略談UNIX操作系統(tǒng)的安全管理方式

時(shí)間:2022-11-22 11:49:43

導(dǎo)語:略談UNIX操作系統(tǒng)的安全管理方式一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

略談UNIX操作系統(tǒng)的安全管理方式

一、unix系統(tǒng)安全防護(hù)機(jī)制

UNIX系統(tǒng)有兩種比較基本的安全防護(hù)機(jī)制,具體如下:一是用口令來加強(qiáng)安全防護(hù),防止未授權(quán)的用戶進(jìn)入系統(tǒng)進(jìn)行操作;二是用文件許可權(quán)來加強(qiáng)安全防護(hù),防止未授權(quán)的用戶對文件、程序等系統(tǒng)資源進(jìn)行利用。從理論角度出發(fā),用口令可制止非法用戶進(jìn)入系統(tǒng)進(jìn)行操作,文件許可能制止一些未授權(quán)的操作行為,對于與網(wǎng)絡(luò)無連接的孤立系統(tǒng),上述防護(hù)完全可以實(shí)現(xiàn)。但由于網(wǎng)絡(luò)這一終端的存在,問題就復(fù)雜得多,大大降低了系統(tǒng)的安全性。作為系統(tǒng)的管理人員,應(yīng)對工作過程中每個(gè)環(huán)節(jié)的安全都加以把握,并制定安全防范的計(jì)劃,有序的開展系統(tǒng)安全維護(hù)工作。

二、UNIX系統(tǒng)管理員安全策略的實(shí)施

1.口令安全策略

在UNIX系統(tǒng)中,/etc/passwd文件涵蓋的信息十分廣泛,包括每個(gè)用戶的登錄名、用戶組號、加密口令等。其中用戶名和用戶組號是UNIX系統(tǒng)的有效標(biāo)識,可以用來對用戶的訪問權(quán)限進(jìn)行區(qū)分。在UNIX系統(tǒng)中,超級用戶擁有諸多特權(quán),其用戶號用0來表示,為了引起混亂,其它用戶的用戶號應(yīng)避免再使用0。/etc/passwd中的口令,是判斷用戶能否登錄的基準(zhǔn),當(dāng)用戶將口令輸入系統(tǒng),經(jīng)過系統(tǒng)的運(yùn)算后,如果與原始的加密口令相同,則用戶可以登錄,如不同,則用戶禁止登錄?;诎踩紤],用戶應(yīng)定期更改口令,此時(shí),用戶可用passwd對口令進(jìn)行修改,但對于/etc/passwd中的口令則無法進(jìn)行直接修改。此外,要對/etc/passwd進(jìn)行定期檢查,確認(rèn)其中是否存在陌生用戶的痕跡,是否有用戶將用戶號篡改為0,以及用戶的口令是否存在等事項(xiàng)??诹钔ǔS?至8個(gè)字符組成,字符類型無限定,數(shù)字、字母、標(biāo)點(diǎn)等多種類型皆可,但口令的設(shè)定盡量避免涉及到生日、電話等個(gè)人信息,也避免過于簡單,僅使用英語單詞或拼音。

2.訪問控制策略

(1.文件和目錄訪問控制。文件和目錄能否被訪問或執(zhí)行是由他們的屬性決定的?;诖?,我們可以用chmod對文件許可的方式進(jìn)行改變,用chown對文件的組名和屬性進(jìn)行改變,用umask創(chuàng)建文件的缺省屏蔽值。文件許可權(quán)可以對文件重寫或不意刪除的問題進(jìn)行解決,還能防止未經(jīng)授權(quán)的用戶訪問文件。我們應(yīng)盡量避免將chmod給普通用戶授權(quán)。此外,我們還可以用chroot()建立一個(gè)隔離、安全的環(huán)境,將用戶限定在系統(tǒng)中的某一固定層次中。這樣,用戶便不能調(diào)用chmod進(jìn)入其他層次中,用戶也不能對其他層次的文件進(jìn)行存取操作。

(2.設(shè)備訪問控制。UNIX系統(tǒng)在處理設(shè)備時(shí),會將設(shè)備與文件類同處理,在設(shè)備上進(jìn)行的輸入或輸出操作,需經(jīng)過很少的路徑,用戶沒有權(quán)限對設(shè)備進(jìn)行直接存取。因此,如果對UNIX系統(tǒng)磁盤分區(qū)設(shè)置了存取許可,用戶對磁盤進(jìn)行存取只有在UNIX文件系統(tǒng)這一平臺中進(jìn)行,在文件系統(tǒng)中又設(shè)置了文件許可這一安全措施,雙重許可大大提升了系統(tǒng)的安全性能。但如果磁盤分區(qū)的存取許可設(shè)置不正確,用戶通過i節(jié)點(diǎn)就可以了解磁盤地址表中的塊號,再相應(yīng)的對文件進(jìn)行讀取,無論文件的所有者誰都可以如此操作。基于此,除root權(quán)限外,對于任何用戶都不能給予磁盤分區(qū)的可寫權(quán)。為了避免有些用戶在系統(tǒng)提示狀態(tài)下,進(jìn)行一些不合規(guī)的操作,可以利用UNIX系統(tǒng)建立自動啟動的終端,在用戶使用系統(tǒng)時(shí),省去登陸這一環(huán)節(jié),這樣既給用戶帶來了便利,又降低了損壞系統(tǒng)的機(jī)率。

(3.備份策略。對系統(tǒng)備份也可以做一種安全策略來使用,當(dāng)系統(tǒng)的程序被非法攻擊或損壞后,把備份的數(shù)據(jù)進(jìn)行還原,可使系統(tǒng)恢復(fù)到備份時(shí)的狀態(tài)。系統(tǒng)的備份程序務(wù)必要放到無法受到侵害的地方,以防被竊取或復(fù)制。如果條件允許,應(yīng)多備份幾份放在幾處,以防發(fā)生火災(zāi)等不可抗因素破壞系統(tǒng)。磁介質(zhì)的使用時(shí)間通常很短,極易破損,因此管理員應(yīng)對系統(tǒng)進(jìn)行定期備份,對于一些重要的文件要加強(qiáng)測試的力度,并時(shí)常對其進(jìn)行替換。如果備份的介質(zhì)出現(xiàn)報(bào)廢的情況,應(yīng)妥善處置,以防被不法者加以利用。在利用備份加強(qiáng)系統(tǒng)安全性時(shí),備份的頻率是一個(gè)重要指標(biāo)。一般對于重要的文件備份頻率要高些,對系統(tǒng)的一部分進(jìn)行備份時(shí),頻率可提高,對系統(tǒng)進(jìn)行整體備份時(shí),頻率可適當(dāng)降低。對文件進(jìn)行備份時(shí),可使用“漢諾塔”方法進(jìn)行操作。

三、結(jié)論

綜上所述,UNIX系統(tǒng)由于具有優(yōu)良的性能,在工業(yè)、商業(yè)、教育等諸多行業(yè)得到了廣泛應(yīng)用。但即使是安全性能非常高的系統(tǒng),也存在被入侵的可能性,因此,UNIX系統(tǒng)的用戶應(yīng)對系統(tǒng)信息安全進(jìn)行深入了解,不斷探索、尋找有效的安全管理對策,開發(fā)功能齊全、可靠性高、管理性能優(yōu)良的管理程序,以彌補(bǔ)UNIX系統(tǒng)在設(shè)計(jì)上的先天不足,為用戶打造一個(gè)安全、信任、可依賴的工作平臺。

作者:白俊巖單位:西安文理學(xué)院軟件學(xué)院