配置安全的SCO UNIX網(wǎng)絡系統(tǒng) |
發(fā)布時間: 2012/6/15 18:10:22 |
一個網(wǎng)絡系統(tǒng)的安全(服務器租用找:51033397)程度,在很大程度上取決于管理者的素質(zhì),以及管理者所采取的安全(服務器租用找:51033397)措施的力度。在對系統(tǒng)進行配置的同時,要把安全(服務器租用找:51033397)性問題放在重要的位置。 SCOUNIX,作為一個技術(shù)成熟的商用網(wǎng)絡操作系統(tǒng),廣泛地應用在金融、保險、郵電等行業(yè),其自身內(nèi)建了豐富的網(wǎng)絡功能,具有良好的穩(wěn)定性和安全(服務器租用找:51033397)性。但是,如果用戶沒有對UNIX系統(tǒng)進行正確的設置,就會給入侵者以可乘之機。因此在網(wǎng)絡安全(服務器租用找:51033397)管理上,不僅要采用必要的網(wǎng)絡安全(服務器租用找:51033397)設備,如:防火墻等,還要在操作系統(tǒng)的層面上進行合理規(guī)劃、配置,避免因管理上的漏洞而給應用系統(tǒng)造成風險。 下面以SCOUNIXOpenserverV5.0.5為例,對操作系統(tǒng)級的網(wǎng)絡安全(服務器租用找:51033397)設置提幾點看法,供大家參考。 合理設置系統(tǒng)安全(服務器租用找:51033397)級別 SCOUNIX提供了四個安全(服務器租用找:51033397)級別,分別是Low、Traditional、Improved和High級,系統(tǒng)缺省為Traditional級;Improved級達到美國國防部的C2級安全(服務器租用找:51033397)標準;High級則高于C2級。用戶可以根據(jù)自己系統(tǒng)的重要性及客戶數(shù)的多少,設置適合自己需要的系統(tǒng)安全(服務器租用找:51033397)級別,具體設置步驟是:scoadmin→system→security→securityprofilemanager。 合理設置用戶 建立用戶時,一定要考慮該用戶屬于哪一組,不能隨便選用系統(tǒng)缺省的group組。如果需要,可以新增一個用戶組并確定同組成員,在該用戶的主目錄下,新建文件的存取權(quán)限是由該用戶的配置文件.profile中的umask的值決定。umask的值取決于系統(tǒng)安全(服務器租用找:51033397)級,Tradition安全(服務器租用找:51033397)級的umask的值為022,它的權(quán)限類型如下: 文件權(quán)限:-rw-r--r-- 目錄權(quán)限:drwxr-xr-x 此外,還要限制用戶不成功登錄的次數(shù),避免入侵者用猜測用戶口令的方法嘗試登錄。為賬戶設置登錄限制的步驟是:Scoadmin--〉AccountManager--〉選賬戶--〉User--〉LoginControls--〉添入新的不成功登錄的次數(shù)。 指定主控臺及終端登錄的限制 如果你希望root用戶只能在某一個終端(或虛屏)上登錄,那么就要對主控臺進行指定,例如:指定root用戶只能在億恩科技主機第一屏tty01上登錄,這樣可避免從網(wǎng)絡遠程攻擊超級用戶root。設置方法是在/etc/default/login文件增加一行:CONSOLE=/dev/tty01。 注意:設置主控臺時,在億恩科技主機運行中設置后就生效,不需要重啟億恩科技主機。 如果你的終端是通過Modem異步撥號或長線驅(qū)動器異步串口接入UNIX億恩科技主機,你就要考慮設置某終端不成功登錄的次數(shù),超過該次數(shù)后,鎖定此終端。設置方法為:scoadmin→Sysrem→TerminalManager→Examine→選終端,再設置某終端不成功登錄的次數(shù)。如果某終端被鎖定后,可用ttyunlock〈終端號〉進行解鎖。也可用ttylock〈終端號〉直接加鎖。 文件及目錄的權(quán)限管理 有時我們?yōu)榱朔奖闶褂枚鴮⒃S多目錄和文件權(quán)限設為777或666,但是這樣卻為黑客攻擊提供了方便。因此,必須仔細分配應用程序、數(shù)據(jù)和相應目錄的權(quán)限。發(fā)現(xiàn)目錄和文件的權(quán)限不適當,應及時用chmod命令修正。 口令保護的設置 口令一般不要少于8個字符,口令的組成應以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合,絕對避免用英語單詞或詞組等設置口令,而且應該養(yǎng)成定期更換各用戶口令的習慣。通過編輯/etc/default/passwd文件,可以強制設定最小口令長度、兩次口令修改之間的最短、最長時間。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統(tǒng)管理員才能訪問這兩個文件。 本文出自:億恩科技【mszdt.com】 |