Red Hat Linux安全與優(yōu)化

譯者序
前言
致謝
第一部分 系統(tǒng)性能
第1章 性能的基本要求
1.1 測(cè)量系統(tǒng)性能
1.1.1 使用ps監(jiān)控系統(tǒng)性能
1.1.2 使用top跟蹤系統(tǒng)行為
1.1.3 使用vmstat檢測(cè)內(nèi)存以及I/O
1.1.4 運(yùn)行vtad分析系統(tǒng)
1.2 小結(jié)
第2章 內(nèi)核調(diào)整
2.1 編譯和安裝自定義內(nèi)核
2.1.1 下載最新的內(nèi)核源代碼
2.1.2 創(chuàng)建/usr/src/linux符號(hào)鏈接
2.1.3 選擇內(nèi)核配置方法
2.1.4 使用menuconfig
2.1.5 編譯內(nèi)核
2.1.6 啟動(dòng)新內(nèi)核
2.2 運(yùn)行高要求應(yīng)用程序
2.3 小結(jié)
第3章 文件系統(tǒng)調(diào)整
3.1 硬盤調(diào)整
3.2 ext2文件系統(tǒng)調(diào)整
3.2.1 改變ext2文件系統(tǒng)的塊尺寸
3.2.2 使用e2fsprogs（ext2文件系統(tǒng)磁盤工具）調(diào)整ext2文件系統(tǒng)
3.3 使用日志式文件系統(tǒng)
3.3.1 編譯和安裝ReiserFS文件系統(tǒng)
3.3.2 使用ReiserFS文件系統(tǒng)
3.3.3 基準(zhǔn)測(cè)試ReiserFS文件系統(tǒng)
3.4 管理邏輯卷
3.4.1 編譯和安裝LVM內(nèi)核模塊
3.4.2 創(chuàng)建邏輯卷
3.4.3 向邏輯卷添加一個(gè)新磁盤或分區(qū)
3.4.4 從卷組中刪除一個(gè)磁盤或分區(qū)
3.5 使用RAID、SAN或存儲(chǔ)應(yīng)用
3.5.1 使用Linux軟件RAID
3.5.2 使用硬件RAID
3.5.3 使用SAN
3.5.4 使用存儲(chǔ)應(yīng)用
3.6 使用基于RAM的文件系統(tǒng)
3.7 小結(jié)
第二部分 網(wǎng)絡(luò)和服務(wù)性能
第4章 網(wǎng)絡(luò)性能
4.1 優(yōu)化以太局域網(wǎng)或廣域網(wǎng)
4.1.1 使用網(wǎng)絡(luò)分割技術(shù)提高性能
4.1.2 用交換機(jī)取代集線器
4.1.3 使用高速以太網(wǎng)
4.1.4 使用主干網(wǎng)
4.1.5 理解和控制網(wǎng)絡(luò)數(shù)據(jù)流量
4.1.6 使用DNS服務(wù)器均衡負(fù)載
4.2 IP Accounting
4.2.1 在Linux網(wǎng)關(guān)系統(tǒng)上使用IP accounting
4.3 小結(jié)
第5章 Web服務(wù)器性能
5.1 編譯有特定要求的Apache服務(wù)器
5.2 調(diào)整Apache配置
5.2.1 控制Apache進(jìn)程
5.2.2 控制系統(tǒng)資源
5.2.3 使用動(dòng)態(tài)模塊
5.3 加速靜態(tài)Web頁(yè)面
5.3.1 利用減少磁盤輸入/輸出加速靜態(tài)頁(yè)面?zhèn)魉?br />5.3.2 使用內(nèi)核HTTP守護(hù)進(jìn)程
5.4 加速Web應(yīng)用
5.4.1 使用mod_perl模塊
5.4.2 使用FastCGI
5.4.3 為Apache安裝配置FastCGI模塊
5.4.4 使用Java Servlet
5.4.5 使用Squid代理緩存服務(wù)器
5.5 小結(jié)
第6章 E－mail服務(wù)器性能
6.1 如何選擇MTA
6.2 調(diào)整Sendmail
6.2.1 控制消息的最大尺寸
6.2.2 高速緩存連接
6.2.3 控制同時(shí)連接數(shù)
6.2.4 通過Sendmail限制負(fù)載
6.2.5 處理郵件隊(duì)列時(shí)如何節(jié)約內(nèi)存
6.2.6 控制等待隊(duì)列中的消息數(shù)
6.2.7 控制整個(gè)隊(duì)列狀態(tài)
6.3 調(diào)整Postfix
6.3.1 安裝Postfix
6.3.2 限制使用的進(jìn)程數(shù)
6.3.3 限制消息的最大尺寸
6.3.4 限制隊(duì)列中的消息數(shù)
6.3.5 限制同時(shí)發(fā)送給一個(gè)站點(diǎn)的郵件數(shù)量
6.3.6 控制整個(gè)隊(duì)列狀態(tài)
6.3.7 控制等待隊(duì)列中的消息長(zhǎng)度
6.3.8 控制消息隊(duì)列處理頻率
6.4 使用PowerMTA處理大量外發(fā)郵件
6.4.1 使用多重spool目錄以提高速度
6.4.2 設(shè)置文件描述符的最大個(gè)數(shù)
6.4.3 設(shè)置用戶進(jìn)程的最大數(shù)目
6.4.4 設(shè)置并發(fā)SMTP連接的最大數(shù)
6.4.5 性能管理
6.5 小結(jié)
第7章 NFS和Samba服務(wù)器性能
7.1 優(yōu)化Samba服務(wù)器
7.1.1 控制TCP socket選項(xiàng)
7.2 優(yōu)化Samba客戶端
7.3 優(yōu)化NFS服務(wù)器
7.3.1 優(yōu)化讀/寫塊的大小
7.3.2 設(shè)定合適的最大傳輸單元
7.3.3 運(yùn)行合理數(shù)目的NFS守護(hù)進(jìn)程
7.3.4 管理報(bào)文碎片
7.4 小結(jié)
第三部分 系統(tǒng)安全
第8章 內(nèi)核安全
8.1 使用Linux闖入者偵測(cè)系統(tǒng)（LIDS）
8.1.1 建立基于LIDS的Linux系統(tǒng)
8.1.2 管理LIDS
8.2 用libsafe保護(hù)程序的堆棧
8.2.1 編譯和安裝libsafe
8.2.2 使用libsafe
8.3 小結(jié)
第9章 保護(hù)文件和文件系統(tǒng)的安全
9.1 管理文件、目錄和組用戶權(quán)限
9.1.1 理解文件的所有權(quán)和訪問權(quán)限
9.1.2 用chown命令修改文件和目錄的所有權(quán)
9.1.3 用chgrp修改文件和目錄的組所有權(quán)
9.1.4 使用八進(jìn)制數(shù)來設(shè)置文件和目錄的訪問權(quán)限
9.1.5 使用訪問字符串來設(shè)置訪問權(quán)限
9.1.6 用chmod改變文件和目錄的存取權(quán)限
9.1.7 管理符號(hào)鏈接
9.1.8 管理用戶組權(quán)限
9.2 檢查用戶和組的一致性
9.3 保證文件和目錄的安全
9.3.1 理解文件系統(tǒng)的層次結(jié)構(gòu)
9.3.2 使用umask設(shè)置系統(tǒng)級(jí)的默認(rèn)訪問控制模型
9.3.3 處理完全訪問文件
9.3.4 處理set－UID和set－GID程序
9.4 使用ext2文件系統(tǒng)的安全特性
9.4.1 使用chatter
9.4.2 使用lsattr
9.5 使用文件完整性檢測(cè)器
9.5.1 使用自己的文件完整性檢測(cè)器
9.5.2 使用Linux版本中開放源代碼的Tripwire
9.6 安裝完整性檢測(cè)器
9.6.1 安裝AIDE
9.6.2 安裝ICU
9.7 創(chuàng)建權(quán)限策略
9.7.1 設(shè)置用戶對(duì)配置文件的訪問權(quán)限
9.7.2 為用戶設(shè)置文件的默認(rèn)訪問權(quán)限
9.7.3 設(shè)置可執(zhí)行文件的訪問權(quán)限
9.8 小結(jié)
第10章 PAM
10.1 什么是PAM
10.1.1 使用PAM配置文件工作
10.2 建立PAM－aware應(yīng)用程序
10.3 使用不同的PAM模塊來增強(qiáng)安全性
10.3.1 通過時(shí)間控制訪問
10.3.2 限制除了root用戶之外所有用戶的訪問
10.3.3 在用戶之間管理系統(tǒng)資源
10.3.4 使用mod_console對(duì)控制臺(tái)進(jìn)行安全的訪問
10.4 小結(jié)
第11章 OpenSSL
11.1 理解SSL如何工作
11.1.1 對(duì)稱加密
11.1.2 非對(duì)稱加密
11.1.3 SSL是數(shù)據(jù)加密的一個(gè)協(xié)議
11.2 理解OpenSSL
11.2.1 使用OpenSSL
11.2.2 獲得OpenSSL
11.3 安裝和配置OpenSSL
11.3.1 OpenSSL先決條件
11.3.2 編譯和安裝OpenSSL
11.4 理解服務(wù)器證書
11.4.1 什么是證書
11.4.2 什么是認(rèn)證機(jī)構(gòu)
11.4.3 商業(yè)CA
11.4.4 自我驗(yàn)證的個(gè)人CA
11.5 從商業(yè)CA獲得服務(wù)器證書
11.6 創(chuàng)建個(gè)人CA
11.7 小結(jié)
第12章 屏蔽密碼和OpenSSH
12.1 理解用戶賬號(hào)的風(fēng)險(xiǎn)
12.2 保護(hù)用戶賬號(hào)的安全
12.2.1 使用屏蔽的密碼和組
12.2.2 檢查密碼一致性
12.2.3 清除風(fēng)險(xiǎn)性的shell服務(wù)
12.3 使用OpenSSH進(jìn)行安全遠(yuǎn)程訪問
12.3.1 獲取并安裝OpenSSH
12.3.2 配置OpenSSH服務(wù)
12.3.3 連接到OpenSSH服務(wù)器
12.4 管理root賬號(hào)
12.4.1 限制root賬號(hào)的訪問
12.4.2 使用su命令成為root用戶或其他用戶
12.4.3 使用sudo委派root用戶訪問
12.5 監(jiān)控用戶
12.5.1 列出當(dāng)前登錄系統(tǒng)的用戶
12.5.2 記錄曾經(jīng)訪問過系統(tǒng)的用戶
12.6 創(chuàng)建用戶訪問安全策略
12.7 創(chuàng)建用戶終止安全策略
12.8 小結(jié)
第13章 安全遠(yuǎn)程密碼
13.1 設(shè)置安全遠(yuǎn)程密碼支持
13.2 建立指數(shù)密碼系統(tǒng)（EPS）
13.2.1 使用EPS PAM模塊進(jìn)行密碼驗(yàn)證
13.2.2 將標(biāo)準(zhǔn)密碼轉(zhuǎn)換成EPS格式
13.3 使用啟用SRP的Telent服務(wù)
13.3.1 在非Linux平臺(tái)上使用啟用SRP的Telnet客戶機(jī)
13.4 使用啟用SRP的FTP服務(wù)
13.4.1 在非Linux平臺(tái)上使用啟用SRP的FTP客戶機(jī)
13.5 小結(jié)
第14章 xinetd
14.1 什么是xinetd
14.2 設(shè)置xinetd
14.2.1 獲得xinetd
14.2.2 編譯和安裝xinetd
14.2.3 配置xinetd服務(wù)
14.3 啟動(dòng)、重新加載和停止xinetd服務(wù)
14.4 加強(qiáng)／etc／xinetd.conf配置文件中默認(rèn)值的安全性
14.5 使用xinetd運(yùn)行Internet后臺(tái)進(jìn)程
14.6 用名字或IP地址控制訪問
14.7 根據(jù)一大中的某個(gè)時(shí)段控制訪問
14.8 減少拒絕服務(wù)攻擊的風(fēng)險(xiǎn)
14.8.1 限制服務(wù)器的數(shù)目
14.8.2 限制log文件大小
14.8.3 限制負(fù)載
14.8.4 限制連接速率
14.9 創(chuàng)建有區(qū)別的訪問服務(wù)
14.10 重定向和轉(zhuǎn)發(fā)客戶請(qǐng)求
14.11 使用xinetd的TCP Wrapper
14.12 將sshd作為xinetd運(yùn)行
14.13 使用xadmin
14.14 小結(jié)
第四部分 網(wǎng)絡(luò)服務(wù)安全
第15章 Web服務(wù)器安全
15.1 了解Web風(fēng)險(xiǎn)
15.2 為Apache配置切實(shí)可行的安全措施
15.2.1 為Apache使用專門的用戶和組
15.2.2 使用一個(gè)安全的目錄結(jié)構(gòu)
15.2.3 使用相應(yīng)的文件和目錄權(quán)限
15.2.4 使用目錄索引文件
15.2.5 禁止默認(rèn)訪問
15.2.6 禁止用戶重載
15.3 使用偏執(zhí)的配置
15.4 減少CGI風(fēng)險(xiǎn)
15.4.1 信息漏洞
15.4.2 系統(tǒng)資源的消耗
15.4.3 通過CGI腳本進(jìn)行系統(tǒng)命令的欺騙
15.4.4 禁止用戶輸入對(duì)系統(tǒng)不安全的調(diào)用
15.4.5 在HTML頁(yè)面中隱藏?cái)?shù)據(jù)的用戶修改
15.5 包裝CGI腳本
15.5.1 SuEXEC
15.5.2 CGIWrap
15.5.3 隱藏有關(guān)CGI腳本的線索
15.6 減少SSI風(fēng)險(xiǎn)
15.7 記錄任何事件
15.8 限制對(duì)敏感內(nèi)容的訪問
15.8.1 使用IP或主機(jī)名
15.8.2 使用HTTP驗(yàn)證方案
15.8.3 控制Web Robot
15.9 內(nèi)容發(fā)布指導(dǎo)方針
15.10 使用Apache－SSL
15.10.1 編譯和安裝Apache－SSL補(bǔ)丁
15.10.2 為Apache－SSL服務(wù)器創(chuàng)建一個(gè)證書
15.10.3 為SSL配置Apache
15.10.4 測(cè)試SSL連接
15.11 小結(jié)
第16章 域名服務(wù)器安全
16.1 理解什么是DNS欺騙
16.2 使用Dlint檢查DNS配置
16.2.1 獲得Dlint
16.2.2 安裝Dlint
16.2.3 運(yùn)行Dlint
16.3 配置安全的BIND
16.3.1 將事務(wù)簽名（TSIG）用于區(qū)帶傳輸
16.3.2 非root用戶運(yùn)行BIND
16.3.3 隱藏BIND的版本號(hào)
16.3.4 請(qǐng)求限制
16.3.5 關(guān)閉glue fetching
16.3.6 為域名服務(wù)器創(chuàng)建chroot
16.3.7 使用DNSSEC（簽字區(qū)帶）
16.4 小結(jié)
第17章 E－mail服務(wù)器安全
17.1 什么是開放式郵件中繼
17.2 電子郵件服務(wù)器是否易于攻擊
17.3 保護(hù)Sendmail
17.3.1 控制郵件中繼
17.3.2 允許MAPS實(shí)時(shí)黑洞列表（RBL）支持
17.3.3 使用procmail清理輸入郵件
17.3.4 只發(fā)出郵件
17.3.5 在沒有root特權(quán)的情況下還行Sendmail
17.4 保護(hù)Postfix
17.4.1 拒收垃圾郵件
17.4.2 通過化裝來隱藏內(nèi)部郵件地址
17.5 小結(jié)
第18章 FTP服務(wù)器安全
18.1 保證WU－FTPD的安全
18.1.1 通過用戶名限制FTP訪問
18.1.2 設(shè)置FTP默認(rèn)文件許可
18.1.3 使用FTP會(huì)話限制
18.1.4 使用／etc／ftpaccess中的選項(xiàng)保護(hù)WU－FTPD
18.2 使用ProFTPD
18.2.1 下載、編譯和安裝ProFTPD
18.2.2 配置ProFTPD
18.2.3 監(jiān)控ProFTPD
18.2.4 保證ProFTPD的安全
18.3 小結(jié)
第19章 Samba服務(wù)器和NFS服務(wù)器安全
19.1 Samba服務(wù)器的安全性
19.1.1 選擇合適的安全級(jí)別
19.1.2 避免明語(yǔ)密碼
19.1.3 允許來自信任域的用戶進(jìn)行訪問
19.1.4 通過網(wǎng)絡(luò)接口控制Samba訪問
19.1.5 通過主機(jī)名和IP地址控制Samba訪問
19.1.6 使用pam_smb對(duì)Windows NT服務(wù)器的所有用戶進(jìn)行驗(yàn)證
19.1.7 將OpenSSL用于Samba
19.2 NFS服務(wù)器安全性
19.3 使用密碼文件系統(tǒng)
19.4 小結(jié)
第五部分 防火墻
第20章 防火墻、虛擬專網(wǎng)和SSL通道
20.1 報(bào)文過濾防火墻
20.1.1 在內(nèi)核中啟用netfilter
20.2 利用iptables創(chuàng)建報(bào)文過濾規(guī)則
20.2.1 創(chuàng)建默認(rèn)的策略
20.2.2 添加規(guī)則
20.2.3 列出規(guī)則
20.2.4 刪除規(guī)則
20.2.5 在鏈中插入新規(guī)則
20.2.6 在鏈中更換規(guī)則
20.3 創(chuàng)建SOHO報(bào)文過濾防火墻
20.3.1 允許專網(wǎng)用戶訪問外部Web服務(wù)器
20.3.2 允許外部Web瀏覽器訪問防火墻上的Web服務(wù)器
20.3.3 DNS客戶端和單一高速緩存服務(wù)
20.3.4 SMTP客戶服務(wù)
20.3.5 POP3客戶服務(wù)
20.3.6 被動(dòng)模式的FTP客戶服務(wù)
20.3.7 SSH客戶服務(wù)
20.3.8 其他的新客戶服務(wù)
20.4 創(chuàng)建簡(jiǎn)單防火墻
20.5 創(chuàng)建透明代理地址解析協(xié)議防火墻
20.6 創(chuàng)建組織防火墻
20.6.1 內(nèi)部防火墻的目的
20.6.2 主防火墻的目的
20.6.3 安裝內(nèi)部防火墻
20.6.4 安裝主防火墻
20.7 安全的虛擬專網(wǎng)
20.7.1 編譯和安裝FREE S/WAN
20.7.2 創(chuàng)建虛擬專網(wǎng)
20.6 Stunnel：通用的SSL包裝
20.8.1 編譯和安裝Stunnel
20.8.2 保障IMAP安全
20.8.3 保障POP3安全
20.8.4 為特殊情況保障SMTP安全
20.9 小結(jié)
第21章 防火墻安全工具
21.1 使用安全評(píng)估（審核）工具
21.1.1 利用SAINT執(zhí)行安全審核
21.1.2 SARA
21.1.3 VetesCan
21.2 使用端口掃描器
21.2.1 使用nmap執(zhí)行痕跡分析
21.2.2 使用PortSentry監(jiān)視連接
21.2.3 使用Nessus安全掃描器
21.2.4 使用Strobe
21.3 使用日志監(jiān)視和分析工具
21.3.1 使用日志檢查來探測(cè)不尋常的日志條目
21.3.2 Swatch
21.3.3 IPTraf
21.4 使用CGI掃描器
21.4.1 使用cgichk.pl
21.4.2 使用Whisker
21.4.3 使用Malice
21.5 使用密碼破譯器
21.5.1 John The Ripper
21.5.2 Crack
21.6 使用入侵探測(cè)工具
21.6.1 Tripwire
21.6.2 LIDS
21.7 使用數(shù)據(jù)報(bào)文過濾器和嗅探器
21.7.1 snort
21.7.2 GShield
21.8 對(duì)安全管理員有用的工具
21.8.1 使用Netcat
21.8.2 tcpdump
21.8.3 LSOF
21.8.4 ngrep
21.9 小結(jié)
附錄A IP網(wǎng)絡(luò)地址分類
A.1 A類IP網(wǎng)絡(luò)地址
A.2 B類IP網(wǎng)絡(luò)地址
A.3 C類IP網(wǎng)絡(luò)地址
A.4 子網(wǎng)IP網(wǎng)絡(luò)
附錄B 常用的Linux命令
B.1 如何使用在線幫助手冊(cè)
B.2 常用的文件和目錄命令
B.3 文件壓縮和備份命令
B.4 文件系統(tǒng)專用命令
B.5 兼容DOS的命令
B.6 系統(tǒng)狀態(tài)專用指令
B.7 用戶管理指令
B.8 訪問網(wǎng)絡(luò)設(shè)備的用戶指令
B.9 網(wǎng)絡(luò)管理員指令
B.10 進(jìn)程管理指令
B.11 任務(wù)自動(dòng)化指令
B.12 排程指令
B.13 Shell指令
B.14 打印專用指令
附錄C Internet資源
C.1 Usenet新聞組
C.2 郵件列表
C.3 相關(guān)的Web站點(diǎn)
C.4 用戶組
附錄D 修補(bǔ)受損系統(tǒng)
D.1 拔掉系統(tǒng)的網(wǎng)絡(luò)電纜
D.2 通知適當(dāng)?shù)墓芾聿块T
D.3 創(chuàng)建一個(gè)備份副本
D.4 分析受損系統(tǒng)數(shù)據(jù)