Chinaunix首页 | 论坛 | 博客
  • 博客访问: 454233
  • 博文数量: 96
  • 博客积分: 6045
  • 博客等级: 大校
  • 技术积分: 906
  • 用 户 组: 普通用户
  • 注册时间: 2007-07-03 11:29
文章分类

全部博文(96)

文章存档

2014年(1)

2012年(22)

2011年(23)

2010年(31)

2008年(1)

2007年(18)

分类:

2010-07-27 09:50:48

这篇文章介绍了在sco unix上进行安全管理的一些具体设置,也是一些专业书籍中很少涉及到的,具有很强的实用价值。

  据有关 资料显示,近两年内,中国的计算机网络受到了近200个黑客有意识的袭击。网络遭到攻击已经不仅仅是从报刊文摘中读到的外国神话,而是真真切切地存在于我 们生活中的现实。维护网络的安全性已经具有越来越重要的现实意义,下面这篇文章介绍了在sco unix上进行安全管理的一些具体设置,也是一些专业书籍中很少涉及到的,具有很强的实用价值。

  金融业务系统大部分以UNIX或 XENIX操作系统为平台,以TCP/IP为网络平台。虽然UNIX安全性能已达到美国国防部的C2级安全标准,是一个相对安全、严密的系统,但也并非无 懈可击。电脑黑客入侵多种、证券网络系统的新闻再次敲响金融网络安全管理的警钟。如何加强UNIX网络系统的安全性管理,笔者以SCO UNIX3.2.v4.2为例,提几点看法,与广大同仁商榷。

  这里所说的安全性,主要指通过防止本机或本网被非法侵入、访问,从而达到保护本系统可靠、正常运行的目的,本文只在此范围内讨论,对其他方面不予考虑。

  一、抓好网内主机的管理是网络安全管理的前提

   用户名和密码管理永远是系统安全管理中最重要的环节之一,对网络的任何攻击,都不可能没有合法的用户名和密码(后台网络应用程序开后门例外)。但目前绝 大部分系统管理员只注重对特权用户的管理,而忽视对普通用户的管理。主要表现在设置用户时图省事方便,胡乱设置用户的权限(id)、组别(group)和 文件权限,为非法用户窃取信息和破坏系统留下了空隙。

  金融系统UNIX的用户都是最终用户,他们只需在具体的应用系统中工作,完成某些固定的任务,一般情况下不需执行系统命令(shell)。以农业银行全国电子汇兑为例,用户名为dzhd,它在/etc/passwd文件中描述如下:

dzhd:x:200:50: :/usr/dzhd:/bin/sh

  它的.profile内容大致如下:

  COBSW=+R+N+Q-10

  DD_PRINTER=“1p-s”

  PATH=/etc:/bin:/usr/bin:$HOME/bin:/usr/dzhd/obj:

  MAIL=/usr/spool/mail/logname

  umask 007

  eval`test -m ansi:ansi -m:?ansi -c -s -Q`

  export PATH MAIL COBSW DD_PRINTER

  cd usr/dzhd/obj

  runx hdg

  exit

   用户正常登录后,如果按下中断键“delete”,关掉终端电源,或同时键入“Ctrl”“”,那么用户将进入shell命令状态。例如他可以在自己的 目录不断创建子目录而耗尽系统的I节点号、或用yes>aa创建一个其大无比的垃圾文件而耗尽硬盘空间等导致系统的崩溃、瘫痪;如果文件系统的权限 设置不严密,他可运行、窥视甚至修改它;还可通过su等命令窃取更高的权限;还可登录到其它主机上去捣乱,令你防不胜防,危险性可想而知。这一些问题都与 用户设置有关。所以,尽量不要把用户设置成上述形式。如果必须这样,可根据实际需要,看看能否把用户的sh变成受限sh,如rsh等,变成如下形式:

  dzhd:x:200:50: :/usr/dzhd/obj:/bin/rsh

  或如下形式:

  dzhd:x:200:50: :/usr/dzhd:./main

  在main(.porfile)

  首部增加如下一行:

  trap' ' 0 1 2 3 5 15

  那么上述一切问题都可避免。

  此外定期检查你的/etc/passwd文件,看看是否有来历不明的用户和用户的权限;定期修改用户密码,特别是uucp、bin等不常用的用户的密码,以防有人在此开个活动的天窗--一个可自由进出的用户;删除所有睡眠用户等。

  二、设置好自己的网络环境是阻止非法访问的有效途径

#改变所需执行文件权限

  #chmod 011 bin/*

  #查看所需伪设备的情况

  #1/dev/socksys

  #1/dev/null

  #建立所需伪设备的驱动程度

  #cd/usr/ftp/dev

  #mkond null c 4 2

  #mkond socksys c 26 0

  #改变伪设备驱动程序的所有者、同组者

  #chown ftp ftp/*

  #chgrp ftp ftp/*

  #复制共享文件

  #cp/shlib/ilbe_s shlib

  注意不要复制/etc/passwd、/etc/proup到etc下,这样对安全具有潜在的威胁。此外给ftp用户加上密码,不要告诉其他任何人。

  (4)限制.rhosts用户等价文件(又叫受托用户文件)。与之有关命令有rlogin、rcp、rcmd等。

  所谓用户等价,就是用户不用输入密码,即可以相同的用户信息登录到另一台主机中。用户等价的文件名为.rhosts,存放在根下或用户主目录下。它的形式如下:

  #主机名 用户名

  ash020000 root

  ash020001 dgxt

  …

  如果用户名为空,是所有用户均等价。

  (5)限制hosts.equiv主机等价文件,又叫受托主机文件。有关的命令为rlogin、rcp、rcmd等。主机等价类似于用户等价,在两台计算机除根目录外的所有区域有效,主机等价文件为hosts.equiv,存放在/etc下,它的形式如下:

  #主机名 用户名

  ash020000

  ash020001

  …

   当远程使用ftp访问本系统时,UNIX系统首先验证用户名和密码,无误后查看ftpusers文件,一旦其中包含登录所用用户名则自动拒绝连接,从而 达到限制作用。因此我们只要把本机内除匿名ftp以外的所有用户列入ftpusers文件中,即使入者获得本机内正确的用户信息,无法登录系统。需对外发 布的信息,放到/usr/ftp/bub下,让远方通过匿名ftp获龋使用匿名ftp,不需密码,不会对本机系统的安全构成威胁,因为它无法改变目录,也 就无法获得本机内的其他信息。使用.netrc配置,需注意保密,防止泄露其他相关主机的信息。

阅读(2051) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~