日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
有效而合理的策略UNIX網(wǎng)絡(luò)安全性之我見(jiàn)

金融系統(tǒng)的業(yè)務(wù)系統(tǒng)大部分以UNIX/XENIX操作系統(tǒng)為平臺(tái),以TCP/IP為網(wǎng)絡(luò)平臺(tái)。如何加強(qiáng)UNIX網(wǎng)絡(luò)系統(tǒng)的安全性管理,筆者以SCO UNIX 3.2V4.2為例,提幾點(diǎn)看法,與廣大同仁商榷。

創(chuàng)新互聯(lián)專(zhuān)業(yè)為企業(yè)提供昌黎網(wǎng)站建設(shè)、昌黎做網(wǎng)站、昌黎網(wǎng)站設(shè)計(jì)、昌黎網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、昌黎企業(yè)網(wǎng)站模板建站服務(wù),十多年昌黎做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

這里所說(shuō)的安全性,主要指通過(guò)防止本機(jī)或本網(wǎng)被非法侵入、訪問(wèn),從而達(dá)到保護(hù)本系統(tǒng)信息可靠、正常運(yùn)行,本文只在此范圍內(nèi)討論,對(duì)其他方面不予考慮。

一、抓好網(wǎng)內(nèi)主機(jī)的管理,是網(wǎng)絡(luò)安全管理的前提

用戶(hù)和密碼管理永遠(yuǎn)是系統(tǒng)安全管理最重要的環(huán)節(jié)之一,對(duì)網(wǎng)絡(luò)的任何攻擊,都不可能沒(méi)有合法的用戶(hù)和密碼(后臺(tái)網(wǎng)絡(luò)應(yīng)用程序開(kāi)后門(mén)例外)。但目前絕大部分系統(tǒng)管理員只注重對(duì)特權(quán)用戶(hù)的管理,而忽視對(duì)普通用戶(hù)的管理。主要表現(xiàn)在設(shè)置用戶(hù)時(shí)圖省事方便,胡亂設(shè)置用戶(hù)的權(quán)限(ID),組別(GROUP)和文件權(quán)限,為非法用戶(hù)竊取信息和破壞系統(tǒng)留下空隙。

金融系統(tǒng)UNIX的用戶(hù)都是最終用戶(hù),他們只需在具體應(yīng)用系統(tǒng)中工作,完成某些固定的任務(wù),一般情況下不需執(zhí)行系統(tǒng)(SHELL)命令。

用戶(hù)正常登錄后,如果按下中斷鍵delete,關(guān)掉終端電源,或同時(shí)鍵入“Ctrl""\",那么用戶(hù)將進(jìn)入SHELL(命令)狀態(tài)。例如,用戶(hù)可在自己的目錄下不斷創(chuàng)建子目錄而耗盡系統(tǒng)的Ⅰ節(jié)點(diǎn)號(hào),或用yes>aa創(chuàng)建一個(gè)巨大無(wú)比的垃圾文件而耗盡硬盤(pán)空間等都可能導(dǎo)致系統(tǒng)的崩潰、癱瘓;如果文件系統(tǒng)的權(quán)限設(shè)置不嚴(yán)密,就可運(yùn)行、窺視甚至修改文件系統(tǒng)的權(quán)限;還可通過(guò)su等命令竊取更高的權(quán)限;還可登錄到其它主機(jī)上去搗亂……令你防不勝防,危險(xiǎn)性可想而知。這一切問(wèn)題都與用戶(hù)設(shè)置有關(guān)。所以盡量不要把用戶(hù)設(shè)置成上述形式,如果必須這樣,可根據(jù)實(shí)際需要,看看能否把用戶(hù)的sh變成受限sh,如rsh等,變成如下形式:

dzhd:x:200:50::/usr/dzhd/obj:/bin/rsh

或如下形式:

dzhd:x:200:50::/usr/dzhd:./main

在main(.profile)首部增加如下一行:

tarp''0 1 2 3 5 15

那么上述一切問(wèn)題都可以避免。

此外,定期檢查/etc/passwd文件,看看是否具有來(lái)歷不明的用戶(hù)和用戶(hù)的權(quán)限;定期修改用戶(hù)密碼,特別是uucp、bin等不常用的用戶(hù)密碼,以防有人在此開(kāi)個(gè)活動(dòng)的天窗——一個(gè)可自由進(jìn)出的用戶(hù)窗口;刪除所有睡眠用戶(hù)等。

所以筆者認(rèn)為,合理設(shè)置用戶(hù)是主機(jī)管理的關(guān)鍵。

二、設(shè)置好自己的網(wǎng)絡(luò)環(huán)境,是阻止非法訪問(wèn)的有效途徑

網(wǎng)上訪問(wèn)的常用工具有telnet、ftp、rlogin、rcp、rcmd等網(wǎng)絡(luò)操作命令,必須加以限制。最簡(jiǎn)單的方法是修改/etc/services中相應(yīng)的服務(wù)端口號(hào)。但這樣做會(huì)使網(wǎng)外的一切訪問(wèn)都被拒絕,即使合法訪問(wèn)。筆者不提倡這種閉關(guān)自守的做法,因?yàn)檫@樣使本網(wǎng)和網(wǎng)外不兼容,也會(huì)給自己帶來(lái)不便。通過(guò)對(duì)UNIX系統(tǒng)的分析,筆者認(rèn)為有可能做到有條件限制(允許)網(wǎng)上訪問(wèn)。

1)建立/etc/ftpuser文件:不受歡迎的ftp用戶(hù)表。配置如下:

#用戶(hù)名

dgxt

dzhd

...

以上都是本機(jī)內(nèi)的一些用戶(hù)。入侵者即使通過(guò)以上用戶(hù)名和ftp訪問(wèn)本網(wǎng)都會(huì)被拒之門(mén)外。與之相關(guān)的命令是ftp。

2)保密.netre: 遠(yuǎn)程注冊(cè)數(shù)據(jù)文件。包含注冊(cè)到網(wǎng)絡(luò)上由ftp作文件轉(zhuǎn)移的遠(yuǎn)程主機(jī)的數(shù)據(jù)。通常駐留在用戶(hù)當(dāng)前目錄中,文件權(quán)限必須為0600。

3)創(chuàng)建匿名ftp:所謂匿名ftp,其他主機(jī)的用戶(hù)都能以ftp或anyones用戶(hù)進(jìn)行數(shù)據(jù)收發(fā),而不要任何密碼。

4)限制.rhosts用戶(hù)等價(jià)文件,又叫受托用戶(hù)文件,與之有關(guān)命令有rlogin、rcp、rcmd等。

所謂用戶(hù)等價(jià),就是用戶(hù)不用輸入密碼,以相同的用戶(hù)信息登錄到另一臺(tái)主機(jī)中。用戶(hù)等價(jià)的文件名為.rhosts,存放在根下或用戶(hù)主目錄下。

5)限制hosts.equiv主機(jī)等價(jià)文件,又叫受托主機(jī)文件。有關(guān)的命令為rlogin、rcp、rcmd等。主機(jī)等價(jià)類(lèi)似于用戶(hù)等價(jià),在兩臺(tái)計(jì)算機(jī)除根目錄外的所有區(qū)域有效,主機(jī)等價(jià)文件為hosts.equiv,存放在/etc下。

控制方法如下:

當(dāng)遠(yuǎn)程使用ftp訪問(wèn)本系統(tǒng)時(shí),UNIX系統(tǒng)首先驗(yàn)證用戶(hù)名和密碼,無(wú)誤后查看ftpusers文件,一旦其中包含登錄所有用戶(hù)名則自動(dòng)拒絕連接,從而達(dá)到限制作用。因此,只要把本機(jī)內(nèi)除匿名ftp以外的所有用戶(hù)列入ftpusers文件中,即使入侵者獲得本機(jī)內(nèi)正確的用戶(hù)信息,本機(jī)的大門(mén)也無(wú)法打開(kāi)。如需對(duì)外發(fā)布的信息,放到/usr/ftp/pub下,讓遠(yuǎn)方通過(guò)匿名ftp獲取。使用匿名ftp,不需密碼,不會(huì)對(duì)本機(jī)系統(tǒng)的安全構(gòu)成威脅,因?yàn)樗鼰o(wú)法改變目錄,也就無(wú)法獲得本機(jī)內(nèi)的其他信息。使用.netrc配置,需注意保密,防止泄露其他相關(guān)主機(jī)的信息。

使用戶(hù)等價(jià)和主機(jī)等價(jià)這類(lèi)訪問(wèn)由于用戶(hù)不用口令而像其他有效用戶(hù)一樣登錄到遠(yuǎn)程系統(tǒng),因此具有嚴(yán)重的不安全性,必須嚴(yán)格控制或在非常可靠的環(huán)境下使用。遠(yuǎn)程用戶(hù)可使用rlogin直接登錄而不需密碼,還可使用rcp命令向或從本地主機(jī)復(fù)制文件,也可使用rcmd遠(yuǎn)程執(zhí)行本機(jī)內(nèi)的命令等。當(dāng)用戶(hù)需頻繁登錄到另一系統(tǒng),可有效地增加登錄速度,減少運(yùn)行在遠(yuǎn)程系統(tǒng)的進(jìn)程數(shù)量,防止網(wǎng)上竊聽(tīng)等。

UNIX系統(tǒng)沒(méi)有直接提供對(duì)telnet的控制。但/ctc/profile是系統(tǒng)默認(rèn)SHELL變量文件,所有用戶(hù)登錄時(shí)必須首先執(zhí)行它。如果在該文件首部增加幾條SHELL命令,非法用戶(hù)即使獲得了合法的用戶(hù)名和密碼,也無(wú)法遠(yuǎn)程使用。系統(tǒng)管理員定時(shí)閱讀日記文件,注意控制臺(tái)信息,就能獲得被非法訪問(wèn)的情況,及時(shí)采取措施。如果用C語(yǔ)言實(shí)現(xiàn)上述過(guò)程,把接受密碼變成不可顯示,效果更佳。

三、注意對(duì)重要資料的保密

主要包括hosts表、X.25地址、路由、連接Modem的電話號(hào)碼及所用的通信軟件的種類(lèi)、網(wǎng)內(nèi)的用戶(hù)名等,這些資料都應(yīng)采取一些保密措施,防止隨意擴(kuò)散。如可向電信部門(mén)申請(qǐng),通信專(zhuān)用的電話號(hào)碼不刊登,不供查詢(xún)等。由于公共的或普通郵電交換設(shè)備的介入,信息通過(guò)這些設(shè)備后可能被篡改或泄露。

設(shè)置合理的路由,可有效防止信息的泄露。

四、注意對(duì)重要網(wǎng)絡(luò)設(shè)備的管理

路由器在網(wǎng)絡(luò)安全計(jì)劃中是很重要的一環(huán)。現(xiàn)在大多數(shù)路由器已具備防火墻的一些功能。如禁止telnet的訪問(wèn),禁止非法的網(wǎng)段訪問(wèn)等。來(lái)自網(wǎng)絡(luò)路由器正確的存取過(guò)濾是限制外部訪問(wèn)簡(jiǎn)單而有效的手段。

有條件的地方還可設(shè)置網(wǎng)關(guān),將本網(wǎng)和他網(wǎng)隔離,網(wǎng)關(guān)上不存放任何業(yè)務(wù)數(shù)據(jù),刪除除了系統(tǒng)正常運(yùn)行所必須的用戶(hù)以外的用戶(hù),也能增強(qiáng)網(wǎng)絡(luò)的安全性。

總之,只要從現(xiàn)在做起,培養(yǎng)網(wǎng)絡(luò)的安全意識(shí),并注意經(jīng)驗(yàn)的積累和學(xué)習(xí),完全可能保證信息系統(tǒng)的安全正常運(yùn)行。

【編輯推薦】

  1. 金融領(lǐng)域UNIX網(wǎng)絡(luò)系統(tǒng)的安全管理策略
  2. 使用NIS和NFS管理UNIX網(wǎng)絡(luò)
  3. unix和windows比較

網(wǎng)頁(yè)題目:有效而合理的策略UNIX網(wǎng)絡(luò)安全性之我見(jiàn)
網(wǎng)頁(yè)路徑:http://m.5511xx.com/article/coijoij.html