黑色海岸线论坛 - Powered by Discuz! Board

标题: 配置安全的SCO UNIX网络系统(4) [打印本页]

作者: 漫天樱舞 时间: 2005-8-17 21:48 标题: 配置安全的SCO UNIX网络系统(4)

不设置UUCP
　　UUCP为采用拨号用户实现网络连接提供了简单、经济的方案，但是同时也为黑客提供了入侵手段，所以必须避免利用这种模式进行网络互联。
　　删除不用的软件包及协议
　　在进行系统规划时，总的原则是将不需要的功能一律去掉。如通过scoadmin--〉Soft Manager去掉X Window；通过修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等协议。
　　正确配置.profile文件
　　.profile文件提供了用户登录程序和环境变量，为了防止一般用户采用中断的方法进入$符号状态，系统管理者必须屏蔽掉键盘中断功能。具体方法是在.porfile首部增加如下一行：
　　trap '; '; 0 1 2 3 5 15
　　创建匿名ftp
　　如果你需要对外发布信息而又担心数据安全，你可以创建匿名ftp，允许任何用户使用匿名ftp，不需密码访问指定目录下的文件或子目录，不会对本机系统的安全构成威胁，因为它无法改变目录，也就无法获得本机内的其他信息。注意不要复制/etc/passwd、/etc/proup到匿名ftp的etc下，这样对安全具有潜在的威胁。
　　应用用户和维护用户分开
　　金融系统UNIX的用户都是最终用户，他们只需在具体的应用系统中完成某些固定的任务，一般情况下不需执行系统命令（shell），其应用程序由.profile调用，应用程序结束后就退到login状态。维护时又要用root级别的su命令进入应用用户，很不方便。可以通过修改.profile 文件，再创建一个相同id用户的方法解决。例：应用用户work有一个相同id相同主目录的用户worksh, 用户work的.profile文件最后为：
　　set -- `who am i`
　　case $1 in
　　work exec workmain；exit；；
　　worksh break；；
　　esac
　　这样当用work登录时，执行workmain程序；而用worksh登录时，则进入work的$状态。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)