国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　據(jù)有關(guān)資料顯示，近兩年內(nèi)，中國的計算機網(wǎng)絡(luò)受到了近200個有意識的襲擊。網(wǎng)絡(luò)遭到攻擊已經(jīng)不僅僅是從報刊文摘中讀到的外國神話，而是真真切切地存在于我們生活中的現(xiàn)實。維護網(wǎng)絡(luò)的安全性已經(jīng)具有越來越重要的現(xiàn)實意義，下面這篇文章介紹了在sco unix上進行安全管理的一些具體設(shè)置，也是一些專業(yè)書籍中很少涉及到的，具有很強的實用價值。

　　金融業(yè)務(wù)系統(tǒng)大部分以UNIX或XENIX操作系統(tǒng)為平臺，以為網(wǎng)絡(luò)平臺。雖然UNIX安全性能已達到美國國防部的C2級安全標準，是一個相對安全、嚴密的系統(tǒng)，但也并非無懈可擊。電腦黑客多種、證券網(wǎng)絡(luò)系統(tǒng)的新聞再次敲響金融網(wǎng)絡(luò)安全管理的警鐘。如何加強UNIX網(wǎng)絡(luò)系統(tǒng)的安全性管理，筆者以SCO UNIX3.2.v4.2為例，提幾點看法，與廣大同仁商榷。

　　這里所說的安全性，主要指通過防止本機或本網(wǎng)被非法侵入、訪問，從而達到保護本系統(tǒng)可靠、正常運行的目的，本文只在此范圍內(nèi)討論，對其他方面不予考慮。

　　一、抓好網(wǎng)內(nèi)主機的管理是網(wǎng)絡(luò)安全管理的前提

　　用戶名和密碼管理永遠是系統(tǒng)安全管理中最重要的環(huán)節(jié)之一，對網(wǎng)絡(luò)的任何攻擊，都不可能沒有合法的用戶名和密碼(后臺網(wǎng)絡(luò)應(yīng)用程序開后門例外)。但目前絕大部分系統(tǒng)管理員只注重對特權(quán)用戶的管理，而忽視對普通用戶的管理。主要表現(xiàn)在設(shè)置用戶時圖省事方便，胡亂設(shè)置用戶的權(quán)限(id)、組別(group)和文件權(quán)限，為非法用戶竊取信息和破壞系統(tǒng)留下了空隙。

　　金融系統(tǒng)UNIX的用戶都是最終用戶，他們只需在具體的應(yīng)用系統(tǒng)中工作，完成某些固定的任務(wù)，一般情況下不需執(zhí)行系統(tǒng)命令(shell)。以農(nóng)業(yè)銀行全國電子匯兌為例，用戶名為dzhd，它在/etc/passwd文件中描述如下：

　　dzhd:x:200:50: :/usr/dzhd:/bin/sh

　　它的.profile內(nèi)容大致如下：

　　COBSW=+R+N+Q-10

　　DD_PRINTER=“1p-s”

　　PATH=/etc:/bin:/usr/bin:$HOME/bin:/usr/dzhd/obj:

　　MAIL=/usr/spool/mail/logname

　　umask 007

　　eval`test -m ansi:ansi -m:?ansi -c -s -Q`

　　export PATH MAIL COBSW DD_PRINTER

　　cd usr/dzhd/obj

　　runx hdg

　　exit

　　用戶正常登錄后，如果按下中斷鍵“delete”，關(guān)掉終端電源，或同時鍵入“Ctrl”“”，那么用戶將進入shell命令狀態(tài)。例如他可以在自己的目錄不斷創(chuàng)建子目錄而耗盡系統(tǒng)的I節(jié)點號、或用yes>aa創(chuàng)建一個其大無比的垃圾文件而耗盡硬盤空間等導致系統(tǒng)的崩潰、癱瘓;如果文件系統(tǒng)的權(quán)限設(shè)置不嚴密，他可運行、窺視甚至修改它;還可通過su等命令竊取更高的權(quán)限;還可登錄到其它主機上去搗亂，令你防不勝防，危險性可想而知。這一些問題都與用戶設(shè)置有關(guān)。所以，盡量不要把用戶設(shè)置成上述形式。如果必須這樣，可根據(jù)實際需要，看看能否把用戶的sh變成受限sh，如rsh等，變成如下形式：

　　dzhd:x:200:50: :/usr/dzhd/obj:/bin/rsh

　　或如下形式：

　　dzhd:x:200:50: :/usr/dzhd:./main

　　在main(.porfile)

　　首部增加如下一行：

　　trap' ' 0 1 2 3 5 15

　　那么上述一切問題都可避免。

　　此外定期檢查你的/etc/passwd文件，看看是否有來歷不明的用戶和用戶的權(quán)限;定期修改用戶密碼，特別是uucp、bin等不常用的用戶的密碼，以防有人在此開個活動的天窗--一個可自由進出的用戶;刪除所有睡眠用戶等。

　　二、設(shè)置好自己的網(wǎng)絡(luò)環(huán)境是阻止非法訪問的有效途徑

　　網(wǎng)上訪問的常用工具有telnet、、rlogin、rcp、rcmd等網(wǎng)絡(luò)操作命令，對它們的使用必須加以限制。最簡單的方法是修改/etc/services中相應(yīng)的服務(wù)端口號。但這樣做會使網(wǎng)外的一切訪問都被拒絕，即使是否法訪問也不例外。這種閉關(guān)自守的做法不值得提倡，因為這樣會使本網(wǎng)和網(wǎng)外隔絕開，也會給自己帶來不便。通過對UNIXt系統(tǒng)的分析，我們認為有可能做到有條件限制(允許)網(wǎng)上訪問。

　　(1)建立etc/ftpusers文件(不受歡迎的ftp用戶表)。與之相關(guān)的命令是ftp。配置如下：

　　#用戶名

　　dgxt

　　dzhd

　　…

　　以上都是本機內(nèi)的一些用戶，侵入者使用以上用戶名ftp訪問本網(wǎng)會被拒之門外。

　　(2)注意保存好.netrc文件(遠程注冊數(shù)據(jù)文件)。與之有關(guān)的命令是ftp。.netrc包含注冊到網(wǎng)絡(luò)上用ftp作文件轉(zhuǎn)移的遠程主機的數(shù)據(jù)。通常駐留在用戶當前目錄中，文件權(quán)限必須為0600。格式如下：

　　machine對方主機名login對方主機內(nèi)用戶名password對方用戶密碼macdef init ftp的操作命令集。

　　(3)創(chuàng)建匿名ftp。所謂匿名ftp，是指其他主機的用戶能以ftp或anonymous用戶進行數(shù)據(jù)收發(fā)而不要任何密碼。建立方法如下：

　　a)用sysadmsh創(chuàng)建ftp用戶，在passwd文件表示為：

　　ftp:x:210:50: :/usr/ftp:/bin/sh

　　.profile中的路徑為：

　　PATH=$HOME/bin:$HOME/etc

　　b)在/usr/ftp目錄：

　　#創(chuàng)建匿名ftp所用的目錄

　　#mkdir bin etc dev pub shlib

　　#改變pub以外所有目錄權(quán)限

　　#chmod 0555 bin etc dev shlib

　　#改變pub目錄的所有者和同組者

　　#chown ftp pub

　　#chgrp ftp pub

　　#復制匿名ftp所執(zhí)行文件

　　#cp/bin/rsh/bin/pwd/bin/1s bin

　　#改變所需執(zhí)行文件權(quán)限

　　#chmod 011 bin/*

　　#查看所需偽設(shè)備的情況

　　#1/dev/socksys

　　#1/dev/null

　　#建立所需偽設(shè)備的驅(qū)動程度

　　#cd/usr/ftp/dev

　　#mkond null c 4 2

　　#mkond socksys c 26 0

　　#改變偽設(shè)備驅(qū)動程序的所有者、同組者

　　#chown ftp ftp/*

　　#獲取正確密碼

　　dd=“grep root /etc/edfault/aaa|awk’[pint ]’`”

　　#非法用戶發(fā)出警告信息到主控臺

　　法[“$abc”!=$dd]

　　then

　　echo “非法用戶!”

　　echo“有非法用戶試圖登錄!”>tev/tty01

　　logname>/dev/tty01

　　#同時記載日記文件

　　echo“有非法用戶試圖登錄!c”> >/usr/tmp/err

　　echo $dc> >/usr/tmp/err

　　logname > >/usr/tmp/err

　　exit;

　　fi;

　　fi

　　其中/etc/default/aaa是受限終端名的一個文本文件，root后為密碼，它的內(nèi)容如下：

　　root qwerty

　　ttyp0

　　ttyp1

　　ttyp2

　　ttyp3

　　ttypa

　　ttypb

　　…

　　這樣非法用戶即例獲得了合法的用戶名和密碼，也無法遠程使用。系統(tǒng)管理員定時閱讀日記文件，注意控制臺信息，就能獲得被非法訪問的情況，及時采取措施。如果用c語言實現(xiàn)上述過程，把接受愛變成不可顯示，效果更佳。

　　三、加強對重要資料的保密

　　它主要包括hosts表、X.25地址、路由、連接調(diào)制解調(diào)器的電腦號碼及所用的通信軟件的種類、網(wǎng)內(nèi)的用戶名等，這些資料都應(yīng)采取一些保密措施，防止隨意擴散。如可向電信部門申請通信專用的電話號碼不刊登、不供查詢等。由于公共的或普通郵電交換設(shè)備的介入，信息通過它們后可能被篡改或泄露。

　　四、加強對重要網(wǎng)絡(luò)設(shè)備的管理

　　在網(wǎng)絡(luò)安全計劃中是很重要的一環(huán)?，F(xiàn)在大多數(shù)路由器已具備的一些功能，如禁止telnet的訪問、禁示非法的網(wǎng)段訪問等。通過網(wǎng)絡(luò)路由器進行正確的存取過濾是限制外部訪問簡單而有效的手段。

　　有條件的地方還可設(shè)置機，將本網(wǎng)和其他網(wǎng)隔離，網(wǎng)關(guān)機上不存放任何業(yè)務(wù)數(shù)據(jù)，刪除除系統(tǒng)正常運行所必須的用戶外所用的用戶，也能增強網(wǎng)絡(luò)的安全性。

　　總之，只要我們從現(xiàn)在做起，培養(yǎng)網(wǎng)絡(luò)安全意識，并注意經(jīng)驗的積累和學習，完全可能保證我們信息系統(tǒng)的安全、正常運行。