[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]
编写安全文档最困难的事情之一是每个案例都是独一无二的。您必须注意两件事:威胁环境以及各个站点、主机或网络的安全需求。例如,家庭用户的安全需求与银行网络的安全需求完全不同。家庭用户需要面对的主要威胁是脚本小子类型的黑客,而银行网络则必须担心定向攻击。此外,银行必须以算术精度保护其客户的数据。简而言之,每个用户都必须考虑可用性与安全/偏执之间的权衡。
请注意,本手册仅涵盖与软件相关的问题。如果有人可以物理访问机器,那么世界上最好的软件也无法保护您。您可以将其放在桌子下,也可以将其放在带军队的加固掩体中。然而,如果桌面配置正确且受保护机器上的软件充满了安全漏洞,那么桌面计算机可能比物理保护的计算机更安全(从软件的角度来看)。显然,您必须同时考虑这两个问题。
本文档仅概述了您可以采取哪些措施来提高 Debian GNU/Linux 系统的安全性。如果您阅读过其他关于 Linux 安全的文档,您会发现一些常见的问题可能与本文档重叠。但是,本文档并非试图成为您将使用的信息的最终来源,而只是试图调整这些相同的信息,使其对 Debian GNU/Linux 系统有意义。不同的发行版以不同的方式做一些事情(守护进程的启动就是一个例子);在这里,您将找到适合 Debian 程序和工具的材料。
本文档的当前维护者是 Javier Fern�ndez-Sanguino Pe�a。请将您的任何意见、添加或建议转发给他,它们将被考虑包含在本手册的未来版本中。
本手册最初是由 Alexander Reelsen 作为 HOWTO 开始编写的。在互联网上发布后,Javier Fern�ndez-Sanguino Pe�a 将其纳入了 Debian 文档项目。许多人为本手册做出了贡献(所有贡献都列在变更日志中),但以下人员值得特别提及,因为他们提供了重大贡献(完整的章节或附录):
Stefano Canepa
Era Eriksson
Carlo Perassi
Alexandre Ratti
Jaime Robles
Yotam Rubin
Frederic Schutz
Pedro Zorzenon Neto
Oohara Yuuma
Davor Ocelic
您可以从 Debian 文档项目 下载或查看最新版本的 Debian 安全手册。如果您正在阅读来自其他站点的副本,请检查主副本,以防它提供新信息。如果您正在阅读翻译版本,请查看翻译所指的版本是否为可用的最新版本。如果您发现版本落后,请考虑使用原始副本或查看 变更日志/历史,第 1.6 节 以查看更改了哪些内容。
如果您想要手册的完整副本,您可以从 Debian 文档项目的站点下载 文本版本 或 PDF 版本。如果您打算将文档复制到便携式设备以供离线阅读,或者想要打印出来,这些版本可能更有用。请注意,该手册超过两百页长,并且由于使用的格式化工具,PDF 版本中某些代码片段未换行,可能会打印不完整。
文档还以文本、html 和 PDF 格式在 harden-doc 软件包中提供。但是请注意,该软件包可能与 Debian 站点上提供的文档不是完全同步的(但您始终可以使用源软件包自行构建更新的版本)。
本文档是由 Debian 文档项目 分发的文档的一部分。您可以使用 Web 浏览器查看文档中引入的更改,并从 在线版本控制日志 获取信息。您还可以使用 SVN 检出代码,方法是在命令行中调用以下命令
svn co svn://svn.debian.org/svn/ddp/manuals/trunk/securing-howto/
现在进入正式部分。目前,我 (Alexander Reelsen) 编写了本手册的大部分段落,但在我看来,情况不应如此。我与自由软件一起成长和生活,它是我日常使用的一部分,我想也是您的一部分。我鼓励大家向我发送反馈、提示、添加或您可能有的任何其他建议。
如果您认为您可以更好地维护某个章节或段落,请写信给文档维护者,欢迎您这样做。特别是如果您发现某个章节标记为 FIXME,这意味着作者还没有时间或没有关于该主题的必要知识。请立即给他们发送邮件。
本手册的主题清楚地表明,保持其更新非常重要,您可以为此尽一份力量。请贡献您的力量。
Debian GNU/Linux 的安装不是很困难,您应该能够安装它。如果您已经具备一些关于 Linux 或其他 Unix 的知识,并且对基本安全有点熟悉,那么理解本手册会更容易,因为本文档无法解释某个功能的每个小细节(否则这将是一本书而不是手册)。但是,如果您不太熟悉,您可能需要查看 注意一般安全问题,第 2.2 节,以了解在哪里可以找到更深入的信息。
本节描述了本手册中需要修复的所有内容。一些段落包含 FIXME 或 TODO 标记,描述了缺少哪些内容(或需要完成哪种类型的工作)。本节的目的是描述将来可以包含在本手册中的所有内容,或需要完成的增强功能(或添加后会很有趣的功能)。
如果您觉得可以帮助贡献内容来修复此列表(或内联注释)中的任何元素,请联系主要作者(作者,第 1.1 节)。
本文档尚未根据最新的 Debian 版本进行更新。某些软件包的默认配置需要进行调整,因为自本文档编写以来,它们已被修改。
扩展事件响应信息,也许可以添加一些从 Red Hat 安全指南的 事件响应章节 中派生的想法。
编写关于远程监控工具(用于检查系统可用性)的文章,例如 monit、daemontools 和 mon。请参阅 http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html。
考虑编写一个关于如何构建基于 Debian 的网络设备的部分(包含诸如基本系统、equivs 和 FAI 之类的信息)。
检查 http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf 是否包含此处尚未涵盖的相关信息。
添加关于如何使用 Debian 设置笔记本电脑的信息 http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf。
添加关于如何使用 Debian GNU/Linux 设置防火墙的信息。目前关于防火墙的部分面向单个系统(不保护其他人...),还要讨论如何测试设置。
添加关于使用 Debian GNU/Linux 设置代理防火墙的信息,明确说明哪些软件包提供代理服务(如 xfwp、ftp-proxy、redir、smtpd、dnrd、jftpgw、oops、pdnsd、perdition、transproxy、tsocks)。应指向任何其他信息的手册。请注意,zorp 现在作为 Debian 软件包提供,并且是一个代理防火墙(他们也提供上游 Debian 软件包)。
关于使用 file-rc 进行服务配置的信息。
检查所有参考 URL 并删除/修复那些不再可用的 URL。
添加关于常用服务器的可用替代品(在 Debian 中)的信息,这些替代品对于有限的功能很有用。示例
带有 cups 的本地 lpr (软件包)?
带有 lpr 的远程 lrp
带有 dnrd/maradns 的 bind
带有 dhttpd/thttpd/wn (tux?) 的 apache
带有 ssmtpd/smtpd/postfix 的 exim/sendmail
带有 tinyproxy 的 squid
带有 oftpd/vsftp 的 ftpd
...
更多关于 Debian 中与安全相关的内核补丁的信息,包括上面显示的补丁以及关于如何在 Debian 系统中启用这些补丁的具体信息。
Linux 入侵检测 (kernel-patch-2.4-lids)
Linux Trustees (在软件包 trustees 中)
linux-patch-openswan
关闭不必要的网络服务(除了 inetd)的详细信息,部分在强化程序中,但可以稍微扩展一下。
关于密码轮换的信息,这与策略密切相关。
策略,以及对用户进行策略教育。
更多关于 tcpwrappers 和一般 wrappers 的信息?
hosts.equiv 和其他主要安全漏洞。
文件共享服务器(如 Samba 和 NFS)的问题?
suidmanager/dpkg-statoverrides。
lpr 和 lprng。
关闭 GNOME IP 相关的东西。
讨论 pam_chroot (参见 http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html) 及其限制用户的有用性。介绍与 http://online.securityfocus.com/infocus/1575 相关的信息。例如,pdmenu 在 Debian 中可用(而 flash 不可用)。
讨论 chroot 服务,更多关于 http://www.linuxfocus.org/English/January2002/article225.shtml 的信息。
讨论制作 chroot jail 的程序。compartment 和 chrootuid 正在 incoming 中等待。还可以介绍其他一些程序 (makejail, jailer)。
更多关于日志分析软件的信息(即 logcheck 和 logcolorise)。
'高级'路由(流量策略与安全相关)。
限制 ssh 访问以运行某些命令。
使用 dpkg-statoverride。
在用户之间安全共享 CD 刻录机的方法。
除了网络显示功能外,还提供网络声音的安全方法(以便 X 客户端的声音在 X 服务器的声音硬件上播放)。
保护 Web 浏览器。
设置基于 ssh 的 ftp。
使用加密回环文件系统。
加密整个文件系统。
隐写术工具。
为组织设置 PKA。
使用 LDAP 管理用户。Turbo Fredrikson 在 http://www.bayour.com 上写了一篇关于 Debian 的 ldap+kerberos 的 HOWTO。
如何在生产系统中删除效用降低的信息,例如 /usr/share/doc、/usr/share/man(是的,隐蔽式安全)。
更多关于基于软件包 README 文件的 lcap 信息(好吧,还没在那里,请参阅 Bug #169465)以及来自 LWN 的文章:内核开发。
添加 Colin 关于如何为完整的 sid 系统设置 chroot 环境的文章 (http://people.debian.org/~walters/chroot.html)。
添加关于在给定系统中运行多个 snort 传感器的信息(检查发送给 snort 的错误报告)。
添加关于设置蜜罐 (honeyd) 的信息。
描述关于 FreeSwan(孤立)和 OpenSwan 的情况。VPN 部分需要重写。
添加关于数据库的特定章节,当前的安装默认值以及如何保护访问。
添加关于虚拟服务器(Xen 等)的有用性的章节。
解释如何使用一些完整性检查器(AIDE、integrit 或 samhain)。基本知识很简单,甚至可以解释一些配置改进。
Javier Fern�ndez-Sanguino Pe�a 的更改。
表明文档未根据最新版本更新。
更新指向当前来源位置的指针。
更新有关较新版本的安全更新的信息。
将开发人员的信息指向在线资源,而不是将信息保留在文档中,以防止重复。
修复附录中的 shell 脚本示例。
修复参考错误。
Javier Fern�ndez-Sanguino Pe�a 的更改。
更改对日志分析网站的引用,因为该网站不再可用。
Javier Fern�ndez-Sanguino Pe�a 的更改。
更改与选择文件系统相关的部分:请注意,ext3 现在是默认设置。
更改与 enigmail 相关的软件包的名称,以反映 Debian 中引入的命名更改。
Javier Fern�ndez-Sanguino Pe�a 的更改。
更改指向 Bastille Linux 的 URL,因为该域名已被 网络抢注者购买。
修复指向 Linux Ramen 和 Lion 蠕虫的指针。
在示例中使用 linux-image 而不是 (旧的) kernel-image 软件包。
修复 Francesco Poli 发现的错别字。
Javier Fern�ndez-Sanguino Pe�a 的更改。
更新与安全更新相关的信息。删除关于 Tiger 的文本,并包含关于 update-notifier 和 adept 工具(用于桌面)以及 debsecan 的信息。还包括一些指向其他可用工具的指针。
根据目标用户划分防火墙应用程序,并将 fireflier 添加到桌面防火墙应用程序列表中。
删除对 libsafe 的引用,它不再存档中(于 2006 年 1 月删除)。
修复 syslog 配置的位置,感谢 John Talbut。
Javier Fern�ndez-Sanguino Pe�a 的更改。感谢 Francesco Poli 对文档的广泛审查。
删除对 woody 版本的大多数引用,因为它不再可用(在存档中),并且不再提供对其的安全支持。
描述如何限制用户,以便他们只能进行文件传输。
添加了关于 debian-private 解密决定的注释。
更新了事件处理指南的链接。
添加注释,说明开发工具(编译器等)现在未安装在默认的“etch”安装中。
修复了对主安全服务器的引用。
添加了指向其他 APT-secure 文档的指针。
改进了 APT 签名的描述。
注释掉一些尚未最终确定的与镜像官方公钥相关的内容。
修复了 Debian Testing Security Team 的名称。
在示例中删除对 sarge 的引用。
更新了防病毒部分,clamav 现在在发行版上可用。还提到了 f-prot 安装程序。
删除了对 freeswan 的所有引用,因为它已过时。
描述了远程更改防火墙规则集相关的问题,并提供了一些提示(在脚注中)。
更新了与 IDS 安装相关的信息,提到了 BASE 以及设置日志数据库的需求。
重写了“以非 root 用户身份运行 bind”部分,因为这不再适用于 Bind9。还删除了对 init.d 脚本的引用,因为更改需要通过 /etc/default 完成。
删除了设置 iptables 规则集的过时方法,因为不再支持 woody。
恢复了关于 LOG_UNKFAIL_ENAB 的建议,它应设置为“no”(按照默认设置)。
添加了更多与使用桌面工具(包括 update-notifier)更新系统相关的信息,并描述了使用 aptitude 更新系统。还请注意,dselect 已弃用。
更新了 FAQ 的内容并删除了冗余段落。
审查和更新了与恶意软件的法医分析相关的部分。
删除或修复了一些死链接。
修复了 Francesco Poli 报告的许多错别字和语法错误。
Javier Fern�ndez-Sanguino Pe�a 的更改。
提供了使用 apt-cache 的 rdepends 的示例,如 Ozer Sarilar 所建议的那样。
修复了 Squid 用户手册的位置,原因是其维护者 Oskar Pearson 通知其已重新定位。
修复了关于 umask 的信息,它是 logins.defs(而不是 limits.conf),可以在其中为所有登录连接配置 umask。还说明了 Debian 的默认值,以及用户和 root 更严格的值。感谢 Reinhard Tartler 发现了这个错误。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了关于如何跟踪安全漏洞的信息,并添加了对 Debian Testing Security Tracker 的引用。
添加了更多关于测试的安全支持的信息。
修复了 Simon Brandmair 提供的补丁中的大量错别字。
添加了由 Max Attems 提供的关于如何在 initramfs 上禁用 root 提示符的部分。
删除了对 queso 的引用。
请注意,测试现在在简介中受到安全支持。
Javier Fern�ndez-Sanguino Pe�a 的更改。
重写了关于如何设置 ssh chroot 的信息,以澄清可用的不同选项,感谢 Bruce Park 提出了本附录中的不同错误。
修复了 Christophe Sahut 建议的 lsof 调用。
包含来自 Uwe Hermann 的错别字修复补丁。
修复了 Moritz Naumann 发现的参考中的错别字。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了关于 Debian 开发人员安全最佳实践的部分。
使用 WhiteGhost 的评论修改了防火墙脚本。
Javier Fern�ndez-Sanguino Pe�a 的更改。
包含来自 Thomas Sj�gren 的补丁,该补丁描述了 noexec 在“新”内核中按预期工作,添加了关于 tempfile 处理的信息,以及一些指向外部文档的新指针。
添加了指向 Dan Farmer 和 Wietse Venema 的法医发现网站的指针,如 Freek Dijkstra 所建议的那样,并稍微扩展了法医分析部分,添加了更多指针。
修复了意大利 CERT 的 URL,感谢 Christoph Auer。
重用 Joey Hess 在 wiki 上关于安全 apt 的信息,并将其引入基础设施部分。
审查了引用旧版本(woody 或 potato)的部分。
修复了 Simon Brandmair 的补丁中的一些外观问题。
包含来自 Carlo Perassi 的补丁:acl 补丁已过时,openwall 补丁也已过时,删除了关于 2.2 和 2.4 系列内核的 fixme 注释,hap 已过时(并且不在 WNPP 中),删除了对 Immunix 的引用(StackGuard 现在掌握在 Novell 手中),并修复了关于使用 bsign 或 elfsign 的 FIXME。
更新了 SElinux 网页的引用,以指向 Wiki(目前是最新的信息来源)。
包含文件标签,并使用 Jens Seidel 的补丁更一致地使用“MD5 sum”。
来自 Joost van Baal 的补丁改进了防火墙部分的信息(指向 wiki 而不是列出所有可用的防火墙软件包)(Closes: #339865)。
审查了关于漏洞统计的 FAQ 部分,感谢 Carlos Galisteo de Cabo 指出它已过时。
使用社会契约 1.1 中的引文而不是 1.0,如 Francesco Poli 所建议的那样。
Javier Fern�ndez-Sanguino Pe�a 的更改。
在 SSH 部分注释说,如果在使用分区中的 nodev 选项,则 chroot 将不起作用,并指向带有 chroot 补丁的最新 ssh 软件包,感谢 Lutz Broedel 指出这些问题。
修复了 Marcos Roberto Greiner 发现的错别字(代码片段中的 md5sum 应为 sha1sum)。
包含 Jens Seidel 的补丁,修复了许多软件包名称和错别字。
略微更新了工具部分,删除了不再可用的工具,并添加了一些新工具。
重写了与在哪里找到本文档以及哪些格式可用相关的部分(该网站确实提供了 PDF 版本)。另请注意,其他网站上的副本和翻译可能已过时(许多在其他网站上搜索手册的 Google 点击实际上已过时)。
Javier Fern�ndez-Sanguino Pe�a 的更改。
改进了安装后与内核配置相关的安全增强功能,以实现网络级保护,使用了 Will Moy 提供的 sysctl.conf 文件。
改进了 gdm 部分,感谢 Simon Brandmair。
来自 Fr�d�ric Bothamy 和 Simon Brandmair 的错别字修复。
改进了安装后部分,与如何生成二进制文件的 MD5(或 SHA-1)校验和以进行定期审查相关。
更新了安装后部分,关于 checksecurity 配置(已过时)。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了代码片段,以使用 grep-available 生成依赖于 Perl 的软件包列表。如 #302470 中所请求的那样。
重写了关于网络服务的部分(安装了哪些网络服务以及如何禁用它们)。
在蜜罐部署部分添加了更多信息,提到了有用的 Debian 软件包。
Javier Fern�ndez-Sanguino Pe�a 的更改。
扩展了 PAM 配置限制部分。
添加了关于如何为 openssh 使用 pam_chroot 的信息(基于 pam_chroot 的 README)。
修复了 Dan Jacobson 报告的一些小问题。
部分更新了内核补丁信息,基于 Carlo Perassi 的补丁,并且还添加了弃用说明和新的可用内核补丁 (adamantix)。
包含来自 Simon Brandmair 的补丁,该补丁修复了与终端登录失败相关的句子。
将 Mozilla/Thunderbird 添加到有效的 GPG 代理,如 Kapolnai Richard 所建议的那样。
扩展了关于安全更新的部分,提到了库和内核更新以及如何检测何时需要重新启动服务。
重写了防火墙部分,将适用于 woody 的信息向下移动,并扩展了其他部分,包括关于如何手动设置防火墙(使用示例脚本)以及如何测试防火墙配置的一些信息。
添加了一些为 3.1 版本做准备的信息。
添加了更详细的内核升级信息,特别是针对那些使用旧安装系统的人。
添加了一个关于实验性 apt 0.6 版本的小节,该版本提供了软件包签名检查。将旧内容移动到该部分,并添加了指向 aptitude 中所做更改的指针。
Fr�d�ric Bothamy 发现的错别字修复。
Javier Fern�ndez-Sanguino Pe�a 的更改。
使用来自 Joost van Baal 的补丁,澄清了 ro /usr。
应用来自 Jens Seidel 的补丁,修复了许多错别字。
FreeSWAN 已死,OpenSWAN 万岁。
添加了关于限制对 RPC 服务访问的信息(当无法禁用 RPC 服务时),还包括了 Aarre Laakso 提供的补丁。
更新 aj 的 apt-check-sigs 脚本。
应用 Carlo Perassi 补丁,修复 URL。
应用来自 Davor Ocelic 的补丁,修复了许多错误、错别字、url、语法和 FIXME。还为某些部分添加了一些附加信息。
重写了关于用户审计的部分,突出显示了脚本的使用,该脚本没有与 shell 历史记录相关联的一些问题。
Javier Fern�ndez-Sanguino Pe�a 的更改。
重写了用户审计信息,并包括关于如何使用 script 的示例。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了关于 DSA 和 CVE 兼容性中引用的信息。
添加了关于 apt 0.6 的信息(apt-secure 合并到 experimental 中)。
修复了 Chroot 守护进程 HOWTO 的位置,如 Shuying Wang 所建议的那样。
更改了 Apache chroot 示例中的 APACHECTL 行(即使根本没有使用),如 Leonard Norrgard 所建议的那样。
如果分区设置不正确,则添加了关于硬链接攻击的脚注。
添加了一些运行 bind 作为 named 的缺失步骤,由 Jeffrey Prosa 提供。
添加了关于 Nessus 和 Snort 在 woody 中过时以及 backported 软件包的可用性的注释。
添加了关于定期完整性测试检查的章节。
澄清了关于安全更新的测试状态(Debian bug 233955)。
添加了更多关于 securetty 中预期内容的信息(因为它是内核特定的)。
添加了指向 snoopylogger 的指针(Debian bug 179409)。
添加了对 guarddog 的引用(Debian bug 170710)。
apt-ftparchive 在 apt-utils 中,而不是在 apt 中(感谢 Emmanuel Chantreau 指出这一点)。
从 AV 列表中删除了 jvirus。
Javier Fern�ndez-Sanguino Pe�a 的更改。
修复了 Frank Lichtenheld 建议的 URL。
修复了 Stefan Lindenau 建议的 PermitRootLogin 错别字。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了对本手册做出最重大贡献的人员(如果您认为您应该在列表中但不在列表中,请给我发邮件)。
添加了一些关于 FIXME/TODO 的简短说明。
将关于安全更新的信息移动到本节的开头,如 Elliott Mitchell 所建议的那样。
将 grsecurity 添加到内核安全补丁列表中,但添加了关于当前问题的脚注,如 Elliott Mitchell 所建议的那样。
删除了内核网络安全脚本中的循环(echo to 'all'),如 Elliott Mitchell 所建议的那样。
在防病毒部分添加了更多(最新的)信息。
重写了缓冲区溢出保护部分,并添加了更多关于编译器补丁的信息,以启用此类保护。
Javier Fern�ndez-Sanguino Pe�a 的更改。
删除(然后重新添加)了关于 chrooting Apache 的附录。该附录现在是双重许可的。
Javier Fern�ndez-Sanguino Pe�a 的更改。
修复了 Leonard Norrgard 发现的错别字。
添加了关于如何联系 CERT 以进行事件处理的部分 (#after-compromise)。
更多关于设置 Squid 代理的信息。
添加了一个指针并删除了一个 FIXME,感谢 Helge H. F。
修复了 Philippe Faes 发现的错别字 (save_inactive)。
修复了 Jaime Robles 发现的几个错别字。
Javier Fern�ndez-Sanguino Pe�a 的更改。
根据 Maciej Stachura 的建议,我扩展了关于限制用户的部分。
修复了 Wolfgang Nolte 发现的错别字。
修复了 Ruben Leote Mendes 贡献的补丁中的链接。
在关于计算安全漏洞的脚注中添加了指向 David Wheeler 的优秀文档的链接。
Fr�d�ric Sch�tz 做的更改。
完全重写了 ext2 属性 (lsattr/chattr) 的部分。
Javier Fern�ndez-Sanguino Pe�a 和 Fr�d�ric Sch�tz 做的更改。
将第 9.3 节(“有用的内核补丁”)合并到第 4.13 节(“添加内核补丁”)中,并添加了一些内容。
添加了一些 TODO。
添加了关于如何手动检查更新以及 cron-apt 的信息。这样 Tiger 就不会被认为是进行自动更新检查的唯一方法。
由于 Jean-Marc Ranger 的评论,稍微重写了关于执行安全更新的部分。
在 Debian 安装中添加了一个注释(这将建议用户在安装后立即执行安全更新)。
Javier Fern�ndez-Sanguino Pe�a(我)做的更改。
添加了 Fr�d�ric Sch�tz 贡献的补丁。
感谢 Fr�d�ric,添加了一些关于 capabilities 的参考。
Bind 部分的细微更改,添加了指向 BIND 9 在线文档的参考,并在第一个区域添加了正确的参考(嗨 Pedro!)。
修复了变更日志日期 - 新年 :-)。
为 TODO 添加了指向 Colin 文章的参考。
删除了对旧 ssh+chroot 补丁的引用。
更多来自 Carlo Perassi 的补丁。
错别字修复(Bind 中的 recursive 是 recursion),由 Maik Holtkamp 指出。
Javier Fern�ndez-Sanguino Pe�a(我)做的更改。
重新组织了关于 chroot 的信息(合并了两个部分,将它们分开没有多大意义)。
添加了 Alexandre Ratti 提供的关于 chrooting Apache 的注释。
应用了 Guillermo Jover 贡献的补丁。
Javier Fern�ndez-Sanguino Pe�a(我)做的更改。
应用了来自 Carlo Perassi 的补丁,修复包括:重新换行、URL 修复以及修复了一些 FIXME。
更新了 Debian 安全团队 FAQ 的内容。
添加了指向 Debian 安全团队 FAQ 和 Debian 开发人员参考的链接,重复的部分可能会(只是可能会)在未来删除。
修复了手动的审计部分,使用了 Michal Zielinski 的评论。
添加了指向单词列表的链接(由 Carlo Perassi 贡献)。
修复了一些错别字(仍然有很多)。
修复了 John Summerfield 建议的 TDP 链接。
Javier Fern�ndez-Sanguino Pe�a (我) 的更改。注意:我的邮箱中仍有大量待处理的更改(目前大小约为 5 Mbs)。
Tuyen Dinh、Bartek Golenko 和 Daniel K. Gebhart 贡献的一些错别字修正。
Laurent Bonnaud 贡献的关于 /dev/kmem rootkit 的说明。
Carlo Perassi 贡献的错别字和 FIXME 修正。
Chris Tillman 的更改,tillman@voicetrak.com。
修改了一些内容以改进语法/拼写。
s/host.deny/hosts.deny/ (1 处)。
应用了 Larry Holish 的补丁(相当大,修复了很多 FIXME)。
Javier Fern�ndez-Sanguino Pe�a(我)做的更改。
Thiemo Nagel 提交的次要错别字修正。
添加了 Thiemo Nagel 建议的脚注。
修复了一个 URL 链接。
Javier Fern�ndez-Sanguino Pe�a (我) 的更改。我的收件箱中有很多(最早可追溯到 2 月份)等待包含的内容,所以我将此版本标记为蜜月归来版本 :)。
应用了 Philipe Gaspar 贡献的关于 Squid 的补丁,该补丁也消除了一个 FIXME。
又一个关于服务标语的常见问题解答项,取自 debian-security 邮件列表(主题为“Telnet information”,始于 2002 年 7 月 26 日)。
在Debian 安全团队需要多少时间...常见问题解答项中添加了关于使用 CVE 交叉引用的说明。
添加了由 Arnaud "Arhuman" Assad 贡献的关于 ARP 攻击的新章节。
关于内核的 dmesg 和控制台登录的新常见问题解答项。
关于软件包中签名检查问题的小信息(似乎未通过 beta 版本)。
关于漏洞评估工具误报的新常见问题解答项。
在包含软件包签名信息的章节中添加了新章节,并将其重组为一个新的Debian 安全基础设施章节。
关于 Debian 与其他 Linux 发行版的新常见问题解答项。
在安全工具章节中关于具有 GPG/PGP 功能的邮件用户代理的新章节。
阐明了如何在 woody 中启用 MD5 密码,添加了指向 PAM 的指针,以及关于 PAM 中最大定义的说明。
添加了一个关于如何创建 chroot 环境的新附录(在稍微调整了 makejail 并修复了它的一些错误之后),整合了所有附录中的重复信息。
添加了一些关于 SSH chrooting 及其对安全文件传输的影响的更多信息。一些信息来自 debian-security 邮件列表(2002 年 6 月主题:安全文件传输)。
关于如何在 Debian 系统上进行自动更新以及使用测试或不稳定版本在安全更新方面的注意事项的新章节。
关于在妥协之前部分中保持安全补丁更新的新章节,以及关于 debian-security-announce 邮件列表的新章节。
添加了关于如何自动生成强密码的信息。
关于空闲用户登录的新章节。
基于 debian-security 邮件列表(2002 年 5 月)上的安全/加固/最小化 Debian(或“为什么基本系统是这样的?”)主题,重组了保护邮件服务器部分。
重组了关于内核网络参数的部分,其中信息来自 debian-security 邮件列表(2002 年 5 月,SYN 洪水攻击?主题),并添加了一个新的常见问题解答项。
关于如何检查用户密码以及为此安装哪些软件包的新章节。
在 debian-security 邮件列表(2002 年 4 月)中讨论的关于使用微软客户端进行 PPTP 加密的新章节。
添加了一个新章节,描述了将任何给定服务绑定到特定 IP 地址时存在的问题,此信息基于 Bugtraq 邮件列表中的主题编写:Linux kernel 2.4 "弱终端主机" 问题(之前在 debian-security 上讨论为 "arp 问题")(由 Felix von Leitner 于 2002 年 5 月 9 日发起)。
添加了关于 ssh 协议版本 2 的信息。
添加了两个与 Apache 安全配置相关的子节(即 Debian 特有的内容)。
添加了一个与原始套接字相关的新常见问题解答,一个与 /root 相关的新常见问题解答,一个与用户组相关的新常见问题解答,以及另一个与日志和配置文件权限相关的新常见问题解答。
添加了一个指向 libpam-cracklib 中可能仍然存在的错误的指针...(需要检查)。
添加了关于取证分析的更多信息(等待关于数据包检查工具(如 tcpflow)的更多信息)。
将“关于妥协我应该做什么”更改为项目符号列表,并包含了一些更多内容。
添加了一些关于如何设置 Xscreensaver 以在配置的超时后自动锁定屏幕的信息。
添加了一个与您不应在系统中安装的实用程序相关的说明。包含了一个关于 Perl 以及为什么它在 Debian 中不容易删除的说明。这个想法来自阅读 Intersect 关于 Linux 加固的文档。
添加了关于 lvm 和日志文件系统的信息,推荐 ext3。然而,那里的信息可能过于笼统。
添加了指向在线文本版本的链接(检查)。
在 Hubert Chan 在邮件列表中发表评论后,在关于本地系统防火墙的信息中添加了一些更多内容。
在 PAM 限制和指向 Kurt Seifried 文档的指针中添加了更多信息(与他在 2002 年 4 月 4 日向 Bugtraq 发帖回答了一个“发现”了与资源耗尽相关的 Debian GNU/Linux 系统漏洞的人有关)。
正如 Julián Mu�oz 建议的那样,提供了关于 Debian umask 默认值以及如果用户在系统中被授予 shell 访问权限后可以访问的内容的更多信息(可怕,不是吗?)。
由于 Andreas Wohlfeld 的评论,在 BIOS 密码部分包含了一个说明。
包含了 Alfred E. Heggestad 提供的补丁,修复了文档中仍然存在的许多错别字。
在致谢部分添加了指向变更日志的指针,因为大多数贡献者都列在此处(而不是那里)。
在 chattr 部分添加了一些更多说明,并在安装后添加了一个关于系统快照的新章节。这两个想法都是 Kurt Pomeroy 贡献的。
在安装后添加了一个新章节,只是为了提醒用户更改启动顺序。
添加了一些 Korn Andras 提供的更多待办事项。
添加了 Daniel Quinlan 提供的指向 NIST 关于如何保护 DNS 的指南的指针。
添加了一个关于 Debian 的 SSL 证书基础设施的小段落。
添加了 Daniel Quinlan 关于 ssh 身份验证和 exim 的中继配置的建议。
添加了关于保护 bind 的更多信息,包括 Daniel Quinlan 建议的更改,以及一个包含用于进行该部分中评论的一些更改的脚本的附录。
添加了指向另一个关于 Bind chroot 的项目的指针(需要合并)。
添加了 Cristian Ionescu-Idbohrn 贡献的一行代码,用于检索具有 tcpwrappers 支持的软件包。
添加了关于 Debian 的默认 PAM 设置的更多信息。
包含了一个关于使用 PAM 提供无需 shell 账户的服务的常见问题解答。
将两个常见问题解答项移动到另一个部分,并添加了一个关于攻击检测(和被入侵系统)的新常见问题解答。
包含了一个关于如何设置网桥防火墙的信息(包括一个示例附录)。感谢 Francois Bayart 在三月份将此发送给我。
添加了一个关于 syslogd 的 MARK 心跳的常见问题解答,该问题来自 Noah Meyerhans 和 Alain Tesio 在 2001 年 12 月回答的问题。
包含了一个关于缓冲区溢出保护以及一些关于内核补丁的信息。
添加了更多信息(并重新组织了)防火墙部分。更新了关于 iptables 软件包和可用防火墙生成器的信息。
重新组织了关于日志检查的信息,将 logcheck 信息从主机入侵检测移动到该部分。
添加了一些关于如何为 chroot 准备 bind 的静态软件包的信息(未经测试)。
添加了一个关于一些特定服务器/服务的常见问题解答项(可以使用来自 debian-security 列表的一些建议进行扩展)。
添加了一些关于 RPC 服务的信息(以及何时必要)。
添加了一些关于能力(以及 lcap 的作用)的更多信息。是否有关于此的任何良好文档?我在我的 2.4 内核上没有找到任何文档。
修复了一些错别字。
Javier Fern�ndez-Sanguino Pe�a 的更改。
重写了 BIOS 部分的一部分。
Javier Fern�ndez-Sanguino Pe�a 的更改。
用 file 标签包裹了大多数文件位置。
修复了 Edi Stojicevi 注意到的错别字。
稍微更改了远程审计工具部分。
添加了一些待办事项。
添加了关于打印机和 cups 配置文件的更多信息(取自 debian-security 上的一个主题)。
添加了 Jesus Climent 提交的关于配置为匿名服务器时有效系统用户访问 Proftpd 的补丁。
邮件服务器特殊情况下分区方案的小改动。
将 Hacking Linux Exposed 添加到书籍部分。
修复了 Eduardo P�rez Ureta 注意到的目录错别字。
修复了 Edi Stojicevi 注意到的检查清单中的 /etc/ssh 错别字。
Javier Fern�ndez-Sanguino Pe�a 的更改。
修复了 dpkg 配置文件的位置。
从联系信息中删除 Alexander。
添加了备用邮件地址。
修复了 Alexander 邮件地址(即使已注释掉)。
修复了发布密钥的位置(感谢 Pedro Zorzenon 指出这一点)。
Javier Fern�ndez-Sanguino Pe�a 的更改。
修复了错别字,感谢 Jamin W. Collins。
添加了对 apt-extracttemplate 手册页的引用(记录了 APT::ExtractTemplate 配置)。
添加了关于受限 SSH 的章节。信息基于 Mark Janssen、Christian G. Warden 和 Emmanuel Lacour 在 debian-security 邮件列表中发布的内容。
添加了关于杀毒软件的信息。
添加了一个常见问题解答:由于 cron 以 root 身份运行而导致的 su 日志。
Javier Fern�ndez-Sanguino Pe�a 的更改。
感谢 Oohara Yuuma,将 FIXME 从 lshell 更改。
将软件包添加到 sXid 并删除了注释,因为它是可用的。
修复了 Oohara Yuuma 发现的许多错别字。
感谢 Oohara Yuuma 的注意,ACID 现在在 Debian 中可用(在 acidlab 软件包中)。
修复了 LinuxSecurity 链接(感谢 Dave Wreski 告知)。
Javier Fern�ndez-Sanguino Pe�a 的更改。我本想在所有 FIXME 都修复后更改为 2.0,但我用完了 1.9X 编号 :(。
将 HOWTO 转换为手册(现在我可以正确地说 RTFM 了)。
添加了关于 tcp wrappers 和 Debian 的更多信息(现在许多服务在编译时都支持它们,因此它不再是 inetd 问题)。
阐明了关于禁用服务的信息,使其更加一致(rpc 信息仍然引用 update-rc.d)。
添加了关于 lprng 的小说明。
添加了一些关于被入侵服务器的更多信息(仍然非常粗略)。
修复了 Mark Bucciarelli 报告的错别字。
在密码恢复中添加了一些更多步骤,以涵盖管理员设置 paranoid-mode=on 的情况。
添加了一些在控制台登录时设置 paranoid-mode=on 的信息。
引入了介绍服务配置的新段落。
重新组织了安装后部分,使其更细分为几个问题,并且更易于阅读。
编写了关于如何使用标准 Debian 3.0 设置(iptables 软件包)设置防火墙的信息。
解释了为什么连接到互联网进行安装不是一个好主意,以及如何使用 Debian 工具避免这种情况的小段落。
关于及时修补的参考 IEEE 论文的小段落。
关于如何设置 Debian Snort 服务器的附录,基于 Vladimir 发送到 debian-security 邮件列表的内容(2001 年 9 月 3 日)。
关于 logcheck 在 Debian 中的设置方式以及如何使用它来设置 HIDS 的信息。
关于用户帐户和配置文件分析的信息。
包含从 Olaf Meeuwissen 发布到 debian-security 邮件列表的只读 /usr 的 apt.conf 配置。
关于 VPN 的新章节,其中包含一些指针以及 Debian 中可用的软件包(需要关于如何设置 VPN 和 Debian 特定问题的内容),基于 Jaroslaw Tabor 和 Samuli Suonpaa 发布到 debian-security 的内容。
关于一些自动构建 chroot 监狱的程序的小说明。
关于 identd 的新常见问题解答项,基于 debian-security 邮件列表中的讨论(2002 年 2 月,由 Johannes Weiss 发起)。
关于 inetd 的新常见问题解答项,基于 debian-security 邮件列表中的讨论(2002 年 2 月)。
在“禁用服务”部分中引入了关于 rcconf 的说明。
改变了关于 LKM 的方法,感谢 Philipe Gaspar。
添加了指向 CERT 文档和 Counterpane 资源的指针。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了一个关于修复安全漏洞时间的新常见问题解答项。
重新组织了常见问题解答部分。
开始编写关于在 Debian GNU/Linux 中配置防火墙的部分(可以稍微扩展一下)。
修复了 Matt Kraai 发送的错别字。
修复了 DNS 信息。
在审计部分添加了关于 whisker 和 nbtscan 的信息。
修复了一些错误的 URL。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了一个关于使用 Debian GNU/Linux 进行审计的新章节。
添加了来自安全邮件列表的关于 finger 守护进程的信息。
Javier Fern�ndez-Sanguino Pe�a 的更改。
修复了 Linux Trustees 的链接。
修复了错别字(来自 Oohara Yuuma 和 Pedro Zorzenon 的补丁)。
Javier Fern�ndez-Sanguino Pe�a 的更改。
重新组织了服务安装和移除,并添加了一些新说明。
添加了一些关于使用完整性检查器作为入侵检测工具的说明。
添加了一个关于软件包签名的章节。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了 Philipe Gaspar 发送的关于 Squid 安全的说明。
感谢 Philipe Gaspar,修复了 rootkit 链接。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了一些关于 Apache 和 Lpr/lpng 的说明。
添加了一些关于 noexec 和只读分区的信息。
重写了用户如何帮助解决 Debian 安全问题(常见问题解答项)。
Javier Fern�ndez-Sanguino Pe�a 的更改。
修复了邮件程序的位置。
向常见问题解答添加了一些新项目。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了一个关于 Debian 如何处理安全问题的小节。
阐明了 MD5 密码(感谢 `rocky`)。
从 Stephen van Egmond 添加了一些关于 harden-X 的更多信息。
向常见问题解答添加了一些新项目。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了一些 Yotam Rubin 发送的取证信息。
添加了关于如何使用 Debian GNU/Linux 构建蜜罐网络的信息。
添加了一些更多待办事项。
修复了更多错别字(感谢 Yotam!)。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了修复拼写错误的补丁和一些新信息(由 Yotam Rubin 贡献)。
添加了对其他在线(和离线)文档的引用,无论是在一个部分中(参见 注意一般安全问题,第 2.2 节)本身,还是在某些部分中以内联方式添加。
添加了一些关于配置 Bind 选项以限制对 DNS 服务器的访问的信息。
添加了关于如何自动加固 Debian 系统的信息(关于 harden 软件包和 bastille)。
删除了一些已完成的待办事项,并添加了一些新的待办事项。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了 Joey Hess 提供给 debian-security 邮件列表的默认用户/组列表。
添加了 Philipe Gaspar 贡献的关于 LKM rootkit 的信息(可加载内核模块 (LKM),第 10.4.1 节)。
添加了 Emmanuel Lacour 贡献的关于 Proftp 的信息。
从 Era Eriksson 恢复了检查清单附录。
添加了一些新的待办事项,并删除了其他已修复的待办事项。
手动包含了 Era 的补丁,因为它们并非全部包含在之前的版本中。
Era Eriksson 的更改。
错别字修正和措辞更改。
Javier Fern�ndez-Sanguino Pe�a 的更改。
为了继续删除 tt 标签并将 prgn/package 标签替换为它们,对标签进行了细微更改。
Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了指向 DDP 中发布的文档的指针(在不久的将来应该取代原始文档)。
开始了一个迷你常见问题解答(应该扩展),其中包含一些从我的邮箱中恢复的问题。
添加了在进行安全设置时需要考虑的一般信息。
添加了一个关于本地(接收)邮件传递的段落。
添加了一些指向更多信息的指针。
添加了关于打印服务的信息。
添加了一个安全加固检查清单。
重新组织了 NIS 和 RPC 信息。
添加了一些在我的新 Visor 上阅读本文档时所做的笔记 :)。
修复了一些格式错误的行。
修复了一些错别字。
添加了一个 Gaby Schilders 贡献的天才/偏执狂想法。
Josip Rodin 和 Javier Fern�ndez-Sanguino Pe�a 的更改。
添加了与 BIND 相关的一些段落和一些 FIXME。
小型 setuid 检查段落
各种细微清理。
找到了如何使用 sgml2txt -f 获取 txt 版本。
添加了一个安装后的安全更新段落。
添加了一个 proftpd 段落。
这次真的写了一些关于 XDM 的内容,上次很抱歉。
James Treacy 的大量语法更正,新的 XDM 段落。
错别字修正,其他添加内容。
初始发布。
Alexander Reelsen 编写了原始文档。
Javier Fern�ndez-Sanguino 在原始文档中添加了更多信息。
Robert van der Meulen 提供了配额段落和许多好主意。
Ethan Benson 修正了 PAM 段落并提出了一些好主意。
Dariusz Puchalak 为多个章节贡献了一些信息。
Gaby Schilders 贡献了一个很棒的天才/偏执狂想法。
Era Eriksson 在许多地方润色了语言,并贡献了检查清单附录。
Philipe Gaspar 编写了 LKM 信息。
Yotam Rubin 贡献了许多错别字修正,以及关于 bind 版本和 MD5 密码的信息。
Francois Bayart 提供了描述如何设置网桥防火墙的附录。
Joey Hess 在 Debian Wiki 上编写了描述 Secure Apt 工作原理的部分。
Martin F. Krafft 在他的博客上写了一些关于指纹验证的信息,这些信息也被重用于 Secure Apt 部分。
Francesco Poli 对手册进行了广泛的审查,并提供了大量的错误报告和错别字修正,这些改进和帮助更新了文档。
所有为改进提出建议并(最终)在此处被采纳的人们(参见 变更日志/历史,第 1.6 节)。
(Alexander) 所有鼓励我编写本指南(后来变成手册)的人们。
整个 Debian 项目。
[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]
Debian 安全手册
Version: 3.13, Sun, 08 Apr 2012 02:48:09 +0000jfs@debian.org