我們在對Unix操作系統進行配置的同時,要把安全性問題放在重要的位置。因為,管理者所采取的安全措施的力度能直接的關系到一個網絡系統的安全程度。
SCO ,作為一個技術成熟的商用網絡,廣泛地應用在金融、保險、郵電等行業,其自身內建了豐富的網絡功能,具有良好的穩定性和安全性。但是,如果用戶沒有對Unix操作系統進行正確的設置,就會給入侵者以可乘之機。
因此在管理上,不僅要采用必要的網絡安全設備,如:等,還要在操作系統的層面上進行合理規劃、配置,避免因管理上的漏洞而給應用系統造成風險。
下面以SCO Unix操作系統 Openserver V5.0.5為例,對操作系統級的網絡安全設置提幾點看法,供大家參考。
文件及目錄的權限管理
有時我們為了方便使用而將許多目錄和文件權限設為777或666,但是這樣卻為黑客攻擊提供了方便。因此,必須仔細分配應用程序、數據和相應目錄的權限。發現目錄和文件的權限不適當,應及時用chmod命令修正。
口令保護的設置
口令一般不要少於8個字符,口令的組成應以無規則的大小寫字母、數字和符號相結合,絕對避免用英語單詞或詞組等設置口令,而且應該養成定期更換各用戶口令的習慣。通過Unix操作系統編輯/etc/default/passwd文件,可以強制設定最小口令長度、兩次口令修改之間的最短、最長時間。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統管理員才能訪問這兩個文件。
合理設置等價主機
設置Unix操作系統等價主機可以方便用戶操作,但要嚴防未經授權非法進入系統。所以必須要管理/etc/hosts.equiv、.rhosts和.netrc這3個文件。其中,/etc /hosts.equiv列出了允許執行rsh、rcp等遠程命令的主機名字;.rhosts在用戶目錄內指定了遠程用戶的名字,其遠程用戶使用本地用戶賬戶執行rcp、rlogin和rsh等命令時不必提供口令;.netrc提供了ftp和rexec命令所需的信息,
可自動連接主機而不必提供口令,該文件也放在用戶本地目錄中。由於這3個文件的設置都允許一些命令不必提供口令便可訪問主機,因此必須嚴格限制這3個文件的設置。在.rhosts中盡量不用“+ +”,因為它可以使任何主機的用戶不必提供口令而直接執行rcp、rlogin和rsh等命令。
合理配置/etc/inetd.conf文件
Unix操作系統啟動時運行inetd進程,對大部分網絡連接進行監聽,並且根據不同的申請啟動相應進程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd來啟動對應的服務進程。因此,從Unix操作系統安全角度出發,我們應該合理地設置/etc/inetd.conf文件,將不必要的服務關閉。關閉的方法是在文件相應行首插入“#”字符,並執行下列命令以使配置後的命令立即生效。
#kill -HUP 〈 inetd-PID 〉
合理設置/etc/ftpusers文件
在/etc/ftpuser文件裡列出了可用FTP協議進行文件傳輸的用戶,為了防止不信任用戶傳輸敏感文件,必須合理規劃該文件。在對安全要求較高的系統中,不允許ftp訪問root和UUCP,可將root和UUCP列入/etc/ftpusers中。
以上這些配置安全Unix操作系統的相關知識要點,我們就介紹到完了,我們會繼續為大家講解的。