Red Hat Linux安全与优化PDF电子书下载

第一部分 系统性能 1

目录 1

第1章 性能的基本要求 2

1.1 测量系统性能 2

1.1.1 使用ps监控系统性能 3

1.1.2 使用top跟踪系统行为 4

1.1.3 使用vmstat检测内存以及I/O 6

1.1.4 运行vtad分析系统 7

1.2 小结 7

第2章 内核调整 8

2.1 编译和安装自定义内核 8

2.1.1 下载最新的内核源代码 8

2.1.3 选择内核配置方法 9

2.1.2 创建／usr/src/linux符号链接 9

2.1.4 使用menuconfig 10

2.1.5 编译内核 22

2.1.6 启动新内核 23

2.2 运行高要求应用程序 25

2.3 小结 26

第3章 文件系统调整 27

3.1 硬盘调整 27

3.2 ext2文件系统调整 31

3.2.1 改变ext2文件系统的块尺寸 31

3.2.2 使用e2fsprogs（ext2文件系统磁盘工具）调整ext2文件系统 31

3.3 使用日志式文件系统 34

3.3.1 编译和安装ReiserFS文件系统 35

3.3.3 基准测试ReiserFS文件系统 36

3.3.2 使用ReiserFS文件系统 36

3.4 管理逻辑卷 38

3.4.1 编译和安装LVM内核模块 38

3.4.2 创建逻辑卷 40

3.4.3 向逻辑卷添加一个新磁盘或分区 44

3.4.4 从卷组中删除一个磁盘或分区 46

3.5 使用RAID、SAN或存储应用 47

3.5.1 使用Linux软件RAID 47

3.5.2 使用硬件RAID 47

3.5.4 使用存储应用 48

3.6 使用基于RAM的文件系统 48

3.5.3 使用SAN 48

3.7 小结 51

第二部分 网络和服务性能 53

第4章 网络性能 53

4.1 优化以太局域网或广域网 53

4.1.1 使用网络分割技术提高性能 54

4.1.2 用交换机取代集线器 57

4.1.3 使用高速以太网 58

4.1.4 使用主干网 58

4.1.5 理解和控制网络数据流量 59

4.1.6 使用DNS服务器均衡负载 60

4.2 IPAccounting 61

4.2.1 在Linux网关系统上使用IPaccounting 61

4.3 小结 62

5.1 编译有特定要求的Apache服务器 63

第5章 Web服务器性能 63

5.2 调整Apache配置 68

5.2.1 控制Apache进程 68

5.2.2 控制系统资源 71

5.2.3 使用动态模块 73

5.3 加速静态Web页面 74

5.3.1 利用减少磁盘输入／输出加速静态页面传送 74

5.3.2 使用内核HTTP守护进程 75

5.4 加速Web应用 75

5.4.1 使用mod-perl模块 75

5.4.3 为Apache安装配置FastCGI模块 82

5.4.2 使用FastCGI 82

5.4.4 使用JavaServlet 84

5.4.5 使用Squid代理缓存服务器 85

5.5 小结 88

第6章 E-mail服务器性能 89

6.1 如何选择MTA 89

6.2 调整Sendmail 90

6.2.1 控制消息的最大尺寸 91

6.2.2 高速缓存连接 91

6.2.3 控制同时连接数 93

6.2.4 通过Sendmail限制负载 93

6.3 调整Postfix 94

6.2.7 控制整个队列状态 94

6.2.5 处理邮件队列时如何节约内存 94

6.2.6 控制等待队列中的消息数 94

6.3.1 安装Postfix 95

6.3.2 限制使用的进程数 96

6.3.3 限制消息的最大尺寸 96

6.3.4 限制队列中的消息数 96

6.3.5 限制同时发送给一个站点的邮件数量 96

6.3.6 控制整个队列状态 96

6.3.7 控制等待队列中的消息长度 97

6.3.8 控制消息队列处理频率 97

6.4 使用PowerMTA处理大量外发邮件 97

6.4.3 设置用户进程的最大数目 98

6.4.4 设置并发SMTP连接的最大数 98

6.4.2 设置文件描述符的最大个数 98

6.4.1 使用多重spool目录以提高速度 98

6.4.5 性能管理 99

6.5 小结 100

第7章 NFS和Samba服务器性能 101

7.1 优化Samba服务器 101

7.1.1 控制TCPsocket选项 101

7.2 优化Samba客户端 104

7.3 优化NFS服务器 104

7.3.1 优化读／写块的大小 105

7.3.2 设定合适的最大传输单元 107

7.3.3 运行合理数目的NFS守护进程 107

7.4 小结 108

7.3.4 管理报文碎片 108

第8章 内核安全 110

8.1 使用Linux闯入者侦测系统（UDS） 110

第三部分 系统安全 110

8.1.1 建立基于LIDS的Linux系统 111

8.1.2 管理LIDS 116

8.2 用libsafe保护程序的堆栈 123

8.2.1 编译和安装libsafe 124

8.2.2 使用libsafe 126

8.3 小结 126

9.1 管理文件、目录和组用户权限 127

9.1.1 理解文件的所有权和访问权限 127

第9章 保护文件和文件系统的安全 127

9.1.2 用chown命令修改文件和目录的所有权 128

9.1.3 用chgrp修改文件和目录的组所有权 129

9.1.4 使用八进制数来设置文件和目录的访问权限 129

9.1.5 使用访问字符串来设置访问权限 131

9.1.6 用chmod改变文件和目录的存取权限 131

9.1.7 管理符号链接 132

9.1.8 管理用户组权限 133

9.2 检查用户和组的一致性 135

9.3 保证文件和目录的安全 141

9.3.1 理解文件系统的层次结构 142

9.3.2 使用umask设置系统级的默认访问控制模型 144

9.3.3 处理完全访问文件 145

9.3.4 处理set-UID和set-GID程序 147

9.4 使用ext2文件系统的安全特性 150

9.4.1 使用chatter 151

9.4.2 使用1sattt 151

9.5 使用文件完整性检测器 152

9.5.1 使用自己的文件完整性检测器 152

9.5.2 使用Linux版本中开放源代码的Tripwire 156

9.6 安装完整性检测器 167

9.6.1 安装AIDE 167

9.6.2 安装ICU 168

9.7.1 设置用户对配置文件的访问权限 174

9.7.2 为用户设置文件的默认访问权限 174

9.7 创建权限策略 174

9.7.3 设置可执行文件的访问权限 175

9.8 小结 175

第10章 PAM 176

10.1 什么是PAM 176

10.1.1 使用PAM配置文件工作 177

10.2 建立PAM-aware应用程序 179

10.3 使用不同的PAM模块来增强安全性 181

10.3.1 通过时间控制访问 185

10.3.2 限制除了root用户之外所有用户的访问 186

10.3.3 在用户之间管理系统资源 187

10.3.4 使用mod-console对控制台进行安全的访问 188

10.4 小结 189

11.1 理解SSL如何工作 190

第11章 OpenSSL 190

11.1.1 对称加密 191

11.1.2 非对称加密 191

11.1.3 SSL是数据加密的一个协议 191

11.2 理解OpenSSL 192

11.2.1 使用OpenSSL 192

11.2.2 获得OpenSSL 193

11.3 安装和配置OpenSSL 193

11.3.1 OpenSSL先决条件 193

11.3.2 编译和安装OpenSSL 193

11.4.1 什么是证书 195

11.4 理解服务器证书 195

11.4.2 什么是认证机构 196

11.4.3 商业CA 196

11.4.4 自我验证的个人CA 197

11.5 从商业CA获得服务器证书 197

11.6 创建个人CA 198

11.7 小结 199

第12章 屏蔽密码和OpenSSH 200

12.1 理解用户账号的风险 200

12.2 保护用户账号的安全 201

12.2.1 使用屏蔽的密码和组 202

12.2.2 检查密码一致性 204

12.2.3 清除风险性的shell服务 204

12.3.1 获取并安装OpenSSH 206

12.3 使用OpenSSH进行安全远程访问 206

12.3.2 配置OpenSSH服务 207

12.3.3 连接到OpenSSH服务器 212

12.4 管理root账号 216

12.4.1 限制root账号的访问 217

12.4.2 使用su命令成为root用户或其他用户 218

12.4.3 使用sudo委派root用户访问 219

12.5 监控用户 223

12.5.1 列出当前登录系统的用户 223

12.5.2 记录曾经访问过系统的用户 225

12.6 创建用户访问安全策略 225

12.7 创建用户终止安全策略 225

12.8 小结 226

第13章 安全远程密码 227

13.1 设置安全远程密码支持 227

13.2 建立指数密码系统（EPS） 228

13.2.1 使用EPSPAM模块进行密码验证 228

13.2.2 将标准密码转换成EPS格式 229

13.3 使用启用SRP的Telent服务 229

13.3.1 在非Linux平台上使用启用SRP的Telnet客户机 231

13.4 使用启用SRP的FTP服务 231

13.4.1 在非Linux平台上使用启用SRP的PTP客户机 234

13.5 小结 234

第14章 xinetd 235

14.1 什么是xinetd 235

14.2.1 获得xinetd 236

14.2 设置xinetd 236

14.2.2 编译和安装xinetd 237

14.2.3 配置xinetd服务 240

14.3 启动、重新加载和停止xinetd服务 243

14.4 加强／etc/xinetd.conf配置文件中默认值的安全性 243

14.5 使用xinetd运行Internet后台进程 244

14.6 用名字或IP地址控制访问 245

14.7 根据一天中的某个时段控制访问 246

14.8 减少拒绝服务攻击的风险 246

14.8.1 限制服务器的数目 246

14.8.2 限制log文件大小 247

14.8.3 限制负载 247

14.9 创建有区别的访问服务 248

14.8.4 限制连接速率 248

14.*10 重定向和转发客户请求 249

14.*11 使用xinetd的TCPWrapper 251

14.*12 将sshd作为xinetd运行 251

14.*13 使用xadmin 252

14.*14 小结 254

第四部分 网络服务安全 256

第15章 Web服务器安全 256

15.1 了解Web风险 256

15.2 为Apache配置切实可行的安全措施 257

15.2.1 为Apache使用专门的用户和组 257

15.2.2 使用一个安全的目录结构 257

15.2.3 使用相应的文件和目录权限 258

15.2.4 使用目录索引文件 259

15.2.5 禁止默认访问 261

15.2.6 禁止用户重载 261

15.3 使用偏执的配置 262

15.4 减少CGI风险 262

15.4.1 信息漏洞 263

15.4.2 系统资源的消耗 263

15.4.3 通过CGI脚本进行系统命令的欺骗 263

15.4.4 禁止用户输入对系统不安全的调用 264

15.4.5 在HTML页面中隐藏数据的用户修改 267

15.5 包装CGI脚本 272

15.5.1 SuEXEC 273

15.5.2 CGIWrap 275

15.5.3 隐藏有关CGI脚本的线索 276

15.6 减少SSI风险 277

15.7 记录任何事件 278

15.8 限制对敏感内容的访问 279

15.8.1 使用IP或主机名 280

15.8.2 使用HTTP验证方案 281

15.8.3 控制WebRobot 285

15.9 内容发布指导方针 287

15.*10 使用Apache-SSL 287

15.10.1 编译和安装Apache-SSL补丁 288

15.10.2 为Apache-SSL服务器创建一个证书 288

15.10.3 为SSL配置Apache 289

15.*11 小结 291

15.10.4 测试SSL连接 291

第16章 域名服务器安全 292

16.1 理解什么是DNS欺骗 292

16.2 使用D1int检查DNS配置 293

16.2.1 获得Dlint 293

16.2.2 安装Dlint 293

16.2.3 运行Dlint 294

16.3 配置安全的BIND 296

16.3.1 将事务签名（TSIG）用于区带传输 297

16.3.2 非root用户运行BIND 300

16.3.3 隐藏BIND的版本号 300

16.3.4 请求限制 300

16.3.6 为域名服务器创建chroot 301

16.3.5 关闭gluefetching 301

16.3.7 使用DNSSEC（签字区带） 302

16.4 小结 303

第17章 E-mail服务器安全 304

17.1 什么是开放式邮件中继 304

17.2 电子邮件服务器是否易于攻击 305

17.3 保护Sendmail 308

17.3.1 控制邮件中继 309

17.3.2 允许MAPS实时黑洞列表（RBL）支持 311

17.3.3 使用procmail清理输入邮件 315

17.3.4 只发出邮件 320

17.3.5 在没有root特权的情况下运行Sendmail 321

17.4.1 拒收垃圾邮件 322

17.4 保护Postfix 322

17.4.2 通过化装来隐藏内部邮件地址 324

17.5 小结 324

第18章 FTP服务器安全 325

18.1 保证WU-FTPD的安全 325

18.1.1 通过用户名限制FTP访问 326

18.1.2 设置FTP默认文件许可 327

18.1.3 使用FTP会话限制 328

18.1.4 使用／etc/ftpaccess中的选项保护WU-FTPD 331

18.2 使用ProFTPD 333

18.2.1 下载、编译和安装ProFTPD 333

18.2.2 配置ProFTPD 334

18.2.3 监控ProFTPD 337

18.2.4 保证ProFTPD的安全 338

18.3 小结 344

第19章 Samba服务器和NFS服务器安全 345

19.1 Samba服务器的安全性 345

19.1.1 选择合适的安全级别 345

19.1.2 避免明语密码 347

19.1.3 允许来自信任域的用户进行访问 348

19.1.4 通过网络接口控制Samba访问 348

19.1.5 通过主机名和IP地址控制Samba访问 349

19.1.6 使用pam-smb对WindowsNT服务器的所有用户进行验证 349

19.1.7 将OpenSSL用于Samba 351

19.2 NFS服务器安全性 352

19.3 使用密码文件系统 355

19.4 小结 355

第五部分 防火墙 357

第20章 防火墙、虚拟专网和SSL通道 357

20.1 报文过滤防火墙 357

20.1.1 在内核中启用netfilter 361

20.2 利用iptables创建报文过滤规则 362

20.2.1 创建默认的策略 362

20.2.2 添加规则 362

20.2.6 在链中更换规则 363

20.2.5 在链中插入新规则 363

20.2.4 删除规则 363

20.2.3 列出规则 363

20.3 创建SOHO报文过滤防火墙 364

20.3.1 允许专网用户访问外部Web服务器 366

20.3.2 允许外部Web浏览器访问防火墙上的Web服务器 367

20.3.3 DNS客户端和单一高速缓存服务 368

20.3.4 SMTP客户服务 369

20.3.5 POP3客户服务 370

20.3.6 被动模式的FTP客户服务 370

20.3.7 SSH客户服务 371

20.3.8 其他的新客户服务 371

20.4 创建简单防火墙 372

20.5 创建透明代理地址解析协议防火墙 373

20.6.1 内部防火墙的目的 374

20.6 创建组织防火墙 374

20.6.2 主防火墙的目的 375

20.6.3 安装内部防火墙 375

20.6.4 安装主防火墙 376

20.7 安全的虚拟专网 384

20.7.1 编译和安装FREES/WAN 385

20.7.2 创建虚拟专网 386

20.8 Stunnel：通用的SSL包装 390

20.8.1 编译和安装Stunnel 390

20.8.2 保障IMAP安全 391

20.8.3 保障POP3安全 391

20.9 小结 392

20.8.4 为特殊情况保障SMTP安全 392

第21章 防火墙安全工具 393

21.1 使用安全评估（审核）工具 393

21.1.1 利用SAINT执行安全审核 393

21.1.2 SARA 399

21.1.3 VetesCan 399

21.2 使用端口扫描器 399

21.2.1 使用nmap执行痕迹分析 399

21.2.2 使用PortSentry监视连接 401

21.2.3 使用Nessus安全扫描器 405

21.2.4 使用Strobe 408

21.3 使用日志监视和分析工具 408

21.3.1 使用日志检查来探测不寻常的日志条目 408

21.3.3 IPTraf 410

21.3.2 Swatch 410

21.4 使用CGI扫描器 411

21.4.1 使用cgichk.pl 411

21.4.2 使用Whisker 413

21.4.3 使用Malice 414

21.5 使用密码破译器 414

21.5.1 JohnTheRipper 414

21.5.2 Crack 415

21.6 使用入侵探测工具 415

21.6.1 Tripwire 415

21.6.2 LIDS 415

21.7.1 snort 416

21.7 使用数据报文过滤器和嗅探器 416

21.7.2 GShield 418

21.8 对安全管理员有用的工具 418

21.8.1 使用Netcat 418

21.8.2 tcpdunp 422

21.8.3 LSOF 423

21.8.4 ngrep 426

21.9 小结 427

附录A IP网络地址分类 428

A.1 A类IP网络地址 428

A.2 B类IP网络地址 428

A.3 C类IP网络地址 428

A.4 子网IP网络 429

附录B 常用的Linux命令 431

B.1 如何使用在线帮助手册 433

B.2 常用的文件和目录命令 434

B.3 文件压缩和备份命令 448

B.4 文件系统专用命令 451

B.5 兼容DOS的命令 454

B.6 系统状态专用指令 455

B.7 用户管理指令 456

B.8 访问网络设备的用户指令 458

B.9 网络管理员指令 460

B.10 进程管理指令 465

B.12 排程指令 466

B.11 任务自动化指令 466

B.13 Shell指令 468

B.14 打印专用指令 469

附录C Internet资源 471

C.1 Usenet新闻组 471

C.2 邮件列表 473

C.3 相关的Web站点 474

C.4 用户组 474

附录D 修补受损系统 475

D.1 拔掉系统的网络电缆 475

D.2 通知适当的管理部门 475

D.3 创建一个备份副本 475

D.4 分析受损系统数据 476