對於Unix操作系統來說,受到攻擊已經是很經常的事情了,很多人會把Unix操作系統作為攻擊的對象,我們在這裡為大家講解關於如何解決攻擊的3個工具。下面,我們一起來學習吧。
NFS(Network File System)服務。
此服務允許工作站通過網絡系統共享一個或多個服務器輸出的文件系統。早期的NFS協議使用RPC(Remote Procedure Call)進行客戶機與服務器數據交換,由於用戶不經登錄就可以閱讀或更改存儲在NFS服務器上的文件,使得NFS服務器很容易受到攻擊。
為了確保基於Unix操作系統的所有NFS服務器均支持Secure RPC,Secure RPC使用DES加密算法和指數密鑰交換技術驗證每個NFS RPC請求的身份。
當Unix操作系統用戶登錄到某台工作站時,login程序從NIS(Network Information System)數據庫中獲得一個包含用戶名、用戶公鑰以及用於用戶口令加密的用戶私鑰三項內容的記錄(在Secure RPC4.1以上版本中,私鑰被保存在內存中的 Keyserver進程中),而工作站和服務器用自已的私鑰和對方的公鑰產生一個Session Key。
隨後工作站產生一個56位隨機Conversation Key,用Session Key加密後傳給服務器,登錄時均使用Conversation Key進行加密。在數據傳輸過程中,服務器通過以下推理確認用戶身份是否合法。首先用戶傳送的包是用Conversation Key加密的;其次只有知道用戶的私鑰才能產生Conversation Key;最後必須知道口令才能解開加密的私鑰。
使用NFS還應注意以下幾點:盡可能以只讀方式輸出文件Unix操作系統;只將必須輸出的文件系統輸出給需要訪問的客戶,不要輸出本機的可執行文件,或僅以只讀方式輸出;不要輸出所有人都可以寫的目錄;不要輸出用戶的home目錄;將所有需要保護的文件的owner設為root,權限均設為755(或644),這樣即使工作站上的root帳號被攻破,NFS服務器上的文件仍能受到保護;可使用fsirand程序,增加制造文件句柄的難度。
NIS (Network Information System)服務。
這是一個分布式數據系統,計算機用它能夠通過網絡共享passwd文件、group文件、主機表和一些類似的資源。通過NIS和NFS,整個網絡系統中所有工作站的操作就好象在使用單個計算機Unix操作系統,而且其中的過程對用戶是透明的。
但在NIS系統中,用戶可以編寫程序模仿ypserv來響應ypbind的請求,從而獲取用戶的口令。因此,NIS客戶最好使用ypbind的secure選項,不接受非特權端口(即端口號小於1024)的ypserv響應。
finger服務。
通常使用finger命令是為了查看本地或遠程網絡Unix操作系統中當前登錄用戶的詳細信息,但同時也為入侵者提供了成功入侵系統的機會。所以,最好禁止使用finger。
我們在這裡就講解Unix操作系統的這3種服務,希望對大家有所幫助。我們應該建立一整套網絡系統安全管理規章和防范措施,經常進行監督檢查,使安全管理規章和防范措施落到實處。
