随着Linux的日益普及,越来越多的管理员开始进入到系统中为任务创建网络连接或服务器,这也使得Linux成为任何攻击者的首选。由于缺乏有关安全相关技术,系统管理员现在面临许多安全问题。学习Linux安全知识将有助于创建一个更安全的Linux系统。本书循序渐进地介绍Linux系统面临的各种安全威胁,介绍如何通过定制Linux内核保护本地文件,如何在本地和远程管理用户身份验证,并阻止网络攻击,如何修补Bash漏洞和监控安全系统日志等。本书实例丰富、图示清晰,无论你是新的或经验丰富的Linux管理员,你都能从这本书中学到Linux系统安全技术。
无论是新手还是经验丰富的Linux管理员,本书都能提供使系统更安全的必备技能。
本书以提高Linux系统主机的安全性为目标,从内核配置、文件系统安全、安全认证、网络安全以及Linux上的安全工具等多个方面展开实践指导。本书首先介绍Linux系统面临的各种威胁,然后说明如何定制Linux内核和保护本地文件。接下来,介绍如何管理本地及远程的用户身份验证,以及如何减轻网络攻击。最后,阐述如何修补bash安全漏洞以及监视系统日志以获得安全性。
书中没有深奥的理论或者高级的设计,而是针对每个主题,结合常见任务,用简洁的步骤描述、直观的屏幕截图和详细的原理解释来循序渐进地介绍,是Linux系统用户以及网络管理人员学习加固自己的Linux桌面系统和服务器系统的不二选择。
本书包含如下内容:
了解Linux系统相关的各种漏洞和漏洞利用方法
配置并构建一个安全的内核并测试它
了解文件权限和安全性,以及如何安全地修改文件
远程认证用户以及安全地复制远程系统上的文件
检验各种网络安全方法,包括使用iptables配置防火墙以及TCP Wrapper
介绍各种安全工具的使用,包括PortSentry、Squid代理、Shorewall等
在建立Linux系统时,安全性在各个阶段都被认为是重要部分。通晓Linux的基本知识对在机器上实现良好的安全策略至关重要。
Linux系统的安全性不是天生就完美的,因而,管理员有责任以使其变得更安全的方式来配置它。
本书是帮助管理员配置更安全的机器的实用指南。
如果你想了解Linux的内核配置、文件系统安全、安全认证、网络安全以及Linux上的各种安全工具,那么本书就能满足你的需求。
Linux安全是一个庞大的主题,仅用一本书不足以涵盖所有的内容。不过,本书仍将提供很多方法来帮助你加固机器。
本书主要内容
第1章 涵盖Linux有关的各种漏洞及利用,还讨论了应对这些漏洞的安全方法。内容包括制定安全策略并进行安全控制以用于口令保护和服务器安全,对Linux系统进行脆弱性评估。本章还将讨论sudo访问的配置方法。
第2章 重点介绍Linux内核的配置和构建过程以及它的测试。内容包括构建内核的要求、配置内核、安装内核、定制内核以及内核的调试等。本章还将讨论如何使用Netconsole配置一个控制台。
第3章 着眼于Linux系统的文件结构和访问权限。内容包括查看文件和目录的详细信息、使用chmod处理文件和文件访问权限、实现访问控制列表等。本章还将向读者介绍LDAP的配置。
第4章 探讨安全的本地系统用户认证。内容包括用户认证的日志记录、限制用户的登录能力、监视用户行为、定义授权控制以及如何使用PAM。
第5章 讨论Linux系统的远程用户认证。内容包括使用SSH远程访问服务器、禁用和启用root用户登录、限制使用SSH时的远程访问、通过SSH远程复制文件以及设置Kerberos。
第6章 讨论关于网络攻击和网络安全的问题。内容包括管理TCP/IP网络、使用iptables配置防火墙、阻止伪造地址和不需要的入站流量等。本章还将介绍TCP Wrapper的配置和使用。
第7章 介绍可用于Linux系统的各种安全工具或软件。涉及的工具包括sXid、PortSentry、Squid 代理服务器、OpenSSL服务器、Tripwire和Shorewall。
第8章 介绍与安全和渗透测试有关的几个著名的Linux/UNIX发行版本,包括Kali Linux、pfSense、DEFT、NST以及Helix。
第9章 探讨著名的bash shell漏洞——Shellshock。本章将介绍什么是Shellshock漏洞以及该漏洞可能引起的安全问题,同时告诉读者如何使用Linux补丁管理系统来加固自己的机器,以及在Linux系统中补丁是如何应用的。
第10章 介绍Linux的本地系统及网络的监控问题。内容包括使用Logcheck监控日志、使用Nmap监控网络、使用Glances监控系统以及使用MultiTail监控日志。本章还将讨论一些其他的工具,包括Whowatch、stat、lsof、strace和Lynis等。
学习本书的要求
为了充分发挥本书的作用,读者应该对Linux的文件系统和管理有基本的了解,应该知道Linux的基本命令,如果有一些信息安全的知识则更佳。
本书包括基于Linux系统内置工具以及其他一些开源工具进行安全管理的例子。对每一种方法,如果所用的工具在Linux上还没有安装,那么请读者务必要安装它们。
本书的目标读者
本书面向所有已经了解Linux文件系统及管理的Linux用户。读者应该熟悉Linux的基本命令,理解信息安全知识以及Linux系统的安全风险也有助于理解书中的方法。
然而,即使你对信息安全不熟悉,也能够很容易地遵照执行和理解书中讨论的方法。因为本书遵循了实用性原则,按照步骤进行操作非常容易。
内容分节
本书中,你会发现一些标题出现的频率很高,如准备工作、操作指南、原理解析、拓展学习、延伸阅读等。
为了更清楚地说明如何实现一种方法,我们使用了如下几个标题。
准备工作
该部分告诉读者本方法的目标,描述如何设置软件以及本方法要求哪些预先设置。
操作指南
该部分包括实现本方法所需的步骤。
原理解析
该部分通常包括对操作指南部分所发生情况的详细解释。
拓展学习
该部分是为使读者对本方法有更多了解而提供的附加信息。
延伸阅读
该部分为其他有用信息提供帮助链接。
下载彩图
我们还为你提供了一个PDF文件,里面有书中用到的屏幕截图和图表的彩色图像。彩色的图像将帮助你更好地理解输出中的变化。
你可以从下述地址下载此文件:http://www.packtpub.com/sites/default/files/downloads/PracticalLinuxSecurityCookbook_ColoredImages.pdf。
计算机\网络
无论是新手还是经验丰富的Linux管理员,本书都能提供使系统更安全的必备技能。
本书以提高Linux系统主机的安全性为目标,从内核配置、文件系统安全、安全认证、网络安全以及Linux上的安全工具等多个方面,展开实践指导。本书以循序渐进的方式介绍大量方法。首先介绍Linux系统面临的各种威胁,然后说明如何定制Linux内核和保护本地文件。接下来,介绍如何管理本地及远程的用户身份验证,以及如何减轻网络攻击。最后,阐述如何修补bash安全漏洞以及监视系统日志以获得安全性。
书中没有深奥的理论或者高级的设计。针对每个主题,结合常见任务,用简洁的步骤描述、直观的屏幕截图和详细的原理解释,循序渐进地介绍提高Linux系统安全性的方法。书中内容读起来容易理解,操作起来简单易行,是Linux系统用户以及网络管理人员,学习加固自己的Linux桌面系统和服务器系统不二选择。
本书包含如下内容:
•了解Linux系统相关的各种漏洞和漏洞利用方法
•配置并构建一个安全的内核并测试它
•了解文件权限和安全性,以及如何安全地修改文件
•远程认证用户以及安全地复制远程系统上的文件
•检验各种网络安全方法,包括使用iptables配置防火墙以及TCP Wrapper
•介绍各种安全工具的使用,包括PortSentry、Squid代理、Shorewall等
Linux是个开源的操作系统,以模块化、通用性、可靠性、可扩展性著称,拥有强大的社区支持。其开放、共享的精神持续吸引着众多IT精英投入Linux操作系统及相关应用的开发之中,适应各种需求的平台和工具不断推出。在应用方面,越来越多的服务器和网络应用选择Linux作为运行平台。据国际TOP500组织公布,在全球超级计算机500强中,Linux占据操作系统的94.2%。
Linux的另一个巨大优势就是它的安全性,它被认为是当今世界最安全的操作系统。Linux的安全性得益于它的如下特点:卓越的补丁管理工具,可以在自动更新系统的同时升级系统中所有的软件;较为健壮的默认设置和权限管理,能将攻击带来的危害限定在一定范围内;模块化设计,使得用户可以选择安装或删除任何一个系统组件;系统中默认整合的SELinux等安全机制,能够为系统提供保护;开放源代码构架,能更容易、更快速地发现和修复系统的安全问题等。
然而,Linux毕竟是一个通用操作系统,为了满足更广泛的用户需求,Linux操作系统以及应用软件都提供了多种配置参数,默认的设置安全性还不够。管理员应该根据自己的安全需求,制定相应的安全策略,运用各种命令和工具进行合理的配置,并对系统的运行进行监控。因此,Linux的安全性最终取决于管理员实施的管理措施,管理员有责任以使其变得更安全的方式来配置机器。
本书以提高Linux系统主机的安全性为目标,从内核配置、文件系统安全、安全认证、网络安全以及Linux上的安全工具等多个方面,展开实践指导。书中没有深奥的理论或者高级的设计。针对每个主题,结合常见任务,用简洁的步骤描述、直观的屏幕截图和详细的原理解释,循序渐进地介绍提高Linux系统安全性的方法。书中内容读起来容易理解,操作起来简单易行,非常适合于自学。本书是Linux系统用户以及网络管理人员学习加固自己的Linux桌面系统和服务器系统的不二选择。
Linux的安全是个庞大的主题,尽管本书作者对书的主题及内容进行了取舍,但涉及的主题仍十分广泛。作为本书的翻译人员,我们的原则是保证译文能反映作者的真实意图,同时力求以通俗的语言进行有效表达;对于涉及的命令、软件工具、专业术语等,我们参考国内同行在Linux系统及信息安全领域的习惯用法进行相应的翻译;对于一些普通用户可能不熟悉的关键术语或命令,我们增加了适当的译者注,希望这些译者注能在你遇到困难时助你茅塞顿开。
本书是一本操作性、实战类书籍。实践出真知,读者在学习过程中一定要自己实际动手来操作,才能体会每个步骤的细节要求,理解每种方法的作用。书中的每种方法按照准备工作、操作指南和原理解析三部分进行说明。其中,准备工作部分是应用方法的前提,而原理解析部分是对方法进一步的解释,操作指南部分以文字说明、命令展示以及屏幕截图的方式说明方法的详细步骤。读者在应用某个方法时,应设法满足方法的前提条件,遵循步骤的要求,其中的一些参数可能需要根据实际情况进行调整。此外,根据我们的使用经验,书中部分方法的细节操作可能特定于某个版本,而由于Linux系统及软件的版本发展非常快,读者使用的软件版本可能不同,这时读者可以参照书中的步骤,根据自己的实际版本进行对应性调整。我们相信,只要你遵循了操作步骤和要求,就一定能得到预期的结果。
本书的第1和2章由刘海燕翻译,第3和4章由常成翻译,第5和6章由李皓翻译,第7和8章由王璇翻译,第9和10章由武卉明翻译,其余部分均由刘海燕翻译,全书由刘海燕统稿和修改。因水平和时间所限,译文在理解和表述方面难免存在不当之处,请读者批评指正。
译者序
前言
第1章 Linux的安全问题 1
1.1 引言 1
1.2 Linux的安全策略 1
1.3 配置口令保护 2
1.4 配置服务器安全 3
1.5 安全控制 4
1.6 使用校验和检测安装介质的完整性 4
1.7 使用LUKS加密磁盘 6
1.8 配置sudo访问 8
1.9 使用Nmap扫描主机 10
1.10 获取脆弱Linux系统的root权限 13
第2章 配置安全且优化的内核 18
2.1 引言 18
2.2 构建并使用内核的要求 19
2.3 创建USB启动盘 19
2.4 获取内核源代码 20
2.5 配置并构建内核 22
2.6 安装和启动内核 27
2.7 测试和调试内核 29
2.8 使用Netconsole配置调试用控制台 29
2.9 启动时调试内核 35
第3章 本地文件系统安全 37
3.1 使用ls命令查看文件和目录详情 37
3.2 使用chmod命令改变文件访问权限 39
3.3 使用访问控制列表 43
3.4 使用mv命令处理文件(移动和重命名) 46
3.5 在Ubuntu上安装并配置一个基本的LDAP服务器 51
第4章 Linux的本地认证 59
4.1 用户认证和日志记录 59
4.2 限制用户的登录能力 62
4.3 使用acct监视用户行为 64
4.4 使用USB设备和PAM的登录认证 68
4.5 定义用户授权控制 72
第5章 Linux中的远程认证 76
5.1 使用SSH远程访问服务器/主机 76
5.2 禁止或允许root账号的SSH登录 80
5.3 基于密钥加强SSH远程访问的安全性 83
5.4 远程复制文件 85
5.5 在Ubuntu上建立Kerberos服务器 90
第6章 网络安全 98
6.1 管理TCP/IP网络 98
6.2 使用iptables配置防火墙 102
6.3 阻止地址伪装 107
6.4 拦截入站流量 109
6.5 配置使用TCP Wrapper 113
第7章 安全工具 118
7.1 Linux的sXid工具 118
7.2 PortSentry 120
7.3 使用Squid代理服务器 125
7.4 OpenSSL服务器 129
7.5 Tripwire 134
7.6 Shorewall 139
第8章 Linux的安全发行版 143
8.1 Kali Linux 143
8.2 pfSense 148
8.3 DEFT:数字证据及取证工具包 153
8.4 NST:网络安全工具包 157
8.5 Helix 161
第9章 修补bash漏洞 166
9.1 通过Shellshock了解bash漏洞 166
9.2 Shellshock的安全性问题 169
9.3 补丁管理系统 174
9.4 在Linux系统上应用补丁 179
第10章 安全监控和日志 182
10.1 使用Logcheck查看和管理日志文件 182
10.2 使用Nmap监控网络 185
10.3 使用Glances监控系统 189
10.4 使用MultiTail监控日志 192
10.5 使用系统工具Whowatch 194
10.6 使用系统工具stat 198
10.7 使用系统工具lsof 200
10.8 使用系统工具strace 203
10.9 使用Lynis 206
