基于Unix环境的敏感数据隔离模型.docxVIP

基于Unix环境的敏感数据隔离模型公司研发的软件产品、企业信息的核心数据，当然不希望员工随意散布，但如果太限制员工的网络自由会引起大家的反感。本文向大家介绍一种权宜的方法，允许员工网络自由的同时保护公司的代码和数据。说明：以下步骤，非特殊说明所有操作都需root用户执行。第一步：限制服务器端口。设置防火墙，只公开必须开启服务的端口，如果是开发机。只开启sshd（22）和ftp(20,21)端口。iptabales配置示例如下：[root@tp ~]# iptables -P INPUT DROP #默认禁止一切通信传入[root@tp ~]# iptables -P OUTPUT DROP #默认禁止一切通信传出允许sshd和ftp服务。[root@vmleman ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT[root@vmleman ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT[root@vmleman ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[root@vmleman ~]# iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT[root@vmleman ~]# iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT[root@vmleman ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT允许loopback(可用于本地访问来做软件测试)[root@vmleman ~]# iptables -A INPUT -i lo -p all -j ACCEPT[root@vmleman ~]# iptables -A OUTPUT -o lo -p all -j ACCEPT第二步：禁用系统sftp功能：在/etc/ssh/sshd_config里面找到下面一行并将其注释。#Subsystem sftp /usr/libexec/openssh/sftp-server至此，用户无法通过sftp传输文件。此配置重启后才生效。第三步：配置ftp文件传出策略：任何系统都需要和外界沟通，完全独立的系统没有意义，这一步将实现这个特殊通道，允许特殊文件（如编译后的可执行文件）传出。以vsftpd（配置文件为：/etc/vsftp/vsftpd.conf）为例，说明ftp服务器访问策略配置。1）修改vsftpd配置文件如下：# local_enable=YES （禁止本地用户用户登入ftp服务器）anonymous_enable=YES （允许匿名用户访问，vsftpd默认为允许）2）确保匿名用户主目录及其子目录对普通用户没有写权限。现在匿名用户所在目录（/var/ftp/）任何人都可访问，相当于外部环境，因此不允许一般用户写入，否则数据将会传出。[rhel5@vmleman ftp]$ ls -ld `find /var/ftp/`drwxr-xr-x 3 root root 4096 2011-09-08 /var/ftp/drwxr-xr-x 2 root root 4096 2007-12-13 /var/ftp/pubCentOS系列默认就是没有写权限的，基本不需要修改。第四步：编写传出文件检查脚本。这个脚本主要用来检查传输的文件进行检查。这个脚本设置为只有root有权限执行，其他用户没有任何权限。[root@vmleman ~]# ls -l /root/bin总计 8-rwx------ 1 root root 575 09-04 15:04 chkcp.sh这里的chkcp.sh是一个示例的shell脚本（你可以使用任何语言，或者是C），检查只允许可执行文件才可以传出来：#/bin/bashexport LANG=en_USif [ $# != 2 ]; then echo usage: chkcp.sh srcfile dstfile; exitfifiletype=`file ${1} ` #得到文件类型 allow=`echo ${filetype%:.*} |grep executable.*object module` #检查是否为AIX的XCOFF可执行文件if [ -z $allow ]; thenallow=`echo ${filetype%:.*} |grep ELF` #检查是否为Linux的ELF可执行文件 if [ -z $allow ]; then echo deny ${