Linux安全：入侵防范、檢測和恢復

譯者序
序言
第1章 導言 
1.1 本書適合的讀者 
1.2 本書的組織結(jié)構(gòu) 
1.2.1 本書的約定 
1.2.2 背景 
1.3 需要防范的內(nèi)容 
1.4 誰是你的敵人 
1.5 他們想干什么 
1.6 保護與入侵的代價 
1.7 硬件保護 
1.8 對網(wǎng)絡(luò)和調(diào)制解調(diào)器的訪問進行保護 
1.9 對系統(tǒng)的訪問進行保護 
1.10 文件保護 
1.11 針對入侵的準備和檢測 
1.12 從入侵中恢復 
第一部分 保 護 系 統(tǒng)
第2章 常見問題的快速解決 
2.1 了解Linux安全性 
2.1.1 Linux系統(tǒng)的安全性 
2.1.2 攻擊路徑 
2.1.3 進入安全環(huán)
2.2 七種致命錯誤
2.2.1 脆弱的口令
2.2.2 開放網(wǎng)絡(luò)端口 
2.2.3 舊軟件版本 
2.2.4 很差的物理安全性 
2.2.5 不安全的CGI 
2.2.6 陳舊的和不必要的賬戶 
2.2.7 耽擱 
2.3 良好安全性的重點：口令 
2.4 先進的口令技術(shù) 
2.4.1 可以獲得很好的安全性的隱蔽的MD5口令 
2.4.2 口令的重復提示 
2.4.3 口令應該是成熟的嗎 
2.4.4 賬戶名 
2.5 防止系統(tǒng)中的用戶操作錯誤 
2.5.1 引入軟件的危險 
2.5.2 教育用戶 
2.6 限制訪問權(quán)限 
2.6.1 目錄與粘著位
2.6.2 找出權(quán)限問題
2.6.3 在啟動腳本中使用U掩碼 
2.7 初始系統(tǒng)安裝中的危險和干擾
2.8 限制不合理的訪問 
2.8.1 限制根用戶可以登錄的終端 
2.8.2 撥打完整序列的電話號碼 
2.8.3 停止對數(shù)據(jù)不受控制的訪問
2.8.4 限制服務器的接口 
2.9 防火墻和公司其他的防范措施 
2.9.1 停止終端在防火墻周圍運行 
2.9.2 開隧道通過防火墻 
2.9.3 更改內(nèi)核設(shè)置 
2.9.4 Egress過濾 
2.9.5 局域網(wǎng)隱患 
2.9.6 公司內(nèi)部的防火墻存在隱患 
2.10 關(guān)掉不必要的服務 
2.11 高安全性要求最小數(shù)量的服務 
2.12 不再使用有隱患的服務 
2.12.1 不要使用finger 
2.12.2 關(guān)掉rwhod 
2.12.3 關(guān)掉rwalld
2.12.4 關(guān)掉SNMP 
2.12.5 關(guān)掉NFS、mountd和portmap 
2.12.6 轉(zhuǎn)換NFS在TCP上運行 
2.12.7 關(guān)掉rsh、rcp、rlogin和rexec 
2.12.8 關(guān)掉fdmount 
2.12.9 關(guān)掉Echo和Chargen 
2.12.10 關(guān)掉talk和ntalk 
2.12.11 關(guān)掉TFTP 
2.12.12 關(guān)掉systat和netstat 
2.12.13 關(guān)掉內(nèi)部的inetd服務 
2.12.14 升級updatedb和locate
2.13 用新版本代替舊版本 
2.13.1 升級named程序 
2.13.2 升級2.2內(nèi)核 
2.13.3 升級sendmail
2.13.4 加強Sendmail來抵御DoS攻擊 
2.13.5 升級SSH 
2.13.6 升級WU-FTPD 
2.13.7 升級Netscape
2.13.8 禁止Web廣告 
2.13.9 升級mountd 
2.13.10 升級gpm 
2.13.11 升級imwheel 
2.13.12 升級OpenLDAP
2.13.13 修正OpenLDAP
2.13.14 修正innd 
2.13.15 Postgresql的脆弱之處 
2.14 把不同安全等級的服務分隔開 
第3章 簡單入侵方法及應對策略 
3.1 X系統(tǒng)的安全漏洞 
3.2 物理入侵 
3.2.1 從入侵者的軟盤或光盤啟動系統(tǒng) 
3.2.2 CMOS重新配置 
3.2.3 給CMOS加上密碼
3.2.4 防止未授權(quán)用戶使用單用戶模式 
3.2.5 防止用軟盤竊取信息 
3.2.6 防止Ctrl-Alt-Delete組合鍵的襲擊 
3.3 其他主題 
3.3.1 電纜調(diào)制解調(diào)器 
3.3.2 $PATH中“.”引發(fā)的問題 
3.3.3 阻塞IP源路由 
3.3.4 阻塞IP欺騙 
3.3.5 屏幕自動鎖定
3.3.6 /etc/mailcap
3.3.7 chattr程序和不可修改標志位 
3.3.8 安全刪除 
3.3.9 同步I/O 
3.3.10 用以增強安全性的mount參數(shù) 
3.3.11 使用SSH包裝UDP和TCP 
3.3.12 cat目錄與man命令 
3.3.13 用*limit限制資源使用 
3.3.14 公共界面下shell程序的歷史記錄 
3.3.15 理解地址解析協(xié)議 
3.3.16 防止ARP緩存中毒 
3.3.17 Shell轉(zhuǎn)義 
3.3.18 你自己的ISP 
3.3.19 終端探測程序
3.3.20 Star Office 
3.3.21 VMware 
3.4 終端設(shè)備攻擊 
3.4.1 功能鍵劫持 
3.4.2 組合鍵的脆弱之處 
3.4.3 xterm修改日志文件的脆弱之處 
3.5 磁盤探測 
3.5.1 真正擦除文件 
3.5.2 破壞在空閑數(shù)據(jù)塊上的舊的保密數(shù)據(jù) 
3.5.3 擦除整個磁盤上的數(shù)據(jù) 
3.5.4 破壞一個硬盤 
第4章 入侵子系統(tǒng)的一般方法 
4.1 NFS、mountd以及portmap 
4.2 Sendmail 
4.2.1 分離或多郵件服務器的附加安全性 
4.2.2 Sendmail基礎(chǔ)安全性 
4.2.3 Sendmail安全選項 
4.2.4 偽造郵件及新聞發(fā)送者地址 
4.2.5 垃圾郵件來自何處 
4.2.6 轉(zhuǎn)發(fā)垃圾郵件 
4.2.7 阻塞垃圾郵件 
4.2.8 抵制垃圾郵件的工具 
4.2.9 啟用控制中繼功能 
4.2.10 禁止公開郵遞列表
4.2.11 寫滿磁盤的Sendmail DoS 
4.3 Telnet 
4.4 FTP 
4.4.1 匿名FTP的配置 
4.4.2 FTP代理威脅 
4.5 rsh、rcp、rexec以及rlogin服務 
4.5.1 R*安全性 
4.5.2 R*的不安全性 
4.6 DNS 
4.6.1 限制由于升級Named所帶來的損害 
4.6.2 服務于人 
4.7 POP及IMAP服務器 
4.8 使用Samba 
4.8.1 Samba是否在系統(tǒng)上
4.8.2 Samba的卸載 
4.8.3 Samba配置文件 
4.8.4 文件smb.conf 
4.8.5 注意CIFS／SMB-Only的用戶 
4.9 防止使用Squid來覆蓋入侵痕跡
4.10 syslogd服務 
4.11 print服務 
4.12 ident服務 
4.13 INND與News
4.14 保護你的DNS注冊 
第5章 常見攻擊方法 
5.1 Rootkit攻擊 
5.2 報文欺騙 
5.2.1 為何UDP報文欺騙得以成功 
5.2.2 TCP順序號欺騙 
5.2.3 會話劫持 
5.3 SYN泛洪攻擊
5.4 阻止SYN泛洪攻擊 
5.5 阻止TCP順序號欺騙
5.6 報文風暴、Smurf攻擊和Fraggles 
5.6.1 避免成為放大器 
5.6.2 阻止報文風暴攻擊
5.6.3 Cisco路由器
5.6.4 DDoS攻擊：被抵消的網(wǎng)絡(luò)資源 
5.7 緩沖區(qū)溢出或使用get()標記內(nèi)存
5.8 欺騙技術(shù) 
5.8.1 郵件欺騙
5.8.2 MAC攻擊 
5.8.3 中毒的ARP緩存 
5.8.4 中毒的DNS緩存 
5.9 中間人攻擊 
第6章 高級安全問題 
6.1 配置具有更高安全性的Netscape 
6.1.1 Netscape的重要屬性 
6.1.2 獲取自己的cookie 
6.1.3 系統(tǒng)用戶的Netscape首選 
6.1.4 Netscape個人安全管理器 
6.1.5 Netscape Java的安全性 
6.2 終止對I/O設(shè)備的訪問 
6.2.1 為何/dev/tty的模式設(shè)為666 
6.2.2 虛擬控制臺緩沖區(qū)的脆弱之處
6.2.3 可加密的磁盤驅(qū)動程序 
6.3 跟蹤Apache安全問題 
6.3.1 所有權(quán)和權(quán)限 
6.3.2 SSI 
6.3.3 ScriptAllias 
6.3.4 防止用戶改變系統(tǒng)設(shè)置 
6.3.5 控制Apache可以訪問的目錄 
6.3.6 控制Apache可以訪問的文件擴展 
6.3.7 雜項 
6.3.8 數(shù)據(jù)庫泄漏 
6.3.9 拒絕不受歡迎的主機 
6.3.10 到站點的鏈接 
6.4 Web服務器使用的幾種特殊技術(shù) 
6.4.1 將多個服務互相隔離 
6.4.2 切勿信任CGI 
6.4.3 隱藏的表單變量與被破壞的Cookie 
6.4.4 保護職員的個人信息 
6.4.5 禁止Robot 
6.4.6 危險的CGI程序 
6.4.7 利用CGI Query程序的漏洞進行攻擊 
6.4.8 轉(zhuǎn)換十六進制編碼的URL 
6.4.9 利用CGI Counterfiglet程序進行的攻擊 
6.4.10 利用CGI phf程序進行的攻擊 
6.4.11 CGI腳本和程序 
6.4.12 強制URL封鎖 
6.4.13 探測被毀損的Web頁 
6.5 安全的信用卡數(shù)據(jù)單向傳輸 
6.6 強化系統(tǒng)安全性 
6.7 限制登錄地點及次數(shù) 
6.8 一些隱秘但致命的安全問題 
6.8.1 防范緩沖區(qū)溢出攻擊 
6.8.2 防范chroot()攻擊 
6.8.3 符號鏈接攻擊 
6.8.4 lost+found=全部問題 
6.8.5 rm -r 競爭 
6.9 防止登錄模擬器攻擊 
6.9.1 更新/etc/issue 
6.9.2 彌補/bin/login 
6.9.3 內(nèi)核支持 
6.10 使用Libsafe防止緩沖區(qū)溢出 
第7章 創(chuàng)建安全策略 
7.1 通用策略 
7.2 個人使用策略 
7.3 賬戶策略 
7.4 電子郵件策略 
7.5 Web服務器策略
7.6 文件服務器和數(shù)據(jù)庫策略 
7.7 防火墻策略 
7.8 桌面策略 
7.9 便攜式電腦策略 
7.10 報廢策略 
7.11 網(wǎng)絡(luò)拓撲策略 
7.12 問題報告策略 
7.13 所有權(quán)策略 
7.14 選擇策略的策略 
第8章 對其他機器的信任機制 
8.1 安全系統(tǒng)與不安全系統(tǒng) 
8.2 控制下的Linux系統(tǒng)和UNIX系統(tǒng) 
8.3 控制主機 
8.4 Windows的安全特征 
8.5 防火墻的脆弱之處 
8.6 虛擬專用網(wǎng)絡(luò) 
8.7 病毒與Linux
 
第9章 分段入侵 
9.1 Mission Impossible技術(shù) 
9.2 間諜 
9.3 瘋狂攻擊和自殺性攻擊 
第10章 案例分析 
10.1 Berkeley 防御系統(tǒng)的漏洞 
10.2 這個領(lǐng)域中的佼佼者 
10.3 Ken Thompson對海軍的攻擊 
10.4 虛擬機特洛伊木馬 
10.5 AOL的DNS更改失敗 
10.6 “我是無辜的” 
10.7 用筆記本電腦和付費電話進行攻擊 
10.8 從巨額數(shù)目中盜竊幾美分 
第11章 最新的入侵方法 
11.1 分段攻擊 
11.2 死亡性Ping 
11.3 秘密掃描 
11.4 電纜調(diào)制解調(diào)器：一個黑客的夢 
11.5 用Sendmail來阻止電子郵件攻擊 
11.6 Sendmail賬戶猜想 
11.7 神秘的ingreslock 
11.8 你正在被跟蹤 
11.8.1 Pentium Ⅲ 序列號 
11.8.2 Microsoft的GUID允許監(jiān)視 
11.9 分布式拒絕服務攻擊 
11.10 隱藏的特洛伊木馬程序 
11.10.1 為什么要用ICMP回應報文及如何回應 
11.10.2 特洛伊木馬將來的方向 
11.10.3 混雜模式內(nèi)核消息 
11.11 經(jīng)過TCP 98端口的Linuxconf 
11.12 惡意的HTML標志和腳本 
11.13 syslog（）的格式問題 
第二部分 入侵防范準備
第12章 加固系統(tǒng) 
12.1 用SSH保護用戶會話 
12.1.1 編譯SSH2 
12.1.2 配置SSH 
12.1.3 使用SSH 
12.1.4 用SSH包裝X 
12.1.5 使用SSH、PPP和Perl的VPN 
12.1.6 使用sftp 
12.1.7 使用scp 
12.1.8 用SSH封裝其他基于TCP的服務 
12.1.9 使用FreeS/WAN IPSec建立VPN 
12.1.10 SSH不能防范的脆弱之處 
12.2 PGP 
12.3 FSF的PGP替代軟件 
12.3.1 下載 
12.3.2 編譯 
12.3.3 工作原理 
12.3.4 生成密鑰 
12.3.5 交換密鑰 
12.3.6 傳播你的公開密鑰 
12.3.7 簽名文件 
12.3.8 郵件的加密和簽名 
12.3.9 加密的備份和其他過濾器 
12.3.10 非常高的GPG安全性 
12.4 使用IP Chain和DMZ的防火墻 
12.4.1 IP Chain不能做什么 
12.4.2 IP Chain基礎(chǔ) 
12.4.3 IP Chain命令 
12.4.4 啟動一個防火墻腳本 
12.4.5 防火墻的基本用法 
12.4.6 阻塞外部惡意入侵 
12.4.7 IP偽裝 
12.4.8 創(chuàng)建DMZ
12.4.9 有狀態(tài)的防火墻 
12.4.10 SSH危險 
12.4.11 加密的郵件訪問 
第13章 硬件準備 
13.1 時間就是一切 
13.2 高級準備 
13.3 切換到輔助控制 
13.3.1 哪個系統(tǒng)應該具有備份系統(tǒng) 
13.3.2 兩類備份系統(tǒng) 
13.3.3 安全備份系統(tǒng)設(shè)計 
13.3.4 保持安全備份系統(tǒng)處于就緒狀態(tài) 
13.3.5 檢查高速緩存 
13.3.6 最好準備一個空閑的硬盤 
第14章 配置準備 
14.1 TCP Wrapper 
14.1.1 TCP Wrapper的使用 
14.1.2 TCP Wrapper的高級使用 
14.2 自適應TCP Wrapper 
14.3 Cracker Trap 
14.3.1 /etc/service文件 
14.3.2 /etc/inetd.conf文件 
14.3.3 /etc/hosts.allow文件
14.4 用內(nèi)核模式終止黑客服務器 
14.5 應急訓練 
14.5.1 飛機失事演習 
14.5.2 這只是一次測試
14.5.3 危險和預防 
14.5.4 計劃好進行哪些演習 
14.5.5 測試系統(tǒng) 
14.5.6 安全的特洛伊木馬 
14.5.7 程序的大小很重要 
14.5.8 引起更多的麻煩 
14.6 用Tiger team侵入你自己的系統(tǒng) 
第15章 掃描系統(tǒng) 
15.1 Nessus安全掃描程序 
15.2 SARA和SAINT安全審計程序 
15.3 nmap網(wǎng)絡(luò)映射程序 
15.4 Snort攻擊檢測程序
15.5 用SHADOW進行掃描和分析 
15.6 John the Ripper 
15.7 保存RPM數(shù)據(jù)庫校驗和 
第三部分 入 侵 檢 測
第16章 行為監(jiān)視 
16.1 日志文件 
16.2 如何利用日志文件 
16.3 當有人攻擊系統(tǒng)時呼叫系統(tǒng)管理員 
16.4 一個自動呼叫的例子 
16.5 使用你的自動呼叫的例子 
16.6 呼叫telnet和rsh的使用 
16.7 監(jiān)視端口的使用 
16.8 使用tcpdump監(jiān)視你的局域網(wǎng) 
16.8.1 編譯tcpdump 
16.8.2 使用tcpdump 
16.9 用欺騙工具包監(jiān)視掃描程序 
16.10 監(jiān)視進程 
16.11 使用cron來提防黑客 
16.12 Caller ID 
第17章 掃描系統(tǒng)查找異常 
17.1 找出可疑的文件 
17.1.1 分析可疑的文件
17.1.2 定期地比較文件內(nèi)容 
17.2 Tripwire 
17.2.1 安裝Tripwire 
17.2.2 使用Tripwire 
17.2.3 Tripwire不能保護什么 
17.2.4 Tripwire的替代程序 
17.3 檢測刪除的可執(zhí)行文件 
17.4 檢測混雜模式的網(wǎng)絡(luò)接口卡 
17.5 找出混雜的進程 
17.6 自動檢測被涂改的Web頁面 
第四部分 入 侵 恢 復
第18章 重新獲得對系統(tǒng)的控制 
18.1 找到黑客運行的進程 
18.2 處理運行著的黑客進程
18.3 斷開調(diào)制解調(diào)器、網(wǎng)絡(luò)、打印機和系統(tǒng) 
第19章 找出并修復損害 
19.1 檢查/var/log日志 
19.2 syslogd和klogd守護進程 
19.3 遠程記錄 
19.4 解釋日志文件項 
19.4.1 lastlog 
19.4.2 messages
19.4.3 syslog 
19.4.4 kernlog
19.4.5 cron 
19.4.6 xferlog 
19.4.7 daemon 
19.4.8 mail 
19.5 檢查其他日志 
19.6 檢查TCP Wrapper 
19.7 文件系統(tǒng)被怎樣破壞 
19.8 植入假的數(shù)據(jù) 
19.9 修改了的監(jiān)視程序 
19.10 什么都不可信該怎么辦 
19.11 重新獲得控制 
19.12 找到黑客修改的文件 
19.12.1 解釋tar -d的輸出 
19.12.2 用RPM加速檢查 
19.12.3 RPM修復 
19.12.4 恢復數(shù)據(jù)庫 
19.12.5 外設(shè)損害 
19.12.6 通過惡意電子郵件偷竊 
19.12.7 內(nèi)核會被怎樣破壞 
19.13 封鎖攻擊 
19.14 找到set-UID程序 
19.15 找到mstream特洛伊木馬 
第20章 找出黑客的系統(tǒng) 
20.1 用nslookup跟蹤數(shù)字IP地址 
20.2 用dig跟蹤數(shù)字IP地址 
20.3 查找.com擁有者 
20.4 從IP地址直接找到黑客 
20.5 查找.gov系統(tǒng) 
20.6 使用ping 
20.7 使用traceroute 
20.8 鄰近系統(tǒng)的結(jié)果 
20.9 最近一次對黑客的國際追蹤 
20.10 確信你找到了攻擊者 
20.11 其他系統(tǒng)管理員：他們關(guān)心嗎 
第21章 懲罰黑客 
21.1 警察會有多大幫助 
21.1.1 FBI 
21.1.2 美國秘密服務 
21.1.3 其他聯(lián)邦機構(gòu) 
21.1.4 州立機構(gòu) 
21.1.5 本地警察 
21.1.6 準備你的案子 
21.1.7 跟蹤被盜的數(shù)據(jù)
21.1.8 關(guān)心證據(jù) 
21.2 起訴 
21.3 允許非法行為的ISP要負的責任 
21.4 反擊 
21.4.1 法律問題 
21.4.2 大量垃圾郵件攻擊 
21.4.3 死亡性ping 
21.4.4 惡意的Java Applet 
21.4.5 雇傭打手 
第五部分 附 錄
附錄A 有關(guān)安全技術(shù)的最新網(wǎng)上資源 
附錄B 其他參考資源 
附錄C 網(wǎng)絡(luò)服務和端口
附錄D PORTS.C程序清單
附錄E BLOCKIP.CSH程序清單 
附錄F FPROMISC.CSH程序清單
附錄G OVERWRITE.C程序清單 
附錄H 危險等級 
附錄I 本書附帶光盤的內(nèi)容 
附錄J 術(shù)語表