|
由于SCOUNIX操作系統(tǒng)的開放性,網(wǎng)絡系統(tǒng)的共享性��,數(shù)據(jù)庫的通用性等因素�,UNIX操作系統(tǒng)數(shù)據(jù)信息的安全(服務器租用找:51033397)問題顯得越來越為突出,特別是終端端口的安全(服務器租用找:51033397)管理工作是目前信息系統(tǒng)安全(服務器租用找:51033397)的重要環(huán)節(jié)���。由于操作系統(tǒng)本身的缺陷����,加上營業(yè)網(wǎng)點的分散性等因素,留下遠程終端包括DDN專線和MODEM的撥號端口以及對外服務終端無法特別監(jiān)管的隱患���,給非法進入者提供了方便之門�����,因此必須設(shè)法加強對UNIX操作系統(tǒng)的端口安全(服務器租用找:51033397)管理���,增加端口口令和限制登錄端口的用戶及工作時間等。
工作原理:
操作系統(tǒng)用戶注冊登錄的全過程為:用戶打開終端在login:后輸入用戶名和在passwd:后輸入口令字��,操作系統(tǒng)接收用戶名和口令字后與/etc/passwd和/etc/shadow文件進行合法性檢查���,對照注冊名UID碼��、GID碼(表示用戶組)��、GCOS域(用戶個人信息)���、注冊目錄、注冊shell(一般為/bin/sh即Baurneshell)�����,然后讀取終端端口的有關(guān)信息,查找/etc/dialups文件����、/etc/d_passwd文件,最后啟動/etc/profile和用戶根目錄下的.profile文件(若是c_shell�,則執(zhí)行/etc/csh.login和用戶根目錄下的.login和.cshrc�;若是kornshell,則會執(zhí)行環(huán)境變量ENV所定義的文件)配置用戶環(huán)境變量����,查找提示該用戶的mail信息。
縱觀以上過程分析����,我們可以簡單地在/etc/dialups文件中加入終端端口設(shè)備號,在/etc/d_passwd文件中加入口令字�����,以限制非法登錄��,這是其一�����;我們還可以修改/etc/profile文件,從中增加一段程序�����,使之能與我們預先設(shè)定的有關(guān)用戶�、端口、工作時間等一些信息的文件進行比較����,判斷當前注冊用戶的登錄端口、日期和時間是否在我們允許的范圍內(nèi)���,否則不允許注冊登錄���。之所以修改文件/etc/profile而沒有使用文件$home/.profile,是因為使用文件/etc/profile更便于大范圍的控制和處理���,這是其二���;另外,操作系統(tǒng)在對合法用戶注冊登錄處理的最后部分是根據(jù)該用戶根目錄下的$HOME/.profile����,設(shè)置用戶環(huán)境變量���、終端信息,我們可以在$HOME/.profile加入該用戶業(yè)務處理程序的起動命令并使之退出注冊登錄狀態(tài)�����,以減少在該用戶根目錄下使用/bin/sh命令的機會����,確保用戶根目錄下文件的安全(服務器租用找:51033397)���。
基于以上原理��,我們得出了三個有效地加強對終端端口限制管理的辦法:
1���、增加端口口令,限制遠程登錄
遠程登錄包括通過MODEM撥號�、DDN專線訪問億恩科技服務器和通過終端億恩科技服務器、集線器等登錄到系統(tǒng)��。以MODEM和DDN專線訪問億恩科技服務器的端口號為/dev/tty1A和/dev/ttya?�����,其中?為0����、1、2……等���;通過終端億恩科技服務器��、路由器和集線器訪問億恩科技服務器的端口號為/dev/ttyp�����?�,其中�����?為0���、1����、2……等。此時使用的是偽tty設(shè)備文件���,通常登錄的端口是不固定的�。因此�����,必須先執(zhí)行固定通信億恩科技服務器端口設(shè)置程序�,此程序由通信億恩科技服務器生產(chǎn)廠家隨產(chǎn)品一起提供。通過在這些設(shè)備端口上增加撥入口令�����,限制遠程登錄�。
2�、限定用戶在指定的端口和規(guī)定的時間內(nèi)登錄
當用戶注冊登錄到unix操作系統(tǒng)時,必須執(zhí)行系統(tǒng)文件/etc/profile���,我們對這一文件進行修改����,讓系統(tǒng)去讀取用戶名�、端口名��、每周工作日期���、每天上班時間、每天下班時間����。然后依此文件審查用戶注冊登錄的合法性,端口名不在此文件中不受限制�,端口名在此文件中但用戶名不正確不許登錄,用戶名和端口名皆正確但工作時間不在規(guī)定范圍內(nèi)不許登錄�。
3、用戶注冊登錄時立即運行業(yè)務處理程序����,退出業(yè)務處理程序時也退出/bin/sh。
用戶注冊登錄時系統(tǒng)訪問了用戶根目錄下面的$home/.profile���,為了使用戶合法注冊登錄后即進入運行業(yè)務處理程序��,處理完成退出業(yè)務處理程序同時退出注冊登錄狀態(tài)�����,我們可以對$home/.profile進行修改使用戶退出業(yè)務處理程序時��,退至login:狀態(tài)��。
以上三種方法以三種途徑加強了UNIX操作系統(tǒng)端口設(shè)備的安全(服務器租用找:51033397)管理���,可以分開使用��,也可以合并使用���,該方法在我公司SCOUNIX5.04操作系統(tǒng)上試用正常,達到對一些遠程登錄端口和公眾場合端口限制管理的目的�����,進一步有效地阻止了非法用戶的登錄�。
本文出自:億恩科技【1tcdy.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
