|
由于SCOUNIX操作系統(tǒng)的開放性,網(wǎng)絡(luò)系統(tǒng)的共享性���,數(shù)據(jù)庫的通用性等因素����,UNIX操作系統(tǒng)數(shù)據(jù)信息的安全(服務(wù)器租用找:51033397)問題顯得越來越為突出��,特別是終端端口的安全(服務(wù)器租用找:51033397)管理工作是目前信息系統(tǒng)安全(服務(wù)器租用找:51033397)的重要環(huán)節(jié)�����。由于操作系統(tǒng)本身的缺陷�����,加上營業(yè)網(wǎng)點(diǎn)的分散性等因素,留下遠(yuǎn)程終端包括DDN專線和MODEM的撥號端口以及對外服務(wù)終端無法特別監(jiān)管的隱患��,給非法進(jìn)入者提供了方便之門����,因此必須設(shè)法加強(qiáng)對UNIX操作系統(tǒng)的端口安全(服務(wù)器租用找:51033397)管理,增加端口口令和限制登錄端口的用戶及工作時間等�����。
工作原理:
操作系統(tǒng)用戶注冊登錄的全過程為:用戶打開終端在login:后輸入用戶名和在passwd:后輸入口令字�����,操作系統(tǒng)接收用戶名和口令字后與/etc/passwd和/etc/shadow文件進(jìn)行合法性檢查����,對照注冊名UID碼、GID碼(表示用戶組)��、GCOS域(用戶個人信息)��、注冊目錄�、注冊shell(一般為/bin/sh即Baurneshell)�,然后讀取終端端口的有關(guān)信息��,查找/etc/dialups文件�����、/etc/d_passwd文件�����,最后啟動/etc/profile和用戶根目錄下的.profile文件(若是c_shell�,則執(zhí)行/etc/csh.login和用戶根目錄下的.login和.cshrc�;若是kornshell,則會執(zhí)行環(huán)境變量ENV所定義的文件)配置用戶環(huán)境變量���,查找提示該用戶的mail信息��。
縱觀以上過程分析���,我們可以簡單地在/etc/dialups文件中加入終端端口設(shè)備號,在/etc/d_passwd文件中加入口令字��,以限制非法登錄�,這是其一;我們還可以修改/etc/profile文件�����,從中增加一段程序,使之能與我們預(yù)先設(shè)定的有關(guān)用戶���、端口���、工作時間等一些信息的文件進(jìn)行比較,判斷當(dāng)前注冊用戶的登錄端口�、日期和時間是否在我們允許的范圍內(nèi),否則不允許注冊登錄�����。之所以修改文件/etc/profile而沒有使用文件$home/.profile���,是因為使用文件/etc/profile更便于大范圍的控制和處理�����,這是其二�����;另外�,操作系統(tǒng)在對合法用戶注冊登錄處理的最后部分是根據(jù)該用戶根目錄下的$HOME/.profile���,設(shè)置用戶環(huán)境變量�����、終端信息�,我們可以在$HOME/.profile加入該用戶業(yè)務(wù)處理程序的起動命令并使之退出注冊登錄狀態(tài)���,以減少在該用戶根目錄下使用/bin/sh命令的機(jī)會��,確保用戶根目錄下文件的安全(服務(wù)器租用找:51033397)����。
基于以上原理�����,我們得出了三個有效地加強(qiáng)對終端端口限制管理的辦法:
1�����、增加端口口令�����,限制遠(yuǎn)程登錄
遠(yuǎn)程登錄包括通過MODEM撥號、DDN專線訪問億恩科技服務(wù)器和通過終端億恩科技服務(wù)器����、集線器等登錄到系統(tǒng)。以MODEM和DDN專線訪問億恩科技服務(wù)器的端口號為/dev/tty1A和/dev/ttya?���,其中��?為0���、1、2……等�;通過終端億恩科技服務(wù)器、路由器和集線器訪問億恩科技服務(wù)器的端口號為/dev/ttyp��?����,其中?為0�、1、2……等。此時使用的是偽tty設(shè)備文件��,通常登錄的端口是不固定的�。因此,必須先執(zhí)行固定通信億恩科技服務(wù)器端口設(shè)置程序�����,此程序由通信億恩科技服務(wù)器生產(chǎn)廠家隨產(chǎn)品一起提供���。通過在這些設(shè)備端口上增加撥入口令,限制遠(yuǎn)程登錄�。
2、限定用戶在指定的端口和規(guī)定的時間內(nèi)登錄
當(dāng)用戶注冊登錄到unix操作系統(tǒng)時���,必須執(zhí)行系統(tǒng)文件/etc/profile����,我們對這一文件進(jìn)行修改��,讓系統(tǒng)去讀取用戶名�、端口名、每周工作日期�����、每天上班時間、每天下班時間����。然后依此文件審查用戶注冊登錄的合法性,端口名不在此文件中不受限制�����,端口名在此文件中但用戶名不正確不許登錄���,用戶名和端口名皆正確但工作時間不在規(guī)定范圍內(nèi)不許登錄���。
3、用戶注冊登錄時立即運(yùn)行業(yè)務(wù)處理程序����,退出業(yè)務(wù)處理程序時也退出/bin/sh。
用戶注冊登錄時系統(tǒng)訪問了用戶根目錄下面的$home/.profile���,為了使用戶合法注冊登錄后即進(jìn)入運(yùn)行業(yè)務(wù)處理程序�,處理完成退出業(yè)務(wù)處理程序同時退出注冊登錄狀態(tài)���,我們可以對$home/.profile進(jìn)行修改使用戶退出業(yè)務(wù)處理程序時�,退至login:狀態(tài)。
以上三種方法以三種途徑加強(qiáng)了UNIX操作系統(tǒng)端口設(shè)備的安全(服務(wù)器租用找:51033397)管理����,可以分開使用,也可以合并使用��,該方法在我公司SCOUNIX5.04操作系統(tǒng)上試用正常�,達(dá)到對一些遠(yuǎn)程登錄端口和公眾場合端口限制管理的目的,進(jìn)一步有效地阻止了非法用戶的登錄�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
