在这次学习SCO Unix操作系统的知识中,我们要了解到管理者所采取的安全措施的力度能直接的关系到一个网络系统的安全程度。我们在对Unix操作系统进行配置的同时,要把安全性问题放在重要的位置。
SCO ,作为一个技术成熟的商用网络,广泛地应用在金融、保险、邮电等行业,其自身内建了丰富的网络功能,具有良好的稳定性和安全性。但是,如果用户没有对Unix操作系统进行正确的设置,就会给入侵者以可乘之机。
因此在管理上,不仅要采用必要的网络安全设备,如:等,还要在操作系统的层面上进行合理规划、配置,避免因管理上的漏洞而给应用系统造成风险。
下面以SCO Unix操作系统 Openserver V5.0.5为例,对操作系统级的网络安全设置提几点看法,供大家参考。
合理设置网段及路由
在Unix操作系统主机中设置TCP/IP协议的IP地址时,应该合理设置子网掩码(netmask),把禁止访问的IP地址隔离开来。严格禁止设置缺省路由(即:default route)。建议为每一个子网或网段设置一个路由,否则其他机器就可能通过一定方式访问该主机。
不设置UUCP
UUCP为采用拨号用户实现网络连接提供了简单、经济的方案,但是同时也为黑客提供了入侵手段,所以必须避免利用这种模式进行网络互联。
删除不用的软件包及协议
在进行系统规划时,总的原则是将不需要的功能一律去掉。如通过scoadmin--〉Soft Manager去掉X Window;通过修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等协议。
正确配置.profile文件
.profile文件提供了Unix操作系统用户登录程序和环境变量,为了防止一般用户采用中断的方法进入$符号状态,系统管理者必须屏蔽掉键盘中断功能。具体方法是在.porfile首部增加如下一行:
创建匿名ftp
如果你需要对外发布信息而又担心数据安全,你可以创建匿名ftp,允许任何用户使用匿名ftp,不需密码访问指定目录下的文件或子目录,不会对本机系统的安全构成威胁,因为它无法改变目录,也就无法获得本机内的其他信息。注意Unix操作系统不要复制/etc/passwd、/etc/proup到匿名ftp的etc下,这样对安全具有潜在的威胁。
应用用户和维护用户分开
金融系统Unix操作系统的用户都是最终用户,他们只需在具体的应用Unix操作系统中完成某些固定的任务,一般情况下不需执行系统命令(shell),其应用程序由.profile调用,应用程序结束后就退到login状态。维护时又要用root级别的su命令进入应用用户,很不方便。可以通过修改.profile 文件,再创建一个相同id用户的方法解决。例:应用用户work有一个相同id相同主目录的用户worksh, 用户work的.profile文件最后为:
这样当用work登录时,执行workmain程序;而用worksh登录时,则进入work的$状态。
在以上的文章中,我们就介绍到完了这些配置安全Unix操作系统的相关知识要点,希望对大家的学习有所帮助。
【编辑推荐】
