对于Unix操作系统来说,受到攻击已经是很经常的事情了,很多人会把Unix操作系统作为攻击的对象,我们在这里为大家讲解关于如何解决攻击的3个工具。下面,我们一起来学习吧。
NFS(Network File System)服务。
此服务允许工作站通过网络系统共享一个或多个服务器输出的文件系统。早期的NFS协议使用RPC(Remote Procedure Call)进行客户机与服务器数据交换,由于用户不经登录就可以阅读或更改存储在NFS服务器上的文件,使得NFS服务器很容易受到攻击。
为了确保基于Unix操作系统的所有NFS服务器均支持Secure RPC,Secure RPC使用DES加密算法和指数密钥交换技术验证每个NFS RPC请求的身份。
当Unix操作系统用户登录到某台工作站时,login程序从NIS(Network Information System)数据库中获得一个包含用户名、用户公钥以及用于用户口令加密的用户私钥三项内容的记录(在Secure RPC4.1以上版本中,私钥被保存在内存中的 Keyserver进程中),而工作站和服务器用自已的私钥和对方的公钥产生一个Session Key。
随后工作站产生一个56位随机Conversation Key,用Session Key加密后传给服务器,登录时均使用Conversation Key进行加密。在数据传输过程中,服务器通过以下推理确认用户身份是否合法。首先用户传送的包是用Conversation Key加密的;其次只有知道用户的私钥才能产生Conversation Key;最后必须知道口令才能解开加密的私钥。
使用NFS还应注意以下几点:尽可能以只读方式输出文件Unix操作系统;只将必须输出的文件系统输出给需要访问的客户,不要输出本机的可执行文件,或仅以只读方式输出;不要输出所有人都可以写的目录;不要输出用户的home目录;将所有需要保护的文件的owner设为root,权限均设为755(或644),这样即使工作站上的root帐号被攻破,NFS服务器上的文件仍能受到保护;可使用fsirand程序,增加制造文件句柄的难度。
NIS (Network Information System)服务。
这是一个分布式数据系统,计算机用它能够通过网络共享passwd文件、group文件、主机表和一些类似的资源。通过NIS和NFS,整个网络系统中所有工作站的操作就好象在使用单个计算机Unix操作系统,而且其中的过程对用户是透明的。
但在NIS系统中,用户可以编写程序模仿ypserv来响应ypbind的请求,从而获取用户的口令。因此,NIS客户最好使用ypbind的secure选项,不接受非特权端口(即端口号小于1024)的ypserv响应。
finger服务。
通常使用finger命令是为了查看本地或远程网络Unix操作系统中当前登录用户的详细信息,但同时也为入侵者提供了成功入侵系统的机会。所以,最好禁止使用finger。
我们在这里就讲解Unix操作系统的这3种服务,希望对大家有所帮助。我们应该建立一整套网络系统安全管理规章和防范措施,经常进行监督检查,使安全管理规章和防范措施落到实处。
【编辑推荐】
