在這次學習SCO Unix操作系統的知識中,我們要了解到管理者所采取的安全措施的力度能直接的關系到一個網絡系統的安全程度。我們在對Unix操作系統進行配置的同時,要把安全性問題放在重要的位置。
SCO ,作為一個技術成熟的商用網絡,廣泛地應用在金融、保險、郵電等行業,其自身內建了豐富的網絡功能,具有良好的穩定性和安全性。但是,如果用戶沒有對Unix操作系統進行正確的設置,就會給入侵者以可乘之機。
因此在管理上,不僅要采用必要的網絡安全設備,如:等,還要在操作系統的層面上進行合理規劃、配置,避免因管理上的漏洞而給應用系統造成風險。
下面以SCO Unix操作系統 Openserver V5.0.5為例,對操作系統級的網絡安全設置提幾點看法,供大家參考。
合理設置網段及路由
在Unix操作系統主機中設置TCP/IP協議的IP地址時,應該合理設置子網掩碼(netmask),把禁止訪問的IP地址隔離開來。嚴格禁止設置缺省路由(即:default route)。建議為每一個子網或網段設置一個路由,否則其他機器就可能通過一定方式訪問該主機。
不設置UUCP
UUCP為采用撥號用戶實現網絡連接提供了簡單、經濟的方案,但是同時也為黑客提供了入侵手段,所以必須避免利用這種模式進行網絡互聯。
刪除不用的軟件包及協議
在進行系統規劃時,總的原則是將不需要的功能一律去掉。如通過scoadmin--〉Soft Manager去掉X Window;通過修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等協議。
正確配置.profile文件
.profile文件提供了Unix操作系統用戶登錄程序和環境變量,為了防止一般用戶采用中斷的方法進入$符號狀態,系統管理者必須屏蔽掉鍵盤中斷功能。具體方法是在.porfile首部增加如下一行:
創建匿名ftp
如果你需要對外發布信息而又擔心數據安全,你可以創建匿名ftp,允許任何用戶使用匿名ftp,不需密碼訪問指定目錄下的文件或子目錄,不會對本機系統的安全構成威脅,因為它無法改變目錄,也就無法獲得本機內的其他信息。注意Unix操作系統不要復制/etc/passwd、/etc/proup到匿名ftp的etc下,這樣對安全具有潛在的威脅。
應用用戶和維護用戶分開
金融系統Unix操作系統的用戶都是最終用戶,他們只需在具體的應用Unix操作系統中完成某些固定的任務,一般情況下不需執行系統命令(shell),其應用程序由.profile調用,應用程序結束後就退到login狀態。維護時又要用root級別的su命令進入應用用戶,很不方便。可以通過修改.profile 文件,再創建一個相同id用戶的方法解決。例:應用用戶work有一個相同id相同主目錄的用戶worksh, 用戶work的.profile文件最後為:
這樣當用work登錄時,執行workmain程序;而用worksh登錄時,則進入work的$狀態。
在以上的文章中,我們就介紹到完了這些配置安全Unix操作系統的相關知識要點,希望對大家的學習有所幫助。