第一部分 适合所有任务的基本安全
第1章 选择和安装Linux版本
1.1 确定机器的任务
1.2 选择Linux版本
1.2.1 功能/安全性平衡
1.2.2 选择主流的Linux版本
1.3 安全为主的Linux安装
1.3.1 第一步:从源代码直接获得Linux
1.3.2 第二步:定义若干分区
1.3.3 第三步:只安装并激活基本组件
1.3.4 第四步:完成文件系统分离,并修改/etc/fstab文件
1.3.5 第五步:安装所有的最近更新
1.4 小结
1.5 问与答
1.6 新名词
第2章 BIOS和主板
2.1 安装Linux之前的安全问题
2.2 系统BIOS
2.2.1 进入BIOS设置
2.2.2 浏览BIOS设置
2.2.3 BIOS口令保护
2.2.4 引导程序的口令保护
2.2.5 引导顺序配置
2.3 辅助BIOS系统
2.4 外部/附加设备
2.5 控制Flash BIOS更新
2.6 小结
2.7 问与答
2.8 新名词
第3章 物理安全
3.1 为什么说物理安全很重要
3.2 位置、位置、位置!
3.3 困难位置的对策
3.3.1 电源重启
3.3.2 引导设备
3.3.3 锁定“盒子”
3.4 访问审核
3.5 小结
3.6 问与答
3.7 新名词
第4章 引导过程
4.1 Linux装载程序
4.1.1 /etc/lilo.conf文件
4.1.2 password关键字
4.1.3 restricted关键字
4.1.4 同时使用password和restricted
4.1.5 prompt和timeout关键字
4.1.6 保存更改
4.1.7 /etc/lilo.conf文件的权限
4.2 Init程序和/etc/inittab文件
4.2.1 缺省运行级别
4.2.2 Three-Key Smash
4.3 小结
4.4 问与答
4.5 新名词
第5章 系统和用户管理基础
5.1 /etc/securetty、/etc/shells和.bash_logout文件
5.2 SysV风格的初始化进程
5.2.1 发现并禁止不需要的服务
5.2.2 重新激活被禁止的服务
5.3 安全地创建用户账号
5.3.1 Shadow和MD5
5.3.2 添加用户的第一步:/usr/sbin/groupadd
5.3.3 添加用户的第二步:/usr/sbin/useradd
5.3.4 添加用户的第三步:passwd和chage
5.4 小结
5.5 问与答
5.6 新名词
5.7 练习
第6章 TCP/IP网络安全
6.1 保护inetd-Internet Daemon
6.1.1 为什么inetd是危险的
6.1.2 /etc/inetd.conf文件
6.1.3 /etc/services文件
6.2 适当使用TCP Wrappers
6.2.1 TCP Wrappers说明
6.2.2 健康Paranoia(/etc/hosts.deny文件)
6.2.3 保守的例外(/etc/hosts.allow文件)
6.2.4 更多的TCP Wrappers技巧
6.2.5 使用tcpdchk和tcpdmatch
6.3 日志、syslogd和安全
6.3.1 记录一切信息
6.3.2 记录到其他地方
6.4 小结
6.5 问与答
6.6 新名词
6.7 练习
第7章 文件系统安全
7.1 理解权限
7.1.1 文件所有者
7.1.2 访问权限
7.1.3 权限举例
7.2 修改权限
7.2.1 使用字符方式的chmod
7.2.2 使用数字方式的chmod
7.3 使用umask设置缺省权限
7.4 特殊情况、风险和解决办法
7.4.1 特别目录权限
7.4.2 Device Node
7.4.3 SUID/SGID可执行文件
7.4.4 利用chmod设置SUID/SGID
7.4.5 清除不必要的SUID/SGID权限
7.4.6 检查反常的SUID/SGID文件
7.4.7 保持SUID/SGID二进制文件为最新
7.5 只能追加和只读的文件
7.6 只读root文件系统
7.7 mount和fstab的选项
7.8 小结
7.9 问与答
7.10 新名词
第8章 特别文件系统安全工具
8.1 Linux上的POSIX访问控制列表
8.1.1 一个需要ACL功能的示例
8.1.2 POSIX ACLs for Linux软件包
8.1.3 setfacl命令的语法
8.1.4 getfacl命令的语法
8.1.5 缺省权限(getfacl、setfacl 和目录)
8.1.6 ACL Mask权限
8.1.7 在文件之间复制ACL
8.1.8 告诫和需要考虑的事项
8.2 安全文件删除工具
8.3 小结
8.4 问与答
8.5 新名词
第9章 充分利用PAM
9.1 PAM配置基础
9.2 PAM的工作原理基础
9.3 使用PAM:过期口令
9.4 使用PAM:增强wheel安全
9.5 使用PAM:其他验证
9.6 小结
9.7 问与答
9.8 新名词
9.9 练习
第二部分 网络安全
第10章 使用ipchains做防火墙和路由
10.1 网络安全和内核
10.2 使用ipchains
10.2.1 理解ipchains规则
10.2.2 ipchains工具的调用语法
10.2.3 一个规则设置示例
10.2.4 masquerade
10.2.5 端口转发
10.2.6 组合上述命令
10.3 小结
10.4 问与答
10.5 新名词
10.6 练习
第11章 使用iptables做防火墙和路由
11.1 iptables是什么?它与ipchains有何关系
11.2 网络安全与内核
11.3 使用iptables
11.3.1 理解iptables规则
11.3.2 iptables工具的调用语法
11.3.3 基于状态的匹配
11.3.4 一个规则设置示例
11.3.5 Masquerade和NAT
11.3.6 端口转发
11.3.7 组合上述命令
11.4 小结
11.5 问与答
11.6 新名词
11.7 练习
第12章 保护Apache、FTP 和SMTP服务
12.1 安全与Apache HTTPD服务器
12.1.1 全局的基本安全指令
12.1.2 全局日志指令
12.1.3 Directory和DirectoryMatch作用域
12.1.4 其他的作用域
12.1.5 验证
12.1.6 Options和AllowOverride指令
12.1.7 访问文件
12.2 安全和FTP
12.2.1 匿名FTP与私有FTP
12.2.2 /etc/ftpaccess文件
12.2.3 /etc/ftpusers文件
12.2.4 匿名上传权限
12.3 安全与sendmail
12.3.1 通过包过滤保护Sendmail
12.3.2 使用TCP Wrappers保护Sendmail
12.3.3 m4和sendmail.cf配置信息
12.4 小结
12.5 问与答
12.6 新名词
12.7 练习
第13章 网络安全——利用BIND做DNS
13.1 Chroot BIND之前的安全
13.1.1 域端口的包过滤
13.1.2 注意named.conf
13.2 在Chroot环境中运行named
13.2.1 添加用户和组
13.2.2 创建“Jail”
13.2.3 为Chroot named设置syslogd
13.2.4 在chroot的Jail中启动named
13.3 小结
13.4 问与答
13.5 新名词
第14章 网络安全——NFS和Samba
14.1 网络文件系统NFS安全
14.1.1 选择NFS服务器
14.1.2 包含基于内核的NFS支持
14.1.3 配置/etc/exports文件
14.1.4 NFS包过滤
14.2 Samba安全
14.2.1 启动SWAT
14.2.2 SWAT的全局安全选项
14.2.3 SWAT中的共享安全选项
14.2.4 包过滤和Samba
14.3 小结
14.4 问与答
14.5 新名词
第15章 保护X11R6访问
15.1 为什么X的安全是一个问题
15.2 基于主机的认证
15.2.1 /etc/Xn.hosts文件
15.2.2 xhost命令
15.2.3 基于主机的认证问题
15.3 基于Token的认证
15.3.1 使用xauth命令
15.3.2 启动X服务器
15.3.3 分发Cookie
15.3.4 基于主机的认证和基于token的认证的相互作用
15.3.5 X显示管理器(XDM)
15.4 X与包过滤
15.5 小结
15.6 问与答
15.7 新名词
第三部分 数据加密
第16章 加密数据流
16.1 SSH和OpenSSH的用途
16.2 安装、配置和使用SSH
16.2.1 下载、安装SSH
16.2.2 其他配置
16.2.3 利用SSH远程登录
16.2.4 基于主机的验证
16.2.5 公钥验证
16.2.6 在FTP中使用SSH
16.2.7 通过SSH隧道TCP流
16.2.8 使用SSH增强X的安全
16.3 安装、配置和使用OpenSSH
16.3.1 下载并安装OpenSSL
16.3.2 下载并安装OpenSSH
16.3.3 其他配置
16.3.4 利用OpenSSH远程登录
16.3.5 RhostsRSA验证
16.3.6 基于用户的公钥验证
16.3.7 通过OpenSSH隧道TCP流
16.3.8 使用OpenSSH增强X的安全
16.4 小结
16.5 问与答
16.6 新名词
第17章 Kerberos简介
17.1 Kerberos是什么
17.2 建立密钥分发中心
17.2.1 下载和安装Kerberos 5
17.2.2 配置Kerberos 5
17.3 管理Kerberos 5
17.3.1 添加管理员委托人
17.3.2 添加和配置主机委托人
17.3.3 添加用户委托人
17.3.4 有关Kadmin的更多细节
17.4 使用Kerberos 5
17.4.1 获得票证
17.4.2 删除票证
17.4.3 更改口令
17.4.4 加密数据流
17.5 小结
17.6 问与答
17.7 新名词
第18章 加密Web数据
18.1 编译和安装Apache+mod_ssl
18.1.1 下载Apache、OpenSSL和mod_ssl
18.1.2 解压缩和编译OpenSSL
18.1.3 解压缩、配置、编译mod_ssl和Apache
18.1.4 创建一个自己签发的证书
18.1.5 安装和配置Apache目录树
18.2 启动SSL增强的Apache服务器
18.3 小结
18.4 问与答
18.5 新名词
第19章 加密文件系统数据
19.1 TCFS简介
19.2 TCFS的安装准备
19.2.1 一个空的EXT2分区
19.2.2 安装并运行NFS
19.2.3 准备好2.2.16或者2.2.17内核系统
19.3 下载和安装TCFS
19.3.1 解压缩源代码并打补丁
19.3.2 编译和安装TCFS发行版本
19.3.3 编译打补丁的内核
19.3.4 编译加密模块并激活TCFS
19.4 使用TCFS
19.4.1 激活TCFS访问(管理任务)
19.4.2 利用加密(用户任务)
19.4.3 加密文件
19.5 小结
19.6 问与答
19.7 新名词
第20章 加密E-mail数据
20.1 快速浏览PGP
20.2 获取并安装GPG
20.3 生成你的密钥
20.4 使用密钥工作
20.4.1 密钥列表
20.4.2 输入和输出密钥
20.4.3 签名和信任
20.5 使用GPG的具体细节
20.5.1 数据签名
20.5.2 加密和解密数据
20.6 小结
20.7 问与答
20.8 新名词
第四部分 入侵检测、审核与恢复
第21章 审核与监控
21.1 启用SAINT
21.1.1 下载和安装SAINT
21.1.2 使用SAINT
21.2 SWATCH监控
21.2.1 下载和安装SWATCH
21.2.2 利用SWATCH监控日志
21.2.3 匹配文件格式
21.3 小结
21.4 问与答
21.5 新名词
第22章 探测攻击过程
22.1 Snort简介
22.2 Snort的特殊需求
22.3 下载和安装Snort
22.3.1 安装libpcap
22.3.2 安装libnet
22.3.3 安装Snort
22.4 使用Snort
22.5 适当的Snort报告
22.5.1 练习使用SnortSnarf
22.6 小结
22.7 问与答
22.8 新名词
第23章 保护数据
23.1 数据备份和安全
23.1.1 保护你的珍贵数据
23.1.2 系统二进制程序被修改
23.1.3 Root Kit
23.2 使用tar和afio进行备份
23.2.1 使用tar进行简单的备份和恢复
23.2.2 使用afio进行简单的备份和恢复
23.2.3 使用mt操作磁带设备
23.2.4 使用mtx操作转换器设备
23.3 定期备份、循环备份和保护备份
23.3.1 定期备份
23.3.2 循环备份
23.3.3 将备份存放到多个地点
23.4 专有的备份软件
23.4.1 BRU
23.4.2 Arkeia
23.5 小结
23.6 问与答
23.7 新名词
第24章 从攻击中恢复
24.1 警示标记
24.2 最坏的情形
24.2.1 立即离线
24.2.2 停止Linux
24.2.3 谨慎引导
24.3 将剩余数据存档
24.4 了解发生的问题
24.5 通知有关当局
24.6 回到在线状态
24.6.1 重新格式化和重新安装
24.6.2 恢复重要数据
24.6.3 注意漏洞
24.6.4 特别注意重复的访问者
24.7 重新在线
24.8 小结
24.9 问与答
24.10 新名词
第五部分 附录
附录A 有关安全的重要配置文件
附录B 系统账号文件格式
附录C 著名的安全Web站点
C.1 通用安全站点
C.2 与Linux相关的安全站点
附录D 快速安全清单
附录E 相关软件的Web链接
鄂公网安备 42010302001612号 