对AIX日常安全管理中一些做法的理解

    最近开始整理BLOG，找了些以前写的文字。当初是写在LOVEUNIX上的。

    研究黑客的行为，其实对管理员来说很有意思。不知道黑客的伎俩，是不可能防得住他的。知己知彼，方能百战不殆。

    个人理解，真正的管理员和已获得ROOT权限的黑客，都是系统的最高管理者，本质上没有区别，甚至可以说已获得ROOT权限的黑客就是隐身的系统管理员。

    黑客要做的，就是两件事：
1、获得ROOT权限；
2、获得ROOT权限后，隐身。（最好的隐身当然是拿到ROOT的密码）

    同理，真正的管理员在防黑客方面要做的也两件事：
1、防止黑客获得ROOT权限；
2、及时发现那些隐身者。
    道高一尺，魔可以高一丈；魔高一尺，道也可以高一丈。谁比谁厉害，这个就看黑客和管理员两者的搏弈了。

    我们可以反观一下日常安全管理工作中的一些做法。了解上面说的内容，就不难理解下面这些做法的用意了：
1、为什么密码不能都是小写字符？——防暴力破解
2、为什么要定期检查/etc/passwd里有几个uid=0的帐户？——找到入侵者
3、为什么密码要定期更改？——对付上面说的最高级的隐身者
4、为什么不允许root直接telnet、ftp？——防网络窃听者
5、为什么要用ssh、sftp代替telnet、ftp？——防本机窃听者（顺带防了网络窃听者）
6、为什么$PATH中不要有“.”，或者“.”要放到最后？——防假su, ls, df等
7、为什么su成root时，要写成/usr/bin/su或/bin/su？——还是防假su（su特殊，因为ls, df等命令是不会要求你输密码的；顺带提一下login命令也特殊）
8、为什么机器要不断打APAR？——防黑客利用新发现的缓冲区溢出漏洞
9、为什么禁用不必要的DEMON？——防黑客用后门替换那些不常用的服务

========================================================================
任何形式的转载，请写明出处：
email:
blog: http://blog.chinaunix.net/index.php?blogId=739   http://www.cublog.cn/u/739/
========================================================================