有效而合理的策略 UNIX網(wǎng)絡(luò)安全性之我見
金融系統(tǒng)的業(yè)務(wù)系統(tǒng)大部分以UNIX/XENIX操作系統(tǒng)為平臺,以TCP/IP為網(wǎng)絡(luò)平臺。如何加強(qiáng)UNIX網(wǎng)絡(luò)系統(tǒng)的安全性管理,筆者以SCO UNIX 3.2V4.2為例,提幾點(diǎn)看法,與廣大同仁商榷。
這里所說的安全性,主要指通過防止本機(jī)或本網(wǎng)被非法侵入、訪問,從而達(dá)到保護(hù)本系統(tǒng)信息可靠、正常運(yùn)行,本文只在此范圍內(nèi)討論,對其他方面不予考慮。
一、抓好網(wǎng)內(nèi)主機(jī)的管理,是網(wǎng)絡(luò)安全管理的前提
用戶和密碼管理永遠(yuǎn)是系統(tǒng)安全管理最重要的環(huán)節(jié)之一,對網(wǎng)絡(luò)的任何攻擊,都不可能沒有合法的用戶和密碼(后臺網(wǎng)絡(luò)應(yīng)用程序開后門例外)。但目前絕大部分系統(tǒng)管理員只注重對特權(quán)用戶的管理,而忽視對普通用戶的管理。主要表現(xiàn)在設(shè)置用戶時圖省事方便,胡亂設(shè)置用戶的權(quán)限(ID),組別(GROUP)和文件權(quán)限,為非法用戶竊取信息和破壞系統(tǒng)留下空隙。
金融系統(tǒng)UNIX的用戶都是最終用戶,他們只需在具體應(yīng)用系統(tǒng)中工作,完成某些固定的任務(wù),一般情況下不需執(zhí)行系統(tǒng)(SHELL)命令。
用戶正常登錄后,如果按下中斷鍵delete,關(guān)掉終端電源,或同時鍵入“Ctrl""\",那么用戶將進(jìn)入SHELL(命令)狀態(tài)。例如,用戶可在自己的目錄下不斷創(chuàng)建子目錄而耗盡系統(tǒng)的Ⅰ節(jié)點(diǎn)號,或用yes>aa創(chuàng)建一個巨大無比的垃圾文件而耗盡硬盤空間等都可能導(dǎo)致系統(tǒng)的崩潰、癱瘓;如果文件系統(tǒng)的權(quán)限設(shè)置不嚴(yán)密,就可運(yùn)行、窺視甚至修改文件系統(tǒng)的權(quán)限;還可通過su等命令竊取更高的權(quán)限;還可登錄到其它主機(jī)上去搗亂……令你防不勝防,危險(xiǎn)性可想而知。這一切問題都與用戶設(shè)置有關(guān)。所以盡量不要把用戶設(shè)置成上述形式,如果必須這樣,可根據(jù)實(shí)際需要,看看能否把用戶的sh變成受限sh,如rsh等,變成如下形式:
dzhd:x:200:50::/usr/dzhd/obj:/bin/rsh
或如下形式:
dzhd:x:200:50::/usr/dzhd:./main
在main(.profile)首部增加如下一行:
tarp''0 1 2 3 5 15
那么上述一切問題都可以避免。
此外,定期檢查/etc/passwd文件,看看是否具有來歷不明的用戶和用戶的權(quán)限;定期修改用戶密碼,特別是uucp、bin等不常用的用戶密碼,以防有人在此開個活動的天窗——一個可自由進(jìn)出的用戶窗口;刪除所有睡眠用戶等。
所以筆者認(rèn)為,合理設(shè)置用戶是主機(jī)管理的關(guān)鍵。
二、設(shè)置好自己的網(wǎng)絡(luò)環(huán)境,是阻止非法訪問的有效途徑
網(wǎng)上訪問的常用工具有telnet、ftp、rlogin、rcp、rcmd等網(wǎng)絡(luò)操作命令,必須加以限制。最簡單的方法是修改/etc/services中相應(yīng)的服務(wù)端口號。但這樣做會使網(wǎng)外的一切訪問都被拒絕,即使合法訪問。筆者不提倡這種閉關(guān)自守的做法,因?yàn)檫@樣使本網(wǎng)和網(wǎng)外不兼容,也會給自己帶來不便。通過對UNIX系統(tǒng)的分析,筆者認(rèn)為有可能做到有條件限制(允許)網(wǎng)上訪問。
1)建立/etc/ftpuser文件:不受歡迎的ftp用戶表。配置如下:
#用戶名
dgxt
dzhd
...
以上都是本機(jī)內(nèi)的一些用戶。入侵者即使通過以上用戶名和ftp訪問本網(wǎng)都會被拒之門外。與之相關(guān)的命令是ftp。
2)保密.netre: 遠(yuǎn)程注冊數(shù)據(jù)文件。包含注冊到網(wǎng)絡(luò)上由ftp作文件轉(zhuǎn)移的遠(yuǎn)程主機(jī)的數(shù)據(jù)。通常駐留在用戶當(dāng)前目錄中,文件權(quán)限必須為0600。
3)創(chuàng)建匿名ftp:所謂匿名ftp,其他主機(jī)的用戶都能以ftp或anyones用戶進(jìn)行數(shù)據(jù)收發(fā),而不要任何密碼。
4)限制.rhosts用戶等價(jià)文件,又叫受托用戶文件,與之有關(guān)命令有rlogin、rcp、rcmd等。
所謂用戶等價(jià),就是用戶不用輸入密碼,以相同的用戶信息登錄到另一臺主機(jī)中。用戶等價(jià)的文件名為.rhosts,存放在根下或用戶主目錄下。
5)限制hosts.equiv主機(jī)等價(jià)文件,又叫受托主機(jī)文件。有關(guān)的命令為rlogin、rcp、rcmd等。主機(jī)等價(jià)類似于用戶等價(jià),在兩臺計(jì)算機(jī)除根目錄外的所有區(qū)域有效,主機(jī)等價(jià)文件為hosts.equiv,存放在/etc下。
控制方法如下:
當(dāng)遠(yuǎn)程使用ftp訪問本系統(tǒng)時,UNIX系統(tǒng)首先驗(yàn)證用戶名和密碼,無誤后查看ftpusers文件,一旦其中包含登錄所有用戶名則自動拒絕連接,從而達(dá)到限制作用。因此,只要把本機(jī)內(nèi)除匿名ftp以外的所有用戶列入ftpusers文件中,即使入侵者獲得本機(jī)內(nèi)正確的用戶信息,本機(jī)的大門也無法打開。如需對外發(fā)布的信息,放到/usr/ftp/pub下,讓遠(yuǎn)方通過匿名ftp獲取。使用匿名ftp,不需密碼,不會對本機(jī)系統(tǒng)的安全構(gòu)成威脅,因?yàn)樗鼰o法改變目錄,也就無法獲得本機(jī)內(nèi)的其他信息。使用.netrc配置,需注意保密,防止泄露其他相關(guān)主機(jī)的信息。
使用戶等價(jià)和主機(jī)等價(jià)這類訪問由于用戶不用口令而像其他有效用戶一樣登錄到遠(yuǎn)程系統(tǒng),因此具有嚴(yán)重的不安全性,必須嚴(yán)格控制或在非常可靠的環(huán)境下使用。遠(yuǎn)程用戶可使用rlogin直接登錄而不需密碼,還可使用rcp命令向或從本地主機(jī)復(fù)制文件,也可使用rcmd遠(yuǎn)程執(zhí)行本機(jī)內(nèi)的命令等。當(dāng)用戶需頻繁登錄到另一系統(tǒng),可有效地增加登錄速度,減少運(yùn)行在遠(yuǎn)程系統(tǒng)的進(jìn)程數(shù)量,防止網(wǎng)上竊聽等。
UNIX系統(tǒng)沒有直接提供對telnet的控制。但/ctc/profile是系統(tǒng)默認(rèn)SHELL變量文件,所有用戶登錄時必須首先執(zhí)行它。如果在該文件首部增加幾條SHELL命令,非法用戶即使獲得了合法的用戶名和密碼,也無法遠(yuǎn)程使用。系統(tǒng)管理員定時閱讀日記文件,注意控制臺信息,就能獲得被非法訪問的情況,及時采取措施。如果用C語言實(shí)現(xiàn)上述過程,把接受密碼變成不可顯示,效果更佳。
三、注意對重要資料的保密
主要包括hosts表、X.25地址、路由、連接Modem的電話號碼及所用的通信軟件的種類、網(wǎng)內(nèi)的用戶名等,這些資料都應(yīng)采取一些保密措施,防止隨意擴(kuò)散。如可向電信部門申請,通信專用的電話號碼不刊登,不供查詢等。由于公共的或普通郵電交換設(shè)備的介入,信息通過這些設(shè)備后可能被篡改或泄露。
設(shè)置合理的路由,可有效防止信息的泄露。
四、注意對重要網(wǎng)絡(luò)設(shè)備的管理
路由器在網(wǎng)絡(luò)安全計(jì)劃中是很重要的一環(huán)。現(xiàn)在大多數(shù)路由器已具備防火墻的一些功能。如禁止telnet的訪問,禁止非法的網(wǎng)段訪問等。來自網(wǎng)絡(luò)路由器正確的存取過濾是限制外部訪問簡單而有效的手段。
有條件的地方還可設(shè)置網(wǎng)關(guān),將本網(wǎng)和他網(wǎng)隔離,網(wǎng)關(guān)上不存放任何業(yè)務(wù)數(shù)據(jù),刪除除了系統(tǒng)正常運(yùn)行所必須的用戶以外的用戶,也能增強(qiáng)網(wǎng)絡(luò)的安全性。
總之,只要從現(xiàn)在做起,培養(yǎng)網(wǎng)絡(luò)的安全意識,并注意經(jīng)驗(yàn)的積累和學(xué)習(xí),完全可能保證信息系統(tǒng)的安全正常運(yùn)行。
【編輯推薦】
