• 售前

  • 售后

热门帖子
入门百科

UNIX防止非法用户注册的技能

[复制链接]
后会无期846 显示全部楼层 发表于 2021-10-25 19:35:16 |阅读模式 打印 上一主题 下一主题
由于SCO Unix利用系统的开放性,网络系统的共享性,数据库的通用性等因素,Unix利用系统数据信息的安全问题显得越来越为突出,特别是终端端口的安全管理工作是目前信息系统安全的重要环节。由于利用系统本身的缺陷,加上营业网点的分散性等因素,留下长途终端包括DDN专线和MODEM的拨号端口以及对外服务终端无法特别羁系的隐患,给非法进入者提供了方便之门,因此必须想法加强对Unix利用系统的端口安全管理,增长端口口令和限制登录端口的用户及工作时间等。
  工作原理:
  利用系统用户注册登录的全过程为:用户打开终端在login:后输入用户名和在passwd:后输入口令字,利用系统接收用户名和口令字后与 /etc/passwd和/etc/shadow文件举行正当性查抄,对照注册名UID码、GID码(表现用户组)、GCOS域(用户个人信息)、注册目次、注册shell(一样平常为/bin/sh即Baurne shell),然后读取终端端口的有关信息,查找 /etc/dialups文件、/etc/d_passwd文件,最后启动 /etc/profile和用户根目次下的 .profile文件(如果c_shell,则实行 /etc/CSh.login和用户根目次下的 .login和.CShrc;如果korn shell,则会实行情况变量ENV所界说的文件)设置用户情况变量,查找提示该用户的mail信息。
  纵观以上过程分析,我们可以简单地在 /etc/dialups文件中加入终端端口设备号,在 /etc/d_passwd文件中加入口令字,以限制非法登录,这是其一;我们还可以修改/etc/profile文件,从中增长一段程序,使之能与我们预先设定的有关用户、端口、工作时间等一些信息的文件举行比力,判断当前注册用户的登录端口、日期和时间是否在我们答应的范围内,否则不答应注册登录。之以是修改文件 /etc/profile而没有利用文件$home/.profile,是由于利用文件/etc/profile 更便于大范围的控制和处置惩罚,这是其二;别的,利用系统在对正当用户注册登录处置惩罚的最后部分是根据该用户根目次下的 $HOME /.profile,设置用户情况变量、终端信息,我们可以在 $HOME/.profile加入该用户业务处置惩罚程序的起动命令并使之退出注册登录状态,以淘汰在该用户根目次下利用 /bin/sh 命令的机会,确保用户根目次下文件的安全。
  基于以上原理,我们得出了三个有用地加强对终端端口限制管理的办法:
  1.增长端口口令,限制长途登录
  长途登录包括通过MODEM拨号、DDN专线访问服务器和通过终端服务器、集线器等登录到系统。以MODEM和DDN专线访问服务器的端标语为/dev/tty1A和/dev/ttya?,此中?为0、1、2……等;通过终端服务器、路由器和集线器访问服务器的端标语为/dev/ttyp?,此中?为0、1、2……等。此时利用的是伪tty设备文件,通常登录的端口是不固定的。因此,必须先实行固定通讯服务器端口设置程序,此程序由通讯服务器生产厂家随产品一起提供。通过在这些设备端口上增长拨入口令,限制长途登录。
  2.限定用户在指定的端口和规定的时间内登录
  当用户注册登录到Unix利用系统时,必须实行系统文件/etc/profile,我们对这一文件举行修改,让系统去读取用户名、端口名、每周工作日期、每天上班时间、每天下班时间。然后依此文件检察用户注册登录的正当性,端口名不在此文件中不受限制,端口名在此文件中但用户名不正确不许登录,用户名和端口名皆正确但工作时间不在规定范围内不许登录。
  3.用户注册登录时立即运行业务处置惩罚程序,退出业务处置惩罚程序时也退出 /bin/sh。

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作