![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 網絡管理 > 其它 > 正文 |
 |
| 網絡管理員指南 -1.網絡介紹 - 5.維護你的系統 -1)系統安全 |
| 本文出自:http://www.linpus.com.tw 作者: Andrew Anderson (2001-07-09 13:04:00) |
在一個網絡環境下系統管理的另外一個非常重要的方面是保護的的系統和用戶不受侵犯。疏忽的系統管理給不懷好
意者可乘之機:攻擊的范圍從密碼猜測到Ethernet探聽,毀壞包含從假的的郵件信息到數據的丟失或者是對你的用
戶秘密的威脅。我們將討論一些可能進入的內容的特殊的問題,以及一些常用的抵御方法。
本章將討論處理系統安全的例子和基礎技術。當然,題目不能涵蓋所有你可能面對的所有的安全問題。它們只是描
述可能發生的一些問題。因此,閱讀一本有關安全的書籍是非常必要的,特別是在一個網絡系統中。極力推薦
Simon Garfinkel的 ``Practical UNIX Security'' (see [])。
系統的安全來自好的系統管理。這包括所有權的檢查以及所有重要文件和路徑的進入許可。、監特權帳戶的使用
等等。例如,COPS程序將檢查你的文件系統和命令配置文件中不經常使用的許可或者其它的不規則。使用一個有特
定規則的用戶密碼套組使其不容易猜測也是一個聰明的做法。例如影子密碼套組要求一個密碼至少有5個字母,並且
要同時包含上面和下面的數字。
當使一個服務可以應用網絡,確定要給它一個“最小特權,”表示你不允許它代表做你不許可的事情。例如,你只
有在根或者是其它優先的帳戶真正需要的時候才將setuid程序安裝到它們上去。同樣的,如果你只需要使用一個有很
大限制的應用程序,不要猶豫,把它限制在你的特殊應用程序允許的范圍內。例如,如果你想要允許無磁盤主機從你
的機器啟動,你必須提供TFTP(小文件傳送服務)這樣,在使用沒有被限制的時候它們可以從/boot路徑下下載基礎
配置文件。這不是你想要的,為什不限制TFTP服務到/boot路徑呢?
根據同樣的考慮,你可能想要限制特定的服務到用戶使用特定的主機,表達來自你的本地網絡。在章節-,我們將介
紹tcpd,它可以在許多類型的網絡應用中做這個工作。
另外一個重要的點是要避免“危險的”文軟件。當然,任何你所使用的軟件都可能是危險的,因為軟件可能含有錯誤,
它們是聰明的人想要獲得進入你的系統的許可。象這樣的事情發生,並且沒有完全的保護措施。這個問題對免費的軟件
和商業化產品的影響是相同的。然而,那些要求特殊特權的程序本身比其他程序更為危險,因為如何循環漏洞都可以有
嚴重的果。如果你在為網絡目的安裝一個setuid程序,你需要雙北小心,不要漏掉文件中的任何內容,這樣你就不會
節外生枝。
你可以不指定什時候你的警覺失敗,忽略你曾經如何謹慎。這樣,你需要確定你盡早檢查入侵者。檢查一個系統記錄
文件是一個好的開始,但是入侵者可能非常聰明,刪除所有他或者她可能留下的任何明顯的痕跡。然而,象tripwire這
樣的工具可以讓你檢查重要的文件中的內容或者是許可是否被修改過。在續的運行中,checksums被重新計算並與保存
的內容相比較以檢查是否曾被修改。
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
網絡管理員指南 -21.簡單的 smail配置文件 (2001-07-20 11:00:00)
網絡管理員指南 -20.一個PLIP的零打印機電纜 (2001-07-20 10:08:00)
網絡管理員指南 -19.Newsreader配置 (2001-07-20 09:04:00)
網絡管理員指南 -18.NNTP描述 -5>Nntpd與C-News的接口 (2001-07-20 08:10:00)
網絡管理員指南 -18.NNTP描述 -4>NNTP授權 (2001-07-20 07:00:00)
網絡管理員指南 -18.NNTP描述 -3>限定NNTP訪問 (2001-07-19 22:08:00)
網絡管理員指南 -18.NNTP描述 -2>安裝NNTP服務器 (2001-07-19 21:04:00)
網絡管理員指南 -18.NNTP描述 -1>介紹 (2001-07-19 20:10:00)
網絡管理員指南 -17.C-News -9>維護工具可任務 (2001-07-19 19:00:01)
網絡管理員指南 -17.C-News -8>在一個NFS環境下的C-News (2001-07-19 18:08:00)
|
===更多相關=== |
|
|
|
★ 樊強制作 歡迎分享 ★ |