av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術(shù)文章
文章詳情頁

配置安全的SCO UNIX網(wǎng)絡(luò)系統(tǒng)

瀏覽:104日期:2024-06-26 09:51:41

一個網(wǎng)絡(luò)系統(tǒng)的安全程度,在很大程度上取決于管理者的素質(zhì),以及管理者所采取的安全措施的力度。在對系統(tǒng)進(jìn)行配置的同時,要把安全性問題放在重要的位置。

SCO Unix,作為一個技術(shù)成熟的商用網(wǎng)絡(luò)操作系統(tǒng),廣泛地應(yīng)用在金融、保險、郵電等行業(yè),其自身內(nèi)建了豐富的網(wǎng)絡(luò)功能,具有良好的穩(wěn)定性和安全性。但是,如果用戶沒有對UNIX系統(tǒng)進(jìn)行正確的設(shè)置,就會給入侵者以可乘之機。因此在網(wǎng)絡(luò)安全管理上,不僅要采用必要的網(wǎng)絡(luò)安全設(shè)備,如:防火墻等,還要在操作系統(tǒng)的層面上進(jìn)行合理規(guī)劃、配置,避免因管理上的漏洞而給應(yīng)用系統(tǒng)造成風(fēng)險。

下面以SCO UNIX Openserver V5.0.5為例,對操作系統(tǒng)級的網(wǎng)絡(luò)安全設(shè)置提幾點看法,供大家參考。

合理設(shè)置系統(tǒng)安全級別 SCO UNIX提供了四個安全級別,分別是Low、Traditional、Improved和High級,系統(tǒng)缺省為Traditional級;Improved級達(dá)到美國國防部的C2級安全標(biāo)準(zhǔn);High級則高于C2級。用戶可以根據(jù)自己系統(tǒng)的重要性及客戶數(shù)的多少,設(shè)置適合自己需要的系統(tǒng)安全級別,具體設(shè)置步驟是:scoadmin→system→security→security profile manager。

合理設(shè)置用戶 建立用戶時,一定要考慮該用戶屬于哪一組,不能隨便選用系統(tǒng)缺省的group組。如果需要,可以新增一個用戶組并確定同組成員,在該用戶的主目錄下,新建文件的存取權(quán)限是由該用戶的配置文件.profile中的umask的值決定。umask的值取決于系統(tǒng)安全級, Tradition安全級的umask的值為022,它的權(quán)限類型如下:

文件權(quán)限: - r w - r - - r - -

目錄權(quán)限: d r w x r - x r - x

此外,還要限制用戶不成功登錄的次數(shù),避免入侵者用猜測用戶口令的方法嘗試登錄。為賬戶設(shè)置登錄限制的步驟是:Scoadmin--〉A(chǔ)ccount Manager--〉選賬戶--〉User--〉Login Controls--〉添入新的不成功登錄的次數(shù)。

指定主控臺及終端登錄的限制 如果你希望root用戶只能在某一個終端(或虛屏)上登錄,那么就要對主控臺進(jìn)行指定,例如:指定root用戶只能在主機第一屏tty01上登錄,這樣可避免從網(wǎng)絡(luò)遠(yuǎn)程攻擊超級用戶root。設(shè)置方法是在/etc/default/login文件增加一行:CONSOLE=/dev/tty01。

注意:設(shè)置主控臺時,在主機運行中設(shè)置后就生效,不需要重啟主機。

如果你的終端是通過Modem異步撥號或長線驅(qū)動器異步串口接入UNIX主機,你就要考慮設(shè)置某終端不成功登錄的次數(shù),超過該次數(shù)后,鎖定此終端。設(shè)置方法為:scoadmin→Sysrem→Terminal Manager→Examine→選終端,再設(shè)置某終端不成功登錄的次數(shù)。如果某終端被鎖定后,可用ttyunlock〈終端號〉進(jìn)行解鎖。也可用ttylock〈終端號〉直接加鎖。

文件及目錄的權(quán)限管理 有時我們?yōu)榱朔奖闶褂枚鴮⒃S多目錄和文件權(quán)限設(shè)為777或666,但是這樣卻為黑客攻擊提供了方便。因此,必須仔細(xì)分配應(yīng)用程序、數(shù)據(jù)和相應(yīng)目錄的權(quán)限。發(fā)現(xiàn)目錄和文件的權(quán)限不適當(dāng),應(yīng)及時用chmod命令修正。

口令保護(hù)的設(shè)置 口令一般不要少于8個字符,口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合,絕對避免用英語單詞或詞組等設(shè)置口令,而且應(yīng)該養(yǎng)成定期更換各用戶口令的習(xí)慣。通過編輯/etc/default/passwd文件,可以強制設(shè)定最小口令長度、兩次口令修改之間的最短、最長時間。另外,口令的保護(hù)還涉及到對/etc/passwd和/etc/shadow文件的保護(hù),必須做到只有系統(tǒng)管理員才能訪問這兩個文件。

合理設(shè)置等價主機 設(shè)置等價主機可以方便用戶操作,但要嚴(yán)防未經(jīng)授權(quán)非法進(jìn)入系統(tǒng)。所以必須要管理/etc/hosts.equiv、.rhosts和.netrc這3個文件。其中,/etc /hosts.equiv列出了允許執(zhí)行rsh、rcp等遠(yuǎn)程命令的主機名字;.rhosts在用戶目錄內(nèi)指定了遠(yuǎn)程用戶的名字,其遠(yuǎn)程用戶使用本地用戶賬戶執(zhí)行rcp、rlogin和rsh等命令時不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自動連接主機而不必提供口令,該文件也放在用戶本地目錄中。由于這3個文件的設(shè)置都允許一些命令不必提供口令便可訪問主機,因此必須嚴(yán)格限制這3個文件的設(shè)置。在.rhosts中盡量不用“+ +”,因為它可以使任何主機的用戶不必提供口令而直接執(zhí)行rcp、rlogin和rsh等命令。

合理配置/etc/inetd.conf文件 UNIX系統(tǒng)啟動時運行inetd進(jìn)程,對大部分網(wǎng)絡(luò)連接進(jìn)行監(jiān)聽,并且根據(jù)不同的申請啟動相應(yīng)進(jìn)程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd來啟動對應(yīng)的服務(wù)進(jìn)程。因此,從系統(tǒng)安全角度出發(fā),我們應(yīng)該合理地設(shè)置/etc/inetd.conf文件,將不必要的服務(wù)關(guān)閉。關(guān)閉的方法是在文件相應(yīng)行首插入“#”字符,并執(zhí)行下列命令以使配置后的命令立即生效。

#ps-ef | grep inetd | grep -v grep

#kill -HUP 〈 inetd-PID 〉

合理設(shè)置/etc/ftpusers文件 在/etc/ftpuser文件里列出了可用FTP協(xié)議進(jìn)行文件傳輸?shù)挠脩簦瑸榱朔乐共恍湃斡脩魝鬏斆舾形募仨毢侠硪?guī)劃該文件。在對安全要求較高的系統(tǒng)中,不允許ftp訪問root和UUCP,可將root和UUCP列入/etc/ftpusers中。

合理設(shè)置網(wǎng)段及路由 在主機中設(shè)置TCP/IP協(xié)議的IP地址時,應(yīng)該合理設(shè)置子網(wǎng)掩碼(netmask),把禁止訪問的IP地址隔離開來。嚴(yán)格禁止設(shè)置缺省路由(即:default route)。建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由,否則其他機器就可能通過一定方式訪問該主機。

不設(shè)置UUCP UUCP為采用撥號用戶實現(xiàn)網(wǎng)絡(luò)連接提供了簡單、經(jīng)濟的方案,但是同時也為黑客提供了入侵手段,所以必須避免利用這種模式進(jìn)行網(wǎng)絡(luò)互聯(lián)。

刪除不用的軟件包及協(xié)議 在進(jìn)行系統(tǒng)規(guī)劃時,總的原則是將不需要的功能一律去掉。如通過scoadmin--〉Soft Manager去掉X Window;通過修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等協(xié)議。

正確配置.profile文件 .profile文件提供了用戶登錄程序和環(huán)境變量,為了防止一般用戶采用中斷的方法進(jìn)入$符號狀態(tài),系統(tǒng)管理者必須屏蔽掉鍵盤中斷功能。具體方法是在.porfile首部增加如下一行:

trap ' ' 0 1 2 3 5 15

創(chuàng)建匿名ftp 如果你需要對外發(fā)布信息而又擔(dān)心數(shù)據(jù)安全,你可以創(chuàng)建匿名ftp,允許任何用戶使用匿名ftp,不需密碼訪問指定目錄下的文件或子目錄,不會對本機系統(tǒng)的安全構(gòu)成威脅,因為它無法改變目錄,也就無法獲得本機內(nèi)的其他信息。注意不要復(fù)制/etc/passwd、/etc/proup到匿名ftp的etc下,這樣對安全具有潛在的威脅。

應(yīng)用用戶和維護(hù)用戶分開 金融系統(tǒng)UNIX的用戶都是最終用戶,他們只需在具體的應(yīng)用系統(tǒng)中完成某些固定的任務(wù),一般情況下不需執(zhí)行系統(tǒng)命令(shell),其應(yīng)用程序由.profile調(diào)用,應(yīng)用程序結(jié)束后就退到login狀態(tài)。維護(hù)時又要用root級別的su命令進(jìn)入應(yīng)用用戶,很不方便。可以通過修改.profile 文件,再創(chuàng)建一個相同id用戶的方法解決。例:應(yīng)用用戶work有一個相同id相同主目錄的用戶worksh, 用戶work的.profile文件最后為:

set -- `who am i`

case $1 in

work ) exec workmain;exit;;

worksh ) break;;

esac

這樣當(dāng)用work登錄時,執(zhí)行workmain程序;而用worksh登錄時,則進(jìn)入work的$狀態(tài)。

標(biāo)簽: Unix系統(tǒng)
主站蜘蛛池模板: 看片地址 | 日本精品久久久久久久 | 免费观看a级毛片在线播放 黄网站免费入口 | 成人无遮挡毛片免费看 | av黄在线观看 | 中文字幕一区二区三区四区五区 | 日韩中文字幕在线播放 | 国产精久久久久久 | 久久国产婷婷国产香蕉 | 久久精品一区二区 | 国产精品大片在线观看 | 中文字幕中文字幕 | 欧美电影在线观看网站 | 免费观看一级特黄欧美大片 | 日韩在线免费视频 | 国产日韩精品视频 | 亚洲综合二区 | 理论片免费在线观看 | 国产精品一区一区三区 | 久久国产精品一区二区三区 | 亚洲69p| 日韩在线视频免费观看 | 亚洲精品一区二区另类图片 | 国产精品国产精品国产专区不片 | 久久精品免费一区二区三 | 成人不卡在线 | 亚洲一区二区三区四区五区中文 | 免费看一级毛片 | 欧美性猛片aaaaaaa做受 | www狠狠爱com | 一级毛片观看 | 成年人的视频免费观看 | 国产免费一区二区 | 在线一级片 | 久久久国产精品视频 | 久久一二 | 九一视频在线观看 | 日韩中文字幕高清 | 午夜日韩视频 | 亚洲女人天堂成人av在线 | 精品无码久久久久久国产 |