|
---- 由于Unix系统本身的缺陷和用户设置的不当,常会给入侵者造成可乘之机。因此我们在网络安全管理上不仅要采用必要的网络安全设备如防火墙等保护数据,还要在操作系统的层次上进行合理规划,避免因管理上的漏洞对应用系统产生风险。
---- 1.口令的保护 口令的长度一般不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免用英语单词或词组等设置口令,而且各用户的口令应该养成定期更换的习惯。另外,口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才能访问这2个文件。
---- 2.不设置等价主机 不设置等价主机是严防非法攻击的有效手段。所以必须要管理好/etc/hosts.equiv、.rhosts和.netrc这3个文件。其中,/etc /hosts.equiv列出了允许执行rsh、rcp等远程命令的主机名字;.rhosts在用户目录内指定了远程用户的名字,其远程用户使用本地用户账户执行rcp、rlogin和rsh等命令时不必提供口令;.netrc提供了ftp和rexec命令所需的信息,可自动连接主机而不必提供口令,该文件也放在用户本地目录中。由于这3个文件的设置都允许一些命令不必提供口令便可访问主机,因此必须严格限制这3个文件的设置。
---- 3.合理配置/etc/inetd.conf文件 Unix系统启动时运行inetd进程,对大部分网络连接进行监听,并且根据不同的申请启动相应进程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd来启动对应的服务进程。因此从系统安全角度出发,我们应该合理地设置/etc/inetd.conf文件,将不必要的服务关闭。关闭的方法是在文件相应行首插入“#”字符,并执行下列命令可使配置后的命令立即生效。
#ps-ef|grep inetd|grep-v grep
#kill-HUP< inetd-PID >
---- 4.合理设置/etc/ftpuser文件 在/etc/ftpuser文件里列出了可用FTP协议进行文件传输的用户,为了防止不信任用户传输敏感文件,必须合理规划该文件。
----5.不设置缺省路由 在主机中应该严格禁止设置缺省路由,即default route。建议为每一个子网或网段设置一个路由,否则其他机器就可能通过一定方式访问该主机。
----6.不设置UUCP UUCP为采用拨号用户实现网络连接提供了简单经济的方案,但是同时也为黑客入侵提供了入侵手段,所以必须避免利用这种模式进行网络互联。
----7.合理设置权限 有时我们为了方便使用而将许多目录和文件权限设为777或666,但是这样却为黑客攻击提供了方便。因此,必须仔细分配应用程序、数据和相应目录的权限。
----8.删除不用的软件包 在进行系统规划时,总的原则是将不需要的功能一律去掉,如Mail、X-Window和NFS等协议。
----9.正确配置.profile文件 .profile文件提供了用户登录程序和环境变量,为了防止一般用户采用中断的方法进入$符号状态,系统管理者必须屏蔽掉键盘中断功能。
|
相关文章
