Linux伺服器安全策略詳解（第二版）

“Linux就是伺服器，或者換句話說，是伺服器成就了Linux。”相信讀者對於這樣的判斷肯定會有不同意見。這裡不是以偏概全，只為強調Linux與伺服器與生俱來的天然聯繫。實際上，對於Linux廠商而言，約90%以上的收入都來自伺服器套用市場。Linux主要用於架設網路伺服器。如今關於伺服器和網站被黑客攻擊的報告幾乎每天都可以見到，而且隨著網路套用的豐富多樣，攻擊的形式和方法也千變萬化。如何增強Linux伺服器的安全性是Linux系統管理員最關心的問題之一。

本書共28章和1個附錄。概括而言，實質是五部分內容：第一部分分級介紹對Linux伺服器的攻擊情況，以及Linux網路基礎；第二部分是本書的核心，針對不同的Linux伺服器分別介紹各自的安全策略；第三部分介紹Linux伺服器的安全工具；第四部分是Linux 下開源資料庫安全以及Linux 下新聞組伺服器構建、網路釣魚的防範、Linux 無線網路構建及其安全策略、使用Linux安全審計以及使用Selinux 保護Linux 伺服器的方法；第五部分是1個附錄，介紹Linux伺服器應急回響流程與步驟。

本書適合作為大專院校計算機專業師生的教材或教學參考書，也適合於Linux網路管理員和系統管理員，以及對安全方面感興趣的讀者。

Linux系統屬於開放原始碼軟體，由於Linux系統具有穩定、安全、網路負載力強、占用硬體資源少等技術特點，自問世以來得到了迅速推廣和套用，並已發展為當今世界的主流作業系統之一。目前對Linux感興趣的用戶主要集中在一些垂直行業當中。在國外，企圖提升利潤率的有零售、家電行業，包括石油、動畫設計等在內的計算密集型套用企業，還有想通過Linux的成本控制來提高企業競爭優勢的一些電信、政府和醫療行業。對於零售行業的POS終端和數據中心而言，Linux既可靠又便宜。石油行業則通常利用上千個結點的Linux集群來承擔石油勘探中的大量運算工作。國內的企業套用同樣也迅速普及。由於電子政務的“崛起”，政府行業已占據了Linux市場的大量份額。能源行業的Linux套用在國內市場份額上也名列前茅。金融、電信等傳統大行業套用Linux的趨勢已然顯露。可以總結出Linux的擅長套用領域是：

1．單一套用的基礎伺服器，如DNS和DHCP伺服器、Web伺服器、防火牆、檔案和網際網路代理伺服器。

2．界定清晰，與其他系統沒有交叉的套用。

3．高性能計算及計算密集型套用，如風險分析、數據分析、數據建模等。

4．中小型資料庫。

對於那些套用很單純的企業，購買Linux軟體的成本優勢則十分明顯。與Windows系列相比，Linux令人欣慰的一點是其出色的安全性，可以降低管理成本。這也是使很多公司轉向Linux的一個非常重要的原因。在Windows伺服器上，補丁讓人應接不暇，耗費大量時間和精力。於是，人們選擇了Linux。儘管Linux也會受病毒和黑客的侵擾，但是Linux核心畢竟是由眾多具有黑客背景的程式設計師逐步完善而來的，相對安全一些。

目前，關於Linux方面的書雖然較多，但大多數都是介紹如何安裝，以及如何使用像KDE和GNOME這類圖形界面的，對Linux作為伺服器套用的介紹相對較少，Linux真正的優勢和發展方向是作為伺服器作業系統。根據需要，Linux可安裝成各種各樣的伺服器。

Linux是一個十分穩定的作業系統，目前用戶已逾千萬。但是，Linux伺服器是否安全，這對Linux的用戶來說是十分關心的問題。本書的目的，就是要說明Linux伺服器通過加固配置後是安全的。

本書第1版在2007年7月出版後，得到廣大讀者的關注，同時也得到一些熱心讀者的寶貴意見和反饋。所以在第2版中做了一些內容的添加和刪除。在第8章FTP伺服器安全策略部分刪除了現在Linux平台套用比較少的Wu-ftp和ProFTPD 兩種伺服器的內容。從21章開始是第2版添加的主要內容，首先使用三章的篇幅詳細論述了兩大開源資料庫MySQL和PostgreSQL安全策略。然後以此介紹了Linux下新聞組伺服器構建、網路釣魚的防範、Linux無線網路構建及其安全策略、使用Linux安全審計以及使用Selinux保護Linux伺服器的方法。附錄部分筆者介紹了Linux伺服器應急回響的流程與步驟。

限於本書的篇幅已經比較多了，關於虛擬化、集群、Web 2.0 等內容本書沒有介紹，對此感興趣的讀者可以查看筆者的《Red Hat Enterprise Linux 5.0伺服器構建與故障排除》。另外對於第1版的附錄也做了較大的修改。刪除了Linux命令的介紹，這么做的原因是考慮到目前已經有專門介紹Linux命令的相關圖書，於是這裡筆者節省了寶貴的篇，對此感興趣的讀者可以查看筆者的《Linux系統最佳實踐工具:命令行技術》。

簡介

本書共分28章和1個附錄。第一部分分級介紹對Linux伺服器的攻擊情況，以及Linux網路基礎。

第二部分是這本書的核心，針對不同的Linux伺服器分別介紹各自的安全策略。該部分重點介紹了Linux下各種伺服器的安全和管理，這些內容在Linux系統的學習中非常重要，涉及到Linux系統的高級套用，是專業人員必須掌握的內容。這部分內容主要包括DNS伺服器、DHCP伺服器、Samba伺服器的配置、NFS伺服器、Squid伺服器、Web伺服器、FTP伺服器和電子郵件伺服器等。

第三部分介紹Linux伺服器的安全工具。這些工具並不是Linux所特有的，但有幾個在Linux系統中較為常用。另外，還介紹了Linux備份和恢復技術。

第四部分使用三章的篇幅詳細論述了兩大開源資料庫MySQL和PostgreSQL安全策略。然後依次介紹了Linux下新聞組伺服器構建、網路釣魚的防範、Linux無線網路構建及其安全策略、使用Linux安全審計以及使用Selinux保護Linux伺服器的方法。

第五部分是附錄A，介紹Linux伺服器應急回響流程與步驟。

本書中各章描述了下列主題：

章 節 主要內容

第1章 Linux網路基礎安全威脅

第1章重點介紹Linux網路基礎和Linux的TCP/IP網路配置，然後解析對Linux伺服器攻擊和開源軟體網路安全概述

第2章 OpenSSL與Linux網路安全

第2章重點介紹理解SSL和OpenSSL如何工作，理解伺服器證書（CA）、安裝和配置OpenSSL、理解伺服器證書、數字證書在客戶端的套用、OpenSSL面臨安全問題及其解決思路

第3章 PAM與Open LDAP

第3章重點介紹PAM工作原理和理解PAM配置檔案工作，然後介紹建立PAM應用程式，使用不同的PAM模組來增強安全性。安全套用PAM，動手製作Linux下基於PAM機制的USB Key。然後對Linux目錄伺服器進行介紹，安裝配置OpenLDAP伺服器及OpenLDAP客戶端。監控OpenLDAP伺服器，安全管理OpenLDAP伺服器

第4章 Linux網路服務和xinetd

第4章重點介紹Linux啟動過程、Linux守護進程的概念和結構、xinetd以及Linux服務管理工具、如何安全選擇Linux服務

第5章 DNS伺服器的安全策略

第5章重點介紹DNS伺服器工作原理、DNS伺服器面臨的安全問題和應對策略，以及如何建立一個完整的DNS系統，掌握DNS故障排除工具。動手加固DNS伺服器和DNS伺服器安全策略

第6章 Web伺服器的安全策略

第6章重點介紹Web面臨的主要威脅，並結合在Linux中使用最多的Apache伺服器，介紹進行Web伺服器安全配置的技巧

第7章 電子郵件伺服器的安全策略

第7章重點介紹電子郵件系統組成以及相關協定和電子郵件伺服器工作原理。闡述電子郵件伺服器面臨的安全隱患，安裝安全sendmail伺服器和postfix伺服器

第8章 FTP伺服器的安全策略

第8章重點介紹FTP工作原理以及FTP服務面臨的安全隱患。然後介紹如何配置安全的Wuftpd伺服器及ProFTPD伺服器、Vsftpd伺服器和安全套用客戶端FTP軟體

第9章 Samba伺服器的安全策略

第9章重點介紹Samba工作原理，安裝配置Samba伺服器，配置Samba伺服器已分享檔案以及印表機，其他配置Samba方法和用好Linux下的網路鄰居。然後介紹Samba服務面臨的安全隱患以及Samba檔案伺服器安全策略

第10章 NFS伺服器的安全策略

第10章重點介紹NFS伺服器工作原理和安裝配置NFS伺服器，套用NFS客戶端。然後介紹NFS伺服器面臨的安全隱患以及NFS伺服器的安全策略

第11章 DHCP伺服器的安全策略

第11章重點介紹DHCP伺服器工作原理和安裝DHCP伺服器、DHCP伺服器的故障排除和DHCP伺服器的安全策略

第12章 Squid伺服器的安全策略

第12章重點介紹代理伺服器工作原理以及安裝安全squid代理伺服器。然後闡述代理伺服器面臨的安全隱患和代理伺服器Squid安全策略。全面監控代理伺服器Squid運行，關注Squid代理伺服器的日誌和為Squid代理伺服器串列HAVP

第13章 SSH伺服器的安全策略

第13章重點介紹SSH伺服器工作原理和安裝SSH伺服器。然後闡述SSH伺服器面臨的安全隱患，以及SSH伺服器的安全策略和如何安全套用SSH客戶端

第14章 Linux防火牆

第14章重點介紹防火牆工作原理和Linux防火牆iptables以及iptables防火牆的配置實例

第15章 Linux網路環境下的VPN構建

第15章重點介紹VPN概述和Linux下實現VPN技術軟體概述。然後分別介紹構建基於CIPE技術的Linux VPN、構建基於PPTP技術的Linux VPN、構建基於SSH VNC技術的Linux VPN和構建基於IPsec技術的Linux VPN

第16章 使用IDS保護Linux伺服器

第16章重點介紹IDS概念，然後介紹Linux下配置基於主機的IDS和Linux下配置基於網路的IDS、Snort的安裝配置和建立分散式snort入侵檢測系統

第17章 Linux網路監控策略

第17章重點介紹SNMP簡介和MRTG監控過程。然後介紹安裝配置NTOP監控Linux網路和NTOP的安全策略

第18章 Linux常用安全工具

第18章重點介紹使用SAINT執行安全審核、使用連線埠掃描軟體nmap、使用網路數據採集分析工具TcpDump、使用Ethereal分析網路數據、使用EtherApe分析網路數據、使用GunPGP進行數據加密和其他安全工具簡介

第19章 防範嗅探器攻擊和Linux病毒

第19章重點介紹防範嗅探器攻擊和Linux病毒的防範。

第20章 Linux數據備份恢復技術

第20章重點介紹Linux備份恢復基礎以及Linux備份恢復策略，然後介紹Linux常用備份恢復工具和Linux備份恢復實例

第21章 資料庫簡介

第21章資料庫簡介Linux開源資料庫安全現狀。本章將重點資料庫模型及其相關內容，然後介紹了Linux開源資料庫安全現狀

第22章 MySQL資料庫伺服器安全

第22章首先介紹MySQL資料庫簡介及MySQL資料庫在Linux中的安裝配置，然後重點介紹MySQL資料庫安全隱患、最大漏洞以及應對措施

第23章 PostgreSQL資料庫伺服器安全

第23章首先介紹PostgreSQL資料庫及其在Linux中的安裝配置，然後重點介紹PostgreSQL資料庫安全隱患、最大漏洞以及應對措施

第24章 搭建Linux新聞組伺服器

第24章重點介紹Linux下兩大新聞組伺服器：inn和Dnews，以及一些新聞組客戶端的套用

第25章 在Linux網路環境下防範網路釣魚

第25章重點介紹網路釣魚的產生以及釣魚實施的過程，然後介紹如何防範網路釣魚

第26章 Linux無線網路構建及其安全策略

第26章重點介紹無線網路標準、Linux無線網卡驅動安裝、Linux無線網路構建，然後介紹Linux無線網路的安全策略

第27章 Linux安全審計系統

第27章重點介紹Linux 核心中的安全審計系統配置和使用方法

第28章 使用SELinux 系統

第28章首先介紹Selinux的歷史和框架，然後重點介紹Selinux的使用方法

附錄A Linux伺服器應急回響流程與步驟

附錄A重點介紹Linux伺服器遭到攻擊時的應急回響流程與步驟，另外還介紹了計算機辨識學和Linux常用連線埠使用情況

 各章目標。每章的開頭都詳細地列出了本章中要掌握的概念。

 插圖和表格。本書中有很多Linux工具的插圖和概念的表格，幫助您直觀地、更好地理解Linux的工具和技術方面的概念。

 詳細的附錄。

 本書詳細介紹了Linux下最主要伺服器的安全策略，幾乎涉及所有主流Linux擅長的領域，彌補了國內圖書在Linux安全領域的空白。

 本書針對伺服器領域使用最為廣泛的紅帽企業版，同時兼顧一些Linux發行版。

 相對第一版，第二版重點關注了開源資料庫安全、Linux無線安全、Selinux配置、核心安全審計等其他國內圖書甚少涉及的領域。

 相對第一版，第二版根據廣大讀者反饋的信息進行了合理的內容調整，修改的篇幅比較多，更加符合現在linux伺服器安全領域的現狀。

讀者對象

 大專院校計算機專業師生。

 IT行業的相關人員。

 Linux套用愛好者。

 Linux網路管理員和系統管理員，以及Linux信息安全、網路安全、管理、維護的從業人員。

致謝

首先，感謝編寫過程中領導、朋友和家人的支持及幫助，包括51CTO網站編輯楊文飛、劉兵、李棉等人。另外，電子工業出版社的李冰和江立編輯在我寫書的過程中給了我無私的幫助和鞭策，為了使本書能儘快與讀者見面，李冰多次邀請專家對此書提出有益意見，對於此書的修改和完善起到了重要作用。

由於作者水平有限，書中不足及錯誤之處在所難免，敬請專家和讀者給予批評指正。

曹江華

2009年3月

第1章 Linux網路基礎與Linux伺服器的安全威脅 1

1.1 Linux網路基礎 1

1.1.1 Linux網路結構的特點 1

1.1.2 TCP/IP四層模型和OSI七層模型 2

1.1.3 TCP/IP提供的主要用戶應用程式 4

1.1.4 連線埠號分配 5

1.2 Linux的TCP/IP網路配置 7

1.2.1 Linux的TCP/IP網路配置檔案 7

1.2.2 網路配置工具 8

1.2.3 配置網路接口 9

1.3 分級解析對Linux伺服器的攻擊 16

1.3.1 攻擊者使用什麼作業系統 16

1.3.2 典型的攻擊者有什麼特徵 16

1.3.3 攻擊者典型的目標是什麼 16

1.3.4 實施攻擊的原因是什麼 17

1.3.5 攻擊級別 17

1.3.6 反擊措施 20

1.4 開源軟體網路安全概述 20

1.5 本章小結 22

第2章 OpenSSL與Linux網路安全 23

2.1 理解SSL和OpenSSL

2.1 如何工作 23

2.1.1 SSL功能 23

2.1.2 SSL協定簡介 24

2.1.3 SSL工作流程 24

2.1.4 OpenSSL簡介 26

2.1.5 OpenSSL的組成 27

2.2 理解伺服器證書（CA） 27

2.2.1 X.509協定簡介 27

2.2.2 金字塔結構的優缺點 28

2.2.3 相關名詞解釋 28

2.3 Linux下安裝和配置OpenSSL 30

2.3.1 下載OpenSSL原始碼 30

2.3.2 安裝OpenSSL 30

2.3.3 產生CA憑證 31

2.3.4 CA產生次級憑證 32

2.3.5 OpenSSL套用 34

2.3.6 OpenSSL常用命令 37

2.4 數字證書在客戶端的套用 39

2.5 OpenSSL面臨的安全問題及

2.5 其解決思路 40

2.5.1 OpenSSL面臨的安全問題 40

2.5.2 解決思路 41

2.6 本章小結 42

第3章 PAM與Open LDAP 43

3.1 PAM工作原理 43

3.1.1 什麼是PAM 43

3.1.2 為什麼使用PAM 44

3.1.3 PAM體系結構 44

3.1.4 PAM工作流程圖 45

3.2 PAM配置檔案 46

3.3 建立PAM應用程式 47

3.4 PAM常用認證模組及其套用 49

3.4.1 PAM常用認證模組 49

3.4.2 PAM模組套用實例 51

3.5 安全套用PAM 51

3.5.1 刪除不再需要的PAM配置檔案和模組 51

3.5.2 對PAM配置進行備份 51

3.5.3 設定資源限制 52

3.5.4 限制su命令 52

3.6 動手製作Linux下基於PAM機制的USB Key 52

3.6.1 什麼是USB Key 52

3.6.2 建立pam_usb套用 53

3.7 Liunx目錄伺服器介紹 55

3.8 安裝配置OpenLDAP伺服器 56

3.8.1 安裝OpenLDAP伺服器 56

3.8.2 配置OpenLDAP 伺服器 57

3.8.3 啟動OpenLDAP伺服器 59

3.9 配置OpenLDAP客戶端 60

3.9.1 配置Linux OpenLDAP客戶端 60

3.9.2 Outlook如何使用OpenLDAP 60

3.10 監控OpenLDAP伺服器 61

3.10.1 使用uptime命令 61

3.10.2 使用cron命令定時監測系統負載 61

3.10.3 OpenLDAP進程的監控 62

3.10.4 連線埠的監控 62

3.11 安全管理OpenLDAP伺服器 62

3.11.1 自動啟動OpenLDAP伺服器 62

3.11.2 使用訪問控制（Access Control）實現用戶認證 62

3.11.3 禁止整個伺服器的匿名訪問 63

3.11.4 配置OpenLDAP使用TLS通信 63

3.11.5 管理OpenLDAP伺服器 64

3.11.6 OpenLDAP在Linux上集群的套用 66

3.12 本章小結 66

第4章 Linux網路服務和xinetd 67

4.1 Linux啟動過程 67

4.1.1 Linux的啟動過程詳解 67

4.1.2 Linux運行級 71

4.1.3 /etc/inittab檔案詳解 72

4.1.4 init和/etc/inittab 74

4.2 守護進程 75

4.2.1 Linux守護進程的概念 75

4.2.2 Linux系統提供的服務及其守護進程列表 75

4.2.3 Linux守護進程的運行方式 79

4.3 xinetd 81

4.3.1 什麼是xinetd 81

4.3.2 xinetd的特色 81

4.3.3 使用xinetd啟動守護進程 82

4.3.4 解讀/etc/xinetd.conf和/etc/xinetd.d/* 83

4.3.5 配置xinetd 84

4.3.6 xinetd防止拒絕服務攻擊（Denialof Services）的原因 89

4.4 Linux服務管理工具 90

4.4.1 redhat-config-services 90

4.4.2 ntsysv 91

4.4.3 chkconfig 92

4.5 安全選擇Linux服務 92

4.6 本章小結 92

第5章 DNS伺服器的安全策略 93

5.1 DNS伺服器的工作原理 93

5.2 域名服務的解析原理和過程 94

5.3 DNS伺服器面臨的安全問題 95

5.3.1 DNS欺騙 97

5.3.2 拒絕服務攻擊 99

5.3.3 緩衝區漏洞攻擊 99

5.3.4 分散式拒絕服務攻擊 99

5.3.5 緩衝區溢出漏洞攻擊 99

5.3.6 不安全的DNS動態更新 100

5.4 增強DNS安全性的方法 100

5.4.1 選擇安全沒有缺陷的DNS版本 100

5.4.2 保持DNS伺服器配置正確、可靠 101

5.5 建立一個完整的DNS 102

5.5.1 DNS分類 102

5.5.2 安裝BIND域名伺服器軟體 102

5.5.3 named配置檔案族內容 102

5.5.4 配置惟高速存域名伺服器 103

5.5.5 配置主域名伺服器 103

5.5.6 配置輔助域名伺服器 105

5.5.7 配置域名伺服器客戶端 106

5.6 DNS故障排除工具 107

5.6.1 dlint 107

5.6.2 DNS伺服器的工作狀態檢查 108

5.7 全面加固DNS伺服器 110

5.7.1 使用TSIG技術 110

5.7.2 使用DNSSEC技術 113

5.8 配置安全的DNS伺服器 114

5.8.1 隔離DNS伺服器 114

5.8.2 為BIND創建chroot 114

5.8.3 隱藏BIND的版本號 114

5.8.4 避免透露伺服器的信息 115

5.8.5 關閉DNS伺服器的gluefetching選項 115

5.8.6 控制區域（zone）傳輸 115

5.8.7 請求限制 115

5.8.8 其他強化措施 116

5.8.9 為DNS伺服器配置DNS Flood Detector 117

5.8.10 建立完整的域名伺服器 118

5.8.11 建立DNS日誌 119

5.8.12 增強DNS伺服器的防範

5.8.12 DoS/DDoS功能 120

5.8.13 使用分散式DNS負載均衡 121

5.8.14 防範DNS伺服器網路 121

5.8.15 配置防火牆 121

5.9 本章小結 121

第6章 Web伺服器的安全策略 122

6.1 Web伺服器軟體Apache簡介 122

6.1.1 Apache的發展歷史 122

6.1.2 市場情況 123

6.1.3 Apache的工作原理 124

6.1.4 Apache伺服器的特點 125

6.2 Apache伺服器面臨的安全問題 126

6.2.1 HTTP拒絕服務 127

6.2.2 緩衝區溢出 127

6.2.3 攻擊者獲得root許可權 128

6.3 配置一個安全的Apache伺服器 128

6.3.1 勤打補丁 128

6.3.2 隱藏和偽裝Apache的版本 128

6.3.3 建立一個安全的目錄結構 129

6.3.4 為Apache使用專門的用戶和用戶組 129

6.3.5 Web目錄的訪問策略 130

6.3.6 Apache伺服器訪問控制方法 130

6.3.7 管理Apache伺服器訪問日誌 131

6.3.8 Apache伺服器的密碼保護 139

6.3.9 減少CGI和SSI風險 142

6.3.10 讓Apache伺服器在“監牢”中運行 142

6.3.11 使用SSL加固Apache 145

6.3.12 Apache伺服器防範DoS 150

6.3.13 利用LDAP對Apache進行認證 150

6.3.14 其他安全工具 151

6.4 本章小結 152

第7章 電子郵件伺服器的安全策略 153

7.1 電子郵件系統的組成和相關協定 153

7.1.1 作業系統 154

7.1.2 郵件傳輸代理MTA 154

7.1.3 郵件分發代理MDA 156

7.1.4 郵件用戶代理MUA 156

7.1.5 電子郵件伺服器協定及其相關命令 157

7.2 電子郵件伺服器的工作原理 163

7.2.1 電子郵件的工作流程 163

7.2.2 電子郵件的歷史 163

7.2.3 電子郵件地址的組成 164

7.2.4 電子郵件系統和DNS的聯繫 165

7.3 電子郵件伺服器面臨的安全隱患 166

7.3.1 Linux病毒 166

7.3.2 網路攻擊 166

7.3.3 垃圾郵件及其防範 166

7.4 安裝安全的Sendmail伺服器 170

7.4.1 安裝Sendmail伺服器 170

7.4.2 提高Sendmail的防垃圾郵件能力 171

7.4.3 其他保護Sendmail的安全措施 173

7.4.4 配置基於Sendmail的Webmail 174

7.4.5 增強Webmail郵件伺服器的安全 179

7.4.6 監控Sendmail的日誌檔案 180

7.5 安裝安全的Postfix伺服器 181

7.5.1 安裝Postfix伺服器 181

7.5.2 保護Postfix伺服器 185

7.5.3 自動監控Postfix郵件伺服器 186

7.6 本章小結 189

第8章 FTP伺服器的安全策略 190

8.1 FTP的工作原理 190

8.1.1 FTP簡介 190

8.1.2 FTP的功能 191

8.1.3 FTP伺服器登錄方式的分類 191

8.1.4 FTP的工作原理 191

8.1.5 FTP的典型訊息和子命令 193

8.1.6 Linux伺服器端的主要FTP軟體 196

8.2 FTP伺服器面臨的安全隱患 197

8.2.1 緩衝區溢出攻擊 197

8.2.2 數據嗅探 198

8.2.3 匿名訪問缺陷 198

8.2.4 訪問漏洞 198

8.3 配置安全的Vsftpd伺服器 198

8.3.1 快速構建Vsftpd伺服器 198

8.3.2 Vsftpd配置檔案 200

8.3.3 Vsftpd的設定選項 200

8.3.4 通過Web瀏覽器管理Vsftpd伺服器 207

8.3.5 分析Vsftpd伺服器的日誌檔案 209

8.3.6 使用BlockHosts對抗暴力破解 210

8.3.7 在RHEL 4.0下安裝支持SSL的

8.3.7 最新版本的Vsftpd 210

8.3.8 使用quota為ftpuser加入磁碟限額 211

8.3.9 配置Linux FTP伺服器vsftpd

8.3.9 以支持IPv6 211

8.4 安全使用客戶端工具 212

8.4.1 命令行模式 212

8.4.2 圖形界面模式（gFTP） 212

8.4.3 使用Windows FTP客戶端 217

8.5 本章小結 219

第9章 Samba伺服器的安全策略 220

9.1 Samba簡介 220

9.1.1 什麼是Samba 220

9.1.2 Samba的歷史起源 221

9.1.3 SMB協定 221

9.1.4 為什麼使用Samba 222

9.1.5 Samba軟體包的功能 222

9.2 安裝配置Samba伺服器 223

9.2.1 安裝Samba伺服器 223

9.2.2 Samba配置檔案 224

9.2.3 設定Samba密碼檔案 228

9.2.4 啟動Samba伺服器 229

9.2.5 測試Samba配置檔案 229

9.2.6 在Windows環境測試RHEL 4.0

9.2.6 默認配置 229

9.3 配置Samba伺服器已分享檔案及印表機 231

9.3.1 配置檔案共享 231

9.3.2 配置共享印表機 232

9.3.3 在Linux環境下套用Samba服務 234

9.4 其他配置Samba的方法和用好Linux下的網路鄰居 235

9.4.1 圖形化配置工具system-config-samba 235

9.4.2 使用SWAT管理工具管理Samba 237

9.4.3 其他工具 239

9.4.4 用好Linux下的網路鄰居 240

9.5 Samba伺服器面臨的安全隱患 243

9.5.1 非法訪問數據 243

9.5.2 計算機病毒 243

9.5.3 Samba檔案伺服器的安全級別 243

9.6 提升Samba伺服器的安全性 245

9.6.1 不要使用明語密碼 245

9.6.2 儘量不使用共享級別安全 245

9.6.3 儘量不要瀏覽器服務訪問 245

9.6.4 通過網路接口控制Samba訪問 245

9.6.5 通過主機名稱和IP位址列表控制Samba訪問 245

9.6.6 使用pam_smb對Windows NT/2000伺服器的用戶進行驗證 246

9.6.7 為Samba配置防範病毒軟體 247

9.6.8 使用Iptables防火牆保護Samba 248

9.6.9 使用Gsambad管理監控Samba伺服器 248

9.6.10 使用SSL加固Samba 250

9.7 本章小結 251

第10章 NFS伺服器的安全策略 252

10.1 NFS伺服器的工作原理 252

10.1.1 NFS簡介 252

10.1.2 為何使用NFS 253

10.1.3 NFS協定 253

10.1.4 什麼是RPC（RemoteProcedure Call） 254

10.2 安裝配置NFS伺服器 256

10.2.1 NFS網路檔案的系統結構 257

10.2.2 配置/etc/exports檔案 257

10.2.3 激活服務portmap和nfsd 258

10.2.4 exportfs命令 258

10.2.5 檢驗目錄/var/lib/nfs/xtab 259

10.2.6 showmount 259

10.2.7 觀察激活的連線埠號 259

10.2.8 NFS伺服器的啟動和停止 260

10.3 NFS的圖形化配置 260

10.3.1 NFS伺服器配置視窗 260

10.3.2 添加NFS共享 261

10.3.3 常規選項 261

10.3.4 用戶訪問 262

10.3.5 編輯NFS共享 262

10.4 NFS的客戶端配置 263

10.4.1 使用mount命令 263

10.4.2 掃描可以使用的NFS Server目錄 264

10.4.3 卸載NFS網路檔案系統 264

10.4.4 套用實例 265

10.4.5 其他掛載NFS檔案系統的方法 265

10.5 NFS伺服器面臨的安全隱患 266

10.6 提升NFS伺服器的安全性 266

10.6.1 使用tcp_wrappers 266

10.6.2 注意配置檔案語法錯誤 267

10.6.3 使用Iptables防火牆 267

10.6.4 把開放目錄限制為唯讀許可權 267

10.6.5 禁止對某些目錄的訪問 268

10.6.6 root Squashing訪問問題 268

10.6.7 使用nosuid和noexec選項 268

10.6.8 保護portmap的安全性 269

10.6.9 保留ACL 269

10.7 本章小結 270

第11章 DHCP伺服器的安全策略 271

11.1 DHCP伺服器的工作原理 271

11.1.1 DHCP簡介 271

11.1.2 為什麼使用DHCP 272

11.1.3 DHCP的工作流程 272

11.1.4 DHCP的設計目標 273

11.2 安裝DHCP伺服器 273

11.2.1 DHCP配置檔案 273

11.2.2 配置實例 275

11.2.3 啟動DHCP伺服器 276

11.2.4 設定DHCP客戶端 278

11.3 DHCP伺服器的故障排除 280

11.3.1 客戶端無法獲取IP位址 280

11.3.2 DHCP客戶端程式和DHCP

11.3.2 伺服器不兼容 280

11.4 提升DHCP伺服器的安全性 281

11.4.1 管理監控DHCP伺服器 281

11.4.2 讓DHCP伺服器在監牢中運行 283

11.4.3 提供備份的DHCP設定 285

11.5 本章小結 286

第12章 Squid伺服器的安全策略 287

12.1 代理伺服器的工作原理 287

12.1.1 各種代理伺服器的比較 287

12.1.2 Squid工作原理和流程圖 288

12.1.3 代理伺服器的優點 289

12.1.4 代理伺服器的分類及特點 290

12.2 配置安全的Squid代理伺服器 291

12.2.1 Squid的啟動 291

12.2.2 Squid的配置檔案 292

12.2.3 Squid的命令參數 293

12.3 代理伺服器面臨的安全隱患 295

12.3.1 客戶端非法訪問不良網站 295

12.3.2 計算機病毒 295

12.4 提升Squid代理伺服器的安全性 296

12.4.1 控制對客戶端訪問 296

12.4.2 管理代理伺服器連線埠 297

12.4.3 使用用戶認證 298

12.5 全面監控Squid代理伺服器的運行 299

12.6 關注Squid代理伺服器的日誌 304

12.6.1 Squid日誌格式 304

12.6.2 分析access.log日誌檔案 304

12.6.3 使用Linux命令 305

12.6.4 使用專業軟體分析 305

12.7 為Squid代理伺服器串聯HAVP 309

12.8 本章小結 311

第13章 SSH伺服器的安全策略 312

13.1 SSH伺服器的工作原理 312

13.1.1 傳統遠程登錄的安全隱患 312

13.1.2 SSH能保護什麼 313

13.1.3 SSH伺服器和客戶端工作流程 313

13.2 安裝配置OpenSSH伺服器 314

13.2.1 安裝與啟動OpenSSH 314

13.2.2 配置檔案 315

13.3 SSH伺服器面臨的安全隱患 318

13.3.1 軟體漏洞 318

13.3.2 口令暴力破解 318

13.3.3 SSH所不能防範的網路攻擊 318

13.3.4 OpenSSH中可能安放有特洛伊木馬 319

13.4 提升SSH伺服器的安全性 319

13.4.1 升級舊版本 319

13.4.2 使用xinetd模式運行OpenSSH 319

13.4.3 使用BlockHosts對抗暴力破解 320

13.4.4 使用TCP會繞程式 320

13.4.5 管理SSH監聽連線埠 322

13.4.6 關閉Telnet服務 322

13.4.7 禁止root用戶登錄SSH伺服器 323

13.4.8 啟用防火牆保護OpenSSH伺服器 323

13.4.9 使用Protocol 2 323

13.4.10 不使用r系列命令 323

13.4.11 修改配置檔案 323

13.5 如何安全套用SSH客戶端 325

13.5.1 安全套用Linux下的SSH客戶端 325

13.5.2 生成密鑰對 329

13.5.3 命令測試 331

13.5.4 使用Windows SSH客戶端登錄OpenSSH伺服器 333

13.6 本章小結 338

第14章 Linux防火牆 339

14.1 防火牆簡介 339

14.1.1 什麼是防火牆 339

14.1.2 防火牆的功能 339

14.1.3 防火牆技術分類 340

14.2 Linux防火牆 342

14.2.1 Linux防火牆的歷史 342

14.2.2 Netfilter/Iptables系統是如何工作的 343

14.2.3 Iptables的基礎 345

14.2.4 建立規則和鏈 351

14.3 Iptables配置實戰 355

14.3.1 初試化配置方案 356

14.3.2 Web伺服器設定 356

14.3.3 DNS伺服器設定 356

14.3.4 郵件伺服器Sendmail設定 356

14.3.5 不回應ICMP封包 356

14.3.6 防止IP Spoofing 357

14.3.7 防止網路掃描 357

14.3.8 允許管理員以SSH方式連線到防火牆修改設定 357

14.3.9 快速構架Linux個人防火牆 357

14.4 升級Iptables控制BT 362

14.4.1 P2P套用現狀 362

14.4.2 下載軟體 362

14.4.3 安裝 363

14.4.4 測試 363

14.4.5 使用 364

14.5 本章小結 364

第15章 Linux網路環境下的VPN構建 366

15.1 VPN概述 366

15.1.1 VPN定義 366

15.1.2 VPN的功能 367

15.1.3 VPN的分類 367

15.1.4 VPN的隧道協定 369

15.2 Linux下的主要VPN技術 370

15.2.1 IPSec（Internet Protocol Security） 370

15.2.2 PPP OVER SSH 370

15.2.3 CIPE（Crypto IP Encapsulation） 371

15.2.4 PPTP 371

15.3 構建基於CIPE技術的Linux VPN 371

15.3.1 CIPE概述 371

15.3.2 使用Red Hat Linux 的網路管理

15.3.2 工具來配置CIPE VPN 372

15.3.3 通過配置檔案配置CIPE VPN 376

15.4 構建基於PPTP技術的Linux VPN 380

15.4.1 PPTP以及Poptop簡介 380

15.4.2 PPP簡介 381

15.4.3 在Linux2.4核心下安裝配置PPTP伺服器 381

15.4.4 在Linux2.6核心下安裝配置PPTP伺服器 386

15.4.5 Linux下PPTP客戶端連線VPN伺服器 387

15.5 構建基於SSH VNC技術的Linux VPN 390

15.5.1 VNC技術概述 390

15.5.2 使用NHC+SSH建立Linux和Windows的安全隧道 391

15.5.3 使用SSHTools實現Linux下遠程VPN辦公 393

15.5.4 VNC伺服器維護技巧 398

15.6 構建基於IPSec技術的Linux VPN 400

15.6.1 IPSec及IKE簡介 400

15.6.2 在RHEL 4.0配置IPSec 401

15.7 本章小結 404

第16章 使用IDS保護Linux伺服器 405

16.1 什麼是IDS 405

16.1.1 IDS定義 405

16.1.2 IDS的工作流程 405

16.1.3 IDS部署的位置 406

16.1.4 IDS的功能 407

16.1.5 IDS（入侵檢測系統）模型 407

16.1.6 IDS分類 408

16.2 Linux下配置基於主機的IDS 408

16.2.1 RPM包管理器作為一種IDS 408

16.2.2 其他基於主機的IDS 410

16.2.3 安裝配置Tripwire 410

16.3 Linux下配置基於網路的IDS 412

16.3.1 什麼是基於網路的IDS 412

16.3.2 Snort簡介 413

16.4 Snort的安裝配置 414

16.4.1 配置IDS的網路拓撲結構 415

16.4.2 安裝Snort 416

16.4.3 建立Snort資料庫 416

16.4.4 安裝配置ACID 416

16.4.5 配置Apache伺服器用戶認證 417

16.4.6 建立Snort規則 417

16.4.7 啟動Apache和MySQL服務進程 418

16.4.8 為Snort創建專用的用戶和組來啟動Snort 418

16.4.9 使用Web瀏覽器監控Snort 419

16.5 建立分散式Snort入侵檢測系統 419

16.5.1 安裝SnortCenter3 419

16.5.2 修改配置檔案 420

16.5.3 snortcenter-agent下載配置步驟 420

16.5.4 完成配置 420

16.6 本章小結 422

第17章 Linux網路監控策略 423

17.1 安裝配置MRTG監控Linux網路 423

17.1.1 SNMP簡介和MRTG監控過程 423

17.1.2 Linux下MRTG的安裝與配置 424

17.1.3 建立MRTG監控中心 426

17.1.4 MRTG軟體的不足和RRDTool的對比 426

17.2 安裝配置NTOP監控Linux網路 427

17.2.1 P2P對於網路流量提出挑戰 427

17.2.2 NTOP的安裝 430

17.2.3 軟體使用方法 432

17.3 NTOP的安全策略 438

17.3.1 經常查看NTOP的進程和日誌 439

17.3.2 進行Web訪問認證 439

17.3.3 加密連線NTOP 440

17.3.4 NTOP使用技巧和總結 441

17.4 本章小結 443

第18章 Linux常用安全工具 444

18.1 使用SAINT執行安全審核 444

18.1.1 什麼是SAINT 444

18.1.2 工作模式 445

18.1.3 安裝SAINT 445

18.1.4 SAINT設定 446

18.1.5 啟動SAINT 447

18.2 使用連線埠掃描軟體Nmap 451

18.2.1 Nmap簡介 451

18.2.2 使用Nmap 452

18.2.3 nmap命令實例 452

18.2.4 Nmap圖形前端 454

18.2.5 Nmap使用注意事項 455

18.3 使用網路數據採集分析工具Tcpdump 455

18.3.1 Tcpdump簡介 455

18.3.2 Tcpdump的安裝 456

18.3.3 Tcpdump的命令行選項 456

18.3.4 Tcpdump的過濾表達式 457

18.3.5 Tcpdump過濾數據包實例 458

18.3.6 Tcpdump的輸出結果 458

18.4 使用Ethereal分析網路數據 460

18.4.1 Ethereal簡介 460

18.4.2 安裝Ethereal 460

18.4.3 使用Ethereal 461

18.5 使用EtherApe分析網路流量 465

18.5.1 EtherApe簡介 465

18.5.2 EtherApe軟體下載安裝 465

18.5.3 EtherApe軟體使用方法 466

18.6 使用GnuPGP進行數據加密 468

18.6.1 GnuPGP簡介 468

18.6.2 GnuPGP安裝 468

18.6.3 生成密鑰 468

18.6.4 查看密鑰 469

18.6.5 公鑰的使用 469

18.6.6 GnuPGP套用實例（軟體包簽名驗證） 470

18.6.7 GnuPGP套用實例（在Mutt中

18.6.7 使用GnuPG） 470

18.7 其他安全工具簡介 470

18.7.1 密碼分析工具John the ripper 471

18.7.2 系統管理工具sudo 471

18.7.3 開放原始碼風險評估工具Nessus 471

18.7.4 網路瑞士軍刀Netcat 471

18.7.5 網路探測工具Hping2 471

18.7.6 列出打開的檔案命令工具LSOF 471

18.7.7 強大的無線嗅探器Kismet 471

18.7.8 802.11 WEP密碼破解工具AirSnort 472

18.7.9 安全管理員的輔助工具SARA 472

18.7.10 高級的traceroute工具Firewalk 472

18.7.11 主動作業系統指紋識別工具XProbe2 472

18.8 本章小結 472

第19章 防範嗅探器攻擊和Linux病毒 473

19.1 防範嗅探器攻擊 473

19.1.1 嗅探器攻擊原理 473

19.1.2 嗅探器的檢測技術 475

19.1.3 嗅探器的安全防範 475

19.2 Linux病毒的防範 477

19.2.1 Linux病毒的歷史 477

19.2.2 Linux平台下的病毒分類 478

19.2.3 Linux病毒的防治 479

19.2.4 Linux防病毒軟體 480

19.2.5 安裝配置f-prot反病毒軟體 480

19.3 本章小結 490

第20章 Linux數據備份恢復技術 491

20.1 Linux備份恢復基礎 491

20.1.1 什麼是備份 491

20.1.2 備份的重要性 492

20.2 Linux備份恢復策略 492

20.2.1 備份前需考慮的因素 492

20.2.2 備份介質的選擇 492

20.2.3 Linux備份策略 494

20.2.4 確定要備份的內容 495

20.2.5 Linux常用備份恢復命令 497

20.3 Linux常用備份恢復工具 502

20.3.1 Xtar 503

20.3.2 Kdat 503

20.3.3 Taper 504

20.3.4 Arkeia 505

20.3.5 Ghost for Linux 506

20.3.6 mkCDrec 507

20.3.7 NeroLINUX 508

20.3.8 K3b 509

20.3.9 KOnCD 510

20.3.10 CD Creator 510

20.3.11 X-CD-Roast 511

20.3.12 webCDcreator 512

20.3.13 rsync 513

20.3.14 mirrordir 514

20.3.15 partimage 514

20.3.16 dvdrecord 515

20.3.17 DVD+RW-Tools 515

20.4 Linux備份恢復實例 516

20.4.1 用mirrordir做硬碟分區鏡像 516

20.4.2 使用partimage備份恢復Linux分區 518

20.4.3 Linux異構網路中共享光碟刻錄 527

20.5 本章小結 541

第21章 資料庫簡介Linux開源資料庫安全現狀 542

21.1 資料庫簡介 542

21.1.1 資料庫和DBMS簡介 542

21.1.2 數據管理技術的產生和發展 544

21.2 SQL簡介 546

21.2.1 SQL語言具有四個特點： 546

21.2.2 SQL語法的分類 546

21.2.3 SQL語言的功能 547

21.2.4 SQL語言的種類及結構 547

21.2.5 SQL語言的執行類型 548

21.3 Linux下資料庫安全現狀 549

21.4 本章小結 553

第22章 MySQL資料庫伺服器安全 554

22.1 MySQL簡介 554

22.1.1 MySQL的歷史和現狀 554

22.1.2 MySQL的技術特點 555

22.2 MySQL伺服器的安裝與配置 556

22.2.1 安裝測試MySQL伺服器 556

22.2.2 管理MySQL伺服器 558

22.2.3 MySQL伺服器的用戶管理 564

22.2.4 MySQL伺服器日誌管理 565

22.3 使用GUI工具管理MySQL

22.3 伺服器 568

22.3.1 使用MySQL Control Center 568

22.3.2 使用phpMyAdmin 570

22.4 MySQL伺服器數據備份、恢復 576

22.4.1 使用MySQL相關命令進行簡單的本地備份 576

22.4.2 使用網路備份 578

22.4.3 實時恢復MySQL數據方法 580

22.4.4 使用phpMyBackupPro備份恢復MySQL資料庫 582

22.5 全面了解MySQL安全漏洞 586

22.5.1 安全漏洞相關術語 586

22.5.2 主要MySQL安全漏洞 588

22.6 MySQL的SQL注入 602

22.6.1 SQL注入簡介 602

22.6.2 MySQL中的SQL注入 603

22.7 MySQL的安全配置 608

22.7.1 作業系統的安全 608

22.7.2 MySQL用戶安全配置 609

22.7.3 MySQL有些加固配置 611

22.7.4 MySQL的安全例行審計 612

22.7.5 了解MySQL安全信息 614

22.7.6 用GreenSQL為MySQL伺服器建立防火牆 615

第23章 PostgreSQL資料庫伺服器安全 619

23.1 PostgreSQL簡介 619

23.1.1 什麼是PostgreSQL 619

23.1.2 PostgreSQL的歷史簡介 620

23.1.3 PostgreSQL體系基本概念 621

23.2 安裝使用PostgreSQL 622

23.2.1 安裝 622

23.2.2 為資料庫管理員postgres設定密碼 624

23.2.3 測試PostgreSQL 624

23.2.4 資料庫狀態管理 625

23.2.5 PostgreSQL資料庫用戶管理 625

23.2.6 PostgreSQL資料庫的管理與維護 626

23.2.7 PostgreSQL資料庫的備份和恢復 627

23.2.8 使用psql訪問PostgreSQL 628

23.2.9 啟動PostgreSQL時指定數據

23.2.8 存儲的位置 630

23.3 關注PostgreSQL安全問題 630

23.4 掌握PostgreSQL訪問認證設定 634

23.4.1 訪問認證基礎 634

23.4.2 配置實例 639

23.4.3 TCP/IP安全連線 640

23.4.4 安全認證總結 640

23.5 保護PostgreSQL資料庫的安全性指導方針 640

23.5.1 使pg_hba.conf檔案中各條目儘量受到限制 640

23.5.2 啟用SSL並且使用客戶機證書 641

23.5.3 儘量運行單用戶系統 641

23.5.4 關注資料庫補丁並保持更新 642

23.5.5 其他方面 644

第24章 搭建Linux新聞組伺服器 645

24.1 新聞組簡介 645

24.1.1 什麼是新聞組服務 645

24.1.2 新聞組套用流程 646

24.1.3 伺服器端有四種存儲方法 648

24.2 搭建INN新聞組伺服器 648

24.2.1 INN安裝軟體配置 648

24.2.2 新聞組的管理命令： 655

24.3 使用Dnews搭建Linux新聞組伺服器 656

24.3.1 安裝DNEWS 656

24.3.2 監控管理新聞組伺服器 657

24.4 Linux網路環境使用新聞組客戶端 660

24.4.1 Linux新聞組客戶端套用軟體特點 660

24.4.2 套用實例 660

24.4.3 Linux新聞組資源和使用注意事項 665

24.5 本章小結 667

第25章 在Linux網路環境下防範網路釣魚 668

25.1 網路釣魚簡介 668

25.1.1 什麼是網路釣魚及其發展 668

25.1.2 網路釣魚的最新發展 669

25.2 Linux用戶對網路釣魚的防範 671

25.2.1 電子郵件防範網路釣魚的設定 671

25.2.2 增強火狐（Firefox）的安全性防範釣魚攻擊 673

25.3 其他方面 676

25.3.1 個人的責任 676

25.3.2 企業領導和網路管理員的責任 677

25.4 本章小結 678

第26章 Linux無線網路構建及其安全策略 679

26.1 Linux無線網路簡介 679

26.1.1 Linux無線網路驅動模型 679

26.1.2 主要Linux驅動程式 680

26.1.3 802.11 標準 681

26.1.4 WPA : Wi-Fi保護訪問 682

26.1.5 Linux無線工具wireless_tools 683

26.2 Linux無線網路組建 687

26.2.1 迅馳無線網卡筆記本Linux驅動安裝 687

26.2.2 Atheros AR5007EG無線網卡筆記本Linux驅動安裝 688

26.2.3 USB接口無線網卡台式機Linux無線驅動安裝 689

26.2.4 使用wpa_supplicant 692

26.3 Linux無線網路高級套用 692

26.3.1 把Linux無線計算機配置一個AP 692

26.3.2 藍牙技術以及在Linux計算機中套用 697

26.4 Linux 無線網路安全策略 705

26.4.1 對Linux無線網路安全的主要威脅 705

26.4.2 Linux無線工具 706

26.4.3 Linux無線網路安全策略 711

26.5 本章總結 714

第27章 Linux安全審計系統 716

27.1 安裝軟體包並且配置審計

27.1 守護進程 716

27.1.1 安裝軟體包 716

27.1.2 了解Audit配置檔案 717

27.2 啟動auditd守護進程 724

27.3 分析auditd記錄 725

27.4 使用ausearch命令使用搜尋記錄 727

27.5 使用autrace用審計跟蹤進程 728

27.6 SUSE Linux伺服器下的audit簡介 729

27.6.1 日誌檔案 729

27.6.2 auditd傳送程式配置 730

27.6.3 auditd磁碟空間配置 730

27.7 本章小結 731

第28章 使用SELinux 系統 732

28.1 SeLinux簡介 732

28.1.1 SELinux起源 732

28.1.2 SELinux構架 733

28.1.3 為什麼使用SELinux 736

28.1.4 SELinux決策進程 738

28.1.5 SELinux相關的檔案 738

28.2 SELinux使用實戰 740

28.2.1 啟動SELinux 740

28.2.2 SELinux布爾值和上下文配置 742

28.2.3 SELinux的日誌檔案 750

28.3 SELinux典型套用案例總結 753

28.3.1 RHEL5.0中，如何去掉/var/log/audit/audit.log檔案中的虛假審計信息 753

28.3.2 使用mount命令時如何指定SELinux上下文 753

28.3.3 在RHEL4.0上怎么只禁用SELinux對Apache的保護 753

28.3.4 如何打開SELinux的enforcing和permissive模式 754

28.3.5 在RHEL 5.0下如何設定讓SELinux阻止一個守護進程監聽和默認連線埠不同的連線埠 755

28.3.6 如何查看檔案或者目錄的安全上下文屬性 755

28.3.7 如何重新套用SELinux的安全標籤到指定的檔案或目錄 755

28.3.8 系統登錄或是su的時候，會有訊息“choose a different context” 756

28.3.9 在RHEL 4.0上轉換SELinux的狀態方法 756

28.3.10 SELinux下Apache使用SSL加密配置，當服務啟動的時候，為什麼伺服器沒有要求密碼短語而是直接啟動失敗了 757

28.3.11 如果重新套用SELinux的安全標籤到指定的檔案或目錄 757

28.4 SELinux小結 758

附錄A Linux伺服器應急回響流程與步驟 759