4建立实时监控系统。使用ISS的RealSecure
实时监控系统对网络系统的运行过程进行实时监控和审计,对内部或外部黑客的侵入及一些异常的网络活动能够实时地进行识别、审计、告警、拦截。RealSecure还能和防火墙产品配合,及时切断“黑客”和信息系统的连接,形成一个动态的安全防护体系。ISS软件信息可访问http://www.iss.net。
5定期对网络进行安全漏洞检测。网络安全是千变万化的,所以保护措施也应该是动态的,没有固定的模式可循,作为UNIX系统的管理人员,也要尝试定期对网络服务器进行攻击测试,这样既能够分析和探索试图入侵者的攻击思路,同时又能够及时发现系统安全保护机制中的潜在问题,及时进行有效防范。
6定制相应的灾难恢复计划。没有一种安全策略是十全十美的,因此根据可能发生的情况定制相应的灾难恢复计划是很有必要的。一是定时对网络系统上各个电脑的系统文档、数据库文档进行备份。二是对网络系统和通讯系统备份,在系统万一碰到恶意攻击、软件故障、硬件故障、用户错误、系统管理员错误等灾难后,能够及时采取相应的对策,恢复系统的正常运行,尽可能将损失减少到最小程度。
(3)加强网络系统服务的安全手段和工具
1直接配置检查。使用COPS(Computer Oracle Password and Seurity
System)从系统内部检查常见的UNIX安全配置错误和漏洞,如关键文档权限配置、ftp权限和路径配置、root路径配置、口令等等,指出存在的失误,减少系统可能被本地和远程入侵者利用的漏洞。COPS软件信息可访问http://www.jordanpan@163.net。
2使用记录工具记录任何对UNIX系统的访问。大多数现成的UNIX应用系统能够通过Syslog来记录事件,这是UNIX系统提供的集中记录工具。通过每天扫描记录文档/var/adm/messaged,并可通过配置Syslog,把高优先级的事件及时传送给系统安全员处理。另一个有用工具是TCP
Wrappers,应用此软件能够解决UNIX网络系统安全监控和过滤问题,本软件将任何TCP连接试图(无论成功和否),都记录到一个文本文档里,文本文档具体内容包括请求的源地址、目的地址、TCP端口和请求时间等。通过监控TCP
Wrappers记录,查看任何未遂连接试图,并能够通过配置,由TCP
Wrappers来根据某些因素,如源或目的TCP端口、IP地址等接受或拒绝TCP连接。TCP
Wrappers软件下载地址为ftp://ftp.win.tue.nl/pub/security。
3远程网络登录服务。此服务是我们使用最频繁的,UNIX系统提供了telnet和ftp远程登录,当使用telnet或ftp登录时,用户名和口令是明文传输的,这就可能被网上其他用户截获。入侵者也经常使用telnet或
ftp对网络系统发动“猛烈攻击”。入侵者可较容易地编写一个脚本,通过破译不同的口令来试图和远程服务器建立连接,而telnet精灵进程在多次连接试图失败之后会产生一定的延迟,延迟时间和未遂的注册次数成正比,从而防止入侵。更有一种加强telnet或ftp服务口令安全的方法,就是每次使用不同的密码,这可通过S/KEY工具实现。S/KEY系统建立在一次性用户口令的基础上,生成一系列口令,用户能够使用这些口令和UNIX服务器进行远程访问,且无需特别的客户机软件。S/KEY的认证算法使得入侵者无法预测用户下一个口令的内容。由于ftp功能和telnet类似,为此能够修改/etc/ftpusers文档,指定不允许通过ftp进行远程登录的用户。使用匿名ftp服务,任何人都能够随意注册下载或上载文档,假如无需匿名ftp服务,能够把username
ftp从/etc/passwd文档里删除掉;假如必须提供匿名ftp服务,能够把他安装在本网络之外被称为停火区(DMZ)的服务器中。同时,我们建议使用安全的远程访问工具SSH,其安全性强于telent和ftp。SSH具备强力远程主机认证机制,能够有效降低入侵者通过DNS或IP地址欺骗手段模仿客户机的可能性,同时SSH还支持多种端到端的加密协议,如DES、Triple-DES、IDEA和Blowfish等,从而更有利于确保整个通讯系统的安全。使用SSH时应禁止使用telnet、ftp和rlogin服务。S/KEY信息可访问http://yak.net/skey。
4NFS(Network File
System)服务。此服务允许工作站通过网络系统共享一个或多个服务器输出的文档系统。早期的NFS协议使用RPC(Remote
Procedure
Call)进行客户机和服务器数据交换,由于用户不经登录就能够阅读或更改存储在NFS服务器上的文档,使得NFS服务器很容易受到攻击。为了确保基于UNIX系统的任何NFS服务器均支持Secure
RPC,Secure RPC使用DES加密算法和指数密钥交换技术验证每个NFS
RPC请求的身份。当用户登录到某台工作站时,login程式从NIS(Network Information
System)数据库中获得一个包含用户名、用户公钥连同用于用户口令加密的用户私钥三项内容的记录(在Secure
RPC4.1以上版本中,私钥被保存在内存中的
Keyserver进程中),而工作站和服务器用自已的私钥和对方的公钥产生一个Session
Key。随后工作站产生一个56位随机Conversation Key,用Session
Key加密后传给服务器,登录时均使用Conversation
Key进行加密。在数据传输过程中,服务器通过以下推理确认用户身份是否合法,首先用户传送的包是用Conversation
Key加密的;其次只有知道用户的私钥才能产生Conversation
Key;最后必须知道口令才能解开加密的私钥。使用NFS还应注意以下几点:尽可能以只读方式输出文档系统;只将必须输出的文档系统输出给需要访问的客户,不要输出本机的可执行文档,或仅以只读方式输出;不要输出任何人都能够写的目录;不要输出用户的home目录;将任何需要保护的文档的owner设为root,权限均设为755(或644),这样即使工作站上的root帐号被攻破,NFS服务器上的文档仍能受到保护;可使用fsirand程式,增加制造文档句柄的难度。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
