Debian安全指南 3.19

Debian安全指南

Javier Fernández-Sanguino Peña

jfs@debian.org

法律通告

Copyright © 2017 | SPI inc. | This material may only be distributed subject to the terms and conditions set forth in the GNU Free Documentation License (GFDL), V1.2 or later (the latest version is presently available at http://www.gnu.org/licenses/fdl.txt).

摘要

本文档主要涉及 Debian 项目的安全部分. 其源于让 Debian GNU/Linux 发行的版缺省安装过程更加安全和强壮. 同时也涉及一些常见的使用 Debian GNU/Linux 配置安全网络环境的任务, 提供了很多安全工具的附加信息, 并且对 Debian 安全小组如何加强安全策略进行讨论.

• 第 1 章 介绍
  • 1.1. 作者
  • 1.2. Where to get the manual (and available formats)
  • 1.3. Organizational notes/feedback
  • 1.4. 预备知识
  • 1.5. 需要添加一些内容(FIXME/TODO)
  • 1.6. Credits and thanks!
• 第 2 章 开始之前
  • 2.1. 系统用途
  • 2.2. 应当知道的一般性安全问题
  • 2.3. Debian 对安全问题的态度
• 第 3 章 安装前和安装过程中
  • 3.1. 选择一个 BIOS 密码
  • 3.2. 系统分区
  • 3.3. 准备好前不要连入互联网
  • 3.4. 设置root密码
  • 3.5. 运行最少服务需求
  • 3.6. 安装最少数量的需求软件
  • 3.7. 阅读 Debian 的安全邮件列表
• 第 4 章 After installation
  • 4.1. Subscribe to the Debian Security Announce mailing list
  • 4.2. 进行安全更新
  • 4.3. 修改 BIOS (再次)
  • 4.4. 设置 LILO 或 GRUB 密码
  • 4.5. Disable root prompt on the initramfs
  • 4.6. 取消 root 的提示等待
  • 4.7. 限制控制台登录
  • 4.8. 限制系统通过控制台重起
  • 4.9. Restricting the use of the Magic SysRq key
  • 4.10. 正确的挂接分区
  • 4.11. 提供安全的用户访问
  • 4.12. 使用 tcpwrappers
  • 4.13. 日志与警告的重要性
  • 4.14. 增加内核补丁
  • 4.15. 保护免受缓冲溢出
  • 4.16. 文件的安全传送
  • 4.17. File system limits and control
  • 4.18. 安全的网络访问
  • 4.19. 生成系统快照
  • 4.20. 其它建议
• 第 5 章 增强系统上运行服务的安全性
  • 5.1. ssh 安全化
  • 5.2. Squid 安全化
  • 5.3. FTP 安全化
  • 5.4. 对 X 窗口系统的安全访问
  • 5.5. Securing printing access (the lpd and lprng issue)
  • 5.6. 邮件服务的安全化
  • 5.7. 增强 BIND 的安全性
  • 5.8. 增加 Apache 的安全性
  • 5.9. 增强 finger 的安全性
  • 5.10. 常用 chroot 和 suid
  • 5.11. 明文密码
  • 5.12. 禁用 NIS
  • 5.13. 增强 RPC 服务的安全性
  • 5.14. 增加防火墙
• 第 6 章 Debian 系统安全配置的自动化
  • 6.1. harden
  • 6.2. Bastille Linux
• 第 7 章 Debian 的安全机制
  • 7.1. Debian 安全小组
  • 7.2. Debian 安全公告
  • 7.3. Security Tracker
  • 7.4. Debian 安全构建机制
  • 7.5. Debian 中对软件包签字
• 第 8 章 Debian 中的安全工具
  • 8.1. 远程风险评估工具
  • 8.2. 网络扫描器工具
  • 8.3. 内部审计
  • 8.4. 源代码的审核
  • 8.5. 虚拟专用网
  • 8.6. 公钥机制 (PKI)
  • 8.7. SSL 机制
  • 8.8. 病毒工具
  • 8.9. GPG 代理
• 第 9 章 Developer’s Best Practices for OS Security
  • 9.1. Best practices for security review and design
  • 9.2. Creating users and groups for software daemons
• 第 10 章 被攻陷之前
  • 10.1. Keep your system secure
  • 10.2. 周期性入侵检测
  • 10.3. 设置入侵检测
  • 10.4. 避免 root-kits
  • 10.5. Genius/Paranoia Ideas - what you could do
• 第 11 章 攻陷之后(事件响应)
  • 11.1. 常见方法
  • 11.2. 备份系统
  • 11.3. 联系您当地的 CERT
  • 11.4. 事故分析
  • 11.5. Analysis of malware
• 第 12 章 常见问题解答 (FAQ)
  • 12.1. Debian 操作系统的安全
  • 12.2. 特定软件
  • 12.3. 有关 Debian 安全小组的问题
• 附录 A. Revision History
• 附录 B. Appendix
  • B.1. 循序渐进安全化
  • B.2. 配置清单
  • B.3. 设定独立的 IDS
  • B.4. 设定网桥防火墙
  • B.5. 修改Bind默认安装的示例脚本.
  • B.6. 防火墙保护下的安全更新
  • B.7. Chroot environment for SSH