LINUX系统安全：纵深防御、安全扫描与入侵检测 第2版

（1）作者经验丰富：资深运维专家、Linux系统专家和安全技术专家，有近20年Linux系统运维和安全经验，在业界颇具威望和影响力。
（2）公认优秀著作：Linux系统安全领域公认的优秀著作，第1版在传统电商平台零差评，Linux开发工程师、运维工程师、系统工程师人手一册。
（3）畅销书大升级：第1版时IT领域的畅销书，累计印刷近10次，第2版在第1版的基础上做了大幅更新和升级。
（4）多位专家推荐：来自腾讯、杭州银行、叮咚买菜等知名企业的多位专家高度评价并推荐。

内容简介
这是一部从技术原理、工程实践两个方面系统、深入讲解Linux系统安全的著作，得到了来自腾讯、杭州银行、叮咚买菜等知名企业的多位行业专家的高度评价。本书从纵深防御、安全扫描、入侵检测3个维度细致讲解了如何构建一个铜墙铁壁般的Linux防护体系，不仅包含大量工程实践案例，而且对各种的核心知识点绘制了方便记忆的思维导图。
全书共15章：
第1章介绍了安全的概念和保障安全的主要原则，引申出“纵深防御”理念。
第2~9章对Linux系统的纵深防御做了全面、深入的讲解，分别从网络层面、操作系统层面、应用层面对Linux系统进行安全防护，以及如何在保障业务连续性的前提下做好数据备份和恢复，防止数据丢失或被篡改。
第10章介绍了nmap、masscan等扫描工具的原理与使用，以及各种开源和商业Web漏洞扫描工具的原理和使用。
第11~13章重点讲解了Linux系统的入侵检测，涉及Linux Rootkit、病毒木马检查、日志与审计等主题。
第14章介绍了利用威胁情报追踪最新攻击趋势、确定攻击事件性质的方法。
第15章首先概要性地介绍了网络安全相关法律和网络安全等级保护制度的背景与联系，然后基于网络安全等级保护制度的要求，介绍了对Linux系统进行安全加固的具体方案。

目　　录　Contents<br />前言<br />第1章　Linux系统安全概述1<br />1.1　什么是安全2<br />1.1.1　什么是信息安全2<br />1.1.2　信息安全的木桶原理4<br />1.1.3　Linux系统安全与信息安全的<br />　　 　关系4<br />1.2　威胁分析模型5<br />1.2.1　STRIDE模型5<br />1.2.2　常见的安全威胁来源5<br />1.3　安全的原则7<br />1.3.1　纵深防御7<br />1.3.2　运用PDCA模型8<br />1.3.3　最小权限法则10<br />1.3.4　白名单机制10<br />1.3.5　安全地失败11<br />1.3.6　避免通过隐藏来实现安全11<br />1.3.7　入侵检测12<br />1.3.8　不要信任基础设施12<br />1.3.9　不要信任服务13<br />1.3.10　交付时保证默认情况下的<br />　　 　　 设置是安全的13<br />1.4　组织和管理的因素13<br />1.4.1　加强安全意识培训13<br />1.4.2　特别注意弱密码问题15<br />1.4.3　明令禁止使用破解版软件15<br />1.4.4　搭建合理的安全组织架构16<br />1.5　本章小结16<br />第2章　Linux网络防火墙18<br />2.1　网络防火墙概述18<br />2.2　利用iptables构建网络防火墙20<br />2.2.1　理解iptables的表和链20<br />2.2.2　实际生产中的iptables脚本编写22<br />2.2.3　使用iptables进行网络地址转换23<br />2.2.4　禁用iptables的连接追踪25<br />2.3　利用Cisco防火墙设置访问控制29<br />2.4　利用TCP Wrappers构建应用访问<br />　　　控制列表30<br />2.5　利用DenyHosts防止暴力破解31<br />2.6　在公有云上实施网络安全防护33<br />2.6.1　减少公网暴露的云服务器数量33<br />2.6.2　使用网络安全组防护34<br />2.7　使用堡垒机提高系统访问的<br />　　　安全性35<br />2.7.1　开源堡垒机概述37<br />2.7.2　商业堡垒机概述39<br />2.8　分布式拒绝服务攻击的防护措施39<br />2.8.1　直接式分布式拒绝服务攻击40<br />2.8.2　反射式分布式拒绝服务攻击41<br />2.8.3　防御的思路42<br />2.9　对局域网中ARP欺骗攻击的防御42<br />2.10　本章小结43<br />第3章　虚拟专用网络45<br />3.1　常用的虚拟专用网络构建技术46<br />3.1.1　PPTP虚拟专用网络的原理46<br />3.1.2　IPSec虚拟专用网络的原理46<br />3.1.3　SSL/TLS虚拟专用网络的原理47<br />3.2　深入理解OpenVPN的特性47<br />3.3　使用OpenVPN构建点到点的虚拟<br />　　　专用网络48<br />3.4　使用OpenVPN构建远程访问的<br />　　　虚拟专用网络52<br />3.5　使用OpenVPN构建站点到站点的<br />　　　虚拟专用网络60<br />3.6　回收OpenVPN客户端的证书62<br />3.7　使用OpenVPN提供的各种脚本<br />　　　功能62<br />3.8　OpenVPN的排错步骤64<br />3.9　本章小结67<br />第4章　网络流量分析工具69<br />4.1　理解tcpdump的工作原理70<br />4.1.1　tcpdump的实现机制70<br />4.1.2　tcpdump与iptables的关系71<br />4.1.3　tcpdump的简要安装步骤71<br />4.1.4　tcpdump的常用参数72<br />4.1.5　tcpdump的过滤器73<br />4.2　使用RawCap抓取回环端口的数据73<br />4.3　熟悉Wireshark的最佳配置项74<br />4.3.1　Wireshark安装过程中的注意<br />　　　事项74<br />4.3.2　Wireshark的关键配置项75<br />4.3.3　使用追踪数据流功能77<br />4.4　使用libpcap进行自动化分析78<br />4.5　案例1：定位非正常发包问题79<br />4.6　案例2：分析运营商劫持问题82<br />4.6.1　中小运营商的网络现状82<br />4.6.2　基于下载文件的缓存劫持83<br />4.6.3　基于页面的iframe广告嵌入<br />　　　　　　 劫持86<br />4.6.4　基于伪造DNS响应的劫持87<br />4.6.5　网卡混杂模式与Raw Socket<br />　　　　　　 技术87<br />4.7　本章小结90<br />第5章　Linux用户管理92<br />5.1　用户管理的重要性92<br />5.2　用户管理的基本操作94<br />5.2.1　增加用户94<br />5.2.2　为用户设置密码95<br />5.2.3　删除用户95<br />5.2.4　修改用户属性96<br />5.3　存储用户信息的关键文件详解96<br />5.3.1　passwd文件说明96<br />5.3.2　shadow文件说明97<br />5.4　用户密码管理98<br />5.4.1　密码复杂度设置98<br />5.4.2　生成复杂密码的方法99<br />5.4.3　弱密码检查方法101<br />5.5　用户特权管理103<br />5.5.1　限定可以使用su的用户103<br />5.5.2　安全地配置sudo103<br />5.6　关键环境变量和日志管理104<br />5.6.1　关键环境变量设置为只读104<br />5.6.2　记录日志执行时间戳104<br />5.7　本章小结105<br />第6章　Linux软件包管理107<br />6.1　RPM概述107<br />6.2　使用RPM安装和移除软件包108<br />6.2.1　使用RPM安装和升级软件包108<br />6.2.2　使用RPM移除软件包109<br />6.3　获取软件包的信息109<br />6.3.1　列出系统中已安装的所有<br />　　　　　　 RPM包110<br />6.3.2　软件包的详细信息查询110<br />6.3.3　查询哪个软件包含指定文件111<br />6.3.4　列出软件包中的所有文件111<br />6.3.5　列出软件包中的配置文件111<br />6.3.6　解压软件包内容111<br />6.3.7　检查文件完整性112<br />6.4　Yum及Yum源的安全管理113<br />6.4.1　Yum概述113<br />6.4.2　Yum源的安全管理114<br />6.5　自启动服务管理114<br />6.6　本章小结115<br />第7章　Linux文件系统管理117<br />7.1　Linux文件系统概述117<br />7.1.1　Inode118<br />7.1.2　文件的权限119<br />7.2　SUID和SGID可执行文件119<br />7.2.1　SUID和SGID可执行文件<br />　　　概述119<br />7.2.2　使用sXid监控SUID和SGID<br />　　　文件变化120<br />7.3　Linux文件系统管理的常用工具121<br />7.3.1　使用chattr对关键文件加锁121<br />7.3.2　使用extundelete恢复已删除<br />　　　文件122<br />7.3.3　使用srm和dd安全擦除敏感<br />　　　文件124<br />7.4　案例：使用Python编写敏感文件<br />　 　扫描程序124<br />7.5　本章小结126<br />第8章　Linux应用安全127<br />8.1　简化的网站架构和数据流向127<br />8.2　主要网站漏洞解析128<br />8.2.1　注入漏洞129<br />8.2.2　跨站脚本漏洞130<br />8.2.3　信息泄露131<br />8.2.4　文件解析漏洞132<br />8.3　Apache安全133<br />8.3.1　使用HTTPS加密网站134<br />8.3.2　使用ModSecurity加固Web135<br />8.3.3　关注Apache漏洞情报138<br />8.4　Nginx安全138<br />8.4.1　使用HTTPS加密网站138<br />8.4.2　使用NAXSI加固Web138<br />8.4.3　关注Nginx漏洞情报140<br />8.5　PHP安全140<br />8.5.1　PHP配置的安全选项140<br />8.5.2　PHP开发框架的安全141<br />8.6　Tomcat安全142<br />8.7　Memcached安全144<br />8.8　Redis安全144<br />8.9　MySQL安全145<br />8.10　使用公有云上的WAF服务146<br />8.11　本章小结146<br />第9章　Linux数据备份与恢复148<br />9.1　数据备份和恢复中的关键指标149<br />9.2　Linux下的定时任务150<br />9.2.1　本地定时任务150<br />9.2.2　分布式定时任务系统151<br />9.3　备份存储方式的选择152<br />9.3.1　本地备份存储153<br />9.3.2　远程备份存储153<br />9.3.3　离线备份存储154<br />9.4　数据备份155<br />9.4.1　文件备份155<br />9.4.2　数据库备份156<br />9.5　备份加密157<br />9.6　数据库恢复158<br />9.7　案例：生产环境中的大规模备份<br />　 　系统159<br />9.8　本章小结160<br />第10章　Linux安全扫描工具162<br />10.1　需要重点关注的敏感端口列表162<br />10.2　扫描工具nmap164<br />10.2.1　使用源码安装nmap164<br />10.2.2　使用nmap进行主机发现165<br />10.2.3　使用nmap进行TCP端口<br />　　　　扫描166<br />10.2.4　使用nmap进行UDP端口<br />　　　　扫描167<br />10.2.5　使用nmap识别应用168<br />10.3　扫描工具masscan168<br />10.3.1　masscan安装168<br />10.3.2　masscan用法示例169<br />10.3.3　联合使用masscan和nmap169<br />10.4　开源Web漏洞扫描工具170<br />10.4.1　Nikto2170<br />10.4.2　OpenVAS171<br />10.4.3　SQLMap173<br />10.5　商业Web漏洞扫描工具173<br />10.5.1　Nessus173<br />10.5.2　AWVS175<br />10.6　渗透测试176<br />10.6.1　定义与目的176<br />10.6.2　渗透测试的特点177<br />10.6.3　渗透测试的主要方法177<br />10.6.4　渗透测试的流程177<br />10.6.5　渗透测试的重要性178<br />10.7　本章小结178<br />第11章　入侵检测系统180<br />11.1　IDS与IPS180<br />11.2　开源HIDS OSSEC部署实践181<br />11.3　商业主机入侵检测系统190<br />11.3.1　青藤云安全190<br />11.3.2　安全狗191<br />11.3.3　安骑士192<br />11.4　Linux Prelink对文件完整性检查的<br />　　　影响192<br />11.5　利用Kippo搭建SSH蜜罐193<br />11.5.1　Kippo概述194<br />11.5.2　Kippo安装195<br />11.5.3　Kippo捕获入侵案例分析195<br />11.6　本章小结197<br />第12章　Linux Rootkit与病毒木马<br />　　　 　检查198<br />12.1　Rootkit分类和原理198<br />12.2　可加载内核模块200<br />12.3　利用Chkrootkit检查Rootkit200<br />12.3.1　Chkrootkit安装201<br />12.3.2　Chkrootkit执行201<br />12.4　利用Rkhunter检查Rootkit202<br />12.4.1　Rkhunter安装202<br />12.4.2　Rkhunter执行202<br />12.5　利用ClamAV扫描病毒木马203<br />12.6　可疑文件的在线病毒木马<br />　　　　检查204<br />12.6.1　VirusTotal205<br />12.6.2　VirSCAN205<br />12.6.3　Jotti206<br />12.7　Webshell检测206<br />12.7.1　D盾207<br />12.7.2　LMD检查Webshell207<br />12.8　本章小结208<br />第13章　日志与审计210<br />13.1　搭建远程日志收集系统210<br />13.1.1　syslog-ng服务端搭建211<br />13.1.2　rsyslog/syslog客户端配置212<br />13.2　利用Audit审计系统行为212<br />13.2.1　审计目标212<br />13.2.2　组件213<br />13.2.3　安装213<br />13.2.4　配置213<br />13.2.5　转换系统调用215<br />13.2.6　审计Linux的进程215<br />13.2.7　按照用户来审计文件访问216<br />13.3　利用unhide审计隐藏进程216<br />13.4　利用lsof审计进程打开文件217<br />13.5　利用netstat审计网络连接218<br />13.6　利用McAfee审计MySQL<br />　　　数据库218<br />13.6.1　McAfee审计插件安装220<br />13.6.2　McAfee审计插件配置220<br />13.7　本章小结220<br />第14章　威胁情报222<br />14.1　威胁情报概述222<br />14.2　主流威胁情报223<br />14.2.1　微步在线威胁情报社区223<br />14.2.2　360威胁情报中心225<br />14.2.3　IBM威胁情报中心227<br />14.3　利用威胁情报提高攻击检测与<br />　　　防御能力227<br />14.4　本章小结228<br />第15章　网络安全等级保护制度<br />　　　　与Linux系统安全229<br />15.1　《网络安全法》与网络安全等级<br />　　　保护概述229<br />15.1.1　《网络安全法》的立法背景与<br />　　　核心内容230<br />15.1.2　网络安全等级保护制度的<br />　　　　建立与实施230<br />15.1.3　《网络安全法》与网络安全<br />　　　　等级保护制度相互促进230<br />15.1.4　违反《网络安全法》和网络<br />　　　　安全等级保护制度的处罚<br />　　　　案例231<br />15.2　基于网络安全等级保护制度的<br />　　　　要求对Linux系统进行安全<br />　　　　加固232<br />15.2.1　基于《等保基本要求》中<br />　　　　“8.1.4.1身份鉴别”的要求<br />　　　　对Linux系统进行安全加固232<br />15.2.2　基于《等保基本要求》中<br />　　　　“8.1.4.2访问控制”的要求<br />　　　　对Linux系统进行安全加固237<br />15.2.3　基于《等保基本要求》中<br />　　　　“8.1.4.3安全审计”的要求<br />　　　　对Linux系统进行安全加固246<br />15.2.4　基于《等保基本要求》中<br />　　　　“8.1.4.4入侵防范”的要求<br />　　　　对Linux系统进行安全加固252<br />15.2.5　基于《等保基本要求》中<br />　　　　“8.1.4.5恶意代码防范”的要求<br />　　　　对Linux系统进行安全加固261<br />15.2.6　基于《等保基本要求》中<br />　　　　“8.1.4.6可信验证”的要求<br />　　　　对Linux系统进行安全加固263<br />15.2.7　基于《等保基本要求》中<br />　　　　“8.1.4.7数据完整性”的要求<br />　　　　对Linux系统进行安全加固264<br />15.2.8　基于《等保基本要求》中<br />　　　　“8.1.4.8数据保密性”的要求<br />　　　　对Linux系统进行安全加固268<br />15.2.9　基于《等保基本要求》中<br />　　　　“8.1.4.9数据备份恢复”的<br />　　　　要求对Linux系统进行安全<br />　　　　加固271<br />15.2.10　基于《等保基本要求》中<br />　　　　“8.1.4.10剩余信息保护”的<br />　　　　要求对Linux系统进行安全<br />　　　　加固275<br />15.2.11　基于《等保基本要求》中<br />　　　　“8.1.4.11个人信息保护”的<br />　　　　要求对Linux系统进行安全<br />　　　　加固277<br />15.3　本章小结279<br />附录A　网站安全开发的原则281<br />附录B　Linux系统被入侵后的<br />　　　　排查过程295