场景 69

2.7.5 数据备份及恢复技术 70

2.8 远程访问安全保障：VPN 72

2.8.1 VPN简介 72

2.8.2 VPN的分类 74

2.9 身份认证技术 76

2.9.1 静态密码 76

2.9.2 智慧卡（IC卡） 76

2.9.3 简讯密码 77

2.9.4 动态口令牌 77

2.9.5 USB Key 77

2.9.6 生物识别技术 78

2.9.7 双因素身份认证 78

2.10 管理层：信息安全标準化组织

及标準 78

2.10.1 国际信息安全标準概览 78

2.10.2 国内信息安全标準概览 81

第二篇 企业Linux安全运维规划及选型

第3章 规划：企业信息安全

工作思路 87

3.1 信息安全的本质 88

3.2 信息安全概念经纬线：从层次

到属性 89

3.3 业界信息安全专家定义的信息

安全：信息安全四要素 91

3.4 企业信息安全的实施内容和

依据（框架） 92

3.4.1 基本原则 92

3.4.2 传统的企业信息安全架构 94

3.4.3 新的企业信息安全框架及

其实施内涵 95

3.5 规划企业Linux安全的实施内容 98

第4章 选型：企业Linux软硬体

选型及安装部署 100

4.1 Linux套用套件选择 101

4.1.1 Linux的历史 101

4.1.2 与Linux相关的基本概念 101

4.1.3 Linux的主要特点 103

4.1.4 Linux的套用领域 104

4.1.5 常见的Linux发行套件 104

4.1.6 企业的选择：Fedora vs Red

Hat Enterprise Linux 108

4.2 Linux核心版本选择 109

4.3 Linux伺服器选型 109

4.3.1 CPU（处理器） 110

4.3.2 RAM（记忆体） 110

4.3.3 处理器架构 110

4.3.4 伺服器类型选型 111

4.4 Linux安装及部署 115

4.4.1 注意事项 115

4.4.2 其他需求 116

4.5 大规模自动部署安装Linux 116

4.5.1 PXE技术 117

4.5.2 搭建Yum源 117

4.5.3 安装相关服务 118

第三篇 企业Linux安全运维实战

第5章 高屋建瓴：“四步”完成企业

Linux系统安全防护 125

5.1 分析：企业Linux系统安全威胁 126

5.2 理念：企业级Linux系统安全立

体式防範体系 126

5.3 企业Linux档案系统安全防护 127

5.3.1 企业Linux档案系统的重要

档案及目录 127

5.3.2 档案/目录访问许可权 129

5.3.3 字母档案许可权设定法 130

5.3.4 数字档案许可权设定法 130

5.3.5 特殊访问模式及贴上位

的设定法 131

5.3.6 使用档案系统一致性检查

工具：Tripwire 132

5.3.7 根用户安全管理 149

5.4 企业Linux进程安全防护 160

5.4.1 确定Linux下的重要进程 161

5.4.2 进程安全命令行管理方法 164

5.4.3 使用进程档案系统

管理进程 165

5.4.4 管理中常用的PROC档案

系统调用接口 169

5.5 企业Linux用户安全管理 171

5.5.1 管理用户及组档案安全 171

5.5.2 用户密码管理 176

5.6 企业Linux日誌安全管理 181

5.6.1 Linux下的日誌分类 181

5.6.2 使用基本命令进行日誌

管理 182

5.6.3 使用syslog设备 185

5.7 套用LIDS进行Linux系统

入侵检测 190

5.7.1 LIDS简介 190

5.7.2 安装LIDS 191

5.7.3 配置和使用LIDS 192

第6章 锦上添花：企业Linux操作

系统ACL套用及安全加固 196

6.1 安全加固必要性分析 197

6.2 加固第一步：使用ACL进行灵活

访问控制 197

6.2.1 传统的用户-用户组-其他用户

（U-G-O）访问控制机制回顾 197

6.2.2 扩展的访问控制列表

（ACL）方式 199

6.3 加固第二步：使用SELinux强制

访问控制 206

6.3.1 安全模型 206

6.3.2 SELinux：Linux安全增强

机制原理 210

6.3.3 SELinux中的上下文

（context） 212

6.3.4 SELinux中的目标策略

（Targeted Policy） 216

6.3.5 SELinux配置档案和策略

目录介绍 222

6.3.6 使用SELinux的準备 224

6.3.7 SELinux中布尔（boolean）

变数的使用 227

第7章 紧密布控：企业Web伺服器

安全防护 232

7.1 Web安全威胁分析及解决思路 233

7.2 Web伺服器选型 233

7.2.1 HTTP基本原理 233

7.2.2 为何选择Apache伺服器 235

7.2.3 安装Apache 236

7.3 安全配置Apache伺服器 236

7.4 Web服务访问控制 241

7.4.1 访问控制常用配置指令 241

7.4.2 使用.htaccess档案进行

访问控制 242

7.5 使用认证和授权保护Apache 244

7.5.1 认证和授权指令 244

7.5.2 管理认证口令档案和认证

组档案 245

7.5.3 认证和授权使用实例 246

7.6 使用Apache中的安全模组 247

7.6.1 Apache伺服器中安全相关

模组 247

7.6.2 开启安全模组 247

7.7 使用SSL保证Web通信安全 249

7.7.1 SSL简介 249

7.7.2 Apache中运用SSL的基本

原理 250

7.7.3 使用开源的OpenSSL保护

Apache通信安全 253

7.8 Apache日誌管理和统计分析 256

7.8.1 日誌管理概述 256

7.8.2 与日誌相关的配置指令 257

7.8.3 日誌记录等级和分类 258

7.8.4 使用Webalizer对Apache

进行日誌统计和分析 259

7.9 其他有效的安全措施 262

7.9.1 使用专用的用户运行Apache

伺服器 262

7.9.2 配置隐藏Apache伺服器的

版本号 262

7.9.3 设定虚拟目录和目录许可权 263

7.9.4 使Web服务运行在

“监牢”中 265

7.10 Web系统安全架构防护要点 267

7.10.1 Web系统风险分析 267

7.10.2 方案的原则和思路 268

7.10.3 网路拓扑及要点剖析 270

第8章 谨小慎微：企业基础网路

服务防护 272

8.1 企业基础网路服务安全风险分析 273

8.1.1 企业域名服务安全风险

分析 273

8.1.2 企业电子邮件服务安全风险

分析 274

8.2 企业域名服务安全防护 274

8.2.1 正确配置DNS相关档案 274

8.2.2 使用Dlint工具进行DNS

配置档案检查 280

8.2.3 使用命令检验DNS功能 281

8.2.4 配置辅助域名伺服器进行

冗余备份 285

8.2.5 配置高速快取伺服器缓解

DNS访问压力 286

8.2.6 配置DNS负载均衡 287

8.2.7 限制名字伺服器递归查询

功能 288

8.2.8 限制区传送

（zone transfer） 288

8.2.9 限制查询（query） 289

8.2.10 分离DNS（split DNS） 289

8.2.11 隐藏BIND的版本信息 290

8.2.12 使用非root许可权运行

BIND 290

8.2.13 删除DNS上不必要的

其他服务 290

8.2.14 合理配置DNS的

查询方式 290

8.2.15 使用dnstop监控DNS

流量 291

8.3 企业电子邮件服务安全防护 292

8.3.1 安全使用Sendmail Server 292

8.3.2 安全使用Postfix电子邮件

伺服器 296

8.3.3 企业垃圾邮件防护 299

第9章 未雨绸缪：企业级

数据防护 308

9.1 企业数据防护技术分析 309

9.2 数据加密技术原理 309

9.2.1 对称加密、解密 309

9.2.2 非对称加密、解密 309

9.2.3 公钥结构的保密通信原理 310

9.2.4 公钥结构的鉴别通信原理 311

9.2.5 公钥结构的鉴别+保密

通信原理 311

9.3 套用一：使用GnuPG进行套用

数据加密 311

9.3.1 安装GnuPG 311

9.3.2 GnuPG的基本命令 312

9.3.3 GnuPG的详细使用方法 312

9.3.4 GnuPG使用实例 315

9.3.5 GnuPG使用中的注意事项 316

9.4 套用二：使用SSH加密数据

传输通道 317

9.4.1 安装最新版本的OpenSSH 317

9.4.2 配置OpenSSH 318

9.4.3 SSH的密钥管理 321

9.4.4 使用scp命令远程拷贝档案 322

9.4.5 使用SSH设定

“加密通道” 323

9.5 套用三：使用OpenSSL进行应

用层加密 324

9.6 数据防泄露技术原理及其套用 325

第10章 通道保障：企业移动通信

数据防护 328

10.1 VPN使用需求分析 329

10.1.1 VPN简介 329

10.1.2 VPN安全技术分析 330

10.2 Linux提供的VPN类型 332

10.2.1 IPSec VPN 332

10.2.2 PPP Over SSH 333

10.2.3 CIPE：Crypto IP

Encapsulation 333

10.2.4 SSL VPN 333

10.2.5 PPPTD 334

10.3 使用OpenVPN构建SSL VPN 335

10.3.1 OpenVPN简介 335

10.3.2 安装OpenVPN 335

10.3.3 製作证书 335

10.3.4 配置服务端 337

10.3.5 配置客户端 338

10.3.6 一个具体的配置实例 339

10.4 使用IPSec VPN 340

10.4.1 安装ipsec-tools 340

10.4.2 配置IPSec VPN 340

第11章 运筹帷幄：企业Linux伺服器

远程安全管理 345

11.1 远程控制及管理的基本原理 346

11.1.1 远程监控与管理原理 346

11.1.2 远程监控与管理的主要

套用範围 346

11.1.3 远程监控及管理的

基本内容 347

11.2 使用Xmanager 3.0实现Linux

远程登录管理 347

11.2.1 配置Xmanager伺服器端 348

11.2.2 配置Xmanager客户端 348

11.3 使用VNC实现Linux远程管理 350

11.3.1 VNC简介 350

11.3.2 启动VNC伺服器 350

11.3.3 使用VNC Viewer实现Linux

远程管理 352

11.3.4 使用SSH+VNC实现安全的

Linux远程桌面管理 353

第12章 举重若轻：企业网路流量

安全管理 355

12.1 网路流量管理简介 356

12.1.1 流量识别 356

12.1.2 流量统计分析 357

12.1.3 流量限制 357

12.1.4 其他方面 357

12.2 需要管理的常见网路流量 358

12.3 网路流量捕捉：图形化工具

Wireshark 359

12.3.1 Wireshark简介 359

12.3.2 层次化的数据包协定

分析方法 359

12.3.3 基于外挂程式技术的协定

分析器 360

12.3.4 安装Wireshark 360

12.3.5 使用Wireshark 361

12.4 网路流量捕捉：命令行工具

tcpdump 363

12.4.1 tcpdump简介 363

12.4.2 安装tcpdump 363

12.4.3 使用tcpdump 364

12.5 网路流量分析——NTOP 367

12.5.1 NTOP介绍 367

12.5.2 安装NTOP 367

12.5.3 使用NTOP 368

12.6 网路流量限制——TC技术 371

12.6.1 TC（Traffic Control）

技术原理 371

12.6.2 使用Linux TC进行流量

控制实例 372

12.7 网路流量管理的策略 376

12.7.1 网路流量管理的目标 376

12.7.2 网路流量管理的具体策略 377

第13章 兵来将挡，水来土掩：企业

级防火墙部署及套用 378

13.1 防火墙技术简介 379

13.2 Netfilter/Iptables防火墙框架

技术原理 379

13.2.1 Linux中的主要防火墙机制

演进 379

13.2.2 Netfilter/Iptables架构简介 379

13.2.3 Netfilter/Iptables模组化工作

架构 381

13.2.4 安装和启动Netfilter/Iptables

系统 382

13.2.5 使用Iptables编写防火墙

规则 383

13.3 使用Iptables编写规则的

简单套用 385

13.4 使用Iptables完成NAT功能 388

13.4.1 NAT简介 388

13.4.2 NAT的原理 389

13.4.3 NAT的具体使用 390

13.5 防火墙与DMZ的配合使用 392

13.5.1 DMZ原理 392

13.5.2 构建DMZ 393

13.6 防火墙的实际安全部署建议 396

13.6.1 方案一：错误的防火墙

部署方式 396

13.6.2 方案二：使用DMZ 397

13.6.3 方案三：使用DMZ+二路

防火墙 397

13.6.4 方案四：通透式防火墙 397

第14章 铜墙铁壁：企业立体式

入侵检测及防御 399

14.1 入侵检测技术简介 400

14.2 网路入侵检测及防御：Snort 400

14.2.1 安装Snort 400

14.2.2 配置Snort 400

14.3 编写Snort规则 407

14.3.1 规则动作 408

14.3.2 协定 408

14.3.3 IP位址 408

14.3.4 连线埠号 409

14.3.5 方向操作符

（direction operator） 409

14.3.6 activate/dynamic规则 409

14.3.7 Snort规则简单套用举例 410

14.3.8 Snort规则高级套用举例 411

14.4 主机入侵检测及防御：LIDS 413

14.5 分散式入侵检测：SnortCenter 413

14.5.1 分散式入侵检测系统

的构成 413

14.5.2 系统安装及部署 414

第四篇 企业Linux安全监控

第15章 管中窥豹：企业Linux系统

及性能监控 419

15.1 常用的性能监测工具 420

15.1.1 uptime 420

15.1.2 dmesg 420

15.1.3 top 422

15.1.4 iostat 422

15.1.5 vmstat 423

15.1.6 sar 424

15.1.7 KDE System Guard 424

15.1.8 free 425

15.1.9 Traffic-vis 425

15.1.10 pmap 426

15.1.11 strace 428

15.1.12 ulimit 429

15.1.13 mpstat 430

15.2 CPU监控详解 433

15.2.1 上下文切换 433

15.2.2 运行伫列 433

15.2.3 CPU 利用率 433

15.2.4 使用vmstat 工具进行监控 434

15.2.5 使用mpstat 工具进行多

处理器监控 436

15.2.6 CPU监控总结 438

15.3 记忆体监控详解 438

15.3.1 Virtual Memory介绍 438

15.3.2 Virtual Memory Pages 438

15.3.3 Kernel Memory Paging 438

15.3.4 kswapd 438

15.3.5 使用vmstat进行记忆体监控 439

15.3.6 记忆体监控总结 440

15.4 I/O监控详解 440

15.4.1 I/O监控介绍 440

15.4.2 读和写数据——记忆体页 440

15.4.3 Major and Minor Page Faults

（主要页错误和次要页

错误） 440

15.4.4 The File Buffer Cache

（档案快取区） 441

15.4.5 Type of Memory Pages 441

15.4.6 Writing Data Pages Back

to Disk 442

15.4.7 监控I/O 442

15.4.8 Calculating IO’s Per Second

（IOPS的计算） 442

15.4.9 Random vs Sequential I/O

（随机/顺序I/O） 442

15.4.10 判断虚拟记忆体对I/O

的影响 444

15.4.11 I/O监控总结 445

第16章 见微知着：企业级Linux

网路监控 446

16.1 Cacti网路监控工具简介 447

16.2 安装和配置Cacti 448

16.2.1 安装辅助工具 448

16.2.2 安装Cacti 456

16.3 使用Cacti 459

16.3.1 Cacti界面介绍 459

16.3.2 创建监测点 461

16.3.3 查看监测点 463

16.3.4 为已有Host添加新的

监控图 468

16.3.5 合併多个数据源到

一张图上 469

16.3.6 使用Cacti外挂程式 471

第17章 他山之石：发现企业

网路漏洞 474

17.1 发现企业网路漏洞的大致思路 475

17.1.1 基本思路 475

17.1.2 採用网路安全扫描 475

17.2 连线埠扫描 476

17.2.1 连线埠扫描技术的基本原理 476

17.2.2 连线埠扫描技术的主要种类 476

17.2.3 快速安装Nmap 479

17.2.4 使用Nmap确定开放连线埠 480

17.3 漏洞扫描 499

17.3.1 漏洞扫描基本原理 499

17.3.2 选择：网路漏洞扫描与主机

漏洞扫描 500

17.3.3 高效使用网路漏洞扫描 501

17.3.4 快速安装Nessus 503

17.3.5 使用Nessus扫描 505

第五篇 企业Linux安全运维命令、工具

第18章 终极挑战：企业Linux

核心构建 509

18.1 企业级Linux核心简介 510

18.2 下载、安装和预备核心原始码 510

18.2.1 先决条件 511

18.2.2 下载原始码 511

18.2.3 安装原始码 511

18.2.4 预备原始码 512

18.3 原始码配置和编译Linux核心 513

18.3.1 标记核心 513

18.3.2 .config: 配置核心 513

18.3.3 定製核心 515

18.3.4 清理原始码树 516

18.3.5 複製配置档案 517

18.3.6 编译核心映像档案和可

载入模组 517

18.3.7 使用可载入核心模组 517

18.4 安装核心、模组和相关档案 518

18.5 Linux系统故障处理 518

18.5.1 修复档案系统 519

18.5.2 重新安装MBR 519

18.5.3 当系统无法引导时 519

18.5.4 挽救已安装的系统 519

第19章 神兵利器：企业Linux数据

备份及安全工具 521

19.1 安全备份工具 522

19.1.1 Amanda 522

19.1.2 BackupPC 522

19.1.3 Bacula 522

19.1.4 Xtar 523

19.1.5 Taper 523

19.1.6 Arkeia 523

19.1.7 webCDcreator 523

19.1.8 Ghost for Linux 523

19.1.9 NeroLINUX 524

19.1.10 mkCDrec 524

19.2 Sudo：系统管理工具 524

19.3 NetCat：网路安全界的

瑞士军刀 525

19.4 LSOF：隐蔽档案发现工具 526

19.5 Traceroute：路由追蹤工具 526

19.6 XProbe：作业系统识别工具 526

19.7 SATAN：系统弱点发现工具 527

附录A 企业级Linux命令速查

指南 528

A.1 档案系统管理命令 529

A.2 系统管理命令 544

A.3 系统设定命令 553

A.4 磁碟管理及维护命令 559

A.5 网路命令 586

附录B 网路工具资源汇总 591