?? 711.shtml
字號:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>配置安全的SCO UNIX網絡系統 - fanqiang.com</title>
<style type="text/css">
body,th,input,select,textarea,select,checkbox{font:12pt 宋體}
A:link { text-decoration:underline; color:#E6A306}
A:visited { text-decoration:underline; color:#E6A306}
A:hover { text-decoration:underline; color:#FFFF00}
body { font-family: "宋體", "serif"; font-size: 12pt}
td { font-family: "宋體", "serif"; font-size: 12pt}
p { font-size: 9pt; line-height: 150%}
</style>
</head>
<body text="#ffffff" bgcolor="#000000" background="/images/bline.gif" topmargin=5 marginheight=5 leftmargin=0 marginwidth=0 onLoad="setTailPosition()">
<center>
<table border="0" width="750" cellspacing="0" cellpadding="0">
<tr>
<td height="45"><p align="center"><img src="/images/title.gif" alt="[ 永遠的UNIX::UNIX技術資料的寶庫 ]"> </td>
</tr>
<tr>
<tr>
<td align=left height="40" valign=bottom align=left><small><a href="/">首頁</a> > 系統管理 > <a href=/system/sco/index.shtml>SCO</a> > 正文</small></td>
</tr>
<tr>
<td width="100%" height="2" colspan="5" bgcolor="#D09F0D"><img src="/images/c.gif" width=1 height=1></td>
</tr>
</table>
<table width=750 border=0 cellspacing=0 cellpadding=0>
<tr><td valign=top align=center >
<br>
<table width=90% border=0 cellspacing=0 cellpadding=0 align=center>
<tr><th class=f24><h1>配置安全的SCO UNIX網絡系統</h1></th></tr>
<tr><td height=20 align=center><font color=#999999><small> 本文出自:http://www.ccidnet.com/ 作者: 孫青云[sun_qingyun@263.net] (2001-06-30 23:41:21)</small></font></td></tr>
<tr><td ><br>
<script type="text/javascript"><!--
google_ad_client = "pub-0052768304011480";
google_alternate_color = "000000";
google_ad_width = 728;
google_ad_height = 90;
google_ad_format = "728x90_as";
google_ad_channel ="5959447789";
google_color_border = "000000";
google_color_bg = "666666";
google_color_link = "FFFFFF";
google_color_url = "FF9900";
google_color_text = "CCCCCC";
//--></script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
</td></tr>
<tr><td height=15></td></tr>
<tr><td class=l17><font id="zoom" class=f14>
<font color=#cccccc>
<!-- 正文begin -->
<!--HTML_BEGIN-->
<span class="name00">
<span class="content"> 一個網絡系統的安全程度,在很大程度上取決于管理者的素質,以及管理者所采取的安全措施的力度。在對系統進行配置的同時,要把安全性問題放在重要的位置。
<BR><BR> SCO UNIX,作為一個技術成熟的商用網絡操作系統,廣泛地應用在金融、保險、郵電等行業,其自身內建了豐富的網絡功能,具有良好的穩定性和安全性。但是,如果用戶沒有對UNIX系統進行正確的設置,就會給入侵者以可乘之機。因此在網絡安全管理上,不僅要采用必要的網絡安全設備,如:防火墻等,還要在操作系統的層面上進行合理規劃、配置,避免因管理上的漏洞而給應用系統造成風險。
<BR><BR> 下面以SCO UNIX Openserver V5.0.5為例,對操作系統級的網絡安全設置提幾點看法,供大家參考。
<BR><BR> <strong>合理設置系統安全級別</strong>
<BR>
SCO UNIX提供了四個安全級別,分別是Low、Traditional、Improved和High級,系統缺省為Traditional級;Improved級達到美國國防部的C2級安全標準;High級則高于C2級。用戶可以根據自己系統的重要性及客戶數的多少,設置適合自己需要的系統安全級別,具體設置步驟是:scoadmin→system→security→security profile manager。
<BR><BR> <strong>合理設置用戶</strong>
<BR>
建立用戶時,一定要考慮該用戶屬于哪一組,不能隨便選用系統缺省的group組。如果需要,可以新增一個用戶組并確定同組成員,在該用戶的主目錄下,新建文件的存取權限是由該用戶的配置文件.profile中的umask的值決定。umask的值取決于系統安全級, Tradition安全級的umask的值為022,它的權限類型如下:
<BR><BR> 文件權限: - r w - r - - r - -
<BR><BR> 目錄權限: d r w x r - x r - x
<BR><BR> 此外,還要限制用戶不成功登錄的次數,避免入侵者用猜測用戶口令的方法嘗試登錄。為賬戶設置登錄限制的步驟是:Scoadmin--〉Account Manager--〉選賬戶--〉User--〉Login Controls--〉添入新的不成功登錄的次數。
<BR><BR> <strong>指定主控臺及終端登錄的限制</strong>
<BR>
如果你希望root用戶只能在某一個終端(或虛屏)上登錄,那么就要對主控臺進行指定,例如:指定root用戶只能在主機第一屏tty01上登錄,這樣可避免從網絡遠程攻擊超級用戶root。設置方法是在/etc/default/login文件增加一行:CONSOLE=/dev/tty01。
<BR><BR> 注意:設置主控臺時,在主機運行中設置后就生效,不需要重啟主機。
<BR><BR> 如果你的終端是通過Modem異步撥號或長線驅動器異步串口接入UNIX主機,你就要考慮設置某終端不成功登錄的次數,超過該次數后,鎖定此終端。設置方法為:scoadmin→Sysrem→Terminal Manager→Examine→選終端,再設置某終端不成功登錄的次數。如果某終端被鎖定后,可用ttyunlock〈終端號〉進行解鎖。也可用ttylock〈終端號〉直接加鎖。
<BR><BR> <strong>文件及目錄的權限管理</strong>
<BR>
有時我們為了方便使用而將許多目錄和文件權限設為777或666,但是這樣卻為黑客攻擊提供了方便。因此,必須仔細分配應用程序、數據和相應目錄的權限。發現目錄和文件的權限不適當,應及時用chmod命令修正。
<BR><BR> <strong>口令保護的設置</strong>
<BR>
口令一般不要少于8個字符,口令的組成應以無規則的大小寫字母、數字和符號相結合,絕對避免用英語單詞或詞組等設置口令,而且應該養成定期更換各用戶口令的習慣。通過編輯/etc/default/passwd文件,可以強制設定最小口令長度、兩次口令修改之間的最短、最長時間。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統管理員才能訪問這兩個文件。
<BR><BR> <strong>合理設置等價主機</strong>
<BR>
設置等價主機可以方便用戶操作,但要嚴防未經授權非法進入系統。所以必須要管理/etc/hosts.equiv、.rhosts和.netrc這3個文件。其中,/etc /hosts.equiv列出了允許執行rsh、rcp等遠程命令的主機名字;.rhosts在用戶目錄內指定了遠程用戶的名字,其遠程用戶使用本地用戶賬戶執行rcp、rlogin和rsh等命令時不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自動連接主機而不必提供口令,該文件也放在用戶本地目錄中。由于這3個文件的設置都允許一些命令不必提供口令便可訪問主機,因此必須嚴格限制這3個文件的設置。在.rhosts中盡量不用“+ +”,因為它可以使任何主機的用戶不必提供口令而直接執行rcp、rlogin和rsh等命令。
<BR><BR> <strong>合理配置/etc/inetd.conf文件</strong>
<BR>
UNIX系統啟動時運行inetd進程,對大部分網絡連接進行監聽,并且根據不同的申請啟動相應進程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd來啟動對應的服務進程。因此,從系統安全角度出發,我們應該合理地設置/etc/inetd.conf文件,將不必要的服務關閉。關閉的方法是在文件相應行首插入“#”字符,并執行下列命令以使配置后的命令立即生效。
<BR><BR> #ps-ef | grep inetd | grep -v grep
<BR><BR> #kill -HUP 〈 inetd-PID 〉
<BR><BR> <strong>合理設置/etc/ftpusers文件</strong>
<BR>
在/etc/ftpuser文件里列出了可用FTP協議進行文件傳輸的用戶,為了防止不信任用戶傳輸敏感文件,必須合理規劃該文件。在對安全要求較高的系統中,不允許ftp訪問root和UUCP,可將root和UUCP列入/etc/ftpusers中。
<BR><BR> <strong>合理設置網段及路由</strong>
<BR>
在主機中設置TCP/IP協議的IP地址時,應該合理設置子網掩碼(netmask),把禁止訪問的IP地址隔離開來。嚴格禁止設置缺省路由(即:default route)。建議為每一個子網或網段設置一個路由,否則其他機器就可能通過一定方式訪問該主機。
<BR><BR> <strong>不設置UUCP</strong>
<BR>
UUCP為采用撥號用戶實現網絡連接提供了簡單、經濟的方案,但是同時也為黑客提供了入侵手段,所以必須避免利用這種模式進行網絡互聯。
<BR><BR> <strong>刪除不用的軟件包及協議</strong>
<BR>
在進行系統規劃時,總的原則是將不需要的功能一律去掉。如通過scoadmin--〉Soft Manager去掉X Window;通過修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等協議。
<BR><BR> <strong>正確配置.profile文件</strong>
<BR>
.profile文件提供了用戶登錄程序和環境變量,為了防止一般用戶采用中斷的方法進入$符號狀態,系統管理者必須屏蔽掉鍵盤中斷功能。具體方法是在.porfile首部增加如下一行:
<BR><BR> trap ' ' 0 1 2 3 5 15
<BR><BR> <strong>創建匿名ftp</strong>
<BR>
如果你需要對外發布信息而又擔心數據安全,你可以創建匿名ftp,允許任何用戶使用匿名ftp,不需密碼訪問指定目錄下的文件或子目錄,不會對本機系統的安全構成威脅,因為它無法改變目錄,也就無法獲得本機內的其他信息。注意不要復制/etc/passwd、/etc/proup到匿名ftp的etc下,這樣對安全具有潛在的威脅。
<BR><BR> <strong>應用用戶和維護用戶分開</strong>
<BR>
金融系統UNIX的用戶都是最終用戶,他們只需在具體的應用系統中完成某些固定的任務,一般情況下不需執行系統命令(shell),其應用程序由.profile調用,應用程序結束后就退到login狀態。維護時又要用root級別的su命令進入應用用戶,很不方便。可以通過修改.profile 文件,再創建一個相同id用戶的方法解決。例:應用用戶work有一個相同id相同主目錄的用戶worksh, 用戶work的.profile文件最后為:
<BR><BR> set -- `who am i`
<BR><BR> case $1 in
<BR><BR> work ) exec workmain;exit;;
<BR><BR> worksh ) break;;
<BR><BR> esac
<BR><BR> 這樣當用work登錄時,執行workmain程序;而用worksh登錄時,則進入work的$狀態。<BR><BR></span>
<!--HTML_END-->
<br>
<!-- 正文end -->
<br>
(http://www.fanqiang.com)<br>
</font>
<br>
<font color=#999999><small></small></font>
<br>
</td></tr>
</table>
<br>
</td></tr>
</table>
<table width=750 border=0 cellpadding=0 cellspacing=0>
<tr><td width=620 align=center>
<table width=562 border=0 cellspacing=0 cellpadding=0>
<tr><td width=562>
<table width=562 border=0 cellspacing=0 cellpadding=0>
<tr><td >
</td></tr>
<tr><td height=10></td></tr>
</table>
<!--結束:底部-->
<table border=0 width=750>
<tr>
<td width="100%" height="2" colspan="5" bgcolor="#D09F0D"><img src="/images/c.gif" width=1 height=1></td>
</tr>
<tr>
<td width="100%" height="40" colspan="5" valign=top><p align="center"><font color=#ffffff>★ 樊強制作 歡迎分享 ★ </font></p></td>
</tr>
</table>
</center>
</body>
</html>
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -