《Linux企业应用案例精解（第2版）》前言、目录

来源：互联网发布：linux md模拟器编辑：程序博客网时间：2024/05/05 23:57

内容简介

全书共14章，结合几十个经典案例，所讲解的内容无不来源于大中型企业生产一线的实践性总结。其中主要介绍了Web系统集成方法、漏洞测试方法和LAMP安全配置；配置OpenLDAP实现Linux下的应用统一认证；配置Postfix大型邮件系统；Oracle RAC数据库集群的配置与管理；Heartbeat、WebLogic和OSCAR高可用集群的搭建；VSFTP和ProFTP的整合管理；Snort在企业中的部署与管理；配置Xen和VMware的企业虚拟化应用；Linux系统和服务的安全防护策略和入侵案例分析；Nagios的安装和高级配置以及OSSIM配置和综合应用分析；Linux内核加固、iptables防火墙在企业中高级应用；利用Rsync进行数据自动化备份以及NetBackup安装配置与Oracle备份实例等。

本书适合Linux系统管理员、网络工程师、系统集成工程师使用，也适合作为大专院校计算机专业师生的参考书。

前言

随着我国信息化的深入发展，基于Linux特有的高可靠性、高稳定性和高安全性等特点，多数企业已将Linux操作系统从原来的边缘应用向企业关键业务应用转移。由于Linux平台几乎拥有所有企业信息建设需要的软件，能够轻松且廉价地搭建起企业应用服务，因而Linux开始替代商业的UNIX和Windows平台，成为企业建设信息化的重要选择。另外出于建设成本等因素考虑，一些机构也将UNIX平台的高端应用向基于Linux的服务器平台移植。目前，Linux操作系统已成为仅次于Windows的操作系统。

如何搭建基于Linux服务器的网络应用方案，成为企业网络管理人员需要考虑的一个重要问题。记得我的一位中学数学老师在回答如何学好数学时说过的一句话，“要想学好数学就要多做题，做题时公式不记得就查书，不怕不记得公式，做的题目多了自然就记住了。”在创作本书的时候也是以“理论够用、实践第一”为原则，也就是先做题后讲公式，这样通过几个实验下来，读者的印象也会十分深刻。全书共14章，每章都有若干个经典案例，每个案例不仅对事件过程进行了讲解，对一些重点命令和知识点分别进行了深入浅出的讲解。这种写作方式既不流俗于理论讲解，也不局限于命令的堆积，采用基本概念和实际案例的操作过程相结合，对于关键环节也做出了必要说明，可以照顾到一些Linux基础薄弱的读者对案例的学习和消化。本书中所有案例都经上机实验，每个案例讲解力求通俗易懂，语言阐述力求深入浅出，让读者通过读、看、练从而达到具备真正的动手能力。本书上市仅半年后登上了当当操作系统类图书畅销榜，在当当、京东及豆瓣网广获IT同行们肯定，好评率达到98%。

第二版特色

本书在出版当年就获得了不错的销量，从出版社获悉打算再次出版，因此开始对第一版做出了改版计划，对第一版内容进行优化组合，删减了几个不常用案例（包括第8章的Wine实战之Linux用网银、常见问题速查以及制作自己的LiveCD的内容）。增加了140页新内容，第1章新增了构建大型网站方法、基于开源WAF的使用方法、Web漏洞扫描工具的使用、基于PHP的SQL注入防范措施、SQL注入漏洞检测方法、BindView实现网通电信互访等内容；第2章新增了利用LDAP实现Windows和Linux平台统一认证的内容；第3~5章修改了一些错别字。

第6章增加了Vsftp服务器配置技巧的内容；第七章增加了分析snort规则，以及服务器被入侵后管理员最应做的5件事的内容；第10章增加了安装远程管理工具webmin和phpmyadmin,为ossim增加gnome,分布式部署（vpn连接）、Ossim插件配置管理包括如何创建并启用新插件，收集防火墙日志的方法、手机CheckPoint日志的方法，收集squid日志方法，如何解决日志中包含中文的处理方法，如何通过开源软件对Ossim进行压力测试内容；第11章增加了Iptables过滤实例，包括过滤网站过滤特殊字段等内容，在最后还增加了13章内核安全加固案例和第14章远程连接的数个经典案例。

实验平台采用Red HatEnterprise Linux和SUSE LinuxEnterprise操作系统，新增的十几个经典案例，对企业应用进行分析和重现。在本书的写作过程中，作者花费了大量实践在实验配置上，为了提高可操作性，便于读者学习作者录制了上百部教学视频，其中包括轻松学习Linux之入门篇系列，Lamp，Lnmp，OracleRAC，KVM，RHCS，JBoss，Ha-Proxy，Hadoop，Weblogic，Openfiler，Postfix，Samba配置等内容，它们深受网友们喜爱，读者可从后文中的交互平台和下面提供的土豆网地址下载学习。

主要章节介绍

新版Linux案例分析共分14章，各章主要内容如下：

第1章 Web系统集成与安全

本章从LAMP网站基础架构讲起，包括大型网站架构，详细分析了LAMP的源码安装过程，在讲解了LAMP架设技巧之后，紧接着介绍了利用Nginx在服务器上设置缓存，实施负载均衡的经典案例，其中还介绍了6点Apache安全加固的实用方法。本章也对大型网站常见的数据检索缓慢的情况提出了新的解决方案，即利用Sphinx Search提供全文检索。为了使网站服务器能更好地处理JSP及Servlet程序，本章详细讲解了Apache与Tomcat集成的步骤；本章的后半部分，从企业网络工程师和骨干运行商等不同角度详细剖析了DDoS的检查和预防措施。本章最后详细分析了企业网站遭遇DDoS攻击事件的过程，并根据网络连接状况和流量的统计情况，提出了如何检测网站是否遭受DDoS攻击的检测方案。

第2章目录服务配置案例

本章讲解了如何在Linux平台下通过LDAP服务构建统一身份认证的方法，即把传统的网络服务，例如Web、FTP、SSH、E-mail、Samba的用户认证都由LDAP服务器负责验证，以Red HatLinux、SUSE Linux为例详细讲解了开源软件OpenLDAP的安装、账户管理工具的配置过程。

第3章基于Postfix的大型邮件系统案例

本章介绍了目前流行的邮件服务器Postfix的安装配置与管理过程。从一开始的邮件基本配置讲起，一直深入到Postfix反垃圾邮件配置、反病毒配置、安全加密配置及其邮件系统的自动监控配置过程，最后还分析了网易、新浪等分布式大型邮件系统的架构设计。

第4章 Oracle RAC 数据库集群在Linux系统下搭建案例

本章通过数据系统中心升级的实际案例，配合清晰的安装流程图，详细讲解了从Oracle安装准备，环境调整到配置共享存储设备，创建和配置raw设备，再讲到Oracle安装和配置Oracle Net，创建与管理维护RAC数据库，以及ASM的操作注意事项。对于其中不少枯燥的理论术语，进行了简单明了的讲解。

第5章企业集群案例分析

本章通过开源软件Heartbeat、OSCAR所这涉及的HA高可用集群的搭建过程，通过Mon软件实现网络和服务的监控，并讲解了集群搭建完毕的测试技术，在第4章Oracle RAC设置的基础上，循序渐进地通过实际案例详细讲解了证劵交易系统WebLogic集群的搭建过程。

第6章 FTP服务器的安全配置案例

本章介绍了高级FTP集成应用的综合案例，通过VSFTPD和ProFTPD用户集中管理，详细解决了MySQL和ProFTP、VSFTP完美结合的问题，通过两者的融合可以搭建一个高效、稳定且集中管理的FTP服务器。通过实际案例讲解了VSFTP的安全设置，且对于如何预防暴力破解FTP服务器技术做了深入探讨。

第7章部署IDS案例分析

本章通过源码包讲解如何在企业内部网中部署Snort，面对千兆企业环境下如何解决IDS所带来的瓶颈问题，其中涉及了交换机的端口镜像SPAN和多网卡的绑定等重点问题，并讲解了如何通过网络数据流量来创建新的Snort规则。同时也通过Snort Center的安装讲解如何管理Snort，当然Snort应用也不会是一帆风顺的，笔者通过一个亲身经历的案例，根据案情描述和取证信息详细讲解了互联网黑客利用IP碎片绕过Snort攻击企业服务器的案例。

第8章虚拟化技术应用案例

本章首先对Linux系统中运行Windows程序的一种实现——Wine内核运行的机理和实例进行了详细的分析，从而打下了虚拟化技术的基础，之后以SUSELinux企业版为基础平台，详细讲解了Xen虚拟化技术的应用特点和使用方法，其中还对Xen控制虚拟主机的常用命令、故障处理技巧进行了详细叙述。在本章的最后，还和大家一起分享了VMware HA构建高可用集群案例的实施心得。

第9章 Linux性能优化

本章针对导致系统性能瓶颈的几个方面：CPU、内存、磁盘I/O、网络子系统进行分析，介绍了常用的检测工具：top、vmstat、iostat、netstat等，最后重点从几个方面详细介绍了Oracle数据库性能优化的问题，以及LAMP网站优化问题。

第10章主机监控应用案例

本章首先讲解运用Linux下的开源软件Nagios结合NRPE插件，实现各种网络服务监控配置及利用飞信实现Nagios短信报警功能。其次详细讲解了Ntop监控和分析网络流量，并介绍了扩展的几个高级应用例如与Google Map整合实现标注监控IP位置的功能、对PDA手持设备的支持、NetFlow功能的实现分别做了详细讲解，最后通过调整内核来提升Ntop的性能。第5章已讲解过Mon对集群的监控，这里将介绍开源的集群监控工具Ganglia，实现对整个集群节点的全面监控，并对数据进行综合分析和对处理结果进行相应决策。接下来本章详细介绍了用cheops-ng来管理网络设备；最后重点介绍了一个信息安全监控软件OSSIM，它将前面介绍过的Nagios、Ntop、Cheops、Snort、Nmap这些工具监控的功能集成在一起提供综合的安全保护平台，使用户得到一站式的服务。文中详细分析了OSSIM提供的功能和流程，然后对其安装部署、系统配置和主要功能的使用都做了详细的描述，并提供了与Cacti、Zabbix监控软件的系统集成。

第11章Iptables 防火墙应用案例

本章深入系统内核详细讲解了调整netfilter内核模块以限制P2P连接、限制BT下载、预防Syn Flood攻击的方法，并通过来自生产一线的实用脚本分析了基于iptables的Web认证的实现过程，Iptables过滤实例，包括过滤网站过滤特殊字段等。

第12章数据备份与恢复

本章从备份的基础讲起，首先提供了运用SSH、Rsync实现数据自动备份的案例，然后又向读者介绍了运用日志进行 MySQL数据库实时恢复的案例，最后花费大量篇幅重点讲解了NetBackup 安装、配置及管理和进行Oracle数据库备份和恢复的案例，每个案例都采用概念和实例相结合的方式，通俗易懂。

13章内核安全加固案例

本章以Linux内核安全的为背景，着重介绍用VXE（虚拟执行环境）技术来保护linux安全，它相当于一个IPS，通过对进行配置来保护Linux系统，接下来从系统缓冲区溢出原理将其逐步分析产生原因和利用DSM防范的技巧。

14章远程连接

从基础的使用Linux远程桌面设置讲起，逐步介绍到XDM的配置，再介绍常用的VNC服务的攻击预防案例分析，接着介绍了加固SSH服务器的九种方法，最后讲解SSH/RDP等远程访问方式的审计方法。

附录

附录A：本书中介绍的所有案例都是通过源码包安装部署的，但是Linux下源码包部署时不可回避的就是软件包的依赖问题，作者在这里提供了解决方法。

附件B：开源监控软件对比表。

关于读者交互平台

读者交互平台是作者专门为此书的读者交流方便，搭建了网站，其中包含了本书中14章的实验内容，即操作视频教程，还包括了本书的基础章节的内容及系统管理与维护的基础视频，这些内容是对本书案例的有利补充。

读者交互平台地址http://bjlcg.com:8080/

作者博客地址：http://chenguang.blog.51cto.com

视频教程地址：http://www.tudou.com/home/_117459337

Linux企业应用QQ读者交流群：73120574

适合读者

l Linux系统管理员

l 网络工程师

l 系统集成工程师

l 大专院校计算机专业师生

致谢

首先感谢我的父母多年来的养育之恩和关心呵护，感谢所有培养教育过我的老师们，还要感谢我的妻子，是她精心的照顾，我才能全身心的投入到创作当中，没有她的支持和鼓励，我无法持之以恒完成本书。最后我要由衷地感谢清华大学出版社的夏毓彦编辑，为了本书能尽快和读者见面，他花费了大量时间和精力与我沟通，并为本书的质量把关起到了重要作用。此外，也要感谢51CTO网站、ChinaUnix、IT168、IT专家网为本书内容的发布所作出的贡献。

编者

2014年1月

作者简介

李晨光，毕业于中国科学院研究生院，就职于世界500强企业信息部门，资深网络架构师、IBM精英讲师、Linux系统安全专家，现任中国计算机学会（CCF）高级会员、会员代表；51CTO、IT专家网和ChinaUnix论坛专家博主；曾获2011~2013年度全国IT博客10强。从事IDC机房网络设备运维10年，持有Microsoft、Cisco、CIW多个IT认证；对Linux/UNIX、Windows Server操作系统、网络安全防护有深入研究。2012年受邀担任中国系统架构师大会（SACC）运维开发专场嘉宾主持人；先后在国内《计算机安全》、《程序员》、《计算机世界》、《网络运维与管理》、《黑客防线》、《办公自动化》等IT杂志发表专业论文六十余篇，撰写的技术博文广泛刊登在51CTO、IT168、ChinaUnix、赛迪网、天极网、比特网、ZDNet等国内知名IT网站。

第1章 Web系统集成与安全...................................................................................................................... 1

1.1 构建大型网站................................................................................................................................... 1

1.2 LAMP网站架构方案分析.............................................................................................................. 3

1.2.1 操作系统的选择................................................................................................................... 3

1.2.2 Web服务器、缓存和PHP加速....................................................................................... 4

1.2.3 数据库.................................................................................................................................... 4

1.3 LAMP 安装....................................................................................................................................... 5

1.3.1 LAMP安装准备................................................................................................................... 5

1.3.2 开始安装LAMP................................................................................................................... 8

1.3.3 安装PHP扩展Eaccelerator 0.9.6.1加速软件............................................................. 11

1.3.4 安装Suhosin...................................................................................................................... 13

1.4 利用Nginx实现Web负载均衡.................................................................................................. 13

1.3.1 安装、配置Nginx............................................................................................................. 14

1.3.2 Nginx实施负载均衡......................................................................................................... 20

1.3.3 设置Nginx 的反向代理配置.......................................................................................... 21

1.3.4 在Nginx 负载均衡服务器上设置缓存......................................................................... 22

1.4 Apache安全加固........................................................................................................................... 22

1.4.1 使用配置指令进行访问控制........................................................................................... 22

1.4.2 使用.htaccess进行访问控制........................................................................................... 23

1.4.3 使用认证和授权保护Apache......................................................................................... 25

1.4.4 使用Apache中的安全模块............................................................................................. 27

1.4.5 使用SSL保证Web通信安全......................................................................................... 28

1.4.6 其他安全措施..................................................................................................................... 30

1.5 利用Sphinx提高 LAMP应用检索性能................................................................................... 34

Sphinx 安装过程........................................................................................................................... 34

1.6 Apache与Tomcat集成................................................................................................................ 37

1.6.1 安装模块............................................................................................................................. 37

1.6.2 Tomcat5优化..................................................................................................................... 38

1.7 分析Apache网站状态.................................................................................................................. 40

1.7.1 AWStats简介..................................................................................................................... 40

1.7.2 安装AWStats..................................................................................................................... 41

1.7.3 配置AWStats..................................................................................................................... 41

1.7.4 应用AWStats分析日志................................................................................................... 42

1.7.5 扩展功能加入IP插件....................................................................................................... 43

1.8 如何应对分布式拒绝服务（DDoS）的攻击............................................................................ 44

1.8.1 DDoS攻击原理.................................................................................................................. 44

1.8.2 DDoS的检测方法............................................................................................................. 47

1.8.3 防范DDoS攻击................................................................................................................. 47

1.8.4 基于角色的防范................................................................................................................ 51

1.8.5 小结...................................................................................................................................... 53

1.9 案例实战：网站遭遇DDoS攻击............................................................................................... 53

1.9.1 事件发生............................................................................................................................. 53

1.9.2 事件分析............................................................................................................................. 56

1.9.3 针对措施............................................................................................................................. 57

1.9.4 小结...................................................................................................................................... 61

1.10 基于开源的WEB应用防火墙（FreeWAF）......................................................................... 62

1.10.1 安装FreeWAF注意事项............................................................................................... 62

1.10.2 FreeWAF网络部署......................................................................................................... 64

1.10.3 防篡改设置....................................................................................................................... 65

1.11 Web漏洞扫描工具...................................................................................................................... 66

1.11.1 Nikto.................................................................................................................................. 67

1.11.2 其他WEB检测工具....................................................................................................... 69

1.11.3 利用开源软件扫描漏洞................................................................................................. 69

1.11.4 Fast-Track......................................................................................................................... 70

1.11.5 商业软件........................................................................................................................... 72

1.11.5 小结................................................................................................................................... 73

1.12 基于PHP 的SQL注入防范...................................................................................................... 73

1.12.1 服务器端的安全配置...................................................................................................... 73

1.12.2 PHP代码的安全配置...................................................................................................... 74

1.12.3 PHP代码的安全编写...................................................................................................... 74

1.12.4 小结................................................................................................................................... 75

1.13 SQL注入漏洞检测方法.............................................................................................................. 75

1.13.1 基本渗透测试.................................................................................................................. 75

1.14 BIND View 实现网通电信互访............................................................................................. 79

1.14.1 背景................................................................................................................................... 79

1.14.2 选择BIND解决方案...................................................................................................... 79

1.14.3 BIND View方案.............................................................................................................. 80

1.14.4 方案实施步聚.................................................................................................................. 82

1.13.3 小结................................................................................................................................... 85

第2章目录服务配置案例......................................................................................................................... 86

2.1 Linux下LDAP统一认证的实现................................................................................................ 86

2.1.1 LDAP概述.......................................................................................................................... 86

2.1.2 实现思路............................................................................................................................. 87

2.1.3 使用LDAP做身份认证.................................................................................................... 88

2.1.4 LDAP版本的选择............................................................................................................. 89

2.1.5 LDAP软件的选择............................................................................................................. 89

2.1.6 OpenLDAP的安装和配置............................................................................................... 89

2.1.7 轻松搞定LDAP账号管理............................................................................................... 92

2.1.8 配置Apache支持LDAP.................................................................................................. 95

2.1.9 利用Smbldap-tool工具管理Samba.............................................................................. 97

2.1.10 利用Smbldap-tool初始化LDAP............................................................................... 100

2.1.11 使用phpLDAPadmin管理LDAP服务器................................................................. 101

2.1.12 LDAP的安全管理......................................................................................................... 103

2.2 利用LDAP实现Windows和Linux平台统一认证.............................................................. 104

2.2.1 Linux认证........................................................................................................................ 104

2.2.2 Windows认证.................................................................................................................. 107

2.2.3 Linux+Windows统一认证............................................................................................ 109

第3章基于Postfix的大型邮件系统案例........................................................................................... 112

3.1 基于Postfix的大型邮件系统.................................................................................................... 112

3.1.1 Postfix与其他MTA的对比.......................................................................................... 112

3.1.2 基本邮件服务器的搭建................................................................................................. 113

3.1.3 Postfix常见问题指南..................................................................................................... 117

3.1.4 Postfix的反垃圾配置..................................................................................................... 118

3.1.5 Postfix的反病毒配置..................................................................................................... 120

3.1.6 自动监控Postfix邮件服务器....................................................................................... 122

3.2 搭建分布式的邮件系统.............................................................................................................. 123

3.2.1 搭建分布式邮件系统的架构设计................................................................................ 123

3.2.2 邮件接收服务器的配置与设计..................................................................................... 124

3.2.3 用户邮件服务器的配置与设计..................................................................................... 125

3.3 利用Stunnel加密保护邮件服务器.......................................................................................... 125

3.3.1 安装编译Stunnel............................................................................................................ 126

3.3.2 保障IMAP安全............................................................................................................... 126

3.3.3 保障POP3安全............................................................................................................... 127

3.3.4 保障SMTP安全.............................................................................................................. 127

第4章 Oracle RAC 数据库集群在Linux系统下搭建案例.............................................................. 129

4.1 确定Oracle系统的规模............................................................................................................. 130

4.1.1 CPU规模的调整.............................................................................................................. 130

4.1.2 内存规模的调整.............................................................................................................. 131

4.1.3 I/O子系统的调整............................................................................................................ 131

4.1.4 Raid磁盘子系统............................................................................................................. 132

4.2 Oracle RAC设置流程................................................................................................................. 132

4.2.1 安装前的系统关键配置................................................................................................. 133

4.2.2 配置主机解析文件hosts................................................................................................ 136

4.2.3 配置系统内核参数.......................................................................................................... 136

4.2.4 给Oracle用户配置Shell............................................................................................... 140

4.2.5 配置系统安全设置.......................................................................................................... 141

4.2.6 添加Oracle用户和组..................................................................................................... 141

4.2.7 设置Oracle用户环境变量............................................................................................ 142

4.2.8 配置节点间的SSH信任................................................................................................ 143

4.2.9 配置共享存储系统.......................................................................................................... 144

4.2.10 建立和配置raw设备................................................................................................... 149

4.2.11 安装Oracle Clusterware................................................................................................ 151

4.2.12 安装Oracle数据库....................................................................................................... 156

4.2.13 配置Oracle Net............................................................................................................. 158

4.2.14 创建RAC数据库.......................................................................................................... 160

4.2.15 Oracle CRS的管理与维护........................................................................................... 167

4.2.16 测试Oracle RAC数据库的集群功能........................................................................ 171

4.2.17 ASM基本操作............................................................................................................... 176

第5章企业集群案例分析....................................................................................................................... 180

5.1 基于Heartbeat 的双机热备系统范例..................................................................................... 180

5.1.1 准备工作........................................................................................................................... 180

5.1.2 安装Heartbeat................................................................................................................. 181

5.1.3 配置/etc/ha.d/ha.cf.......................................................................................................... 181

5.1.4 配置/etc/ha.d/haresources.............................................................................................. 182

5.1.5 配置haresources文件.................................................................................................... 184

5.1.6 配置/etc/ha.d/authkeys................................................................................................... 184

5.1.7 在备份服务器上安装Heartbeat................................................................................... 185

5.1.8 设置系统时间.................................................................................................................. 185

5.1.9 启动Heartbeat................................................................................................................. 185

5.1.10 在备份服务器上启动Heartbeat................................................................................. 187

5.1.11 检查主服务器上的日志文件....................................................................................... 188

5.1.12 停止并启动Heartbeat.................................................................................................. 188

5.1.13 监视资源......................................................................................................................... 189

5.1.14 小结................................................................................................................................. 190

5.2 企业服务器搭建双机集群配置................................................................................................. 190

5.2.1 Heartbeat、Mon、Rsync简介..................................................................................... 190

5.2.2 安装环境........................................................................................................................... 191

5.2.3 安装Heartbeat................................................................................................................. 192

5.2.4 测试HA系统................................................................................................................... 195

5.2.5 Mon服务监控.................................................................................................................. 196

5.2.6 数据同步........................................................................................................................... 198

5.2.7 集群测试技术.................................................................................................................. 199

5.3 利用HA-OSCAR创建高可用Linux集群.............................................................................. 202

5.3.1 支持的发行版和系统要求............................................................................................. 202

5.3.2 HA-OSCAR的体系结构................................................................................................ 203

5.3.3 HA-OSCAR的向导安装步骤详解............................................................................... 205

5.3.4 监控和配置Webmin....................................................................................................... 208

5.3.5 小结................................................................................................................................... 213

5.4 WebLogic集群高可用案例....................................................................................................... 214

5.4.1 RHEL 5.4操作系统的安装............................................................................................ 215

5.4.2 Java环境的配置安装..................................................................................................... 216

5.4.3 设置环境变量.................................................................................................................. 216

5.4.4 WebLogic 11安装部署.................................................................................................. 217

5.4.5 启动WebLogic的AdminServer服务........................................................................ 223

5.4.6 部署Web应用................................................................................................................. 226

5.4.7 启动Web应用................................................................................................................. 228

5.4.8 WebLogic优化................................................................................................................ 229

第6章 FTP服务器的安全配置案例...................................................................................................... 231

6.1 VSFTP服务的基本配置............................................................................................................. 231

6.1.1 vsftpd服务的安装.......................................................................................................... 231

6.2 Linux下VSFTPD和ProFTPD用户集中管理........................................................................ 236

6.2.1 建立程序安装目录.......................................................................................................... 236

6.2.2 安装MySQL..................................................................................................................... 237

6.2.3 安装ProFTPD.................................................................................................................. 238

6.2.4 MySQL与ProFTPD组合.............................................................................................. 240

6.1.5 VSFTPD与MySQL的组合........................................................................................... 243

6.2.6 开机自动启动VSFTPD.................................................................................................. 245

6.3 在VSFTPD中实现对IP的安全管理案例............................................................................... 245

6.3.1 项目背景........................................................................................................................... 246

6.3.2 准备工作........................................................................................................................... 246

6.3.3 用于封禁和解封的Shell脚本...................................................................................... 247

6.3.4 部署实施........................................................................................................................... 248

6.3.5 小结................................................................................................................................... 249

6.4 暴力破解FTP服务器的技术探讨与防范................................................................................ 249

6.4.1 网络本身的负载能力与高速网络................................................................................ 249

6.4.2 CPU运算、处理能力低下的解决方法....................................................................... 251

6.4.3 安全策略的突破.............................................................................................................. 252

6.4.4 应对措施——第三方软件Fail2ban加固方法........................................................... 256

第7章部署IDS案例分析....................................................................................................................... 260

7.1 在Linux下部署IDS案例.......................................................................................................... 260

7.1.1 安装Snort......................................................................................................................... 260

7.1.2 维护Snort......................................................................................................................... 264

7.1.3 编写Snort规则............................................................................................................... 268

7.1.4 分析Snort规则............................................................................................................... 271

7.2 Linux下PortSentry的配置....................................................................................................... 276

7.2.1 入侵检测工具简介.......................................................................................................... 276

7.2.2 PortSentry的安装配置................................................................................................... 277

7.2.3 启动检测模式.................................................................................................................. 279

7.2.4 测试................................................................................................................................... 280

7.3 利用IP碎片绕过Snort............................................................................................................... 280

7.3.1 事件发生........................................................................................................................... 280

7.3.2 故障处理........................................................................................................................... 283

7.3.3 数据包解码....................................................................................................................... 284

7.3.4 针对IP碎片攻击的预防措施........................................................................................ 290

7.3.5 如何检测你的NIDS........................................................................................................ 291

7.3.6 服务器被入侵后应该做的5件事.................................................................................. 291

7.3.7 小结................................................................................................................................... 292

第8章虚拟化技术应用案例.................................................................................................................. 293

8.1 Linux下Wine虚拟机................................................................................................................ 293

8.1.1 Wine的体系结构............................................................................................................ 293

8.1.2 Wine运行的技术背景.................................................................................................... 294

8.1.3 Wine启动分析................................................................................................................ 295

8.1.4 Win32启动分析.............................................................................................................. 296

8.1.5 Winelib启动分析............................................................................................................ 296

8.1.6 Win16与DOS程序启动分析....................................................................................... 297

8.1.7 Wine安装......................................................................................................................... 297

8.2 基于SUSE LinuxServer上的Xen虚拟化应用..................................................................... 298

8.2.1 Xen和KVM虚拟化的对比.......................................................................................... 298

8.2.2 Xen的特点....................................................................................................................... 299

8.2.3 Xen架构和Xen虚拟化技术简介................................................................................ 299

8.2.4 安装使用SUSE Xen软件.............................................................................................. 300

8.2.5 引导Xen系统.................................................................................................................. 303

8.2.6 安装Xen客户机——Domain-U.................................................................................. 307

8.2.7 故障查询........................................................................................................................... 310

8.3 VMware HA在企业中的应用................................................................................................... 312

8.3.1 项目基本情况.................................................................................................................. 312

8.3.2 VMware资源动态分配的实现..................................................................................... 312

8.3.3 VMware高可用性的实现.............................................................................................. 312

8.3.4 高可用性集群的实现...................................................................................................... 313

第9章 Linux性能优化............................................................................................................................ 315

9.1 Linux 性能评估........................................................................................................................... 315

监测工具........................................................................................................................................ 315

9.2 网络性能优化............................................................................................................................... 324

9.2.1 网络性能........................................................................................................................... 324

9.2.2 TCP连接优化.................................................................................................................. 326

9.3 Oracle应用优化案例.................................................................................................................. 327

9.3.1 Oracle数据库性能优化................................................................................................. 327

9.3.2 Oracle数据库系统性能调优的方法............................................................................ 327

9.3.3 性能调优工具.................................................................................................................. 329

9.3.4 系统调整........................................................................................................................... 329

9.4 动态PHP网站优化案例............................................................................................................. 330

9.4.1 初期性能问题及处理...................................................................................................... 330

9.4.2 逐步解决问题.................................................................................................................. 330

9.4.3 网站结构优化.................................................................................................................. 330

第10章主机监控应用案例.................................................................................................................... 331

10.1 基于 Linux 系统的Nagios网络管理................................................................................... 331

10.1.1 Nagios 系统及特点...................................................................................................... 332

10.1.2 在Linux上运行 Nagios 系统................................................................................... 333

10.1.3 运用 Nagios 实现对网络上服务器的监控.............................................................. 334

10.1.4 对Nagios系统的评价和建议..................................................................................... 336

10.2 运用NRPE扩展Nagios功能.................................................................................................. 337

10.2.1 监控原理......................................................................................................................... 337

10.2.2 配置Nagios客户端...................................................................................................... 337

10.2.3 配置Nagios服务器端.................................................................................................. 339

10.3 利用飞信实现Nagios短信报警功能..................................................................................... 341

10.3.1 飞信简介......................................................................................................................... 341

10.3.2 安装与配置飞信............................................................................................................ 341

10.3.3 整合飞信到Nagios中.................................................................................................. 343

10.4 运用Ntop监控网络流量......................................................................................................... 344

10.4.1 几种流量采集技术的比较........................................................................................... 345

10.4.2 Ntop系统的部署及性能.............................................................................................. 346

10.4.3 Ntop安装配置............................................................................................................... 347

10.4.4 应用Ntop....................................................................................................................... 349

10.4.5 优化Ntop....................................................................................................................... 361

10.5 基于Linux的集群监控系统................................................................................................... 365

10.5.1 安装准备......................................................................................................................... 366

10.5.2 集群节点管理器部署Ganglia..................................................................................... 367

10.6 使用cheops-ng加强管理Linux网络................................................................................... 373

10.6.1 cheops-ng的工作原理................................................................................................. 373

10.6.2 cheops-ng的下载和安装............................................................................................. 373

10.6.3 cheops-ng的配置.......................................................................................................... 374

10.6.4 cheops-ng的运行.......................................................................................................... 378

10.7 打造开源安全信息管理平台................................................................................................... 380

10.7.1 OSSIM背景介绍........................................................................................................... 380

10.7.2 安装OSSIM.................................................................................................................... 384

10.7.3安装远程管理工具........................................................................................................... 385

10.7.5 配置解析......................................................................................................................... 389

10.7.6 分布式部署(VPN连接 )举例:.................................................................................... 389

10.7.7 OSSIM的系统配置....................................................................................................... 391

10.7.8 OSSIM的后台管理及配置.......................................................................................... 403

10.8 Ossim插件配置管理................................................................................................................. 408

10.8.1 原始日志格式对比........................................................................................................ 408

10.8.2 插件配置工作步骤........................................................................................................ 409

10.8.3 插件导入方法................................................................................................................ 410

14.6.5 收集Cisco防火墙日志................................................................................................ 414

10.8.4 收集CheckPoint设备日志.......................................................................................... 417

10.8.5 将Squid的日志收集到Ossim系统.......................................................................... 418

10.8.6 对日志中含有中文字符的处理方式.......................................................................... 419

10.8.7 Linux系统下网络服务日志方法总结....................................................................... 420

10.9 Ossim压力测试......................................................................................................................... 421

10.9.1 软硬件测试环境............................................................................................................ 421

10.9.2 测试项目：.................................................................................................................... 421

10.9.3 测试工具......................................................................................................................... 422

10.9.4 BT中的网络压力测试工具......................................................................................... 427

10.10 运用TC工具控制网络流量.................................................................................................. 429

10.10.1 相关概念...................................................................................................................... 429

10.10.2 使用TC......................................................................................................................... 430

10.10.3 创建HTB队列............................................................................................................ 431

10.9.4 为根队列创建相应的类别........................................................................................... 431

10.10.5 为各个类别设置过滤器............................................................................................. 431

10.10.6 应用实例...................................................................................................................... 432

第11章 iptables 防火墙应用案例......................................................................................................... 434

11.1 调整netfilter内核模块以限制P2P连接.............................................................................. 434

11.1.1 netfilter的结构框架..................................................................................................... 434

11.1.2 连线跟踪......................................................................................................................... 436

11.2 基于Linux的iptables/netfilter限制BT下载案例分析.................................................... 442

11.2.1 禁止基于标准协议的BT下载.................................................................................... 442

11.2.2 禁止下载者和Tracker服务器之间的交互.............................................................. 443

11.2.3 禁止下载者之间接连................................................................................................... 443

11.2.4 禁止基于非标准协议的BT下载............................................................................... 443

11.2.5 禁止BT客户端加入DHT网络.................................................................................. 445

11.2.6 小结................................................................................................................................. 448

11.3 基于iptables的Web认证系统的实现................................................................................. 448

11.3.1 引言................................................................................................................................. 448

11.3.2 系统应用模块................................................................................................................ 448

11.3.3 系统功能及实现方法................................................................................................... 449

11.3.4 系统性能与优化............................................................................................................ 451

11.4 运用iptables防御Syn Flood攻击......................................................................................... 452

11.4.1 传统的SYN Flood攻击防御方案.............................................................................. 452

11.4.2 基于iptables的动态包过滤防火墙........................................................................... 453

11.4.3 iptables和入侵检测软件的集成................................................................................ 454

11.4.4 测试结果和分析............................................................................................................ 454

11.4.5 性能优化......................................................................................................................... 455

11.4 iptables过滤实例...................................................................................................................... 456

11.4.1 过滤URL........................................................................................................................ 456

11.4.2 过滤关键字.................................................................................................................... 457

11.4.3 iptables过滤特定网段................................................................................................. 457

11.4.4 禁上某些网站................................................................................................................ 457

第12章数据备份与恢复......................................................................................................................... 459

12.1 运用SSH、Rsync实现数据自动备份................................................................................... 459

12.1.1 SSH无密码安全登录................................................................................................... 459

12.1.2 crontab定时数据同步.................................................................................................. 460

12.1.3 Rsync数据同步............................................................................................................. 461

12.2 用日志进行 MySQL数据库实时恢复.................................................................................. 461

12.2.1 设置二进制日志............................................................................................................ 462

12.2.2 简单的数据恢复............................................................................................................ 462

12.2.3 手动恢复数据................................................................................................................ 463

12.2.4 针对某一时间点恢复数据........................................................................................... 463

12.2.5 使用position参数恢复................................................................................................ 464

12.3 NetBackup安装、配置及管理............................................................................................... 465

12.3.1 NetBackup的基本概念................................................................................................ 465

12.3.2 安装NetBackup............................................................................................................ 466

12.3.3 NetBackup的配置........................................................................................................ 467

12.3.4 创建一个基本备份任务............................................................................................... 469

12.3.5 管理NetBackup............................................................................................................ 472

12.3.6 优化措施......................................................................................................................... 474

12.4 运用NetBackup进行Oracle备份和恢复............................................................................ 476

12.4.1 备份................................................................................................................................. 476

12.4.2 恢复过程......................................................................................................................... 483

第13章内核安全加固案例.................................................................................................................... 493

13.1 用VXE保护Linux系统安全................................................................................................. 493

13.1.1 VXE的工作原理........................................................................................................... 493

13.1.2 与chroot服务的比较................................................................................................... 494

13.1.3 VXE安装使用............................................................................................................... 496

13.1.4 小结................................................................................................................................. 497

13.2 用DSM模块来阻止缓冲区溢出............................................................................................ 498

13.2.1 初步认识缓冲区溢出................................................................................................... 498

13.2.2 用Gcc编译.................................................................................................................... 499

13.2.3 示例................................................................................................................................. 500

13.2.4 阻止缓冲区溢出攻击解决方案.................................................................................. 503

13.2.5 DSM与缓冲区溢出攻击.............................................................................................. 505

13.2.6 利用DSM阻止缓冲区溢出攻击................................................................................ 505

13.2.7 总结................................................................................................................................. 507

第14章远程连接..................................................................................................................................... 508

14.1 应用Linux远程桌面................................................................................................................ 508

14.1.1 X-window初步.............................................................................................................. 508

14.1.2 理解X server................................................................................................................. 509

14.1.3 Linux下配置XDM....................................................................................................... 511

14.1.4 Windows下X-Win32连接设置................................................................................ 513

14.1.5 小结................................................................................................................................. 514

14.2 远程控制VNC攻击案例研究................................................................................................. 515

14.2.1 功能强大的VNC工具：vncpwdump....................................................................... 515

14.2.2 使用vncpwdump进行渗透测试................................................................................ 516

14.2.3 针对VNC密码验证绕过漏洞的扫描........................................................................ 519

14.2.4 小结................................................................................................................................. 521

14.3 加固SSH 服务器九条............................................................................................................. 521

14.4 SSH/RDP远程访问审计方法.................................................................................................. 528

14.4.1 远程桌面审计实现........................................................................................................ 529

14.4.2 SSh审计实现................................................................................................................. 530

14.4.3 加密协议审计的实施................................................................................................... 530

附录A Linux系统软件包的依赖性问题............................................................................................... 532

A.1 什么是依赖性.............................................................................................................................. 532

A.2 动态可执行文件和共享对象..................................................................................................... 532

A.3 RPM软件包和共享库依赖性................................................................................................... 534

A.4 手动解决依赖性问题................................................................................................................. 535

A.5 自动解决依赖性故障................................................................................................................. 538

A.5.1 使用Yum来安装RPM软件包.................................................................................... 538

A.5.2 使用Yum安装新的Glibc软件包............................................................................... 538

A.6 关于升级Gilbc的建议.............................................................................................................. 539

A.7 总结........................................................................................................................................... 541

附件B 开源监控软件比较....................................................................................................................... 542

0 0