| 金融领域UNIX网络系统的安全管理策略 |
| |
| |
作者:未知 文章来源:本刊 点击数: 更新时间:2007-5-17 16:01:20  |
|
|
强力远程主机认证机制,可以有效降低入侵者通过DNS或者 IP地址欺骗手段模仿客户机的可能性,同时SSH还支持多种端到端的加密协议,如DES、Triple-DES、IDEA和Blowfish等,从而更有利于保证整个通讯系统的安全。使用SSH时应禁止使用telnet、ftp和rlogin服务。S/KEY信息可访问http: //yak.net/skey。
(4)NFS(Network File System)服务。此服务允许工作站通过网络系统共享一个或多个服务器输出的文件系统。早期的NFS协议使用RPC(Remote Procedure Call)进行客户机与服务器数据交换,由于用户不经登录就可以阅读或更改存储在NFS服务器上的文件,使得NFS服务器很容易受到攻击。为了确保基于UNIX系统的所有NFS服务器均支持Secure RPC,Secure RPC使用DES加密算法和指数密钥交换技术验证每个NFS RPC请求的身份。当用户登录到某台工作站时,login程序从NIS(Network Information System)数据库中获得一个包含用户名、用户公钥以及用于用户口令加密的用户私钥三项内容的记录(在Secure RPC4.1以上版本中,私钥被保存在内存中的 Keyserver进程中),而工作站和服务器用自已的私钥和对方的公钥产生一个Session Key。随后工作站产生一个56位随机Conversation Key,用Session Key加密后传给服务器,登录时均使用Conversation Key进行加密。在数据传输过程中,服务器通过以下推理确认用户身份是否合法,首先用户传送的包是用Conversation Key加密的;其次只有知道用户的私钥才能产生Conversation Key;最后必须知道口令才能解开加密的私钥。使用NFS还应注意以下几点:尽可能以只读方式输出文件系统;只将必须输出的文件系统输出给需要访问的客户,不要输出本机的可执行文件,或仅以只读方式输出;不要输出所有人都可以写的目录;不要输出用户的home目录;将所有需要保护的文件的owner设为 root,权限均设为755(或644),这样即使工作站上的root帐号被攻破,NFS服务器上的文件仍能受到保护;可使用fsirand程序,增加制造文件句柄的难度。
(5)NIS (Network Information System)服务。这是一个分布式数据系统,计算机用它能够通过网络共享passwd文件、group文件、主机表和一些类似的资源。通过NIS和 NFS,整个网络系统中所有工作站的操作就好象在使用单个计算机系统,而且其中的过程对用户是透明的。但在NIS系统中,用户可以编写程序模仿 ypserv来响应ypbind的请求,从而获取用户的口令。因此,NIS客户最好使用ypbind的secure选项,不接受非特权端口(即端口号小于 1024)的ypserv响应。
(6)finger服务。通常使用finger命令是为了查看本地或远程网络系统中当前登录用户的详细信息,但同时也为入侵者提供了成功入侵系统的机会。所以,最好禁止使用finger。
3.结束语
只有针对UNIX网络系统存在的漏洞采取相应的安全保护措施,才能遏制金融计算机犯罪率。但在客观上要完全消除UNIX网络系统的安全隐患非常困难,一 上一页 [1] [2] [3] [4] [5] 下一页
|
|
| |
| 电子化建设录入:jerry 责任编辑:jerry |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
| 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
