Product SiteDocumentation Site

Debian安全指南 3.19

Debian安全指南

Javier Fernández-Sanguino Peña

法律通告

Copyright © 2012 The Debian Project
GNU General Public License Notice:
This work is free documentation: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 2 of the License, or (at your option) any later version.
This work is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
You should have received a copy of the GNU General Public License along with this program. If not, see http://www.gnu.org/licenses/.

摘要

本文档主要涉及 Debian 项目的安全部分. 其源于让 Debian GNU/Linux 发行的版缺省安装过程更加安全和强壮. 同时也涉及一些常见的使用 Debian GNU/Linux 配置安全网络环境的任务, 提供了很多安全工具的附加信息, 并且对 Debian 安全小组如何加强安全策略进行讨论.
1. 介绍
1.1. 作者
1.2. 在哪里获取手册(以及可用的格式)
1.3. 组织信息与反馈
1.4. 预备知识
1.5. 需要添加一些内容(FIXME/TODO)
1.6. 荣誉与致谢!
2. 开始之前
2.1. 系统用途
2.2. 应当知道的一般性安全问题
2.3. Debian 对安全问题的态度
3. 安装前和安装过程中
3.1. 选择一个 BIOS 密码
3.2. 系统分区
3.2.1. 选择明智的分区方案
3.2.2. 选择合适的文件系统
3.3. 准备好前不要连入互联网
3.4. 设置root密码
3.5. 运行最少服务需求
3.5.1. 禁用守护进程服务
3.5.2. 禁用 inetd 服务
3.6. 安装最少数量的需求软件
3.6.1. 删除 Perl
3.7. 阅读 Debian 的安全邮件列表
4. After installation
4.1. Subscribe to the Debian Security Announce mailing list
4.2. 进行安全更新
4.2.1. Security update of libraries
4.2.2. Security update of the kernel
4.3. 修改 BIOS (再次)
4.4. 设置 LILO 或 GRUB 密码
4.5. Disable root prompt on the initramfs
4.6. 取消 root 的提示等待
4.7. 限制控制台登录
4.8. 限制系统通过控制台重起
4.9. Restricting the use of the Magic SysRq key
4.10. 正确的挂接分区
4.10.1. 将 /tmp 设为 noexec
4.10.2. 设置 /usr 为只读
4.11. 提供安全的用户访问
4.11.1. 用户认证: PAM
4.11.2. Password security in PAM
4.11.3. User access control in PAM
4.11.4. User limits in PAM
4.11.5. Control of su in PAM
4.11.6. Temporary directories in PAM
4.11.7. Configuration for undefined PAM applications
4.11.8. 资源的限制使用: limits.conf 文件
4.11.9. 用户登录: 编辑 /etc/login.defs
4.11.10. User login actions: edit /etc/pam.d/login
4.11.11. 限制ftp: 编辑 /etc/ftpusers
4.11.12. 使用 su
4.11.13. 使用 sudo
4.11.14. 禁止管理员远程访问
4.11.15. 限制用户访问
4.11.16. 用户检测
4.11.17. 检查用户的 profile
4.11.18. 设置用户的 umask
4.11.19. 限制用户查看/访问的内容
4.11.20. 生成用户密码
4.11.21. 用户密码检查
4.11.22. 注销闲置的用户
4.12. 使用 tcpwrappers
4.13. 日志与警告的重要性
4.13.1. 使用和定制 logcheck
4.13.2. 配置警告发送地
4.13.3. 使用日志主机
4.13.4. 日志文件的权限
4.14. 增加内核补丁
4.15. 保护免受缓冲溢出
4.15.1. 内核补丁对缓冲溢出的保护
4.15.2. 程序的溢出测试
4.16. 文件的安全传送
4.17. File system limits and control
4.17.1. 使用配额
4.17.2. The ext2 filesystem specific attributes (chattr/lsattr)
4.17.3. 文件系统的完整性检查
4.17.4. 设置 setuid 检查
4.18. 安全的网络访问
4.18.1. 配置内核的网络特性
4.18.2. Configuring syncookies
4.18.3. 增强启动时网络的安全性
4.18.4. 配置防火墙
4.18.5. 禁用弱客户主机问题
4.18.6. 保护系统免受 ARP 攻击
4.19. 生成系统快照
4.20. 其它建议
4.20.1. 不要使用基于 svgalib 的软件
5. 增强系统上运行服务的安全性
5.1. ssh 安全化
5.1.1. Chrooting ssh
5.1.2. ssh 客户端
5.1.3. 禁止文件传送
5.1.4. Restricing access to file transfer only
5.2. Squid 安全化
5.3. FTP 安全化
5.4. 对 X 窗口系统的安全访问
5.4.1. 检查您的显示管理器
5.5. Securing printing access (the lpd and lprng issue)
5.6. 邮件服务的安全化
5.6.1. 配置 Nullmailer
5.6.2. 提供对邮箱的安全访问
5.6.3. 安全的接收邮件
5.7. 增强 BIND 的安全性
5.7.1. 配置Bind以防误用
5.7.2. 管理 BIND 用户
5.7.3. 使名称服务器运行于 chroot 环境
5.8. 增加 Apache 的安全性
5.8.1. 禁止用户发布 web 内容
5.8.2. 日志文件权限
5.8.3. 发布 web 文件
5.9. 增强 finger 的安全性
5.10. 常用 chroot 和 suid
5.10.1. 自动配置 chroot 环境
5.11. 明文密码
5.12. 禁用 NIS
5.13. 增强 RPC 服务的安全性
5.13.1. Disabling RPC services completely
5.13.2. Limiting access to RPC services
5.14. 增加防火墙
5.14.1. 为本地系统构建放火墙
5.14.2. 使用防火墙保护其它系统
5.14.3. Setting up a firewall
6. Debian 系统安全配置的自动化
6.1. harden
6.2. Bastille Linux
7. Debian 的安全机制
7.1. Debian 安全小组
7.2. Debian 安全公告
7.2.1. 漏洞的交叉参考
7.2.2. CVE 兼容性
7.3. Security Tracker
7.4. Debian 安全构建机制
7.4.1. 安全更新的开发指南
7.5. Debian 中对软件包签字
7.5.1. The current scheme for package signature checks
7.5.2. Secure apt
7.5.3. Per distribution release check
7.5.4. Release check of non Debian sources
7.5.5. 可供选种的软包签名方案
8. Debian 中的安全工具
8.1. 远程风险评估工具
8.2. 网络扫描器工具
8.3. 内部审计
8.4. 源代码的审核
8.5. 虚拟专用网
8.5.1. 点对点隧道
8.6. 公钥机制 (PKI)
8.7. SSL 机制
8.8. 病毒工具
8.9. GPG 代理
9. Developer's Best Practices for OS Security
9.1. Best practices for security review and design
9.2. Creating users and groups for software daemons
10. 被攻陷之前
10.1. Keep your system secure
10.1.1. Tracking security vulnerabilities
10.1.2. 系统的及时更新
10.1.3. 避免使用 unstable 分支
10.1.4. Security support for the testing branch
10.1.5. 自动完成 Debian GNU/Linux 系统的更新
10.2. 周期性入侵检测
10.3. 设置入侵检测
10.3.1. 基于网络的入侵检测
10.3.2. 基于主机的入侵检测
10.4. 避免 root-kits
10.4.1. 可加载内核模块 (LKM)
10.4.2. 检测 root-kits
10.5. Genius/Paranoia Ideas - what you could do
10.5.1. 构建蜜罐
11. 攻陷之后(事件响应)
11.1. 常见方法
11.2. 备份系统
11.3. 联系您当地的 CERT
11.4. 事故分析
11.5. Analysis of malware
12. 常见问题解答 (FAQ)
12.1. Debian 操作系统的安全
12.1.1. Debian 比 X 更安全吗?
12.1.2. 我的系统存在漏洞!(您确认吗?)
12.2. 特定软件
12.2.1. proftpd is vulnerable to a Denial of Service attack.
12.2.2. After installing portsentry, there are a lot of ports open.
12.3. 有关 Debian 安全小组的问题
A. 修订历史
B. Appendix
B.1. 循序渐进安全化
B.2. 配置清单
B.3. 设定独立的 IDS
B.4. 设定网桥防火墙
B.4.1. 提供 NAT 和防火墙能力的网桥
B.4.2. 提供防火墙能力的网桥
B.4.3. Basic IPtables rules
B.5. 修改Bind默认安装的示例脚本.
B.6. 防火墙保护下的安全更新
B.7. Chroot environment for SSH
B.7.1. Chrooting the ssh users
B.7.2. Chrooting the ssh server
B.7.3. Chroot environment for Apache
B.7.4. 其它