Unix操作系统目前正被广泛应用于银行、电信、保险、证券、铁路等行业,但这些行业一般都不是单机应用,而是使用内部网络进行数据处理,对系统安全性的要求又相当高。
禁止对前置机使用Ftp传输文件
如果Unix操作系统对用户的Ftp权限不做限制,那么用户不仅可以通过Ftp来获得操作系统的重要文件(如/etc/passwd、/etc/hosts等),还可以进一步得到其他重要的数据文件,造成数据的泄露。
笔者单位的前置机上因装有多个应用系统,建立的用户也比较多,所以应对大部分用户的Ftp权限进行限制。具体做法是,创建编辑/etc/ftpusers文件,把不允许使用Ftp功能的用户写到该文件中,每个用户占一行,保存后即时生效,这些用户就不能使用Ftp命令进行连接了。
禁止外来主机远程登录到前置机
笔者单位以前曾经发生过这样的事情,某个信用社的Unix操作系统管理员利用其他途径获得了另外一个信用社前置机的用户密码,于是他就通过自己的主机远程登录到另外那个信用社的计算机上,进行一些非法操作。
虽然没造成严重的后果,但这件事给笔者敲响了警钟,必须严格限制非法登录。笔者首先在/etc/profile文件中case "$0" in -sh | -rsh | -ksh | -rksh下添加限制非授权主机远程登录代码:
- PTTY=who -mx|awk ‘{ printf“%.4s\n”, $2 }
- if [ “$PTTY” =“ttyp” ]
- 130.30.1.100 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log
- 130.30.1.201 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log
- sqls echo “成功 $remote $LOGNAME” /usr/adm/telnet.log
- echo “被杀 $remote”/usr/adm/telnet.log
- echo “\n\t\t你的地址$remote_ip”
以上代码用来记录远程登录到本机的历史,笔者创建的日志文件为/usr/adm/telnet.log,该文件会记录远程用户登录时的用户名、时间、终端号以及IP地址,可以随时查看此文件。然后在所有用户的.profile文件里加入trap0 1 2 3 14 15,屏蔽键盘中断,防止允许远程登录的主机用键盘中断进入Unix操作系统的命令行提示符。
【编辑推荐】
