日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

SCO UNIX系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范

云知道

【SCO UNIX系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范】
SCO Unix操作系統(tǒng)因其運(yùn)行穩(wěn)定,對(duì)硬件配置的要求不高,目前正被廣泛應(yīng)用于銀行、電信、保險(xiǎn)、證券、鐵路等行業(yè),但這些行業(yè)一般都不是單機(jī)應(yīng)用,而是使用內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)處理,對(duì)系統(tǒng)安全性的要求又相當(dāng)高 。SCO Unix支持網(wǎng)絡(luò)功能,但網(wǎng)絡(luò)安全要靠系統(tǒng)管理員手工限定 。
筆者單位用裝有SCO OpenServer5.0.5版本操作系統(tǒng)的IBM Netfinity系列服務(wù)器作為應(yīng)用系統(tǒng)的前置機(jī),后臺(tái)主機(jī)用RS/6000小型機(jī),考慮到應(yīng)用的實(shí)際情況,租用電信的DDN線路來連接各前置機(jī)和主機(jī) 。整個(gè)網(wǎng)絡(luò)除本單位內(nèi)部各主機(jī)可以互通外,還與人行和其他中間業(yè)務(wù)單位的主機(jī)互通 。雖然在路由器上進(jìn)行了一定的安全設(shè)置,但網(wǎng)絡(luò)上主機(jī)互通給系統(tǒng)帶來了極大的不安全因素 。筆者根據(jù)多年的系統(tǒng)維護(hù)和開發(fā)經(jīng)驗(yàn),對(duì)單位的所有前置機(jī)進(jìn)行了一定的安全限制,最大限度地保障了應(yīng)用需要和系統(tǒng)安全,以下步驟均在SCO OpenServer5.0.5操作系統(tǒng)上應(yīng)用通過 。
1.為所有前置機(jī)建立信任關(guān)系
中心機(jī)房備有一臺(tái)和前置機(jī)相同配置的服務(wù)器,專門用來管理前置機(jī),也用此機(jī)對(duì)前臺(tái)進(jìn)行應(yīng)用程序的上傳更新 。通過下面的方法建立信任關(guān)系,如管理機(jī)的主機(jī)名為sqls,地址為130.30.1.200,則在前置機(jī)的/etc/hosts文件中加入一行130.30.1.200 sqls,然后在前置機(jī)的超級(jí)用戶根目錄下創(chuàng)建文件.rhosts,文件寫入sqls后保存 。SCO Unix操作系統(tǒng)安裝時(shí)并沒有.rhosts文件,需要建立信任關(guān)系時(shí),必須手工建立此文件 。建立好信任關(guān)系后,管理機(jī)就可以直接用rlogin、rcp等遠(yuǎn)程命令來管理和控制前置機(jī)了,所有這些r 開頭的命令都不需要輸入密碼 。而前置機(jī)則不允許直接rlogin 到管理機(jī)上,所以信任關(guān)系的建立是單向的 。我們要求下級(jí)信用社的系統(tǒng)管理員自己掌握超級(jí)用戶和一般用戶的密碼,并定期更換 。建立信任關(guān)系后,日常管理和維護(hù)就方便了 。
2.修改Telnet、Ftp端口參數(shù)
我們知道,無論是Windows還是Unix操作系統(tǒng),都有端口號(hào)這個(gè)概念,計(jì)算機(jī)之間的通訊,是通過對(duì)應(yīng)的端口號(hào)實(shí)現(xiàn)的 。一般系統(tǒng)都用缺省的端口號(hào),比如Ftp的端口號(hào)為21,Telnet的端口號(hào)為23,Http的端口號(hào)為80 等,當(dāng)我們使用Telnet登錄到其它計(jì)算機(jī)上時(shí),系統(tǒng)就使用默認(rèn)端口號(hào)23,這是很不安全的 。筆者對(duì)轄內(nèi)的前置機(jī)和管理機(jī)進(jìn)行了Telnet和Ftp端口號(hào)的更改,具體為編輯/etc/services文件,找到想要修改的Telnet和Ftp行,修改端口號(hào),比如把Telnet的23/tcp改成6364/tcp,但不要用/etc/services文件中已存在的端口號(hào) 。這樣使用Telnet命令登錄到該主機(jī)時(shí),必須給出端口號(hào),即用Telnet xxx.xxx.xxx.xxx 6364 才能進(jìn)行登錄,否則會(huì)被系統(tǒng)拒絕 。通過修改端口號(hào)可以使不知道相應(yīng)端口號(hào)的遠(yuǎn)程用戶不能登錄,進(jìn)一步提高了系統(tǒng)的安全性 。
3.禁止對(duì)前置機(jī)使用Ftp傳輸文件
如果系統(tǒng)對(duì)用戶的Ftp權(quán)限不做限制,那么用戶不僅可以通過Ftp來獲得操作系統(tǒng)的重要文件(如/etc/passwd、/etc/hosts等),還可以進(jìn)一步得到其他重要的數(shù)據(jù)文件,造成數(shù)據(jù)的泄露 。筆者單位的前置機(jī)上因裝有多個(gè)應(yīng)用系統(tǒng),建立的用戶也比較多,所以應(yīng)對(duì)大部分用戶的Ftp權(quán)限進(jìn)行限制 。具體做法是,創(chuàng)建編輯/etc/ftpusers文件,把不允許使用Ftp功能的用戶寫到該文件中,每個(gè)用戶占一行,保存后即時(shí)生效,這些用戶就不能使用Ftp命令進(jìn)行連接了 。
4.禁止外來主機(jī)遠(yuǎn)程登錄到前置機(jī)
筆者單位以前曾經(jīng)發(fā)生過這樣的事情,某個(gè)信用社的系統(tǒng)管理員利用其他途徑獲得了另外一個(gè)信用社前置機(jī)的用戶密碼,于是他就通過自己的主機(jī)遠(yuǎn)程登錄到另外那個(gè)信用社的計(jì)算機(jī)上,進(jìn)行一些非法操作 。雖然沒造成嚴(yán)重的后果,但這件事給筆者敲響了警鐘,必須嚴(yán)格限制非法登錄 。筆者首先在/etc/profile文件中case "$0" in -sh | -rsh | -ksh | -rksh)下添加限制非授權(quán)主機(jī)遠(yuǎn)程登錄代碼:

推薦閱讀