Unix操作系統因其運行穩定,對配置的要求不高,目前正被廣泛應用於銀行、電信、保險、證券、鐵路等行業,但這些行業一般都不是單機應用,而是使用內部網絡進行數據處理,對系統安全性的要求又相當高。SCO Unix操作系統支持網絡功能,但要靠系統管理員手工限定。
筆者單位用裝有SCO OpenServer5.0.5版本操作系統的IBM Netfinity系列作為應用系統的前置機,後台主機用RS/6000小型機,考慮到應用的實際情況,租用電信的DDN線路來連接各前置機和主機。
整個網絡除本單位內部各Unix操作系統主機可以互通外,還與人行和其他中間業務單位的主機互通。雖然在路由器上進行了一定的安全設置,但網絡上主機互通給系統帶來了極大的不安全因素。筆者根據多年的系統維護和開發經驗,對單位的所有前置機進行了一定的安全限制,最大限度地保障了應用需要和Unix操作系統安全,以下步驟均在SCO OpenServer5.0.5操作系統上應用通過。
1.為所有前置機建立信任關系
中心機房備有一台和前置機相同配置的服務器,專門用來管理前置機,也用此機對前台進行應用程序的更新。通過下面的方法建立信任關系,如管理機的主機名為sqls,地址為130.30.1.200,則在前置機的/etc/hosts文件中加入一行130.30.1.200 sqls,然後在前置機的超級用戶根目錄下創建文件.rhosts,文件寫入sqls後保存。
SCO Unix操作系統安裝時並沒有.rhosts文件,需要建立信任關系時,必須手工建立此文件。建立好信任關系後,管理機就可以直接用rlogin、rcp等遠程命令來管理和控制前置機了,所有這些r 開頭的命令都不需要輸入密碼。而前置機則不允許直接rlogin 到管理機上,所以信任關系的建立是單向的。我們要求下級信用社的系統管理員自己掌握超級用戶和一般用戶的密碼,並定期更換。建立信任關系後,日常管理和維護就方便了。
2.修改Telnet、Ftp端口參數
我們知道,無論是還是Unix操作系統,都有端口號這個概念,計算機之間的通訊,是通過對應的端口號實現的。一般系統都用缺省的端口號,比如Ftp的端口號為21,Telnet的端口號為23,Http的端口號為80 等,當我們使用Telnet登錄到其它計算機上時,系統就使用默認端口號23,這是很不安全的。
筆者對轄內的前置機和管理機進行了Telnet和Ftp端口號的更改,具體為編輯/etc/services文件,找到想要修改的Telnet和Ftp行,修改端口號,比如把Telnet的23/tcp改成6364/tcp,但不要用/etc/services文件中已存在的端口號。這樣使用Telnet命令登錄到該主機時,必須給出端口號,即用Telnet xxx.xxx.xxx.xxx 6364 才能進行登錄,否則會被系統拒絕。通過修改端口號可以使不知道相應端口號的遠程用戶不能登錄,進一步提高了系統的安全性。
以上,就是我們這次要講的關於Unix操作系統關於網絡方面的知識。