3)创建匿名ftp:所谓匿名ftp,其他主机的用户都能以ftp或anyones用户进行数据收发,而不要任何密码。
4)限制.rhosts用户等价文件,又叫受托用户文件,与之有关命令有rlogin、rcp、rcmd等。
所谓用户等价,就是用户不用输入密码,以相同的用户信息登录到另一台主机中。用户等价的文件名为.rhosts,存放在根下或用户主目录下。
5)限制hosts.equiv主机等价文件,又叫受托主机文件。有关的命令为rlogin、rcp、rcmd等。主机等价类似于用户等价,在两台计算机除根目录外的所有区域有效,主机等价文件为hosts.equiv,存放在/etc下。
控制方法如下:
当远程使用ftp访问本系统时,UNIX系统首先验证用户名和密码,无误后查看ftpusers文件,一旦其中包含登录所有用户名则自动拒绝连接,从而达到限制作用。因此,只要把本机内除匿名ftp以外的所有用户列入ftpusers文件中,即使入侵者获得本机内正确的用户信息,本机的大门也无法打开。如需对外发布的信息,放到/usr/ftp/pub下,让远方通过匿名ftp获取。使用匿名ftp,不需密码,不会对本机系统的安全构成威胁,因为它无法改变目录,也就无法获得本机内的其他信息。使用.netrc配置,需注意保密,防止泄露其他相关主机的信息。
使用户等价和主机等价这类访问由于用户不用口令而像其他有效用户一样登录到远程系统,因此具有严重的不安全性,必须严格控制或在非常可靠的环境下使用。远程用户可使用rlogin直接登录而不需密码,还可使用rcp命令向或从本地主机复制文件,也可使用rcmd远程执行本机内的命令等。当用户需频繁登录到另一系统,可有效地增加登录速度,减少运行在远程系统的进程数量,防止网上窃听等。
UNIX系统没有直接提供对telnet的控制。但/ctc/profile是系统默认SHELL变量文件,所有用户登录时必须首先执行它。如果在该文件首部增加几条SHELL命令,非法用户即使获得了合法的用户名和密码,也无法远程使用。系统管理员定时阅读日记文件,注意控制台信息,就能获得被非法访问的情况,及时采取措施。如果用C语言实现上述过程,把接受密码变成不可显示,效果更佳。
三、注意对重要资料的保密
主要包括hosts表、X.25地址、路由、连接Modem的电话号码及所用的通信软件的种类、网内的用户名等,这些资料都应采取一些保密措施,防止随意扩散。如可向电信部门申请,通信专用的电话号码不刊登,不供查询等。由于公共的或普通邮电交换设备的介入,信息通过这些设备后可能被篡改或泄露。
设置合理的路由,可有效防止信息的泄露。
四、注意对重要网络设备的管理
路由器在网络安全计划中是很重要的一环。现在大多数路由器已具备防火墙的一些功能。如禁止telnet的访问,禁止非法的网段访问等。来自网络路由器正确的存取过滤是限制外部访问简单而有效的手段。
有条件的地方还可设置网关,将本网和他网隔离,网关上不存放任何业务数据,删除除了系统正常运行所必须的用户以外的用户,也能增强网络的安全性。
总之,只要从现在做起,培养网络的安全意识,并注意经验的积累和学习,完全可能保证信息系统的安全正常运行。