Linux安全：入侵防范、检测和恢复PDF|Epub|txt|kindle电子书版本网盘下载

Linux安全：入侵防范、检测和恢复PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

译者序1

序言1

第1章 导言1

1.1 本书适合的读者1

1.2 本书的组织结构1

1.2.1 本书的约定3

1.2.2 背景3

1.3 需要防范的内容4

1.4 谁是你的敌人5

1.5 他们想干什么6

1.6 保护与入侵的代价6

1.10 文件保护7

1.9 对系统的访问进行保护7

1.8 对网络和调制解调器的访问进行保护7

1.7 硬件保护7

1.11 针对入侵的准备和检测8

1.12 从入侵中恢复8

第一部分 保护系统10

第2章 常见问题的快速解决10

2.1 了解Linux安全性11

2.1.1 Linux系统的安全性11

2.1.2 攻击路径15

2.1.3 进入安全环17

2.2 七种致命错误18

2.2.1 脆弱的口令18

2.2.2 开放网络端口19

2.2.3 旧软件版本20

2.2.5 不安全的CGI21

2.2.4 很差的物理安全性21

2.2.6 陈旧的和不必要的账户25

2.2.7 耽搁26

2.3 良好安全性的重点：口令26

2.4 先进的口令技术29

2.4.1 可以获得很好的安全性的隐蔽的MD5口令29

2.4.2 口令的重复提示32

2.4.3 口令应该是成熟的吗33

2.4.4 账户名34

2.5 防止系统中的用户操作错误34

2.5.1 引入软件的危险37

2.5.2 教育用户37

2.6 限制访问权限38

2.6.1 目录与粘着位39

2.6.2 找出权限问题40

2.6.3 在启动脚本中使用U掩码43

2.7 初始系统安装中的危险和干扰43

2.8 限制不合理的访问45

2.8.1 限制根用户可以登录的终端45

2.8.2 拨打完整序列的电话号码46

2.8.3 停止对数据不受控制的访问46

2.8.4 限制服务器的接口47

2.9 防火墙和公司其他的防范措施47

2.9.1 停止终端在防火墙周围运行48

2.9.2 开隧道通过防火墙50

2.9.3 更改内核设置53

2.9.4 Egress过滤54

2.9.5 局域网陷患54

2.9.6 公司内部的防火墙存在隐患56

2.10 关掉不必要的服务58

2.11 高安全性要求最小数量的服务62

2.12.1 不要使用finger63

2.12 不再使用有隐患的服务63

2.12.2 关掉rwhod64

2.12.3 关掉rwalld65

2.12.4 关掉SNMP65

2.12.5 关掉NFS、mountd和portmap66

2.12.6 转换NFS在TCP上运行66

2.12.7 关掉rsh、rcp、rlogin和rexec67

2.12.8 关掉fdmount68

2.12.9 关掉Echo和Chargen68

2.12.10 关掉talk和ntalk68

2.12.12 关掉systat和netstat69

2.12.13 关掉内部的inetd服务69

2.12.11 关掉TFTP69

2.12.14 升级updatedb和locate70

2.13 用新版本代替旧版本70

2.13.1 升级named程序71

2.13.2 升级2.2内核71

2.13.3 升级sendmail71

2.13.4 加强Sendmail来抵御DoS攻击73

2.13.5 升级SSH75

2.13.6 升级WU-FTPD76

2.13.7 升级Netscape76

2.13.8 禁止Web广告77

2.13.9 升级mountd78

2.13.10 升级gpm78

2.13.14 修正innd79

2.13.13 修正OpenLDAP79

2.13.11 升级imwheel79

2.13.12 升级OpenLDAP79

2.13.15 Postgresql的脆弱之处80

2.14 把不同安全等级的服务分隔开80

第3章 简单入侵方法及应对策略83

3.1 X系统的安全漏洞83

3.2 物理入侵86

3.2.1 从入侵者的软盘或光盘启动系统87

3.2.2 CMOS重新配置87

3.2.3 给CMOS加上密码88

3.2.4 防止未授权用户使用单用户模式89

3.2.5 防止用软盘窃取信息90

3.2.6 防止Ctrl-Alt-Delete组合键的袭击90

3.3 其他主题90

3.3.2 $PATH中“.”引发的问题91

3.3.1 电缆调制解调器91

3.3.3 阻塞IP源路由92

3.3.4 阻塞IP欺骗93

3.3.5 屏幕自动锁定94

3.3.6 /etc/mailcap95

3.3.7 chattr程序和不可修改标志位96

3.3.8 安全删除96

3.3.9 同步I/O97

3.3.10 用以增强安全性的mount参数98

3.3.11 使用SSH包装UDP和TCP99

3.3.12 cat目录与man命令99

3.3.13 用*limit限制资源使用101

3.3.14 公共界面下shell程序的历史记录101

3.3.15 理解地址解析协议102

3.3.16 防止ARP缓存中毒103

3.3.17 Shell转义104

3.3.18 你自己的ISP105

3.3.19 终端探测程序106

3.3.20 Star Office107

3.3.21 VMware107

3.4 终端设备攻击107

3.4.1 功能键劫持108

3.4.2 组合键的脆弱之处108

3.4.3 xterm修改日志文件的脆弱之处109

3.5 磁盘探测109

3.5.1 真正擦除文件110

3.5.2 破坏在空闲数据块上的旧的保密数据112

3.5.3 擦除整个磁盘上的数据115

3.5.4 破坏一个硬盘115

4.1 NFS、mountd以及portmap117

第4章 入侵子系统的一般方法117

4.2 Sendmail119

4.2.1 分离或多邮件服务器的附加安全性120

4.2.2 Sendmail基础安全性120

4.2.3 Sendmail安全选项123

4.2.4 仿造邮件及新闻发送者地址125

4.2.5 垃圾邮件来自何处125

4.2.6 转发垃圾邮件127

4.2.7 阻塞垃圾邮件127

4.2.8 抵制垃圾邮件的工具128

4.2.9 启用控制中继功能128

4.2.10 禁止公开邮递列表130

4.2.11 写满磁盘的Sendmail DoS130

4.3 Telnet131

4.4 FTP131

4.4.1 匿名FTP的配置133

4.4.2 FTP代理威胁137

4.5 rsh、rcp、rexec以及rlogin服务137

4.5.1 R*安全性138

4.5.2 R*的不安全性139

4.6 DNS140

4.6.1 限制由于升级Named所带来的损害140

4.6.2 服务于人141

4.7 POP及IMAP服务器141

4.8 使用Samba144

4.8.1 Samba是否在系统上145

4.8.2 Samba的卸载145

4.8.3 Samba配置文件146

4.8.4 文件smb.conf146

4.9 防止使用Squid来覆盖入侵痕迹151

4.8.5 注意CIFS/SMB-Only的用户151

4.10 syslogd服务153

4.11 print服务154

4.12 ident服务154

4.13 INND与News155

4.14 保护你的DNS注册156

第5章 常见攻击方法159

5.1 Rootkit攻击159

5.2 报文欺骗160

5.2.1 为何UDP报文欺骗得以成功162

5.2.2 TCP顺序号欺骗163

5.2.3 会话劫持164

5.3 SYN泛洪攻击165

5.4 阻止SYN泛洪攻击165

5.6 报文风暴、Smurf攻击和Fraggles166

5.5 阻止TCP顺序号欺骗166

5.6.1 避免成为放大器168

5.6.2 阻止报文风暴攻击169

5.6.3 Cisco路由器170

5.6.4 DDoS攻击：被抵消的网络资源170

5.7 缓冲区溢出或使用get()标记内存171

5.8 欺骗技术171

5.8.1 邮件欺骗172

5.8.2 MAC攻击173

5.8.3 中毒的ARP缓存174

5.8.4 中毒的DNS缓存174

5.9 中间人攻击174

第6章 高级安全问题178

6.1 配置具有更高安全性的Netscape178

6.1.1 Netscape的重要属性178

6.1.3 系统用户的Netscape首选181

6.1.2 获取自己的cookie181

6.1.4 Netscape个人安全管理器182

6.1.5 Netscape Java的安全性182

6.2 终止对I/O设备的访问184

6.2.1 为何/dev/tty的模式设为666187

6.2.2 虚拟控制台缓冲区的脆弱之处188

6.2.3 可加密的磁盘驱动程序188

6.3 跟踪Apache安全问题189

6.3.1 所有权和权限189

6.3.2 SSI190

6.3.3 ScriptAllias190

6.3.4 防止用户改变系统设置191

6.3.5 控制Apache可以访问的目录191

6.3.8 数据库泄漏192

6.3.6 控制Apache可以访问的文件扩展192

6.3.7 杂项192

6.3.9 拒绝不受欢迎的主机195

6.3.10 到站点的链接195

6.4 Web服务器使用的几种特殊技术196

6.4.1 将多个服务互相隔离196

6.4.2 切勿信任CGI197

6.4.3 隐藏的表单变量与被破坏的Cookie197

6.4.4 保护职员的个人信息197

6.4.5 禁止Robot198

6.4.6 危险的CGI程序199

6.4.7 利用CGI Query程序的漏洞进行攻击200

6.4.8 转换十六进制编码的URL200

6.4.11 CGI脚本和程序202

6.4.10 利用CGI phf程序进行的攻击202

6.4.9 利用CGI Counterfiglet程序进行的攻击202

6.4.12 强制URL封锁209

6.4.13 探测被毁损的Web页209

6.5 安全的信用卡数据单向传输210

6.6 强化系统安全性213

6.7 限制登录地点及次数219

6.8 一些隐秘但致命的安全问题220

6.8.1 防范缓冲区溢出攻击220

6.8.2 防范chroot()攻击222

6.8.3 符号链接攻击223

6.8.4 lost+found=全部问题225

6.8.5 rm-r竞争226

6.9 防止登录模拟器攻击227

6.9.1 更新/etc/issue228

6.9.3 内核支持230

6.9.2 弥补/bin/login230

6.10 使用Libsafe防止缓冲区溢出231

第7章 创建安全策略235

7.1 通用策略235

7.2 个人使用策略235

7.3 账户策略237

7.4 电子邮件策略238

7.5 Web服务器策略239

7.6 文件服务器和数据库策略240

7.7 防火墙策略240

7.8 桌面策略240

7.9 便携式电脑策略241

7.11 网络拓扑策略243

7.10 报废策略243

7.12 问题报告策略245

7.13 所有权策略245

7.14 选择策略的策略246

第8章 对其他机器的信任机制247

8.1 安全系统与不安全系统247

8.2 控制下的Linux系统和UNIX系统248

8.3 控制主机249

8.4 Windows的安全特征249

8.5 防火墙的脆弱之处251

8.6 虚拟专用网络253

8.7 病毒与Linux254

第9章 分段入侵256

9.1 Mission Impossible技术256

9.2 间谍258

9.3 疯狂攻击和自杀性攻击259

第10章 案例分析260

10.1 Berkeley防御系统的漏洞260

10.2 这个领域中的佼佼者262

10.3 Ken Thompson对海军的攻击264

10.4 虚拟机特洛伊木马264

10.5 AOL的DNS更改失败265

10.6 “我是无辜的”266

10.7 用笔记本电脑和付费电话进行攻击267

10.8 从巨额数目中盗窃几美分268

第11章 最新的入侵方法269

11.1 分段攻击269

11.2 死亡性Ping270

11.5 用Sendmail来阻止电子邮件攻击271

11.4 电缆调制解调器：一个黑客的梦271

11.3 秘密扫描271

11.6 Sendmail账户猜想272

11.7 神秘的ingreslock272

11.8 你正在被跟踪273

11.8.1 Pentium Ⅲ序列号273

11.8.2 Microsoft的GUID允许监视273

11.9 分布式拒绝服务攻击274

11.10 隐藏的特洛伊木马程序276

11.10.1 为什么要用ICMP回应报文及如何回应277

11.10.2 特洛伊木马将来的方向278

11.10.3 混杂模式内核消息279

11.11 经过TCP98 端口的Linuxconf279

11.12 恶意的HTML标志和脚本279

11.13 syslog()的格式问题281

第12章 加固系统283

第二部分 入侵防范准备283

12.1 用SSH保护用户会话284

12.1.1 编译SSH2285

12.1.2 配置SSH287

12.1.3 使用SSH288

12.1.4 用SSH包装X289

12.1.5 使用SSH、PPP和Perl的VPN290

12.1.6 使用sftp291

12.1.7 使用scp291

12.1.8 用SSH封装其他基于TCP的服务291

12.1.9 使用FreeS/WAN IPSec建立VPN292

12.1.10 SSH不能防范的脆弱之处293

12.2 PGP293

12.3 FSF的PGP替代软件294

12.3.2 编译295

12.3.1 下载295

12.3.3 工作原理296

12.3.4 生成密钥296

12.3.5 交换密钥297

12.3.6 传播你的公开密钥298

12.3.7 签名文件299

12.3.8 邮件的加密和签名300

12.3.9 加密的备份和其他过滤器301

12.3.10 非常高的GPG安全性301

12.4 使用IP Chain和DMZ的防火墙301

12.4.1 IP Chain不能做什么303

12.4.2 IP Chain基础304

12.4.3 IP Chain命令307

12.4.4 启动一个防火墙脚本308

12.4.5 防火墙的基本用法311

12.4.6 阻塞外部恶意入侵312

12.4.7 IP伪装318

12.4.8 创建DMZ320

12.4.9 有状态的防火墙322

12.4.10 SSH危险323

12.4.11 加密的邮件访问324

第13章 硬件准备326

13.1 时间就是一切326

13.2 高级准备328

13.3 切换到辅助控制329

13.3.1 哪个系统应该具有备份系统329

13.3.2 两类备份系统330

13.3.3 安全备份系统设计330

13.3.4 保持安全备份系统处于就绪状态331

13.3.5 检查高速缓存332

13.3.6 最好准备一个空闲的硬盘333

第14章 配置准备334

14.1 TCP Wrapper334

14.1.1 TCP Wrapper的使用335

14.1.2 TCP Wrapper的高级使用336

14.2 自适应TCP Wrapper337

14.3 Cracker Trap342

14.3.1 /etc/service文件343

14.3.2 /etc/inetd.conf文件344

14.3.3 /etc/hosts.allow文件347

14.4 用内核模式终止黑客服务器347

14.5 应急训练348

14.5.1 飞机失事演习349

14.5.5 测试系统350

14.5.4 计划好进行哪些演习350

14.5.3 危险和预防350

14.5.2 这只是一次测试350

14.5.6 安全的特洛伊木马351

14.5.7 程序的大小很重要352

14.5.8 引起更多的麻烦353

14.6 用Tiger team侵入你自己的系统353

第15章 扫描系统356

15.1 Nessus安全扫描程序356

15.2 SARA和SAINT安全审计程序356

15.3 nmap网络映射程序357

15.4 Snort攻击检测程序361

15.5 用SHADOW进行扫描和分析361

15.7 保存RPM数据库校验和362

15.6 John the Ripper362

第三部分 入侵检测366

第16章 行为监视366

16.1 日志文件366

16.2 如何利用日志文件367

16.3 当有人攻击系统时呼叫系统管理员369

16.4 一个自动呼叫的例子369

16.5 使用你的自动呼叫的例子371

16.6 呼叫telnet和rsh的使用373

16.7 监视端口的使用374

16.8 使用tcpdump监视你的局域网374

16.8.1 编译tcpdump375

16.8.2 使用tcpdump375

16.9 用欺骗工具包监视扫描程序378

16.10 监视进程380

16.11 使用cron来提防黑客382

16.12 Caller ID383

第17章 扫描系统查找异常384

17.1 找出可疑的文件384

17.1.1 分析可疑的文件385

17.1.2 定期地比较文件内容386

17.2 Tripwire387

17.2.1 安装Tripwire388

17.2.2 使用Tripwire389

17.2.3 Tripwire不能保护什么391

17.2.4 Tripwire的替代程序391

17.3 检测删除的可执行文件391

17.4 检测混杂模式的网络接口卡393

17.5 找出混杂的进程395

17.6 自动检测被涂改的Web页面396

第18章 重新获得对系统的控制402

第四部分 入侵恢复402

18.1 找到黑客运行的进程403

18.2 处理运行着的黑客进程404

18.3 断开调制解调器、网络、打印机和系统410

第19章 找出并修复损害413

19.1 检查/var/log日志413

19.2 syslogd和klogd守护进程414

19.3 远程记录414

19.4 解释日志文件项414

19.4.1 lastlog415

19.4.2 messages415

19.4.3 syslog417

19.4.4 kernlog417

19.4.8 mail418

19.4.7 daemon418

19.4.5 cron418

19.4.6 xferlog418

19.5 检查其他日志419

19.6 检查TCP Wrapper420

19.7 文件系统被怎样破坏420

19.8 植入假的数据420

19.9 修改了的监视程序421

19.10 什么都不可信该怎么办421

19.11 重新获得控制422

19.12 找到黑客修改的文件422

19.12.1 解释tar-d的输出424

19.12.2 用RPM加速检查425

19.12.3 RPM修复425

19.12.4 恢复数据库426

19.12.7 内核会被怎样破坏427

19.13 封锁攻击427

19.12.5 外设损害427

19.12.6 通过恶意电子邮件偷窃427

19.14 找到set-UID程序428

19.15 找到mstream特洛伊木马429

第20章 找出黑客的系统430

20.1 用nslookup跟踪数字IP地址430

20.2 用dig跟踪数字IP地址430

20.3 查找.com拥有者431

20.4 从IP地址直接找到黑客432

20.5 查找.gov系统432

20.6 使用ping433

20.7 使用traceroute434

20.9 最近一次对黑客的国际追踪435

20.10 确信你找到了攻击者435

20.8 邻近系统的结果435

20.11 其他系统管理员：他们关心吗437

第21章 惩罚黑客439

21.1 警察会有多大帮助439

21.1.1 FBI439

21.1.2 美国秘密服务440

21.1.3 其他联邦机构441

21.1.4 州立机构441

21.1.5 本地警察442

21.1.6 准备你的案子442

21.1.7 跟踪被盗的数据443

21.1.8 关心证据443

21.2 起诉443

21.3 允许非法行为的ISP要负的责任444

21.4.2 大量垃圾邮件攻击445

21.4.1 法律问题445

21.4 反击445

21.4.3 死亡性ping446

21.4.4 恶意的Java Applet446

21.4.5 雇佣打手446

第五部分 附录449

附录A 有关安全技术的最新网上资源449

附录B 其他参考资源467

附录C 网络服务和端口473

附录D PORTS.C程序清单478

附录E BLOCKIP.CSH程序清单487

附录F FPROMISC.CSH程序清单496

附录G OVERWRITE.C程序清单500

附录H 危险等级502

附录I 本书附带光盘的内容512

附录J 术语表514