国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關(guān)注微信公眾號

配置安全的SCO UNIX網(wǎng)絡(luò)系統(tǒng)
2005-12-20   

一個網(wǎng)絡(luò)系統(tǒng)的安全程度,在很大程度上融令長度、兩次口令修改之間的最短、最長時間。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統(tǒng)管理員才能訪問這兩個文件。

合理設(shè)置等價主機

設(shè)置等價主機可以方便用戶操作,但要嚴防未經(jīng)授權(quán)非法進入系統(tǒng)。所以必須要管理/etc/hosts.equiv、.rhosts和.netrc這3個文件。其中,/etc /hosts.equiv列出了允許執(zhí)行rsh、rcp等遠程命令的主機名字;.rhosts在用戶目錄內(nèi)指定了遠程用戶的名字,其遠程用戶使用本地用戶賬戶執(zhí)行rcp、rlogin和rsh等命令時不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自動連接主機而不必提供口令,該文件也放在用戶本地目錄中。由于這3個文件的設(shè)置都允許一些命令不必提供口令便可訪問主機,因此必須嚴格限制這3個文件的設(shè)置。在.rhosts中盡量不用“+ +”,因為它可以使任何主機的用戶不必提供口令而直接執(zhí)行rcp、rlogin和rsh等命令。

合理配置/etc/inetd.conf文件

UNIX系統(tǒng)啟動時運行inetd進程,對大部分網(wǎng)絡(luò)連接進行監(jiān)聽,并且根據(jù)不同的申請啟動相應(yīng)進程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd來啟動對應(yīng)的服務(wù)進程。因此,從系統(tǒng)安全角度出發(fā),我們應(yīng)該合理地設(shè)置/etc/inetd.conf文件,將不必要的服務(wù)關(guān)閉。關(guān)閉的方法是在文件相應(yīng)行首插入“#”字符,并執(zhí)行下列命令以使配置后的命令立即生效。

#ps-ef │ grep inetd │ grep -v grep

#kill -HUP 〈 inetd-PID 〉

合理設(shè)置/etc/ftpusers文件

在/etc/ftpuser文件里列出了可用FTP協(xié)議進行文件傳輸?shù)挠脩?,為了防止不信任用戶傳輸敏感文件,必須合理?guī)劃該文件。在對安全要求較高的系統(tǒng)中,不允許ftp訪問root和UUCP,可將root和UUCP列入/etc/ftpusers中。

合理設(shè)置網(wǎng)段及路由

在主機中設(shè)置TCP/IP協(xié)議的IP地址時,應(yīng)該合理設(shè)置子網(wǎng)掩碼(netmask),把禁止訪問的IP地址隔離開來。嚴格禁止設(shè)置缺省路由(即:default route)。建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由,否則其他機器就可能通過一定方式訪問該主機。

不設(shè)置UUCP

UUCP為采用撥號用戶實現(xiàn)網(wǎng)絡(luò)連接提供了簡單、經(jīng)濟的方案,但是同時也為黑客提供了入侵手段,所以必須避免利用這種模式進行網(wǎng)絡(luò)互聯(lián)。

刪除不用的軟件包及協(xié)議

在進行系統(tǒng)規(guī)劃時,總的原則是將不需要的功能一律去掉。如通過scoadmin--〉Soft Manager去掉X Window;通過修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等協(xié)議。

正確配置.profile文件

.profile文件提供了用戶登錄程序和環(huán)境變量,為了防止一般用戶采用中斷的方法進入$符號狀態(tài),系統(tǒng)管理者必須屏蔽掉鍵盤中斷功能。具體方法是在.porfile首部增加如下一行:

trap ' ' 0 1 2 3 5 15

創(chuàng)建匿名ftp

如果你需要對外發(fā)布信息而又擔心數(shù)據(jù)安全,你可以創(chuàng)建匿名ftp,允許任何用戶使用匿名ftp,不需密碼訪問指定目錄下的文件或子目錄,不會對本機系統(tǒng)的安全構(gòu)成威脅,因為它無法改變目錄,也就無法獲得本機內(nèi)的其他信息。注意不要復制/etc/passwd、/etc/proup到匿名ftp的etc下,這樣對安全具有潛在的威脅。

應(yīng)用用戶和維護用戶分開

金融系統(tǒng)UNIX的用戶都是最終用戶,他們只需在具體的應(yīng)用系統(tǒng)中完成某些固定的任務(wù),一般情況下不需執(zhí)行系統(tǒng)命令(shell),其應(yīng)用程序由.profile調(diào)用,應(yīng)用程序結(jié)束后就退到login狀態(tài)。維護時又要用root級別的su命令進入應(yīng)用用戶,很不方便??梢酝ㄟ^修改.profile 文件,再創(chuàng)建一個相同id用戶的方法解決。例:應(yīng)用用戶work有一個相同id相同主目錄的用戶worksh, 用戶work的.profile文件最后為:

set -- `who am i`

case $1 in

work  exec workmain;exit;;

worksh  break;;

esac

這樣當用work登錄時,執(zhí)行workmain程序;而用worksh登錄時,則進入work的$狀態(tài)。


熱詞搜索:

上一篇:保護服務(wù)器安全的熱點技術(shù)
下一篇:Win2K Internet服務(wù)器安全構(gòu)建指南

分享到: 收藏
主站蜘蛛池模板: 江都市| 花莲县| 高阳县| 东乡族自治县| 宁津县| 澄城县| 昭觉县| 仪陇县| 武鸣县| 龙岩市| 金湖县| 斗六市| 南部县| 平利县| 汶川县| 二手房| 关岭| 铁岭县| 南部县| 贵定县| 湾仔区| 武强县| 隆子县| 汽车| 伊春市| 南开区| 台山市| 潮州市| 九龙坡区| 台中市| 积石山| 开鲁县| 大丰市| 酒泉市| 合阳县| 定南县| 运城市| 西贡区| 清水河县| 玉山县| 进贤县|