略談UNIX操作系統(tǒng)的安全管理方式

時間:2022-11-22 11:49:43

導(dǎo)語:略談UNIX操作系統(tǒng)的安全管理方式一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

略談UNIX操作系統(tǒng)的安全管理方式

一、unix系統(tǒng)安全防護機制

UNIX系統(tǒng)有兩種比較基本的安全防護機制,具體如下:一是用口令來加強安全防護,防止未授權(quán)的用戶進入系統(tǒng)進行操作;二是用文件許可權(quán)來加強安全防護,防止未授權(quán)的用戶對文件、程序等系統(tǒng)資源進行利用。從理論角度出發(fā),用口令可制止非法用戶進入系統(tǒng)進行操作,文件許可能制止一些未授權(quán)的操作行為,對于與網(wǎng)絡(luò)無連接的孤立系統(tǒng),上述防護完全可以實現(xiàn)。但由于網(wǎng)絡(luò)這一終端的存在,問題就復(fù)雜得多,大大降低了系統(tǒng)的安全性。作為系統(tǒng)的管理人員,應(yīng)對工作過程中每個環(huán)節(jié)的安全都加以把握,并制定安全防范的計劃,有序的開展系統(tǒng)安全維護工作。

二、UNIX系統(tǒng)管理員安全策略的實施

1.口令安全策略

在UNIX系統(tǒng)中,/etc/passwd文件涵蓋的信息十分廣泛,包括每個用戶的登錄名、用戶組號、加密口令等。其中用戶名和用戶組號是UNIX系統(tǒng)的有效標(biāo)識,可以用來對用戶的訪問權(quán)限進行區(qū)分。在UNIX系統(tǒng)中,超級用戶擁有諸多特權(quán),其用戶號用0來表示,為了引起混亂,其它用戶的用戶號應(yīng)避免再使用0。/etc/passwd中的口令,是判斷用戶能否登錄的基準(zhǔn),當(dāng)用戶將口令輸入系統(tǒng),經(jīng)過系統(tǒng)的運算后,如果與原始的加密口令相同,則用戶可以登錄,如不同,則用戶禁止登錄。基于安全考慮,用戶應(yīng)定期更改口令,此時,用戶可用passwd對口令進行修改,但對于/etc/passwd中的口令則無法進行直接修改。此外,要對/etc/passwd進行定期檢查,確認其中是否存在陌生用戶的痕跡,是否有用戶將用戶號篡改為0,以及用戶的口令是否存在等事項??诹钔ǔS?至8個字符組成,字符類型無限定,數(shù)字、字母、標(biāo)點等多種類型皆可,但口令的設(shè)定盡量避免涉及到生日、電話等個人信息,也避免過于簡單,僅使用英語單詞或拼音。

2.訪問控制策略

(1.文件和目錄訪問控制。文件和目錄能否被訪問或執(zhí)行是由他們的屬性決定的?;诖耍覀兛梢杂胏hmod對文件許可的方式進行改變,用chown對文件的組名和屬性進行改變,用umask創(chuàng)建文件的缺省屏蔽值。文件許可權(quán)可以對文件重寫或不意刪除的問題進行解決,還能防止未經(jīng)授權(quán)的用戶訪問文件。我們應(yīng)盡量避免將chmod給普通用戶授權(quán)。此外,我們還可以用chroot()建立一個隔離、安全的環(huán)境,將用戶限定在系統(tǒng)中的某一固定層次中。這樣,用戶便不能調(diào)用chmod進入其他層次中,用戶也不能對其他層次的文件進行存取操作。

(2.設(shè)備訪問控制。UNIX系統(tǒng)在處理設(shè)備時,會將設(shè)備與文件類同處理,在設(shè)備上進行的輸入或輸出操作,需經(jīng)過很少的路徑,用戶沒有權(quán)限對設(shè)備進行直接存取。因此,如果對UNIX系統(tǒng)磁盤分區(qū)設(shè)置了存取許可,用戶對磁盤進行存取只有在UNIX文件系統(tǒng)這一平臺中進行,在文件系統(tǒng)中又設(shè)置了文件許可這一安全措施,雙重許可大大提升了系統(tǒng)的安全性能。但如果磁盤分區(qū)的存取許可設(shè)置不正確,用戶通過i節(jié)點就可以了解磁盤地址表中的塊號,再相應(yīng)的對文件進行讀取,無論文件的所有者誰都可以如此操作?;诖耍齬oot權(quán)限外,對于任何用戶都不能給予磁盤分區(qū)的可寫權(quán)。為了避免有些用戶在系統(tǒng)提示狀態(tài)下,進行一些不合規(guī)的操作,可以利用UNIX系統(tǒng)建立自動啟動的終端,在用戶使用系統(tǒng)時,省去登陸這一環(huán)節(jié),這樣既給用戶帶來了便利,又降低了損壞系統(tǒng)的機率。

(3.備份策略。對系統(tǒng)備份也可以做一種安全策略來使用,當(dāng)系統(tǒng)的程序被非法攻擊或損壞后,把備份的數(shù)據(jù)進行還原,可使系統(tǒng)恢復(fù)到備份時的狀態(tài)。系統(tǒng)的備份程序務(wù)必要放到無法受到侵害的地方,以防被竊取或復(fù)制。如果條件允許,應(yīng)多備份幾份放在幾處,以防發(fā)生火災(zāi)等不可抗因素破壞系統(tǒng)。磁介質(zhì)的使用時間通常很短,極易破損,因此管理員應(yīng)對系統(tǒng)進行定期備份,對于一些重要的文件要加強測試的力度,并時常對其進行替換。如果備份的介質(zhì)出現(xiàn)報廢的情況,應(yīng)妥善處置,以防被不法者加以利用。在利用備份加強系統(tǒng)安全性時,備份的頻率是一個重要指標(biāo)。一般對于重要的文件備份頻率要高些,對系統(tǒng)的一部分進行備份時,頻率可提高,對系統(tǒng)進行整體備份時,頻率可適當(dāng)降低。對文件進行備份時,可使用“漢諾塔”方法進行操作。

三、結(jié)論

綜上所述,UNIX系統(tǒng)由于具有優(yōu)良的性能,在工業(yè)、商業(yè)、教育等諸多行業(yè)得到了廣泛應(yīng)用。但即使是安全性能非常高的系統(tǒng),也存在被入侵的可能性,因此,UNIX系統(tǒng)的用戶應(yīng)對系統(tǒng)信息安全進行深入了解,不斷探索、尋找有效的安全管理對策,開發(fā)功能齊全、可靠性高、管理性能優(yōu)良的管理程序,以彌補UNIX系統(tǒng)在設(shè)計上的先天不足,為用戶打造一個安全、信任、可依賴的工作平臺。

作者:白俊巖單位:西安文理學(xué)院軟件學(xué)院