内 容 简 介
全书共14章,结合几十个经典案例,所讲解的内容无不来源于大中型企业生产一线的实践性总结。其中主要介绍了Web系统集成方法、漏洞测试方法和LAMP安全配置;配置OpenLDAP实现Linux下的应用统一认证;配置Postfix大型邮件系统;Oracle RAC数据库集群的配置与管理;Heartbeat、WebLogic和OSCAR高可用集群的搭建;VSFTP和ProFTP的整合管理;Snort在企业中的部署与管理;配置Xen和VMware的企业虚拟化应用;Linux系统和服务的安全防护策略和入侵案例分析;Nagios的安装和高级配置以及OSSIM配置和综合应用分析;Linux内核加固、iptables防火墙在企业中高级应用;利用Rsync进行数据自动化备份以及NetBackup安装配置与Oracle备份实例等。
本书适合Linux系统管理员、网络工程师、系统集成工程师使用,也适合作为大专院校计算机专业师生的参考书。
前 言
随着我国信息化的深入发展,基于Linux特有的高可靠性、高稳定性和高安全性等特点,多数企业已将Linux操作系统从原来的边缘应用向企业关键业务应用转移。由于Linux平台几乎拥有所有企业信息建设需要的软件,能够轻松且廉价地搭建起企业应用服务,因而Linux开始替代商业的UNIX和Windows平台,成为企业建设信息化的重要选择。另外出于建设成本等因素考虑,一些机构也将UNIX平台的高端应用向基于Linux的服务器平台移植。目前,Linux操作系统已成为仅次于Windows的操作系统。
如何搭建基于Linux服务器的网络应用方案,成为企业网络管理人员需要考虑的一个重要问题。记得我的一位中学数学老师在回答如何学好数学时说过的一句话,“要想学好数学就要多做题,做题时公式不记得就查书,不怕不记得公式,做的题目多了自然就记住了。”在创作本书的时候也是以“理论够用、实践第一”为原则,也就是先做题后讲公式,这样通过几个实验下来,读者的印象也会十分深刻。全书共14章,每章都有若干个经典案例,每个案例不仅对事件过程进行了讲解,对一些重点命令和知识点分别进行了深入浅出的讲解。这种写作方式既不流俗于理论讲解,也不局限于命令的堆积,采用基本概念和实际案例的操作过程相结合,对于关键环节也做出了必要说明,可以照顾到一些Linux基础薄弱的读者对案例的学习和消化。本书中所有案例都经上机实验,每个案例讲解力求通俗易懂,语言阐述力求深入浅出,让读者通过读、看、练从而达到具备真正的动手能力。本书上市仅半年后登上了当当操作系统类图书畅销榜,在当当、京东及豆瓣网广获IT同行们肯定,好评率达到98%。
第二版特色
本书在出版当年就获得了不错的销量,从出版社获悉打算再次出版,因此开始对第一版做出了改版计划,对第一版内容进行优化组合,删减了几个不常用案例(包括第8章的Wine实战之Linux用网银、常见问题速查以及制作自己的LiveCD的内容)。增加了140页新内容,第1章新增了构建大型网站方法、基于开源WAF的使用方法、Web漏洞扫描工具的使用、基于PHP的SQL注入防范措施、SQL注入漏洞检测方法、BindView实现网通电信互访等内容;第2章新增了利用LDAP实现Windows和Linux平台统一认证的内容;第3~5章修改了一些错别字。
第6章增加了Vsftp服务器配置技巧的内容;第七章增加了分析snort规则,以及服务器被入侵后管理员最应做的5件事的内容;第10章增加了安装远程管理工具webmin和phpmyadmin,为ossim增加gnome,分布式部署(vpn连接)、Ossim插件配置管理包括如何创建并启用新插件,收集防火墙日志的方法、手机CheckPoint日志的方法,收集squid日志方法,如何解决日志中包含中文的处理方法,如何通过开源软件对Ossim进行压力测试内容;第11章增加了Iptables过滤实例,包括过滤网站过滤特殊字段等内容,在最后还增加了13章内核安全加固案例和第14章远程连接的数个经典案例。
实验平台采用Red HatEnterprise Linux和SUSE LinuxEnterprise操作系统,新增的十几个经典案例,对企业应用进行分析和重现。在本书的写作过程中,作者花费了大量实践在实验配置上,为了提高可操作性,便于读者学习作者录制了上百部教学视频,其中包括轻松学习Linux之入门篇系列,Lamp,Lnmp,OracleRAC,KVM,RHCS,JBoss,Ha-Proxy,Hadoop,Weblogic,Openfiler,Postfix,Samba配置等内容,它们深受网友们喜爱,读者可从后文中的交互平台和下面提供的土豆网地址下载学习。
主要章节介绍
新版Linux案例分析共分14章,各章主要内容如下:
第1章 Web系统集成与安全
本章从LAMP网站基础架构讲起,包括大型网站架构,详细分析了LAMP的源码安装过程,在讲解了LAMP架设技巧之后,紧接着介绍了利用Nginx在服务器上设置缓存,实施负载均衡的经典案例,其中还介绍了6点Apache安全加固的实用方法。本章也对大型网站常见的数据检索缓慢的情况提出了新的解决方案,即利用Sphinx Search提供全文检索。为了使网站服务器能更好地处理JSP及Servlet程序,本章详细讲解了Apache与Tomcat集成的步骤;本章的后半部分,从企业网络工程师和骨干运行商等不同角度详细剖析了DDoS的检查和预防措施。本章最后详细分析了企业网站遭遇DDoS攻击事件的过程,并根据网络连接状况和流量的统计情况,提出了如何检测网站是否遭受DDoS攻击的检测方案。
第2章目录服务配置案例
本章讲解了如何在Linux平台下通过LDAP服务构建统一身份认证的方法,即把传统的网络服务,例如Web、FTP、SSH、E-mail、Samba的用户认证都由LDAP服务器负责验证,以Red HatLinux、SUSE Linux为例详细讲解了开源软件OpenLDAP的安装、账户管理工具的配置过程。
第3章基于Postfix的大型邮件系统案例
本章介绍了目前流行的邮件服务器Postfix的安装配置与管理过程。从一开始的邮件基本配置讲起,一直深入到Postfix反垃圾邮件配置、反病毒配置、安全加密配置及其邮件系统的自动监控配置过程,最后还分析了网易、新浪等分布式大型邮件系统的架构设计。
第4章 Oracle RAC 数据库集群在Linux系统下搭建案例
本章通过数据系统中心升级的实际案例,配合清晰的安装流程图,详细讲解了从Oracle安装准备,环境调整到配置共享存储设备,创建和配置raw设备,再讲到Oracle安装和配置Oracle Net,创建与管理维护RAC数据库,以及ASM的操作注意事项。对于其中不少枯燥的理论术语,进行了简单明了的讲解。
第5章企业集群案例分析
本章通过开源软件Heartbeat、OSCAR所这涉及的HA高可用集群的搭建过程,通过Mon软件实现网络和服务的监控,并讲解了集群搭建完毕的测试技术,在第4章Oracle RAC设置的基础上,循序渐进地通过实际案例详细讲解了证劵交易系统WebLogic集群的搭建过程。
第6章 FTP服务器的安全配置案例
本章介绍了高级FTP集成应用的综合案例,通过VSFTPD和ProFTPD用户集中管理,详细解决了MySQL和ProFTP、VSFTP完美结合的问题,通过两者的融合可以搭建一个高效、稳定且集中管理的FTP服务器。通过实际案例讲解了VSFTP的安全设置,且对于如何预防暴力破解FTP服务器技术做了深入探讨。
第7章部署IDS案例分析
本章通过源码包讲解如何在企业内部网中部署Snort,面对千兆企业环境下如何解决IDS所带来的瓶颈问题,其中涉及了交换机的端口镜像SPAN和多网卡的绑定等重点问题,并讲解了如何通过网络数据流量来创建新的Snort规则。同时也通过Snort Center的安装讲解如何管理Snort,当然Snort应用也不会是一帆风顺的,笔者通过一个亲身经历的案例,根据案情描述和取证信息详细讲解了互联网黑客利用IP碎片绕过Snort攻击企业服务器的案例。
第8章虚拟化技术应用案例
本章首先对Linux系统中运行Windows程序的一种实现——Wine内核运行的机理和实例进行了详细的分析,从而打下了虚拟化技术的基础,之后以SUSELinux企业版为基础平台,详细讲解了Xen虚拟化技术的应用特点和使用方法,其中还对Xen控制虚拟主机的常用命令、故障处理技巧进行了详细叙述。在本章的最后,还和大家一起分享了VMware HA构建高可用集群案例的实施心得。
第9章 Linux性能优化
本章针对导致系统性能瓶颈的几个方面:CPU、内存、磁盘I/O、网络子系统进行分析,介绍了常用的检测工具:top、vmstat、iostat、netstat等,最后重点从几个方面详细介绍了Oracle数据库性能优化的问题,以及LAMP网站优化问题。
第10章主机监控应用案例
本章首先讲解运用Linux下的开源软件Nagios结合NRPE插件,实现各种网络服务监控配置及利用飞信实现Nagios短信报警功能。其次详细讲解了Ntop监控和分析网络流量,并介绍了扩展的几个高级应用例如与Google Map整合实现标注监控IP位置的功能、对PDA手持设备的支持、NetFlow功能的实现分别做了详细讲解,最后通过调整内核来提升Ntop的性能。第5章已讲解过Mon对集群的监控,这里将介绍开源的集群监控工具Ganglia,实现对整个集群节点的全面监控,并对数据进行综合分析和对处理结果进行相应决策。接下来本章详细介绍了用cheops-ng来管理网络设备;最后重点介绍了一个信息安全监控软件OSSIM,它将前面介绍过的Nagios、Ntop、Cheops、Snort、Nmap这些工具监控的功能集成在一起提供综合的安全保护平台,使用户得到一站式的服务。文中详细分析了OSSIM提供的功能和流程,然后对其安装部署、系统配置和主要功能的使用都做了详细的描述,并提供了与Cacti、Zabbix监控软件的系统集成。
第11章Iptables 防火墙应用案例
本章深入系统内核详细讲解了调整netfilter内核模块以限制P2P连接、限制BT下载、预防Syn Flood攻击的方法,并通过来自生产一线的实用脚本分析了基于iptables的Web认证的实现过程,Iptables过滤实例,包括过滤网站过滤特殊字段等。
第12章数据备份与恢复
本章从备份的基础讲起,首先提供了运用SSH、Rsync实现数据自动备份的案例,然后又向读者介绍了运用日志进行 MySQL数据库实时恢复的案例,最后花费大量篇幅重点讲解了NetBackup 安装、配置及管理和进行Oracle数据库备份和恢复的案例,每个案例都采用概念和实例相结合的方式,通俗易懂。
13章 内核安全加固案例
本章以Linux内核安全的为背景,着重介绍用VXE(虚拟执行环境)技术来保护linux安全,它相当于一个IPS,通过对进行配置来保护Linux系统,接下来从系统缓冲区溢出原理将其逐步分析产生原因和利用DSM防范的技巧。
14章远程连接
从基础的使用Linux远程桌面设置讲起,逐步介绍到XDM的配置,再介绍常用的VNC服务的攻击预防案例分析,接着介绍了加固SSH服务器的九种方法,最后讲解SSH/RDP等远程访问方式的审计方法。
附录
附录A:本书中介绍的所有案例都是通过源码包安装部署的,但是Linux下源码包部署时不可回避的就是软件包的依赖问题,作者在这里提供了解决方法。
附件B:开源监控软件对比表。
关于读者交互平台
读者交互平台是作者专门为此书的读者交流方便,搭建了网站,其中包含了本书中14章的实验内容,即操作视频教程,还包括了本书的基础章节的内容及系统管理与维护的基础视频,这些内容是对本书案例的有利补充。
读者交互平台地址http://bjlcg.com:8080/
作者博客地址:http://chenguang.blog.51cto.com
视频教程地址:http://www.tudou.com/home/_117459337
Linux企业应用QQ读者交流群:73120574
适合读者
l Linux系统管理员
l 网络工程师
l 系统集成工程师
l 大专院校计算机专业师生
致谢
首先感谢我的父母多年来的养育之恩和关心呵护,感谢所有培养教育过我的老师们,还要感谢我的妻子,是她精心的照顾,我才能全身心的投入到创作当中,没有她的支持和鼓励,我无法持之以恒完成本书。最后我要由衷地感谢清华大学出版社的夏毓彦编辑,为了本书能尽快和读者见面,他花费了大量时间和精力与我沟通,并为本书的质量把关起到了重要作用。此外,也要感谢51CTO网站、ChinaUnix、IT168、IT专家网为本书内容的发布所作出的贡献。
编 者
2014年1月
作者简介
李晨光,毕业于中国科学院研究生院,就职于世界500强企业信息部门,资深网络架构师、IBM精英讲师、Linux系统安全专家,现任中国计算机学会(CCF)高级会员、会员代表;51CTO、IT专家网和ChinaUnix论坛专家博主;曾获2011~2013年度全国IT博客10强。从事IDC机房网络设备运维10年,持有Microsoft、Cisco、CIW多个IT认证;对Linux/UNIX、Windows Server操作系统、网络安全防护有深入研究。2012年受邀担任中国系统架构师大会(SACC)运维开发专场嘉宾主持人;先后在国内《计算机安全》、《程序员》、《计算机世界》、《网络运维与管理》、《黑客防线》、《办公自动化》等IT杂志发表专业论文六十余篇,撰写的技术博文广泛刊登在51CTO、IT168、ChinaUnix、赛迪网、天极网、比特网、ZDNet等国内知名IT网站。
目 录
第1章 Web系统集成与安全...................................................................................................................... 1
1.1 构建大型网站................................................................................................................................... 1
1.2 LAMP网站架构方案分析.............................................................................................................. 3
1.2.1 操作系统的选择................................................................................................................... 3
1.2.2 Web服务器、缓存和PHP加速....................................................................................... 4
1.2.3 数据库.................................................................................................................................... 4
1.3 LAMP 安装....................................................................................................................................... 5
1.3.1 LAMP安装准备................................................................................................................... 5
1.3.2 开始安装LAMP................................................................................................................... 8
1.3.3 安装PHP扩展Eaccelerator 0.9.6.1加速软件............................................................. 11
1.3.4 安装Suhosin...................................................................................................................... 13
1.4 利用Nginx实现Web负载均衡.................................................................................................. 13
1.3.1 安装、配置Nginx............................................................................................................. 14
1.3.2 Nginx实施负载均衡......................................................................................................... 20
1.3.3 设置Nginx 的反向代理配置.......................................................................................... 21
1.3.4 在Nginx 负载均衡服务器上设置缓存......................................................................... 22
1.4 Apache安全加固........................................................................................................................... 22
1.4.1 使用配置指令进行访问控制........................................................................................... 22
1.4.2 使用.htaccess进行访问控制........................................................................................... 23
1.4.3 使用认证和授权保护Apache......................................................................................... 25
1.4.4 使用Apache中的安全模块............................................................................................. 27
1.4.5 使用SSL保证Web通信安全......................................................................................... 28
1.4.6 其他安全措施..................................................................................................................... 30
1.5 利用Sphinx提高 LAMP应用检索性能................................................................................... 34
Sphinx 安装过程........................................................................................................................... 34
1.6 Apache与Tomcat集成................................................................................................................ 37
1.6.1 安装模块............................................................................................................................. 37
1.6.2 Tomcat5优化..................................................................................................................... 38
1.7 分析Apache网站状态.................................................................................................................. 40
1.7.1 AWStats简介..................................................................................................................... 40
1.7.2 安装AWStats..................................................................................................................... 41
1.7.3 配置AWStats..................................................................................................................... 41
1.7.4 应用AWStats分析日志................................................................................................... 42
1.7.5 扩展功能加入IP插件....................................................................................................... 43
1.8 如何应对分布式拒绝服务(DDoS)的攻击............................................................................ 44
1.8.1 DDoS攻击原理.................................................................................................................. 44
1.8.2 DDoS的检测方法............................................................................................................. 47
1.8.3 防范DDoS攻击................................................................................................................. 47
1.8.4 基于角色的防范................................................................................................................ 51
1.8.5 小结...................................................................................................................................... 53
1.9 案例实战:网站遭遇DDoS攻击............................................................................................... 53
1.9.1 事件发生............................................................................................................................. 53
1.9.2 事件分析............................................................................................................................. 56
1.9.3 针对措施............................................................................................................................. 57
1.9.4 小结...................................................................................................................................... 61
1.10 基于开源的WEB应用防火墙(FreeWAF)......................................................................... 62
1.10.1 安装FreeWAF注意事项............................................................................................... 62
1.10.2 FreeWAF网络部署......................................................................................................... 64
1.10.3 防篡改设置....................................................................................................................... 65
1.11 Web漏洞扫描工具...................................................................................................................... 66
1.11.1 Nikto.................................................................................................................................. 67
1.11.2 其他WEB检测工具....................................................................................................... 69
1.11.3 利用开源软件扫描漏洞................................................................................................. 69
1.11.4 Fast-Track......................................................................................................................... 70
1.11.5 商业软件........................................................................................................................... 72
1.11.5 小结................................................................................................................................... 73
1.12 基于PHP 的SQL注入防范...................................................................................................... 73
1.12.1 服务器端的安全配置...................................................................................................... 73
1.12.2 PHP代码的安全配置...................................................................................................... 74
1.12.3 PHP代码的安全编写...................................................................................................... 74
1.12.4 小结................................................................................................................................... 75
1.13 SQL注入漏洞检测方法.............................................................................................................. 75
1.13.1 基本渗透测试.................................................................................................................. 75
1.14 BIND View 实现网通电信互访............................................................................................. 79
1.14.1 背景................................................................................................................................... 79
1.14.2 选择BIND解决方案...................................................................................................... 79
1.14.3 BIND View方案.............................................................................................................. 80
1.14.4 方案实施步聚.................................................................................................................. 82
1.13.3 小结................................................................................................................................... 85
第2章 目录服务配置案例......................................................................................................................... 86
2.1 Linux下LDAP统一认证的实现................................................................................................ 86
2.1.1 LDAP概述.......................................................................................................................... 86
2.1.2 实现思路............................................................................................................................. 87
2.1.3 使用LDAP做身份认证.................................................................................................... 88
2.1.4 LDAP版本的选择............................................................................................................. 89
2.1.5 LDAP软件的选择............................................................................................................. 89
2.1.6 OpenLDAP的安装和配置............................................................................................... 89
2.1.7 轻松搞定LDAP账号管理............................................................................................... 92
2.1.8 配置Apache支持LDAP.................................................................................................. 95
2.1.9 利用Smbldap-tool工具管理Samba.............................................................................. 97
2.1.10 利用Smbldap-tool初始化LDAP............................................................................... 100
2.1.11 使用phpLDAPadmin管理LDAP服务器................................................................. 101
2.1.12 LDAP的安全管理......................................................................................................... 103
2.2 利用LDAP实现Windows和Linux平台统一认证.............................................................. 104
2.2.1 Linux认证........................................................................................................................ 104
2.2.2 Windows认证.................................................................................................................. 107
2.2.3 Linux+Windows统一认证............................................................................................ 109
第3章 基于Postfix的大型邮件系统案例........................................................................................... 112
3.1 基于Postfix的大型邮件系统.................................................................................................... 112
3.1.1 Postfix与其他MTA的对比.......................................................................................... 112
3.1.2 基本邮件服务器的搭建................................................................................................. 113
3.1.3 Postfix常见问题指南..................................................................................................... 117
3.1.4 Postfix的反垃圾配置..................................................................................................... 118
3.1.5 Postfix的反病毒配置..................................................................................................... 120
3.1.6 自动监控Postfix邮件服务器....................................................................................... 122
3.2 搭建分布式的邮件系统.............................................................................................................. 123
3.2.1 搭建分布式邮件系统的架构设计................................................................................ 123
3.2.2 邮件接收服务器的配置与设计..................................................................................... 124
3.2.3 用户邮件服务器的配置与设计..................................................................................... 125
3.3 利用Stunnel加密保护邮件服务器.......................................................................................... 125
3.3.1 安装编译Stunnel............................................................................................................ 126
3.3.2 保障IMAP安全............................................................................................................... 126
3.3.3 保障POP3安全............................................................................................................... 127
3.3.4 保障SMTP安全.............................................................................................................. 127
第4章 Oracle RAC 数据库集群在Linux系统下搭建案例.............................................................. 129
4.1 确定Oracle系统的规模............................................................................................................. 130
4.1.1 CPU规模的调整.............................................................................................................. 130
4.1.2 内存规模的调整.............................................................................................................. 131
4.1.3 I/O子系统的调整............................................................................................................ 131
4.1.4 Raid磁盘子系统............................................................................................................. 132
4.2 Oracle RAC设置流程................................................................................................................. 132
4.2.1 安装前的系统关键配置................................................................................................. 133
4.2.2 配置主机解析文件hosts................................................................................................ 136
4.2.3 配置系统内核参数.......................................................................................................... 136
4.2.4 给Oracle用户配置Shell............................................................................................... 140
4.2.5 配置系统安全设置.......................................................................................................... 141
4.2.6 添加Oracle用户和组..................................................................................................... 141
4.2.7 设置Oracle用户环境变量............................................................................................ 142
4.2.8 配置节点间的SSH信任................................................................................................ 143
4.2.9 配置共享存储系统.......................................................................................................... 144
4.2.10 建立和配置raw设备................................................................................................... 149
4.2.11 安装Oracle Clusterware................................................................................................ 151
4.2.12 安装Oracle数据库....................................................................................................... 156
4.2.13 配置Oracle Net............................................................................................................. 158
4.2.14 创建RAC数据库.......................................................................................................... 160
4.2.15 Oracle CRS的管理与维护........................................................................................... 167
4.2.16 测试Oracle RAC数据库的集群功能........................................................................ 171
4.2.17 ASM基本操作............................................................................................................... 176
第5章 企业集群案例分析....................................................................................................................... 180
5.1 基于Heartbeat 的双机热备系统范例..................................................................................... 180
5.1.1 准备工作........................................................................................................................... 180
5.1.2 安装Heartbeat................................................................................................................. 181
5.1.3 配置/etc/ha.d/ha.cf.......................................................................................................... 181
5.1.4 配置/etc/ha.d/haresources.............................................................................................. 182
5.1.5 配置haresources文件.................................................................................................... 184
5.1.6 配置/etc/ha.d/authkeys................................................................................................... 184
5.1.7 在备份服务器上安装Heartbeat................................................................................... 185
5.1.8 设置系统时间.................................................................................................................. 185
5.1.9 启动Heartbeat................................................................................................................. 185
5.1.10 在备份服务器上启动Heartbeat................................................................................. 187
5.1.11 检查主服务器上的日志文件....................................................................................... 188
5.1.12 停止并启动Heartbeat.................................................................................................. 188
5.1.13 监视资源......................................................................................................................... 189
5.1.14 小结................................................................................................................................. 190
5.2 企业服务器搭建双机集群配置................................................................................................. 190
5.2.1 Heartbeat、Mon、Rsync简介..................................................................................... 190
5.2.2 安装环境........................................................................................................................... 191
5.2.3 安装Heartbeat................................................................................................................. 192
5.2.4 测试HA系统................................................................................................................... 195
5.2.5 Mon服务监控.................................................................................................................. 196
5.2.6 数据同步........................................................................................................................... 198
5.2.7 集群测试技术.................................................................................................................. 199
5.3 利用HA-OSCAR创建高可用Linux集群.............................................................................. 202
5.3.1 支持的发行版和系统要求............................................................................................. 202
5.3.2 HA-OSCAR的体系结构................................................................................................ 203
5.3.3 HA-OSCAR的向导安装步骤详解............................................................................... 205
5.3.4 监控和配置Webmin....................................................................................................... 208
5.3.5 小结................................................................................................................................... 213
5.4 WebLogic集群高可用案例....................................................................................................... 214
5.4.1 RHEL 5.4操作系统的安装............................................................................................ 215
5.4.2 Java环境的配置安装..................................................................................................... 216
5.4.3 设置环境变量.................................................................................................................. 216
5.4.4 WebLogic 11安装部署.................................................................................................. 217
5.4.5 启动WebLogic的AdminServer服务........................................................................ 223
5.4.6 部署Web应用................................................................................................................. 226
5.4.7 启动Web应用................................................................................................................. 228
5.4.8 WebLogic优化................................................................................................................ 229
第6章 FTP服务器的安全配置案例...................................................................................................... 231
6.1 VSFTP服务的基本配置............................................................................................................. 231
6.1.1 vsftpd服务的安装.......................................................................................................... 231
6.2 Linux下VSFTPD和ProFTPD用户集中管理........................................................................ 236
6.2.1 建立程序安装目录.......................................................................................................... 236
6.2.2 安装MySQL..................................................................................................................... 237
6.2.3 安装ProFTPD.................................................................................................................. 238
6.2.4 MySQL与ProFTPD组合.............................................................................................. 240
6.1.5 VSFTPD与MySQL的组合........................................................................................... 243
6.2.6 开机自动启动VSFTPD.................................................................................................. 245
6.3 在VSFTPD中实现对IP的安全管理案例............................................................................... 245
6.3.1 项目背景........................................................................................................................... 246
6.3.2 准备工作........................................................................................................................... 246
6.3.3 用于封禁和解封的Shell脚本...................................................................................... 247
6.3.4 部署实施........................................................................................................................... 248
6.3.5 小结................................................................................................................................... 249
6.4 暴力破解FTP服务器的技术探讨与防范................................................................................ 249
6.4.1 网络本身的负载能力与高速网络................................................................................ 249
6.4.2 CPU运算、处理能力低下的解决方法....................................................................... 251
6.4.3 安全策略的突破.............................................................................................................. 252
6.4.4 应对措施——第三方软件Fail2ban加固方法........................................................... 256
第7章 部署IDS案例分析....................................................................................................................... 260
7.1 在Linux下部署IDS案例.......................................................................................................... 260
7.1.1 安装Snort......................................................................................................................... 260
7.1.2 维护Snort......................................................................................................................... 264
7.1.3 编写Snort规则............................................................................................................... 268
7.1.4 分析Snort规则............................................................................................................... 271
7.2 Linux下PortSentry的配置....................................................................................................... 276
7.2.1 入侵检测工具简介.......................................................................................................... 276
7.2.2 PortSentry的安装配置................................................................................................... 277
7.2.3 启动检测模式.................................................................................................................. 279
7.2.4 测试................................................................................................................................... 280
7.3 利用IP碎片绕过Snort............................................................................................................... 280
7.3.1 事件发生........................................................................................................................... 280
7.3.2 故障处理........................................................................................................................... 283
7.3.3 数据包解码....................................................................................................................... 284
7.3.4 针对IP碎片攻击的预防措施........................................................................................ 290
7.3.5 如何检测你的NIDS........................................................................................................ 291
7.3.6 服务器被入侵后应该做的5件事.................................................................................. 291
7.3.7 小结................................................................................................................................... 292
第8章 虚拟化技术应用案例.................................................................................................................. 293
8.1 Linux下Wine虚拟机................................................................................................................ 293
8.1.1 Wine的体系结构............................................................................................................ 293
8.1.2 Wine运行的技术背景.................................................................................................... 294
8.1.3 Wine启动分析................................................................................................................ 295
8.1.4 Win32启动分析.............................................................................................................. 296
8.1.5 Winelib启动分析............................................................................................................ 296
8.1.6 Win16与DOS程序启动分析....................................................................................... 297
8.1.7 Wine安装......................................................................................................................... 297
8.2 基于SUSE LinuxServer上的Xen虚拟化应用..................................................................... 298
8.2.1 Xen和KVM虚拟化的对比.......................................................................................... 298
8.2.2 Xen的特点....................................................................................................................... 299
8.2.3 Xen架构和Xen虚拟化技术简介................................................................................ 299
8.2.4 安装使用SUSE Xen软件.............................................................................................. 300
8.2.5 引导Xen系统.................................................................................................................. 303
8.2.6 安装Xen客户机——Domain-U.................................................................................. 307
8.2.7 故障查询........................................................................................................................... 310
8.3 VMware HA在企业中的应用................................................................................................... 312
8.3.1 项目基本情况.................................................................................................................. 312
8.3.2 VMware资源动态分配的实现..................................................................................... 312
8.3.3 VMware高可用性的实现.............................................................................................. 312
8.3.4 高可用性集群的实现...................................................................................................... 313
第9章 Linux性能优化............................................................................................................................ 315
9.1 Linux 性能评估........................................................................................................................... 315
监测工具........................................................................................................................................ 315
9.2 网络性能优化............................................................................................................................... 324
9.2.1 网络性能........................................................................................................................... 324
9.2.2 TCP连接优化.................................................................................................................. 326
9.3 Oracle应用优化案例.................................................................................................................. 327
9.3.1 Oracle数据库性能优化................................................................................................. 327
9.3.2 Oracle数据库系统性能调优的方法............................................................................ 327
9.3.3 性能调优工具.................................................................................................................. 329
9.3.4 系统调整........................................................................................................................... 329
9.4 动态PHP网站优化案例............................................................................................................. 330
9.4.1 初期性能问题及处理...................................................................................................... 330
9.4.2 逐步解决问题.................................................................................................................. 330
9.4.3 网站结构优化.................................................................................................................. 330
第10章 主机监控应用案例.................................................................................................................... 331
10.1 基于 Linux 系统的Nagios网络管理................................................................................... 331
10.1.1 Nagios 系统及特点...................................................................................................... 332
10.1.2 在Linux上运行 Nagios 系统................................................................................... 333
10.1.3 运用 Nagios 实现对网络上服务器的监控.............................................................. 334
10.1.4 对Nagios系统的评价和建议..................................................................................... 336
10.2 运用NRPE扩展Nagios功能.................................................................................................. 337
10.2.1 监控原理......................................................................................................................... 337
10.2.2 配置Nagios客户端...................................................................................................... 337
10.2.3 配置Nagios服务器端.................................................................................................. 339
10.3 利用飞信实现Nagios短信报警功能..................................................................................... 341
10.3.1 飞信简介......................................................................................................................... 341
10.3.2 安装与配置飞信............................................................................................................ 341
10.3.3 整合飞信到Nagios中.................................................................................................. 343
10.4 运用Ntop监控网络流量......................................................................................................... 344
10.4.1 几种流量采集技术的比较........................................................................................... 345
10.4.2 Ntop系统的部署及性能.............................................................................................. 346
10.4.3 Ntop安装配置............................................................................................................... 347
10.4.4 应用Ntop....................................................................................................................... 349
10.4.5 优化Ntop....................................................................................................................... 361
10.5 基于Linux的集群监控系统................................................................................................... 365
10.5.1 安装准备......................................................................................................................... 366
10.5.2 集群节点管理器部署Ganglia..................................................................................... 367
10.6 使用cheops-ng加强管理Linux网络................................................................................... 373
10.6.1 cheops-ng的工作原理................................................................................................. 373
10.6.2 cheops-ng的下载和安装............................................................................................. 373
10.6.3 cheops-ng的配置.......................................................................................................... 374
10.6.4 cheops-ng的运行.......................................................................................................... 378
10.7 打造开源安全信息管理平台................................................................................................... 380
10.7.1 OSSIM背景介绍........................................................................................................... 380
10.7.2 安装OSSIM.................................................................................................................... 384
10.7.3安装远程管理工具........................................................................................................... 385
10.7.5 配置解析......................................................................................................................... 389
10.7.6 分布式部署(VPN连接 )举例:.................................................................................... 389
10.7.7 OSSIM的系统配置....................................................................................................... 391
10.7.8 OSSIM的后台管理及配置.......................................................................................... 403
10.8 Ossim插件配置管理................................................................................................................. 408
10.8.1 原始日志格式对比........................................................................................................ 408
10.8.2 插件配置工作步骤........................................................................................................ 409
10.8.3 插件导入方法................................................................................................................ 410
14.6.5 收集Cisco防火墙日志................................................................................................ 414
10.8.4 收集CheckPoint设备日志.......................................................................................... 417
10.8.5 将Squid的日志收集到Ossim系统.......................................................................... 418
10.8.6 对日志中含有中文字符的处理方式.......................................................................... 419
10.8.7 Linux系统下网络服务日志方法总结....................................................................... 420
10.9 Ossim压力测试......................................................................................................................... 421
10.9.1 软硬件测试环境............................................................................................................ 421
10.9.2 测试项目:.................................................................................................................... 421
10.9.3 测试工具......................................................................................................................... 422
10.9.4 BT中的网络压力测试工具......................................................................................... 427
10.10 运用TC工具控制网络流量.................................................................................................. 429
10.10.1 相关概念...................................................................................................................... 429
10.10.2 使用TC......................................................................................................................... 430
10.10.3 创建HTB队列............................................................................................................ 431
10.9.4 为根队列创建相应的类别........................................................................................... 431
10.10.5 为各个类别设置过滤器............................................................................................. 431
10.10.6 应用实例...................................................................................................................... 432
第11章 iptables 防火墙应用案例......................................................................................................... 434
11.1 调整netfilter内核模块以限制P2P连接.............................................................................. 434
11.1.1 netfilter的结构框架..................................................................................................... 434
11.1.2 连线跟踪......................................................................................................................... 436
11.2 基于Linux的iptables/netfilter限制BT下载案例分析.................................................... 442
11.2.1 禁止基于标准协议的BT下载.................................................................................... 442
11.2.2 禁止下载者和Tracker服务器之间的交互.............................................................. 443
11.2.3 禁止下载者之间接连................................................................................................... 443
11.2.4 禁止基于非标准协议的BT下载............................................................................... 443
11.2.5 禁止BT客户端加入DHT网络.................................................................................. 445
11.2.6 小结................................................................................................................................. 448
11.3 基于iptables的Web认证系统的实现................................................................................. 448
11.3.1 引言................................................................................................................................. 448
11.3.2 系统应用模块................................................................................................................ 448
11.3.3 系统功能及实现方法................................................................................................... 449
11.3.4 系统性能与优化............................................................................................................ 451
11.4 运用iptables防御Syn Flood攻击......................................................................................... 452
11.4.1 传统的SYN Flood攻击防御方案.............................................................................. 452
11.4.2 基于iptables的动态包过滤防火墙........................................................................... 453
11.4.3 iptables和入侵检测软件的集成................................................................................ 454
11.4.4 测试结果和分析............................................................................................................ 454
11.4.5 性能优化......................................................................................................................... 455
11.4 iptables过滤实例...................................................................................................................... 456
11.4.1 过滤URL........................................................................................................................ 456
11.4.2 过滤关键字.................................................................................................................... 457
11.4.3 iptables过滤特定网段................................................................................................. 457
11.4.4 禁上某些网站................................................................................................................ 457
第12章 数据备份与恢复......................................................................................................................... 459
12.1 运用SSH、Rsync实现数据自动备份................................................................................... 459
12.1.1 SSH无密码安全登录................................................................................................... 459
12.1.2 crontab定时数据同步.................................................................................................. 460
12.1.3 Rsync数据同步............................................................................................................. 461
12.2 用日志进行 MySQL数据库实时恢复.................................................................................. 461
12.2.1 设置二进制日志............................................................................................................ 462
12.2.2 简单的数据恢复............................................................................................................ 462
12.2.3 手动恢复数据................................................................................................................ 463
12.2.4 针对某一时间点恢复数据........................................................................................... 463
12.2.5 使用position参数恢复................................................................................................ 464
12.3 NetBackup安装、配置及管理............................................................................................... 465
12.3.1 NetBackup的基本概念................................................................................................ 465
12.3.2 安装NetBackup............................................................................................................ 466
12.3.3 NetBackup的配置........................................................................................................ 467
12.3.4 创建一个基本备份任务............................................................................................... 469
12.3.5 管理NetBackup............................................................................................................ 472
12.3.6 优化措施......................................................................................................................... 474
12.4 运用NetBackup进行Oracle备份和恢复............................................................................ 476
12.4.1 备份................................................................................................................................. 476
12.4.2 恢复过程......................................................................................................................... 483
第13章 内核安全加固案例.................................................................................................................... 493
13.1 用VXE保护Linux系统安全................................................................................................. 493
13.1.1 VXE的工作原理........................................................................................................... 493
13.1.2 与chroot服务的比较................................................................................................... 494
13.1.3 VXE安装使用............................................................................................................... 496
13.1.4 小结................................................................................................................................. 497
13.2 用DSM模块来阻止缓冲区溢出............................................................................................ 498
13.2.1 初步认识缓冲区溢出................................................................................................... 498
13.2.2 用Gcc编译.................................................................................................................... 499
13.2.3 示例................................................................................................................................. 500
13.2.4 阻止缓冲区溢出攻击解决方案.................................................................................. 503
13.2.5 DSM与缓冲区溢出攻击.............................................................................................. 505
13.2.6 利用DSM阻止缓冲区溢出攻击................................................................................ 505
13.2.7 总结................................................................................................................................. 507
第14章 远程连接..................................................................................................................................... 508
14.1 应用Linux远程桌面................................................................................................................ 508
14.1.1 X-window初步.............................................................................................................. 508
14.1.2 理解X server................................................................................................................. 509
14.1.3 Linux下配置XDM....................................................................................................... 511
14.1.4 Windows下X-Win32连接设置................................................................................ 513
14.1.5 小结................................................................................................................................. 514
14.2 远程控制VNC攻击案例研究................................................................................................. 515
14.2.1 功能强大的VNC工具:vncpwdump....................................................................... 515
14.2.2 使用vncpwdump进行渗透测试................................................................................ 516
14.2.3 针对VNC密码验证绕过漏洞的扫描........................................................................ 519
14.2.4 小结................................................................................................................................. 521
14.3 加固SSH 服务器九条............................................................................................................. 521
14.4 SSH/RDP远程访问审计方法.................................................................................................. 528
14.4.1 远程桌面审计实现........................................................................................................ 529
14.4.2 SSh审计实现................................................................................................................. 530
14.4.3 加密协议审计的实施................................................................................................... 530
附录A Linux系统软件包的依赖性问题............................................................................................... 532
A.1 什么是依赖性.............................................................................................................................. 532
A.2 动态可执行文件和共享对象..................................................................................................... 532
A.3 RPM软件包和共享库依赖性................................................................................................... 534
A.4 手动解决依赖性问题................................................................................................................. 535
A.5 自动解决依赖性故障................................................................................................................. 538
A.5.1 使用Yum来安装RPM软件包.................................................................................... 538
A.5.2 使用Yum安装新的Glibc软件包............................................................................... 538
A.6 关于升级Gilbc的建议.............................................................................................................. 539
A.7 总 结........................................................................................................................................... 541
附件B 开源监控软件比较....................................................................................................................... 542