如何配置安全的SCO UNIX網(wǎng)絡(luò)系統(tǒng)，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

創(chuàng)新互聯(lián)2013年至今，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目網(wǎng)站設(shè)計、網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元昌邑做網(wǎng)站,已為上家服務(wù),為昌邑各地企業(yè)和個人服務(wù),聯(lián)系電話:18982081108

配置安全的SCO UNIX網(wǎng)絡(luò)系統(tǒng)
一個網(wǎng)絡(luò)系統(tǒng)的安全程度，在很大程度上取決于管理者的素質(zhì)，以及管理者所采取的安全措施的力度。在對系統(tǒng)進行配置的同時，要把安全性問題放在重要的位置。
SCO Unix，作為一個技術(shù)成熟的商用網(wǎng)絡(luò)操作系統(tǒng)，廣泛地應(yīng)用在金融、保險、郵電等行業(yè)，其自身內(nèi)建了豐富的網(wǎng)絡(luò)功能，具有良好的穩(wěn)定性和安全性。但是，如果用戶沒有對Unix系統(tǒng)進行正確的設(shè)置，就會給入侵者以可乘之機。因此在網(wǎng)絡(luò)安全管理上，不僅要采用必要的網(wǎng)絡(luò)安全設(shè)備，如：防火墻等，還要在操作系統(tǒng)的層面上進行合理規(guī)劃、配置，避免因管理上的漏洞而給應(yīng)用系統(tǒng)造成風險。
下面以SCO Unix Openserver V5.0.5為例，對操作系統(tǒng)級的網(wǎng)絡(luò)安全設(shè)置提幾點看法，供大家參考。
合理設(shè)置系統(tǒng)安全級別
SCO Unix提供了四個安全級別，分別是Low、Traditional、Improved和High級，系統(tǒng)缺省為Traditional級；Improved級達到美國國防部的C2級安全標準；High級則高于C2級。用戶可以根據(jù)自己系統(tǒng)的重要性及客戶數(shù)的多少，設(shè)置適合自己需要的系統(tǒng)安全級別，具體設(shè)置步驟是：scoadmin→system→security→security profile manager。
合理設(shè)置用戶
建立用戶時，一定要考慮該用戶屬于哪一組，不能隨便選用系統(tǒng)缺省的group組。如果需要，可以新增一個用戶組并確定同組成員，在該用戶的主目錄下，新建文件的存取權(quán)限是由該用戶的配置文件.profile中的umask的值決定。umask的值取決于系統(tǒng)安全級, Tradition安全級的umask的值為022，它的權(quán)限類型如下：
文件權(quán)限: - r w - r - - r - -
目錄權(quán)限: d r w x r - x r - x
此外，還要限制用戶不成功登錄的次數(shù)，避免入侵者用猜測用戶口令的方法嘗試登錄。為賬戶設(shè)置登錄限制的步驟是：Scoadmin--〉A(chǔ)ccount Manager--〉選賬戶--〉User--〉Login Controls--〉添入新的不成功登錄的次數(shù)。
指定主控臺及終端登錄的限制
如果你希望root用戶只能在某一個終端（或虛屏）上登錄，那么就要對主控臺進行指定，例如：指定root用戶只能在主機第一屏tty01上登錄，這樣可避免從網(wǎng)絡(luò)遠程攻擊超級用戶root。設(shè)置方法是在/etc/default/login文件增加一行：CONSOLE=/dev/tty01。
注意：設(shè)置主控臺時，在主機運行中設(shè)置后就生效，不需要重啟主機。
如果你的終端是通過Modem異步撥號或長線驅(qū)動器異步串口接入Unix主機，你就要考慮設(shè)置某終端不成功登錄的次數(shù),超過該次數(shù)后，鎖定此終端。設(shè)置方法為：scoadmin→Sysrem→Terminal Manager→Examine→選終端，再設(shè)置某終端不成功登錄的次數(shù)。如果某終端被鎖定后，可用ttyunlock〈終端號〉進行解鎖。也可用ttylock〈終端號〉直接加鎖。
文件及目錄的權(quán)限管理
有時我們?yōu)榱朔奖闶褂枚鴮⒃S多目錄和文件權(quán)限設(shè)為777或666，但是這樣卻為黑客攻擊提供了方便。因此，必須仔細分配應(yīng)用程序、數(shù)據(jù)和相應(yīng)目錄的權(quán)限。發(fā)現(xiàn)目錄和文件的權(quán)限不適當，應(yīng)及時用chmod命令修正。
口令保護的設(shè)置
口令一般不要少于8個字符，口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合，絕對避免用英語單詞或詞組等設(shè)置口令，而且應(yīng)該養(yǎng)成定期更換各用戶口令的習慣。通過編輯/etc/default/passwd文件，可以強制設(shè)定最小口令長度、兩次口令修改之間的最短、最長時間。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統(tǒng)管理員才能訪問這兩個文件。
合理設(shè)置等價主機
設(shè)置等價主機可以方便用戶操作，但要嚴防未經(jīng)授權(quán)非法進入系統(tǒng)。所以必須要管理/etc/hosts.equiv、.rhosts和.netrc這3個文件。其中，/etc /hosts.equiv列出了允許執(zhí)行rsh、rcp等遠程命令的主機名字；.rhosts在用戶目錄內(nèi)指定了遠程用戶的名字，其遠程用戶使用本地用戶賬戶執(zhí)行rcp、rlogin和rsh等命令時不必提供口令；.netrc提供了ftp和rexec命令所需的信息，可自動連接主機而不必提供口令，該文件也放在用戶本地目錄中。由于這3個文件的設(shè)置都允許一些命令不必提供口令便可訪問主機，因此必須嚴格限制這3個文件的設(shè)置。在.rhosts中盡量不用“+ +”，因為它可以使任何主機的用戶不必提供口令而直接執(zhí)行rcp、rlogin和rsh等命令。
合理配置/etc/inetd.conf文件
Unix系統(tǒng)啟動時運行inetd進程，對大部分網(wǎng)絡(luò)連接進行監(jiān)聽，并且根據(jù)不同的申請啟動相應(yīng)進程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd來啟動對應(yīng)的服務(wù)進程。因此，從系統(tǒng)安全角度出發(fā)，我們應(yīng)該合理地設(shè)置/etc/inetd.conf文件，將不必要的服務(wù)關(guān)閉。關(guān)閉的方法是在文件相應(yīng)行首插入“#”字符，并執(zhí)行下列命令以使配置后的命令立即生效。
#ps-ef │ grep inetd │ grep -v grep
#kill -HUP 〈 inetd-PID 〉
合理設(shè)置/etc/ftpusers文件
在/etc/ftpuser文件里列出了可用FTP協(xié)議進行文件傳輸?shù)挠脩簦瑸榱朔乐共恍湃斡脩魝鬏斆舾形募?，必須合理?guī)劃該文件。在對安全要求較高的系統(tǒng)中，不允許ftp訪問root和UUCP，可將root和UUCP列入/etc/ftpusers中。
合理設(shè)置網(wǎng)段及路由
在主機中設(shè)置TCP/IP協(xié)議的IP地址時，應(yīng)該合理設(shè)置子網(wǎng)掩碼（netmask），把禁止訪問的IP地址隔離開來。嚴格禁止設(shè)置缺省路由（即：default route）。建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由，否則其他機器就可能通過一定方式訪問該主機。
不設(shè)置UUCP
UUCP為采用撥號用戶實現(xiàn)網(wǎng)絡(luò)連接提供了簡單、經(jīng)濟的方案，但是同時也為黑客提供了入侵手段，所以必須避免利用這種模式進行網(wǎng)絡(luò)互聯(lián)。
刪除不用的軟件包及協(xié)議
在進行系統(tǒng)規(guī)劃時，總的原則是將不需要的功能一律去掉。如通過scoadmin--〉Soft Manager去掉X Window；通過修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等協(xié)議。
正確配置.profile文件
.profile文件提供了用戶登錄程序和環(huán)境變量，為了防止一般用戶采用中斷的方法進入$符號狀態(tài)，系統(tǒng)管理者必須屏蔽掉鍵盤中斷功能。具體方法是在.porfile首部增加如下一行：
trap ' ' 0 1 2 3 5 15
創(chuàng)建匿名ftp
如果你需要對外發(fā)布信息而又擔心數(shù)據(jù)安全，你可以創(chuàng)建匿名ftp，允許任何用戶使用匿名ftp，不需密碼訪問指定目錄下的文件或子目錄，不會對本機系統(tǒng)的安全構(gòu)成威脅，因為它無法改變目錄，也就無法獲得本機內(nèi)的其他信息。注意不要復制/etc/passwd、/etc/proup到匿名ftp的etc下，這樣對安全具有潛在的威脅。
應(yīng)用用戶和維護用戶分開
金融系統(tǒng)Unix的用戶都是最終用戶，他們只需在具體的應(yīng)用系統(tǒng)中完成某些固定的任務(wù)，一般情況下不需執(zhí)行系統(tǒng)命令（shell），其應(yīng)用程序由.profile調(diào)用，應(yīng)用程序結(jié)束后就退到login狀態(tài)。維護時又要用root級別的su命令進入應(yīng)用用戶，很不方便?？梢酝ㄟ^修改.profile 文件，再創(chuàng)建一個相同id用戶的方法解決。例：應(yīng)用用戶work有一個相同id相同主目錄的用戶worksh, 用戶work的.profile文件最后為：
set -- `who am i`
case $1 in
work  exec workmain；exit；；
worksh  break；；
esac
這樣當用work登錄時，執(zhí)行workmain程序；而用worksh登錄時，則進入work的$狀態(tài)。

看完上述內(nèi)容，你們掌握如何配置安全的SCO UNIX網(wǎng)絡(luò)系統(tǒng)的方法了嗎？如果還想學到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)頁題目：如何配置安全的SCOUNIX網(wǎng)絡(luò)系統(tǒng)
網(wǎng)站網(wǎng)址：http://www.rwnh.cn/article46/jeeseg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、外貿(mào)網(wǎng)站建設(shè)、、網(wǎng)站設(shè)計公司、App開發(fā)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)