Unix操作系統目前正被廣泛應用於銀行、電信、保險、證券、鐵路等行業,但這些行業一般都不是單機應用,而是使用內部網絡進行數據處理,對系統安全性的要求又相當高。
禁止對前置機使用Ftp傳輸文件
如果Unix操作系統對用戶的Ftp權限不做限制,那麼用戶不僅可以通過Ftp來獲得操作系統的重要文件(如/etc/passwd、/etc/hosts等),還可以進一步得到其他重要的數據文件,造成數據的洩露。
筆者單位的前置機上因裝有多個應用系統,建立的用戶也比較多,所以應對大部分用戶的Ftp權限進行限制。具體做法是,創建編輯/etc/ftpusers文件,把不允許使用Ftp功能的用戶寫到該文件中,每個用戶占一行,保存後即時生效,這些用戶就不能使用Ftp命令進行連接了。
禁止外來主機遠程登錄到前置機
筆者單位以前曾經發生過這樣的事情,某個信用社的Unix操作系統管理員利用其他途徑獲得了另外一個信用社前置機的用戶密碼,於是他就通過自己的主機遠程登錄到另外那個信用社的計算機上,進行一些非法操作。
雖然沒造成嚴重的後果,但這件事給筆者敲響了警鐘,必須嚴格限制非法登錄。筆者首先在/etc/profile文件中case "$0" in -sh | -rsh | -ksh | -rksh下添加限制非授權主機遠程登錄代碼:
- PTTY=who -mx|awk ‘{ printf“%.4s\n”, $2 }
- if [ “$PTTY” =“ttyp” ]
- 130.30.1.100 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log
- 130.30.1.201 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log
- sqls echo “成功 $remote $LOGNAME” /usr/adm/telnet.log
- echo “被殺 $remote”/usr/adm/telnet.log
- echo “\n\t\t你的地址$remote_ip”
以上代碼用來記錄遠程登錄到本機的歷史,筆者創建的日志文件為/usr/adm/telnet.log,該文件會記錄遠程用戶登錄時的用戶名、時間、終端號以及IP地址,可以隨時查看此文件。然後在所有用戶的.profile文件裡加入trap0 1 2 3 14 15,屏蔽鍵盤中斷,防止允許遠程登錄的主機用鍵盤中斷進入Unix操作系統的命令行提示符。
