3.加强网络系统服务的安全手段和工具
    (1)直接配置检查。使用COPS(Computer Oracle Password and Seurity System)从系统内部检查常见的UNIX安全配置错误与漏洞，如关键文件权限设置、ftp权限与路径设置、root路径设置、口令等等，指出存在的失误，减少系统可能被本地和远程入侵者利用的漏洞。COPS软件信息可访问http://www.jordanpan@163.net。
    (2)使用记录工具记录所有对UNIX系统的访问。大多数现成的UNIX应用系统可以通过Syslog来记录事件，这是UNIX系统提供的集中记录工具。通过每天扫描记录文件/var/adm/messaged，并可通过配置 Syslog，把高优先级的事件及时传送给系统安全员处理。另一个有用工具是TCP Wrappers，应用此软件可以解决UNIX网络系统安全监视和过滤问题，本软件将所有TCP连接试图(无论成功与否)，都记录到一个文本文件里，文本文件具体内容包括请求的源地址、目的地址、TCP端口和请求时间等。通过监视TCP Wrappers记录，查看所有未遂连接试图，并可以通过配置，由TCP Wrappers来根据某些因素，如源或目的TCP端口、IP地址等接受或者拒绝TCP连接。TCP Wrappers软件下载地址为ftp://ftp.win.tue.nl/pub/security。
    (3)远程网络登录服务。此服务是我们使用最频繁的，UNIX系统提供了telnet和ftp远程登录，当使用telnet或ftp登录时，用户名和口令是明文传输的，这就可能被网上其他用户截获。入侵者也经常使用telnet或 ftp对网络系统发动“猛烈攻击”。入侵者可较容易地编写一个脚本，通过破译不同的口令来试图和远程服务器建立连接，而telnet精灵进程在多次连接试图失败之后会产生一定的延迟，延迟时间和未遂的注册次数成正比，从而防止入侵。还有一种加强telnet或 ftp服务口令安全的方法，就是每次使用不同的密码，这可通过S/KEY工具实现。S/KEY系统建立在一次性用户口令的基础上，生成一系列口令，用户可以使用这些口令与UNIX服务器进行远程访问，且不需要特殊的客户机软件。S/KEY的认证算法使得入侵者无法预测用户下一个口令的内容。由于ftp功能与telnet类似，为此可以修改 /etc/ftpusers文件，指定不允许通过ftp进行远程登录的用户。使用匿名ftp服务，任何人都可以随意注册下载或上载文件，如果不需要匿名 ftp服务，可以把username ftp从/etc/passwd文件里删除掉；如果必须提供匿名ftp服务，可以把它安装在本网络之外被称为停火区(DMZ)的服务器中。同时，我们建议使用安全的远程访问工具SSH，其安全性强于telent和ftp。SSH具有

上一页  [1] [2] [3] [4] [5] 下一页