本文從用戶角度討論UNIX系統安全,闡述口令,文件保護,目錄保護,與用戶程序有關的某些特殊特性和使用crypt命令加密,並給出一些重要的安全忠告, 以幫 助用戶保護自己的戶頭安全.
1.口令安全
UNIX系統中的/etc/passwd文件含有全部系統需要知道的關於每個用戶的信息(加密後的口令也可能存於/etc/shadow文件中).
/etc/passwd中包含有用戶的登錄名,經過加密的口令,用戶號,用戶組號,用戶注釋,用戶主目錄和用戶所用的shell程序.其中用戶號(UID)和用戶組號(GID) 用於UNIX系統唯一地標識用戶和同組用戶及用戶的訪 問權限.
/etc/passwd中存放的加密的口令用於用戶登錄時輸入的口令經計算後相比較,符合則允許登錄,否則拒絕用戶登錄.用戶可用passwd命令修改自己的口令, 不 能直接修改/etc/passwd中的口令部份.
一個好的口令應當至少有6個字符長,不要取用個人信息(如生日,名字,反向拼寫的登錄名,房間中可見的東西),普通的英語單詞也不好(因為可用字典攻擊法),口令中最好有一些非字母(如數字,標點符號,控制字符等),還要好記一些, 不能寫在紙上或計算機中的文件中,選擇口令的一個好方法是將兩個不相關的詞用一個數字或控制字符相連,並截斷為8個字符.當然,如果你能記住8位亂碼自然更好.
不應使用同一個口令在不同機器中使用,特別是在不同級別的用戶上使用同一口令,會引起全盤崩潰.用戶應定期改變口令,至少6個月要改變一次,系統管理員可以強制用戶定期做口令修改.
為防止眼明手快的人竊取口令,在輸入口令時應確認無人在身邊.
2.文件許可權
文件屬性決定了文件的被訪問權限,即誰能存取或執行該文件.用ls -l可以列出詳細的文件信息,如:
-rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin 包括了文件許可,文件聯結數,文件所有者名,文件相關組名,文件長度,上次存取日期和文件名.
其中文件許可分為四部分:
-:表示文件類型.
第一個rwx:表示文件屬主的訪問權限.
第二個rwx:表示文件同組用戶的訪問權限.
第三個rwx:表示其他用戶的訪問權限.
若某種許可被限制則相應的字母換為-.
在許可權限的執行許可位置上,可能是其它字母,s,S,t,T.s和S可出現在所有者和同組用戶許可模式位置上,與特殊的許可有關,後面將要討論,t和T可出現在其他用戶的許可模式位置上,與"粘貼位"有關而與安全無關.小寫字母(x,s,t) 表示執行許可為允許,負號或大寫字母(-,S或T)表示執行許可為不允許.
改變許可方式可使用chmod命令,並以新許可方式和該文件名為參數.新許可方式以3位8進制數給出,r為4,w為2,x為1.如rwxr-xr--為754.
chmod也有其它方式的參數可直接對某組參數修改,在此不再多說,詳見UNIX 系統的聯機手冊.
文件許可權可用於防止偶然性地重寫或刪除一個重要文件(即使是屬主自己)!
改變文件的屬主和組名可用chown和chgrp,但修改後原屬主和組員就無法修改回來了.
3.目錄許可
在UNIX系統中,目錄也是一個文件,用ls -l列出時,目錄文件的屬性前面帶一個d,目錄許可也類似於文件許可,用ls列目錄要有讀許可,在目錄中增刪文件要有寫許可,進入目錄或將該目錄作路徑分量時要有執行許可,故要使用任一個文件,必須有該文件及找到該文件的路徑上所有目錄分量的相應許可.僅當要打開一個文件時,文件的許可才開始起作用,而rm,mv只要有目錄的搜索和寫許可, 不需文件的許可,這一點應注意.
4.umask命令
umask設置用戶文件和目錄的文件創建缺省屏蔽值,若將此命令放入 .profile文件,就可控制該用戶後續所建文件的存取許可.umask命令與chmod命令的作用正好相反,它告訴系統在創建文件時不給予什麼存取許可.
5.設置用戶ID和同組用戶ID許可
用戶ID許可(SUID)設置和同組用戶ID許可(SGID)可給予可執行的目標文件 (只有可執行文件才有意義)當一個進程執行時就被賦於4個編號,以標識該進程隸屬於誰,分別為實際和有效的UID,實際和有效的GID.有效的UID和GID一般和實際的UID和GID相同,有效的UID和GID用於系統確定該進程對於文件的存取許可. 而設置可執行文件的SUID許可將改變上述情況,當設置了SUID時,進程的有效UID 為該可執行文件的所有者的有效UID,而不是執行該程序的用戶的有效UID,因此, 由該程序創建的都有與該程序所有者相同的存取許可.這樣,程序的所有者將可通過程序的控制在有限的范圍內向用戶發表不允許被公眾訪問的信息.
同樣,SGID是設置有效GID.
用chmod u+s 文件名和chmod u-s文件名來設置和取消SUID設置.用 chmod g+s 文件名和chmod g-s文件名來設置和取消SGID設置.
當文件設置了SUID和SGID後,chown和chgrp命令將全部取消這些許可.
(11)斷開與系統的聯接
用戶應在看到系統確認用戶登錄注銷後再離開以免在用戶未注銷時由他人 潛入.
(12)cu命令
該命令使用戶能從一個UNIX系統登錄到另一個UNIX系統,此時,在遠地系統 中注銷用戶後還必須輸入"~"後回車,以斷開cu和遠地系統的聯接. cu還有兩個安全問題:
*如本機安全性弱於遠地機,不提倡用cu去登錄遠地機,以免由於本地機的 不安全而影響較安全的遠地機.
*由於cu的老版本處理"~"的方法不完善,從安全性強的系統調用安全性弱 的系統時,會使弱系統的用戶使用強系統用戶的cu傳送強系統的 /etc/passwd文件,除非確信正在使用的cu是正確版本,否則不要調用弱系 統.
10.保持戶頭安全的要點
(1)保持口令的安全
*不要將口令寫下來.
*不要將口令存於終端功能鍵或MODEM的字符串存儲器中.
*不要選取顯而易見的信息作口令.
*不要讓別人知道.
*不要交替使用兩個口令.
*不要在不同系統上使用同一口令.
*不要讓人看見自己在輸入口令.
(2)不要讓自己的文件或目錄可被他人寫.
*如果不信任本組用戶,umask設置為022.
*確保自己的.profile除自己外對他人都不可讀寫.
*暫存目錄最好不用於存放重要文件.
*確保HOME目錄對任何人不可寫.
*uucp傳輸的文件應加密,並盡快私人化.
(3)若不想要其他用戶讀自己的文件或目錄,就要使自己的文件和目錄不允許 任何人讀.
*umask設置為006/007.
*若不允許同組用戶存取自己的文件和目錄,umask設置為077.
*暫存文件按當前umask設置,存放重要數據到暫存文件的程序,就被寫成能 確保暫存文件對其他用戶不可讀.
*確保HOME目錄對每個用戶不可讀.
(4)不要寫SUID/SGID程序.
(5)小心地拷貝和移文件.
*cp拷貝文件時,記住目的文件的許可方式將和文件相同,包括SUID/SGID許 可在內,如目的文件已存在,則目的文件的存取許可和所有者均不變.
*mv移文件時,記住目的文件的許可方式將和文件相同,包括SUID/SGID許可 在內,若在同一文件系統內移文件,目的文件的所有者和小組都不變,否 則,目的文件的所有者和小組將設置成本用戶的有效UID和GID.
*小心使用cpio命令,它能復蓋不在本用戶當前目錄結構中的文件,可用t選 項首先列出要被拷貝的文件.
(6)刪除一個SUID/SGID程序時,先檢查該程序的鏈接數,如有多個鏈,則將存取 許可方式改為000,然後再刪除該程序,或先寫空該程序再刪除,也可將該程 序的i結點號給系統管理員去查找其他鏈.
(7)用crypt加密不願讓任何用戶(包括超級用戶)看的文件.
*不要將關鍵詞做為命令變量.
*用ed -x或vi -x編輯加密文件.
(8)除了信任的用戶外,不要運行其他用戶的程序.
(9)在自己的PATH中,將系統目錄放在前面.
(10)不要離開自己登錄的終端.
(11)若有智能終端,當心來自其他用戶,包括write命令,mail命令和其他用戶 文件的信息中有換碼序列.
(12)用CTRL+D或exit退出後,在斷開與系統的聯接前等待看到login:提示.
(13)注意cu版本.
*不要用cu調用安全性更強的系統.
*除非確信cu不會被誘騙去發送文件,否則不要用cu調用安全性較弱的系統.
