网络安全手册<一>

(3)uucico程序
uucp和uux命令实际上并不调用另一个系统及传送文件和执行命令,而是将用户的请求排入队列,并启动uucico程序.uucico完成实际的通讯工作.它调用其它的系统,登录,传送数据(可以是文件或请求远程命令执行).如果电话线忙,或其它系统已关机,传输请求仍针保留在队列中,uucico后续的职能操作(通常是cron完成)将发送这些传输请求.
uucico完成数据的发送和接收.在本系统的/etc/passwd文件中,有其它系统的uucico登录进入本系统的入口项,该入口项中指定的缺省shell是uucico. 因此,其它系统调用本系统时,直接与uucico对话.
(4)uuxqt程序
当另一系统的uucico调用本系统请求远程命令执行时,本系统的uucico将该请求排入队列,并在退出之前,启动uuxqt程序执行远程命令请求.
下面举例说明数据是如何传输的.假设本系统的一个用户发送邮件给另一远程系统remote1的某人,mail会执行uux,在remote1系统上远程地运行remail程序,要传送的邮件为remail命令的输入.uux将传输请求排入队列,然后启动uucico招待实际的远程调用和数据传输.如果remote1响应请求,uucico登录到remote1,然后传送两个文件:邮件和将在remote1上由uuxqt执行的uux命令文件.uux命令文件中含有运行remail请求.如果remote1在被调时已关机,uucico 则将无法登和传送文件,但是cron会周期地(1小时)启动uucico.uucico查找是否有还未传送出的数据,若发现uux指定的传输目标系统是remote1,就尝试再调用remote1,直到调通remote1为止,或者过了一定天数仍未调通remote1,未送出的邮件将作为"不可投递"的邮件退回给发送该邮件的用户.
2.UUCP的安全问题
UUCP系统未设置限制,允许任何本系统外的用户执行任何命令和拷贝进/出uucp用户可读/写的任何文件.在具体的uucp应用环境中应了解这点,根据需要设置保护.
在UUCP中,有两个程序处理安全问题.第一个是uucico程序,该程序在其它系统调用本系统时启动.这个程序是本系统uucp安全的关键,完成本系统文件传输的传进和传出.第二个程序是uuxqt,该程序为所有的远程命令执行服务.
(1)USERFILE文件
uucico用文件/usr/lib/uucp/USERFILE确定远程系统发送或接收什么文件,其格式为:

login,sys[c] path_name [path_name...]

其中login是本系统的登录名,sys是远程系统名,c是可选的call_back标志,path_name是目录名.
uucico作为登录shell启动时,将得到远程系统名和所在系统的登录名,并在USERFILE文件中找到匹配login和sys的行.如果该行含有call_back标志c,uucico将不传送文件,连接断开,调用远程系统(即,任何系统可以告诉本系统它的名是xyz,于是本系统挂起,调用实际的xyz执行文件传输),若无c,uucico 将执行远程系统请求的文件传送,被传送的文件名被假定为以path_name开头的.
用户需要了解以下几点:
◆如果远程系统使用的登录名未列于USERFILE的登录域中,uucico将拒绝允许其它系统做任何事,并挂起.
◆如果系统名未列于sys域中,uucico将使用USERFILE中有匹配的登录名和空系统名的第一行,如:nuucp,/usr/spool/uucppublic应用到作为nuucp登录的所有系统.cbuucp,c将迫使作为cbuucp登录的所有系统自
己执行文件传输的请求.若调用系统名不匹配sys系统中的任何一个,并且无空入口项,uucico也将拒绝做任何事.
◆若两个机器都设置了call_back标志,传送文件的请求决不会被执行,两个系统一直互相调用,直到两个系统中的一个取消call_back时,才能进行文件传送.
◆如果一个用户的登录名列于USERFILE文件的login域中,则当调用本系统的uucico为该用户传送文件时,uucico只传送至path_name指定的目录中的文件.空登录名用于所有未明确列于USERFILE文件中的用户进行登录.所以pat,/usr/pat
只允许pat传送/usr/pat目录结构中的文件.
,/usr/spool/uucppublic /tmp
其他用户仅允许传送目录/usr/spool/uucppublic和/tmp中的文件.
不要允许uucico将文件拷进/出到除了/usr/spool/uucppublic目录以外的其它任何目录,否则可能会有人用下面的命令拷贝走本系统的重要信息:
uucp yoursys!/etc/passwd to-creep