Red Hat Linux安全与优化

译者序
前言
致谢
第一部分 系统性能
第1章 性能的基本要求
1.1 测量系统性能
1.1.1 使用ps监控系统性能
1.1.2 使用top跟踪系统行为
1.1.3 使用vmstat检测内存以及I/O
1.1.4 运行vtad分析系统
1.2 小结
第2章 内核调整
2.1 编译和安装自定义内核
2.1.1 下载最新的内核源代码
2.1.2 创建/usr/src/linux符号链接
2.1.3 选择内核配置方法
2.1.4 使用menuconfig
2.1.5 编译内核
2.1.6 启动新内核
2.2 运行高要求应用程序
2.3 小结
第3章 文件系统调整
3.1 硬盘调整
3.2 ext2文件系统调整
3.2.1 改变ext2文件系统的块尺寸
3.2.2 使用e2fsprogs（ext2文件系统磁盘工具）调整ext2文件系统
3.3 使用日志式文件系统
3.3.1 编译和安装ReiserFS文件系统
3.3.2 使用ReiserFS文件系统
3.3.3 基准测试ReiserFS文件系统
3.4 管理逻辑卷
3.4.1 编译和安装LVM内核模块
3.4.2 创建逻辑卷
3.4.3 向逻辑卷添加一个新磁盘或分区
3.4.4 从卷组中删除一个磁盘或分区
3.5 使用RAID、SAN或存储应用
3.5.1 使用Linux软件RAID
3.5.2 使用硬件RAID
3.5.3 使用SAN
3.5.4 使用存储应用
3.6 使用基于RAM的文件系统
3.7 小结
第二部分 网络和服务性能
第4章 网络性能
4.1 优化以太局域网或广域网
4.1.1 使用网络分割技术提高性能
4.1.2 用交换机取代集线器
4.1.3 使用高速以太网
4.1.4 使用主干网
4.1.5 理解和控制网络数据流量
4.1.6 使用DNS服务器均衡负载
4.2 IP Accounting
4.2.1 在Linux网关系统上使用IP accounting
4.3 小结
第5章 Web服务器性能
5.1 编译有特定要求的Apache服务器
5.2 调整Apache配置
5.2.1 控制Apache进程
5.2.2 控制系统资源
5.2.3 使用动态模块
5.3 加速静态Web页面
5.3.1 利用减少磁盘输入/输出加速静态页面传送
5.3.2 使用内核HTTP守护进程
5.4 加速Web应用
5.4.1 使用mod_perl模块
5.4.2 使用FastCGI
5.4.3 为Apache安装配置FastCGI模块
5.4.4 使用Java Servlet
5.4.5 使用Squid代理缓存服务器
5.5 小结
第6章 E－mail服务器性能
6.1 如何选择MTA
6.2 调整Sendmail
6.2.1 控制消息的最大尺寸
6.2.2 高速缓存连接
6.2.3 控制同时连接数
6.2.4 通过Sendmail限制负载
6.2.5 处理邮件队列时如何节约内存
6.2.6 控制等待队列中的消息数
6.2.7 控制整个队列状态
6.3 调整Postfix
6.3.1 安装Postfix
6.3.2 限制使用的进程数
6.3.3 限制消息的最大尺寸
6.3.4 限制队列中的消息数
6.3.5 限制同时发送给一个站点的邮件数量
6.3.6 控制整个队列状态
6.3.7 控制等待队列中的消息长度
6.3.8 控制消息队列处理频率
6.4 使用PowerMTA处理大量外发邮件
6.4.1 使用多重spool目录以提高速度
6.4.2 设置文件描述符的最大个数
6.4.3 设置用户进程的最大数目
6.4.4 设置并发SMTP连接的最大数
6.4.5 性能管理
6.5 小结
第7章 NFS和Samba服务器性能
7.1 优化Samba服务器
7.1.1 控制TCP socket选项
7.2 优化Samba客户端
7.3 优化NFS服务器
7.3.1 优化读/写块的大小
7.3.2 设定合适的最大传输单元
7.3.3 运行合理数目的NFS守护进程
7.3.4 管理报文碎片
7.4 小结
第三部分 系统安全
第8章 内核安全
8.1 使用Linux闯入者侦测系统（LIDS）
8.1.1 建立基于LIDS的Linux系统
8.1.2 管理LIDS
8.2 用libsafe保护程序的堆栈
8.2.1 编译和安装libsafe
8.2.2 使用libsafe
8.3 小结
第9章 保护文件和文件系统的安全
9.1 管理文件、目录和组用户权限
9.1.1 理解文件的所有权和访问权限
9.1.2 用chown命令修改文件和目录的所有权
9.1.3 用chgrp修改文件和目录的组所有权
9.1.4 使用八进制数来设置文件和目录的访问权限
9.1.5 使用访问字符串来设置访问权限
9.1.6 用chmod改变文件和目录的存取权限
9.1.7 管理符号链接
9.1.8 管理用户组权限
9.2 检查用户和组的一致性
9.3 保证文件和目录的安全
9.3.1 理解文件系统的层次结构
9.3.2 使用umask设置系统级的默认访问控制模型
9.3.3 处理完全访问文件
9.3.4 处理set－UID和set－GID程序
9.4 使用ext2文件系统的安全特性
9.4.1 使用chatter
9.4.2 使用lsattr
9.5 使用文件完整性检测器
9.5.1 使用自己的文件完整性检测器
9.5.2 使用Linux版本中开放源代码的Tripwire
9.6 安装完整性检测器
9.6.1 安装AIDE
9.6.2 安装ICU
9.7 创建权限策略
9.7.1 设置用户对配置文件的访问权限
9.7.2 为用户设置文件的默认访问权限
9.7.3 设置可执行文件的访问权限
9.8 小结
第10章 PAM
10.1 什么是PAM
10.1.1 使用PAM配置文件工作
10.2 建立PAM－aware应用程序
10.3 使用不同的PAM模块来增强安全性
10.3.1 通过时间控制访问
10.3.2 限制除了root用户之外所有用户的访问
10.3.3 在用户之间管理系统资源
10.3.4 使用mod_console对控制台进行安全的访问
10.4 小结
第11章 OpenSSL
11.1 理解SSL如何工作
11.1.1 对称加密
11.1.2 非对称加密
11.1.3 SSL是数据加密的一个协议
11.2 理解OpenSSL
11.2.1 使用OpenSSL
11.2.2 获得OpenSSL
11.3 安装和配置OpenSSL
11.3.1 OpenSSL先决条件
11.3.2 编译和安装OpenSSL
11.4 理解服务器证书
11.4.1 什么是证书
11.4.2 什么是认证机构
11.4.3 商业CA
11.4.4 自我验证的个人CA
11.5 从商业CA获得服务器证书
11.6 创建个人CA
11.7 小结
第12章 屏蔽密码和OpenSSH
12.1 理解用户账号的风险
12.2 保护用户账号的安全
12.2.1 使用屏蔽的密码和组
12.2.2 检查密码一致性
12.2.3 清除风险性的shell服务
12.3 使用OpenSSH进行安全远程访问
12.3.1 获取并安装OpenSSH
12.3.2 配置OpenSSH服务
12.3.3 连接到OpenSSH服务器
12.4 管理root账号
12.4.1 限制root账号的访问
12.4.2 使用su命令成为root用户或其他用户
12.4.3 使用sudo委派root用户访问
12.5 监控用户
12.5.1 列出当前登录系统的用户
12.5.2 记录曾经访问过系统的用户
12.6 创建用户访问安全策略
12.7 创建用户终止安全策略
12.8 小结
第13章 安全远程密码
13.1 设置安全远程密码支持
13.2 建立指数密码系统（EPS）
13.2.1 使用EPS PAM模块进行密码验证
13.2.2 将标准密码转换成EPS格式
13.3 使用启用SRP的Telent服务
13.3.1 在非Linux平台上使用启用SRP的Telnet客户机
13.4 使用启用SRP的FTP服务
13.4.1 在非Linux平台上使用启用SRP的FTP客户机
13.5 小结
第14章 xinetd
14.1 什么是xinetd
14.2 设置xinetd
14.2.1 获得xinetd
14.2.2 编译和安装xinetd
14.2.3 配置xinetd服务
14.3 启动、重新加载和停止xinetd服务
14.4 加强／etc／xinetd.conf配置文件中默认值的安全性
14.5 使用xinetd运行Internet后台进程
14.6 用名字或IP地址控制访问
14.7 根据一大中的某个时段控制访问
14.8 减少拒绝服务攻击的风险
14.8.1 限制服务器的数目
14.8.2 限制log文件大小
14.8.3 限制负载
14.8.4 限制连接速率
14.9 创建有区别的访问服务
14.10 重定向和转发客户请求
14.11 使用xinetd的TCP Wrapper
14.12 将sshd作为xinetd运行
14.13 使用xadmin
14.14 小结
第四部分 网络服务安全
第15章 Web服务器安全
15.1 了解Web风险
15.2 为Apache配置切实可行的安全措施
15.2.1 为Apache使用专门的用户和组
15.2.2 使用一个安全的目录结构
15.2.3 使用相应的文件和目录权限
15.2.4 使用目录索引文件
15.2.5 禁止默认访问
15.2.6 禁止用户重载
15.3 使用偏执的配置
15.4 减少CGI风险
15.4.1 信息漏洞
15.4.2 系统资源的消耗
15.4.3 通过CGI脚本进行系统命令的欺骗
15.4.4 禁止用户输入对系统不安全的调用
15.4.5 在HTML页面中隐藏数据的用户修改
15.5 包装CGI脚本
15.5.1 SuEXEC
15.5.2 CGIWrap
15.5.3 隐藏有关CGI脚本的线索
15.6 减少SSI风险
15.7 记录任何事件
15.8 限制对敏感内容的访问
15.8.1 使用IP或主机名
15.8.2 使用HTTP验证方案
15.8.3 控制Web Robot
15.9 内容发布指导方针
15.10 使用Apache－SSL
15.10.1 编译和安装Apache－SSL补丁
15.10.2 为Apache－SSL服务器创建一个证书
15.10.3 为SSL配置Apache
15.10.4 测试SSL连接
15.11 小结
第16章 域名服务器安全
16.1 理解什么是DNS欺骗
16.2 使用Dlint检查DNS配置
16.2.1 获得Dlint
16.2.2 安装Dlint
16.2.3 运行Dlint
16.3 配置安全的BIND
16.3.1 将事务签名（TSIG）用于区带传输
16.3.2 非root用户运行BIND
16.3.3 隐藏BIND的版本号
16.3.4 请求限制
16.3.5 关闭glue fetching
16.3.6 为域名服务器创建chroot
16.3.7 使用DNSSEC（签字区带）
16.4 小结
第17章 E－mail服务器安全
17.1 什么是开放式邮件中继
17.2 电子邮件服务器是否易于攻击
17.3 保护Sendmail
17.3.1 控制邮件中继
17.3.2 允许MAPS实时黑洞列表（RBL）支持
17.3.3 使用procmail清理输入邮件
17.3.4 只发出邮件
17.3.5 在没有root特权的情况下还行Sendmail
17.4 保护Postfix
17.4.1 拒收垃圾邮件
17.4.2 通过化装来隐藏内部邮件地址
17.5 小结
第18章 FTP服务器安全
18.1 保证WU－FTPD的安全
18.1.1 通过用户名限制FTP访问
18.1.2 设置FTP默认文件许可
18.1.3 使用FTP会话限制
18.1.4 使用／etc／ftpaccess中的选项保护WU－FTPD
18.2 使用ProFTPD
18.2.1 下载、编译和安装ProFTPD
18.2.2 配置ProFTPD
18.2.3 监控ProFTPD
18.2.4 保证ProFTPD的安全
18.3 小结
第19章 Samba服务器和NFS服务器安全
19.1 Samba服务器的安全性
19.1.1 选择合适的安全级别
19.1.2 避免明语密码
19.1.3 允许来自信任域的用户进行访问
19.1.4 通过网络接口控制Samba访问
19.1.5 通过主机名和IP地址控制Samba访问
19.1.6 使用pam_smb对Windows NT服务器的所有用户进行验证
19.1.7 将OpenSSL用于Samba
19.2 NFS服务器安全性
19.3 使用密码文件系统
19.4 小结
第五部分 防火墙
第20章 防火墙、虚拟专网和SSL通道
20.1 报文过滤防火墙
20.1.1 在内核中启用netfilter
20.2 利用iptables创建报文过滤规则
20.2.1 创建默认的策略
20.2.2 添加规则
20.2.3 列出规则
20.2.4 删除规则
20.2.5 在链中插入新规则
20.2.6 在链中更换规则
20.3 创建SOHO报文过滤防火墙
20.3.1 允许专网用户访问外部Web服务器
20.3.2 允许外部Web浏览器访问防火墙上的Web服务器
20.3.3 DNS客户端和单一高速缓存服务
20.3.4 SMTP客户服务
20.3.5 POP3客户服务
20.3.6 被动模式的FTP客户服务
20.3.7 SSH客户服务
20.3.8 其他的新客户服务
20.4 创建简单防火墙
20.5 创建透明代理地址解析协议防火墙
20.6 创建组织防火墙
20.6.1 内部防火墙的目的
20.6.2 主防火墙的目的
20.6.3 安装内部防火墙
20.6.4 安装主防火墙
20.7 安全的虚拟专网
20.7.1 编译和安装FREE S/WAN
20.7.2 创建虚拟专网
20.6 Stunnel：通用的SSL包装
20.8.1 编译和安装Stunnel
20.8.2 保障IMAP安全
20.8.3 保障POP3安全
20.8.4 为特殊情况保障SMTP安全
20.9 小结
第21章 防火墙安全工具
21.1 使用安全评估（审核）工具
21.1.1 利用SAINT执行安全审核
21.1.2 SARA
21.1.3 VetesCan
21.2 使用端口扫描器
21.2.1 使用nmap执行痕迹分析
21.2.2 使用PortSentry监视连接
21.2.3 使用Nessus安全扫描器
21.2.4 使用Strobe
21.3 使用日志监视和分析工具
21.3.1 使用日志检查来探测不寻常的日志条目
21.3.2 Swatch
21.3.3 IPTraf
21.4 使用CGI扫描器
21.4.1 使用cgichk.pl
21.4.2 使用Whisker
21.4.3 使用Malice
21.5 使用密码破译器
21.5.1 John The Ripper
21.5.2 Crack
21.6 使用入侵探测工具
21.6.1 Tripwire
21.6.2 LIDS
21.7 使用数据报文过滤器和嗅探器
21.7.1 snort
21.7.2 GShield
21.8 对安全管理员有用的工具
21.8.1 使用Netcat
21.8.2 tcpdump
21.8.3 LSOF
21.8.4 ngrep
21.9 小结
附录A IP网络地址分类
A.1 A类IP网络地址
A.2 B类IP网络地址
A.3 C类IP网络地址
A.4 子网IP网络
附录B 常用的Linux命令
B.1 如何使用在线帮助手册
B.2 常用的文件和目录命令
B.3 文件压缩和备份命令
B.4 文件系统专用命令
B.5 兼容DOS的命令
B.6 系统状态专用指令
B.7 用户管理指令
B.8 访问网络设备的用户指令
B.9 网络管理员指令
B.10 进程管理指令
B.11 任务自动化指令
B.12 排程指令
B.13 Shell指令
B.14 打印专用指令
附录C Internet资源
C.1 Usenet新闻组
C.2 邮件列表
C.3 相关的Web站点
C.4 用户组
附录D 修补受损系统
D.1 拔掉系统的网络电缆
D.2 通知适当的管理部门
D.3 创建一个备份副本
D.4 分析受损系统数据