有效而合理的策略 UNIX网络安全性之我见

金融系统的业务系统大部分以UNIX/XENIX操作系统为平台，以TCP/IP为网络平台。如何加强UNIX网络系统的安全性管理，笔者以SCO UNIX 3.2V4.2为例，提几点看法，与广大同仁商榷。

这里所说的安全性，主要指通过防止本机或本网被非法侵入、访问，从而达到保护本系统信息可靠、正常运行，本文只在此范围内讨论，对其他方面不予考虑。

一、抓好网内主机的管理，是网络安全管理的前提

用户和密码管理永远是系统安全管理最重要的环节之一，对网络的任何攻击，都不可能没有合法的用户和密码(后台网络应用程序开后门例外)。但目前绝大部分系统管理员只注重对特权用户的管理，而忽视对普通用户的管理。主要表现在设置用户时图省事方便，胡乱设置用户的权限(ID)，组别(GROUP)和文件权限，为非法用户窃取信息和破坏系统留下空隙。

金融系统UNIX的用户都是最终用户，他们只需在具体应用系统中工作，完成某些固定的任务，一般情况下不需执行系统(SHELL)命令。

用户正常登录后，如果按下中断键delete，关掉终端电源，或同时键入“Ctrl""\"，那么用户将进入SHELL(命令)状态。例如，用户可在自己的目录下不断创建子目录而耗尽系统的Ⅰ节点号，或用yes>aa创建一个巨大无比的垃圾文件而耗尽硬盘空间等都可能导致系统的崩溃、瘫痪;如果文件系统的权限设置不严密，就可运行、窥视甚至修改文件系统的权限;还可通过su等命令窃取更高的权限;还可登录到其它主机上去捣乱……令你防不胜防，危险性可想而知。这一切问题都与用户设置有关。所以尽量不要把用户设置成上述形式，如果必须这样，可根据实际需要，看看能否把用户的sh变成受限sh，如rsh等，变成如下形式：

dzhd:x:200:50::/usr/dzhd/obj:/bin/rsh

或如下形式：

dzhd:x:200:50::/usr/dzhd:./main

在main(.profile)首部增加如下一行：

tarp''0 1 2 3 5 15

那么上述一切问题都可以避免。

此外，定期检查/etc/passwd文件，看看是否具有来历不明的用户和用户的权限;定期修改用户密码，特别是uucp、bin等不常用的用户密码，以防有人在此开个活动的天窗——一个可自由进出的用户窗口;删除所有睡眠用户等。

所以笔者认为，合理设置用户是主机管理的关键。

二、设置好自己的网络环境，是阻止非法访问的有效途径

网上访问的常用工具有telnet、ftp、rlogin、rcp、rcmd等网络操作命令，必须加以限制。最简单的方法是修改/etc/services中相应的服务端口号。但这样做会使网外的一切访问都被拒绝，即使合法访问。笔者不提倡这种闭关自守的做法，因为这样使本网和网外不兼容，也会给自己带来不便。通过对UNIX系统的分析，笔者认为有可能做到有条件限制(允许)网上访问。

1)建立/etc/ftpuser文件：不受欢迎的ftp用户表。配置如下：

#用户名

dgxt

dzhd

...

以上都是本机内的一些用户。入侵者即使通过以上用户名和ftp访问本网都会被拒之门外。与之相关的命令是ftp。

2)保密.netre: 远程注册数据文件。包含注册到网络上由ftp作文件转移的远程主机的数据。通常驻留在用户当前目录中，文件权限必须为0600。

3)创建匿名ftp：所谓匿名ftp，其他主机的用户都能以ftp或anyones用户进行数据收发，而不要任何密码。

4)限制.rhosts用户等价文件，又叫受托用户文件，与之有关命令有rlogin、rcp、rcmd等。

所谓用户等价，就是用户不用输入密码，以相同的用户信息登录到另一台主机中。用户等价的文件名为.rhosts，存放在根下或用户主目录下。

5)限制hosts.equiv主机等价文件，又叫受托主机文件。有关的命令为rlogin、rcp、rcmd等。主机等价类似于用户等价，在两台计算机除根目录外的所有区域有效，主机等价文件为hosts.equiv,存放在/etc下。

控制方法如下：

当远程使用ftp访问本系统时，UNIX系统首先验证用户名和密码，无误后查看ftpusers文件，一旦其中包含登录所有用户名则自动拒绝连接，从而达到限制作用。因此，只要把本机内除匿名ftp以外的所有用户列入ftpusers文件中，即使入侵者获得本机内正确的用户信息，本机的大门也无法打开。如需对外发布的信息，放到/usr/ftp/pub下，让远方通过匿名ftp获取。使用匿名ftp，不需密码，不会对本机系统的安全构成威胁，因为它无法改变目录，也就无法获得本机内的其他信息。使用.netrc配置，需注意保密，防止泄露其他相关主机的信息。

使用户等价和主机等价这类访问由于用户不用口令而像其他有效用户一样登录到远程系统，因此具有严重的不安全性，必须严格控制或在非常可靠的环境下使用。远程用户可使用rlogin直接登录而不需密码，还可使用rcp命令向或从本地主机复制文件，也可使用rcmd远程执行本机内的命令等。当用户需频繁登录到另一系统，可有效地增加登录速度，减少运行在远程系统的进程数量，防止网上窃听等。

UNIX系统没有直接提供对telnet的控制。但/ctc/profile是系统默认SHELL变量文件，所有用户登录时必须首先执行它。如果在该文件首部增加几条SHELL命令，非法用户即使获得了合法的用户名和密码，也无法远程使用。系统管理员定时阅读日记文件，注意控制台信息，就能获得被非法访问的情况，及时采取措施。如果用C语言实现上述过程，把接受密码变成不可显示，效果更佳。

三、注意对重要资料的保密

主要包括hosts表、X.25地址、路由、连接Modem的电话号码及所用的通信软件的种类、网内的用户名等，这些资料都应采取一些保密措施，防止随意扩散。如可向电信部门申请，通信专用的电话号码不刊登，不供查询等。由于公共的或普通邮电交换设备的介入，信息通过这些设备后可能被篡改或泄露。

设置合理的路由，可有效防止信息的泄露。

四、注意对重要网络设备的管理

路由器在网络安全计划中是很重要的一环。现在大多数路由器已具备防火墙的一些功能。如禁止telnet的访问，禁止非法的网段访问等。来自网络路由器正确的存取过滤是限制外部访问简单而有效的手段。

有条件的地方还可设置网关，将本网和他网隔离，网关上不存放任何业务数据，删除除了系统正常运行所必须的用户以外的用户，也能增强网络的安全性。

总之，只要从现在做起，培养网络的安全意识，并注意经验的积累和学习，完全可能保证信息系统的安全正常运行。

【编辑推荐】

1. 金融领域UNIX网络系统的安全管理策略
2. 使用NIS和NFS管理UNIX网络
3. unix和windows比较