Unix高级安全设置第四部分-FreeBSD系列(4)

5.2.2.3 创建匿名ftp
所谓匿名ftp，是指其他主机的用户能以ftp或anonymous用户进行数据收发而不要任何密码。

建立方法如下：

1) 用sysadmsh创建ftp用户，在passwd文件表示为：
ftp:x:210:50: :/usr/ftp:/bin/sh
.profile中的路径为：
PATH=$HOME/binHOME/etc
2) 在/usr/ftp目录：
#创建匿名ftp所用的目录
#mkdir bin etc dev pub shlib
#改变pub以外所有目录权限
#chmod 0555 bin etc dev shlib
#改变pub目录的所有者和同组者
#chown ftp pub
#chgrp ftp pub
#复制匿名ftp所执行文件
#cp/bin/rsh/bin/pwd/bin/1s bin
#改变所需执行文件权限
#chmod 011 bin/*
#查看所需伪设备的情况
#1/dev/socksys
#1/dev/null
#建立所需伪设备的驱动程度
#cd/usr/ftp/dev
#mkond null c 4 2
#mkond socksys c 26 0
#改变伪设备驱动程序的所有者、同组者
#chown ftp ftp/*
#chgrp ftp ftp/*
#复制共享文件
#cp/shlib/ilbe_s shlib
注意不要复制/etc/passwd、/etc/proup到etc下，这样对安全具有潜在的威胁。此外给ftp用户加上密码，不要告诉其他任何人。

5.2.2.4 限制.rhosts用户等价文件（又叫受托用户文件）

与之有关命令有rlogin、rcp、rcmd等。
所谓用户等价，就是用户不用输入密码，即可以相同的用户信息登录到另一台主机中。用户等价的文件名为.rhosts，存放在根下或用户主目录下。它的形式如下：

#主机名 用户名
ash020000 root
ash020001 dgxt
…
如果用户名为空，是所有用户均等价。

5.2.2.5 限制hosts.equiv主机等价文件，(又叫受托主机文件)
有关的命令为rlogin、rcp、rcmd等。主机等价类似于用户等价，在两台计算机除根目录外的所有区域有效，主机等价文件为hosts.equiv，存放在/etc下，它的形式如下：

#主机名 用户名
ash020000
ash020001
…
当远程使用ftp访问本系统时，UNIX系统首先验证用户名和密码，无误后查看ftpusers文件，一旦其中包含登录所用用户名则自动拒绝连接，从而达到限制作用。因此我们只要把本机内除匿名ftp以外的所有用户列入ftpusers文件中，即使入者获得本机内正确的用户信息，无法登录系统。需对外发布的信息，放到/usr/ftp/bub下，让远方通过匿名ftp获取。使用匿名ftp，不需密码，不会对本机系统的安全构成威胁，因为它无法改变目录，也就无法获得本机内的其他信息。使用.netrc配置，需注意保密，防止泄露其他相关主机的信息。

使用用户等价和主机等机这类访问，用户可以不用口令而像其他有效用户一样登录到远程系统，远程用户可使用rlogin直接登录而不需密码，还可使用rcp命令向或从本地主机复制文件，也可使用rcmd远程执行本机的命令等。因此主种访问具有严重的不安全性，必须严格控制或在非常可靠的环境下使用。1998年美国发现的著名的“蠕虫”病毒，由一个叫英尔（morris）的年青人编写的，在Internet网上流传开，造成许多UNIX系统的瘫痪，损失达数亿美元，其重要的传播手段之一就是利用了用户等价和主机等价的配置。慎重使用（最好不用）和经常检查上述文件，会有效加强系统安全。

UNIX系统没有直接提供对telnet的控制。但我们知道，/etc/profile是系统默认shell变量文件，所有用户登录时必须首先执行它。如果我们在该文件首部增加如下几条shell命令：

#设置中断变量
trap\' \' 0 1 2 3 4 5 15
umask 022
#获取登录终端名
dc=“\'who am i |awk‘[prin $2]’`”
#检查是否受限
grep $de /etc default/aaa >dev/null 2>&1
#如果受限
if [$?=“0”]
then
echo“请输入密码:\\c”
read abc
#获取正确密码
dd=“grep root /etc/edfault/aaa|awk’[pint $2]’`”
#非法用户发出警告信息到主控台
法[“$abc”!=$dd]
then
echo “非法用户！”
echo“有非法用户试图登录！”>tev/tty01
logname>/dev/tty01
#同时记载日记文件
echo“有非法用户试图登录！\\c”> >/usr/tmp/err
echo $dc> >/usr/tmp/err
logname > >/usr/tmp/err
exit；
fi；
fi

其中/etc/default/aaa是受限终端名的一个文本文件，root后为密码，它的内容如下：

root qwerty
ttyp0
ttyp1
ttyp2
ttyp3
ttypa
ttypb
…
这样非法用户即例获得了合法的用户名和密码，也无法远程使用。系统管理员定时阅读日记文件，注意控制台信息，就能获得被非法访问的情况，及时采取措施。如果用c语言实现上述过程，把接受爱变成不可显示，效果更佳。

5.2.3 加强对重要资料的保密
它主要包括hosts表、X.25地址、路由、连接调制解调器的电脑号码及所用的通信软件的种类、网内的用户名等，这些资料都应采取一些保密措施，防止随意扩散。如可向电信部门申请通信专用的电话号码不刊登、不供查询等。由于公共的或普通邮电交换设备的介入，信息通过它们后可能被篡改或泄露。

5.2.4 加强对重要网络设备的管理
路由器在网络安全计划中是很重要的一环。现在大多数路由器已具备防火墙的一些功能，如禁止telnet的访问、禁示非法的网段访问等。通过网络路由器进行正确的存取过滤是限制外部访问简单而有效的手段。
有条件的地方还可设置网关机，将本网和其他网隔离，网关机上不存放任何业务数据，删除除系统正常运行所必须的用户外所用的用户，也能增强网络的安全性。

总之，只要我们从现在做起，培养网络安全意识，并注意经验的积累和学习，完全可能
保证我们信息系统的安全、正常运行。