HARDENING Linux中文版

印次：1-3

印刷日期：2006-12-22

“Hardening”系列是美國McGraw-Hill公司新近推出的又一套信息安全系列叢書，與久負盛名的“黑客大曝光”系列攜手，為信息安全界奉獻了一道饕餮大餐。

本書是“Hardening”系列成員之一，由數位信息安全領域的著名專家編寫，旨在幫助讀者把Linux系統建設成信息安全堡壘。

全書共分4大部分16章，第1部分給出降低系統威脅的7個關鍵步驟，是系統阻止入侵的必要措施；第2部分則是本書的重中之重，自頂向下系統講述強化Linux系統的具體方法和措施；第3部分告誡人們：一勞不能永逸，需要利用各種監控技術持續監控系統，教會讀者閱讀各種日誌檔案內容、判斷系統受損程度；第4部分對信息安全工作的預算制訂和審批工作進行討論，同類書中少見。

本書是Linux系統管理員的福音，所有對Linux系統安全感興趣者必備。

目錄

第1部分做好開門七件事

第1章重要的前期步驟 3

1.1檢查系統是否已被黑客侵入 5

1.1.1終結非授權用戶 5

1.1.2找出並關閉非授權進程 8

1.1.3查看日誌檔案，尋找黑客入侵活動的蛛絲馬跡 9

1.1.4檢查系統檔案是否完好無損 10

1.2檢查系統的穩定性和可用性 12

1.2.1檢查硬體操作是否正常 12

1.2.2確保電源不會成為隱患 13

第2部分從根本入手：循序漸進的系統強化流程

第2章強化網路：禁用不必要的服務 17

2.1第1步：讓機器脫離網路 18

2.2第2步：確定必要服務 20

2.2.1RedHatEnterpriseLinuxAS3.0提供的基準服務 20

2.2.2SLES8提供的基準服務 22

2.2.3考慮是否還要激活其他服務 23

2.3第3步：確定各項服務之間的依賴關係 28

2.4第4步：禁止不必要的服務運行 34

2.4.1利用軟體工具修改啟動腳本 35

2.4.2禁用不必要的服務：命令行工具 41

2.5第5步：重新啟動系統 44

2.6第6步：複查非必要服務的配置情況 44

2.6.1對有關配置進行複查：GUI工具 45

2.6.2對有關配置進行複查：命令行工具 45

2.7第7步：複查必要服務的配置情況 45

2.7.1檢查系統服務的配置情況 46

2.7.2測試這項服務是否在運行 46

2.7.3在系統記憶體里檢查這項服務是否存在 46

2.8第8步：讓機器重返網路 47

第3章安裝防火牆和過濾器 48

3.1摸清家底 49

3.1.1檢查系統是否已經存在防火牆規則 49

3.1.2網路基本知識 56

3.1.3防火牆基本知識 58

3.2按照預防為主的原則確定防火牆需求 61

3.2.1制定預防策略 62

3.2.2配置防火牆 63

第4章強化軟體的訪問許可權 83

4.1確定必不可少的軟體 84

4.2確定軟體之間的依賴關係 89

4.3刪除或限制不必要的軟體 92

4.4安全地安裝軟體 94

4.4.1安裝由Linux發行商提供的可信軟體 95

4.4.2安裝其他可信來源的軟體 98

4.5監控系統 105

第5章做好迎接災難的準備 107

5.1什麼是災後恢復 108

5.2不要建立一個定製的核心 108

5.3把伺服器設定和系統配置變動情況記錄在案 109

5.4系統自動安裝/恢復 109

5.4.1使用RedHat的Kickstart安裝工具 111

5.4.2使用SUSE的YaST自動安裝工具 117

第6章強化訪問控制 130

6.1Linux檔案的許可權和所有權 131

6.2查看檔案和子目錄上的訪問控制 139

6.2.1檢查臨時子目錄上的粘滯屬性位 139

6.2.2把SUID/SGID檔案和子目錄記錄在案 140

第7章強化數據存儲 142

7.1理解與密碼學有關的法律和人文問題 143

7.1.1遵守法律規定 143

7.1.2理解人文問題 144

7.2過程與結果：只加密數據是不夠的 145

7.2.1安全地存放數據 146

7.2.2刪除敏感數據的明文副本 147

7.3用GnuPG加密檔案 149

7.3.1以安全的方式創建密鑰 150

7.3.2創建GnuPG密鑰 150

7.4用OpenSSL加密檔案 161

7.5安裝和使用一個加密檔案系統 163

第8章強化身份驗證機制和用戶身份 170

8.1PAM模組：靈活的身份驗證機制 171

8.1.1為什麼要使用PAM 172

8.1.2實現對口令字的嚴格要求 172

8.1.3實現wheel用戶組機制 172

8.1.4實現一個中央身份驗證伺服器 173

8.2堵住漏洞：正確地配置PAM模組 173

8.2.1刪除不再需要的PAM配置檔案 173

8.2.2PAM配置檔案的格式 174

8.2.3在做出修改之前對PAM配置進行備份 175

8.2.4如何補救災難性失誤 176

8.2.5PAM框架 176

8.2.6傳統服務 177

8.2.7創建一個BSD風格的wheel用戶組 180

8.2.8為每個用戶創建一個臨時子目錄 180

8.2.9要求用戶選用高強度口令字 181

8.3NSS服務 185

第9章強化軟體運行環境 187

9.1限制無關功能 188

9.2用chroot環境保護服務 189

9.3搭建chroot子目錄結構 190

9.3.1解決動態程式庫依賴關係 192

9.3.2確定檔案依賴關係 195

9.3.3在chroot子目錄里創建設備 196

9.3.4創建shell和用戶環境 197

9.4把服務安裝到chroot子目錄 200

9.4.1從原始碼開始安裝 201

9.4.2從一個原始碼RPM安裝 202

9.4.3把一個二??芌PM安裝到另一個地點 207

9.5讓服務把自己的活動記入日誌 208

9.6對chroot環境進行調試和最佳化 209

9.7把chroot環境與Linux發行版本的信息安防功能相結合 210

9.7.1pam_chroot身份驗證模組與RedHatEnterpriseLinuxAS3.0 210

9.7.2對檔案模式和許可權設定進行監控 212

9.8chroot環境的日常管理和維護 213

第10章強化網路通信 214

10.1強化網路通信協定 215

10.1.1使用SSH 216

10.1.2用SSH保護X連線 228

10.1.3使用虛擬私用網 228

10.2IPSec 231

10.2.1用FreeS/WAN構建一個VPN 232

10.2.2驗證你的網路連線 238

第3部分一勞不能永逸

第11章安裝網路監控軟體 241

11.1安裝網路分析器 243

11.1.1安裝和使用ngrep工具監控網路 243

11.1.2安裝和使用tcpdump工具 247

11.1.3安裝Ethereal工具 256

11.2使用網路入侵監測系統 258

11.2.1安裝和使用Snort工具 259

11.2.2Snort工具的“嗅探”模式 259

11.2.3Snort工具的“數據包捕獲”模式 261

11.2.4Snort工具的“NIDS”模式 265

11.2.5使用Snort工具的功能擴展模組 269

11.3“蜜罐”/“蜜網” 270

11.4其他工具 270

第12章建立日誌檔案自動化掃描/報警機制 272

12.1日誌檔案的作用 273

12.2制定一個日誌策略 275

12.3配置syslog守護進程 276

12.3.1選擇條件 276

12.3.2操作動作 278

12.4建立一個中央日誌伺服器 280

12.4.1建立中央日誌伺服器前的準備工作 280

12.4.2配置一個中央日誌伺服器 280

12.4.3為中央日誌伺服器配置各客戶機器 281

12.5用syslog-ng和stunnel工具創建一個中央日誌伺服器 282

12.5.1SUSE：下載並安裝stunnel4.04軟體 282

12.5.2下載並安裝syslog-ng軟體 282

12.5.3為機器生成主機身份證書 283

12.5.4把主機身份證書複製到/etc/stunnel子目錄 284

12.5.5檢查主機身份證書的許可權 285

12.5.6在伺服器主機上創建stunnel配置檔案 285

12.5.7在客戶主機上創建stunnel配置檔案 285

12.5.8在伺服器主機上創建syslog-ng配置檔案 285

12.5.9在客戶機器上創建syslog-ng配置檔案 286

12.5.10以手動方式啟動stunnel和syslog-ng 286

12.5.11在伺服器上監控日誌活動 286

12.5.12使用logger命令直接向syslog守護進程傳送訊息 289

12.5.13使用Perl的Sys:Syslog模組向syslog守護進程傳送訊息 289

12.5.14日誌檔案的管理 290

12.5.15查找日誌檔案 291

12.6其他系統日誌檔案 291

12.7搜尋日誌檔案 291

12.7.1搜尋日誌檔案時的策略 292

12.7.2以手動方式搜尋日誌檔案 293

12.7.3使用logwatch工具搜尋日誌檔案 294

12.7.4使用logsurfer工具搜尋日誌檔案 294

12.7.5使用swatch工具搜尋日誌檔案 297

12.7.6修改swatch配置以監測針對SSH守護進程的攻擊 299

12.7.7對攻擊和異常活動做出反應 301

第13章補丁的管理和監控 302

13.1進行升級 303

13.1.1對SUSE軟體進行升級和打補丁 303

13.1.2對RedHat軟體進行升級和打補丁 309

13.1.3使用一個中央補丁伺服器 319

13.2對補丁升級工作進行監控和管理 320

13.2.1制定一套變革管理制度 321

13.2.2對補丁升級工作進行監控 322

第14章系統自我監控工具 323

14.1安裝和運行一個基於主機的入侵檢測系統 324

14.1.1安裝和使用Tripwire工具 324

14.1.2利用rpm命令進行檔案完整性檢查 334

14.1.3其他工具 336

14.2安裝和運行一個口令字審計程式 336

14.3建立網路監控機制 340

14.3.1配置和運行Nmap工具 340

14.3.2配置和運行Nessus工具 345

第4部分Linux系統強化工作的成功之道

第15章編制安防預算，贏得公司支持 353

15.1獲得管理層支持 354

15.2進行風險?攔?355

15.2.1確定風險評估範圍 356

15.2.2組建風險評估團隊 356

15.2.3收集問題並確定它們的影響和發生機率 357

15.2.4為風險排出優先權 359

15.2.5定量風險評估法概述 360

15.2.6向管理層提交風險評估報告 361

15.3確定投資回報 363

15.3.1收集事實 363

15.3.2確定投資回報 367

15.3.3尋求外部幫助和參考資料 367

15.3.4讓管理層參與安防策略的制定和實施工作 370

第16章發動一場信息安全戰役 371

16.1發動一場信息安全戰役 372

16.1.1確定目標 372

16.1.2確定實現目標都需要哪些東西 373

16.1.3制定策略 374

16.1.4信息安全策略示例 379

16.1.5贏得用戶的接受和支持 381

16.1.6對信息安防計畫進行評估 383

16.1.7信息安防計畫的跟進與維護 383

附錄Linux信息安全資源 385

12.20L1，L2和L3高速快取的大小 151