使用自由软件维护异构网络的安全(9)

　　ndd，允许改变IP栈的参数。比如它可以隐藏系统的fingerprints。一个被识别出的系统更容易受到攻击，因为入侵者知道从哪里”下手”会更容易。使用ndd，你可以改变最大段尺寸（MSS）。默认的情况下，Solaris2.6是５３６。命令ndd -set /dev/tcp tcp_mss_def 546,可以使MSS变为546。越高越好（也不能太多）。不过，Nmap可以找到这个弱点（值设的过大）。如果你运行Solaris，你可以自在的使用ndd。这里有很多的可选项：检查一下man帮助：

　　你可以使用IP Filter，一个包过滤工具。在以下的网址可以找到： ftp://coombs.anu.edu/pub/net/ip-filter.

　　涉及到Irix，情形又有不同！SGI（ex Silicon Graphics）如其名曰，是专用的图形设计的系统。安全不是它的关注的重点。小心没大错，应该强制性地提供工具减少危险。

　　ipfilterd在Irix中的发布中提供，但是在缺省情况下没有安装：你应该找到它！ipfilterd当然是个包过滤软件，这样你可以拒绝某人的访问。你可以在一个叫做ipfilterd.conf的文件中设置并且这里还有一点小奇巧。这个文件的字符比较奇特并且它不是空格和空行。如果你想让一个叫做mars的机器和一个叫做jupiter的机器（是SGI工作站的名子），你需要键入以下的命令：

　　accept -i ec0 between jupiter mars

　　在这个机器中，文件没有被列举的是不允许进入jupiter的。更甚的是：如果你没有使用systune改变 ipfilterd_inactive_behavior的参数，没有人能够进入这台机器。很有效率，不是吗？这个参数的默认设为１，并且你应该使用systune -i ipfilterd_inactive_behavior 0 命令把它变成０。

　　另一个尽人皆知的事情是Irix有易个很”好”的易入侵性的东西，它是fam（文件变更监视器）。这个程序有一个很好的特性，在各个后台程序间通讯。比如，它可以使得文件管理器得到一个很漂亮的图标。很遗憾地，这里只有一件事情可以做的：关闭它！悲惨吧，但就要这么干。

　　为了结束Unix系统的讨论，让我们提一下QNX，它是很容易受到攻击的，但是你同样可以从自由软件中受益。Mac OS X也提供一些工具。