UNIX 网络安全措施 -天瑞科技，深圳电脑维修，深圳电脑维护

网络安全措施

UNIX本身就是一个网络操作系统，很多对UNIX的攻击都是通过UNIX系统所提供的网络功能进行的，所以应当特别注意UNIX的网络安全问题。接下来我主要从服务过滤和BSD的r命令方面介绍可采用的安全措施。

1、服务过滤

确保只有真正需要的服务才被允许从外部被访问，并合法通过路由器过滤检查。如果下面的服务不是所真正需要的，从路由器上过滤掉它们。其中名字为服务名字，端口为该服务使用的端口，协议为该服务使用的传输层协议。

名字端口协议

echo 7 TCP/UDP

systat 11 TCP

netstat 15 TCP

bootp 67 UDP

tftp 69 UDP

link 87 TCP

supdup 95 TCP

sunrpc 111 TCP/UDP

NeWS 144 TCP

Snmp 161 UDP

Xdmcp 177 UDP

Exec 512 TCP

shell 514 TCP

printer 515 TCP

biff 512 UDP

who 513 UDP

syslog 514 UDP

uucp 540 TCP

route 520 UDP

openwin 2000 TCP

NFS 2049 UDP/TCP

Xll 6000 to 6000+n TCP

2、关于“r”命令

如果并不真正需要使用r命令，那么去掉这些r命令服务（例如rlogin和rsh等）。r 命令常常又是系统不安全因素和受到攻击的源由，因此，对r命令服务应该是能去掉就去掉。

如果必须要执行r命令，那么使用更安全版本的r命令。如Wietse Venema的logdaemon程序包含有更安全版本的r 命令daemons。这些版本的r命令只能通过/etc/hosts.equiv而不是$HOME/.rhosts来获取认证的。

如果决定使用r命令，则一定要在路由器上过滤掉对应r命令的端口512，513和514服务。这可以阻止网络外部用户使用这些r命令，而同时内部用户却允许使用这些命令。

使用TCP_Wrappers来提高系统的安全性，并能对系统的被访问情况做更完善的记录。

3、/etc/hosts.equiv 文件

检查系统是否需要/etc/hosts.equiv文件。如果允许r命令服务，该文件允许其他主机成为系统的被信任者。像rlogin这样的命令能从一个被信任的主机上不加口令地访问系统。如果不允许r命令服务或者不希望对其他系统给予信任，您应该去掉该文件，应当检查下面一些方面的问题：

A。确保该文件中使用的是完全的主机名，

例如：hostname.domainname.au

B。确保在该文件中没有使用包含“+”的记录。

C。确保不要在该文件中使用任何的“!”或“#”，因为在

该文件中它们并不表示注释信息。

D。确保该文件中第一个字符不是“-”。

E。确保该文件的访问权限被设置成600。

F。确保该文件的所有者被设置成root。

4、$HOME/.rhosts文件

确保任何用户在他们的$HOME目录下都没有存在.rhosts文件。这些文件会比/etc/hosts.equiv造成更大的安全漏洞，因为在任何系统上用户都可以创建该文件。定期地检查并报告$HOME/.rhosts文件的内容，并适当地删除该文件。文件.rhosts和host.equiv在安全特性方面是完全类似的。