Red Hat Linux安全與優(yōu)化

譯者序
前言
致謝
第一部分 系統性能
第1章 性能的基本要求
1.1 測量系統性能
1.1.1 使用ps監(jiān)控系統性能
1.1.2 使用top跟蹤系統行為
1.1.3 使用vmstat檢測內存以及I/O
1.1.4 運行vtad分析系統
1.2 小結
第2章 內核調整
2.1 編譯和安裝自定義內核
2.1.1 下載最新的內核源代碼
2.1.2 創(chuàng)建/usr/src/linux符號鏈接
2.1.3 選擇內核配置方法
2.1.4 使用menuconfig
2.1.5 編譯內核
2.1.6 啟動新內核
2.2 運行高要求應用程序
2.3 小結
第3章 文件系統調整
3.1 硬盤調整
3.2 ext2文件系統調整
3.2.1 改變ext2文件系統的塊尺寸
3.2.2 使用e2fsprogs（ext2文件系統磁盤工具）調整ext2文件系統
3.3 使用日志式文件系統
3.3.1 編譯和安裝ReiserFS文件系統
3.3.2 使用ReiserFS文件系統
3.3.3 基準測試ReiserFS文件系統
3.4 管理邏輯卷
3.4.1 編譯和安裝LVM內核模塊
3.4.2 創(chuàng)建邏輯卷
3.4.3 向邏輯卷添加一個新磁盤或分區(qū)
3.4.4 從卷組中刪除一個磁盤或分區(qū)
3.5 使用RAID、SAN或存儲應用
3.5.1 使用Linux軟件RAID
3.5.2 使用硬件RAID
3.5.3 使用SAN
3.5.4 使用存儲應用
3.6 使用基于RAM的文件系統
3.7 小結
第二部分 網絡和服務性能
第4章 網絡性能
4.1 優(yōu)化以太局域網或廣域網
4.1.1 使用網絡分割技術提高性能
4.1.2 用交換機取代集線器
4.1.3 使用高速以太網
4.1.4 使用主干網
4.1.5 理解和控制網絡數據流量
4.1.6 使用DNS服務器均衡負載
4.2 IP Accounting
4.2.1 在Linux網關系統上使用IP accounting
4.3 小結
第5章 Web服務器性能
5.1 編譯有特定要求的Apache服務器
5.2 調整Apache配置
5.2.1 控制Apache進程
5.2.2 控制系統資源
5.2.3 使用動態(tài)模塊
5.3 加速靜態(tài)Web頁面
5.3.1 利用減少磁盤輸入/輸出加速靜態(tài)頁面?zhèn)魉?br />5.3.2 使用內核HTTP守護進程
5.4 加速Web應用
5.4.1 使用mod_perl模塊
5.4.2 使用FastCGI
5.4.3 為Apache安裝配置FastCGI模塊
5.4.4 使用Java Servlet
5.4.5 使用Squid代理緩存服務器
5.5 小結
第6章 E－mail服務器性能
6.1 如何選擇MTA
6.2 調整Sendmail
6.2.1 控制消息的最大尺寸
6.2.2 高速緩存連接
6.2.3 控制同時連接數
6.2.4 通過Sendmail限制負載
6.2.5 處理郵件隊列時如何節(jié)約內存
6.2.6 控制等待隊列中的消息數
6.2.7 控制整個隊列狀態(tài)
6.3 調整Postfix
6.3.1 安裝Postfix
6.3.2 限制使用的進程數
6.3.3 限制消息的最大尺寸
6.3.4 限制隊列中的消息數
6.3.5 限制同時發(fā)送給一個站點的郵件數量
6.3.6 控制整個隊列狀態(tài)
6.3.7 控制等待隊列中的消息長度
6.3.8 控制消息隊列處理頻率
6.4 使用PowerMTA處理大量外發(fā)郵件
6.4.1 使用多重spool目錄以提高速度
6.4.2 設置文件描述符的最大個數
6.4.3 設置用戶進程的最大數目
6.4.4 設置并發(fā)SMTP連接的最大數
6.4.5 性能管理
6.5 小結
第7章 NFS和Samba服務器性能
7.1 優(yōu)化Samba服務器
7.1.1 控制TCP socket選項
7.2 優(yōu)化Samba客戶端
7.3 優(yōu)化NFS服務器
7.3.1 優(yōu)化讀/寫塊的大小
7.3.2 設定合適的最大傳輸單元
7.3.3 運行合理數目的NFS守護進程
7.3.4 管理報文碎片
7.4 小結
第三部分 系統安全
第8章 內核安全
8.1 使用Linux闖入者偵測系統（LIDS）
8.1.1 建立基于LIDS的Linux系統
8.1.2 管理LIDS
8.2 用libsafe保護程序的堆棧
8.2.1 編譯和安裝libsafe
8.2.2 使用libsafe
8.3 小結
第9章 保護文件和文件系統的安全
9.1 管理文件、目錄和組用戶權限
9.1.1 理解文件的所有權和訪問權限
9.1.2 用chown命令修改文件和目錄的所有權
9.1.3 用chgrp修改文件和目錄的組所有權
9.1.4 使用八進制數來設置文件和目錄的訪問權限
9.1.5 使用訪問字符串來設置訪問權限
9.1.6 用chmod改變文件和目錄的存取權限
9.1.7 管理符號鏈接
9.1.8 管理用戶組權限
9.2 檢查用戶和組的一致性
9.3 保證文件和目錄的安全
9.3.1 理解文件系統的層次結構
9.3.2 使用umask設置系統級的默認訪問控制模型
9.3.3 處理完全訪問文件
9.3.4 處理set－UID和set－GID程序
9.4 使用ext2文件系統的安全特性
9.4.1 使用chatter
9.4.2 使用lsattr
9.5 使用文件完整性檢測器
9.5.1 使用自己的文件完整性檢測器
9.5.2 使用Linux版本中開放源代碼的Tripwire
9.6 安裝完整性檢測器
9.6.1 安裝AIDE
9.6.2 安裝ICU
9.7 創(chuàng)建權限策略
9.7.1 設置用戶對配置文件的訪問權限
9.7.2 為用戶設置文件的默認訪問權限
9.7.3 設置可執(zhí)行文件的訪問權限
9.8 小結
第10章 PAM
10.1 什么是PAM
10.1.1 使用PAM配置文件工作
10.2 建立PAM－aware應用程序
10.3 使用不同的PAM模塊來增強安全性
10.3.1 通過時間控制訪問
10.3.2 限制除了root用戶之外所有用戶的訪問
10.3.3 在用戶之間管理系統資源
10.3.4 使用mod_console對控制臺進行安全的訪問
10.4 小結
第11章 OpenSSL
11.1 理解SSL如何工作
11.1.1 對稱加密
11.1.2 非對稱加密
11.1.3 SSL是數據加密的一個協議
11.2 理解OpenSSL
11.2.1 使用OpenSSL
11.2.2 獲得OpenSSL
11.3 安裝和配置OpenSSL
11.3.1 OpenSSL先決條件
11.3.2 編譯和安裝OpenSSL
11.4 理解服務器證書
11.4.1 什么是證書
11.4.2 什么是認證機構
11.4.3 商業(yè)CA
11.4.4 自我驗證的個人CA
11.5 從商業(yè)CA獲得服務器證書
11.6 創(chuàng)建個人CA
11.7 小結
第12章 屏蔽密碼和OpenSSH
12.1 理解用戶賬號的風險
12.2 保護用戶賬號的安全
12.2.1 使用屏蔽的密碼和組
12.2.2 檢查密碼一致性
12.2.3 清除風險性的shell服務
12.3 使用OpenSSH進行安全遠程訪問
12.3.1 獲取并安裝OpenSSH
12.3.2 配置OpenSSH服務
12.3.3 連接到OpenSSH服務器
12.4 管理root賬號
12.4.1 限制root賬號的訪問
12.4.2 使用su命令成為root用戶或其他用戶
12.4.3 使用sudo委派root用戶訪問
12.5 監(jiān)控用戶
12.5.1 列出當前登錄系統的用戶
12.5.2 記錄曾經訪問過系統的用戶
12.6 創(chuàng)建用戶訪問安全策略
12.7 創(chuàng)建用戶終止安全策略
12.8 小結
第13章 安全遠程密碼
13.1 設置安全遠程密碼支持
13.2 建立指數密碼系統（EPS）
13.2.1 使用EPS PAM模塊進行密碼驗證
13.2.2 將標準密碼轉換成EPS格式
13.3 使用啟用SRP的Telent服務
13.3.1 在非Linux平臺上使用啟用SRP的Telnet客戶機
13.4 使用啟用SRP的FTP服務
13.4.1 在非Linux平臺上使用啟用SRP的FTP客戶機
13.5 小結
第14章 xinetd
14.1 什么是xinetd
14.2 設置xinetd
14.2.1 獲得xinetd
14.2.2 編譯和安裝xinetd
14.2.3 配置xinetd服務
14.3 啟動、重新加載和停止xinetd服務
14.4 加強／etc／xinetd.conf配置文件中默認值的安全性
14.5 使用xinetd運行Internet后臺進程
14.6 用名字或IP地址控制訪問
14.7 根據一大中的某個時段控制訪問
14.8 減少拒絕服務攻擊的風險
14.8.1 限制服務器的數目
14.8.2 限制log文件大小
14.8.3 限制負載
14.8.4 限制連接速率
14.9 創(chuàng)建有區(qū)別的訪問服務
14.10 重定向和轉發(fā)客戶請求
14.11 使用xinetd的TCP Wrapper
14.12 將sshd作為xinetd運行
14.13 使用xadmin
14.14 小結
第四部分 網絡服務安全
第15章 Web服務器安全
15.1 了解Web風險
15.2 為Apache配置切實可行的安全措施
15.2.1 為Apache使用專門的用戶和組
15.2.2 使用一個安全的目錄結構
15.2.3 使用相應的文件和目錄權限
15.2.4 使用目錄索引文件
15.2.5 禁止默認訪問
15.2.6 禁止用戶重載
15.3 使用偏執(zhí)的配置
15.4 減少CGI風險
15.4.1 信息漏洞
15.4.2 系統資源的消耗
15.4.3 通過CGI腳本進行系統命令的欺騙
15.4.4 禁止用戶輸入對系統不安全的調用
15.4.5 在HTML頁面中隱藏數據的用戶修改
15.5 包裝CGI腳本
15.5.1 SuEXEC
15.5.2 CGIWrap
15.5.3 隱藏有關CGI腳本的線索
15.6 減少SSI風險
15.7 記錄任何事件
15.8 限制對敏感內容的訪問
15.8.1 使用IP或主機名
15.8.2 使用HTTP驗證方案
15.8.3 控制Web Robot
15.9 內容發(fā)布指導方針
15.10 使用Apache－SSL
15.10.1 編譯和安裝Apache－SSL補丁
15.10.2 為Apache－SSL服務器創(chuàng)建一個證書
15.10.3 為SSL配置Apache
15.10.4 測試SSL連接
15.11 小結
第16章 域名服務器安全
16.1 理解什么是DNS欺騙
16.2 使用Dlint檢查DNS配置
16.2.1 獲得Dlint
16.2.2 安裝Dlint
16.2.3 運行Dlint
16.3 配置安全的BIND
16.3.1 將事務簽名（TSIG）用于區(qū)帶傳輸
16.3.2 非root用戶運行BIND
16.3.3 隱藏BIND的版本號
16.3.4 請求限制
16.3.5 關閉glue fetching
16.3.6 為域名服務器創(chuàng)建chroot
16.3.7 使用DNSSEC（簽字區(qū)帶）
16.4 小結
第17章 E－mail服務器安全
17.1 什么是開放式郵件中繼
17.2 電子郵件服務器是否易于攻擊
17.3 保護Sendmail
17.3.1 控制郵件中繼
17.3.2 允許MAPS實時黑洞列表（RBL）支持
17.3.3 使用procmail清理輸入郵件
17.3.4 只發(fā)出郵件
17.3.5 在沒有root特權的情況下還行Sendmail
17.4 保護Postfix
17.4.1 拒收垃圾郵件
17.4.2 通過化裝來隱藏內部郵件地址
17.5 小結
第18章 FTP服務器安全
18.1 保證WU－FTPD的安全
18.1.1 通過用戶名限制FTP訪問
18.1.2 設置FTP默認文件許可
18.1.3 使用FTP會話限制
18.1.4 使用／etc／ftpaccess中的選項保護WU－FTPD
18.2 使用ProFTPD
18.2.1 下載、編譯和安裝ProFTPD
18.2.2 配置ProFTPD
18.2.3 監(jiān)控ProFTPD
18.2.4 保證ProFTPD的安全
18.3 小結
第19章 Samba服務器和NFS服務器安全
19.1 Samba服務器的安全性
19.1.1 選擇合適的安全級別
19.1.2 避免明語密碼
19.1.3 允許來自信任域的用戶進行訪問
19.1.4 通過網絡接口控制Samba訪問
19.1.5 通過主機名和IP地址控制Samba訪問
19.1.6 使用pam_smb對Windows NT服務器的所有用戶進行驗證
19.1.7 將OpenSSL用于Samba
19.2 NFS服務器安全性
19.3 使用密碼文件系統
19.4 小結
第五部分 防火墻
第20章 防火墻、虛擬專網和SSL通道
20.1 報文過濾防火墻
20.1.1 在內核中啟用netfilter
20.2 利用iptables創(chuàng)建報文過濾規(guī)則
20.2.1 創(chuàng)建默認的策略
20.2.2 添加規(guī)則
20.2.3 列出規(guī)則
20.2.4 刪除規(guī)則
20.2.5 在鏈中插入新規(guī)則
20.2.6 在鏈中更換規(guī)則
20.3 創(chuàng)建SOHO報文過濾防火墻
20.3.1 允許專網用戶訪問外部Web服務器
20.3.2 允許外部Web瀏覽器訪問防火墻上的Web服務器
20.3.3 DNS客戶端和單一高速緩存服務
20.3.4 SMTP客戶服務
20.3.5 POP3客戶服務
20.3.6 被動模式的FTP客戶服務
20.3.7 SSH客戶服務
20.3.8 其他的新客戶服務
20.4 創(chuàng)建簡單防火墻
20.5 創(chuàng)建透明代理地址解析協議防火墻
20.6 創(chuàng)建組織防火墻
20.6.1 內部防火墻的目的
20.6.2 主防火墻的目的
20.6.3 安裝內部防火墻
20.6.4 安裝主防火墻
20.7 安全的虛擬專網
20.7.1 編譯和安裝FREE S/WAN
20.7.2 創(chuàng)建虛擬專網
20.6 Stunnel：通用的SSL包裝
20.8.1 編譯和安裝Stunnel
20.8.2 保障IMAP安全
20.8.3 保障POP3安全
20.8.4 為特殊情況保障SMTP安全
20.9 小結
第21章 防火墻安全工具
21.1 使用安全評估（審核）工具
21.1.1 利用SAINT執(zhí)行安全審核
21.1.2 SARA
21.1.3 VetesCan
21.2 使用端口掃描器
21.2.1 使用nmap執(zhí)行痕跡分析
21.2.2 使用PortSentry監(jiān)視連接
21.2.3 使用Nessus安全掃描器
21.2.4 使用Strobe
21.3 使用日志監(jiān)視和分析工具
21.3.1 使用日志檢查來探測不尋常的日志條目
21.3.2 Swatch
21.3.3 IPTraf
21.4 使用CGI掃描器
21.4.1 使用cgichk.pl
21.4.2 使用Whisker
21.4.3 使用Malice
21.5 使用密碼破譯器
21.5.1 John The Ripper
21.5.2 Crack
21.6 使用入侵探測工具
21.6.1 Tripwire
21.6.2 LIDS
21.7 使用數據報文過濾器和嗅探器
21.7.1 snort
21.7.2 GShield
21.8 對安全管理員有用的工具
21.8.1 使用Netcat
21.8.2 tcpdump
21.8.3 LSOF
21.8.4 ngrep
21.9 小結
附錄A IP網絡地址分類
A.1 A類IP網絡地址
A.2 B類IP網絡地址
A.3 C類IP網絡地址
A.4 子網IP網絡
附錄B 常用的Linux命令
B.1 如何使用在線幫助手冊
B.2 常用的文件和目錄命令
B.3 文件壓縮和備份命令
B.4 文件系統專用命令
B.5 兼容DOS的命令
B.6 系統狀態(tài)專用指令
B.7 用戶管理指令
B.8 訪問網絡設備的用戶指令
B.9 網絡管理員指令
B.10 進程管理指令
B.11 任務自動化指令
B.12 排程指令
B.13 Shell指令
B.14 打印專用指令
附錄C Internet資源
C.1 Usenet新聞組
C.2 郵件列表
C.3 相關的Web站點
C.4 用戶組
附錄D 修補受損系統
D.1 拔掉系統的網絡電纜
D.2 通知適當的管理部門
D.3 創(chuàng)建一個備份副本
D.4 分析受損系統數據