Bezpiecze - Helion
Autor: Donald A. Tevault
Tytuł oryginału: Mastering Linux Security and Hardening: A practical guide to protecting your Linux system from cyber attacks, 3rd Edition
TÅ‚umaczenie: Magdalena A. Tkacz
ISBN: 978-83-289-0292-3
stron: 575, Format: 165x235, okładka: mi
Data wydania: 2023-11-01
Księgarnia: Helion
Cena książki: 77,40 zł (poprzednio: 129,00 zł)
Oszczędzasz: 40% (-51,60 zł)
Tytuł oryginału: Mastering Linux Security and Hardening: A practical guide to protecting your Linux system from cyber attacks, 3rd Edition
TÅ‚umaczenie: Magdalena A. Tkacz
ISBN: 978-83-289-0292-3
stron: 575, Format: 165x235, okładka: mi
Data wydania: 2023-11-01
Księgarnia: Helion
Cena książki: 77,40 zł (poprzednio: 129,00 zł)
Oszczędzasz: 40% (-51,60 zł)
Tagi: Linux
Osoby które kupowały "Bezpiecze", wybierały także:
- Bash. Techniki zaawansowane. Kurs video. Zostań administratorem systemów IT 169,00 zł, (50,70 zł -70%)
- Administracja systemem Linux. Kurs video. Przewodnik dla początkujących 59,00 zł, (17,70 zł -70%)
- Gray Hat C#. Język C# w kontroli i łamaniu zabezpieczeń 57,74 zł, (17,90 zł -69%)
- Python dla administrator 178,97 zł, (62,64 zł -65%)
- Cybersecurity dla ka 144,86 zł, (52,15 zł -64%)
Spis treści
Bezpieczeństwo systemu Linux. Hardening i najnowsze techniki zabezpieczania przed cyberatakami. Wydanie III -- spis treści
O autorze
O recenzentach
Przedmowa
CZĘŚĆ 1. Podstawy zabezpieczeń systemu Linux
- Rozdział 1. Uruchamianie systemu Linux w środowisku wirtualnym
- Przegląd zagrożeń
- Dlaczego dochodzi do naruszeń bezpieczeństwa?
- Bądź na bieżąco z wiadomościami dotyczącymi bezpieczeństwa
- Różnice miÄ™dzy konfiguracjami systemu: fizycznÄ…, wirtualnÄ… i w chmurze
- VirtualBox i Cygwin
- Instalowanie maszyny wirtualnej w VirtualBox
- Instalowanie repozytorium EPEL na maszynie wirtualnej CentOS 7
- Instalacja repozytorium EPEL na maszynach wirtualnych AlmaLinux 8/9
- Konfigurowanie sieci w maszynach wirtualnych VirtualBox
- Tworzenie migawki maszyny wirtualnej za pomocÄ… VirtualBox
- Używanie Cygwin do łączenia się z maszynami wirtualnymi
- Korzystanie z klienta SSH systemu Windows 10 do łączenia się z maszynami wirtualnymi działającymi z systemem Linux
- Korzystanie z klienta SSH systemu Windows 11 do Å‚Ä…czenia siÄ™ z maszynami wirtualnymi z systemem Linux
- Aktualizowanie systemów Linux
- Aktualizowanie systemów opartych na Debianie
- Konfigurowanie automatycznych aktualizacji dla Ubuntu
- Aktualizowanie systemów opartych na Red Hat 7
- Aktualizowanie systemów opartych na Red Hat8/9
- Zarządzanie aktualizacjami w przedsiębiorstwie
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- RozdziaÅ‚ 2. Zabezpieczanie kont użytkowników administracyjnych
- Niebezpieczeństwa związane z logowaniem się jako użytkownik root
- Zalety korzystania z sudo
- Konfigurowanie uprawnieÅ„ sudo dla peÅ‚nych użytkowników administracyjnych
- Dodawanie użytkowników do predefiniowanej grupy administratorów
- Tworzenie wpisu w pliku zasad sudo
- Konfigurowanie sudo dla użytkowników z wybranymi oddelegowanymi uprawnieniami
- Ćwiczenie: przypisywanie ograniczonych uprawnień sudo
- Zaawansowane wskazówki i porady dotyczÄ…ce korzystania z sudo
- Minutnik sudo
- Wyświetlanie swoich uprawnień sudo
- Uniemożliwianie użytkownikom dostępu do powłoki root
- Uniemożliwianie użytkownikom ucieczki do powłoki
- Jak uniemożliwić użytkownikom skorzystanie z innych niebezpiecznych programów?
- Ograniczanie działań użytkownika do wykonywania określonych poleceń
- Umożliwianie działania w imieniu innego użytkownika
- Zapobieganie nadużyciom poprzez skrypty powłoki użytkownika
- Wykrywanie i usuwanie domyÅ›lnych kont użytkowników
- Nowe funkcje sudo
- Specjalne uwagi dotyczÄ…ce sudo dla SUSE i OpenSUSE
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- RozdziaÅ‚ 3. Zabezpieczanie kont zwykÅ‚ych użytkowników
- Zabezpieczanie katalogów domowych użytkowników w systemach Red Hat
- Zabezpieczanie katalogów domowych użytkowników w systemach Debian i Ubuntu
- useradd w Debian/Ubuntu
- adduser w systemach Debian/Ubuntu
- Wymuszenie korzystania z silnych haseł
- Instalowanie i konfigurowanie pwquality
- Ustawianie i używanie mechanizmu wygasania haseł i kont
- Konfigurowanie domyÅ›lnych danych wygasania haseÅ‚ przy użyciu pliku useradd (tylko dla rodziny systemów Red Hat)
- Ustawianie danych zwiÄ…zanych z wygasaniem dla poszczególnych kont za pomocÄ… useradd i usermod
- Ustawianie opcji wygasania poszczególnych kont za pomocÄ… chage
- Ćwiczenie: ustawianie wygasania konta i hasła
- Zapobieganie atakom siłowym na hasła
- Konfigurowanie modułu pam_tally2 PAM w systemie CentOS 7
- Konfigurowanie pam_faillock na AlmaLinux 8/9
- Konfiguracja pam_faillock dla Ubuntu 20.04 i Ubuntu 22.04
- Blokowanie kont użytkowników
- Używanie usermod do blokowania konta użytkownika
- Używanie passwd do blokowania kont użytkowników
- Blokowanie konta użytkownika root
- Konfigurowanie wiadomości z ostrzeżeniem
- Korzystanie z pliku motd
- Korzystanie z pliku issue
- Korzystanie z pliku issue.net
- Wykrywanie ujawnionych haseł
- Ćwiczenie: wykrywanie ujawnionych haseł
- Scentralizowane zarządzanie użytkownikami
- Microsoft Active Directory
- Samba w systemie Linux
- FreeIPA - zarządzanie tożsamością na dystrybucjach typu RHEL
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Rozdział 4. Zabezpieczanie serwera za pomocą zapory sieciowej - część I
- Wymagania techniczne
- Podstawy działania zapory sieciowej w systemie Linux
- Narzędzie iptables
- Podstawy iptables
- Blokowanie ruchu ICMP za pomocÄ… iptables
- Blokowanie wszystkiego, co nie jest dozwolone, za pomocÄ… iptables
- Blokowanie nieprawidÅ‚owych pakietów za pomocÄ… iptables
- Przywracanie usuniętych reguł
- Ochrona IPv6
- nftables - bardziej uniwersalny typ zapory sieciowej
- Co nieco o tabelach i łańcuchach w nftables
- Konfiguracja nftables w Ubuntu
- Używanie poleceń nft
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Rozdział 5. Zabezpieczanie serwera za pomocą zapory sieciowej - część II
- Wymagania techniczne
- Nieskomplikowana zapora sieciowa dla systemów Ubuntu
- Konfigurowanie ufw
- Praca z plikami konfiguracyjnymi ufw
- firewalld dla systemów z rodziny Red Hat
- Weryfikacja statusu firewalld
- Praca ze strefami firewalld
- Dodawanie usług do strefy firewalld
- Dodawanie portów do strefy firewalld
- Blokowanie ICMP
- Korzystanie z trybu "panika"
- Rejestrowanie porzuconych pakietów
- Korzystanie z "bogatego" języka reguł firewalld
- Przeglądanie reguł iptables w firewalld w RHEL/CentOS 7
- Bezpośrednie tworzenie reguł w firewalld RHEL/CentOS 7
- Rzut oka na reguły nftables w firewalld RHEL/AlmaLinux 8 i 9
- Tworzenie bezpośrednich reguł w RHEL/AlmaLinux firewalld
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Rozdział 6. Technologie szyfrowania
- GNU Privacy Guard (GPG)
- Ćwiczenie: tworzenie kluczy GPG
- Ćwiczenie: symetryczne szyfrowanie wÅ‚asnych plików
- Ćwiczenie: szyfrowanie plików za pomocÄ… kluczy publicznych
- Ćwiczenie: podpisywanie pliku (bez szyfrowania)
- Szyfrowanie partycji za pomocÄ… Linux Unified Key Setup (LUKS)
- Szyfrowanie dysku podczas instalacji systemu operacyjnego
- Konfigurowanie partycji LUKS do automatycznego montowania
- Ćwiczenie: konfigurowanie partycji LUKS do automatycznego montowania
- Szyfrowanie katalogów za pomocÄ… eCryptfs
- Ćwiczenie: szyfrowanie katalogu domowego dla nowego konta użytkownika
- Tworzenie prywatnego katalogu w istniejÄ…cym katalogu domowym
- Ćwiczenie: szyfrowanie innych katalogów za pomocÄ… eCryptfs
- Szyfrowanie partycji wymiany za pomocÄ… eCryptfs
- Korzystanie z VeraCrypt do wieloplatformowego udostÄ™pniania zaszyfrowanych kontenerów
- Ćwiczenie: pobieranie i instalowanie VeraCrypt
- Korzystanie z VeraCrypt z graficznym interfejsem użytkownika
- OpenSSL i infrastruktura klucza publicznego
- Instytucje wydajÄ…ce komercyjne certyfikaty
- Tworzenie kluczy, żądaÅ„ podpisania certyfikatów i certyfikatów
- Tworzenie lokalnego urzędu certyfikacji
- Dodawanie urzędu certyfikacji do systemu operacyjnego
- OpenSSL i serwer internetowy Apache
- Konfigurowanie uwierzytelniania wzajemnego
- Wprowadzenie algorytmów odpornych na obliczenia kwantowe
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- GNU Privacy Guard (GPG)
- Rozdział 7. Utwardzanie SSH
- Upewnianie siÄ™, że protokóÅ‚ SSH 1 jest wyÅ‚Ä…czony
- Tworzenie kluczy do logowania bez hasła i zarządzanie kluczami
- Tworzenie zestawu kluczy SSH użytkownika
- Przesyłanie klucza publicznego do zdalnego serwera
- Wyłączanie logowania użytkownika root
- Wyłączanie logowania przy użyciu nazwy użytkownika i hasła
- Włączanie uwierzytelniania dwuskładnikowego
- Konfigurowanie Secure Shell z silnymi algorytmami szyfrowania
- Skanowanie w poszukiwaniu wÅ‚Ä…czonych algorytmów SSH
- WyÅ‚Ä…czenie sÅ‚abych algorytmów szyfrowania SSH
- Ustawianie zasad szyfrowania na poziomie całego systemu operacyjnego w systemach RHEL 8/9 i AlmaLinux 8/9
- Konfigurowanie bardziej szczegóÅ‚owego rejestrowania
- Konfigurowanie kontroli dostępu za pomocą białych list i TCP Wrappers
- Konfigurowanie białych list w sshd_config
- Konfigurowanie białych list za pomocą TCP Wrappers
- Konfigurowanie automatycznego wylogowywania i wiadomości ostrzegawczych
- Konfigurowanie automatycznego wylogowywania dla użytkowników lokalnych i zdalnych
- Konfigurowanie automatycznego wylogowywania w sshd_config
- Tworzenie wiadomości ostrzegawczej wyświetlanej przed logowaniem
- Konfigurowanie innych ustawień zabezpieczeń
- Wyłączanie przekierowania X11
- Wyłączanie tunelowania SSH
- Zmiana domyślnego portu SSH
- ZarzÄ…dzanie kluczami SSH
- Ustawianie różnych konfiguracji dla różnych użytkowników i grup
- Tworzenie różnych konfiguracji dla różnych hostów
- Konfigurowanie Å›rodowiska chroot dla użytkowników SFTP
- Tworzenie grupy i konfiguracja pliku sshd_config
- Udostępnianie katalogu za pomocą SSHFS
- Ćwiczenie: udostępnianie katalogu z SSHFS
- Zdalne Å‚Ä…czenie siÄ™ z komputerów stacjonarnych z systemem Windows
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
CZĘŚĆ 2. Kontrola dostÄ™pu do plików i katalogów (DAC)
- Rozdział 8. Uznaniowa kontrola dostępu (DAC)
- Używanie chown do zmiany wÅ‚asnoÅ›ci plików i katalogów
- Używanie chmod do ustawiania uprawnień na plikach i katalogach
- Ustawianie uprawnień za pomocą metody symbolicznej
- Ustawianie uprawnień metodą numeryczną
- Używanie SUID i SGID na zwykłych plikach
- Wpływ uprawnień SUID i SGID na bezpieczeństwo
- Wyszukiwanie niepożądanych plików z ustawionym SUID lub SGID
- Zapobieganie używaniu SUID i SGID na partycji
- Używanie rozszerzonych atrybutów plików do ochrony wrażliwych plików
- Ustawianie atrybutu a
- Ustawianie atrybutu i
- Zabezpieczanie plików konfiguracyjnych systemu
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Rozdział 9. Listy kontroli dostępu i zarządzanie udostępnionymi
- Tworzenie listy ACL dla użytkownika lub grupy
- Tworzenie dziedziczonej listy ACL dla katalogu
- Usuwanie określonego uprawnienia przy użyciu maski ACL
- Używanie opcji tar --acls, aby zapobiec utracie list ACL podczas tworzenia kopii zapasowej
- Tworzenie grupy użytkowników i dodawanie do niej czÅ‚onków
- Dodawanie czÅ‚onków podczas tworzenia kont użytkowników
- Użycie usermod, by dodać do grupy konto istniejącego użytkownika
- Dodawanie użytkowników do grupy poprzez edycjÄ™ pliku /etc/group
- Tworzenie udostępnionego katalogu
- Ustawienie bitu SGID i lepkiego bitu na udostępnionym katalogu
- Korzystanie z list ACL w celu ustawienia uprawnieÅ„ dostÄ™pu do plików w udostÄ™pnionym katalogu
- Ustawianie uprawnień i tworzenie listy ACL
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
CZĘŚĆ 3. Zaawansowane techniki utwardzania systemu
- Rozdział 10. Wdrażanie obligatoryjnej kontroli dostępu za pomocą SELinux i AppArmor
- Jak SELinux może wspomóc administratora systemu?
- Ustawianie kontekstu zabezpieczeÅ„ dla plików i katalogów
- Instalowanie narzędzi dla SELinux
- Tworzenie plików zawierajÄ…cych treÅ›ci publikowane w Internecie z wÅ‚Ä…czonym SELinux
- Poprawianie nieprawidłowego kontekstu SELinux
- RozwiÄ…zywanie problemów za pomocÄ… setroubleshoot
- WyÅ›wietlanie komunikatów setroubleshoot
- Korzystanie z narzędzia setroubleshoot w interfejsie graficznym
- RozwiÄ…zywanie problemów w trybie pobÅ‚ażliwym
- Praca z zasadami SELinux
- Wyświetlanie wartości logicznych
- Ustawianie wartości logicznych
- Ochrona serwera WWW
- Ochrona portów sieciowych
- Tworzenie niestandardowych moduÅ‚ów zasad
- Jak AppArmor może pomóc administratorowi systemu
- Profile w AppArmor
- Praca z narzędziami wiersza poleceń AppArmor
- RozwiÄ…zywanie problemów z AppArmor
- RozwiÄ…zywanie problemów z profilem AppArmor w Ubuntu 16.04
- RozwiÄ…zywanie problemów z profilem AppArmor w Ubuntu 18.04
- RozwiÄ…zywanie problemów z SambÄ… w Ubuntu 22.04
- Atak na system za pomocÄ… odpowiednio przygotowanego kontenera Dockera
- Ćwiczenie: tworzenie "niegrzecznego" kontenera Dockera
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- RozdziaÅ‚ 11. Utwardzanie jÄ…dra i izolowanie procesów
- System plików /proc
- PrzeglÄ…d procesów w trybie użytkownika
- PrzeglÄ…danie informacji o jÄ…drze
- Ustawianie parametrów jÄ…dra za pomocÄ… sysctl
- Konfiguracja pliku sysctl.conf
- Konfiguracja sysctl.conf - Ubuntu
- Konfiguracja sysctl.conf - CentOS i AlmaLinux
- Ustawianie dodatkowych parametrów utwardzajÄ…cych jÄ…dro
- Zapobieganie wzajemnemu podglÄ…daniu swoich procesów przez użytkowników
- O izolacji procesów
- Grupy kontrolne (cgroups)
- Izolacja przestrzeni nazw
- Mechanizmy CAP jÄ…dra
- Zrozumienie SECCOMP i wywołań systemowych
- Korzystanie z izolacji procesów w kontenerach Dockera
- Uruchamianie w piaskownicy z Firejail
- Uruchamianie w piaskownicy ze Snappy
- Uruchamianie w piaskownicy z Flatpak
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- System plików /proc
- Rozdział 12. Skanowanie, monitoring i utwardzanie
- Instalowanie i aktualizowanie ClamAV i maldet
- Ćwiczenie: instalacja ClamAV i maldet
- Ćwiczenie: konfiguracja maldet
- Aktualizowanie ClamAV i maldet
- Skanowanie za pomocÄ… ClamAV i maldet
- Uwagi zwiÄ…zane z SELinux
- Skanowanie w poszukiwaniu rootkitów za pomocÄ… Rootkit Hunter
- Ćwiczenie: instalacja i aktualizacja Rootkit Hunter
- Skanowanie w poszukiwaniu rootkitów
- Przeprowadzanie szybkiej analizy zÅ‚oÅ›liwego oprogramowania przy użyciu ciÄ…gów znaków i VirusTotal
- Przeanalizuj plik z ciÄ…gami znaków
- Skanowanie złośliwego oprogramowania za pomocą VirusTotal
- Demon auditd
- Tworzenie reguł monitorowania
- Monitorowanie pliku
- Monitorowanie katalogu
- Monitorowanie wywołań systemowych
- Korzystanie z ausearch i aureport
- Wyszukiwanie powiadomień o zmianie pliku
- Wyszukiwanie naruszeń reguł dostępu do katalogu
- Wyszukiwanie naruszeń reguł wywołań systemowych
- Generowanie raportów uwierzytelniania
- Korzystanie z predefiniowanych zestawów reguÅ‚
- Ćwiczenie: korzystanie z auditd
- Ćwiczenie: Używanie wstępnie skonfigurowanych reguł z auditd
- Monitorowanie plików i katalogów za pomocÄ… inotifywait
- Stosowanie zasad OpenSCAP za pomocÄ… oscap
- Instalacja OpenSCAP
- PrzeglÄ…danie plików profilu
- Pobieranie brakujÄ…cych profili dla Ubuntu
- Skanowanie systemu
- Poprawianie konfiguracji systemu
- Korzystanie ze SCAP Workbench
- Wybór profilu OpenSCAP
- Zastosowanie profilu OpenSCAP podczas instalacji systemu
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Instalowanie i aktualizowanie ClamAV i maldet
- RozdziaÅ‚ 13. Rejestrowanie i bezpieczeÅ„stwo dzienników
- Pliki dzienników systemu Linux
- Dziennik systemowy i dziennik uwierzytelniania
- Pliki utmp, wtmp, btmp i lastlog
- Jak działa rsyslog
- Reguły rejestrowania rsyslog
- System journald
- Ułatwianie sobie pracy dzięki Logwatch
- Ćwiczenie: instalacja Logwatch
- Konfigurowanie zdalnego serwera dzienników
- Ćwiczenie: konfigurowanie podstawowego serwera dzienników
- Tworzenie szyfrowanego poÅ‚Ä…czenia z serwerem dzienników
- Rozdzielanie komunikatów klientów do ich wÅ‚asnych plików
- Utrzymywanie dzienników w dużych przedsiÄ™biorstwach
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Pliki dzienników systemu Linux
- Rozdział 14. Skanowanie pod kątem podatności i wykrywanie włamań
- Wprowadzenie do Snorta i Security Onion
- Pobieranie i instalowanie Snorta
- Korzystanie z zabezpieczeń Onion
- IPFire i jego wbudowany system zapobiegania włamaniom (IPS)
- Ćwiczenie: tworzenie maszyny wirtualnej IPFire
- Skanowanie i utwardzanie za pomocÄ… Lynis
- Instalacja Lynis w Red Hat/ CentOS
- Instalacja Lynis w Ubuntu
- Skanowanie za pomocÄ… Lynis
- Znajdowanie podatności za pomocą Greenbone Security Assistant
- Skanowanie serwerów WWW za pomocÄ… Nikto
- Nikto w Kali Linux
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi
- Wprowadzenie do Snorta i Security Onion
- RozdziaÅ‚ 15. Zapobieganie uruchamianiu niepożądanych programów
- Montowanie partycji z opcjami "no"
- Jak działa fapolicyd
- Reguły fapolicyd
- Instalowanie fapolicyd
- Podsumowanie
- Lektura uzupełniająca
- Pytania
- Odpowiedzi
- RozdziaÅ‚ 16. Wskazówki i porady dotyczÄ…ce bezpieczeÅ„stwa dla zapracowanych
- Wymagania techniczne
- Monitorowanie usług systemowych
- Monitorowanie usług systemowych za pomocą systemctl
- Monitorowanie usług sieciowych za pomocą netstat
- Monitorowanie usług sieciowych za pomocą Nmap
- Ochrona programu ładującego GRUB2 hasłem
- Ćwiczenie: resetowanie hasła dla Red Hat/ CentOS/ AlmaLinux
- Ćwiczenie: resetowanie hasła w Ubuntu
- Zapobieganie edycji parametrów jÄ…dra w systemach Red Hat/ CentOS/ AlmaLinux
- Blokowanie możliwoÅ›ci modyfikowania parametrów jÄ…dra lub dostÄ™pu do trybu odzyskiwania w Ubuntu
- Wyłączanie podmenu dla Ubuntu
- Bezpieczna konfiguracja BIOS/UEFI
- Korzystanie z listy kontrolnej bezpieczeństwa podczas konfiguracji systemu
- Podsumowanie
- Pytania
- Lektura uzupełniająca
- Odpowiedzi