《防線——企業Linux安全運維理念和實戰》是2013年出版的圖書,作者是李洋。
出版背景,主要內容,目錄,
出版背景
防線——企業Linux安全運維理念和實戰
作者:李洋
圖書詳細信息:
ISBN:9787302318071
定價:79元
印次:1-1
裝幀:平裝
印刷日期:2013-7-15
主要內容
本書作者有多年的世界500強企業的信息安全管理工作經驗,深諳500強企業信息安全建設、規劃、實施和管理的細節、難點和重點問題。世界500強企業對於信息安全工作的重視程度,對於信息安全在建設、規劃、實施和管理等方面都有其獨到之處,可以為其他中小型和大型企業所借鑑和參照。基於這個目的,本書以筆者在500強企業中使用企業級開源作業系統Linux在信息安全中的部署和使用方法為切入點,來介紹如何做好信息安全工作。
本書共分為5篇,包含19章和兩個附錄。面向企業實際需求,對如何使用企業開源Linux作業系統來進行信息安全建設進行了全面、深入和系統的分析,並通過大量的威脅分析、解決思路、解決技術及實現實例來進行介紹。
本書覆蓋知識面廣,立意較高,幾乎覆蓋了企業套用開源Linux系統進行信息安全建設的方方面面。
本書適用於信息安全從業人員、眾多Linux愛好者、IT培訓人員及IT從業者、企業高級管理人員(CIO、CEO、CSO等),並可作為高等院校計算機和信息安全專業學生的教學參考用書。
目錄
目 錄
第一篇 安全運維理論及背景準備
第1章 知彼:企業信息安全現狀
剖析 3
1.1 信息安全問題概覽 4
1.1.1 黑客入侵 5
1.1.2 病毒發展趨勢 6
1.1.3 內部威脅 6
1.1.4 自然災害 6
1.2 各經濟大國安全問題概要 7
1.3 企業面臨的主要信息安全威脅 12
1.3.1 掃描 12
1.3.2 特洛伊木馬 12
1.3.3 拒絕服務攻擊和分散式拒絕
服務攻擊 14
1.3.4 病毒 18
1.3.5 IP 欺騙 21
1.3.6 ARP 欺騙 21
1.3.7 網路釣魚 22
1.3.8 殭屍網路 24
1.3.9 跨站腳本攻擊 25
1.3.10 緩衝區溢出攻擊 26
1.3.11 SQL注入攻擊 26
1.3.13 “社會工程學 ”攻擊 28
1.3.14 中間人攻擊 29
1.3.15 密碼攻擊 29
1.4 認識黑客 29
1.5 剖析黑客的攻擊手段 30
1.5.1 確定攻擊目標 31
1.5.2 踩點和信息蒐集 31
1.5.3 獲得許可權 32
1.5.4 許可權提升 33
1.5.5 攻擊實施 33
1.5.6 留取後門程式 33
1.5.7 掩蓋入侵痕跡 33
第2章 知己:企業信息安全
技術概覽 35
2.1 物理層防護:物理隔離 36
2.2 系統層防護:安全作業系統和
資料庫安全 38
2.2.1 選用安全作業系統 38
2.2.2 作業系統密碼設定 40
2.2.3 資料庫安全技術 41
2.3 網路層防護:防火牆 43
2.3.1 防火牆簡介 43
2.3.2 防火牆的分類 45
2.3.3 傳統防火牆技術 46
2.3.4 新一代防火牆的技術特點 47
2.3.5 防火牆技術的發展趨勢 49
2.3.6 防火牆的配置方式 50
2.3.7 防火牆的實際安全
部署建議 51
2.4 套用層防護:IDS/IPS 52
2.4.1 入侵檢測系統簡介 52
2.4.2 入侵檢測技術的發展 53
2.4.3 入侵檢測技術的分類 55
2.4.4 入侵檢測系統的分類 56
2.4.5 入侵防禦系統(IPS) 58
2.4.6 IPS的發展 59
2.4.7 IPS的技術特徵 59
2.4.8 IPS的功能特點 60
2.4.9 IPS的產品種類 62
2.5 網關級防護:UTM 63
2.6 Web套用綜合防護:WAF 64
2.7 數據防護:數據加密及備份 66
2.7.1 加密技術的基本概念 66
2.7.2 加密系統的分類 66
2.7.3 常用的加密算法 68
2.7.4 加密算法的主要套用場景 69
2.7.5 數據備份及恢復技術 70
2.8 遠程訪問安全保障:VPN 72
2.8.1 VPN簡介 72
2.8.2 VPN的分類 74
2.9 身份認證技術 76
2.9.1 靜態密碼 76
2.9.2 智慧卡(IC卡) 76
2.9.3 簡訊密碼 77
2.9.4 動態口令牌 77
2.9.5 USB Key 77
2.9.6 生物識別技術 78
2.9.7 雙因素身份認證 78
2.10 管理層:信息安全標準化組織
及標準 78
2.10.1 國際信息安全標準概覽 78
2.10.2 國內信息安全標準概覽 81
第二篇 企業Linux安全運維規劃及選型
第3章 規劃:企業信息安全
工作思路 87
3.1 信息安全的本質 88
3.2 信息安全概念經緯線:從層次
到屬性 89
3.3 業界信息安全專家定義的信息
安全:信息安全四要素 91
3.4 企業信息安全的實施內容和
依據(框架) 92
3.4.1 基本原則 92
3.4.2 傳統的企業信息安全架構 94
3.4.3 新的企業信息安全框架及
其實施內涵 95
3.5 規劃企業Linux安全的實施內容 98
第4章 選型:企業Linux軟硬體
選型及安裝部署 100
4.1 Linux套用套件選擇 101
4.1.1 Linux的歷史 101
4.1.2 與Linux相關的基本概念 101
4.1.3 Linux的主要特點 103
4.1.4 Linux的套用領域 104
4.1.5 常見的Linux發行套件 104
4.1.6 企業的選擇:Fedora vs Red
Hat Enterprise Linux 108
4.2 Linux核心版本選擇 109
4.3 Linux伺服器選型 109
4.3.1 CPU(處理器) 110
4.3.2 RAM(記憶體) 110
4.3.3 處理器架構 110
4.3.4 伺服器類型選型 111
4.4 Linux安裝及部署 115
4.4.1 注意事項 115
4.4.2 其他需求 116
4.5 大規模自動部署安裝Linux 116
4.5.1 PXE技術 117
4.5.2 搭建Yum源 117
4.5.3 安裝相關服務 118
第三篇 企業Linux安全運維實戰
第5章 高屋建瓴:“四步”完成企業
Linux系統安全防護 125
5.1 分析:企業Linux系統安全威脅 126
5.2 理念:企業級Linux系統安全立
體式防範體系 126
5.3 企業Linux檔案系統安全防護 127
5.3.1 企業Linux檔案系統的重要
檔案及目錄 127
5.3.2 檔案/目錄訪問許可權 129
5.3.3 字母檔案許可權設定法 130
5.3.4 數字檔案許可權設定法 130
5.3.5 特殊訪問模式及貼上位
的設定法 131
5.3.6 使用檔案系統一致性檢查
工具:Tripwire 132
5.3.7 根用戶安全管理 149
5.4 企業Linux進程安全防護 160
5.4.1 確定Linux下的重要進程 161
5.4.2 進程安全命令行管理方法 164
5.4.3 使用進程檔案系統
管理進程 165
5.4.4 管理中常用的PROC檔案
系統調用接口 169
5.5 企業Linux用戶安全管理 171
5.5.1 管理用戶及組檔案安全 171
5.5.2 用戶密碼管理 176
5.6 企業Linux日誌安全管理 181
5.6.1 Linux下的日誌分類 181
5.6.2 使用基本命令進行日誌
管理 182
5.6.3 使用syslog設備 185
5.7 套用LIDS進行Linux系統
入侵檢測 190
5.7.1 LIDS簡介 190
5.7.2 安裝LIDS 191
5.7.3 配置和使用LIDS 192
第6章 錦上添花:企業Linux操作
系統ACL套用及安全加固 196
6.1 安全加固必要性分析 197
6.2 加固第一步:使用ACL進行靈活
訪問控制 197
6.2.1 傳統的用戶-用戶組-其他用戶
(U-G-O)訪問控制機制回顧 197
6.2.2 擴展的訪問控制列表
(ACL)方式 199
6.3 加固第二步:使用SELinux強制
訪問控制 206
6.3.1 安全模型 206
6.3.2 SELinux:Linux安全增強
機制原理 210
6.3.3 SELinux中的上下文
(context) 212
6.3.4 SELinux中的目標策略
(Targeted Policy) 216
6.3.5 SELinux配置檔案和策略
目錄介紹 222
6.3.6 使用SELinux的準備 224
6.3.7 SELinux中布爾(boolean)
變數的使用 227
第7章 緊密布控:企業Web伺服器
安全防護 232
7.1 Web安全威脅分析及解決思路 233
7.2 Web伺服器選型 233
7.2.1 HTTP基本原理 233
7.2.2 為何選擇Apache伺服器 235
7.2.3 安裝Apache 236
7.3 安全配置Apache伺服器 236
7.4 Web服務訪問控制 241
7.4.1 訪問控制常用配置指令 241
7.4.2 使用.htaccess檔案進行
訪問控制 242
7.5 使用認證和授權保護Apache 244
7.5.1 認證和授權指令 244
7.5.2 管理認證口令檔案和認證
組檔案 245
7.5.3 認證和授權使用實例 246
7.6 使用Apache中的安全模組 247
7.6.1 Apache伺服器中安全相關
模組 247
7.6.2 開啟安全模組 247
7.7 使用SSL保證Web通信安全 249
7.7.1 SSL簡介 249
7.7.2 Apache中運用SSL的基本
原理 250
7.7.3 使用開源的OpenSSL保護
Apache通信安全 253
7.8 Apache日誌管理和統計分析 256
7.8.1 日誌管理概述 256
7.8.2 與日誌相關的配置指令 257
7.8.3 日誌記錄等級和分類 258
7.8.4 使用Webalizer對Apache
進行日誌統計和分析 259
7.9 其他有效的安全措施 262
7.9.1 使用專用的用戶運行Apache
伺服器 262
7.9.2 配置隱藏Apache伺服器的
版本號 262
7.9.3 設定虛擬目錄和目錄許可權 263
7.9.4 使Web服務運行在
“監牢”中 265
7.10 Web系統安全架構防護要點 267
7.10.1 Web系統風險分析 267
7.10.2 方案的原則和思路 268
7.10.3 網路拓撲及要點剖析 270
第8章 謹小慎微:企業基礎網路
服務防護 272
8.1 企業基礎網路服務安全風險分析 273
8.1.1 企業域名服務安全風險
分析 273
8.1.2 企業電子郵件服務安全風險
分析 274
8.2 企業域名服務安全防護 274
8.2.1 正確配置DNS相關檔案 274
8.2.2 使用Dlint工具進行DNS
配置檔案檢查 280
8.2.3 使用命令檢驗DNS功能 281
8.2.4 配置輔助域名伺服器進行
冗餘備份 285
8.2.5 配置高速快取伺服器緩解
DNS訪問壓力 286
8.2.6 配置DNS負載均衡 287
8.2.7 限制名字伺服器遞歸查詢
功能 288
8.2.8 限制區傳送
(zone transfer) 288
8.2.9 限制查詢(query) 289
8.2.10 分離DNS(split DNS) 289
8.2.11 隱藏BIND的版本信息 290
8.2.12 使用非root許可權運行
BIND 290
8.2.13 刪除DNS上不必要的
其他服務 290
8.2.14 合理配置DNS的
查詢方式 290
8.2.15 使用dnstop監控DNS
流量 291
8.3 企業電子郵件服務安全防護 292
8.3.1 安全使用Sendmail Server 292
8.3.2 安全使用Postfix電子郵件
伺服器 296
8.3.3 企業垃圾郵件防護 299
第9章 未雨綢繆:企業級
數據防護 308
9.1 企業數據防護技術分析 309
9.2 數據加密技術原理 309
9.2.1 對稱加密、解密 309
9.2.2 非對稱加密、解密 309
9.2.3 公鑰結構的保密通信原理 310
9.2.4 公鑰結構的鑑別通信原理 311
9.2.5 公鑰結構的鑑別+保密
通信原理 311
9.3 套用一:使用GnuPG進行套用
數據加密 311
9.3.1 安裝GnuPG 311
9.3.2 GnuPG的基本命令 312
9.3.3 GnuPG的詳細使用方法 312
9.3.4 GnuPG使用實例 315
9.3.5 GnuPG使用中的注意事項 316
9.4 套用二:使用SSH加密數據
傳輸通道 317
9.4.1 安裝最新版本的OpenSSH 317
9.4.2 配置OpenSSH 318
9.4.3 SSH的密鑰管理 321
9.4.4 使用scp命令遠程拷貝檔案 322
9.4.5 使用SSH設定
“加密通道” 323
9.5 套用三:使用OpenSSL進行應
用層加密 324
9.6 數據防泄露技術原理及其套用 325
第10章 通道保障:企業移動通信
數據防護 328
10.1 VPN使用需求分析 329
10.1.1 VPN簡介 329
10.1.2 VPN安全技術分析 330
10.2 Linux提供的VPN類型 332
10.2.1 IPSec VPN 332
10.2.2 PPP Over SSH 333
10.2.3 CIPE:Crypto IP
Encapsulation 333
10.2.4 SSL VPN 333
10.2.5 PPPTD 334
10.3 使用OpenVPN構建SSL VPN 335
10.3.1 OpenVPN簡介 335
10.3.2 安裝OpenVPN 335
10.3.3 製作證書 335
10.3.4 配置服務端 337
10.3.5 配置客戶端 338
10.3.6 一個具體的配置實例 339
10.4 使用IPSec VPN 340
10.4.1 安裝ipsec-tools 340
10.4.2 配置IPSec VPN 340
第11章 運籌帷幄:企業Linux伺服器
遠程安全管理 345
11.1 遠程控制及管理的基本原理 346
11.1.1 遠程監控與管理原理 346
11.1.2 遠程監控與管理的主要
套用範圍 346
11.1.3 遠程監控及管理的
基本內容 347
11.2 使用Xmanager 3.0實現Linux
遠程登錄管理 347
11.2.1 配置Xmanager伺服器端 348
11.2.2 配置Xmanager客戶端 348
11.3 使用VNC實現Linux遠程管理 350
11.3.1 VNC簡介 350
11.3.2 啟動VNC伺服器 350
11.3.3 使用VNC Viewer實現Linux
遠程管理 352
11.3.4 使用SSH+VNC實現安全的
Linux遠程桌面管理 353
第12章 舉重若輕:企業網路流量
安全管理 355
12.1 網路流量管理簡介 356
12.1.1 流量識別 356
12.1.2 流量統計分析 357
12.1.3 流量限制 357
12.1.4 其他方面 357
12.2 需要管理的常見網路流量 358
12.3 網路流量捕捉:圖形化工具
Wireshark 359
12.3.1 Wireshark簡介 359
12.3.2 層次化的數據包協定
分析方法 359
12.3.3 基於外掛程式技術的協定
分析器 360
12.3.4 安裝Wireshark 360
12.3.5 使用Wireshark 361
12.4 網路流量捕捉:命令行工具
tcpdump 363
12.4.1 tcpdump簡介 363
12.4.2 安裝tcpdump 363
12.4.3 使用tcpdump 364
12.5 網路流量分析——NTOP 367
12.5.1 NTOP介紹 367
12.5.2 安裝NTOP 367
12.5.3 使用NTOP 368
12.6 網路流量限制——TC技術 371
12.6.1 TC(Traffic Control)
技術原理 371
12.6.2 使用Linux TC進行流量
控制實例 372
12.7 網路流量管理的策略 376
12.7.1 網路流量管理的目標 376
12.7.2 網路流量管理的具體策略 377
第13章 兵來將擋,水來土掩:企業
級防火牆部署及套用 378
13.1 防火牆技術簡介 379
13.2 Netfilter/Iptables防火牆框架
技術原理 379
13.2.1 Linux中的主要防火牆機制
演進 379
13.2.2 Netfilter/Iptables架構簡介 379
13.2.3 Netfilter/Iptables模組化工作
架構 381
13.2.4 安裝和啟動Netfilter/Iptables
系統 382
13.2.5 使用Iptables編寫防火牆
規則 383
13.3 使用Iptables編寫規則的
簡單套用 385
13.4 使用Iptables完成NAT功能 388
13.4.1 NAT簡介 388
13.4.2 NAT的原理 389
13.4.3 NAT的具體使用 390
13.5 防火牆與DMZ的配合使用 392
13.5.1 DMZ原理 392
13.5.2 構建DMZ 393
13.6 防火牆的實際安全部署建議 396
13.6.1 方案一:錯誤的防火牆
部署方式 396
13.6.2 方案二:使用DMZ 397
13.6.3 方案三:使用DMZ+二路
防火牆 397
13.6.4 方案四:通透式防火牆 397
第14章 銅牆鐵壁:企業立體式
入侵檢測及防禦 399
14.1 入侵檢測技術簡介 400
14.2 網路入侵檢測及防禦:Snort 400
14.2.1 安裝Snort 400
14.2.2 配置Snort 400
14.3 編寫Snort規則 407
14.3.1 規則動作 408
14.3.2 協定 408
14.3.3 IP位址 408
14.3.4 連線埠號 409
14.3.5 方向操作符
(direction operator) 409
14.3.6 activate/dynamic規則 409
14.3.7 Snort規則簡單套用舉例 410
14.3.8 Snort規則高級套用舉例 411
14.4 主機入侵檢測及防禦:LIDS 413
14.5 分散式入侵檢測:SnortCenter 413
14.5.1 分散式入侵檢測系統
的構成 413
14.5.2 系統安裝及部署 414
第四篇 企業Linux安全監控
第15章 管中窺豹:企業Linux系統
及性能監控 419
15.1 常用的性能監測工具 420
15.1.1 uptime 420
15.1.2 dmesg 420
15.1.3 top 422
15.1.4 iostat 422
15.1.5 vmstat 423
15.1.6 sar 424
15.1.7 KDE System Guard 424
15.1.8 free 425
15.1.9 Traffic-vis 425
15.1.10 pmap 426
15.1.11 strace 428
15.1.12 ulimit 429
15.1.13 mpstat 430
15.2 CPU監控詳解 433
15.2.1 上下文切換 433
15.2.2 運行佇列 433
15.2.3 CPU 利用率 433
15.2.4 使用vmstat 工具進行監控 434
15.2.5 使用mpstat 工具進行多
處理器監控 436
15.2.6 CPU監控總結 438
15.3 記憶體監控詳解 438
15.3.1 Virtual Memory介紹 438
15.3.2 Virtual Memory Pages 438
15.3.3 Kernel Memory Paging 438
15.3.4 kswapd 438
15.3.5 使用vmstat進行記憶體監控 439
15.3.6 記憶體監控總結 440
15.4 I/O監控詳解 440
15.4.1 I/O監控介紹 440
15.4.2 讀和寫數據——記憶體頁 440
15.4.3 Major and Minor Page Faults
(主要頁錯誤和次要頁
錯誤) 440
15.4.4 The File Buffer Cache
(檔案快取區) 441
15.4.5 Type of Memory Pages 441
15.4.6 Writing Data Pages Back
to Disk 442
15.4.7 監控I/O 442
15.4.8 Calculating IO’s Per Second
(IOPS的計算) 442
15.4.9 Random vs Sequential I/O
(隨機/順序I/O) 442
15.4.10 判斷虛擬記憶體對I/O
的影響 444
15.4.11 I/O監控總結 445
第16章 見微知著:企業級Linux
網路監控 446
16.1 Cacti網路監控工具簡介 447
16.2 安裝和配置Cacti 448
16.2.1 安裝輔助工具 448
16.2.2 安裝Cacti 456
16.3 使用Cacti 459
16.3.1 Cacti界面介紹 459
16.3.2 創建監測點 461
16.3.3 查看監測點 463
16.3.4 為已有Host添加新的
監控圖 468
16.3.5 合併多個數據源到
一張圖上 469
16.3.6 使用Cacti外掛程式 471
第17章 他山之石:發現企業
網路漏洞 474
17.1 發現企業網路漏洞的大致思路 475
17.1.1 基本思路 475
17.1.2 採用網路安全掃描 475
17.2 連線埠掃描 476
17.2.1 連線埠掃描技術的基本原理 476
17.2.2 連線埠掃描技術的主要種類 476
17.2.3 快速安裝Nmap 479
17.2.4 使用Nmap確定開放連線埠 480
17.3 漏洞掃描 499
17.3.1 漏洞掃描基本原理 499
17.3.2 選擇:網路漏洞掃描與主機
漏洞掃描 500
17.3.3 高效使用網路漏洞掃描 501
17.3.4 快速安裝Nessus 503
17.3.5 使用Nessus掃描 505
第五篇 企業Linux安全運維命令、工具
第18章 終極挑戰:企業Linux
核心構建 509
18.1 企業級Linux核心簡介 510
18.2 下載、安裝和預備核心原始碼 510
18.2.1 先決條件 511
18.2.2 下載原始碼 511
18.2.3 安裝原始碼 511
18.2.4 預備原始碼 512
18.3 原始碼配置和編譯Linux核心 513
18.3.1 標記核心 513
18.3.2 .config: 配置核心 513
18.3.3 定製核心 515
18.3.4 清理原始碼樹 516
18.3.5 複製配置檔案 517
18.3.6 編譯核心映像檔案和可
載入模組 517
18.3.7 使用可載入核心模組 517
18.4 安裝核心、模組和相關檔案 518
18.5 Linux系統故障處理 518
18.5.1 修復檔案系統 519
18.5.2 重新安裝MBR 519
18.5.3 當系統無法引導時 519
18.5.4 挽救已安裝的系統 519
第19章 神兵利器:企業Linux數據
備份及安全工具 521
19.1 安全備份工具 522
19.1.1 Amanda 522
19.1.2 BackupPC 522
19.1.3 Bacula 522
19.1.4 Xtar 523
19.1.5 Taper 523
19.1.6 Arkeia 523
19.1.7 webCDcreator 523
19.1.8 Ghost for Linux 523
19.1.9 NeroLINUX 524
19.1.10 mkCDrec 524
19.2 Sudo:系統管理工具 524
19.3 NetCat:網路安全界的
瑞士軍刀 525
19.4 LSOF:隱蔽檔案發現工具 526
19.5 Traceroute:路由追蹤工具 526
19.6 XProbe:作業系統識別工具 526
19.7 SATAN:系統弱點發現工具 527
附錄A 企業級Linux命令速查
指南 528
A.1 檔案系統管理命令 529
A.2 系統管理命令 544
A.3 系統設定命令 553
A.4 磁碟管理及維護命令 559
A.5 網路命令 586
附錄B 網路工具資源匯總 591