《Linux安全策略与实例》对Linux安全策略进行了全面、深入和系统的分析，主要分为Linux系统安全策略和Linux网络安全策略两大部分。在第一部分，着重介绍了Linux文件系统安全管理、Linux用户和组安全管理、Linux进程安全管理、Linux磁盘安全管理、SELinux安全机制等内容；在第二部分，对Web服务安全、FTP服务安全、SMTP服务安全、远程登录服务安全、网络流量管理安全及IDS、防火墙等内容进行了详细介绍。《Linux安全策略与实例》针对Linux安全策略都给出了相应的实例，便于读者进行参照和迅速掌握。<br>    《Linux安全策略与实例》适合中高级Linux用户、网络管理员和信息安全工作者，并可作为高等院校计算机和信息安全专业师生的参考用书。

    第6章  Linux中的日志管理<br>    Linux系统中的日志子系统对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，包括哪些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可以记录攻击者留下的痕迹。通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段以及特点，从而能够进行处理工作，为抵御下一次攻击做好准备。本章主要讲述如何使用工Linux系统中的日志子系统及其命令，从而更好地保护系统安全。<br>    6.1  Linux日志管理简介<br>    日志的主要功能是审计和监测。它还可以用于追踪入侵者等。在Linux系统中，有四类主要的日志：<br>    （1）连接时间日志：由多个程序执行，把记录写入到／var／log／wtmp和／var／run／utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。<br>    （2）进程统计：由系统内核执行。当一个进程终止时，为每个进程向进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。<br>    （3）错误日志：由syslogd（8）守护程序执行。各种系统守护进程、用户程序和内核通过syslogd（3）守护程序向文件／var／log／messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。<br>    （4）实用程序日志：许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样重要的还有sudolog。另外，诸如Apache等Http服务器都有两个日志：access log（客户端访问日志）以及error log（服务出错日志）。FTP服务的日志记录在xferlog文件当中，Linux中邮件传送服务（sendmail）的日志一般存放在maillog文件当中。<br>    上述四类日志中，常用的日志文件如表6-1所示。

第1章 Linux系统简介  1<br>1.1 Linux的发展历史  1<br>1.2 Linux与GNU、GPL以及POSIX的关系  2<br>1.2.1 GNU  2<br>1.2.2 GPL  2<br>1.2.3 POSIX  3<br>1.3 Linux的特性  3<br>1.4 Linux的应用领域  4<br>1.5 Linux的内核及发行版本  5<br>1.6 常见的Linux发行版本  5<br>1.6.1 Red Hat Linux  5<br>1.6.2 Fedora Core/Fedora  6<br>1.6.3 Debian  6<br>1.6.4 Ubuntu  7<br>1.6.5 SuSE Linux  7<br>1.7 Linux的主要组成部分  7<br>1.7.1 内核  8<br>1.7.2 Shell  8<br>1.7.3 文件结构  8<br>1.7.4 实用工具  9<br>1.8 Linux最新内核版本的新特性  10<br><br>第2章 Linux系统启动安全  11<br>2.1 引导装载程序原理  11<br>2.2 Linux系统运行级别  12<br>2.3 LILO引导装载程序  13<br>2.4 GRUB引导装载程序  15<br>2.5 Linux系统启动安全保障技术  17<br>2.5.1 卸载LILO防止入侵  17<br>2.5.2 为LILO的单用户模式添加口令  18<br>2.5.3 加固GRUB  19<br><br>第3章 Linux文件系统安全  20<br>3.1 Linux文件系统基本原理和概念  20<br>3.1.1 Linux常用的文件系统  20<br>3.1.2 Linux文件  23<br>3.1.3 Linux目录  24<br>3.1.4 Linux目录结构  26<br>3.2 文件/目录访问权限管理  27<br>3.2.1 文件/目录访问权限  27<br>3.2.2 使用chmod改变文件/目录的访问权限  28<br>3.2.3 使用命令chown更改文件/目录的所有权  30<br>3.2.4 使用setuid/setgid改变执行权限  30<br>3.3 使用文件系统检查工具保证文件系统安全  32<br>3.3.1 Tripwire工具简介  32<br>3.3.2 Tripwire工作原理  32<br>3.3.3 安装Tripwire  38<br>3.3.4 配置和使用Tripwire  38<br>3.3.5 使用Tripwire进行文件监控  42<br>3.3.6 使用Tripwire的技巧  43<br><br>第4章 Linux用户和组管理安全  44<br>4.1 Linux下的用户和组管理安全概述  44<br>4.2 几个关键的用户和组文件  44<br>4.2.1 用户账号文件——passwd  44<br>4.2.2 用户影子文件——shadow  46<br>4.2.3 用户组账号文件——group  48<br>4.2.4 组账号文件——gshadow  49<br>4.2.5 Linux用户口令加密函数  50<br>4.2.6 使用pwck和grpck命令验证用户和组文件  50<br>4.3 安全管理用户和组  53<br>4.3.1 使用useradd命令添加用户  53<br>4.3.2 使用usermod命令修改用户信息  55<br>4.3.3 使用userdel命令删除用户  55<br>4.3.4 使用groupadd命令创建用户组  55<br>4.3.5 使用groupmod命令修改用户组属性  56<br>4.3.6 使用groupdel命令删除用户组  57<br>4.4 用户口令的安全性保证  57<br>4.4.1 安全用户口令的设定原则  57<br>4.4.2 使用密码分析工具验证  58<br>4.5 用户和组文件的安全性保证  60<br>4.6 使用嵌入式认证模块-PAM  61<br>4.6.1 PAM的起源  61<br>4.6.2 Linux-PAM的分层体系结构  62<br>4.6.3 Linux-PAM的应用  62<br><br>第5章 Linux进程管理安全  67<br>5.1 Linux中的进程原理  67<br>5.1.1 进程类型  67<br>5.1.2 进程的状态  67<br>5.1.3 进程的主要工作模式  68<br>5.1.4 Linux下的守护进程  69<br>5.1.5 Linux系统关键进程介绍  69<br>5.2 Linux进程管理  71<br>5.2.1 使用ps命令查看进程状态  71<br>5.2.2 使用top命令查看进程状态  73<br>5.2.3 使用kill命令终止进程  74<br>5.2.4 使用sleep命令暂停进程  75<br>5.2.5 使用nice改变进程执行优先级  76<br>5.2.6 使用renice修改优先级  76<br>5.2.7 使用pgrep命令查找进程  76<br>5.3 Linux进程文件系统PROC  77<br>5.3.1 使用PROC查看进程  77<br>5.3.2 内核模块介绍  79<br>5.3.3 PROC常用的调用接口  81<br><br>第6章 Linux中的日志管理  85<br>6.1 Linux日志管理简介  85<br>6.2 Linux中基本日志管理机制  86<br>6.2.1 who命令  86<br>6.2.2 users命令  87<br>6.2.3 last命令  87<br>6.2.4 ac命令  87<br>6.2.5 lastlog命令  88<br>6.3 使用syslog设备  88<br>6.3.1 syslog简介  88<br>6.3.2 syslog配置文件  88<br>6.3.3 syslog进程  90<br>6.3.4 实际应用中的syslog调用接口  91<br>6.4 Linux日志使用注意事项  93<br>6.5 Linux日志输出查看方式  93<br>6.5.1 dmesg  93<br>6.5.2 tail  95<br>6.5.3 more和less  95<br>6.5.4 其他方式  97<br><br>第7章 Linux磁盘安全管理  98<br>7.1 安全管理磁盘  98<br>7.1.1 磁盘存储设备的命名  98<br>7.1.2 管理磁盘空间  99<br>7.2 硬件状态监控  106<br>7.2.1 获取和安装dmidecode工具  106<br>7.2.2 使用硬件状态监控工具  106<br>7.3 安全管理磁盘阵列  108<br>7.3.1 磁盘阵列原理  108<br>7.3.2 磁盘阵列的分类  108<br>7.3.3 Linux下使用磁盘阵列  110<br>7.4 Linux下的备份机制  113<br>7.4.1 常用备份命令  113<br>7.4.2 常用开源备份软件  115<br>7.4.3 备份策略  117<br><br>第8章 SELinux原理  121<br>8.1 Linux操作系统安全性分析  121<br>8.1.1 Linux操作系统安全级别  121<br>8.1.2 Linux操作系统主要安全机制  123<br>8.2 操作系统安全原理  124<br>8.2.1 BLP安全模型  124<br>8.2.2 RBAC模型  125<br>8.2.3 多级别安全机制  126<br>8.2.4 常见的操作系统加固技术  127<br>8.3 SELinux：Linux安全增强机制  128<br>8.3.1 SELinux的来源  128<br>8.3.2 SELinux机制介绍  128<br>8.3.3 SELinux与传统Linux的区别  129<br>8.3.4 SELinux中的上下文  130<br>8.3.5 SELinux中的目标策略  134<br>8.3.6 SELinux配置文件和策略目录介绍  140<br>8.3.7 使用SELinux的准备  142<br>8.3.8 SELinux中布尔变量的使用  145<br>8.4 国内外相关安全标准概述  148<br><br>第9章 Linux网络原理  151<br>9.1 计算机网络体系结构和参考模型  151<br>9.1.1 计算机网络简介及模型  151<br>9.1.2 OSI七层模型  152<br>9.1.3 TCP/IP四层模型  154<br>9.2 TCP/IP协议栈原理  155<br>9.2.1 IP  156<br>9.2.2 TCP  159<br>9.2.3 UDP  161<br>9.3 IPv6  162<br>9.4 重要相关协议介绍  164<br>9.4.1 ICMP  164<br>9.4.2 ARP/RARP  165<br>9.4.3 SNMP  167<br>9.5 Linux重要网络应用端口  168<br>9.5.1 端口技术原理  168<br>9.5.2 端口分类  169<br>9.5.3 常用端口介绍  169<br>9.5.4 网络端口扫描工具nmap  170<br>9.6 Linux网络安全管理命令  174<br>9.6.1 ifconfig：网络配置命令  174<br>9.6.2 ifup/ifdown：网卡激活/停用命令  175<br>9.6.3 hostname：主机名更改命令  175<br>9.6.4 route：路由配置命令  175<br>9.6.5 ping：网络连通测试命令  176<br>9.6.6 Traceroute：网络路径跟踪命令  176<br>9.6.7 netstat：网络状态查询命令  176<br>9.6.8 arp命令  177<br>9.6.9 arpwatch：监听ARP记录命令  177<br>9.7 使用xinetd管理Linux网络服务  177<br>9.7.1 xinetd原理  177<br>9.7.2 /etc/xinetd.conf文件  178<br>9.7.3 xinetd服务配置文件  179<br>9.7.4 通过文件配置使用xinetd  180<br>9.7.5 通过图形用户界面配置使用xinetd  181<br><br>第10章 Linux网络安全威胁  182<br>10.1 网络安全简介  182<br>10.1.1 网络信息安全的要素  184<br>10.1.2 网络中存在的威胁  185<br>10.1.3 网络信息安全领域的研究重点  185<br>10.2 Linux网络面临的常见威胁  187<br>10.2.1 端口扫描  187<br>10.2.2 主机扫描  188<br>10.2.3 操作系统“指纹”扫描  189<br>10.2.4 木马  189<br>10.2.5 DoS攻击和DDoS攻击  192<br>10.2.6 Linux下的病毒  196<br>10.2.7 IP地址欺骗  198<br>10.2.8 ARP欺骗  198<br>10.2.9 网络钓鱼  198<br>10.2.10 僵尸网络  201<br>10.2.11 跨站脚本攻击  202<br>10.2.12 零日攻击  202<br><br>第11章 构建安全的DNS服务  204<br>11.1 DNS服务安全简介  204<br>11.1.1 DNS服务简介  204<br>11.1.2 DNS服务存在的问题和面临的威胁  207<br>11.2 安装DNS的最新版本  208<br>11.3 正确配置DNS相关文件  209<br>11.3.1 几个重要的DNS服务器配置文件类型  209<br>11.3.2 named.conf主配置文件  210<br>11.3.3 区文件  212<br>11.3.4 DNS服务器配置实例  213<br>11.3.5 使用Dlint工具进行DNS配置文件检查  215<br>11.3.6 使用命令检验DNS功能  216<br>11.4 配置辅助域名服务器进行冗余备份  219<br>11.5 配置高速缓存服务器缓解DNS访问压力  220<br>11.6 配置DNS负载均衡  222<br>11.7 安全配置和使用DNS  222<br>11.7.1 限制名字服务器递归查询功能  222<br>11.7.2 限制区传送  222<br>11.7.3 限制查询  223<br>11.7.4 分离DNS  223<br>11.7.5 隐藏BIND的版本信息  224<br>11.7.6 使用非root权限运行BIND  224<br>11.7.7 删除DNS上不必要的其他服务  225<br>11.7.8 合理配置DNS的查询方式  225<br>11.8 使用dnstop监控DNS流量  226<br><br>第12章 构建安全的Web服务   228<br>12.1 Web服务器简介  228<br>12.1.1 HTTP基本原理  228<br>12.1.2 Apache服务器简介  229<br>12.2 Apache服务器面临的网络威胁  231<br>12.3 安装Apache的最新版本  231<br>12.3.1 获取Apache安装包  231<br>12.3.2 使用httpd-2.2.11.tar.gz软件包安装Apache  232<br>12.3.3 使用httpd-2.2.11.tar.bz2软件包安装Apache  232<br>12.4 安全配置Apache服务器  233<br>12.4.1 httpd.conf配置文件格式  233<br>12.4.2 安全设定httpd.conf文件中的全局配置选项  234<br>12.5 使用特定的用户运行Apache服务器  237<br>12.6 配置隐藏Apache服务器的版本号  238<br>12.7 实现访问控制  240<br>12.7.1 访问控制常用配置指令  240<br>12.7.2 使用.htaccess文件进行访问控制  241<br>12.8 使用认证和授权  244<br>12.8.1 认证和授权指令  244<br>12.8.2 管理认证口令文件和认证组文件  245<br>12.8.3 认证和授权使用实例  245<br>12.9 设置虚拟目录和目录权限  247<br>12.10 使用Apache中的安全模块  249<br>12.10.1 Apache服务器中安全相关模块  249<br>12.10.2 开启安全模块  250<br>12.11 使用SSL保证安全  251<br>12.11.1 SSL简介  251<br>12.11.2 Apache中运用SSL的基本原理  252<br>12.11.3 安装和启动SSL  254<br>12.12 设置虚拟主机  257<br>12.12.1 设置IP型虚拟主机  257<br>12.12.2 设置名字型虚拟主机  260<br>12.13 Apache日志记录  261<br><br>第13章 构建安全的FTP服务  265<br>13.1 FTP简介  265<br>13.1.1 FTP协议简介  265<br>13.1.2 FTP服务器连接过程及模式  265<br>13.1.3 FTP文件类型  266<br>13.1.4 FTP文件结构  267<br>13.1.5 FTP传输模式  267<br>13.1.6 FTP常用命令  267<br>13.1.7 FTP典型消息  268<br>13.2 FTP服务面临的安全威胁  268<br>13.3 安装最新版本的vsftpd服务器  269<br>13.4 安全配置vsftpd.conf文件  270<br>13.4.1 设定独立模式的相关配置  270<br>13.4.2 设定登录的相关配置  271<br>13.4.3 设定工作目录和chroot“监牢”的相关配置  272<br>13.4.4 设定文件下载与上传的相关配置  273<br>13.4.5 设定消息的相关配置  274<br>13.4.6 设定显示的相关配置  274<br>13.4.7 设定日志的相关配置  275<br>13.4.8 设定连接参数  275<br>13.4.9 其他设定  276<br>13.5 安全配置vsftpd.ftpusers文件  276<br>13.6 安全配置vsftpd.user_list文件  277<br>13.7 安全使用vsftpd服务器  278<br>13.7.1 匿名用户使用vsftpd服务器  278<br>13.7.2 本地用户使用vsftpd服务器  279<br>13.7.3 虚拟用户使用vsftpd服务器  282<br>13.7.4 配置vsftpd服务器在非标准端口工作  284<br>13.7.5 配置虚拟FTP服务器  285<br>13.7.6 使用Linux-PAM控制vsftpd用户的登录  287<br>13.8 安全配置Wu-ftpd  288<br>13.8.1 配置ftpaccess文件  288<br>13.8.2 配置ftphosts文件  294<br>13.8.3 配置/etc/ftpservers文件  295<br>13.8.4 配置ftpusers文件  295<br><br>第14章 构建安全的电子邮件服务  297<br>14.1 电子邮件系统原理  297<br>14.1.1 邮件传递代理  297<br>14.1.2 邮件存储和获取代理  297<br>14.1.3 邮件客户代理  298<br>14.1.4 电子邮件系统的常用协议  298<br>14.2 SMTP介绍  299<br>14.2.1 SMTP的模型  299<br>14.2.2 SMTP的基本命令  300<br>14.2.3 电子邮件的结构  301<br>14.2.4 Open Relay的原理  303<br>14.2.5 电子邮件系统与DNS  304<br>14.3 电子邮件系统面临的安全威胁  304<br>14.4 安全使用sendmail Server  305<br>14.4.1 安装最新版本的sendmail服务器  305<br>14.4.2 安全设置sendmail.cf文件中的选项  305<br>14.4.3 使用sendmail.mc文件  308<br>14.4.4 使用access数据库  309<br>14.4.5 配置带SMTP认证的sendmail服务器  310<br>14.5 安全使用Postfix电子邮件服务器  311<br>14.5.1 安全配置Postfix邮件服务器  311<br>14.5.2 Postfix使用SMTP安全认证  313<br>14.6 垃圾邮件防范技术  314<br>14.6.1 常用技术  315<br>14.6.2 设置sendmail防范垃圾邮件  316<br>14.6.3 安全配置Postfix防范垃圾邮件  317<br>14.6.4 客户端配置垃圾邮件防护功能  317<br><br>第15章 使用防火墙保证Linux网络安全  322<br>15.1 防火墙简介  322<br>15.2 防火墙的主要分类  323<br>15.2.1 按防火墙的软、硬件形式划分  323<br>15.2.2 按防火墙的发展技术划分  323<br>15.2.3 按防火墙的结构划分  323<br>15.2.4 按防火墙的应用部署位置划分  324<br>15.3 防火墙技术及其特点  324<br>15.3.1 数据包过滤防火墙技术  324<br>15.3.2 应用层网关防火墙技术  324<br>15.3.3 代理防火墙技术  325<br>15.4 新一代防火墙的主要技术特点  325<br>15.4.1 传统防火墙的发展历史  325<br>15.4.2 防火墙体系结构  326<br>15.4.3 新一代分布式防火墙概述  328<br>15.4.4 新一代嵌入式防火墙技术  329<br>15.4.5 新一代智能防火墙技术  329<br>15.4.6 防火墙技术的发展趋势  330<br>15.5 使用Netfilter/iptables防火墙框架  331<br>15.5.1 Netfilter/iptables框架简介  331<br>15.5.2 安装Netfilter/iptables系统  332<br>15.5.3 iptables工作原理  333<br>15.5.4 使用iptable的过滤规则  334<br>15.5.5 使用iptables保障网络服务安全  337<br><br>第16章 使用IDS保证Linux网络安全  340<br>16.1 IDS简介  340<br>16.2 IDS分类  341<br>16.3 Snort介绍  343<br>16.4 安装Snort  344<br>16.5 Snort的工作模式  344<br>16.6 使用Snort  346<br>16.6.1 命令简介  346<br>16.6.2 查看ICMP数据报文  347<br>16.6.3 配置Snort的输出方式  349<br>16.6.4 配置Snort规则  349<br>16.7 编写Snort规则  351<br>16.7.1 规则动作  352<br>16.7.2 协议  352<br>16.7.3 IP地址  352<br>16.7.4 端口号  353<br>16.7.5 方向操作符  353<br>16.7.6 activate/dynamic规则对  353<br>16.7.7 一些重要的指令  354<br>16.7.8 规则选项  354<br>16.7.9 一些Snort规则的应用举例  360<br>16.8 Linux内核IDS：LIDS  361<br>16.8.1 LIDS简介  361<br>16.8.2 LIDS安装  362<br>16.8.3 配置和使用LIDS  363<br><br>第17章 构建安全的Linux远程登录  367<br>17.1 SSH服务简介  367<br>17.2 安装最新版本的OpenSSH  368<br>17.3 安全配置openSSH  370<br>17.4 SSH的密钥管理  373<br>17.5 使用scp命令远程复制文件  375<br>17.6 使用SSH设置“加密通道”  375<br>17.7 配置SSH的客户端  377<br>17.8 配置SSH自动登录  380<br>17.9 使用Xmanager 3.0实现Linux远程登录管理  383<br><br>第18章 Linux网络流量安全管理  386<br>18.1 网络流量管理简介  386<br>18.1.1 流量识别  386<br>18.1.2 流量统计分析  387<br>18.1.3 流量限制  388<br>18.1.4 其他方面  388<br>18.2 需要管理的常见网络流量  388<br>18.3 网络流量捕捉：图形化工具Wireshark  389<br>18.3.1 Wireshark简介  389<br>18.3.2 层次化的数据包协议分析方法  390<br>18.3.3 基于插件技术的协议分析器  391<br>18.3.4 安装Wireshark  391<br>18.3.5 使用Wireshark  392<br>18.4 网络流量捕捉：命令行工具tcpdump  396<br>18.4.1 tcpdump简介  396<br>18.4.2 安装tcpdump  396<br>18.4.3 使用tcpdump  397<br>18.5 网络流量分析-NTOP  400<br>18.5.1 NTOP介绍  400<br>18.5.2 安装NTOP  401<br>18.5.3 使用NTOP  402<br>18.6 网络流量限制-TC技术  405<br>18.6.1 TC技术原理  405<br>18.6.2 使用Linux TC进行流量控制实例  405<br>18.7 网络流量管理的策略  409<br>18.7.1 管理目标  409<br>18.7.2 具体策略  410<br>参考文献  413