HARDENING Linux中文版

第1部分 做好开门七件事
第1章 重要的前期步骤
1.1 检查系统是否已被黑客侵入
1.1.1 终结非授权用户
1.1.2 找出并关闭非授权进程
1.1.3 查看日志文件，寻找黑客入侵活动的蛛丝马迹
1.1.4 检查系统文件是否完好无损
1.2 检查系统的稳定性和可用性
1.2.1 检查硬件操作是否正常
1.2.2 确保电源不会成为隐患
第2部分 从根本入手：循序渐进的系统强化流程
第2章 强化网络：禁用不必要的服务
2.1 第1步：让机器脱离网络
2.2 第2步：确定必备服务
2.2.1 Red Hat Enterprise Linux AS 3.0提供的基准服务
2.2.2 SLES8提供的基准服务
2.2.3 考虑是否还要激活其它他服务
2.3 第3步：确定各项服务之间的依赖关系
2.4 第4步：禁步不必要的服务运行
2.4.1 利用软件工具改启动脚本
2.4.2 禁用不必要的服务：命令行工具
2.5 第5步：重新启动系统
2.6 第6步：复查非必要服务的配置情况
2.6.1 对有关配置进行复查：GUI工具
2.6.2 对有关配置进行复查：命令行工具
2.7 第7步：复查必要服务的配置情况
2.7.1 检查系统服务的配置情况
2.7.2 测试这项服务是否在运行
2.7.3 在系统内存里检查这项服务是否存在
2.8 第8步：让机器重返网络
第3章 安装防火墙和过滤器
3.1 摸清家底
3.1.1 检查系统是否已经存在防火墙规则
3.1.2 网络基本知识
3.1.3 防火墙基本知识
3.2 按照预防为主的原则确定防火墙需求
3.2.1 制定预防策略
3.2.2 配置防火墙
第4章 台化软件的访问权限
4.1 确定必不可少的软件
4.2 确定软件之间的依赖关系
4.3 删除或限制不必要的软件
4.4 晏全地安装软件
4.4.1 安装由Linux发行商提供的可信软件
4.4.2 安装其他可信来源的软件
第5章 做好迎接灾难的准备
5.1 什么是灾后恢复
5.2 不要建立一个定制的内核
5.3把服务器设置和系统配置变动情况记录在案
5.4 系统自动安装/恢复
5.4.1 使用Red Hat 的Kickstart安装工具
5.4.2 使用SUSE的Yast自动安装工具
第6章 强化访问控制
6.1 Linux文件的权限和所有权
6.2 查看文件和子目录上的访问控制
6.2.1 检查临时子目录上的粘滞属性位
6.2.2 把SUID/SGID文件和子目录记录在案
第7章 强化数据存储
7.1 理解与密码学有关的法
7.1.1 遵守法律规定
7.1.2 理解人文问题
7.2 过程与结果：只加密数据是不够的
7.2.1 安全地存放数据
7.2.2 删除敏感数据的明文副本
7.3 用GnuPG加密文件
7.3.1 以安全的方式创建密钥
7.3.2 创建GnuPG密钥
7.4 用OpenSSL加密文件
7.5 安装和使用一个加密文件系统
第8章 强化身份验证机制和用户身份
8.1 PAM模块：灵活的身份验证机制
8.1.1 为什么要使用PAM
8.1.2 实现对口令字的严格要求
8.1.3 实现wheel用户组机制
8.1.4 实现一个中央身份验证服务器
8.2 堵住漏洞：正确地配置PAM模块
8.2.1 删除不再需要的PAM配置文件
8.2.2 PAM配置文件的格式
8.2.3 在做出修改之前对PAM配置是行备份
8.2.4 如何补救灾难性失误
8.2.5 PAM框架
8.2.6 传统服务
8.2.7 创建一个BSD风格的wheel用户组
8.2.8 为每个用户创建一个临时子目录
8.2.9 要求用户选用高强度口令字
第9章 强化软件运行环境
9.1 限制无关功能
9.2 用chroot环境保护服务
9.3 搭建chroot子目录结构
9.3.1 解决动态链接库依赖关系
9.3.2 确定文件依赖关系
9.3.3 在chroot子目录里创建设备
9.3.4 创建shell和用户环境
9.4 把服务安装到chroot子目录
9.4.1 从源代码开始安装
9.4.2 从一个源代码RPM安装
9.4.3 把一个二进制RPM安装到另一个地点
9.5 让服务把自己的活动记入日志
9.6 对chroot环境进行调试和优化
9.7 把chroot环境与Linux发行版本的信息安防功能相结合
9.7.1 pam_chroot身份验证模块与Red Hat Enterprise Linux AS 3.0
9.7.2 对文件模式和权限设备进行监控
9.8 chroot环境的日常管理和维护
第10章 强化网络通信
10.1 强化网络通信协议
10.1.1 使用SSH
10.1.2 用SSH保护X连接
10.1.3 使用虚拟私用网
10.2 IPSec
10.2.1 用FreeS/WAN构建一个VPN
10.2.2 验证你的网络连接
第3部分 一劳不能永逸
第11章 安装网络监控软件
11.1 安装网络分析器
11.1.1 安装和使用ngrep工具监控网络
11.1.2 安装和使用tcpdump工具
11.1.3 安装Ethereal工具
11.2 使用网络入侵监测系统
11.2.1 安装和使用Snort工具
11.2.2 Snort工具的“嗅探”模式
11.2.3 Snort工具的“数据包捕获”模式
11.2.4 Snort工具的“NIDS”模式
11.2.5 使用Snort工具的功能扩展模块
11.3 “密罐”/“密网”
11.4 其他工具
第12章 建立日志文件自动化扫描/报警机制
12.1 日志文件的作用
12.2 制定一个日志策略
12.3 配置syslog守护进程
12.3.1 选择条件
12.3.2 操作动作
12.4 建立一个中央日志服务器
12.4.1 建立中央日志服务器前的准备工作
12.4.2 配置一个中央日志服务器
12.4.3 为中央日志服务器配置各客户机器
12.5 用syslog-ng和stunnel工具创建一个中央日志服务器
12.5.1 SUSE：下载并安装stunnel 4.04软件
12.5.2 下载并安装syslog-ng软件
12.5.3 为机器生成主机身份证书
12.5.4 把主机身份证书复制到/etc/stunnel子目录
12.5.5 检查主机身份证书的权限
12.5.6 在服务器主机上创建stunnel配置文件
12.5.7 在客户主机上创建stunnel配置文件
12.5.8 在服务器上创建sylog-ng配置文件
12.5.9 在客户机器上创建syslog-ng配置文件
12.5.10 以手动方式启动stunnel和syslog-ng
12.5.11 在服务器上监控日志活动
12.5.12 使用logger命令直接向syslog守护进程发送消息
12.5.13 使用Perl的Sys:Syslog模块向syslog守护进程发送消息
12.5.14 日志文件的管理
12.5.15 查找日志文件
12.6 其他系统日志文件
12.7 搜索日志文件
12.7.1 搜索日志文件的策略
12.7.2 以手动方式搜索日志文件
12.7.3 使用logwatch工具搜索日志文件
12.7.4 使用logsurfer工具搜索日志文件
12.7.5 使用swatch工具搜索日志文件
12.7.6 修改swatch配置以监测针对SSH守护进程的攻击
12.7.7 对攻击和异常活动做出反应
第13章 补西的管理和监控
13.1 进行升级
13.1.1 对SUSE软件进行升级和打补丁
13.1.2 对RedHat罗件进行升级和打补丁
13.1.3 使用一个中央补丁服务器
13.2 对补丁升级工作进行监控和管理
13.2.1 制定一套变革管理制度
13.2.2 对补丁升级工作进行监控
第14章 系统自我监控工具
14.1 安装和运行一个基于主机的入侵检测系统
14.1.1 安装和使用Tripwire工具
14.1.2 利用rpm命令进行文件完整性检查
14.1.3 其他工具
14.2 安装和运行一个口令字审计程序
14.3 建立网络监控机制
14.3.1 配置和运行Nmap工具
14.3.2 配置和运行Nessus工具
第4部分 Linux系统强化工作的成功之道
第15章 编制安防预算，赢得公司支持
15.1 获得管理层支持
15.2 进行风险评估
15.2.1 确定风险评估范围
15.2.2 组建风险评估团队
15.2.3 收集向题并确定它们的影响和发生机率
15.2.4 为风险排出优先级
15.2.5 定量风险评估法概述
15.2.6 向管理层提交风险评估报告
15.3 确定投资回报
15.3.1 收集事实
15.3.2 确定投资回报
15.3.3 寻求外部帮助和参考资料
15.3.4 让管理层参与安防策略的制定和实施工作
第16章 发动一场信息安全战役
16.1 发动一场信息安全战役
16.1.1 确定目标
16.1.2 确定实现目标都需要哪些东西
16.1.3 制定策略
16.1.4 信息安全策略示例
16.1.5 赢得用户的接受和支持
16.1.6 对信息安防计划进行评估
16.1.7信息安防计划的跟进与维护
附录 Linux信息安全资源