金融系统的业务系统大部分以UNIX/XENIX操作系统为平台,以TCP/IP为网络平台。如何加强UNIX网络系统的安全性管理,笔者以SCO UNIX 3.2V4.2为例,提几点看法,与广大同仁商榷。
这里所说的安全性,主要指通过防止本机或本网被非法侵入、访问,从而达到保护本系统信息可靠、正常运行,本文只在此范围内讨论,对其他方面不予考虑。
一、抓好网内主机的管理,是网络安全管理的前提
用户和密码管理永远是系统安全管理最重要的环节之一,对网络的任何攻击,都不可能没有合法的用户和密码(后台网络应用程序开后门例外)。但目前绝大部分系统管理员只注重对特权用户的管理,而忽视对普通用户的管理。主要表现在设置用户时图省事方便,胡乱设置用户的权限(ID),组别(GROUP)和文件权限,为非法用户窃取信息和破坏系统留下空隙。
金融系统UNIX的用户都是最终用户,他们只需在具体应用系统中工作,完成某些固定的任务,一般情况下不需执行系统(SHELL)命令。
用户正常登录后,如果按下中断键delete,关掉终端电源,或同时键入“Ctrl""\",那么用户将进入SHELL(命令)状态。例如,用户可在自己的目录下不断创建子目录而耗尽系统的Ⅰ节点号,或用yes>aa创建一个巨大无比的垃圾文件而耗尽硬盘空间等都可能导致系统的崩溃、瘫痪;如果文件系统的权限设置不严密,就可运行、窥视甚至修改文件系统的权限;还可通过su等命令窃取更高的权限;还可登录到其它主机上去捣乱……令你防不胜防,危险性可想而知。这一切问题都与用户设置有关。所以尽量不要把用户设置成上述形式,如果必须这样,可根据实际需要,看看能否把用户的sh变成受限sh,如rsh等,变成如下形式:
dzhd:x:200:50::/usr/dzhd/obj:/bin/rsh
或如下形式:
dzhd:x:200:50::/usr/dzhd:./main
在main(.profile)首部增加如下一行:
tarp''0 1 2 3 5 15
那么上述一切问题都可以避免。
此外,定期检查/etc/passwd文件,看看是否具有来历不明的用户和用户的权限;定期修改用户密码,特别是uucp、bin等不常用的用户密码,以防有人在此开个活动的天窗——一个可自由进出的用户窗口;删除所有睡眠用户等。
所以笔者认为,合理设置用户是主机管理的关键。
二、设置好自己的网络环境,是阻止非法访问的有效途径
网上访问的常用工具有telnet、ftp、rlogin、rcp、rcmd等网络操作命令,必须加以限制。最简单的方法是修改/etc/services中相应的服务端口号。但这样做会使网外的一切访问都被拒绝,即使合法访问。笔者不提倡这种闭关自守的做法,因为这样使本网和网外不兼容,也会给自己带来不便。通过对UNIX系统的分析,笔者认为有可能做到有条件限制(允许)网上访问。
1)建立/etc/ftpuser文件:不受欢迎的ftp用户表。配置如下:
#用户名
dgxt
dzhd
...
以上都是本机内的一些用户。入侵者即使通过以上用户名和ftp访问本网都会被拒之门外。与之相关的命令是ftp。
2)保密.netre: 远程注册数据文件。包含注册到网络上由ftp作文件转移的远程主机的数据。通常驻留在用户当前目录中,文件权限必须为0600。