SUSE Linux Enterprise Server 15 SP3 安全和强化指南 PDF
本指南解释了系统安全性的基本概念,并介绍了本产品随附的安全软件(例如 AppArmor、SELinux 或审计系统)的用法。本指南还可帮助系统管理员强化安装的系统。
在您的系统中要以脱机方式使用,请参见安装的系统中 /usr/share/doc 下的文档。许多命令的手册页中也对相应命令进行了详细说明。要查看手册页,请运行 man 后跟特定的命令名。如果系统上未安装 man 命令,请使用 sudo zypper install man 加以安装。
安全和强化指南
前言
1. 可用文档
2. 改进文档
3. 文档约定
4. 支持
4.1. SUSE Linux Enterprise Server 支持声明
4.2. 技术预览
第 1 章 安全性和机密性
1.1. 概述
1.2. 口令
1.3. 备份
1.4. 系统完整性
1.5. 文件访问
1.6. 网络
1.7. 软件漏洞
1.8. 恶意软件
1.9. 重要安全提示
1.10. 报告安全问题
第 2 章 通用准则
2.1. 简介
2.2. 评估保障级别 (EAL)
2.3. 一般指导原则
2.4. 更多信息
第 I 部分 身份验证
第 3 章 通过 PAM 进行身份验证
3.1. PAM 是什么?
3.2. PAM 配置文件的结构
3.3. sshd 的 PAM 配置
3.4. PAM 模块的配置
3.4.1. pam_env.conf
3.4.2. pam_mount.conf.xml
3.4.3. limits.conf
3.5. 使用 pam-config 配置 PAM
3.6. 手动配置 PAM
3.7. 更多信息
第 4 章 使用 NIS
4.1. 配置 NIS 服务器
4.1.1. 配置 NIS 主服务器
4.1.2. 配置 NIS 从属服务器
4.2. 配置 NIS 客户端
第 5 章 使用 YaST 设置身份验证客户端
5.1. 使用 YaST 配置身份验证客户端
5.2. SSSD
5.2.1. 检查状态
5.2.2. 缓存
第 6 章 389 LDAP Directory Server
6.1. LDAP 目录树的结构
6.2. 安装 389 Directory Server
6.2.1. 设置新的 389 Directory Server 实例
6.2.2. 使用自定义配置文件创建 389 Directory Server 实例
6.2.3. 基于模板创建 389 Directory Server 实例
6.2.4. 停止和启动 389 Directory Server
6.2.5. 配置用于本地管理的管理员身份凭证
6.3. 防火墙配置
6.4. 管理 LDAP 用户和组
6.5. 设置 SSSD
6.6. 管理模块
6.7. 从 OpenLDAP 迁移到 389 Directory Server
6.7.1. 测试从 OpenLDAP 迁移
6.7.2. 规划迁移
6.8. 使用 TSL 的 CA 证书
6.9. 更多信息
第 7 章 使用 Kerberos 进行网络身份验证
7.1. 概念概述
7.2. Kerberos 术语
7.3. Kerberos 的工作原理
7.3.1. 首次联系
7.3.2. 请求服务
7.3.3. 相互身份验证
7.3.4. 票据授予 - 联系所有服务器
7.4. Kerberos 的用户视图
7.5. 安装和管理 Kerberos
7.5.1. Kerberos 网络拓扑
7.5.2. 选择 Kerberos 领域
7.5.3. 设置 KDC 硬件
7.5.4. 配置时间同步
7.5.5. 配置 KDC
7.5.5.1. 配置服务器
7.5.5.2. 设置数据库
7.5.5.3. 创建主体
7.5.5.4. 启动 KDC
7.5.6. 配置 Kerberos 客户端
7.5.6.1. 静态配置
7.5.6.2. 基于 DNS 的配置
7.5.6.3. 调整时钟偏差
7.5.7. 配置远程 Kerberos 管理
7.5.8. 创建 Kerberos 服务主体
7.5.9. 对 Kerberos 启用 PAM 支持
7.5.10. 配置 SSH 进行 Kerberos 身份验证
7.5.11. 使用 LDAP 和 Kerberos
7.5.11.1. 将 Kerberos 身份验证与 LDAP 搭配使用
7.5.11.2. 配置 SASL 身份映射
7.6. Kerberos 和 NFS
7.6.1. 组成员资格
7.6.2. 性能和可伸缩性
7.6.3. 主 KDC、多个域和信任关系
7.7. 更多信息
第 8 章 Active Directory 支持
8.1. 集成 Linux 和 Active Directory 环境
8.2. 有关 Linux Active Directory 支持的背景信息
8.2.1. 域加入
8.2.2. 域登录和用户主目录
8.2.3. 办公服务和策略支持
8.3. 为 Active Directory 配置 Linux 客户端
8.3.1. 选择用于连接 Active Directory 的 YaST 模块
8.3.2. 使用用户登录管理加入 Active Directory
8.3.3. 使用 Windows 域成员资格加入 Active Directory
8.3.4. 检查 Active Directory 连接状态
8.4. 登录到 Active Directory 域
8.4.1. GDM
8.4.2. 控制台登录
8.5. 更改口令
第 9 章 设置 freeRADIUS 服务器
9.1. 在 SUSE Linux Enterprise 上安装和测试
第 II 部分 本地安全性
第 10 章 物理安全性
10.1. 系统锁
10.2. 锁定 BIOS
10.3. 通过引导加载程序提供的安全性
10.4. 淘汰包含敏感数据的 Linux 服务器
10.4.1. scrub:磁盘重写实用程序
10.5. 限制对可移动媒体的访问
第 11 章 使用 seccheck 进行自动安全检查
11.1. Seccheck 计时器
11.2. 启用 seccheck 计时器
11.3. 每日、每周和每月检查
11.4. 自动注销
第 12 章 软件管理
12.1. 去除不需要的软件包 (RPM)
12.2. 修补 Linux 系统
12.2.1. YaST 联机更新
12.2.2. 自动联机更新
12.2.3. 储存库镜像工具 — RMT
12.2.4. SUSE Manager
第 13 章 文件管理
13.1. 磁盘分区
13.2. 检查文件权限和所有权
13.3. 默认的 umask
13.4. SUID/SGID 文件
13.5. 全局可写文件
13.6. 孤立文件或无拥有者的文件
第 14 章 加密分区和文件
14.1. 使用 YaST 设置加密文件系统
14.1.1. 在安装过程中创建加密分区
14.1.2. 在正在运行的系统上创建加密分区
14.1.3. 加密可移动媒体的内容
14.2. 使用 GPG 加密文件
第 15 章 使用 cryptctl 对托管应用程序的储存区加密
15.1. 设置 cryptctl 服务器
15.2. 设置 cryptctl 客户端
15.3. 使用服务器端命令检查分区解锁状态
15.4. 手动解锁加密分区
15.5. 维护停机过程
15.6. 更多信息
第 16 章 用户管理
16.1. 各种帐户检查
16.1.1. 未锁定的帐户
16.1.2. 未使用的帐户
16.2. 启用口令时效
16.3. 实施更强的口令
16.4. 使用 PAM 进行口令和登录管理
16.4.1. 口令强度
16.4.2. 限制使用先前的口令
16.4.3. 登录失败次数太多后锁定用户帐户
16.5. 限制 root 登录
16.5.1. 限制本地文本控制台登录
16.5.2. 限制图形会话登录
16.5.3. 限制 SSH 登录
16.6. 为交互式外壳会话设置无活动超时
16.7. 防止意外拒绝服务
16.7.1. 限制系统资源示例
16.8. 显示登录标题
16.9. 连接统计实用程序
第 17 章 Spectre/Meltdown Checker
17.1. 使用 spectre-meltdown-checker
17.2. 更多信息
第 18 章 使用 YaST 配置安全设置
18.1. 安全概览
18.2. 预定义安全配置
18.3. 口令设置
18.4. 引导设置
18.5. 登录设置
18.6. 用户添加
18.7. 其他设置
第 19 章 Linux 中的访问控制列表
19.1. 传统文件权限
19.1.1. setuid 位
19.1.2. setgid 位
19.1.3. 粘性位
19.2. ACL 的优势
19.3. 定义
19.4. 处理 ACL
19.4.1. ACL 项和文件模式权限位
19.4.2. 具有 ACL 的目录
19.4.3. 具有默认 ACL 的目录
19.4.3.1. 默认 ACL 的效果
19.4.3.2. 默认 ACL 的应用
19.4.4. ACL 检查算法
19.5. 应用程序中的 ACL 支持
19.6. 更多信息
第 20 章 证书存储区
20.1. 激活证书存储区
20.2. 导入证书
第 21 章 使用 AIDE 进行入侵检测
21.1. 为何要使用 AIDE?
21.2. 设置 AIDE 数据库
21.3. 本地 AIDE 检查
21.4. 独立于系统的检查
21.5. 更多信息
第 III 部分 网络安全性
第 22 章 X Window 系统和 X 身份验证
第 23 章 SSH:安全网络操作
23.1. ssh — 安全外壳
23.1.1. 在远程主机上启动 X 应用程序
23.1.2. 代理转发
23.2. scp — 安全复制
23.3. sftp — 安全文件传输
23.3.1. 使用 sftp
23.3.2. 设置文件上载权限
23.4. SSH 守护程序 (sshd)
23.4.1. 维护 SSH 密钥
23.4.2. 轮换主机密钥
23.5. SSH 身份验证机制
23.5.1. 生成 SSH 密钥
23.5.2. 复制 SSH 密钥
23.5.3. 使用 ssh-agent
23.5.3.1. 在 X 会话中使用 ssh-agent
23.5.3.2. 在终端会话中使用 ssh-agent
23.6. 端口转发
23.7. 在安装的系统上添加和去除公共密钥
23.8. 更多信息
第 24 章 掩蔽和防火墙
24.1. 使用 iptables 过滤包
24.2. 关于掩蔽的基础知识
24.3. 防火墙基础知识
24.4. firewalld
24.4.1. 使用 NetworkManager 配置防火墙
24.4.2. 在命令行上配置防火墙
24.4.2.1. 防火墙启动
24.4.2.2. 运行时配置与永久配置
24.4.2.3. 将接口指派到区域
24.4.2.4. 使网络服务可供访问
24.4.2.5. 锁定模式
24.4.2.6. 添加自定义 iptables 规则
24.4.2.7. 路由、转发和掩蔽
24.4.3. 访问监听动态端口的服务
24.4.3.1. 配置静态端口
24.4.3.2. 使用 firewall-rpcbind-helper 配置静态端口
24.5. 从 SuSEfirewall2 迁移
24.6. 更多信息
第 25 章 配置 VPN 服务器
25.1. 概念概述
25.1.1. 术语
25.1.2. VPN 方案
25.2. 设置简单测试方案
25.2.1. 配置 VPN 服务器
25.2.2. 配置 VPN 客户端
25.2.3. 测试 VPN 示例方案
25.3. 使用证书颁发机构设置 VPN 服务器
25.3.1. 创建证书
25.3.2. 配置 VPN 服务器
25.3.3. 配置 VPN 客户端
25.4. 使用 YaST 设置 VPN 服务器或客户端
25.5. 更多信息
第 26 章 使用 XCA、X 证书和密钥管理器管理 PKI
26.1. 安装 XCA
26.2. 创建新 PKI
26.2.1. 创建新的根 CA
26.2.2. 创建已签名的主机证书
26.2.3. 吊销证书
第 IV 部分 通过 AppArmor 限制特权
第 27 章 AppArmor 简介
27.1. AppArmor 组件
27.2. 有关 AppArmor 配置文件构建的背景信息
第 28 章 入门
28.1. 安装 AppArmor
28.2. 启用和禁用 AppArmor
28.3. 选择要构建配置文件的应用程序
28.4. 构建和修改配置文件
28.5. 更新您的配置文件
第 29 章 使程序免疫
29.1. AppArmor 框架简介
29.2. 确定要使其免疫的程序
29.3. 使 cron 作业免疫
29.4. 使网络应用程序免疫
29.4.1. 使 Web 应用程序免疫
29.4.2. 使网络代理免疫
第 30 章 配置文件组件和语法
30.1. 分解 AppArmor 配置文件
30.2. 配置文件类型
30.2.1. 标准配置文件
30.2.2. 未关联的配置文件
30.2.3. 本地配置文件
30.2.4. 帽子
30.2.5. 更改规则
30.3. Include 语句
30.3.1. 抽象
30.3.2. 程序块
30.3.3. Tunables
30.4. 功能项 (POSIX.1e)
30.5. 网络访问控制
30.6. 配置文件名称、标志、路径和通配
30.6.1. 配置文件标志
30.6.2. 在配置文件中使用变量
30.6.3. 模式匹配
30.6.4. 名称空间
30.6.5. 配置文件命名和附件规范
30.6.6. 别名规则
30.7. 文件权限访问模式
30.7.1. 读取模式 (r)
30.7.2. 写入模式 (w)
30.7.3. 追加模式 (a)
30.7.4. 文件锁定模式 (k)
30.7.5. 链接模式 (l)
30.7.6. 链接对
30.7.7. 可选的允许规则和文件规则
30.7.8. 拥有者条件规则
30.7.9. 拒绝规则
30.8. 挂载规则
30.9. Pivot Root 规则
30.10. PTrace 规则
30.11. 信号规则
30.12. 执行模式
30.12.1. 离散配置文件执行模式 (px)
30.12.2. 离散本地配置文件执行模式 (cx)
30.12.3. 未受限执行模式 (ux)
30.12.4. 不安全的执行模式
30.12.5. 继承执行模式 (ix)
30.12.6. 允许可执行映射 (m)
30.12.7. 命名配置文件转换
30.12.8. 配置文件转换的回退模式
30.12.9. 执行模式中的变量设置
30.12.10. safe 和 unsafe 关键字
30.13. 资源限制控制
30.14. 审计规则
第 31 章 AppArmor 配置文件储存库
第 32 章 使用 YaST 构建和管理配置文件
32.1. 手动添加配置文件
32.2. 编辑配置文件
32.2.1. 添加项
32.2.2. 编辑项
32.2.3. 删除项
32.3. 删除配置文件
32.4. 管理 AppArmor
32.4.1. 更改 AppArmor 状态
32.4.2. 更改单个配置文件的模式
第 33 章 从命令行构建配置文件
33.1. 检查 AppArmor 状态
33.2. 构建 AppArmor 配置文件
33.3. 添加或创建 AppArmor 配置文件
33.4. 编辑 AppArmor 配置文件
33.5. 卸载未知的 AppArmor 配置文件
33.6. 删除 AppArmor 配置文件
33.7. 构建配置文件的两种方式
33.7.1. 独立式配置文件构建
33.7.2. 系统性配置文件构建
33.7.3. 构建配置文件的工具汇总
33.7.3.1. aa-autodep — 创建大概的配置文件
33.7.3.2. aa-complain — 进入控诉或学习模式
33.7.3.3. aa-decode — 解码 AppArmor 日志文件中的十六进制编码字符串
33.7.3.4. aa-disable — 禁用 AppArmor 安全配置文件
33.7.3.5. aa-easyprof — 轻松生成配置文件
33.7.3.6. aa-enforce — 进入强制模式
33.7.3.7. aa-exec — 使用指定的配置文件限制程序
33.7.3.8. aa-genprof — 生成配置文件
33.7.3.9. aa-logprof — 扫描系统日志
33.7.3.10. aa-logprof 示例 1
33.7.3.11. aa-logprof 示例 2
33.7.3.12. aa-unconfined — 识别不受保护的进程
33.7.3.13. aa-notify
33.7.3.14. apparmor.vim
33.8. 重要的文件名和目录
第 34 章 使用 ChangeHat 构建 Web 应用程序的配置文件
34.1. 配置 Apache 以使用 mod_apparmor
34.1.1. 虚拟主机指令
34.1.2. 位置和目录指令
34.2. 管理 ChangeHat 感知型应用程序
34.2.1. 使用 AppArmor 的命令行工具
34.2.2. 在 YaST 中向帽子添加帽子和项
第 35 章 使用 pam_apparmor 限制用户
第 36 章 管理已构建配置文件的应用程序
36.1. 对安全事件拒绝做出反应
36.2. 维护安全配置文件
36.2.1. 备份安全配置文件
36.2.2. 更改安全配置文件
36.2.3. 将新软件引入您的环境
第 37 章 支持
37.1. 联机更新 AppArmor
37.2. 使用手册页
37.3. 更多信息
37.4. 查错
37.4.1. 如何应对应用程序行为异常?
37.4.2. 我的配置文件似乎不再正常工作...
37.4.3. 使用 Apache 解决问题
37.4.4. 如何从使用的配置文件列表中排除特定的配置文件?
37.4.5. 我是否可以管理未安装在我系统上的应用程序的配置文件?
37.4.6. 如何找出和修复 AppArmor 语法错误
37.5. 报告 AppArmor 的 Bug
第 38 章 AppArmor 术语表
第 V 部分 SELinux 对比
第 39 章 配置 SELinux
39.1. 为何要使用 SELinux?
39.1.1. 支持状态
39.1.2. 了解 SELinux 组件
39.2. 策略
39.3. 安装 SELinux 软件包并修改 GRUB 2
39.4. SELinux 策略
39.5. 配置 SELinux
39.6. 管理 SELinux
39.6.1. 查看安全环境
39.6.2. 选择 SELinux 模式
39.6.3. 修改 SELinux 环境类型
39.6.4. 应用文件环境
39.6.5. 配置 SELinux 策略
39.6.6. 使用 SELinux 模块
39.7. 查错
第 VI 部分 Linux 审计框架
第 40 章 了解 Linux 审计
40.1. Linux 审计组件简介
40.2. 配置审计守护程序
40.3. 使用 auditctl 控制审计系统
40.4. 将参数传递到审计系统
40.5. 了解审计日志和生成报告
40.5.1. 了解审计日志
40.5.2. 生成自定义审计报告
40.6. 使用 ausearch 查询审计守护程序日志
40.7. 使用 autrace 分析进程
40.8. 可视化审计数据
40.9. 中继审计事件通知
第 41 章 设置 Linux 审计框架
41.1. 确定要审计的组件
41.2. 配置审计守护程序
41.3. 对系统调用启用审计
41.4. 设置审计规则
41.5. 配置审计报告
41.6. 配置日志可视化
第 42 章 审计规则集简介
42.1. 添加基本审计配置参数
42.2. 添加审计日志文件和配置文件监测项
42.3. 监视文件系统对象
42.4. 监视安全配置文件和数据库
42.5. 监视其他系统调用
42.6. 过滤系统调用参数
42.7. 使用键管理审计事件记录
第 43 章 有用资源
附录 A. 实现 PCI DSS 合规
A.1. 什么是 PCI DSS?
A.2. 本文档的重点:与操作系统相关的方面
A.3. 要求详细说明
A.3.1. 要求 1:安装并维护防火墙配置以保护持卡人数据
A.3.2. 要求 2:不要使用供应商为系统口令和其他安全参数提供的默认值
A.3.3. 要求 3:保护存储的持卡人数据
A.3.4. 要求 4:对在开放的公共网络上传输的持卡人数据进行加密
A.3.5. 要求 5:保护所有系统免遭恶意软件的攻击,并定期更新防病毒软件或程序
A.3.6. 要求 6:开发并维护安全系统和应用程序
A.3.7. 要求 7:限制企业仅可访问其需要知道的持卡人数据
A.3.8. 要求 8:识别并验证对系统组件的访问
A.3.9. 要求 9:限制对持卡人数据的物理访问
A.3.10. 要求 10:跟踪并监控对网络资源和持卡人数据的所有访问
A.3.11. 要求 11:定期测试安全系统和流程
A.3.12. 要求 12:维护用于处理所有个人信息安全性的策略
附录 B. GNU licenses
B.1. GNU free documentation license
下载地址:https://www.wenjiangs.com/wp-content/uploads/staticcdn/pdf/fd7099c3-8bbeb92d.zip
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论