日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Unix網(wǎng)絡(luò)的兩個安全問題

云知道


雖然已經(jīng)有許多文章對有關(guān)Unix網(wǎng)絡(luò)的安全性問題進(jìn)行了廣泛的論述,但隨著技術(shù)的進(jìn)步和人們對安全問題的認(rèn)識的深入,總是不斷有安全問題被暴露出來,并被加以修正 。本文介紹兩個由于技術(shù)上認(rèn)識不足而造成的安全問題,并給出解決方法 。

關(guān)機(jī)用戶的安全問題 。近年來,許多文章相繼介紹了一種所謂最安全的Unix的關(guān)機(jī)用戶 。其主要思想是直接在/etc/passwd文件或/etc/shadow文件中的關(guān)機(jī)用戶一行的末尾加入/etc/shutdown命令或加入/etc/haltsys命令以代替/bin/sh命令 。這樣即使有人知道了關(guān)機(jī)用戶的密碼(或沒有設(shè)置關(guān)機(jī)用戶的密碼),也不能通過關(guān)機(jī)用戶進(jìn)入Unix系統(tǒng),關(guān)機(jī)用戶被嚴(yán)格界定為有且僅有關(guān)機(jī)功能的超級用戶 。這一關(guān)機(jī)用戶已被公認(rèn)為“最安全的關(guān)機(jī)用戶” 。該用戶和其他的關(guān)機(jī)方法相比安全性有所提高,特別是在單機(jī)狀態(tài)下,其安全性值得信賴 。但令人遺憾的是,該關(guān)機(jī)用戶在Unix網(wǎng)絡(luò)中也存在著一定的安全隱患 。這主要是由關(guān)機(jī)用戶本身的用途所造成的,首先由于網(wǎng)絡(luò)中的用戶幾乎都需要關(guān)機(jī)用戶,所以關(guān)機(jī)用戶往往不設(shè)密碼或由多人同時掌握密碼;另一方面要關(guān)閉Unix系統(tǒng)就必須使關(guān)機(jī)用戶具有超級用戶的權(quán)限 。這樣,雖然不能用DEL鍵中斷或su命令等手段非法侵入Unix系統(tǒng), 但利用一些網(wǎng)絡(luò)遠(yuǎn)程命令卻有可能通過關(guān)機(jī)用戶侵入Unix系統(tǒng),甚至進(jìn)入超級用戶root的sh狀態(tài) 。1.提出問題假設(shè)計算機(jī)A中有一個關(guān)機(jī)用戶名為shutdown,其設(shè)置和權(quán)限控制按“最安全的關(guān)機(jī)用戶”的方法設(shè)定,因為系統(tǒng)管理員、軟件管理員、一般操作員都要使用該用戶, 故而未對其設(shè)置密碼 。設(shè)計算機(jī)A的IP地址為129.15.21.77 。此時如果想從另一臺計算機(jī)(假設(shè)為計算機(jī)B)中向計算機(jī)A發(fā)起攻擊,則利用Unix系統(tǒng)網(wǎng)絡(luò)遠(yuǎn)程命令, 通過計算機(jī)A的“最安全的關(guān)機(jī)用戶”:shutdown即可達(dá)到目的 。首先在計算機(jī)B中的/etc/hosts文件中加入如下代碼:129.15.21.77 hostshut然后在計算機(jī)B中進(jìn)入任何一個普通用戶,鍵入以下命令:rcmd hostshut -l shutdown vi /etc/passwd或 rcmd hostshut -l shutdown vi /etc/shadow這樣,該普通計算機(jī)用戶已在計算機(jī)B中用vi命令打開了計算機(jī)A中包括root超級用戶在內(nèi)的所有用戶的密碼文本 。接下來只要改動或刪除這些密碼,就可以輕松地用telnet、rlogin等遠(yuǎn)程命令登錄到計算機(jī)A的任何一個用戶中 。如果此時闖入的是一個惡意用戶, 對計算機(jī)A來說其后果將不堪設(shè)想 。2.解決問題為了解決這個安全問題,首先可以封閉inetd守護(hù)進(jìn)程中的部分遠(yuǎn)程功能,如telnet、shell、login、exec等,方法是直接用vi修改/etc/inetd.conf文件,在上述功能前添加#號,然后執(zhí)行/etc/inetd命令即可 。但這樣大大削弱了Unix系統(tǒng)的網(wǎng)絡(luò)功能,并可能影響到其他計算機(jī)應(yīng)用方案的實施 。【Unix網(wǎng)絡(luò)的兩個安全問題】經(jīng)過實踐,筆者發(fā)現(xiàn)了一種相當(dāng)安全的關(guān)機(jī)方法,該方法采用了輸入/輸出重定向、Unix啞終端技術(shù)和Unix定時系統(tǒng)來實現(xiàn)安全的關(guān)機(jī) 。具體做法如下:首先在超級用戶中輸入如下命令,使tty12終端成為啞終端:#disable /dev/tty12由于需要在啞終端tty12中運(yùn)行關(guān)機(jī)程序,而啞終端的窗口在原始模式下工作, 所以不能用Unix系統(tǒng)命令read進(jìn)行輸入,必須自己編寫一個能在原始模式下實現(xiàn)輸入/輸出功能的程序 。用cc -lcurses命令編譯以下源程序,并生成可執(zhí)行文件safehalt:file://安全關(guān)機(jī)程序#include
#include
#include
#include
main()
{
WINDOW *win;
char til[]=“是否現(xiàn)在關(guān)機(jī)?確認(rèn)請按yes:”,s1[4],sum[100];
struct termio save,term;initscr(); raw(); noecho();
keypad(stdscr,TRUE); clear();
ioctl(0,TCGETA,&term);
save=term;
win=newwin(24,80,0,0);while(s1[0]!=‘q")

推薦閱讀