第20章节系统安全管理.docxVIP

第20章 系统安全管理 ?系统安全问题是每一个网络操作系统管理员都十分关注的问题。因为任何系统服务都可能存在固有的缺陷和弱点，并对系统安全构成威胁。虽然Solaris对比Linux或Windows，安全漏洞可能相对较少，但我们也不能忽视安全问题。 20.1 系统安全概述 ?Solaris系统安全的第一道防线是对系统访问的控制。控制对系统访问的方法有以下几种。 1．维护系统的物理安全 为了控制对系统的访问，必须保证计算机所处环境的物理安全。比如，一个用户登录计算机后就离开了，这时任何其他人可以利用这个系统访问操作系统和网络。因此要提醒用户注意维护系统的物理安全，避免出现上述的情况。 2．维护登录的控制 使用密码和登录控制来避免对系统或网络的未被授权的登录。系统中的所有账户都应该有密码。因为即使系统中只有一个账户没有密码，对那些知道这个账户或可以猜到这个账户名的人来说整个网络也都是可用的。 3．维护网络控制 计算机往往是网络的一部分。网络就是使得连接在一起的系统之间可以交换信息，并能访问连接到网络中的系统所提供的数据和其他资源。网络提供了一种强大且精密的计算方式。同时，网络也使得破坏系统安全成为可能。 比如，在一个网络中，每个系统都提供了信息的共享。因为很多用户要访问网络，所以不受欢迎的访问出现的机会就会增加。特别是因为用户的错误，比如用户使用了一个很容易被猜到的密码，很容易使这样的情况发生。 具体防范措施就是：首先安装防火墙是控制网络访问，是保障系统安全的有效措施。 其次，即使可以访问系统的用户也要有严格的权限才能访问系统文件和设备，这对保障系统资源使用及系统服务的正常运行非常重要。 4．限制对文件中数据的访问 使用UNIX中对目录和文件的权限设置来对文件中数据访问进行控制。在一个用户对某个文件有读权限的同时，使其他用户改变或删除该文件，也可以把一个文件设置为其他用户都不可读。 5．监控文件或目录的完整性 基本审计和报告工具（BART）是在文件系统级的文件跟踪工具。使用BART工具使你能快速、容易和可靠地得到系统中的软件构成信息。通过对某个目录的不同时间点的比较，可以确认目录中的内容是否被改动。 6．限制对设备的访问 限制对设备的访问，对资源分配系统设备的安全均有重要的意义。Solaris设备策略是限制或防止访问完整的系统设备，它是在内核中强制执行的。设备分配是限制和防止访问外围设备的，它在用户得到分配的时间中是强制配给的。 使用身份验证服务可防止非法用户登录系统。身份验证也是Solaris系统安全保障措施之一。Secure RPC服务负责在客户主机和用户对服务器进行任务申请时做安全身份验证。它使用Diffie-Hellman或Kerberos来进行身份验证。这两种身份验证方法都使用了DES（数据加密标准）来进行加密。 除了DES数据加密外，Solaris加密体系还提供了其他的加密方法。这些加密方法可以为我们带来文件和系统访问等方面的安全保障。只有了解整个加密体系，才能使我们对Solaris系统的安全有全面的认识。 20.2 系统、文件及设备的安全 ?系统、文件和设备的安全是Solaris系统安全的基本组成部分，下面我们进行分别介绍之。 20.2.1 系统访问控制 1．登录和密码的安全 我们可以要求远程的用户在登录系统的时候输入用户名和密码，也可以来监控未能成功登录系统的信息。 （1）如何显示用户的登录状态。 使用logins命令可以显示用户的登录状态。它从用户密码数据库中获得用户的登录状态，这个密码数据库可能是/etc/passwd文件，也可能是其他命名服务的数据库。 ? 例20-1 显示用户的登录状态。 # logins -x -l rimmer rimmer 500 staff 10 Annalee J. Rimmer /export/home/rimmer /bin/sh PS 010103 10 7 -1 选项解释如下： ? -x显示扩展的登录状态信息 ? -l username显示专门用户的登录信息。username就是用户的登录名。 显示信息解释如下： ? rimmer登录的用户名。 ? 500登录用户ID。 ? Staff登录用户主要组名。 ? 10登录用户组的ID。 ? Annalee J. Rimmer注释信息。 ? /export/home/rimmer用户的主目录。 ? /bin/sh用户登录的Shell。 ? PS 010170 10 7 -1用户密码信息，顺次为下列： ? 最后改变密码的信息； ? 需要多少天就要改变一次密码； ? 还要多少天就可改变密码； ? 警告期限。 （2）如何显示出没有密码的用户。 使用-p选项可以显示没有密码的用户列表。 ? 例20-2 显示没有密码的用户。 # log