關(guān)于Unix操作系統(tǒng)中網(wǎng)絡(luò)注意事項
Unix操作系統(tǒng)目前正被廣泛應(yīng)用于銀行、電信、保險、證券、鐵路等行業(yè),但這些行業(yè)一般都不是單機應(yīng)用,而是使用內(nèi)部網(wǎng)絡(luò)進行數(shù)據(jù)處理,對系統(tǒng)安全性的要求又相當(dāng)高。
禁止對前置機使用Ftp傳輸文件
如果Unix操作系統(tǒng)對用戶的Ftp權(quán)限不做限制,那么用戶不僅可以通過Ftp來獲得操作系統(tǒng)的重要文件(如/etc/passwd、/etc/hosts等),還可以進一步得到其他重要的數(shù)據(jù)文件,造成數(shù)據(jù)的泄露。
筆者單位的前置機上因裝有多個應(yīng)用系統(tǒng),建立的用戶也比較多,所以應(yīng)對大部分用戶的Ftp權(quán)限進行限制。具體做法是,創(chuàng)建編輯/etc/ftpusers文件,把不允許使用Ftp功能的用戶寫到該文件中,每個用戶占一行,保存后即時生效,這些用戶就不能使用Ftp命令進行連接了。
禁止外來主機遠程登錄到前置機
筆者單位以前曾經(jīng)發(fā)生過這樣的事情,某個信用社的Unix操作系統(tǒng)管理員利用其他途徑獲得了另外一個信用社前置機的用戶密碼,于是他就通過自己的主機遠程登錄到另外那個信用社的計算機上,進行一些非法操作。
雖然沒造成嚴(yán)重的后果,但這件事給筆者敲響了警鐘,必須嚴(yán)格限制非法登錄。筆者首先在/etc/profile文件中case "$0" in -sh | -rsh | -ksh | -rksh下添加限制非授權(quán)主機遠程登錄代碼:
- PTTY=who -mx|awk ‘{ printf“%.4s\n”, $2 }
- if [ “$PTTY” =“ttyp” ]
- 130.30.1.100 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log
- 130.30.1.201 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log
- sqls echo “成功 $remote $LOGNAME” /usr/adm/telnet.log
- echo “被殺 $remote”/usr/adm/telnet.log
- echo “\n\t\t你的地址$remote_ip”
以上代碼用來記錄遠程登錄到本機的歷史,筆者創(chuàng)建的日志文件為/usr/adm/telnet.log,該文件會記錄遠程用戶登錄時的用戶名、時間、終端號以及IP地址,可以隨時查看此文件。然后在所有用戶的.profile文件里加入trap0 1 2 3 14 15,屏蔽鍵盤中斷,防止允許遠程登錄的主機用鍵盤中斷進入Unix操作系統(tǒng)的命令行提示符。
【編輯推薦】
