UNIX避免非法用户注册的技术

核心提示：由于SCOUNIX操纵系统的开放性，网络系统的共享性，数据库的通用性等因素，UNIX操纵系统数据信息的安全题目显得越来越为突出，特别是终端端口的安全治理工作是目前信息系统安全的重要环节。

由于SCOUNIX操纵系统的开放性，网络系统的共享性，数据库的通用性等因素，UNIX操纵系统数据信息的安全题目显得越来越为突出，特别是终端端口的安全治理工作是目前信息系统安全的重要环节。由于操纵系统本身的缺点，加上营业网点的分散性等因素，留下远程终端包括DDN专线和MODEM的拨号端口和对外服务终端没法特别监管的隐患，给非法进进者提供了方便之门，因此必须想法加强对UNIX操纵系统的端口安全治理，增加端口口令和限制登录端口的用户及工作时间等。

工作原理：

操纵系统用户注册登录的全进程为：用户打开终端在login:后输进用户名和在passwd:后输进口令字，操纵系统接收用户名和口令字后与/etc/passwd和/etc/shadow文件进行正当性检查，对照注册名UID码、GID码（表示用户组）、GCOS域（用户个人信息）、注册目录、注册shell（1般为/bin/sh即Baurneshell），然后读取终端端口的有关信息，查找/etc/dialups文件、/etc/d_passwd文件，最后启动/etc/profile和用户根目录下的.profile文件（若是c_shell，则履行/etc/csh.login和用户根目录下的.login和.cshrc；若是kornshell，则会履行环境变量ENV所定义的文件）配置用户环境变量，查找提示该用户的mail信息。

纵观以上进程分析，我们可以简单地在/etc/dialups文件中加进终端端口设备号，在/etc/d_passwd文件中加进口令字，以限制非法登录，这是其1；我们还可以修改/etc/profile文件，从中增加1段程序，使之能与我们预先设定的有关用户、端口、工作时间等1些信息的文件进行比较，判定当前注册用户的登录端口、日期和时间是否是在我们答应的范围内，否则不答应注册登录。之所以修改文件/etc/profile而没有使用文件＄home/.profile，是由于使用文件/etc/profile更便于大范围的控制和处理，这是其2；另外，操纵系统在对正当用户注册登录处理的最后部份是根据该用户根目录下的＄HOME/.profile，设置用户环境变量、终端信息，我们可以在＄HOME/.profile加进该用户业务处理程序的起动命令并使之退出注册登录状态，以减少在该用户根目录下使用/bin/sh命令的机会，确保用户根目录下文件的安全。

基于以上原理，我们得出了3个有效地加强对终端端口限制治理的办法：

1、增加端口口令，限制远程登录

远程登录包括通过MODEM拨号、DDN专线访问服务器和通过终端服务器、集线器等登录到系统。以MODEM和DDN专线访问服务器的端口号为/dev/tty1A和/dev/ttya?，其中？为0、1、2……等；通过终端服务器、路由器和集线器访问服务器的端口号为/dev/ttyp？，其中？为0、1、2……等。此时使用的是伪tty设备文件，通常登录的端口是不固定的。因此，必须先履行固定通讯服务器端口设置程序，此程序由通讯服务器生产厂家随产品1起提供。通过在这些设备端口上增加拨进口令，限制远程登录。

2、限定用户在指定的端口和规定的时间内登录

当用户注册登录到unix操纵系统时，必须履行系统文件/etc/profile，我们对这1文件进行修改，让系统往读取用户名、端口名、每周工作日期、每天上班时间、每天放工时间。然后依此文件审查用户注册登录的正当性，端口名不在此文件中不受限制，端口名在此文件中但用户名不正确不准登录，用户名和端口名皆正确但工作时间不在规定范围内不准登录。

3、用户注册登录时立即运行业务处理程序，退出业务处理程序时也退出/bin/sh。

用户注册登录时系统访问了用户根目录下面的＄home/.profile，为了使用户正当注册登录后即进进运行业务处理程序，处理完成退出业务处理程序同时退出注册登录状态，我们可以对＄home/.profile进行修改使用户退出业务处理程序时，退至login:状态。

以上3种方法以3种途径加强了UNIX操纵系统端口设备的安全治理，可以分开使用，也能够合并使用，该方法在我公司SCOUNIX5.04操纵系统上试用正常，到达对1些远程登录端口和公众场合端口限制治理的目的，进1步有效地禁止了非法用户的登录。

评论加载中... 内容： 评论者： 验证码：