一.unix系統的基本安全機制
1.使用者帳號
使用者帳號就是使用者在unix系統上的合法身份標誌,其最簡單的形式是使用者名稱/口令。在unix系統內部,與使用者名稱/口令有關的資訊儲存在/etc/passwd檔案中,一旦當非法使用者獲得passwd檔案時,雖然口令是被加密的密文,但如果口令的安全強度不高,非法使用者即可採用「字典攻擊」的方法列舉到使用者口令,特別是當網路系統有某一入口時,獲取passwd檔案就非常容易。
2.檔案系統許可權
unix檔案系統的安全主要是通過設定檔案的許可權來實現的。每乙個unix檔案和目錄都有18種不同的許可權,這些許可權大體可分為 3類,即此檔案的所有者、組和其他人的使用許可權如唯讀、可寫、可執行、允許suid和sgid等。需注意的是許可權為允許suid、sgid和可執行檔案在程式執行中,會給程序賦予所有者的許可權,若被入侵者利用,就會留下隱患,給入侵者的成功入侵提供了方便。
3.日誌檔案
日誌檔案是用來記錄系統使用狀況的。unix中比較重要的日誌檔案有3種:
(1)/usr/adm/lastlog檔案。此檔案用於記錄每個使用者最後登入的時間(包括成功和未成功的),這樣使用者每次登入後,只要檢視一下所有帳號的最後登入時間就可以確定本使用者是否曾經被盜用。
(2)/etc/utmp和/etc/wtmp檔案。utmp檔案用來記錄當前登入到系統的使用者,wtmp檔案則同時記錄使用者的登入和登出。
(3)/usr/adm/acct檔案。此檔案用於記錄每個使用者執行的每條命令,通常我們稱之為系統記帳。
二.unix系統和安全防範
金融系統應用的unix網路系統一般均採用客戶/伺服器方式。系統前台客戶機執行並向後台系統發出請求,後台伺服器為前台系統提供服務,系統功能由前後臺協同完成,典型的應用如:前台執行銀行介面輸入輸出、資料校驗等功能,後台實現資料庫查詢等操作。由於unix系統設計基於一種開放式體系結構,系統中緊密整合了通訊服務,但存在一定程度的安全漏洞,容易受到非法攻擊,通過多年的實踐證明,加強安全防範,特別是針對一些可能的網路攻擊採取一定的安全防範措施,unix網路系統的安全性就可以大大提高。
1.網路攻擊型別
(1)猛烈攻擊(brute-force attack)。此攻擊的目標是為破譯口令和加密的資訊資源,當試圖入侵者使用乙個高速處理器時,便可試用各種口令組合(或加密金鑰),直到最終找到正確的口令進入網路,此法通常稱之為「字典攻擊」。
(2)社會工程攻擊(social-engineering attack)。此攻擊也是最難防備的一種攻擊方式。網上黑客通常扮成技術支援人員呼叫使用者,並向使用者索要口令,而後以使用者的身份進入系統。這是一種最簡單同時也是最有效的攻擊方式。
(3)被動攻擊(passive attack)。非法使用者通過探測網路佈線等方法,收集敏感資料或認證資訊,以備日後訪問其他資源。
(4)拒絕服務(denial-of-service)。此攻擊的目的通常是指試圖入侵網路者採用具有破壞性的方法阻塞目標網路系統的資源,使網路系統暫時或永久癱瘓。如入侵者使用偽造的源位址發出tcp/ip請求,阻塞目標網路系統的資源從而使系統癱瘓。
2.網路安全防範策略
網路系統的攻擊者可能是非法使用者,也可能是合法使用者,因此,加強內部管理、防範與外部同樣重要。可實施以下策略進行防範。
(1)加強使用者許可權管理。為了保護unix系統資源安全,即使是對合法使用者也必須採用最小許可權法,即給每個使用者只授予完成特定任務所必需的系統訪問許可權。通常可以採用給每乙個使用者建立請求檔案和資源訪問許可權的程式,給定每個使用者要處理的任務許可權及任務的持續時間等。
(2)加強使用者口令管理和更新。口令通常是較容易出現問題的地方,即使口令被加密,也容易在非法入侵者的「猛烈攻擊」下被攻破。金融系統通常是乙個群體工作環境,工作中經常存在各種授權,銀行的櫃檯活動也處在電視監控之下,口令洩露機會較多。因此,一方面要強制使用安全口令(使用非字母字元、大小寫字母混用、規定口令最小長度不得少於6位數,最好8位數、使用強加密演算法等);另一方面系統管理員要主動定期使用口令檢查程式(如:crack)對口令檔案進行檢查,若口令不合乎安全規範,則需及時更換口令。還可以採用一定的技術手段,增加 「字典攻擊」的難度,如改變口令加密演算法中的加密引數,然後加密口令,這樣除非攻擊者同樣改變了此引數,否則就得不到正確的口令。加強監控室及監控錄象帶的管理,對各類授權活動最好採用刷卡方式進行。
(3)設定防火牆。將網路系統內部分為多個子網,分級進行管理,這樣可以有效地阻止或延緩入侵者的侵入。通常防火牆設定在內部網路與外部網路的介面處,防火牆從功能和實現機制上分為資料報過濾、**伺服器兩大類,兩者在安全防護上各有特點,因此,乙個比較完善的防護隔離體系就是將兩種防火牆結合起來,形成遮蔽子網體系結構,此舉可大大提高內部網路的安全係數。但是,防火牆只能防護外部網路對內部網路的攻擊,無法防護由內部網路發起的攻擊或者擁有合法訪問許可權的內部人員從外部發起的攻擊,並且防火牆無法防護內外網路之間有其它不通過防火牆的通路。總之,防火牆需要與其它機制配合才能適應新的威協。
(4)建立實時監視系統。使用iss的realsecure實時監控系統對網路系統的執行過程進行實時監視和審計,對內部或外部黑客的侵入及一些異常的網路活動能夠實時地進行識別、審計、告警、攔截。realsecure還能和防火牆產品配合,及時切斷「黑客」與資訊系統的連線,形成乙個動態的安全防護體系。iss軟體資訊可訪問http://www.iss.net。
(5)定期對網路進行安全漏洞檢測。網路安全是千變萬化的,所以保護措施也應該是動態的,沒有固定的模式可循,作為unix系統的管理人員,也要嘗試定期對網路伺服器進行攻擊測試,這樣既可以分析和探索試圖入侵者的攻擊思路,同時又可以及時發現系統安全保護機制中的潛在問題,及時進行有效防範。
3.加強網路系統服務的安全手段和工具
(1)直接配置檢查。使用cops(computer oracle password and seurity system)從系統內部檢查常見的unix安全配置錯誤與漏洞,如關鍵檔案許可權設定、ftp許可權與路徑設定、root路徑設定、口令等等,指出存在的失誤,減少系統可能被本地和遠端入侵者利用的漏洞。cops軟體資訊可訪問http://[email protected]。
(4)nfs(network file system)服務。此服務允許工作站通過網路系統共享乙個或多個伺服器輸出的檔案系統。早期的nfs協議使用rpc(remote procedure call)進行客戶機與伺服器資料交換,由於使用者不經登入就可以閱讀或更改儲存在nfs伺服器上的檔案,使得nfs伺服器很容易受到攻擊。為了確保基於 unix系統的所有nfs伺服器均支援secure rpc,secure rpc使用des加密演算法和指數金鑰交換技術驗證每個nfs rpc請求的身份。當使用者登入到某台工作站時,login程式從nis(network information system)資料庫中獲得乙個包含使用者名稱、使用者公鑰以及用於使用者口令加密的使用者私鑰三項內容的記錄(在secure rpc4.1以上版本中,私鑰被儲存在記憶體中的 keyserver程序中),而工作站和伺服器用自已的私鑰和對方的公鑰產生乙個session key。隨後工作站產生乙個56位隨機conversation key,用session key加密後傳給伺服器,登入時均使用conversation key進行加密。在資料傳輸過程中,伺服器通過以下推理確認使用者身份是否合法,首先使用者傳送的包是用conversation key加密的;其次只有知道使用者的私鑰才能產生conversation key;最後必須知道口令才能解開加密的私鑰。使用nfs還應注意以下幾點:盡可能以唯讀方式輸出檔案系統;只將必須輸出的檔案系統輸出給需要訪問的客戶,不要輸出本機的可執行檔案,或僅以唯讀方式輸出;不要輸出所有人都可以寫的目錄;不要輸出使用者的home目錄;將所有需要保護的檔案的owner設為 root,許可權均設為755(或644),這樣即使工作站上的root帳號被攻破,nfs伺服器上的檔案仍能受到保護;可使用fsirand程式,增加製造檔案控制代碼的難度。
(5)nis (network information system)服務。這是乙個分布式資料系統,計算機用它能夠通過網路共享passwd檔案、group檔案、主機表和一些類似的資源。通過nis和 nfs,整個網路系統中所有工作站的操作就好象在使用單個計算機系統,而且其中的過程對使用者是透明的。但在nis系統中,使用者可以編寫程式模仿 ypserv來響應ypbind的請求,從而獲取使用者的口令。因此,nis客戶最好使用ypbind的secure選項,不接受非特權埠(即埠號小於 1024)的ypserv響應。
(6)finger服務。通常使用finger命令是為了檢視本地或遠端網路系統中當前登入使用者的詳細資訊,但同時也為入侵者提供了成功入侵系統的機會。所以,最好禁止使用finger。
3.結束語
只有針對unix網路系統存在的漏洞採取相應的安全保護措施,才能遏制金融計算機犯罪率。但在客觀上要完全消除unix網路系統的安全隱患非常困難,一是因為unix系統本身是一種非常複雜的系統,二是因為unix系統數年來在各領域的廣泛使用,使得它成為被研究得最透徹的系統之一。通常入侵者發動的攻擊形式是極其複雜的,保護unix系統安全的關鍵是針對入侵者可能發動的攻擊制定出一系列切實可行的安全防範策略,使各種攻擊在多樣化的安全防範措施面前不能輕易得逞。在對ip級安全實施加固之後(如設立安全ip包、過濾防火牆等),還必須對傳輸層和應用層的安全進行加固,同時要在金融系統內部建立一整套網路系統安全管理規章和防範措施,經常進行監督檢查,使安全管理規章和防範措施落到實處。要使每一位員工都有防範金融計算機犯罪的概念,了解其作案的手法及產生的危害,提高全員主動防範意識,這樣才能真正有效地預防金融計算機案件的發生。
網管的自我修養 網路系統
網管網管,會管網路才算名副其實。管理一般中小企業的網路,具備ccna及以上水平就可以了。一 規劃 首先要根據公司的人員工位數量 印表機傳真等裝置以及辦公室的條件,規劃網路圖,包括資訊節點數量位置,區域網ip vlan劃分,需要採購的各種裝置。期間一定要和裝修佈線的人員在現場仔細溝通,確定理解對方的意...
列印Linux中網路系統的狀態資訊
netstat命令用來列印linux中網路系統的狀態資訊,可讓你得知整個linux系統的網路情況。netstat 選項 a或 all 顯示所有連線中的socket c或 continuous 持續列出網路狀態 c或 cache 顯示路由器配置的快取資訊 f或 fib 顯示fib g或 groups ...
如何快速構建安全 穩健 高效的網際網路系統架構
本人做了10年的開發,經歷了華為 銀行 以及一些創業公司。目前在一家金融公司擔任專案經理崗位。10年的時間,技術革新還是挺大的。10年前開發各種系統,基本都需要自己團隊完成開發。反觀現在,有很多免費 完善的第三方平台外掛程式。只要簡單整合,即可快速對應的需求模組。兩者對比,早期的方式,開發周期長 穩...