资源名称:LINUX企业应用案例精解 第2版 PDF
内容简介:
全书共14章,结合几十个经典案例,所讲解的内容无不来源于大中型企业生产一线的实践性总结。其中主要介绍了Web系统集成方法、漏洞测试方法和LAMP安全配置;配置OpenLDAP实现Linux下的应用统一认证;配置Postfix大型邮件系统;Oracle RAC数据库集群的配置与管理;Heartbeat、WebLogic和OSCAR高可用集群的搭建;VSFTP和ProFTP的整合管理;Snort在企业中的部署与管理;配置Xen和VMware的企业虚拟化应用;Linux系统和服务的安全防护策略和入侵案例分析;Nagios的安装和高级配置以及OSSIM配置和综合应用分析;Linux内核加固、iptables防火墙在企业中高级应用;利用Rsync进行数据自动化备份以及NetBackup安装配置与Oracle备份实例等。
本书适合Linux系统管理员、网络工程师、系统集成工程师使用,也适合作为大专院校计算机专业师生的参考书。
作者简介:
李晨光,毕业于中国科学院研究生院,就职于世界500强企业信息部门,资深网络架构师、IBM精英讲师、Linux系统安全专家,现任中国计算机学会(CCF)高级会员、会员代表;51CTO、IT专家网和ChinaUnix论坛专家博主;曾获2011~2013年度全国IT博客10强。从事IDC机房网络设备运维10年,持有Microsoft、Cisco、CIW多个IT认证;对Linux/UNIX、Windows Server操作系统、网络安全防护有深入研究。2012年受邀担任中国系统架构师大会(SACC)运维开发专场嘉宾主持人;先后在国内《计算机安全》、《程序员》、《计算机世界》、《网络运维与管理》、《黑客防线》、《办公自动化》等IT杂志发表专业论文六十余篇,撰写的技术博文广泛刊登在51CTO、IT168、ChinaUnix、赛迪网、天极网、比特网、ZDNet等国内知名IT网站。
资源目录:
第1章 Web系统集成与安全1
1.1 构建大型网站1
1.2 LAMP网站架构方案分析3
1.2.1 操作系统的选择3
1.2.2 Web服务器、缓存和PHP加速4
1.2.3 数据库4
1.3 LAMP 安装5
1.3.1 LAMP安装准备5
1.3.2 开始安装LAMP8
1.3.3 安装PHP扩展Eaccelerator 0.9.6.1加速软件11
1.3.4 安装Suhosin13
1.4 利用Nginx实现Web负载均衡13
1.3.1 安装、配置Nginx14
1.3.2 Nginx实施负载均衡20
1.3.3 设置Nginx 的反向代理配置21
1.3.4 在Nginx 负载均衡服务器上设置缓存22
1.4 Apache安全加固22
1.4.1 使用配置指令进行访问控制22
1.4.2 使用.htaccess进行访问控制23
1.4.3 使用认证和授权保护Apache25
1.4.4 使用Apache中的安全模块27
1.4.5 使用SSL保证Web通信安全28
1.4.6 其他安全措施30
1.5 利用Sphinx提高 LAMP应用检索性能34
Sphinx 安装过程34
1.6 Apache与Tomcat集成37
1.6.1 安装模块37
1.6.2 Tomcat5优化38
1.7 分析Apache网站状态40
1.7.1 AWStats简介40
1.7.2 安装AWStats41
1.7.3 配置AWStats41
1.7.4 应用AWStats分析日志42
1.7.5 扩展功能加入IP插件43
1.8 如何应对分布式拒绝服务(DDoS)的攻击44
1.8.1 DDoS攻击原理44
1.8.2 DDoS的检测方法47
1.8.3 防范DDoS攻击47
1.8.4 基于角色的防范51
1.8.5 小结53
1.9 案例实战:网站遭遇DDoS攻击53
1.9.1 事件发生53
1.9.2 事件分析56
1.9.3 针对措施57
1.9.4 小结61
1.10 基于开源的WEB应用防火墙(FreeWAF)62
1.10.1 安装FreeWAF注意事项62
1.10.2 FreeWAF网络部署64
1.10.3 防篡改设置65
1.11 Web漏洞扫描工具66
1.11.1 Nikto67
1.11.2 其他WEB检测工具69
1.11.3 利用开源软件扫描漏洞69
1.11.4 Fast-Track70
1.11.5 商业软件72
1.11.5 小结73
1.12 基于PHP 的SQL注入防范73
1.12.1 服务器端的安全配置73
1.12.2 PHP代码的安全配置74
1.12.3 PHP代码的安全编写74
1.12.4 小结75
1.13 SQL注入漏洞检测方法75
1.13.1 基本渗透测试75
1.14 BIND View 实现网通电信互访79
1.14.1 背景79
1.14.2 选择BIND解决方案79
1.14.3 BIND View方案80
1.14.4 方案实施步聚82
1.13.3 小结85
第2章 目录服务配置案例86
2.1 Linux下LDAP统一认证的实现86
2.1.1 LDAP概述86
2.1.2 实现思路87
2.1.3 使用LDAP做身份认证88
2.1.4 LDAP版本的选择89
2.1.5 LDAP软件的选择89
2.1.6 OpenLDAP的安装和配置89
2.1.7 轻松搞定LDAP账号管理92
2.1.8 配置Apache支持LDAP95
2.1.9 利用Smbldap-tool工具管理Samba97
2.1.10 利用Smbldap-tool初始化LDAP100
2.1.11 使用phpLDAPadmin管理LDAP服务器101
2.1.12 LDAP的安全管理103
2.2 利用LDAP实现Windows和Linux平台统一认证104
2.2.1 Linux认证104
2.2.2 Windows认证107
2.2.3 Linux+Windows统一认证109
第3章 基于Postfix的大型邮件系统案例112
3.1 基于Postfix的大型邮件系统112
3.1.1 Postfix与其他MTA的对比112
3.1.2 基本邮件服务器的搭建113
3.1.3 Postfix常见问题指南117
3.1.4 Postfix的反垃圾配置118
3.1.5 Postfix的反病毒配置120
3.1.6 自动监控Postfix邮件服务器122
3.2 搭建分布式的邮件系统123
3.2.1 搭建分布式邮件系统的架构设计123
3.2.2 邮件接收服务器的配置与设计124
3.2.3 用户邮件服务器的配置与设计125
3.3 利用Stunnel加密保护邮件服务器125
3.3.1 安装编译Stunnel126
3.3.2 保障IMAP安全126
3.3.3 保障POP3安全127
3.3.4 保障SMTP安全127
第4章 Oracle RAC 数据库集群在Linux系统下搭建案例129
4.1 确定Oracle系统的规模130
4.1.1 CPU规模的调整130
4.1.2 内存规模的调整131
4.1.3 I/O子系统的调整131
4.1.4 Raid磁盘子系统132
4.2 Oracle RAC设置流程132
4.2.1 安装前的系统关键配置133
4.2.2 配置主机解析文件hosts136
4.2.3 配置系统内核参数136
4.2.4 给Oracle用户配置Shell140
4.2.5 配置系统安全设置141
4.2.6 添加Oracle用户和组141
4.2.7 设置Oracle用户环境变量142
4.2.8 配置节点间的SSH信任143
4.2.9 配置共享存储系统144
4.2.10 建立和配置raw设备149
4.2.11 安装Oracle Clusterware151
4.2.12 安装Oracle数据库156
4.2.13 配置Oracle Net158
4.2.14 创建RAC数据库160
4.2.15 Oracle CRS的管理与维护167
4.2.16 测试Oracle RAC数据库的集群功能171
4.2.17 ASM基本操作176
第5章 企业集群案例分析180
5.1 基于Heartbeat 的双机热备系统范例180
5.1.1 准备工作180
5.1.2 安装Heartbeat181
5.1.3 配置/etc/ha.d/ha.cf181
5.1.4 配置/etc/ha.d/haresources182
5.1.5 配置haresources文件184
5.1.6 配置/etc/ha.d/authkeys184
5.1.7 在备份服务器上安装Heartbeat185
5.1.8 设置系统时间185
5.1.9 启动Heartbeat185
5.1.10 在备份服务器上启动Heartbeat187
5.1.11 检查主服务器上的日志文件188
5.1.12 停止并启动Heartbeat188
5.1.13 监视资源189
5.1.14 小结190
5.2 企业服务器搭建双机集群配置190
5.2.1 Heartbeat、Mon、Rsync简介190
5.2.2 安装环境191
5.2.3 安装Heartbeat192
5.2.4 测试HA系统195
5.2.5 Mon服务监控196
5.2.6 数据同步198
5.2.7 集群测试技术199
5.3 利用HA-OSCAR创建高可用Linux集群202
5.3.1 支持的发行版和系统要求202
5.3.2 HA-OSCAR的体系结构203
5.3.3 HA-OSCAR的向导安装步骤详解205
5.3.4 监控和配置Webmin208
5.3.5 小结213
5.4 WebLogic集群高可用案例214
5.4.1 RHEL 5.4操作系统的安装215
5.4.2 Java环境的配置安装216
5.4.3 设置环境变量216
5.4.4 WebLogic 11安装部署217
5.4.5 启动WebLogic的AdminServer 服务223
5.4.6 部署Web应用226
5.4.7 启动Web应用228
5.4.8 WebLogic优化229
第6章 FTP服务器的安全配置案例231
6.1 VSFTP服务的基本配置231
6.1.1 vsftpd服务的安装231
6.2 Linux下VSFTPD和ProFTPD用户集中管理236
6.2.1 建立程序安装目录236
6.2.2 安装MySQL237
6.2.3 安装ProFTPD238
6.2.4 MySQL与ProFTPD组合240
6.1.5 VSFTPD与MySQL的组合243
6.2.6 开机自动启动VSFTPD245
6.3 在VSFTPD中实现对IP的安全管理案例245
6.3.1 项目背景246
6.3.2 准备工作246
6.3.3 用于封禁和解封的Shell脚本247
6.3.4 部署实施248
6.3.5 小结249
6.4 暴力破解FTP服务器的技术探讨与防范249
6.4.1 网络本身的负载能力与高速网络249
6.4.2 CPU运算、处理能力低下的解决方法251
6.4.3 安全策略的突破252
6.4.4 应对措施——第三方软件Fail2ban加固方法256
第7章 部署IDS案例分析260
7.1 在Linux下部署IDS案例260
7.1.1 安装Snort260
7.1.2 维护Snort264
7.1.3 编写Snort规则268
7.1.4 分析Snort规则271
7.2 Linux下PortSentry的配置276
7.2.1 入侵检测工具简介276
7.2.2 PortSentry的安装配置277
7.2.3 启动检测模式279
7.2.4 测试280
7.3 利用IP碎片绕过Snort280
7.3.1 事件发生280
7.3.2 故障处理283
7.3.3 数据包解码284
7.3.4 针对IP碎片攻击的预防措施290
7.3.5 如何检测你的NIDS291
7.3.6 服务器被入侵后应该做的5件事291
7.3.7 小结292
第8章 虚拟化技术应用案例293
8.1 Linux下Wine虚拟机293
8.1.1 Wine的体系结构293
8.1.2 Wine运行的技术背景294
8.1.3 Wine启动分析295
8.1.4 Win32启动分析296
8.1.5 Winelib启动分析296
8.1.6 Win16与DOS程序启动分析297
8.1.7 Wine安装297
8.2 基于SUSE Linux Server上的Xen虚拟化应用298
8.2.1 Xen和KVM虚拟化的对比298
8.2.2 Xen的特点299
8.2.3 Xen架构和Xen虚拟化技术简介299
8.2.4 安装使用SUSE Xen软件300
8.2.5 引导Xen系统303
8.2.6 安装Xen客户机——Domain-U307
8.2.7 故障查询310
8.3 VMware HA在企业中的应用312
8.3.1 项目基本情况312
8.3.2 VMware资源动态分配的实现312
8.3.3 VMware高可用性的实现312
8.3.4 高可用性集群的实现313
第9章 Linux性能优化315
9.1 Linux 性能评估315
监测工具315
9.2 网络性能优化324
9.2.1 网络性能324
9.2.2 TCP连接优化326
9.3 Oracle应用优化案例327
9.3.1 Oracle数据库性能优化327
9.3.2 Oracle数据库系统性能调优的方法327
9.3.3 性能调优工具329
9.3.4 系统调整329
9.4 动态PHP网站优化案例330
9.4.1 初期性能问题及处理330
9.4.2 逐步解决问题330
9.4.3 网站结构优化330
第10章 主机监控应用案例331
10.1 基于 Linux 系统的Nagios网络管理331
10.1.1 Nagios 系统及特点332
10.1.2 在Linux上运行 Nagios 系统333
10.1.3 运用 Nagios 实现对网络上服务器的监控334
10.1.4 对Nagios系统的评价和建议336
10.2 运用NRPE扩展Nagios功能337
10.2.1 监控原理337
10.2.2 配置Nagios客户端337
10.2.3 配置Nagios服务器端339
10.3 利用飞信实现Nagios短信报警功能341
10.3.1 飞信简介341
10.3.2 安装与配置飞信341
10.3.3 整合飞信到Nagios中343
10.4 运用Ntop监控网络流量344
10.4.1 几种流量采集技术的比较345
10.4.2 Ntop系统的部署及性能346
10.4.3 Ntop安装配置347
10.4.4 应用Ntop349
10.4.5 优化Ntop361
10.5 基于Linux的集群监控系统365
10.5.1 安装准备366
10.5.2 集群节点管理器部署Ganglia367
10.6 使用cheops-ng加强管理Linux网络373
10.6.1 cheops-ng的工作原理373
10.6.2 cheops-ng的下载和安装373
10.6.3 cheops-ng的配置374
10.6.4 cheops-ng的运行378
10.7 打造开源安全信息管理平台380
10.7.1 OSSIM背景介绍380
10.7.2 安装OSSIM384
10.7.3安装远程管理工具385
10.7.5 配置解析389
10.7.6 分布式部署(VPN连接 )举例:389
10.7.7 OSSIM的系统配置391
10.7.8 OSSIM的后台管理及配置403
10.8 Ossim插件配置管理408
10.8.1 原始日志格式对比408
10.8.2 插件配置工作步骤409
10.8.3 插件导入方法410
14.6.5 收集Cisco防火墙日志414
10.8.4 收集CheckPoint设备日志417
10.8.5 将Squid的日志收集到Ossim系统418
10.8.6 对日志中含有中文字符的处理方式419
10.8.7 Linux系统下网络服务日志方法总结420
10.9 Ossim压力测试421
10.9.1 软硬件测试环境421
10.9.2 测试项目:421
10.9.3 测试工具422
10.9.4 BT中的网络压力测试工具427
10.10 运用TC工具控制网络流量429
10.10.1 相关概念429
10.10.2 使用TC430
10.10.3 创建HTB队列431
10.9.4 为根队列创建相应的类别431
10.10.5 为各个类别设置过滤器431
10.10.6 应用实例432
第11章 iptables 防火墙应用案例434
11.1 调整netfilter内核模块以限制P2P连接434
11.1.1 netfilter的结构框架434
11.1.2 连线跟踪436
11.2 基于Linux的iptables/netfilter限制BT下载案例分析442
11.2.1 禁止基于标准协议的BT下载442
11.2.2 禁止下载者和Tracker服务器之间的交互443
11.2.3 禁止下载者之间接连443
11.2.4 禁止基于非标准协议的BT下载443
11.2.5 禁止BT客户端加入DHT网络445
11.2.6 小结448
11.3 基于iptables的Web认证系统的实现448
11.3.1 引言448
11.3.2 系统应用模块448
11.3.3 系统功能及实现方法449
11.3.4 系统性能与优化451
11.4 运用iptables防御Syn Flood攻击452
11.4.1 传统的SYN Flood攻击防御方案452
11.4.2 基于iptables的动态包过滤防火墙453
11.4.3 iptables和入侵检测软件的集成454
11.4.4 测试结果和分析454
11.4.5 性能优化455
11.4 iptables过滤实例456
11.4.1 过滤URL456
11.4.2 过滤关键字457
11.4.3 iptables过滤特定网段457
11.4.4 禁上某些网站457
第12章 数据备份与恢复459
12.1 运用SSH、Rsync实现数据自动备份459
12.1.1 SSH无密码安全登录459
12.1.2 crontab定时数据同步460
12.1.3 Rsync数据同步461
12.2 用日志进行 MySQL数据库实时恢复461
12.2.1 设置二进制日志462
12.2.2 简单的数据恢复462
12.2.3 手动恢复数据463
12.2.4 针对某一时间点恢复数据463
12.2.5 使用position参数恢复464
12.3 NetBackup安装、配置及管理465
12.3.1 NetBackup的基本概念465
12.3.2 安装NetBackup466
12.3.3 NetBackup的配置467
12.3.4 创建一个基本备份任务469
12.3.5 管理NetBackup472
12.3.6 优化措施474
12.4 运用NetBackup进行Oracle备份和恢复476
12.4.1 备份476
12.4.2 恢复过程483
第13章 内核安全加固案例493
13.1 用VXE保护Linux系统安全493
13.1.1 VXE的工作原理493
13.1.2 与chroot服务的比较494
13.1.3 VXE安装使用496
13.1.4 小结497
13.2 用DSM模块来阻止缓冲区溢出498
13.2.1 初步认识缓冲区溢出498
13.2.2 用Gcc编译499
13.2.3 示例500
13.2.4 阻止缓冲区溢出攻击解决方案503
13.2.5 DSM与缓冲区溢出攻击505
13.2.6 利用DSM阻止缓冲区溢出攻击505
13.2.7 总结507
第14章 远程连接508
14.1 应用Linux远程桌面508
14.1.1 X-window初步508
14.1.2 理解X server509
14.1.3 Linux下配置XDM511
14.1.4 Windows下X-Win32连接设置513
14.1.5 小结514
14.2 远程控制VNC攻击案例研究515
14.2.1 功能强大的VNC工具:vncpwdump515
14.2.2 使用vncpwdump进行渗透测试516
14.2.3 针对VNC密码验证绕过漏洞的扫描519
14.2.4 小结521
14.3 加固SSH 服务器九条521
14.4 SSH/RDP远程访问审计方法528
14.4.1 远程桌面审计实现529
14.4.2 SSh审计实现530
14.4.3 加密协议审计的实施530
附录A Linux系统软件包的依赖性问题532
A.1 什么是依赖性532
A.2 动态可执行文件和共享对象532
A.3 RPM软件包和共享库依赖性534
A.4 手动解决依赖性问题535
A.5 自动解决依赖性故障538
A.5.1 使用Yum来安装RPM软件包538
A.5.2 使用Yum安装新的Glibc软件包538
A.6 关于升级Gilbc的建议539
A.7 总 结541
附件B 开源监控软件比较542
资源截图:
