. 大多數(shù)用戶會收到至少有一個文件檢查情況的郵件,這將引起用戶考慮安全問題(雖然并不意味著用戶們會采取加強安全的行動).
. 有大量可寫文件的用戶,將一星期得到一次郵件,直到他們?nèi)∠蓪懳募膶懺S可為止.冗長的煩人的郵件信息也許足以促使這些用戶采取措施,刪除文件的寫許可.
. 郵件將列出用戶的SUID程序,引起用戶注意自己有SUID程序,使用戶知道是否有不是自己建立的SUID程序.
. 送安全檢查表可供用戶管理自己的文件,并使用戶知道對文件的管理關(guān)系到數(shù)據(jù)安全.如果系統(tǒng)管理員打算這樣做,應(yīng)事先讓用戶知道,以便他們了解安全檢查郵件的目的. 發(fā)送郵件是讓用戶具有安全意識,不要抱怨發(fā)送郵件. 管理意識是提高安全性的另一個重要因素.如果用戶的管理部門對安全要求不強烈,系統(tǒng)管理員可能也忘記強化安全規(guī)則.最好讓管理部門建立一套每個人都必須遵守的安全標(biāo)準,如果系統(tǒng)管理員在此基礎(chǔ)上再建立自己的安全規(guī)則,就強化了安全.管理有助于加強用戶意識,讓用戶明確,信息是有價值的資產(chǎn).系統(tǒng)管理員應(yīng)當(dāng)使安全保護方法對用戶盡可能地簡單,提供一些提高安全的工具,如:公布鎖終端的lock程序,讓用戶自己運行secure程序,將pwexp(檢查用戶口令信息的程序)放入/etc/profile中,使用戶知道自己的口令時間.多教給用戶一些關(guān)于系統(tǒng)安全的知識,確保用戶知道自己的許可權(quán)限和umask命令的設(shè)置值.如果注意到用戶在做蠢事,就給他們一些應(yīng)當(dāng)怎樣做才對的提示.用戶知道的關(guān)于安全的知識越多,系統(tǒng)管理員在保護用戶利益方面做的事就越少.13.系統(tǒng)管理員意識(1)保持系統(tǒng)管理員個人的登錄安全
若系統(tǒng)管理員的登錄口令泄密了,則竊密者離竊取root只有一步之遙了,因為系統(tǒng)管理員經(jīng)常作為root運行,竊密者非法進入到系統(tǒng)管理員的戶頭后,將用特洛依木馬替換系統(tǒng)管理員的某些程序,系統(tǒng)管理員將作為root運行這些已被替換的程序.正是因為這個原因,在UNIX系統(tǒng)中,管理員的戶頭最常受到攻擊.即使su命令通常要在任何都不可讀的文件中記錄所有想成為root的企圖,還可用記帳數(shù)據(jù)或ps命令識別運行su命令的用戶.也是如此,系統(tǒng)管理員作為root運行程序時應(yīng)當(dāng)特別小心,因為最微小的疏忽也可能"沉船".下列一些指導(dǎo)規(guī)則可使系統(tǒng)管理員駕駛一艘"堅固的船":
. 不要作為root或以自己的登錄戶頭運行其他用戶的程序,首先用su命令進入用戶的戶頭.
. 決不要把當(dāng)前工作目錄排在PATH路徑表的前邊,那樣實際是招引特洛依木馬.當(dāng)系統(tǒng)管理員用su命令進入root時,他的PATH將會改變,就讓PATH保持這樣,以避免特洛依木馬的侵入.
. 敲入/bin/su執(zhí)行su命令.若有su源碼,將其改成必須用全路徑名運行(即su要確認argv[0]的頭一個字符是"/"才運行).隨著時間的推移,用戶和管理員將養(yǎng)成敲/bin/su的習(xí)慣.
. 不要未注銷戶頭就離開終端,特別是作為root用戶時更不能這樣.當(dāng)系統(tǒng)管理員作為root用戶時,命令提示符是"#",這個提示符對某些人來說可能是個紅燈標(biāo)志.
. 不允許root在除控制臺外的任何終端登錄(這是login的編譯時的選項),如果沒有l(wèi)ogin源碼,就將登錄名root改成別的名,使破壞者不能在root登錄名下猜測各種可能的口令,從而非法進入root的戶頭.錄名下猜測各種可能的口令,從而非法進入root的戶頭.
. 經(jīng)常改變root的口令.
. 確認su命令記下的想運行su企圖的記錄/usr/adm/sulog,該記錄文件的許可方式是600,并屬root所有.這是非法者喜歡選擇來替換成特洛依木馬的文件.
. 不要讓某人作為root運行,即使是幾分鐘,即使是系統(tǒng)管理員在一旁注視著也不行!【Unix系統(tǒng)管理員安全手冊】(2)保持系統(tǒng)安全
. 考慮系統(tǒng)中一些關(guān)鍵的薄弱環(huán)節(jié):
推薦閱讀
- win7系統(tǒng)中桌面圖標(biāo)不見了具體處理方法
- 在Unix系統(tǒng)中利用程序?qū)崿F(xiàn)Kill命令
- 飛利浦推出首個3G手機Nexperia蜂窩系統(tǒng)解決方案
- 首個基于飛利浦Nexperia蜂窩系統(tǒng)解決方案的GSM/GPRS/EDGE手機問世
- 提高unixware文件系統(tǒng)性能
- win10系統(tǒng)中禁用輸入法具體操作方法
- win7系統(tǒng)中出現(xiàn)開機失敗提示ntoskrnl.exe文件丟失具體處理步驟
- unix下的動態(tài)鏈接庫
- UNIX下發(fā)送屏幕信息
- UnixWare 7 與 OpenServer