程序,这种程序在完成某种具有明显意图的功
能时,还破坏用户的安全.如果PATH设置为先
搜索系统目录,则受特络依木马的攻击会大大
减少.如模似的crypt程序.
(7)诱骗
类似于特络依木马,模似一些东西使用户泄漏
一些信息,不同的是,它由某人执行,等待无警
觉的用户来上当.如模似的login.
(8)计算机病毒
计算机病毒通过把其它程序变成病毒从而传
染系统的,可以迅速地扩散,特别是系统管理员
的粗心大意,作为root运行一个被感染的程序
时.实验表明,一个病毒可在一个小时内(平均
少于30分钟)取得root权限.
(9)要离开自己已登录的终端
除非能对终端上锁,否则一定要注销户头.
(10)智能终端
由于智能终端有send和enter换码序列,告诉
终端送当前行给系统,就像是用户敲入的一样.
这是一种危险的能力,其他人可用write命令
发送信息给本用户终端,信息中如含有以下的
换码序列:
移光标到新行(换行)
在屏幕上显示"rm -r *"
将该行送给系统
后果大家可以想象.
禁止其他用户发送信息的方法是使用mesg命
令,mesg n不允许其他用户发信息,mesg y允许
其他用户发信息.
即使如此仍是有换码序列的问题存在,任何一
个用户用mail命令发送同样一组换码序列,不
同的要用!rm -r *替换rm -r *.mail将以!开
头的行解释为一条shell命令,启动shell,由
shell解释该行的其它部分,这被称为shell换
码.为避免mail命令发送换码序列到自己的终
端,可建立一个过滤程序,在读mail文件之前先
运行过滤程序,对mail文件进行处理:
myname="$LOGNAME";
tr -d[01-07][-13-37]<
/usr/mail/$myname >> $HOME/mailbox;
> /usr/mail/$myname;
mail -f $HOME/mailbox
其中tr将标准输入的字符转换手写到标准输
出中.这只是一个简单的思路,从原则上来说,
此程序应为一C程序,以避免破坏正发送到的
文件,可用锁文件方式实现.
(11)断开与系统的联接
用户应在看到系统确认用户登录注销后再离
开以免在用户未注销时由他人潜入.
(12)cu命令
该命令使用户能从一个UNIX系统登录到另一
个UNIX系统,此时,在远地系统中注销用户后
还必须输入"~"后回车,以断开cu和远地系统
的联接.
cu还有两个安全问题:
*如本机安全性弱于远地机,不提倡用cu去登
录远地机,以免由于本地机的不安全而影响
较安全的远地机.
*由于cu的老版本处理"~"的方法不完善,从
安全性强的系统调用安全性弱的系统时,会
使弱系统的用户使用强系统用户的cu传送
强系统的/etc/passwd文件,除非确信正在
使用的cu是正确版本,否则不要调用弱系统.
10.保持户头安全的要点
(1)保持口令的安全
*不要将口令写下来.
*不要将口令存于终端功能键或MODEM的字符
串存储器中
*不要选取显而易见的信息作口令.
*不要让别人知道.
*不要交替使用两个口令.
*不要在不同系统上使用同一口令.
*不要让人看见自己在输入口令.
(2)不要让自己的文件或目录可被他人写.
*如果不信任本组用户,umask设置为022.
*确保自己的.profile除自己外对他人都不
可读写.
*暂存目录最好不用于存放重要文件.
*确保HOME目录对任何人不可写.
*uucp传输的文件应加密,并尽快私人化.
(3)若不想要其他用户读自己的文件或目录,就
要使自己的文件和目录不允许任何人读.
*umask设置为006/007.
*若不允许同组用户存取自己的文件和目录,
umask设置为077.
*暂存文件按当前umask设置,存放重要数据
到暂存文件的程序,就被写成能确保暂存
文件对其他用户不可读.
推荐阅读
- super试飞首信V851之一:初步印象篇
- unixware和unix openserver比较二
- Cisco路由器配置信息在Unix下的备份、恢复与更新
- SCO UNIX基础讲座--第十二讲:使用 TCP/IP
- UNIX操作系统tar命令之隐患及解决方法
- 上 【我为机狂】小白和小狼的故事——呜呜狼SF65试飞系列之“导航篇”
- 用终端打印机打印Unix文件
- Unix系统管理员安全手册
- 在Unix系统中利用程序实现Kill命令
- 在SCO中安装配置使用modem