Linux企業套用案例精解（第2版）

本書被中國科學院國家科學圖書館、中國國家圖書館、首都圖書館、清華大學、北京大學等國內綜合性大學圖書館收錄為館藏圖書，Linux企業套用案例精解（第2版）對內容進行最佳化組合，刪減了幾個不常用案例（包括第8章的Wine實戰之Linux用網銀、常見問題速查以及製作自己的LiveCD的內容等）。增加了140頁新內容，第1章新增了構建大型網站方法、基於開源WAF的使用方法、Web漏洞掃描工具的使用、基於PHP的SQL注入防範措施、SQL注入漏洞檢測方法、Bind View實現網通電信互訪等內容；第2章新增了利用LDAP實現Windows和Linux平台統一認證的內容；第3~5章修改了幾處錄入錯誤。第6章增加了Vsftp伺服器配置技巧的內容；第七章增加了分析snort規則，以及伺服器被入侵後管理員最應做的5件事的內容；第10章增加了安裝遠程管理工具webmin和phpmyadmin,為ossim增加gnome,分散式部署（vpn連線）、Ossim外掛程式配置管理包括如何創建並啟用新外掛程式，收集防火牆日誌的方法、手機CheckPoint日誌的方法，收集squid日誌方法，如何解決日誌中包含中文的處理方法，如何通過開源軟體對Ossim進行壓力測試內容；第11章增加了Iptables過濾實例，包括過濾網站過濾特殊欄位等內容，在最後還增加了13章核心安全加固案例和第14章遠程連線的數個經典案例。

本章從LAMP網站基礎架構講起，包括大型網站架構，詳細分析了LAMP的源碼安裝過程，在講解了LAMP架設技巧之後，緊接著介紹了利用Nginx在伺服器上設定快取，實施負載均衡的經典案例，其中還介紹了6點Apache安全加固的實用方法。本章也對大型網站常見的數據檢索緩慢的情況提出了新的解決方案，即利用Sphinx Search提供全文檢索。為了使網站伺服器能更好地處理JSP及Servlet程式，本章詳細講解了Apache與Tomcat集成的步驟；本章的後半部分，從企業網路工程師和骨幹運行商等不同角度詳細剖析了DDoS的檢查和預防措施。本章最後詳細分析了企業網站遭遇DDoS攻擊事件的過程，並根據網路連線狀況和流量的統計情況，提出了如何檢測網站是否遭受DDoS攻擊的檢測方案。

本章講解了如何在Linux平台下通過LDAP服務構建統一身份認證的方法，即把傳統的網路服務，例如Web、FTP、SSH、E-mail、Samba的用戶認證都由LDAP伺服器負責驗證，以Red Hat Linux、SUSE Linux為例詳細講解了開源軟體OpenLDAP的安裝、賬戶管理工具的配置過程。

本章介紹了目前流行的郵件伺服器Postfix的安裝配置與管理過程。從一開始的郵件基本配置講起，一直深入到Postfix反垃圾郵件配置、反病毒配置、安全加密配置及其郵件系統的自動監控配置過程，最後還分析了網易、新浪等分散式大型郵件系統的架構設計。

本章通過數據系統中心升級的實際案例，配合清晰的安裝流程圖，詳細講解了從Oracle安裝準備，環境調整到配置共享存儲設備，創建和配置raw設備，再講到Oracle安裝和配置Oracle Net，創建與管理維護RAC資料庫，以及ASM的操作注意事項。對於其中不少枯燥的理論術語，進行了簡單明了的講解。

本章通過開源軟體Heartbeat、OSCAR所這涉及的HA高可用集群的搭建過程，通過Mon軟體實現網路和服務的監控，並講解了集群搭建完畢的測試技術，在第4章Oracle RAC設定的基礎上，循序漸進地通過實際案例詳細講解了證劵交易系統WebLogic集群的搭建過程。

本章介紹了高級FTP集成套用的綜合案例，通過VSFTPD和ProFTPD用戶集中管理，詳細解決了MySQL和ProFTP、VSFTP完美結合的問題，通過兩者的融合可以搭建一個高效、穩定且集中管理的FTP伺服器。通過實際案例講解了VSFTP的安全設定，且對於如何預防暴力破解FTP伺服器技術做了深入探討。

本章通過源碼包講解如何在企業內部網中部署Snort，面對千兆企業環境下如何解決IDS所帶來的瓶頸問題，其中涉及了交換機的連線埠鏡像SPAN和多網卡的綁定等重點問題，並講解了如何通過網路數據流量來創建新的Snort規則。同時也通過Snort Center的安裝講解如何管理Snort，當然Snort套用也不會是一帆風順的，筆者通過一個親身經歷的案例，根據案情描述和取證信息詳細講解了網際網路黑客利用IP碎片繞過Snort攻擊企業伺服器的案例。

本章首先對Linux系統中運行Windows程式的一種實現——Wine核心運行的機理和實例進行了詳細的分析，從而打下了虛擬化技術的基礎，之後以SUSE Linux企業版為基礎平台，詳細講解了Xen虛擬化技術的套用特點和使用方法，其中還對Xen控制虛擬主機的常用命令、故障處理技巧進行了詳細敘述。在本章的最後，還和大家一起分享了VMware HA構建高可用集群案例的實施心得。

本章針對導致系統性能瓶頸的幾個方面：CPU、記憶體、磁碟I/O、網路子系統進行分析，介紹了常用的檢測工具：top、vmstat、iostat、netstat等，最後重點從幾個方面詳細介紹了Oracle資料庫性能最佳化的問題，以及LAMP網站最佳化問題。

本章首先講解運用Linux下的開源軟體Nagios結合NRPE外掛程式，實現各種網路服務監控配置及利用飛信實現Nagios簡訊報警功能。其次詳細講解了Ntop監控和分析網路流量，並介紹了擴展的幾個高級套用例如與Google Map整合實現標註監控IP位置的功能、對PDA手持設備的支持、NetFlow功能的實現分別做了詳細講解，最後通過調整核心來提升Ntop的性能。第5章已講解過Mon對集群的監控，這裡將介紹開源的集群監控工具Ganglia，實現對整個集群節點的全面監控，並對數據進行綜合分析和對處理結果進行相應決策。接下來本章詳細介紹了用cheops-ng來管理網路設備；最後重點介紹了一個信息安全監控軟體OSSIM，它將前面介紹過的Nagios、Ntop、Cheops、Snort、Nmap這些工具監控的功能集成在一起提供綜合的安全保護平台，使用戶得到一站式的服務。文中詳細分析了OSSIM提供的功能和流程，然後對其安裝部署、系統配置和主要功能的使用都做了詳細的描述，並提供了與Cacti、Zabbix監控軟體的系統集成。

本章深入系統核心詳細講解了調整netfilter核心模組以限制P2P連線、限制BT下載、預防Syn Flood攻擊的方法，並通過來自生產一線的實用腳本分析了基於iptables的Web認證的實現過程，Iptables過濾實例，包括過濾網站過濾特殊欄位等。

本章從備份的基礎講起，首先提供了運用SSH、Rsync實現數據自動備份的案例，然後又向讀者介紹了運用日誌進行 MySQL資料庫實時恢復的案例，最後花費大量篇幅重點講解了NetBackup 安裝、配置及管理和進行Oracle資料庫備份和恢復的案例，每個案例都採用概念和實例相結合的方式，通俗易懂。

本章以Linux核心安全的為背景，著重介紹用VXE（虛擬執行環境）技術來保護linux安全，它相當於一個IPS，通過對進行配置來保護Linux系統，接下來從系統緩衝區溢出原理將其逐步分析產生原因和利用DSM防範的技巧。

從基礎的使用Linux遠程桌面設定講起，逐步介紹到XDM的配置，再介紹常用的VNC服務的攻擊預防案例分析，接著介紹了加固SSH伺服器的九種方法，最後講解SSH/RDP等遠程訪問方式的審計方法。

附錄A：本書中介紹的所有案例都是通過源碼包安裝部署的，但是Linux下源碼包部署時不可迴避的就是軟體包的依賴問題，作者在這裡提供了解決方法。

附屬檔案B：開源監控軟體對比表。

讀者互動平台是作者專門為此書的讀者交流方便，搭建了網站，其中包含了本書中14章的實驗內容，即操作視頻教程，還包括了本書的基礎章節的內容及系統管理與維護的基礎視頻，這些內容是對本書案例的有利補充。

Linux系統管理員

網路工程師

系統集成工程師

大專院校計算機專業師生