|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體���,實現資源的全面共享和有機協作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息���。資源包括高性能計算機��、存儲資源���、數據資源��、信息資源、知識資源��、專家資源�、大型數據庫、網絡��、傳感器等���。 當前的互聯網只限于信息共享��,網絡則被認為是互聯網發展的第三階段。 一、安全理念
1、安全的隱患更多來自于企業內部
2、對于管理員的要求:不要信任任何人
3��、分層保護策略:假設某些安全保護層完全失效
4��、服務最小化
5��、為最壞的情況做打算
二、物理安全
1、記錄進出機房的人員名單�,考慮安裝攝像機
2���、審查PROM是否被更換���,可以通過記錄hostid進行比較
3����、每個系統的OpenBoot口令應該不一樣��,口令方案不可預測
4��、系統安裝完畢移除CD-ROM
5、將版本介質放入不在本場地的介質儲藏室中
三���、賬號與口令策略
1、超級用戶的PATH(在/.profile中定義的)設置為:
PATH = /usr/bin:/sbin:/usr/sbin
任何用戶的PATH或者LD_LIBRARY_PATH中都不應該包含“.”
2�、口令文件��、影像文件、組文件
/etc/passwd 必須所有用戶都可讀��,root用戶可寫 –rw-r—r—
/etc/shadow 只有root可讀 –r--------
/etc/group 必須所有用戶都可讀��,root用戶可寫 –rw-r—r--
3�、口令安全
Solaris強制口令最少6位,但是超級用戶修改口令的時候不受這個限制
強迫test賬號每隔30天修改一次口令
#passwd –n 30 test
強迫test賬號在下次登錄的時候修改口令
#passwd –f test
禁止test賬號修改口令
#passwd –n 2 –x 1 test
封鎖test賬號�����,禁止登錄
#passwd –l test
4���、組口令
用newgrp <group>命令臨時改變gid
由于sysadmin組可執行admintool����,必須要保護好���,增加組口令的過程:
刪除不需要的成員(如果成員屬于sysadmin����,改變組時不需要口令)
#passwd <user> (通常封鎖的賬號)
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封鎖user賬號
5、修改口令策略
/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改一次
MINWEEKS=1 口令至多每隔1星期更改一次
WARNWEEKS=3 修改口令后第三個星期會收到快要修改口令的信息
PASSLENGTH=6 用戶口令長度不少于6個字符
6、限制使用su的組(只允許sysadmin組執行su命令)
#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su
7、su的紀錄
/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin
8��、禁止root遠程登錄
/etc/default/login中設置CONSOLE=/dev/null
在/etc/ftpusers里加上root�����。
在SSH 配置文件加:permitRootLogin = no
(Solaris 9自帶SSH����,缺省就禁止root登陸,對 Solaris 9����,/etc/ftpusers 不再使用,FTP配置文件都在 /etc/ftpd/ 下面。如果 ftpd 啟動時存在 /etc/ftpusers,它會被移動到 /etc/ftpd/下)
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上�、軟件上����、所用標準上......�����,各項技術都需要適時應勢,對應發展����,這正是網絡迅速走向進步的催化劑�。
| 
