《防线：企业Linux安全运维》读后感

由于概念居多整本书读下来会有一丝丝枯燥的感觉，但是内容很重要，这本书讲的是企业Linux的安全运维，作者从攻防两个方面来写的，攻击写的就比较简单只是粗略的介绍了一下概念，安全防护写的很细致，写了很多关于企业防护的技术和应用实例，介绍了一些常用的工具，内容很广泛，概念居多。个人认为要想更好的保护企业，仅仅知道防护的技术是不够的，还需要了解攻击的手段，以骇客的思维在原有的防护系统上加强防护。下面是我看完此书的有感（概括）：

“知己知彼”。第一章是“知彼”即黑客的攻击手段，包括病毒、特洛伊木马、网络钓鱼、DOS、DDOS、XSS、SQL注入、社工、中间人、密码等等攻击手段，以及黑客的攻击步骤（内容不多）。

第二章详细的叙述防护的技术和国际的标准来达到“知己”的目的，防护技术比如物理隔离、安全操作系统，（tips：密码设定不要过于简单），概述了数据安全技术管理和防护、防火墙技术（chapter 13）、入侵检测系统（chapter 14）、应用防护、VPN技术（chapter 10）：IDS/IPS,以及统一威胁管理、web防火墙（WAF）；数据的加密算法和其备份（chapter 9）；静态密码、短信密码、动态口令的身份验证技术等等来进行企业的防护。在后面，会有更加详细的介绍。

第三章从信息安全的概念、框架，运行安全、数据安全等实施内容说了企业安全的工作思路。第四章介绍Linux的发展史、Linux公开源码等主要特点和应用领域，如何选择Linux的版本，服务器选型以及安装部署的一些内容。

第五章是讲Linux企业安全的分析，文件的重要性以及文件管理权限，包括“su”，“sudo”的使用和区别；日志的分类，如何用命令行进行管理（包括who、w、users和last等命令），在实际使用syslog时需openlog和closelog函数一同使用否则就会造成内存不足引起系统问题；最后一节是介绍LIDS（Linux下的入侵检测和防护系统，）的使用。

第六章主要是安全加固：①：使用 ACL 进行灵活访问控制②使用 SELinux 强制访问控制；由于U-G-O访问控制机制在很多情况下难以满足实际文件/目录访问授权的需求，所以就有了ACL（由一系列的Access Entry所组成的）；然后作者从安全模型、目标策略、Linux安全增强机制原理、SELinux与传统Linux的区别介绍了SELinux并且说了一些关于SELinux使用的注意事项。

第七章,讲了web安全可能受到的威胁，HTTP的工作原理：连接、请求、应答、关闭连接，介绍了web服务器软件Apache的支持最新HTTP协议、支持HTTP认证等主要特征和安装实践，使用 的Jail软件包来简化chroot“监牢”建立的过程，从网络拓扑结构、安全原则、）审计和追踪、数据备份与恢复、漏洞挖掘五个方面来考虑Web 系统安全。

第八章，从企业域名服务安全防护和电子邮件服务安全防护两个方面描述了企业基础网络安全风险的防护。从DNS文件的配置，使用Dlint工具，用nslookup 命令、dig 命令检查DNS功能，配置辅助服务器和高速缓存服务器以达到更好的效果，以及用限制名字服务器递归查询、zone transfer、query、split DNS、隐藏 BIND 信息、用非root权限运行、使用dnstop工具等方法来达到防护的目的；除了安全使用 Sendmail Server、Postfix服务器，还有SMTP 用户认证技术、白名单、黑名单、逆向DNS解析、RBL、SpamAssassin等技术防范辣鸡邮件。

第九章说主要是将数据安全的防护，数据的加密（非对称加密、对称加密），公钥结构如何鉴别和保密，具体的应用介绍了GnuPG（基本用法：gpg [选项] [文件名]），安装使用SSH（Secure SHell）以及SSH的密钥管理、加密通道的设置（通过端口转发）。

第十章详细介绍了前面第二章提到的VPN技术，这是一项安全技术（但不是所有的VPN技术都是安全的），主要采用隧道技术、加密技术、密钥管理技术、身份认证技术来支持VPN的安全，在Linux上的VPN类型有IPSecVPN、PPP Over SSH（）、SSL VPN、点对点隧道协议、加密IP封装（CIPE），最后介绍了OpenVPN、IPSec VPN的使用与配置。

第十一章讲的是Xmanger、VNC的配置和使用，如何进行Linux服务器的远程管理。远程监控与管理技术主要用于远程技术支持和远程维护、监控和管理，远程管理项目主要有服务器、NAS 存储设备、路由器、交换机、防火墙、入侵检测系统等。

第十二章，从流量的识别、统计分析、限制等方面对流量管理进行了介绍，常见的流量包括HTTP 流量、FTP 流量、SMTP 流量、VoIP 流量、P2P 流量、Streaming 流量，介绍了：图形化工具 Wireshark的使用（捕包选项、协议过滤（Filter）选项、统计（statistics）选项），用tcpdump工具进行流量捕捉、使用NTOP进行流量分析，（NTOP 几乎可以监 测网络上的所有协议）。NTOP 工具与 tcpdump 或 Wireshark工具有极大的差异，它主要是提供网络报文的统计数据， 而不是报文的内容。

十三章详细介绍了前文提到过的防火墙技术，其主要框架是NetFilter/Ipatables，它们对流量进行细化控制，在Linux 2.4版本之后可以实现防火墙、NAT（网络地址翻译）和数据包的分割等功能NetFilter提供包过滤、NAT、数据包处理的功能，可以用Iptables编写防火墙规则（语法：iptables [-t table] command [match] [target），可以指定过滤掉某个来源的信息。还可以配合DMZ模式增加一道防线，增强安全性，增加DMZ时需要遵守DMZ 和内外网的访问关系。当然防火墙并不是绝对安全的，还需要结合其他技术一起来防护才能保证企业Linux安全。

第十四章先介绍了网络入侵检测工具Snort，它有：嗅探器、数据包记录器和网络入侵检测系统三种模式模式。Snort的规则动作有：alert、log、pass、activate、dynamic；支持：IP、TCP、UDP 和 ICMP五种协议，对Snort简单规则进行了举例，包括拒绝服务的攻击规则、SSH攻击报警规则、DNS对应规则，然后把规则的应用：检测尼达姆病毒、检测SNMP口令溢出等应用说明Snort的强大，最后就介绍了分布式 Snort 入侵监测系统的主要组成部分和其部署。

第十五章总共有三点：1.Linux性能测试工具，如下图。

 

2.内存监控：memory caches比 disk caches更快的时候系统中出现的错误页会较少；较少的空闲内存意味着缓存的使用更有效率；swap device 总是繁忙中，那就意味着内存已经不足，需要升级

3. IO性能监控包括：当CPU有等待 I/O 的情况时，那说明磁盘处于超负荷状态。计算你的磁盘能够承受多大的 IOPS 数。确定你的应用是属于随机或者顺序读取磁盘。监控磁盘慢需要比较 wait time（await）和 service time（svctm）。

第十六章：Cacti 网络监控工具及其插件的介绍、安装和使用。

第十七章讲的是如何发现网络漏洞扫描，一是端口扫描，主要种类有TCP 全连接扫描、TCP 半连接（SYN）扫描、UDP扫描、标志获取扫描、包分片、欺骗扫描、标识扫描、FTP反弹扫描、源端口扫描、主机扫描，可以用网络探测和安全扫描程序Nmap进行扫描；二是漏洞扫描，：网络漏洞扫描与主机漏洞扫描之间的优缺点与选择，Nessus安全扫描器的安装和使用，安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存在导致对手攻击的安全漏洞。

第十八章：企业典型和重要的操就是进行 Linux 内核重构，也就是根据实际的应用需求 进行内核定制、裁剪等工作，本章简要的介绍了Linux内核的相关知识以及操作。

 

第十九章：介绍了Amanda、BackupPC、Bacula、Xtar、Arkeia等安全备份工具；Sudo 是一款开源安全工具，常用于对 Root 权限进行控制和审计；NetCat是一款非常简单的UNIX工具，可以读、写TCP或UDP网络连接（network connection），它能被其他的程序或脚本直接地或容易地驱动，它又是一款功能丰富的网络调试和开发工具；然后又介绍了几个常用的工具：LSOF：隐蔽文件发现工具、Traceroute：路由追踪工具、XProbe：操作系统识别工具、SATAN：系统弱点发现工具。

总的来说，全书概念居多，总结了企业Linux运维的相关知识，以前一个个分散的知识点可以串联起来，对之前学的也是巩固。

--------------------- 本文来自 诗少意年 的CSDN 博客 ，全文地址请点击：https://blog.csdn.net/lkjx115107/article/details/82317848?utm_source=copy