注册
个人空间
据有关资料显示,近两年内,中国的计算机网络受到了近200个
黑客有意识的袭击。网络遭到攻击已经不仅仅是从报刊文摘中读到的
外国神话,而是真真切切地存在于我们生活中的现实。维护网络的安
全性已经具有越来越重要的现实意义,下面这篇文章介绍了在sco unix
上进行安全管理的一些具体设置,也是一些专业书籍中很少涉及到的,
具有很强的实用价值。
金融业务系统大部分以UNIX或XENIX操作系统为平台,以TCP/IP
为网络平台。虽然UNIX安全性能已达到美国国防部的C2级安全标准,
是一个相对安全、严密的系统,但也并非无懈可击。电脑黑客入侵多
种、证券网络系统的新闻再次敲响金融网络安全管理的警钟。如何加
强UNIX网络系统的安全性管理,笔者以SCO UNIX3.2.v4.2为例,提几
点看法,与广大同仁商榷。
这里所说的安全性,主要指通过防止本机或本网被非法侵入、访
问,从而达到保护本系统可靠、正常运行的目的,本文只在此范围内
讨论,对其他方面不予考虑。
一、抓好网内主机的管理是网络安全管理的前提
用户名和密码管理永远是系统安全管理中最重要的环节之一,对
网络的任何攻击,都不可能没有合法的用户名和密码(后台网络应用
程序开后门例外)。但目前绝大部分系统管理员只注重对特权用户的
管理,而忽视对普通用户的管理。主要表现在设置用户时图省事方便,
胡乱设置用户的权限(id)、组别(group)和文件权限,为非法
用户窃取信息和破坏系统留下了空隙。
金融系统UNIX的用户都是最终用户,他们只需在具体的应用系统
中工作,完成某些固定的任务,一般情况下不需执行系统命令(shell)。
以农业银行全国电子汇兑为例,用户名为dzhd,它在/etc/passwd
文件中描述如下:
dzhd:x:200:50: :/usr/dzhd:/bin/sh
它的.profile内容大致如下:
COBSW=+R+N+Q-10
DD_PRINTER=“1p-s”
PATH=/etc:/bin:/usr/bin:$HOME/bin:/usr/dzhd/obj:
MAIL=/usr/spool/mail/logname
umask 007
eval`test -m ansi:ansi -m:\?ansi -c -s -Q`
export PATH MAIL COBSW DD_PRINTER
cd usr/dzhd/obj
runx hdg
exit
用户正常登录后,如果按下中断键“delete”,关掉终端电源,
或同时键入“Ctrl”“\”,那么用户将进入shell命令状态。例如他
可以在自己的目录不断创建子目录而耗尽系统的I节点号、或用yes>;aa
创建一个其大无比的垃圾文件而耗尽硬盘空间等导致系统的崩溃、瘫
痪;如果文件系统的权限设置不严密,他可运行、窥视甚至修改它;
还可通过su等命令窃取更高的权限;还可登录到其它主机上去捣乱……
令你防不胜防,危险性可想而知。这一些问题都与用户设置有关。
所以,尽量不要把用户设置成上述形式。如果必须这样,可根据实际
需要,看看能否把用户的sh变成受限sh,如rsh等,变成如下形式:
dzhd:x:200:50: :/usr/dzhd/obj:/bin/rsh
或如下形式:
dzhd:x:200:50: :/usr/dzhd:./main
在main(.porfile)首部增加如下一行:
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 网络 用户 文件 系统 主机 ftp 密码 访问 命令 如下 登录 |
