配置安全的SCO UNIX网络系统

核心提示：1个网络系统的安全程度，在很大程度上取决于治理者的素质，和治理者所采取的安全措施的力度。在对系统进行配置的同时，要把安全性题目放在重要的位置。

1个网络系统的安全程度，在很大程度上取决于治理者的素质，和治理者所采取的安全措施的力度。在对系统进行配置的同时，要把安全性题目放在重要的位置。

SCOUNIX，作为1个技术成熟的商用网络操纵系统，广泛地利用在金融、保险、邮电等行业，其本身内建了丰富的网络功能，具有良好的稳定性和安全性。但是，假设用户没有对UNIX系统进行正确的设置，就会给进侵者以可乘之机。因此在网络安全治理上，不但要采取必要的网络安全设备，如：防火墙等，还要在操纵系统的层面上进行公道计划、配置，避免因治理上的漏洞而给利用系统造成风险。

下面以SCOUNIXOpenserverV5.0.5为例，对操纵系统级的网络安全设置提几点看法，供大家参考。

公道设置系统安全级别

SCOUNIX提供了4个安全级别，分别是Low、Traditional、Improved和High级，系统缺省为Traditional级；Improved级到达美国国防部的C2级安全标准；High级则高于C2级。用户可以根据自己系统的重要性及客户数的多少，设置合适自己需要的系统安全级别，具体设置步骤是：scoadmin→system→security→securityprofilemanager。

公道设置用户

建立用户时，1定要考虑该用户属于哪1组，不能随便选用系统缺省的group组。假设需要，可以新增1个用户组并肯定同组成员，在该用户的主目录下，新建文件的存取权限是由该用户的配置文件.profile中的umask的值决定。umask的值取决于系统安全级,Tradition安全级的umask的值为022，它的权限类型以下：

文件权限:-rw-r--r--

目录权限:drwxr-xr-x

另外，还要限制用户不成功登录的次数，避免进侵者用猜想用户口令的方法尝试登录。为账户设置登录限制的步骤是：Scoadmin--〉AccountManager--〉选账户--〉User--〉LoginControls--〉添进新的不成功登录的次数。

指定主控台及终端登录的限制

假设你希看root用户只能在某1个终端（或虚屏）上登录，那末就要对主控台进行指定，例如：指定root用户只能在主机第1屏tty01上登录，这样可避免从网络远程攻击超级用户root。设置方法是在/etc/default/login文件增加1行：CONSOLE=/dev/tty01。

留意：设置主控台时，在主机运行中设置后就生效，不需要重启主机。

假设你的终端是通过Modem异步拨号或长线驱动器异步串口接进UNIX主机，你就要考虑设置某终端不成功登录的次数,超过该次数后，锁定此终端。设置方法为：scoadmin→Sysrem→TerminalManager→Examine→选终端，再设置某终端不成功登录的次数。假设某终端被锁定后，可用ttyunlock〈终端号〉进行解锁。也可用ttylock〈终端号〉直接加锁。

文件及目录的权限治理

有时我们为了方便使用而将很多目录和文件权限设为777或666，但是这样却为黑客攻击提供了方便。因此，必须仔细分配利用程序、数据和相应目录的权限。发现目录和文件的权限不适当，应及时用chmod命令修正。

口令保护的设置

口令1般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，尽对避免用英语单词或词组等设置口令，而且应当养成定期更换各用户口令的习惯。通过编辑/etc/default/passwd文件，可以强迫设定最小口令长度、两次口令修改之间的最短、最长时间。另外，口令的保护还触及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统治理员才能访问这两个文件。

公道设置等价主机

设置等价主机可以方便用户操纵，但要严防未经授权非法进进系统。所以必须要治理/etc/hosts.equiv、.rhosts和.netrc这3个文件。其中，/etc/hosts.equiv列出了答应履行rsh、rcp等远程命令的主机名字；.rhosts在用户目录内指定了远程用户的名字，其远程用户使用本地用户账户履行rcp、rlogin和rsh等命令时没必要提供口令；.netrc提供了ftp和rexec命令所需的信息，可自动连接主机而没必要提供口令，该文件也放在用户本地目录中。由于这3个文件的设置都答应1些命令没必要提供口令即可访问主机，因此必须严格限制这3个文件的设置。在.rhosts中尽可能不用“++”，由于它可使任何主机的用户没必要提供口令而直接履行rcp、rlogin和rsh等命令。

公道配置/etc/inetd.conf文件

UNIX系统启动时运行inetd进程，对大部份网络连接进行监听，并且根据不同的申请启动相应进程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd来启动对应的服务进程。因此，从系统安全角度动身，我们应当公道地设置/etc/inetd.conf文件，将没必要要的服务封闭。封闭的方法是在文件相应行首插进“#”字符，并履行以下命令以使配置后的命令立即生效。

#ps-ef│grepinetd│grep-vgrep

#kill-HUP〈inetd-PID〉

公道设置/etc/ftpusers文件

在/etc/ftpuser文件里列出了可用FTP协议进行文件传输的用户，为了避免不信任用户传输敏感文件，必须公道计划该文件。在对安全要求较高的系统中，不答应ftp访问root和UUCP，可将root和UUCP列进/etc/ftpusers中。

公道设置网段及路由

在主机中设置TCP/IP协议的IP地址时，应当公道设置子网掩码（netmask），把制止访问的IP地址隔离开来。严格制止设置缺省路由（即：defaultroute）。建议为每1个子网或网段设置1个路由，否则其他机器便可能通过1定方式访问该主机。

不设置UUCP

UUCP为采取拨号用户实现网络连接提供了简单、经济的方案，但是同时也为黑客提供了进侵手段，所以必须避免利用这类模式进行网络互联。

删除不用的软件包及协议

在进行系统计划时，总的原则是将不需要的功能1律往掉。如通过scoadmin--〉SoftManager往掉XWindow；通过修改/etc/services文件往掉UUCP、SNMP、POP、POP2、POP3等协议。

正确配置.profile文件

.profile文件提供了用户登录程序和环境变量，为了避免1般用户采取中断的方法进进$符号状态，系统治理者必须屏蔽掉键盘中断功能。具体方法是在.porfile首部增加以下1行：

trap''0123515

创建匿名ftp

假设你需要对外发布信息而又担心数据安全，你可以创建匿名ftp，答应任何用户使用匿名ftp，不需密码访问指定目录下的文件或子目录，不会对本机系统的安全构成要挟，由于它没法改变目录，也就没法取得本机内的其他信息。留意不要复制/etc/passwd、/etc/proup到匿名ftp的etc下，这样对安全具有潜伏的要挟。

利用用户和保护用户分开

金融系统UNIX的用户都是终极用户，他们只需在具体的利用系统中完成某些固定的任务，1般情况下不需履行系统命令（shell），其利用程序由.profile调用，利用程序结束后就退到login状态。保护时又要用root级别的su命令进进利用用户，很不方便。可以通过修改.profile文件，再创建1个相同id用户的方法解决。例：利用用户work有1个相同id相同主目录的用户worksh,用户work的.profile文件最后为：

以下为援用的内容： 　　set--`whoami` 　　case$1in 　　workexecworkmain；exit；； 　　workshbreak；； 　　esac

这样当用work登录时，履行workmain程序；而用worksh登录时，则进进work的$状态。

http://www.fw8.net/

TAG:用户,口令,系统,文件,终端

评论加载中... 内容： 评论者： 验证码：