配置安全的SCO UNIX網(wǎng)絡(luò)系統(tǒng)
--------------------------------------------------------------------------------
錄入員:zzx 來源: 加入時(shí)間:2007-11-4 16:36:52 點(diǎn)擊:
一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全程度,在很大程度上取決于管理者的素質(zhì)�����,以及管理者所采取的安全措施的力度��。在對(duì)系統(tǒng)進(jìn)行配置的同時(shí)����,要把安全性問題放在重要的位置��。
SCO Unix���,作為一個(gè)技術(shù)成熟的商用網(wǎng)絡(luò)操作系統(tǒng)�����,廣泛地應(yīng)用在金融�����、保險(xiǎn)、郵電等行業(yè)���,其自身內(nèi)建了豐富的網(wǎng)絡(luò)功能,具有良好的穩(wěn)定性和安全性�。但是�����,如果用戶沒有對(duì)Unix系統(tǒng)進(jìn)行正確的設(shè)置,就會(huì)給入侵者以可乘之機(jī)���。因此在網(wǎng)絡(luò)安全管理上�,不僅要采用必要的網(wǎng)絡(luò)安全設(shè)備,如:防火墻等���,還要在操作系統(tǒng)的層面上進(jìn)行合理規(guī)劃�、配置����,避免因管理上的漏洞而給應(yīng)用系統(tǒng)造成風(fēng)險(xiǎn)�����。
下面以SCO Unix Openserver V5.0.5為例�����,對(duì)操作系統(tǒng)級(jí)的網(wǎng)絡(luò)安全設(shè)置提幾點(diǎn)看法��,供大家參考�。
合理設(shè)置系統(tǒng)安全級(jí)別
SCO Unix提供了四個(gè)安全級(jí)別���,分別是Low���、Traditional、Improved和High級(jí)�,系統(tǒng)缺省為Traditional級(jí);Improved級(jí)達(dá)到美國國防部的C2級(jí)安全標(biāo)準(zhǔn);High級(jí)則高于C2級(jí)��。用戶可以根據(jù)自己系統(tǒng)的重要性及客戶數(shù)的多少�,設(shè)置適合自己需要的系統(tǒng)安全級(jí)別����,具體設(shè)置步驟是:scoadmin→system→security→security profile manager����。
合理設(shè)置用戶
建立用戶時(shí),一定要考慮該用戶屬于哪一組�����,不能隨便選用系統(tǒng)缺省的group組。如果需要,可以新增一個(gè)用戶組并確定同組成員�,在該用戶的主目錄下,新建文件的存取權(quán)限是由該用戶的配置文件.profile中的umask的值決定�����。umask的值取決于系統(tǒng)安全級(jí), Tradition安全級(jí)的umask的值為022��,它的權(quán)限類型如下:
文件權(quán)限: - r w - r - - r - -
目錄權(quán)限: d r w x r - x r - x
此外���,還要限制用戶不成功登錄的次數(shù)�,避免入侵者用猜測(cè)用戶口令的方法嘗試登錄����。為賬戶設(shè)置登錄限制的步驟是:Scoadmin--〉A(chǔ)ccount Manager--〉選賬戶--〉User--〉Login Controls--〉添入新的不成功登錄的次數(shù)�����。
指定主控臺(tái)及終端登錄的限制
如果你希望root用戶只能在某一個(gè)終端(或虛屏)上登錄��,那么就要對(duì)主控臺(tái)進(jìn)行指定����,例如:指定root用戶只能在主機(jī)第一屏tty01上登錄,這樣可避免從網(wǎng)絡(luò)遠(yuǎn)程攻擊超級(jí)用戶root��。設(shè)置方法是在/etc/default/login文件增加一行:CONSOLE=/dev/tty01�����。
注意:設(shè)置主控臺(tái)時(shí)�����,在主機(jī)運(yùn)行中設(shè)置后就生效�,不需要重啟主機(jī)�����。
如果你的終端是通過Modem異步撥號(hào)或長線驅(qū)動(dòng)器異步串口接入U(xiǎn)nix主機(jī)�,你就要考慮設(shè)置某終端不成功登錄的次數(shù),超過該次數(shù)后���,鎖定此終端。設(shè)置方法為:scoadmin→Sysrem→Terminal Manager→Examine→選終端���,再設(shè)置某終端不成功登錄的次數(shù)����。如果某終端被鎖定后��,可用ttyunlock〈終端號(hào)〉進(jìn)行解鎖��。也可用ttylock〈終端號(hào)〉直接加鎖���。
文件及目錄的權(quán)限管理
有時(shí)我們?yōu)榱朔奖闶褂枚鴮⒃S多目錄和文件權(quán)限設(shè)為777或666,但是這樣卻為黑客攻擊提供了方便�����。因此�,必須仔細(xì)分配應(yīng)用程序��、數(shù)據(jù)和相應(yīng)目錄的權(quán)限。發(fā)現(xiàn)目錄和文件的權(quán)限不適當(dāng)��,應(yīng)及時(shí)用chmod命令修正��。
口令保護(hù)的設(shè)置
口令一般不要少于8個(gè)字符,口令的組成應(yīng)以無規(guī)則的大小寫字母����、數(shù)字和符號(hào)相結(jié)合,絕對(duì)避免用英語單詞或詞組等設(shè)置口令�,而且應(yīng)該養(yǎng)成定期更換各用戶口令的習(xí)慣�����。通過編輯/etc/default/passwd文件����,可以強(qiáng)制設(shè)定最小口令長度�、兩次口令修改之間的最短�����、最長時(shí)間�����。另外����,口令的保護(hù)還涉及到對(duì)/etc/passwd和/etc/shadow文件的保護(hù),必須做到只有系統(tǒng)管理員才能訪問這兩個(gè)文件�。
合理設(shè)置等價(jià)主機(jī)
設(shè)置等價(jià)主機(jī)可以方便用戶操作,但要嚴(yán)防未經(jīng)授權(quán)非法進(jìn)入系統(tǒng)���。所以必須要管理/etc/hosts.equiv����、.rhosts和.netrc這3個(gè)文件�。其中���,/etc /hosts.equiv列出了允許執(zhí)行rsh����、rcp等遠(yuǎn)程命令的主機(jī)名字;.rhosts在用戶目錄內(nèi)指定了遠(yuǎn)程用戶的名字,其遠(yuǎn)程用戶使用本地用戶賬戶執(zhí)行rcp���、rlogin和rsh等命令時(shí)不必提供口令;.netrc提供了ftp和rexec命令所需的信息�,可自動(dòng)連接主機(jī)而不必提供口令�����,該文件也放在用戶本地目錄中�。由于這3個(gè)文件的設(shè)置都允許一些命令不必提供口令便可訪問主機(jī),因此必須嚴(yán)格限制這3個(gè)文件的設(shè)置���。在.rhosts中盡量不用“+ +”��,因?yàn)樗梢允谷魏沃鳈C(jī)的用戶不必提供口令而直接執(zhí)行rcp、rlogin和rsh等命令�����。
合理配置/etc/inetd.conf文件
Unix系統(tǒng)啟動(dòng)時(shí)運(yùn)行inetd進(jìn)程����,對(duì)大部分網(wǎng)絡(luò)連接進(jìn)行監(jiān)聽��,并且根據(jù)不同的申請(qǐng)啟動(dòng)相應(yīng)進(jìn)程���。其中ftp���、telnet、rcmd��、rlogin和finger等都由inetd來啟動(dòng)對(duì)應(yīng)的服務(wù)進(jìn)程��。因此�����,從系統(tǒng)安全角度出發(fā)�,我們應(yīng)該合理地設(shè)置/etc/inetd.conf文件��,將不必要的服務(wù)關(guān)閉����。關(guān)閉的方法是在文件相應(yīng)行首插入“#”字符����,并執(zhí)行下列命令以使配置后的命令立即生效。
#ps-ef │ grep inetd │ grep -v grep
#kill -HUP 〈 inetd-PID 〉
合理設(shè)置/etc/ftpusers文件
在/etc/ftpuser文件里列出了可用FTP協(xié)議進(jìn)行文件傳輸?shù)挠脩?�,為了防止不信任用戶傳輸敏感文件���,必須合理?guī)劃該文件���。在對(duì)安全要求較高的系統(tǒng)中�,不允許ftp訪問root和UUCP�,可將root和UUCP列入/etc/ftpusers中。
合理設(shè)置網(wǎng)段及路由
在主機(jī)中設(shè)置TCP/IP協(xié)議的IP地址時(shí)����,應(yīng)該合理設(shè)置子網(wǎng)掩碼(netmask)����,把禁止訪問的IP地址隔離開來。嚴(yán)格禁止設(shè)置缺省路由(即:default route)����。建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由���,否則其他機(jī)器就可能通過一定方式訪問該主機(jī)�。
不設(shè)置UUCP
UUCP為采用撥號(hào)用戶實(shí)現(xiàn)網(wǎng)絡(luò)連接提供了簡(jiǎn)單�、經(jīng)濟(jì)的方案,但是同時(shí)也為黑客提供了入侵手段���,所以必須避免利用這種模式進(jìn)行網(wǎng)絡(luò)互聯(lián)。
刪除不用的軟件包及協(xié)議
在進(jìn)行系統(tǒng)規(guī)劃時(shí),總的原則是將不需要的功能一律去掉���。如通過scoadmin--〉Soft Manager去掉X Window;通過修改/etc/services文件去掉UUCP���、SNMP���、POP���、POP2、POP3等協(xié)議。
正確配置.profile文件
.profile文件提供了用戶登錄程序和環(huán)境變量��,為了防止一般用戶采用中斷的方法進(jìn)入$符號(hào)狀態(tài)��,系統(tǒng)管理者必須屏蔽掉鍵盤中斷功能��。具體方法是在.porfile首部增加如下一行:
trap ' ' 0 1 2 3 5 15
創(chuàng)建匿名ftp
如果你需要對(duì)外發(fā)布信息而又擔(dān)心數(shù)據(jù)安全����,你可以創(chuàng)建匿名ftp��,允許任何用戶使用匿名ftp���,不需密碼訪問指定目錄下的文件或子目錄����,不會(huì)對(duì)本機(jī)系統(tǒng)的安全構(gòu)成威脅���,因?yàn)樗鼰o法改變目錄����,也就無法獲得本機(jī)內(nèi)的其他信息。注意不要復(fù)制/etc/passwd�、/etc/proup到匿名ftp的etc下�,這樣對(duì)安全具有潛在的威脅。
應(yīng)用用戶和維護(hù)用戶分開
金融系統(tǒng)Unix的用戶都是最終用戶���,他們只需在具體的應(yīng)用系統(tǒng)中完成某些固定的任務(wù)����,一般情況下不需執(zhí)行系統(tǒng)命令(shell)�����,其應(yīng)用程序由.profile調(diào)用�,應(yīng)用程序結(jié)束后就退到login狀態(tài)���。維護(hù)時(shí)又要用root級(jí)別的su命令進(jìn)入應(yīng)用用戶��,很不方便�。可以通過修改.profile 文件�����,再創(chuàng)建一個(gè)相同id用戶的方法解決����。例:應(yīng)用用戶work有一個(gè)相同id相同主目錄的用戶worksh, 用戶work的.profile文件最后為:
set -- `who am i`
case $1 in
work exec workmain;exit;;
worksh break;;
esac
這樣當(dāng)用work登錄時(shí)����,執(zhí)行workmain程序;而用worksh登錄時(shí)��,則進(jìn)入work的$狀態(tài)���。
