. 如果自己是系統(tǒng)的唯一用戶,則將既是用戶又是管理員,維護(hù)系統(tǒng)安全的
任務(wù)就很簡單了,只須確保系統(tǒng)中所有登錄戶頭的口令是好的.
. 如果不能將系統(tǒng)鎖起來,就把敏感的數(shù)據(jù)存放在軟盤上,把軟盤鎖起來.
. 即使系統(tǒng)中有若干個(gè)用戶,但如果系統(tǒng)的終端之產(chǎn)是有線連接,并且用戶
們保持門上鎖,則系統(tǒng)也將是安全的,至少在本組用戶內(nèi)是安全的.
. 小系統(tǒng)通常有可移動(dòng)的介質(zhì)(軟盤),可用mount命令將其安裝到系統(tǒng)上,提
供一種安全的方法讓用戶自己在系統(tǒng)上安裝軟盤,否則系統(tǒng)管理員要一天
到晚地干這些瑣碎的安裝盤事務(wù).允許用戶安裝軟盤的通常做法是給用戶
一個(gè)SUID程序,該程序基本完成與系統(tǒng)管理員安裝用戶軟盤同樣的操作,
首先檢查軟盤上有無SUID/SGID/設(shè)備文件,若發(fā)現(xiàn)任何奇怪的文件,則拒
絕安裝該軟盤.
. 當(dāng)小系統(tǒng)開電源后,系統(tǒng)一般在從硬盤引導(dǎo)以前,先試圖從軟盤引導(dǎo).這就
意味著計(jì)算機(jī)將首先試圖從軟盤裝入程序,若軟盤不在驅(qū)動(dòng)器中,系統(tǒng)將
從硬盤裝入U(xiǎn)NIX內(nèi)核.軟盤幾乎可以含有任何程序,包括在控制臺(tái)啟動(dòng)
root shell的UNIX系統(tǒng)版本.如果破壞者有一把螺絲起子和有關(guān)系統(tǒng)內(nèi)部
的一些知識(shí),則即便系統(tǒng)有被認(rèn)為防止安全事故發(fā)生的特殊"微碼"口令,
也可能被誘騙去從軟盤引導(dǎo).
. 即使小系統(tǒng)晚上不鎖,凡從不將個(gè)人的或秘密的信息存放在大系統(tǒng)上的人
他們不可能認(rèn)識(shí)所有系統(tǒng)上的用戶),也不會(huì)想把這樣的信息存放在小系
統(tǒng)上.
. 小系統(tǒng)的系統(tǒng)管理員在使用UNIX系統(tǒng)方面常不如大系統(tǒng)管理員有經(jīng)驗(yàn),而
安全地管理系統(tǒng)需要一定的使用系統(tǒng)的知識(shí).
11.物理安全
對(duì)于運(yùn)行任何操作系統(tǒng)的小型或大型計(jì)算機(jī),物理安全都是一個(gè)要考慮的重
要問題,物理安全包括:鎖上放置計(jì)算機(jī)的屋子,報(bào)警系統(tǒng),警衛(wèi),所有安置在不能
上鎖的地方的通訊設(shè)施,包括有線通訊線,電話線,局域網(wǎng),遠(yuǎn)程網(wǎng),應(yīng)答MODEM,鑰
匙或信用卡識(shí)別設(shè)備,給用戶的口令和鑰匙分配,任何前置通訊設(shè)施的加密裝置,
文件保護(hù),備份或恢復(fù)方案(稱為安全保險(xiǎn)方案,用作應(yīng)付偶然的或蓄意的數(shù)據(jù)或
計(jì)算設(shè)備被破壞的情況),上鎖的輸出仃,上鎖的廢物箱和碎紙機(jī).
物理安全中所飲食的總考慮應(yīng)是:在安全方案上所付出的代價(jià)不應(yīng)當(dāng)多于值
得保護(hù)的(硬件或軟件的)價(jià)值.
下面著重討論保護(hù)用戶的各種通訊線.對(duì)于任何可在不上鎖的地方存取的系
統(tǒng),通訊是特別嚴(yán)重的安全薄弱環(huán)節(jié).當(dāng)允許用戶通過掛到地方電話公司的撥號(hào)
MODEM存取系統(tǒng)時(shí),系統(tǒng)的安全程度就將大大地削弱,有電話和MODEM的任何人就
可能非法進(jìn)入該系統(tǒng).應(yīng)當(dāng)避免這一情況,要確保MODEM的電話號(hào)碼不被列于電話
薄上,并且最好將電話號(hào)碼放在不同于本公司普通電話號(hào)碼所在的交換機(jī)上.總
之,不要假設(shè)沒人知道自己的撥入號(hào)碼!大多數(shù)家庭計(jì)算機(jī)都能編程用一個(gè)MODEM
整天地依次調(diào)用撥號(hào)碼,記錄下連接上其它MODEM的號(hào)碼.如果可能,安裝一個(gè)局
域PBX,使得對(duì)外界的撥號(hào)產(chǎn)生一秒鐘的撥號(hào)蜂音,并且必須輸入一個(gè)與MODEM相
關(guān)聯(lián)的擴(kuò)展號(hào)碼.
12.用戶意識(shí)
UNIX系統(tǒng)管理員的職責(zé)之一是保證用戶安全.這其中一部分工作是由用戶的
管理部門來完成,但是作為系統(tǒng)管理員,有責(zé)任發(fā)現(xiàn)和報(bào)告系統(tǒng)的安全問題,因?yàn)?
系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的運(yùn)行.
避免系統(tǒng)安全事故的方法是預(yù)防性的,當(dāng)用戶登錄時(shí),其shell在給出提示前
先執(zhí)行/etc/profile文件,要確保該文件中的PATH指定最后搜索當(dāng)前工作目錄,
這樣將減少用戶能運(yùn)行特洛依木馬的機(jī)會(huì).
將文件建立屏蔽值的設(shè)置放在該文件中也是很合適的,可將其值設(shè)置成至少
推薦閱讀
- win10系統(tǒng)中電腦關(guān)機(jī)無反應(yīng)具體處理步驟
- SCO UNIX 根文件系統(tǒng)的清理
- Unix系統(tǒng)中按需定制用戶工作環(huán)境
- UNIX常用的系統(tǒng)調(diào)用
- Win10系統(tǒng)中瀏覽器提示已完畢但網(wǎng)頁上有錯(cuò)誤具體處理步驟
- win7系統(tǒng)中調(diào)節(jié)壁紙大小具體操作方法
- 程序員安全
- 5g信號(hào)塔輻射安全距離是多少
- 網(wǎng)絡(luò)安全
- 如何完成UNIX系統(tǒng)中大批量數(shù)據(jù)的自動(dòng)備份