本文從系統(tǒng)管理員的角度討論安全問(wèn)題.系統(tǒng)管理員是管理系統(tǒng)的人:啟動(dòng)系統(tǒng),停止系統(tǒng)運(yùn)行,安裝新軟件,增加新用戶,刪除老用戶,以及完成保持系統(tǒng)發(fā)展和運(yùn)行的日常事務(wù)工作.
1.安全管理安全管理主要分為四個(gè)方面:
(1)防止未授權(quán)存取:這是計(jì)算機(jī)安全最重要的問(wèn)題:未被使用系統(tǒng)的人進(jìn)入系統(tǒng).用戶意識(shí),良好的口令管理(由系統(tǒng)管理員和用戶雙方配合),登錄活動(dòng)記錄和報(bào)告,用戶和網(wǎng)絡(luò)活動(dòng)的周期檢查,這些都是防止未授權(quán)存取的關(guān)鍵.
(2)防止泄密:這也是計(jì)算機(jī)安全的一個(gè)重要問(wèn)題.防止已授權(quán)或未授權(quán)的用戶相互存取相互的重要信息.文件系統(tǒng)查帳,su登錄和報(bào)告,用戶意識(shí),加密都是防止泄密的關(guān)鍵.
(3)防止用戶拒絕系統(tǒng)的管理:這一方面的安全應(yīng)由操作系統(tǒng)來(lái)完成.一個(gè)系統(tǒng)不應(yīng)被一個(gè)有意試圖使用過(guò)多資源的用戶損害.不幸的是,Unix不能很好地限制用戶對(duì)資源的使用,一個(gè)用戶能夠使用文件系統(tǒng)的整個(gè)磁盤(pán)空間,而
UNIX基本不能阻止用戶這樣做.系統(tǒng)管理員最好用PS命令,記帳程序df和du周期地檢查系統(tǒng).查出過(guò)多占用CUP的進(jìn)程和大量占用磁盤(pán)的文件.
(4)防止丟失系統(tǒng)的完整性:這一安全方面與一個(gè)好系統(tǒng)管理員的實(shí)際工作(例如:周期地備份文件系統(tǒng),系統(tǒng)崩潰后運(yùn)行fsck檢查,修復(fù)文件系統(tǒng),當(dāng)有新用戶時(shí),檢測(cè)該用戶是否可能使系統(tǒng)崩潰的軟件)和保持一個(gè)可靠的操作系 統(tǒng)有關(guān)(即用戶不能經(jīng)常性地使系統(tǒng)崩潰).
本文其余部分主要涉及前兩個(gè)問(wèn)題,第三個(gè)問(wèn)題在"安全查帳"一節(jié)討論.2.超級(jí)用戶一些系統(tǒng)管理命令只能由超級(jí)用戶運(yùn)行.超級(jí)用戶擁有其他用戶所沒(méi)有的特權(quán),超級(jí)用戶不管文件存取許可方式如何,都可以讀,寫(xiě)任何文件,運(yùn)行任何程序.系統(tǒng)管理員通常使用命令: /bin/su 或以 root 進(jìn)入系統(tǒng)從而成為超級(jí)用戶.在后面文章中以#表示應(yīng)敲入必須由超級(jí)用戶運(yùn)行的命令,用$表示應(yīng)敲入由所有其他用戶運(yùn)行的命令.3.文件系統(tǒng)安全(1)UNIX文件系統(tǒng)概述
UNIX文件系統(tǒng)是UNIX系統(tǒng)的心臟部分,提供了層次結(jié)構(gòu)的目錄和文件.文件系統(tǒng)將磁盤(pán)空間劃分為每1024個(gè)字節(jié)一組,稱為(block)(也有用512字節(jié)為一塊的,如:SCO XENIX).編號(hào)從0到整個(gè)磁盤(pán)的最大塊數(shù).全部塊可劃分為四個(gè)部分,塊0稱為引導(dǎo)塊,文件系統(tǒng)不用該塊;塊1稱為專用塊,專用塊含有許多信息,其中有磁盤(pán)大小和全部塊的其它兩部分的大小.從塊2開(kāi)始是i節(jié)點(diǎn)表,i節(jié)點(diǎn)表中含有i節(jié)點(diǎn),表的塊數(shù)是可變的,后面將做討論.i節(jié)點(diǎn)表之后是空閑存儲(chǔ)塊(數(shù)據(jù)存儲(chǔ)塊),可用于存放文件內(nèi)容.文件的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)是十分不同的,邏輯結(jié)構(gòu)是用戶敲入cat命令后所看到的文件,用戶可得到表示文件內(nèi)容的字符流.物理結(jié)構(gòu)是文件實(shí)際上如何存放在磁盤(pán)上的存儲(chǔ)格式.用戶認(rèn)為自己的文件是邊疆的字符流,但實(shí)際上文件可能并不是以邊疆的方式存放在磁盤(pán)上的,長(zhǎng)于一塊的文件通常將分散地存放在盤(pán)上.然而當(dāng)用戶存取文件時(shí),UNIX文件系統(tǒng)將以正確的順序取各塊,給用戶提供文件的邏輯結(jié)構(gòu). 當(dāng)然,在UNIX系統(tǒng)的某處一定會(huì)有一個(gè)表,告訴文件系統(tǒng)如何將物理結(jié)構(gòu)轉(zhuǎn)換為邏輯結(jié)構(gòu).這就涉及到i節(jié)點(diǎn)了.i節(jié)點(diǎn)是一個(gè)64字節(jié)長(zhǎng)的表,含有有關(guān)一個(gè)文件的信息,其中有文件大小,文件所有者,文件存取許可方式,以及文件為普通文件,目錄文件還是特別文件等.在i節(jié)點(diǎn)中最重要的一項(xiàng)是磁盤(pán)地址表.該表中有13個(gè)塊號(hào).前10個(gè)塊號(hào)是文件前10塊的存放地址.這10個(gè)塊號(hào)能給出一個(gè)至多10塊長(zhǎng)的文件的邏輯結(jié)構(gòu),文件將以塊號(hào)在磁盤(pán)地址表中出現(xiàn)的順序依次取相應(yīng)的塊.當(dāng)文件長(zhǎng)于10塊時(shí)又怎樣呢?磁盤(pán)地址表中的第十一項(xiàng)給出一個(gè)塊號(hào),這個(gè)塊號(hào)指出的塊中含有256個(gè)塊號(hào),至此,這種方法滿足了至多長(zhǎng)于266塊的文件(272,384字節(jié)).如果文件大于266塊,磁盤(pán)地址表的第十二項(xiàng)給出一個(gè)塊號(hào),這個(gè)塊號(hào)指出的塊中含有256個(gè)塊號(hào),這256個(gè)塊號(hào)的每一個(gè)塊號(hào)又指出一塊,塊中含256個(gè)塊號(hào),這些塊號(hào)才用于取文件的內(nèi)容.磁盤(pán)地址中和第十三項(xiàng)索引尋址方式與第十二項(xiàng)類似,只是多一級(jí)間接索引.這樣,在UNIX系統(tǒng)中,文件的最大長(zhǎng)度是16,842,762塊,即17,246,988,288字節(jié),有幸是是UNIX系統(tǒng)對(duì)文件的最大長(zhǎng)度(一般為1到2M字節(jié))加了更實(shí)際的限制,使用戶不會(huì)無(wú)意中建立一個(gè)用完整個(gè)磁盤(pán)窨所有塊的文件. 文件系統(tǒng)將文件名轉(zhuǎn)換為i節(jié)點(diǎn)的方法實(shí)際上相當(dāng)簡(jiǎn)單.一個(gè)目錄實(shí)際上是一個(gè)含有目錄表的文件:對(duì)于目錄中的每個(gè)文件,在目錄表中有一個(gè)入口項(xiàng),入口項(xiàng)中含有文件名和與文件相應(yīng)的i節(jié)點(diǎn)號(hào).當(dāng)用戶敲入cat xxx時(shí),文件系統(tǒng)就在當(dāng)前目錄表中查找名為xxx的入口項(xiàng),得到與文件xxx相應(yīng)的i節(jié)點(diǎn)號(hào),然后開(kāi)始取含有文件xxx的內(nèi)容的塊.(2)設(shè)備文件
推薦閱讀
- win7系統(tǒng)中桌面圖標(biāo)不見(jiàn)了具體處理方法
- 在Unix系統(tǒng)中利用程序?qū)崿F(xiàn)Kill命令
- 飛利浦推出首個(gè)3G手機(jī)Nexperia蜂窩系統(tǒng)解決方案
- 首個(gè)基于飛利浦Nexperia蜂窩系統(tǒng)解決方案的GSM/GPRS/EDGE手機(jī)問(wèn)世
- 提高unixware文件系統(tǒng)性能
- win10系統(tǒng)中禁用輸入法具體操作方法
- win7系統(tǒng)中出現(xiàn)開(kāi)機(jī)失敗提示ntoskrnl.exe文件丟失具體處理步驟
- unix下的動(dòng)態(tài)鏈接庫(kù)
- UNIX下發(fā)送屏幕信息
- UnixWare 7 與 OpenServer