. 小系統(tǒng)的用戶比大系統(tǒng)的用戶少,通常是很小一組用戶,使系統(tǒng)管理員能熟悉每個人,安全問題可以直接地面對面處理.
. 由于小UNIX系統(tǒng)管理更簡單,可能只需要一個系統(tǒng)管理員,因而維護系統(tǒng)安全的責(zé)任只有一個人擔負.
. 如果既是用戶又是系統(tǒng)管理員,將不能花大量時間考慮系統(tǒng)安全.
. 如果自己擁有系統(tǒng)并且是系統(tǒng)管理員,就可能有權(quán)直接將違反規(guī)的用戶從系統(tǒng)中刪除,而沒有幾個大系統(tǒng)的管理員能有這種權(quán)利.
. 如果自己是系統(tǒng)的唯一用戶,則將既是用戶又是管理員,維護系統(tǒng)安全的任務(wù)就很簡單了,只須確保系統(tǒng)中所有登錄戶頭的口令是好的.
. 如果不能將系統(tǒng)鎖起來,就把敏感的數(shù)據(jù)存放在軟盤上,把軟盤鎖起來.
. 即使系統(tǒng)中有若干個用戶,但如果系統(tǒng)的終端之產(chǎn)是有線連接,并且用戶們保持門上鎖,則系統(tǒng)也將是安全的,至少在本組用戶內(nèi)是安全的.
. 小系統(tǒng)通常有可移動的介質(zhì)(軟盤),可用mount命令將其安裝到系統(tǒng)上,提供一種安全的方法讓用戶自己在系統(tǒng)上安裝軟盤,否則系統(tǒng)管理員要一天到晚地干這些瑣碎的安裝盤事務(wù).允許用戶安裝軟盤的通常做法是給用戶一個SUID程序,該程序基本完成與系統(tǒng)管理員安裝用戶軟盤同樣的操作,首先檢查軟盤上有無SUID/SGID/設(shè)備文件,若發(fā)現(xiàn)任何奇怪的文件,則拒絕安裝該軟盤.
. 當小系統(tǒng)開電源后,系統(tǒng)一般在從硬盤引導(dǎo)以前,先試圖從軟盤引導(dǎo).這就意味著計算機將首先試圖從軟盤裝入程序,若軟盤不在驅(qū)動器中,系統(tǒng)將從硬盤裝入UNIX內(nèi)核.軟盤幾乎可以含有任何程序,包括在控制臺啟動root shell的UNIX系統(tǒng)版本.如果破壞者有一把螺絲起子和有關(guān)系統(tǒng)內(nèi)部的一些知識,則即便系統(tǒng)有被認為防止安全事故發(fā)生的特殊"微碼"口令,也可能被誘騙去從軟盤引導(dǎo).
. 即使小系統(tǒng)晚上不鎖,凡從不將個人的或秘密的信息存放在大系統(tǒng)上的人他們不可能認識所有系統(tǒng)上的用戶),也不會想把這樣的信息存放在小系統(tǒng)上.
. 小系統(tǒng)的系統(tǒng)管理員在使用UNIX系統(tǒng)方面常不如大系統(tǒng)管理員有經(jīng)驗,而安全地管理系統(tǒng)需要一定的使用系統(tǒng)的知識.11.物理安全對于運行任何操作系統(tǒng)的小型或大型計算機,物理安全都是一個要考慮的重要問題,物理安全包括:鎖上放置計算機的屋子,報警系統(tǒng),警衛(wèi),所有安置在不能上鎖的地方的通訊設(shè)施,包括有線通訊線,電話線,局域網(wǎng),遠程網(wǎng),應(yīng)答MODEM,鑰匙或信用卡識別設(shè)備,給用戶的口令和鑰匙分配,任何前置通訊設(shè)施的加密裝置,文件保護,備份或恢復(fù)方案(稱為安全保險方案,用作應(yīng)付偶然的或蓄意的數(shù)據(jù)或計算設(shè)備被破壞的情況),上鎖的輸出仃,上鎖的廢物箱和碎紙機.物理安全中所飲食的總考慮應(yīng)是:在安全方案上所付出的代價不應(yīng)當多于值得保護的(硬件或軟件的)價值.下面著重討論保護用戶的各種通訊線.對于任何可在不上鎖的地方存取的系統(tǒng),通訊是特別嚴重的安全薄弱環(huán)節(jié).當允許用戶通過掛到地方電話公司的撥號MODEM存取系統(tǒng)時,系統(tǒng)的安全程度就將大大地削弱,有電話和MODEM的任何人就可能非法進入該系統(tǒng).應(yīng)當避免這一情況,要確保MODEM的電話號碼不被列于電話薄上,并且最好將電話號碼放在不同于本公司普通電話號碼所在的交換機上.總之,不要假設(shè)沒人知道自己的撥入號碼!大多數(shù)家庭計算機都能編程用一個MODEM整天地依次調(diào)用撥號碼,記錄下連接上其它MODEM的號碼.如果可能,安裝一個局 域PBX,使得對外界的撥號產(chǎn)生一秒鐘的撥號蜂音,并且必須輸入一個與MODEM相關(guān)聯(lián)的擴展號碼.12.用戶意識UNIX系統(tǒng)管理員的職責(zé)之一是保證用戶安全.這其中一部分工作是由用戶的管理部門來完成,但是作為系統(tǒng)管理員,有責(zé)任發(fā)現(xiàn)和報告系統(tǒng)的安全問題,因為系統(tǒng)管理員負責(zé)系統(tǒng)的運行.避免系統(tǒng)安全事故的方法是預(yù)防性的,當用戶登錄時,其shell在給出提示前先執(zhí)行/etc/profile文件,要確保該文件中的PATH指定最后搜索當前工作目錄,這樣將減少用戶能運行特洛依木馬的機會.將文件建立屏蔽值的設(shè)置放在該文件中也是很合適的,可將其值設(shè)置成至少將防止用戶無意中建立任何人都能寫的文件(022/026).要小心選擇此值,如果限制太嚴,則用戶會在自己的.profile中重新調(diào)用umask以抵制系統(tǒng)管理員的意愿,如果用戶大量使用小組權(quán)限共享文件,系統(tǒng)管理員就一要設(shè)置限制小組存取權(quán)限的屏蔽值.系統(tǒng)管理員必須建立系統(tǒng)安全和用戶的"痛苦量"間的平衡(痛苦量是安全限制引起的憤怒的函數(shù)).定期地用grep命令查看用戶.profile文件中的umask,可了解系統(tǒng)安全限制是否超過了用戶痛苦極限.系統(tǒng)管理員可每星期隨機抽選一個用戶,將該用戶的安全檢查結(jié)果(用戶的登錄情況簡報,SUID/SGID文件列表等)發(fā)送給他的管理部門和他本人.主要有四個目的:
推薦閱讀
- win7系統(tǒng)中桌面圖標不見了具體處理方法
- 在Unix系統(tǒng)中利用程序?qū)崿F(xiàn)Kill命令
- 飛利浦推出首個3G手機Nexperia蜂窩系統(tǒng)解決方案
- 首個基于飛利浦Nexperia蜂窩系統(tǒng)解決方案的GSM/GPRS/EDGE手機問世
- 提高unixware文件系統(tǒng)性能
- win10系統(tǒng)中禁用輸入法具體操作方法
- win7系統(tǒng)中出現(xiàn)開機失敗提示ntoskrnl.exe文件丟失具體處理步驟
- unix下的動態(tài)鏈接庫
- UNIX下發(fā)送屏幕信息
- UnixWare 7 與 OpenServer