防線：企業Linux安全運維理念和實戰（簡體書）

《防線：企業Linux安全運維理念和實戰》作者有多年的世界500強企業的信息安全管理工作經驗，深諳500強企業信息安全建設、規劃、實施和管理的細節、難點和重點問題。世界500強企業對於信息安全工作的重視程度，對於信息安全在建設、規劃、實施和管理等方面都有其獨到之處，可以為其他中小型和大型企業所借鑒和參照。基於這個目的，《防線：企業Linux安全運維理念和實戰》以筆者在500強企業中使用企業級開源操作系統Linux在信息安全中的部署和使用方法為切入點，來介紹如何做好信息安全工作。
《防線：企業Linux安全運維理念和實戰》共分為5篇，包含19章和兩個附錄。面向企業實際需求，對如何使用企業開源Linux操作系統來進行信息安全建設進行了全面、深入和系統的分析，並通過大量的威脅分析、解決思路、解決技術及實現實例來進行介紹。
《防線：企業Linux安全運維理念和實戰》覆蓋知識面廣，立意較高，幾乎覆蓋了企業應用開源Linux系統進行信息安全建設的方方面面。

李洋，現任某信息安全公司CTO，歷任金融公司信息安全顧問、電信運營商和互聯網企業信息安全研究員/項目經理。

第一篇 安全運維理論及背景準備
第1章 知彼：企業信息安全現狀剖析
1．1 信息安全問題概覽
1．1．1 黑客入侵
1．1．2 病毒發展趨勢
1．1．3 內部威脅
1．1．4 自然災害
1．2 各經濟大國安全問題概要
1．3 企業面臨的主要信息安全威脅
1．3．1 掃描
1．3．2 特洛伊木馬
1．3．3 拒絕服務攻擊和分布式拒絕服務攻擊
1．3．4 病毒
1．3．5 IP欺騙
1．3．6 ARP欺騙
1．3．7 網絡釣魚
1．3．8 僵屍網絡
1．3．9 跨站腳本攻擊
1．3．1 0緩沖區溢出攻擊
1．3．1 1SQL注入攻擊
1．3．1 3“社會工程學”攻擊
1．3．1 4中間人攻擊
1．3．1 5密碼攻擊
1．4 認識黑客
1．5 剖析黑客的攻擊手段
1．5．1 確定攻擊目標
1．5．2 踩點和信息搜集
1．5．3 獲得權限
1．5．4 權限提升
1．5．5 攻擊實施
1．5．6 留取後門程序
1．5．7 掩蓋入侵痕跡
第2章 知己：企業信息安全技術概覽
2．1 物理層防護：物理隔離
2．2 系統層防護：安全操作系統和數據庫安全
2．2．1 選用安全操作系統
2．2．2 操作系統密碼設定
2．2．3 數據庫安全技術
2．3 網絡層防護：防火牆
2．3．1 防火牆簡介
2．3．2 防火牆的分類
2．3．3 傳統防火牆技術
2．3．4 新一代防火牆的技術特點
2．3．5 防火牆技術的發展趨勢
2．3．6 防火牆的配置方式
2．3．7 防火牆的實際安全部署建議
2．4 應用層防護：IDS/IPS
2．4．1 入侵檢測系統簡介
2．4．2 入侵檢測技術的發展
2．4．3 入侵檢測技術的分類
2．4．4 入侵檢測系統的分類
2．4．5 入侵防禦系統（IPS）
2．4．6 IPS的發展
2．4．7 IPS的技術特徵
2．4．8 IPS的功能特點
2．4．9 IPS的產品種類
2．5 網關級防護：UTM
2．6 Web應用綜合防護：WAF
2．7 數據防護：數據加密及備份
2．7．1 加密技術的基本概念
2．7．2 加密系統的分類
2．7．3 常用的加密算法
2．7．4 加密算法的主要應用場景
2．7．5 數據備份及恢復技術
2．8 遠程訪問安全保障：VPN
2．8．1 VPN簡介
2．8．2 VPN的分類742．9 身份認證技術
2．9．1 靜態密碼
2．9．2 智能卡（IC卡）
2．9．3 短信密碼
2．9．4 動態口令牌
2．9．5 USBKey
2．9．6 生物識別技術
2．9．7 雙因素身份認證
2．1 0管理層：信息安全標準化組織及標準
2．1 0．1 國際信息安全標準概覽
2．1 0．2 國內信息安全標準概覽

第二篇 企業Linux安全運維規劃及選型
第3章 規劃：企業信息安全
工作思路
3．1 信息安全的本質
3．2 信息安全概念經緯線：從層次到屬性
3．3 業界信息安全專家定義的信息安全：信息安全四要素
3．4 企業信息安全的實施內容和依據（框架）
3．4．1 基本原則
3．4．2 傳統的企業信息安全架構
3．4．3 新的企業信息安全框架及其實施內涵
3．5 規劃企業Linux安全的實施內容
第4章 選型：企業Linux軟硬件選型及安裝部署
4．1 Linux應用套件選擇
4．1．1 Linux的歷史
4．1．2 與Linux相關的基本概念
4．1．3 Linux的主要特點
4．1．4 Linux的應用領域
4．1．5 常見的Linux發行套件
4．1．6 企業的選擇：FedoravsRedHatEnterpriseLinux
4．2 Linux內核版本選擇
4．3 Linux服務器選型
4．3．1 CPU（處理器）
4．3．2 RAM（內存）
4．3．3 處理器架構
4．3．4 服務器類型選型
4．4 Linux安裝及部署
4．4．1 注意事項
4．4．2 其他需求
4．5 大規模自動部署安裝Linux
4．5．1 PXE技術
4．5．2 搭建Yum源1174．5．3 安裝相關服務

第三篇 企業Linux安全運維實戰
第5章 高屋建瓴：“四步”完成企業Linux系統安全防護
5．1 分析：企業Linux系統安全威脅
5．2 理念：企業級Linux系統安全立體式防範體系
5．3 企業Linux文件系統安全防護
5．3．1 企業Linux文件系統的重要文件及
5．3．2 文件/訪問權限
5．3．3 字母文件權限設定法
5．3．4 數字文件權限設定法
5．3．5 特殊訪問模式及粘貼位的設定法
5．3．6 使用文件系統一致性檢查工具：Tripwire
5．3．7 根用戶安全管理
5．4 企業Linux進程安全防護
5．4．1 確定Linux下的重要進程
5．4．2 進程安全命令行管理方法
5．4．3 使用進程文件系統管理進程
5．4．4 管理中常用的PROC文件系統調用接口
5．5 企業Linux用戶安全管理
5．5．1 管理用戶及組文件安全
5．5．2 用戶密碼管理
5．6 企業Linux日誌安全管理
5．6．1 Linux下的日誌分類
5．6．2 使用基本命令進行日誌管理
5．6．3 使用syslog設備
5．7 應用LIDS進行Linux系統入侵檢測
5．7．1 LIDS簡介
5．7．2 安裝LIDS
5．7．3 配置和使用LIDS
第6章 錦上添花：企業Linux操作系統ACL應用及安全加固
6．1 安全加固必要性分析
6．2 加固第一步：使用ACL進行靈活訪問控制
6．2．1 傳統的用戶-用戶組-其他用戶（U-G-O）訪問控制機制回顧
6．2．2 擴展的訪問控制列表（ACL）方式
6．3 加固第二步：使用SELinux強制訪問控制
6．3．1 安全模型
6．3．2 SELinux：Linux安全增強機制原理
6．3．3 SELinux中的上下文（context）
6．3．4 SELinux中的目標策略（TargetedPolicy）
6．3．5 SELinux配置文件和策略介紹
6．3．6 使用SELinux的準備
6．3．7 SELinux中布爾（boolean）變量的使用
第7章 緊密布控：企業Web服務器安全防護
7．1 Web安全威脅分析及解決思路
7．2 Web服務器選型
7．2．1 HTTP基本原理
7．2．2 為何選擇Apache服務器
7．2．3 安裝Apache
7．3 安全配置Apache服務器
7．4 Web服務訪問控制
7．4．1 訪問控制常用配置指令
7．4．2 使用．htaccess文件進行訪問控制
7．5 使用認證和授權保護Apache
7．5．1 認證和授權指令
7．5．2 管理認證口令文件和認證組文件
7．5．3 認證和授權使用實例
7．6 使用Apache中的安全模塊
7．6．1 Apache服務器中安全相關模塊
7．6．2 開啟安全模塊
7．7 使用SSL保證Web通信安全
7．7．1 SSL簡介
7．7．2 Apache中運用SSL的基本原理
7．7．3 使用開源的OpenSSL保護Apache通信安全
7．8 Apache日誌管理和統計分析
7．8．1 日誌管理概述2567．8．2 與日誌相關的配置指令
7．8．3 日誌記錄等級和分類
7．8．4 使用Webalizer對Apache進行日誌統計和分析
7．9 其他有效的安全措施
7．9．1 使用專用的用戶運行Apache服務器
7．9．2 配置隱藏Apache服務器的版本號
7．9．3 設置虛擬和權限
7．9．4 使Web服務運行在“監牢”中
7．1 0Web系統安全架構防護要點
7．1 0．1 Web系統風險分析
7．1 0．2 方案的原則和思路
7．1 0．3 網絡拓撲及要點剖析
第8章 謹小慎微：企業基礎網絡服務防護
8．1 企業基礎網絡服務安全風險分析
8．1．1 企業域名服務安全風險分析
8．1．2 企業電子郵件服務安全風險分析
8．2 企業域名服務安全防護
8．2．1 正確配置DNS相關文件
8．2．2 使用Dlint工具進行DNS配置文件檢查
8．2．3 使用命令檢驗DNS功能
8．2．4 配置輔助域名服務器進行冗餘備份
8．2．5 配置高速緩存服務器緩解DNS訪問壓力
8．2．6 配置DNS負載均衡
8．2．7 限制名字服務器遞歸查詢功能
8．2．8 限制區傳送（zonetransfer）
8．2．9 限制查詢（query）
8．2．1 0分離DNS（splitDNS）
8．2．1 1隱藏BIND的版本信息
8．2．1 2使用非root權限運行BIND
8．2．1 3刪除DNS上不必要的其他服務
8．2．1 4合理配置DNS的查詢方式
8．2．1 5使用dnstop監控DNS流量
8．3 企業電子郵件服務安全防護
8．3．1 安全使用SendmailServer
8．3．2 安全使用Postfix電子郵件服務器
8．3．3 企業垃圾郵件防護
第9章 未雨綢繆：企業級數據防護
9．1 企業數據防護技術分析
9．2 數據加密技術原理
9．2．1 對稱加密、解密
9．2．2 非對稱加密、解密
9．2．3 公鑰結構的保密通信原理
9．2．4 公鑰結構的鑒別通信原理
9．2．5 公鑰結構的鑒別+保密通信原理
9．3 應用一：使用GnuPG進行應用數據加密
9．3．1 安裝GnuPG
9．3．2 GnuPG的基本命令
9．3．3 GnuPG的詳細使用方法
9．3．4 GnuPG使用實例
9．3．5 GnuPG使用中的注意事項
9．4 應用二：使用SSH加密數據傳輸通道
9．4．1 安裝最新版本的OpenSSH
9．4．2 配置OpenSSH
9．4．3 SSH的密鑰管理
9．4．4 使用scp命令遠程拷貝文件
9．4．5 使用SSH設置“加密通道”
9．5 應用三：使用OpenSSL進行應用層加密
9．6 數據防洩露技術原理及其應用
第10章 通道保障：企業移動通信數據防護
10．1 VPN使用需求分析
10．1．1 VPN簡介
10．1．2 VPN安全技術分析
10．2 Linux提供的VPN類型
10．2．1 IPSecVPN
10．2．2 PPPOverSSH
10．2．3 CIPE：CryptoIPEncapsulation
10．2．4 SSLVPN
10．2．5 PPPTD
10．3 使用OpenVPN構建SSLVPN
10．3．1 OpenVPN簡介
10．3．2 安裝OpenVPN
10．3．3 製作證書
10．3．4 配置服務端
10．3．5 配置客戶端
10．3．6 一個具體的配置實例
10．4 使用IPSecVPN
10．4．1 安裝ipsec-tools
10．4．2 配置IPSecVPN340第11章 運籌帷幄：企業Linux服務器遠程安全管理
11．1 遠程控制及管理的基本原理
11．1．1 遠程監控與管理原理
11．1．2 遠程監控與管理的主要應用範圍
11．1．3 遠程監控及管理的基本內容
11．2 使用Xmanager3．0實現Linux遠程登錄管理
11．2．1 配置Xmanager服務器端
11．2．2 配置Xmanager客戶端
11．3 使用VNC實現Linux遠程管理
11．3．1 VNC簡介
11．3．2 啟動VNC服務器
11．3．3 使用VNCViewer實現Linux遠程管理
11．3．4 使用SSH+VNC實現安全的Linux遠程桌面管理
第12章 舉重若輕：企業網絡流量安全管理
12．1 網絡流量管理簡介
12．1．1 流量識別
12．1．2 流量統計分析
12．1．3 流量限制
12．1．4 其他方面
12．2 需要管理的常見網絡流量35812．3 網絡流量捕捉：圖形化工具Wireshark
12．3．1 Wireshark簡介
12．3．2 層次化的數據包協議分析方法
12．3．3 基於插件技術的協議分析器
12．3．4 安裝Wireshark
12．3．5 使用Wireshark
12．4 網絡流量捕捉：命令行工具tcpdump
12．4．1 tcpdump簡介
12．4．2 安裝tcpdump
12．4．3 使用tcpdump
12．5 網絡流量分析――NTOP
12．5．1 NTOP介紹
12．5．2 安裝NTOP
12．5．3 使用NTOP
12．6 網絡流量限制――TC技術
12．6．1 TC（TrafficControl）技術原理
12．6．2 使用LinuxTC進行流量控制實例
12．7 網絡流量管理的策略
12．7．1 網絡流量管理的目標
12．7．2 網絡流量管理的具體策略
第13章 兵來將擋，水來土掩：企業級防火牆部署及應用
13．1 防火牆技術簡介
13．2 Netfilter/Iptables防火牆框架技術原理
13．2．1 Linux中的主要防火牆機制演進
13．2．2 Netfilter/Iptables架構簡介
13．2．3 Netfilter/Iptables模塊化工作架構
13．2．4 安裝和啟動Netfilter/Iptables系統
13．2．5 使用Iptables編寫防火牆規則
13．3 使用Iptables編寫規則的簡單應用
13．4 使用Iptables完成NAT功能
13．4．1 NAT簡介
13．4．2 NAT的原理
13．4．3 NAT的具體使用
13．5 防火牆與DMZ的配合使用
13．5．1 DMZ原理
13．5．2 構建DMZ
13．6 防火牆的實際安全部署建議
13．6．1 方案一：錯誤的防火牆部署方式
13．6．2 方案二：使用DMZ
13．6．3 方案三：使用DMZ+二路防火牆
13．6．4 方案四：通透式防火牆
第14章 銅牆鐵壁：企業立體式入侵檢測及防禦
14．1 入侵檢測技術簡介
14．2 網絡入侵檢測及防禦：Snort
14．2．1 安裝Snort
14．2．2 配置Snort
14．3 編寫Snort規則
14．3．1 規則動作
14．3．2 協議
14．3．3 IP地址
14．3．4 端口號
14．3．5 方向操作符（directionoperator）
14．3．6 activate/dynamic規則
14．3．7 Snort規則簡單應用舉例
14．3．8 Snort規則高級應用舉例
14．4 主機入侵檢測及防禦：LIDS
14．5 分布式入侵檢測：SnortCenter
14．5．1 分布式入侵檢測系統的構成
14．5．2 系統安裝及部署

第四篇 企業Linux安全監控
第15章 管中窺豹：企業Linux系統及性能監控
15．1 常用的性能監測工具
15．1．1 uptime
15．1．2 dmesg
15．1．3 top
15．1．4 iostat
15．1．5 vmstat
15．1．6 sar
15．1．7 KDESystemGuard
15．1．8 free
15．1．9 Traffic-vis
15．1．1 0pmap
15．1．1 1strace
15．1．1 2ulimit
15．1．1 3mpstat
15．2 CPU監控詳解
15．2．1 上下文切換
15．2．2 運行隊列
15．2．3 CPU利用率
15．2．4 使用vmstat工具進行監控
15．2．5 使用mpstat工具進行多處理器監控
15．2．6 CPU監控總結
15．3 內存監控詳解
15．3．1 VirtualMemory介紹
15．3．2 VirtualMemoryPages
15．3．3 KernelMemoryPaging
15．3．4 kswapd
15．3．5 使用vmstat進行內存監控
15．3．6 內存監控總結
15．4 I/O監控詳解
15．4．1 I/O監控介紹
15．4．2 讀和寫數據――內存頁
15．4．3 MajorandMinorPageFaults（主要頁錯誤和次要頁錯誤）
15．4．4 TheFileBufferCache（文件緩存區）
15．4．5 TypeofMemoryPages
15．4．6 WritingDataPagesBacktoDisk
15．4．7 監控I/O
15．4．8 CalculatingIO’sPerSecond（IOPS的計算）
15．4．9 RandomvsSequentialI/O（隨機/順序I/O）
15．4．1 0判斷虛擬內存對I/O的影響
15．4．1 1I/O監控總結
第16章 見微知著：企業級Linux網絡監控
16．1 Cacti網絡監控工具簡介
16．2 安裝和配置Cacti
16．2．1 安裝輔助工具
16．2．2 安裝Cacti
16．3 使用Cacti
16．3．1 Cacti界面介紹
16．3．2 創建監測點
16．3．3 查看監測點
16．3．4 為已有Host添加新的監控圖
16．3．5 合併多個數據源到一張圖上
16．3．6 使用Cacti插件
第17章 他山之石：發現企業網絡漏洞
17．1 發現企業網絡漏洞的大致思路
17．1．1 基本思路
17．1．2 採用網絡安全掃描
17．2 端口掃描
17．2．1 端口掃描技術的基本原理
17．2．2 端口掃描技術的主要種類
17．2．3 快速安裝Nmap
17．2．4 使用Nmap確定開放端口
17．3 漏洞掃描
17．3．1 漏洞掃描基本原理
17．3．2 選擇：網絡漏洞掃描與主機漏洞掃描
17．3．3 高效使用網絡漏洞掃描
17．3．4 快速安裝Nessus50317．3．5 使用Nessus掃描

第五篇 企業Linux安全運維命令、工具
第18章 終極挑戰：企業Linux內核構建
18．1 企業級Linux內核簡介
18．2 下載、安裝和預備內核源代碼
18．2．1 先決條件
18．2．2 下載源代碼
18．2．3 安裝源代碼
18．2．4 預備源代碼
18．3 源代碼配置和編譯Linux內核
18．3．1 標記內核
18．3．2．config：配置內核
18．3．3 定制內核
18．3．4 清理源代碼樹
18．3．5 複製配置文件
18．3．6 編譯內核映像文件和可加載模塊
18．3．7 使用可加載內核模塊
18．4 安裝內核、模塊和相關文件
18．5 Linux系統故障處理
18．5．1 修復文件系統
18．5．2 重新安裝MBR
18．5．3 當系統無法引導時
18．5．4 挽救已安裝的系統
第19章 神兵利器：企業Linux數據備份及安全工具
19．1 安全備份工具52219．1．1 Amanda
19．1．2 BackupPC
19．1．3 Bacula
19．1．4 Xtar
19．1．5 Taper
19．1．6 Arkeia
19．1．7 webCDcreator
19．1．8 GhostforLinux
19．1．9 NeroLINUX
19．1．1 0mkCDrec
19．2 Sudo：系統管理工具
19．3 NetCat：網絡安全界的瑞士軍刀
19．4 LSOF：隱蔽文件發現工具
19．5 Traceroute：路由追蹤工具
19．6 XProbe：操作系統識別工具
19．7 SATAN：系統弱點發現工具

附錄A 企業級Linux命令速查指南
A．1 文件系統管理命令
A．2 系統管理命令
A．3 系統設置命令
A．4 磁盤管理及維護命令
A．5 網絡命令
附錄B 網絡工具資源匯總