UNIX防止非法用戶注冊的技術
發(fā)布日期:2022-07-05 13:43 | 文章來源:腳本之家
由于SCO Unix操作系統的開放性,網絡系統的共享性,數據庫的通用性等因素,Unix操作系統數據信息的安全問題顯得越來越為突出,特別是終端端口的安全管理工作是目前信息系統安全的重要環(huán)節(jié)。由于操作系統本身的缺陷,加上營業(yè)網點的分散性等因素,留下遠程終端包括DDN專線和MODEM的撥號端口以及對外服務終端無法特別監(jiān)管的隱患,給非法進入者提供了方便之門,因此必須設法加強對Unix操作系統的端口安全管理,增加端口口令和限制登錄端口的用戶及工作時間等。
工作原理:
操作系統用戶注冊登錄的全過程為:用戶打開終端在login:后輸入用戶名和在passwd:后輸入口令字,操作系統接收用戶名和口令字后與 /etc/passwd和/etc/shadow文件進行合法性檢查,對照注冊名UID碼、GID碼(表示用戶組)、GCOS域(用戶個人信息)、注冊目錄、注冊shell(一般為/bin/sh即Baurne shell),然后讀取終端端口的有關信息,查找 /etc/dialups文件、/etc/d_passwd文件,最后啟動 /etc/profile和用戶根目錄下的 .profile文件(若是c_shell,則執(zhí)行 /etc/CSh.login和用戶根目錄下的 .login和.CShrc;若是korn shell,則會執(zhí)行環(huán)境變量ENV所定義的文件)配置用戶環(huán)境變量,查找提示該用戶的mail信息。
縱觀以上過程分析,我們可以簡單地在 /etc/dialups文件中加入終端端口設備號,在 /etc/d_passwd文件中加入口令字,以限制非法登錄,這是其一;我們還可以修改/etc/profile文件,從中增加一段程序,使之能與我們預先設定的有關用戶、端口、工作時間等一些信息的文件進行比較,判斷當前注冊用戶的登錄端口、日期和時間是否在我們允許的范圍內,否則不允許注冊登錄。之所以修改文件 /etc/profile而沒有使用文件$home/.profile,是因為使用文件/etc/profile 更便于大范圍的控制和處理,這是其二;另外,操作系統在對合法用戶注冊登錄處理的最后部分是根據該用戶根目錄下的 $HOME /.profile,設置用戶環(huán)境變量、終端信息,我們可以在 $HOME/.profile加入該用戶業(yè)務處理程序的起動命令并使之退出注冊登錄狀態(tài),以減少在該用戶根目錄下使用 /bin/sh 命令的機會,確保用戶根目錄下文件的安全。
基于以上原理,我們得出了三個有效地加強對終端端口限制管理的辦法:
1.增加端口口令,限制遠程登錄
遠程登錄包括通過MODEM撥號、DDN專線訪問服務器和通過終端服務器、集線器等登錄到系統。以MODEM和DDN專線訪問服務器的端口號為/dev/tty1A和/dev/ttya?,其中?為0、1、2……等;通過終端服務器、路由器和集線器訪問服務器的端口號為/dev/ttyp?,其中?為0、1、2……等。此時使用的是偽tty設備文件,通常登錄的端口是不固定的。因此,必須先執(zhí)行固定通信服務器端口設置程序,此程序由通信服務器生產廠家隨產品一起提供。通過在這些設備端口上增加撥入口令,限制遠程登錄。
2.限定用戶在指定的端口和規(guī)定的時間內登錄
當用戶注冊登錄到Unix操作系統時,必須執(zhí)行系統文件/etc/profile,我們對這一文件進行修改,讓系統去讀取用戶名、端口名、每周工作日期、每天上班時間、每天下班時間。然后依此文件審查用戶注冊登錄的合法性,端口名不在此文件中不受限制,端口名在此文件中但用戶名不正確不許登錄,用戶名和端口名皆正確但工作時間不在規(guī)定范圍內不許登錄。
3.用戶注冊登錄時立即運行業(yè)務處理程序,退出業(yè)務處理程序時也退出 /bin/sh。
工作原理:
操作系統用戶注冊登錄的全過程為:用戶打開終端在login:后輸入用戶名和在passwd:后輸入口令字,操作系統接收用戶名和口令字后與 /etc/passwd和/etc/shadow文件進行合法性檢查,對照注冊名UID碼、GID碼(表示用戶組)、GCOS域(用戶個人信息)、注冊目錄、注冊shell(一般為/bin/sh即Baurne shell),然后讀取終端端口的有關信息,查找 /etc/dialups文件、/etc/d_passwd文件,最后啟動 /etc/profile和用戶根目錄下的 .profile文件(若是c_shell,則執(zhí)行 /etc/CSh.login和用戶根目錄下的 .login和.CShrc;若是korn shell,則會執(zhí)行環(huán)境變量ENV所定義的文件)配置用戶環(huán)境變量,查找提示該用戶的mail信息。
縱觀以上過程分析,我們可以簡單地在 /etc/dialups文件中加入終端端口設備號,在 /etc/d_passwd文件中加入口令字,以限制非法登錄,這是其一;我們還可以修改/etc/profile文件,從中增加一段程序,使之能與我們預先設定的有關用戶、端口、工作時間等一些信息的文件進行比較,判斷當前注冊用戶的登錄端口、日期和時間是否在我們允許的范圍內,否則不允許注冊登錄。之所以修改文件 /etc/profile而沒有使用文件$home/.profile,是因為使用文件/etc/profile 更便于大范圍的控制和處理,這是其二;另外,操作系統在對合法用戶注冊登錄處理的最后部分是根據該用戶根目錄下的 $HOME /.profile,設置用戶環(huán)境變量、終端信息,我們可以在 $HOME/.profile加入該用戶業(yè)務處理程序的起動命令并使之退出注冊登錄狀態(tài),以減少在該用戶根目錄下使用 /bin/sh 命令的機會,確保用戶根目錄下文件的安全。
基于以上原理,我們得出了三個有效地加強對終端端口限制管理的辦法:
1.增加端口口令,限制遠程登錄
遠程登錄包括通過MODEM撥號、DDN專線訪問服務器和通過終端服務器、集線器等登錄到系統。以MODEM和DDN專線訪問服務器的端口號為/dev/tty1A和/dev/ttya?,其中?為0、1、2……等;通過終端服務器、路由器和集線器訪問服務器的端口號為/dev/ttyp?,其中?為0、1、2……等。此時使用的是偽tty設備文件,通常登錄的端口是不固定的。因此,必須先執(zhí)行固定通信服務器端口設置程序,此程序由通信服務器生產廠家隨產品一起提供。通過在這些設備端口上增加撥入口令,限制遠程登錄。
2.限定用戶在指定的端口和規(guī)定的時間內登錄
當用戶注冊登錄到Unix操作系統時,必須執(zhí)行系統文件/etc/profile,我們對這一文件進行修改,讓系統去讀取用戶名、端口名、每周工作日期、每天上班時間、每天下班時間。然后依此文件審查用戶注冊登錄的合法性,端口名不在此文件中不受限制,端口名在此文件中但用戶名不正確不許登錄,用戶名和端口名皆正確但工作時間不在規(guī)定范圍內不許登錄。
3.用戶注冊登錄時立即運行業(yè)務處理程序,退出業(yè)務處理程序時也退出 /bin/sh。
版權聲明:本站文章來源標注為YINGSOO的內容版權均為本站所有,歡迎引用、轉載,請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站,禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像,否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯網收集整理而來,僅供學習參考,不代表本站立場,如有內容涉嫌侵權,請聯系alex-e#qq.com處理。
相關文章