内容简介：

　　本书以开源软件为基础，全面介绍了UNIX/Linux安全运维的各方面知识。第一部分从UNIX/Linux系统日志、Apache等各类应用日志的格式和收集方法的基础讲起，内容涵盖异构网络系统日志收集和分析工具使用的多个方面;第二部分列举了二十多个常见网络故障案例，每个案例完整介绍了故事的背景、发生、发展，以及最终的故障排除过程。其目的在于维护网络安全，通过开源工具的灵活运用，来解决运维实战工作中的各种复杂的故障;第三部分重点讲述了网络流量收集监控技术与Ossim在异常流量监测中的应用。本书使用了大量开源工具解决方案，是运维工程师、网络安全从业人员不可多得的参考资料。

　　本书从UNIX/Linux系统的原始日志(Raw Log)采集与分析讲起，逐步深入到日志审计与计算机取证环节。书中提供了多个案例，每个案例都以一种生动的记事手法讲述了网络遭到入侵之后，管理人员开展系统取证和恢复的过程，案例分析手法带有故事情节，使读者身临其境地检验自己的应急响应和计算机取证能力。

　　本书使用的案例都是作者从系统维护和取证工作中总结、筛选出来的，这些内容对提高网络维护水平和事件分析能力有重要的参考价值。如果你关注网络安全，那么书中的案例一定会引起你的共鸣。本书适合有一定经验的UNIX/Linux系统管理员和信息安全人士参考。

　　为什么写这本书？

　　国内已出版了不少网络攻防等安全方面的书籍，其中多数是以Windows平台为基础。但互联网应用服务器大多架构在UNIX/Linux系统之上，读者迫切需要了解有关这些系统的安全案例。所以我决心写一本基于UNIX/Linux的书，从一个白帽的视角，为大家讲述企业网中UNIX/Linux系统在面临各种网络威胁时，如何通过日志信息查找问题的蛛丝马迹，修复网络漏洞，构建安全的网络环境。

　　本书特点与结构

　　书中案例覆盖了如今网络应用中典型的攻击类型，例如DDoS、恶意代码、缓冲区溢出、Web应用攻击、IP碎片攻击、中间人攻击、无线网攻击及SQL注入攻击等内容。每段故事首先描述一起安全事件。然后由管理员进行现场勘查，收集各种信息(包括日志文件、拓扑图和设备配置文件)，再对各种安全事件报警信息进行交叉关联分析，并引导读者自己分析入侵原因，将读者带入案例中。最后作者给出入侵过程的来龙去脉，在每个案例结尾提出针对这类攻击的防范手段和补救措施，重点在于告诉读者如何进行系统和网络取证，查找并修复各种漏洞，从而进行有效防御。

　　全书共有14章，可分为三篇。

　　第一篇日志分析基础(第1～3章)，是全书的基础，对于IT运维人员尤为重要，系统地总结了UNIX/Linux系统及各种网络应用日志的特征、分布位置以及各字段的作用，包括Apache日志、FTP日志、Squid日志、NFS日志、Samba日志、Iptables日志、DNS日志、DHCP日志、邮件系统日志以及各种网络设备日志，还首次提出了可视化日志分析的实现技术，首次曝光了计算机系统在司法取证当中所使用的思路、方法、技术和工具，这为读者有效记录日志、分析日志提供了扎实的基础，解决了读者在日志分析时遇到的“查什么”、“怎么查”的难题。最后讲解了日志采集的实现原理和技术方法，包括开源和商业的日志分析系统的搭建过程。

　　第二篇日志分析实战(第4～12章)，讲述了根据作者亲身经历改编的一些小故事，再现了作者当年遇到的各种网络入侵事件的发生、发展和处理方法、预防措施等内容，用一个个网络运维路上遇到的“血淋淋”的教训来告诫大家，如果不升级补丁会怎么样，如果不进行系统安全加固又会遇到什么后果。这些案例包括Web网站崩溃、DNS故障、遭遇DoS攻击、Solaris安插后门、遭遇溢出攻击、rootkit攻击、蠕虫攻击、数据库被SQL注入、服务器沦为跳板、IP碎片攻击等。

　　第三篇网络流量与日志监控(第13、14章)，用大量实例讲解流量监控原理与方法，例如开源软件Xplico的应用技巧，NetFlow在异常流量中的应用。还介绍了用开源的OSSIM安全系统建立网络日志流量监控网络。

　　本书从网络安全人员的视角展现了网络入侵发生时，当你面临千头万绪的线索时如何从中挖掘关键问题，并最终得以解决。书中案例采用独创的情景式描述，通过一个个鲜活的IT场景，反映了IT从业者在工作中遇到的种种难题。案例中通过互动提问和开放式的回答，使读者不知不觉中掌握一些重要的网络安全知识和实用的技术方案。

　　本书案例中的IP地址、域名信息均为虚构，而解决措施涉及的下载网站以及各种信息查询网站是真实的，具有较高参考价值。书中有大量系统日志,这些日志是网络故障取证处理时的重要证据，由于涉及保密问题，所有日志均做过技术处理。由于时间紧，能力有限，书中不当之处在所难免，还请各位读者到我的博客多多指正。