Linux系統檔案安全實戰全攻略

《Linux系統檔案安全實戰全攻略》從保護Linux系統檔案完整性、Linux系統下檔案病毒的防治、恢復損壞檔案等方面，詳細介紹了Linux系統下與檔案安全保護相關的各種軟體的套用技巧。《Linux系統檔案安全實戰全攻略》主要介紹了Tripwire、AIDE等軟體的工作特性及使用技巧，套用ClamAV防治病毒的方法，以及如何使用ext3grep、extundelete等軟體恢復人為刪除的檔案。

《Linux系統檔案安全實戰全攻略》實例豐富，講解透徹，適合Linux系統初級管理員及Linux系統安全維護人員等閱讀。

上篇　檔案完整性

第1章　Tripwire軟體簡介　2

1.1　什麼是Tripwire　3

1.2　Tripwire軟體的部署　3

1.3　Tripwire軟體的組成　4

1.3.1　目錄結構　4

1.3.2　部分檔案的作用　5

1.3.3　非對稱加密　6

1.4　Tripwire軟體工作原理　6

第2章　Tripwire的安裝與部署　8

2.1　Tripwire軟體的編譯安裝　9

2.1.1　安裝環境　9

2.1.2　下載Tripwire軟體　9

2.1.3　解壓壓縮檔　9

2.1.4　編譯安裝　9

2.1.5　安裝過程　12

2.2　定製Tripwire軟體　14

2.2.1　修改配置檔案　14

2.2.2　測試郵件　15

2.2.3　修改策略檔案　15

2.2.4　生成二進制加密簽名策略檔案　18

2.3　初始化資料庫　18

2.4　進行完整性檢測　18

2.5　查看完整性檢測報告　21

2.6　Tripwire軟體退出代碼　23

第3章　Tripwire軟體命令參考　24

3.1　tripwire命令工作模式　25

3.1.1　tripwire命令的資料庫初始化模式　26

3.1.2　tripwire命令的完整性檢測模式　27

3.1.3　tripwire命令的資料庫升級模式　28

3.1.4　tripwire命令的策略升級模式　30

3.1.5　tripwire命令的測試模式　31

3.2　twprint命令　32

3.2.1　twprint命令的螢幕列印檢測報告模式　32

3.2.2　twprint命令的螢幕列印資料庫模式　33

3.3　twadmin命令　34

3.3.1　twadmin命令的建立配置檔案模式　34

3.3.2　twadmin命令的列印配置檔案模式　35

3.3.3　twadmin命令的建立策略檔案模式　35

3.3.4　twadmin命令的列印策略檔案模式　36

3.3.5　twadmin命令的移除加密模式　37

3.3.6　twadmin命令的加密檔案模式　37

3.3.7　twadmin命令的檢測加密模式　38

3.3.8　twadmin命令的創建密鑰模式　39

3.4　siggen命令　39

第4章　策略參考　41

4.1　策略檔案的組成　42

4.2　規則(Rules)　42

4.2.1　對象名字(Object Names)　43

4.2.2　屬性掩碼(Property masks)　44

4.3　停止點(Stop Points)　45

4.4　規則屬性(Rule attributes)　46

4.4.1　rulename屬性　47

4.4.2　emailto屬性　47

4.4.3　severity屬性　48

4.4.4　recurse屬性　48

4.5　指令　48

4.5.1　指令@@section　49

4.5.2　指令@@ifhost, @@else, @@endif　49

4.5.3　指令@@print, @@error　50

4.5.4　指令@@end　51

4.6　變數(Variables)　51

4.6.1　變數定義　51

4.6.2　變數替換　51

第5章　配置檔案參考　53

5.1　配置檔案(Configuration File)　54

5.1.1　介紹install.cfg檔案　54

5.1.2　tw.cfg配置檔案格式　56

5.2　配置檔案的變數　57

5.2.1　必選變數(Required Variables)　57

5.2.2　可選變數(Optional Variables)　57

5.2.3　電子郵件通知變數　58

第6章　使用Tripwire軟體　60

6.1　配置檔案(Configuration file)　61

6.1.1　編輯配置檔案　61

6.1.2　測試E-mail收發　61

6.1.3　定製默認的策略檔案　62

6.1.4　初始化資料庫　62

6.2　常規操作　63

6.2.1　完整性檢測　63

6.2.2　檢驗報告檔案　64

6.2.3　升級資料庫　64

6.2.4　升級策略檔案　65

6.2.5　修改密碼短語(Passphrases)　65

第7章　認識AIDE　68

7.1　了解AIDE　69

7.1.1　AIDE的功能　69

7.1.2　AIDE安裝要求　70

7.1.3　基本用法　70

7.1.4　工作流程圖　71

7.1.5　AIDE的最新版本　71

7.2　編譯安裝　72

7.2.1　原始碼驗證　72

7.2.2　利用MD5檢查　73

7.2.3　configure配置　73

7.2.4　configure參數　73

7.2.5　編譯和安裝　76

7.2.6　編寫配置檔案　76

7.2.7　配置檔案實例　76

7.2.8　AIDE安裝後的目錄　77

第8章　使用AIDE　79

8.1　aide命令　80

8.1.1　aide命令的5種工作模式　80

8.1.2　相關參數　82

8.1.3　錯誤信息　83

8.1.4　相關檔案　83

8.2　配置檔案　84

8.2.1　了解配置檔案　84

8.2.2　調試配置檔案　86

8.2.3　檔案格式比較　86

8.3　理解AIDE規則　86

8.3.1　規則結構　87

8.3.2　Aide規則配置算法　87

8.4　配置語句　87

8.4.1　配置語句(config lines)　87

8.4.2　變數　88

8.4.3　符號“+”和“-”的使用　90

8.4.4　AIDE的檢測類型　90

8.5　AIDE中的宏定義　93

8.5.1　宏語句　93

8.5.2　語法解釋　93

8.6　選擇語句　94

8.6.1　選擇語句類型　94

8.6.2　符號“！”和“$”的使用　94

8.7　資料庫和配置檔案的校驗簽名　95

8.7.1　相關的configure參數　95

8.7.2　建立校驗簽名的資料庫和配置檔案　96

8.7.3　使用校驗簽名的意義　97

8.8　實驗　98

第9章　使用ICU　100

9.1　了解ICU　101

9.1.1　ICU的工作原理　101

9.1.2　安裝ICU的要求　102

9.2　編譯和安裝　102

9.2.1　安裝ICU伺服器　102

9.2.2　關於使用AIDE的兩點說明　106

9.2.3　SSH的兩個版本　107

9.3　默認配置檔案的註解　110

9.4　ICU pl命令　116

9.4.1　一般模式(General usage)　116

9.4.2　體檢模式(Sanity check)　117

9.4.3　密鑰生成模式(Key generation)　117

9.4.4　ICU pl的另外兩個參數　118

9.5　使用ICU　118

9.5.1　在ICU伺服器端添加客戶端　118

9.5.2　客戶端在遠程主機上的安裝　119

9.5.3　在伺服器端對客戶端的操作　121

9.5.4　伺服器端的計畫工作　122

9.5.5　關於伺服器端及客戶端的資料庫檔案　122

9.5.6　關於伺服器端的日誌檔案　124

9.5.7　關於郵件的內容　124

9.5.8　使用後的安裝目錄　126

9.5.9　使用中的注意事項　127

9.6　實驗　128

中篇　Linux下病毒的防治

第10章　Clam AntiVirus　132

10.1　Clam AntiVirus概論　133

10.2　編譯安裝clamAV　134

10.3　CVD格式　135

10.3.1　分析CVD格式　136

10.3.2　簽名格式(Signature formats)　137

10.3.3　簽名名字(Signature names)　142

10.3.4　三類特殊檔案的簽名　143

10.3.5　自定義資料庫　144

第11章　Clamd伺服器　146

11.1　安裝ClamAV　147

11.2　定製配置檔案　147

11.3　與其他服務結合　147

11.4　相關的配置檔案　147

11.4.1　clamd.conf配置檔案格式　147

11.4.2　freshclamconf配置檔案格式　166

第12章　Clamd與用戶檔案系統　174

12.1　ClamFS用戶檔案系統　175

12.1.1　安裝要求　175

12.1.2　ClamFS檔案系統原理　175

12.1.3　功能　176

12.1.4　內部組織結構　176

12.1.5　ClamFS的簡化流程圖　176

12.1.6　編譯安裝　177

12.1.7　安裝後的檔案結構　177

12.1.8　ClamFS命令　177

12.1.9　配置檔案　178

12.1.10　啟動ClamFS　179

12.1.11　使用ClamFS檔案系統　180

12.1.12　關閉ClamFS進程　181

12.2　Dazuko　181

12.2.1　概述Dazuko　181

12.2.2　下載並安裝Dazuko　181

12.2.3　Dazuko與ClamAV的結合　184

12.2.4　測試　185

12.3　Clamuko　186

12.3.1　打開Clamuko功能　186

12.3.2　設定保護目錄　187

12.3.3　測試　187

12.4　Dazukofs　187

12.4.1　概述Dazukofs　188

12.4.2　示意圖　188

12.4.3　源檔案目錄結構　189

12.4.4　編譯安裝　189

12.4.5　設定Clamuko　193

第13章　Linux下的服務與ClamdAV　197

13.1　Apache與Clamd　198

13.1.1　概述　198

13.1.2　安裝要求　198

13.1.3　編譯安裝　198

13.1.4　配置mod_clamav　199

13.1.5　測試mod_clamav　204

13.2　Proftp與Clamd　209

13.2.1　概述　209

13.2.2　編譯安裝　210

13.2.3　mod_clamav的配置　211

13.2.4　抗病毒功能測試　212

13.3　Samba與ClamAV　213

13.3.1　概述　213

13.3.2　下載並安裝Samba　213

13.3.3　安裝samba-vscan　214

13.3.4　配置檔案　214

13.3.5　運行samba及clamd進程　216

13.3.6　檢查日誌看啟動情況　216

13.3.7　抗病毒功能測試　217

13.4　Squid與ClamAV　218

13.4.1　概述　218

13.4.2　編譯安裝　219

13.4.3　HAVP與Squid進行結合　229

13.4.4　啟動HAVP　230

13.4.5　測功能試　230

13.4.6　設定HAVP以服務模式啟動　231

13.4.7　相關檔案blacklist和whitelist　232

13.5　Postfix與ClamAV　233

13.5.1　認識amavisd-new　233

13.5.2　安裝amavisd-new　236

13.5.3　整合Postfix和amavisd-new　253

13.5.4　整合Postfix和amavisd-new實例　267

13.5.5　其他命令　273

第14章　監控與管理Clamd　278

14.1　clamd啟動腳本(init script)　279

14.2　監控與自動重啟clamd　280

14.2.1　clamdmon工具　280

14.2.2　clamdwatch工具　282

14.3　clamd相關命令　284

14.3.1　clamd　284

14.3.2　clamconf　286

14.3.3　clamdscan　288

14.3.4　clamdtop　290

14.3.5　clamscan　294

14.3.6　freshclam　299

14.3.7　sigtool　301

14.3.8　clamav-config　303

下篇　恢復人為刪除的檔案

第15章　對ext3下的檔案恢復　306

15.1　下載並安裝ext3grep　307

15.2　恢復認為損壞的檔案　309

15.2.1　ext3如何存儲檔案　309

15.2.2　手動恢復舉例　330

15.2.3　恢復多個檔案　334

第16章　對ext4下的檔案恢復　338

16.1　了解ext4　339

16.2　下載並安裝extundelete軟體　340

16.2.1　下載extundelete　340

16.2.2　安裝相關軟體　340

16.3　了解extundelete　342

16.4　手動恢復舉例　349