[color=blue:43ab3d1b79]
作者:孙青云 来源:赛迪网 (http://www.ccidnet.com)
一个网络系统的安全程度,在很大程度上取决于管理者的素质,连同管理者所采取的安全措施的力度。在对系统进行配置的同时,要把安全性问题放在重要的位置。
SCO UNIX,作为一个技术成熟的商用网络操作系统,广泛地应用在金融、保险、邮电等行业,其自身内建了丰富的网络功能,具备良好的稳定性和安全性。但是,假如用户没有对UNIX系统进行正确的配置,就会给入侵者以可乘之机。因此在网络安全管理上,不但要采用必要的网络安全设备,如:防火墙等,还要在操作系统的层面上进行合理规划、配置,避免因管理上的漏洞而给应用系统造成风险。
下面以SCO UNIX Openserver V5.0.5为例,对操作系统级的网络安全配置提几点看法,供大家参考。
合理配置系统安全级别
SCO UNIX提供了四个安全级别,分别是Low、Traditional、Improved和High级,系统缺省为Traditional级;Improved级达到美国国防部的C2级安全标准;High级则高于C2级。用户能够根据自己系统的重要性及客户数的多少,配置适合自己需要的系统安全级别,具体配置步骤是:scoadmin→system→security→security profile manager。
合理配置用户
建立用户时,一定要考虑该用户属于哪一组,不能随便选用系统缺省的group组。假如需要,能够新增一个用户组并确定同组成员,在该用户的主目录下,新建文档的存取权限是由该用户的配置文档.profile中的umask的值决定。umask的值取决于系统安全级, Tradition安全级的umask的值为022,他的权限类型如下:
文档权限: - r w - r - - r - -
目录权限: d r w x r - x r - x
此外,还要限制用户不成功登录的次数,避免入侵者用猜测用户口令的方法尝试登录。为账户配置登录限制的步骤是:Scoadmin--〉Account Manager--〉选账户--〉User--〉Login Controls--〉添入新的不成功登录的次数。
指定主控台及终端登录的限制
假如您希望root用户只能在某一个终端(或虚屏)上登录,那么就要对主控台进行指定,例如:指定root用户只能在主机第一屏tty01上登录,这样可避免从网络远程攻击终极用户root。配置方法是在/etc/default/login文档增加一行:CONSOLE=/dev/tty01。
注意:配置主控台时,在主机运行中配置后就生效,无需重启主机。
假如您的终端是通过Modem异步拨号或长线驱动器异步串口接入UNIX主机,您就要考虑配置某终端不成功登录的次数,超过该次数后,锁定此终端。配置方法为:scoadmin→Sysrem→Terminal Manager→Examine→选终端,再配置某终端不成功登录的次数。假如某终端被锁定后,可用ttyunlock〈终端号〉进行解锁。也可用ttylock〈终端号〉直接加锁。
文档及目录的权限管理
有时我们为了方便使用而将许多目录和文档权限设为777或666,但是这样却为黑客攻击提供了方便。因此,必须仔细分配应用程式、数据和相应目录的权限。发现目录和文档的权限不适当,应及时用chmod命令修正。
口令保护的配置
口令一般不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,绝对避免用英语单词或词组等配置口令,而且应该养成定期更换各用户口令的习惯。通过编辑/etc/default/passwd文档,能够强制设定最小口令长度、两次口令修改之间的最短、最长时间。另外,口令的保护还涉及到对/etc/passwd和/etc/shadow文档的保护,必须做到只有系统管理员才能访问这两个文档。
合理配置等价主机
配置等价主机能够方便用户操作,但要严防未经授权非法进入系统。所以必须要管理/etc/hosts.equiv、.rhosts和.netrc这3个文档。其中,/etc /hosts.equiv列出了允许执行rsh、rcp等远程命令的主机名字;.rhosts在用户目录内指定了远程用户的名字,其远程用户使用本地用户账户执行rcp、rlogin和rsh等命令时不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自动连接主机而不必提供口令,该文档也放在用户本地目录中。由于这3个文档的配置都允许一些命令不必提供口令便可访问主机,因此必须严格限制这3个文档的配置。在.rhosts中尽量不用“ ”,因为他能够使任何主机的用户不必提供口令而直接执行rcp、rlogin和rsh等命令。
合理配置/etc/inetd.conf文档
UNIX系统启动时运行inetd进程,对大部分网络连接进行监听,并且根据不同的申请启动相应进程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd来启动对应的服务进程。因此,从系统安全角度出发,我们应该合理地配置/etc/inetd.conf文档,将不必要的服务关闭。关闭的方法是在文档相应行首插入“#”字符,并执行下列命令以使配置后的命令立即生效。
#ps-ef | grep inetd | grep -v grep
#kill -HUP 〈 inetd-PID 〉
合理配置/etc/ftpusers文档
在/etc/ftpuser文档里列出了可用FTP协议进行文档传输的用户,为了防止不信任用户传输敏感文档,必须合理规划该文档。在对安全需要较高的系统中,不允许ftp访问root和UUCP,可将root和UUCP列入/etc/ftpusers中。
合理配置网段及路由
在主机中配置TCP/IP协议的IP地址时,应该合理配置子网掩码(netmask),把禁止访问的IP地址隔离开来。严格禁止配置缺省路由(即:default route)。建议为每一个子网或网段配置一个路由,否则其他机器就可能通过一定方式访问该主机。
不配置UUCP
UUCP为采用拨号用户实现网络连接提供了简单、经济的方案,但是同时也为黑客提供了入侵手段,所以必须避免利用这种模式进行网络互联。
删除不用的软件包及协议
在进行系统规划时,总的原则是将无需的功能一律去掉。如通过scoadmin--〉Soft Manager去掉X Window;通过修改/etc/services文档去掉UUCP、SNMP、POP、POP2、POP3等协议。
正确配置.profile文档
.profile文档提供了用户登录程式和环境变量,为了防止一般用户采用中断的方法进入$符号状态,系统管理者必须屏蔽掉键盘中断功能。具体方法是在.porfile首部增加如下一行:
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
