Debian安全手册

源出处：

　　[url]http://www.linuxsir.org/bbs/showthread.php?t=173302[/url]

　　http://www.nl.debian.org/doc/manual...o/index.en.html

　　翻译:etony 转载请注明源自www.linuxsir.org

　　Debian 安全手册

　　摘要

　　本文档主要涉及Debian项目的安全部分. 其源于让缺省的 Debian GNU/Linux 发行版的安装过程更加安全和强壮. 同时也涉及一些常见的使用 Debian GNU/Linux 配置安全网络环境的任务, 提供了很多安全工具的附加信息, 并且对 Debian 安全小组如何加强安全策略进行讨论.

　　版权声明

　　Copyright © 2002, 2003, 2004 Javier Fern醤dez-Sanguino Pe馻

　　Copyright © 2001 Alexander Reelsen, Javier Fern醤dez-Sanguino Pe馻

　　Copyright © 2000 Alexander Reelsen

　　在遵守 GNU 公共许可证, Version 2 或自由软件基金会发布的更新版本的条款下, 授权复制, 发布以及/或者修改本文档. 本文档的发布寄予有用的期望，但不做任何保证.

　　在遵守并包含本文档版权声明的前提下，制作和发布本文档的完整拷贝是允许的.

　　在遵守上述完整拷贝版本有关版权声明的前提下，拷贝和发布基于本文档完整拷贝的修改版本是允许的，并且，发布所有通过修改本文档而得到的工作成果，须使用与本文档的许可声明一致的许可声明.

　　在遵守上述修改版本版权声明的前提下，拷贝和发布本文档其它语言的翻译版本是允许的，如果本许可声明有经自由软件基金会（Free Software Foundation）核准的当地化译本，则遵循当地化译本.

　　目录

　　* 1 介绍

　　o 1.1 作者

　　o 1.2 手册下载

　　o 1.3 组织信息与反馈

　　o 1.4 预备知识

　　o 1.5 需要添加一些内容(FIXME/TODO)

　　o 1.6 更新记录/历史

　　o 1.7 荣誉与感谢!

　　* 2 开始之前

　　o 2.1 系统用途

　　o 2.2 应当知道的一般性安全问题

　　o 2.3 Debian对安全问题的态度

　　* 3 安装前和安装时

　　o 3.1 选择一个BIOS密码

　　o 3.2 系统分区

　　o 3.3 准备好前不要连入互联网

　　o 3.4 设置root密码

　　o 3.5 激活shadow密码和MD5密码

　　o 3.6 运行最少服务需求

　　o 3.7 I安装最少数量的需求软件

　　o 3.8 阅读 Debian 的安全邮件列表

　　* 4 安装后

　　o 4.1 订阅 Debian 安全公告邮件列表

　　o 4.2 进行安全更新

　　o 4.3 修改 BIOS (再次)

　　o 4.4 设置 LILO 或 GRUB 密码

　　o 4.5 取消 root 的提示等待

　　o 4.6 禁用软盘启动

　　o 4.7 限制控制台登录

　　o 4.8 限制系统通过控制台重起

　　o 4.9 正确的挂接分区

　　o 4.10 提供安全的用户访问

　　o 4.11 使用 tcpwrappers

　　o 4.12 日志与警告的重要性

　　o 4.13 增加内核补丁

　　o 4.14 保护免受缓冲溢出

　　o 4.15 文件的安全传送

　　o 4.16 文件系统的限制和控制

　　o 4.17 安全的网络访问

　　o 4.18 生成系统快照

　　o 4.19 其它建议

　　* 5 增强系统上运行服务的安全性

　　o 5.1 ssh 安全化

　　o 5.2 Squid 安全化

　　o 5.3 FTP 安全化

　　o 5.4 对 X 窗口系统的安全访问

　　o 5.5 安全打印控制(lpd 和lprng 的问题)

　　o 5.6 邮件服务的安全化

　　o 5.7 增强 BIND 的安全性

　　o 5.8 增加 Apache 的安全性

　　o 5.9 增强 finger 的安全性

　　o 5.10 常用 chroot 和 suid

　　o 5.11 明文密码

　　o 5.12 禁用 NIS

　　o 5.13 禁用 RPC 服务

　　o 5.14 增加防火墙

　　* 6 Debian 系统安全配置的自动化

　　o 6.1 harden

　　o 6.2 Bastille Linux

　　* 7 Debian 的安全机制

　　o 7.1 Debian 安全小组

　　o 7.2 Debian 安全公告

　　o 7.3 Debian 安全构建机制

　　o 7.4 Debian中对软件包签字

　　* 8 Debian 中的安全工具

　　o 8.1 远程风险评估工具

　　o 8.2 网络扫描器工具

　　o 8.3 内部审计

　　o 8.4 源代码的审核

　　o 8.5 虚拟专用网

　　o 8.6 公钥机制 (PKI)

　　o 8.7 SSL 机制

　　o 8.8 病毒工具

　　o 8.9 GPG 代理

　　* 9 被攻陷之前

　　o 9.1 系统的及时更新

　　o 9.2 设置入侵检测

　　o 9.3 设置入侵检测

　　o 9.4 避免 root-kits

　　o 9.5 天才/偏执的主意 — 您能做些什么

　　* 10 攻陷之后(事件响应)

　　o 10.1 常见方法

　　o 10.2 备份系统

　　o 10.3 联系您当地的 CERT

　　o 10.4 法律评估

　　* 11 常见问题解答 (FAQ)

　　o 11.1 Debian操作系统的安全

　　o 11.2 我的系统存在漏洞!(您确认吗?)

　　o 11.3 有关 Debian 安全小组的问题

　　* A 增强安全性 step by step

　　* B 配置清单

　　* C 配置单机IDS

　　* D 配置网桥防火墙

　　o D.1 提供 NAT 和防火墙能力的网桥

　　o D.2 提供防火墙能力的网桥

　　o D.3 基本的 IPtables 规矩

　　* E 修改默认Bind安装的脚本范例.

　　* F 在防火墙的保护下安全更新

　　* G SSH 的 chroot 环境

　　o G.1 环境的自动构建(简单的方法)

　　o G.2 修补 SSH 使其具有 chroot 功能

　　o G.3 环境的手动配置(复杂的方法)

　　* H Apache 的 Chroot 环境

　　o H.1 介绍

　　o H.2 安装服务器

　　o H.3 其它