Linux服務(wù)器安全策略詳解

第1章  Linux網(wǎng)絡(luò)基礎(chǔ)與Linux 1
     服務(wù)器的安全威脅 1
1.1  Linux網(wǎng)絡(luò)基礎(chǔ) 1
1.1.1  Linux網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn) 1
1.1.2  TCP/IP四層模型和OSI七層模型 2
1.1.3  TCP/IP提供的主要用戶應(yīng)用程序 4
1.1.4  端口號(hào)分配 4
1.2  Linux的TCP/IP網(wǎng)絡(luò)配置 6
1.2.1  Linux的TCP/IP網(wǎng)絡(luò)配置文件 7
1.2.2  網(wǎng)絡(luò)配置工具 7
1.2.3  配置網(wǎng)絡(luò)接口 9
1.3  分級(jí)解析對(duì)Linux服務(wù)器的攻擊 14
1.3.1  攻擊者使用什么操作系統(tǒng) 15
1.3.2  典型的攻擊者有什么特征 15
1.3.3  攻擊者典型的目標(biāo)是什么 15
1.3.4  實(shí)施攻擊的原因是什么 15
1.3.5  攻擊級(jí)別 16
1.3.6  反擊措施 18
1.4  開源軟件網(wǎng)絡(luò)安全概述 19
1.5  本章小結(jié) 21
第2章  OpenSSL與Linux網(wǎng)絡(luò)安全 22
2.1  理解SSL和OpenSSL如何工作 22
2.1.1  SSL功能 22
2.1.2  SSL協(xié)議簡介 23
2.1.3  SSL工作流程 23
2.1.4  OpenSSL簡介 25
2.1.5  OpenSSL的組成 25
2.2  理解服務(wù)器證書（CA） 26
2.2.1  X.509協(xié)議簡介 26
2.2.2  金字塔結(jié)構(gòu)的優(yōu)缺點(diǎn) 27
2.2.3  相關(guān)名詞解釋 27
2.3  Linux下安裝和配置OpenSSL 28
2.3.1  下載OpenSSL源代碼 28
2.3.2  安裝 OpenSSL 29
2.3.3  產(chǎn)生CA憑證 30
2.3.4  CA產(chǎn)生次級(jí)憑證 30
2.3.5  OpenSSL應(yīng)用 32
2.3.6  OpenSSL常用命令 35
2.4  數(shù)字證書在客戶端的應(yīng)用 37
2.5  OpenSSL面臨的安全問題及其解決思路 38
2.5.1  OpenSSL面臨的安全問題 38
2.5.2  解決思路 39
2.6  本章小結(jié) 39
第3章  PAM與Open LDAP 40
3.1  PAM工作原理 40
3.1.1  什么是PAM 40
3.1.2  為什么使用PAM 41
3.1.3  PAM體系結(jié)構(gòu) 41
3.1.4  PAM工作流程圖 42
3.2  PAM配置文件 43
3.3  建立PAM應(yīng)用程序 44
3.4  PAM常用認(rèn)證模塊及其應(yīng)用 46
3.4.1  PAM常用認(rèn)證模塊 46
3.4.2  PAM模塊應(yīng)用實(shí)例 47
3.5  安全應(yīng)用PAM 48
3.5.1  刪除不再需要的PAM配置文件
3.5.1  和模塊 48
3.5.2  對(duì)PAM配置進(jìn)行備份 48
3.5.3  設(shè)置資源限制 48
3.5.4  限制su命令 49
3.6  動(dòng)手制作Linux下基于PAM機(jī)制的
3.6  USB Key 49
3.6.1  什么是USB Key 49
3.6.2  建立pam_usb應(yīng)用 49
3.7  Liunx目錄服務(wù)器介紹 51
3.8  安裝配置OpenLDAP服務(wù)器 53
3.8.1  安裝OpenLDAP服務(wù)器 53
3.8.2  配置OpenLDAP 服務(wù)器 53
3.8.3  啟動(dòng)OpenLDAP服務(wù)器 55
3.9  配置OpenLDAP客戶端 56
3.9.1  配置Linux OpenLDAP客戶端 56
3.9.2  Outlook如何使用OpenLDAP 56
3.10  監(jiān)控OpenLDAP服務(wù)器 57
3.10.1  使用uptime命令 57
3.10.2  使用cron命令定時(shí)監(jiān)測
3.10.2  系統(tǒng)負(fù)載 57
3.10.3  OpenLDAP進(jìn)程的監(jiān)控 57
3.10.4  端口的監(jiān)控 58
3.11  安全管理OpenLDAP服務(wù)器 58
3.11.1  自動(dòng)啟動(dòng)OpenLDAP服務(wù)器 58
3.11.2  使用訪問控制（Access Control）
3.11.2  實(shí)現(xiàn)用戶認(rèn)證 58
3.11.3  禁止整個(gè)服務(wù)器的匿名訪問 59
3.11.4  配置OpenLDAP使用TLS通信 59
3.11.5  管理OpenLDAP服務(wù)器 59
3.11.6  OpenLDAP在Linux上集群
3.11.6  的應(yīng)用 61
3.12  本章小結(jié) 61
第4章  Linux網(wǎng)絡(luò)服務(wù)和xinetd 62
4.1  Linux啟動(dòng)過程 62
4.1.1  Linux的啟動(dòng)過程詳解 62
4.1.2  Linux運(yùn)行級(jí) 66
4.1.3  /etc/inittab文件詳解 67
4.1.4  init和/etc/inittab 68
4.2  守護(hù)進(jìn)程 69
4.2.1  Linux守護(hù)進(jìn)程的概念 69
4.2.2  Linux系統(tǒng)提供的服務(wù)及其守護(hù)
4.2.2  進(jìn)程列表 70
4.2.3  Linux守護(hù)進(jìn)程的運(yùn)行方式 73
4.3  xinetd 75
4.3.1  什么是xinetd 75
4.3.2  xinetd的特色 75
4.3.3  使用xinetd啟動(dòng)守護(hù)進(jìn)程 76
4.3.4  解讀/etc/xinetd.conf和
4.3.4  /etc/xinetd.d/* 76
4.3.5  配置xinetd 77
4.3.6  xinetd防止拒絕服務(wù)攻擊
4.4.1  （Denial of Services）的原因 82
4.4  Linux服務(wù)管理工具 83
4.4.1  redhat-config-services 83
4.4.2  ntsysv 84
4.4.3  chkconfig 85
4.5  安全選擇Linux服務(wù) 85
4.6  本章小結(jié) 86
第5章  DNS服務(wù)器的安全策略 87
5.1  DNS服務(wù)器的工作原理 87
5.2  域名服務(wù)的解析原理和過程 88
5.3  DNS服務(wù)器面臨的安全問題 90
5.3.1  DNS欺騙 90
5.3.2  拒絕服務(wù)攻擊 92
5.3.3  緩沖區(qū)漏洞攻擊 92
5.3.4  分布式拒絕服務(wù)攻擊 92
5.3.5  緩沖區(qū)溢出漏洞攻擊 93
5.3.6  不安全的DNS動(dòng)態(tài)更新 93
5.4  增強(qiáng)DNS安全性的方法 94
5.4.1  選擇安全沒有缺陷的DNS版本 94
5.4.2  保持DNS服務(wù)器配置正確、可靠 94
5.5  建立一個(gè)完整的DNS 95
5.5.1  DNS分類 95
5.5.2  安裝BIND域名服務(wù)器軟件 95
5.5.3  named配置文件族內(nèi)容 96
5.5.4  配置惟高速存域名服務(wù)器 96
5.5.5  配置主域名服務(wù)器 96
5.5.6  配置輔助域名服務(wù)器 98
5.5.7  配置域名服務(wù)器客戶端 99
5.6  DNS故障排除工具 100
5.6.1  dlint 100
5.6.2  DNS服務(wù)器的工作狀態(tài)檢查 101
5.7  全面加固DNS服務(wù)器 103
5.7.1  使用TSIG技術(shù) 103
5.7.2  使用DNSSEC技術(shù) 105
5.8  配置安全的DNS服務(wù)器 106
5.8.1  隔離DNS服務(wù)器 106
5.8.2  為BIND創(chuàng)建chroot 106
5.8.3  隱藏BIND的版本號(hào) 107
5.8.4  避免透露服務(wù)器的信息 107
5.8.5  關(guān)閉DNS服務(wù)器的glue fetching
5.8.5  選項(xiàng) 107
5.8.6  控制區(qū)域（zone）傳輸 107
5.8.7  請(qǐng)求限制 108
5.8.8  其他強(qiáng)化措施 108
5.8.9  為DNS服務(wù)器配置
5.8.9  DNS Flood Detector 109
5.8.10  建立完整的域名服務(wù)器 110
5.8.11  建立DNS日志 111
5.8.12  增強(qiáng)DNS服務(wù)器的防范
5.8.12  DoS/DDoS功能 112
5.8.13  使用分布式DNS負(fù)載均衡 112
5.8.14  防范DNS服務(wù)器網(wǎng)絡(luò) 113
5.8.15  配置防火墻 113
5.9  本章小結(jié) 113
第6章  Web服務(wù)器的安全策略 114
6.1  Web服務(wù)器軟件Apache簡介 114
6.1.1  Apache的發(fā)展歷史 114
6.1.2  市場情況 115
6.1.3  Apache的工作原理 116
6.1.4  Apache服務(wù)器的特點(diǎn) 117
6.2  Apache服務(wù)器面臨的安全問題 118
6.2.1  HTTP拒絕服務(wù) 118
6.2.2  緩沖區(qū)溢出 119
6.2.3  攻擊者獲得root權(quán)限 119
6.3  配置一個(gè)安全的Apache服務(wù)器 119
6.3.1  勤打補(bǔ)丁 119
6.3.2  隱藏和偽裝Apache的版本 120
6.3.3  建立一個(gè)安全的目錄結(jié)構(gòu) 120
6.3.4  為Apache使用專門的用戶
6.3.4  和用戶組 121
6.3.5  Web目錄的訪問策略 121
6.3.6  Apache服務(wù)器訪問控制方法 122
6.3.7  管理Apache服務(wù)器訪問日志 122
6.3.8  Apache服務(wù)器的密碼保護(hù) 130
6.3.9  減少CGI和SSI風(fēng)險(xiǎn) 132
6.3.10  讓Apache服務(wù)器在“監(jiān)牢”
6.3.10  中運(yùn)行 133
6.3.11  使用SSL加固Apache 135
6.3.12  Apache服務(wù)器防范DoS 140
6.3.13  利用LDAP對(duì)Apache進(jìn)行認(rèn)證 140
6.3.14  其他安全工具 141
6.4  本章小結(jié) 142
第7章  電子郵件服務(wù)器的安全策略 143
7.1  電子郵件系統(tǒng)的組成和相關(guān)協(xié)議 143
7.1.1  操作系統(tǒng) 144
7.1.2  郵件傳輸代理MTA 144
7.1.3  郵件分發(fā)代理MDA 146
7.1.4  郵件用戶代理MUA 146
7.1.5  電子郵件服務(wù)器協(xié)議及其
7.1.5  相關(guān)命令 146
7.2  電子郵件服務(wù)器的工作原理 152
7.2.1  電子郵件的工作流程 152
7.2.2  電子郵件的歷史 153
7.2.3  電子郵件地址的組成 153
7.2.4  電子郵件系統(tǒng)和DNS的聯(lián)系 154
7.3  電子郵件服務(wù)器面臨的安全隱患 155
7.3.1  Linux病毒 155
7.3.2  網(wǎng)絡(luò)攻擊 155
7.3.3  垃圾郵件及其防范 155
7.4  安裝安全的Sendmail服務(wù)器 159
7.4.1  安裝Sendmail服務(wù)器 159
7.4.2  提高Sendmail的防垃圾郵件能力 160
7.4.3  其他保護(hù)Sendmail的安全措施 162
7.4.4  配置基于Sendmail的Webmail 163
7.4.5  增強(qiáng)Webmail郵件服務(wù)器的安全 167
7.4.6  監(jiān)控Sendmail的日志文件 168
7.5  安裝安全的Postfix服務(wù)器 169
7.5.1  安裝Postfix服務(wù)器 169
7.5.2  保護(hù)Postfix服務(wù)器 173
7.5.3  自動(dòng)監(jiān)控Postfix 郵件服務(wù)器 174
7.6  本章小結(jié) 177
第8章  FTP服務(wù)器的安全策略 178
8.1  FTP的工作原理 178
8.1.1  FTP簡介 178
8.1.2  FTP的功能 179
8.1.3  FTP服務(wù)器登錄方式的分類 179
8.1.4  FTP的工作原理 179
8.1.5  FTP的典型消息和子命令 181
8.1.6  Linux服務(wù)器端的主要FTP軟件 184
8.2  FTP服務(wù)器面臨的安全隱患 185
8.2.1  緩沖區(qū)溢出攻擊 185
8.2.2  數(shù)據(jù)嗅探 185
8.2.3  匿名訪問缺陷 185
8.2.4  訪問漏洞 186
8.3  配置安全的Wu-ftpd服務(wù)器 186
8.3.1  配置Wu-ftpd服務(wù)器 186
8.3.2  Wu-ftpd服務(wù)器的配置文件
8.3.2  /etc/ftpaccess 187
8.3.3  其他配置文件 190
8.3.4  增強(qiáng)Wu-ftpd服務(wù)器安全性
8.3.4  的方法 191
8.4  配置安全的ProFTPD服務(wù)器 195
8.4.1  配置ProFTPD服務(wù)器 195
8.4.2  增強(qiáng)ProFTPD服務(wù)器的安全性
8.4.2  的方法 198
8.5  配置安全的Vsftpd服務(wù)器 207
8.5.1  快速構(gòu)建Vsftpd服務(wù)器 207
8.5.2  Vsftpd配置文件 208
8.5.3  Vsftpd的設(shè)置選項(xiàng) 209
8.5.4  通過Web瀏覽器管理Vsftpd
8.5.4  服務(wù)器 215
8.5.5  分析Vsftpd服務(wù)器的日志文件 217
8.5.6  使用BlockHosts對(duì)抗暴力破解 218
8.5.7  在RHEL 4.0下安裝支持SSL的
8.5.7  最新版本的Vsftpd 218
8.5.8  使用quota為ftpuser加入磁盤
8.5.8  限額 218
8.6  安全使用客戶端工具 219
8.6.1  命令行模式 219
8.6.2  圖形界面模式（gFTP） 220
8.7  本章小結(jié) 221
第9章  Samba服務(wù)器的安全策略 222
9.1  Samba簡介 222
9.1.1  什么是Samba 222
9.1.2  Samba的歷史起源 222
9.1.3  SMB協(xié)議 223
9.1.4  為什么使用Samba 223
9.1.5  Samba 軟件包的功能 224
9.2  安裝配置Samba服務(wù)器 225
9.2.1  安裝Samba服務(wù)器 225
9.2.2  Samba配置文件 225
9.2.3  設(shè)置Samba密碼文件 229
9.2.4  啟動(dòng)Samba服務(wù)器 230
9.2.5  測試Samba配置文件 230
9.2.6  在Windows環(huán)境測試RHEL 4.0
9.2.6  默認(rèn)配置 231
9.3  配置Samba服務(wù)器共享文件及打印機(jī) 233
9.3.1  配置文件共享 233
9.3.2  配置共享打印機(jī) 234
9.3.3  在Linux環(huán)境下應(yīng)用Samba服務(wù) 235
9.4  其他配置Samba的方法和用好Linux
9.4  下的網(wǎng)絡(luò)鄰居 236
9.4.1  圖形化配置工具system-config-
9.4.1  samba 236
9.4.2  使用SWAT管理工具管理Samba 239
9.4.3  其他工具 241
9.4.4  用好Linux下的網(wǎng)絡(luò)鄰居 241
9.5  Samba服務(wù)器面臨的安全隱患 245
9.5.1  非法訪問數(shù)據(jù) 245
9.5.2  計(jì)算機(jī)病毒 245
9.5.3  Samba文件服務(wù)器的安全級(jí)別 245
9.6  提升Samba服務(wù)器的安全性 246
9.6.1  不要使用明語密碼 246
9.6.2  盡量不使用共享級(jí)別安全 246
9.6.3  盡量不要瀏覽器服務(wù)訪問 246
9.6.4  通過網(wǎng)絡(luò)接口控制Samba訪問 247
9.6.5  通過主機(jī)名稱和IP地址列表
9.6.5  控制Samba訪問 247
9.6.6  使用pam_smb對(duì)Windows NT/2000
9.6.6  服務(wù)器的用戶進(jìn)行驗(yàn)證 247
9.6.7  為Samba配置防范病毒軟件 248
9.6.8  使用Iptables防火墻保護(hù)Samba 249
9.6.9  使用Gsambad管理監(jiān)控Samba
9.6.9  服務(wù)器 249
9.6.10  使用SSL加固Samba 252
9.7  本章小結(jié) 252
第10章  NFS服務(wù)器的安全策略 253
10.1  NFS服務(wù)器的工作原理 253
10.1.1  NFS簡介 253
10.1.2  為何使用NFS 254
10.1.3  NFS協(xié)議 254
10.1.4  什么是RPC（Remote
10.1.4  Procedure Call） 255
10.2  安裝配置NFS服務(wù)器 257
10.2.1  NFS網(wǎng)絡(luò)文件的系統(tǒng)結(jié)構(gòu) 257
10.2.2  配置/etc/exports文件 258
10.2.3  激活服務(wù)portmap和nfsd 259
10.2.4  exportfs 命令 259
10.2.5  檢驗(yàn)?zāi)夸?var/lib/nfs/xtab 259
10.2.6  showmount 259
10.2.7  觀察激活的端口號(hào) 260
10.2.8  NFS服務(wù)器的啟動(dòng)和停止 260
10.3  NFS的圖形化配置 260
10.3.1  NFS服務(wù)器配置窗口 261
10.3.2  添加NFS共享 261
10.3.3  常規(guī)選項(xiàng) 262
10.3.4  用戶訪問 262
10.3.5  編輯NFS共享 263
10.4  NFS的客戶端配置 263
10.4.1  使用mount命令 264
10.4.2  掃描可以使用的NFS Server
10.4.2  目錄 265
10.4.3  卸載NFS網(wǎng)絡(luò)文件系統(tǒng) 265
10.4.4  應(yīng)用實(shí)例 265
10.4.5  其他掛載NFS文件系統(tǒng)的方法 266
10.5  NFS服務(wù)器面臨的安全隱患 267
10.6  提升NFS服務(wù)器的安全性 267
10.6.1  使用tcp_wrappers 267
10.6.2  注意配置文件語法錯(cuò)誤 267
10.6.3  使用Iptables防火墻 267
10.6.4  把開放目錄限制為只讀權(quán)限 268
10.6.5  禁止對(duì)某些目錄的訪問 268
10.6.6  root Squashing訪問問題 268
10.6.7  使用nosuid和noexec選項(xiàng) 268
10.6.8  保護(hù)portmap的安全性 269
10.6.9  保留ACL 269
10.7  本章小結(jié) 270
第11章  DHCP服務(wù)器的安全策略 271
11.1  DHCP服務(wù)器的工作原理 271
11.1.1  DHCP簡介 271
11.1.2   為什么使用DHCP 271
11.1.3  DHCP的工作流程 272
11.1.4  DHCP的設(shè)計(jì)目標(biāo) 273
11.2  安裝DHCP服務(wù)器 273
11.2.1  DHCP配置文件 273
11.2.2  配置實(shí)例 274
11.2.3  啟動(dòng)DHCP服務(wù)器 276
11.2.4  設(shè)置DHCP客戶端 278
11.3  DHCP服務(wù)器的故障排除 279
11.3.1  客戶端無法獲取IP地址 279
11.3.2  DHCP客戶端程序和DHCP
11.3.  2服務(wù)器不兼容 280
11.4  提升DHCP服務(wù)器的安全性 280
11.4.1  管理監(jiān)控DHCP服務(wù)器 280
11.4.2  讓DHCP服務(wù)器在監(jiān)牢中運(yùn)行 282
11.4.3  提供備份的DHCP設(shè)置 284
11.5  本章小結(jié) 285
第12章  Squid服務(wù)器的安全策略 286
12.1  代理服務(wù)器的工作原理 286
12.1.1  各種代理服務(wù)器的比較 286
12.1.2  Squid工作原理和流程圖 287
12.1.3  代理服務(wù)器的優(yōu)點(diǎn) 288
12.1.4  代理服務(wù)器的分類及特點(diǎn) 289
12.2  配置安全的Squid代理服務(wù)器 289
12.2.1  Squid的啟動(dòng) 290
12.2.2  Squid的配置文件 290
12.2.3  Squid的命令參數(shù) 291
12.3  代理服務(wù)器面臨的安全隱患 293
12.3.1  客戶端非法訪問不良網(wǎng)站 293
12.3.2  計(jì)算機(jī)病毒 294
12.4  提升Squid代理服務(wù)器的安全性 294
12.4.1  控制對(duì)客戶端訪問 294
12.4.2  管理代理服務(wù)器端口 296
12.4.3  使用用戶認(rèn)證 296
12.5  全面監(jiān)控Squid代理服務(wù)器的運(yùn)行 297
12.6  關(guān)注Squid代理服務(wù)器的日志 301
12.6.1  Squid日志格式 301
12.6.2  分析access.log日志文件 302
12.6.3  使用Linux命令 302
12.6.4  使用專業(yè)軟件分析 303
12.7  為Squid代理服務(wù)器串聯(lián)HAVP 306
12.8  本章小結(jié) 308
第13章  SSH服務(wù)器的安全策略 309
13.1  SSH服務(wù)器的工作原理 309
13.1.1  傳統(tǒng)遠(yuǎn)程登錄的安全隱患 309
13.1.2  SSH能保護(hù)什么 309
13.1.3  SSH服務(wù)器和客戶端工作流程 310
13.2  安裝配置OpenSSH服務(wù)器 311
13.2.1  安裝與啟動(dòng)OpenSSH 311
13.2.2  配置文件 312
13.3  SSH服務(wù)器面臨的安全隱患 315
13.3.1  軟件漏洞 315
13.3.2  口令暴力破解 315
13.3.3  SSH所不能防范的網(wǎng)絡(luò)攻擊 315
13.3.4  OpenSSH中可能安放有
13.3.4  特洛伊木馬 315
13.4  提升SSH服務(wù)器的安全性 316
13.4.1  升級(jí)舊版本 316
13.4.2  使用xinetd模式運(yùn)行OpenSSH 316
13.4.3  使用BlockHosts對(duì)抗暴力破解 317
13.4.4  使用TCP 會(huì)繞程序 317
13.4.5  管理SSH監(jiān)聽端口 318
13.4.6  關(guān)閉Telnet服務(wù) 319
13.4.7  禁止root用戶登錄SSH服務(wù)器 319
13.4.8  啟用防火墻保護(hù)OpenSSH
13.4.8  服務(wù)器 319
13.4.9  使用Protocol 2 319
13.4.10  不使用r系列命令 319
13.4.11  修改配置文件 320
13.5  如何安全應(yīng)用SSH客戶端 321
13.5.1  安全應(yīng)用Linux下的SSH
13.5.1  客戶端 321
13.5.2  生成密鑰對(duì) 325
13.5.3  命令測試 326
13.5.4  使用Windows SSH客戶端登錄
13.5.4  OpenSSH服務(wù)器 328
13.6  本章小結(jié) 334
第14章  Linux防火墻 335
14.1  防火墻簡介 335
14.1.1  什么是防火墻 335
14.1.2  防火墻的功能 335
14.1.3  防火墻技術(shù)分類 336
14.2  Linux 防火墻 338
14.2.1  Linux防火墻的歷史 338
14.2.2  Netfilter/Iptables系統(tǒng)是如何
14.2.2  工作的 339
14.2.3  Iptables的基礎(chǔ) 340
14.2.4  建立規(guī)則和鏈 346
14.3  Iptables配置實(shí)戰(zhàn) 350
14.3.1  初試化配置方案 350
14.3.2  Web服務(wù)器設(shè)置 351
14.3.3  DNS服務(wù)器設(shè)置 351
14.3.4  郵件服務(wù)器Sendmail設(shè)置 351
14.3.5  不回應(yīng)ICMP封包 351
14.3.6  防止IP Spoofing 351
14.3.7  防止網(wǎng)絡(luò)掃描 352
14.3.8  允許管理員以SSH方式連接到
14.3.8  防火墻修改設(shè)定 352
14.3.9  快速構(gòu)架Linux個(gè)人防火墻 352
14.4  升級(jí)Iptables控制BT 356
14.4.1  P2P應(yīng)用現(xiàn)狀 357
14.4.2  下載軟件 357
14.4.3  安裝 357
14.4.4  測試 357
14.4.5  使用 359
14.5  本章小結(jié) 359
第15章  Linux網(wǎng)絡(luò)環(huán)境下的VPN構(gòu)建 360
15.1  VPN概述 360
15.1.1  VPN定義 360
15.1.2  VPN的功能 361
15.1.3  VPN的分類 361
15.1.4  VPN的隧道協(xié)議 362
15.2  Linux下的主要VPN技術(shù) 364
15.2.1  IPSec（Internet Protocol
15.2.1  Security） 364
15.2.2  PPP OVER SSH 364
15.2.3  CIPE（Crypto IP
15.2.3  Encapsulation） 364
15.2.4  PPTP 364
15.3  構(gòu)建基于CIPE技術(shù)的Linux VPN 365
15.3.1  CIPE概述 365
15.3.2  使用Red Hat Linux 的網(wǎng)絡(luò)管理
15.3.2  工具來配置CIPE VPN 366
15.3.3  通過配置文件配置CIPE VPN 369
15.4  構(gòu)建基于PPTP技術(shù)的Linux VPN 373
15.4.1  PPTP以及Poptop簡介 373
15.4.2  PPP簡介 373
15.4.3  在Linux2.4內(nèi)核下安裝配置
15.4.3  PPTP服務(wù)器 374
在Linux2.6內(nèi)核下安裝配置
15.4.4  PPTP服務(wù)器 378
15.4.5  Linux下PPTP客戶端連接
15.4.5  VPN服務(wù)器 379
15.5  構(gòu)建基于SSH VNC技術(shù)的Linux VPN 382
15.5.1  VNC技術(shù)概述 382
15.5.2  使用NHC＋SSH建立Linux和
15.5.2  Windows的安全隧道 383
15.5.3  使用SSHTools實(shí)現(xiàn)Linux下遠(yuǎn)程
15.5.3  VPN辦公 385
15.5.4  VNC服務(wù)器維護(hù)技巧 390
15.6  構(gòu)建基于IPSec技術(shù)的Linux VPN 392
15.6.1  IPSec及IKE簡介 392
15.6.2  在RHEL 4.0配置IPSec 392
15.7  本章小結(jié) 395
第16章  使用IDS保護(hù)Linux服務(wù)器 396
16.1  什么是IDS 396
16.1.1  IDS定義 396
16.1.2  IDS的工作流程 396
16.1.3  IDS部署的位置 397
16.1.4  IDS的功能 398
16.1.5  IDS（入侵檢測系統(tǒng)）模型 398
16.1.6  IDS分類 399
16.2  Linux下配置基于主機(jī)的IDS 399
16.2.1  RPM包管理器作為一種IDS 399
16.2.2  其他基于主機(jī)的IDS 400
16.2.3  安裝配置Tripwire 401
16.3  Linux下配置基于網(wǎng)絡(luò)的IDS 403
16.3.1  什么是基于網(wǎng)絡(luò)的IDS 403
16.3.2  Snort簡介 404
16.4  Snort的安裝配置 404
16.4.1  配置IDS的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 405
16.4.2  安裝Snort 406
16.4.3  建立Snort數(shù)據(jù)庫 406
16.4.4  安裝配置ACID 407
16.4.5  配置Apache服務(wù)器用戶認(rèn)證 407
16.4.6  建立Snort規(guī)則 408
16.4.7  啟動(dòng)Apache和MySQL
16.4.7  服務(wù)進(jìn)程 408
16.4.8  為Snort創(chuàng)建專用的用戶和
16.4.8  組來啟動(dòng)Snort 408
16.4.9  使用Web瀏覽器監(jiān)控Snort 409
16.5  建立分布式Snort入侵檢測系統(tǒng) 409
16.5.1  安裝SnortCenter3 409
16.5.2  修改配置文件 410
16.5.3  snortcenter-agent下載配置步驟 410
16.5.4  完成配置 410
16.6  本章小結(jié) 411
第17章  Linux網(wǎng)絡(luò)監(jiān)控策略 413
17.1  安裝配置MRTG監(jiān)控Linux網(wǎng)絡(luò) 413
17.1.1  SNMP簡介和MRTG監(jiān)控過程 413
17.1.2  Linux下MRTG的安裝與配置 414
17.1.3  建立MRTG監(jiān)控中心 415
17.1.4  MRTG軟件的不足和RRDTool
17.1.4  的對(duì)比 416
17.2  安裝配置NTOP監(jiān)控Linux網(wǎng)絡(luò) 417
17.2.1  P2P對(duì)于網(wǎng)絡(luò)流量提出挑戰(zhàn) 417
17.2.2  NTOP的安裝 419
17.2.3  軟件使用方法 422
17.3  NTOP的安全策略 427
17.3.1  經(jīng)常查看NTOP的進(jìn)程和日志 428
17.3.2  進(jìn)行Web訪問認(rèn)證 428
17.3.3  加密連接NTOP 429
17.3.4  NTOP使用技巧和總結(jié) 430
17.4  本章小結(jié) 431
第18章  Linux常用安全工具 432
18.1  使用SAINT執(zhí)行安全審核 432
18.1.1  什么是SAINT 432
18.1.2  工作模式 433
18.1.3  安裝SAINT 433
18.1.4  SAINT設(shè)置 434
18.1.5  啟動(dòng)SAINT 435
18.2  使用端口掃描軟件Nmap 439
18.2.1  Nmap簡介 439
18.2.2  使用Nmap 439
18.2.3  nmap命令實(shí)例 439
18.2.4  Nmap圖形前端 442
18.2.5  Nmap使用注意事項(xiàng) 442
18.3  使用網(wǎng)絡(luò)數(shù)據(jù)采集分析工具Tcpdump 442
18.3.1  Tcpdump簡介 442
18.3.2  Tcpdump的安裝 443
18.3.3  Tcpdump的命令行選項(xiàng) 443
18.3.4  Tcpdump的過濾表達(dá)式 444
18.3.5  Tcpdump過濾數(shù)據(jù)包實(shí)例 445
18.3.6  Tcpdump的輸出結(jié)果 445
18.4  使用Ethereal分析網(wǎng)絡(luò)數(shù)據(jù) 447
18.4.1  Ethereal簡介 447
18.4.2  安裝Ethereal 447
18.4.3  使用Ethereal 447
18.5  使用EtherApe分析網(wǎng)絡(luò)流量 451
18.5.1  EtherApe簡介 451
18.5.2  EtherApe軟件下載安裝 452
18.5.3  EtherApe軟件使用方法 452
18.6  使用GnuPGP進(jìn)行數(shù)據(jù)加密 454
18.6.1  GnuPGP簡介 454
18.6.2  GnuPGP安裝 454
18.6.3  生成密鑰 454
18.6.4  查看密鑰 455
18.6.5  公鑰的使用 455
18.6.6  GnuPGP應(yīng)用實(shí)例（軟件包
18.6.6  簽名驗(yàn)證） 456
18.6.7  GnuPGP應(yīng)用實(shí)例（在Mutt中
18.6.7  使用GnuPG） 456
18.7  其他安全工具簡介 456
18.7.1  密碼分析工具John the ripper 456
18.7.2  系統(tǒng)管理工具sudo 457
18.7.3  開放源代碼風(fēng)險(xiǎn)評(píng)估工具
18.7.3  Nessus 457
18.7.4  網(wǎng)絡(luò)瑞士軍刀Netcat 457
18.7.5  網(wǎng)絡(luò)探測工具Hping2 457
18.7.6  列出打開的文件命令工具LSOF 457
18.7.7  強(qiáng)大的無線嗅探器Kismet 457
18.7.8  802.11 WEP密碼破解工具
18.7.8  AirSnort 457
18.7.9  安全管理員的輔助工具SARA 458
18.7.10  高級(jí)的traceroute 工具
18.7.10  Firewalk 458
18.7.11  主動(dòng)操作系統(tǒng)指紋識(shí)別工具
18.7.11  XProbe2 458
18.8  本章小結(jié) 458
第19章  防范嗅探器攻擊和Linux病毒 459
19.1  防范嗅探器攻擊 459
19.1.1  嗅探器攻擊原理 459
19.1.2  嗅探器的檢測技術(shù) 460
19.1.3  嗅探器的安全防范 461
19.2  Linux病毒的防范 463
19.2.1  Linux病毒的歷史 463
19.2.2  Linux平臺(tái)下的病毒分類 464
19.2.3  Linux病毒的防治 465
19.2.4  Linux防病毒軟件 465
19.2.5  安裝配置f-prot反病毒軟件 466
19.3  本章小結(jié) 474
第20章  Linux數(shù)據(jù)備份恢復(fù)技術(shù) 475
20.1  Linux備份恢復(fù)基礎(chǔ) 475
20.1.1  什么是備份 475
20.1.2  備份的重要性 476
20.2  Linux備份恢復(fù)策略 476
20.2.1  備份前需考慮的因素 476
20.2.2  備份介質(zhì)的選擇 476
20.2.3  Linux備份策略 478
20.2.4  確定要備份的內(nèi)容 479
20.2.5  Linux常用備份恢復(fù)命令 480
20.3  Linux常用備份恢復(fù)工具 485
20.3.1  Xtar 486
20.3.2  Kdat 487
20.3.3  Taper 487
20.3.4  Arkeia 488
20.3.5  Ghost for Linux 489
20.3.6  mkCDrec 490
20.3.7  NeroLINUX 491
20.3.8  K3b 492
20.3.9  KOnCD 493
20.3.10  CD Creator 493
20.3.11  X-CD-Roast 494
20.3.12  webCDcreator 495
20.3.13  rsync 496
20.3.14  mirrordir 496
20.3.15  partimage 496
20.3.16  dvdrecord 497
20.3.17  DVD+RW-Tools 498
20.4  Linux備份恢復(fù)實(shí)例 499
20.4.1  用mirrordir做硬盤分區(qū)鏡像 499
20.4.2  使用partimage備份恢復(fù)
20.4.2  Linux分區(qū) 500
20.4.3  Linux異構(gòu)網(wǎng)絡(luò)中共享
20.4.3  光盤刻錄 509
20.5  本章小結(jié) 522
附錄A  使用Linux幫助信息 523
附錄B  Linux用戶和用戶組管理命令 534
附錄C  Linux文件處理命令 547
附錄D  Linux網(wǎng)絡(luò)設(shè)備管理命令 569
附錄E  Linux進(jìn)程管理命令 583
附錄F  Linux磁盤管理維護(hù)命令 594
附錄G  Linux設(shè)備管理命令 606
附錄H  Linux其他常用命令 616