计算机网络管理技术第章网络安全管理.pptVIP

6.4.2 UNIX/Linux操作系统安全管理 UNIX/Linux是一种适用于多种硬件平台的多用户、多任务操作系统，其安全性是很高的。系统提供了三层的防御体系：账号安全、权限安全和文件系统安全。 1.用户账号和口令 ①默认账号 所有的UNIX系统安装完毕后都有默认账号，有时这些账号有默认的口令或者根本没有口令。这样，它们就成为攻击者最好的突破口。 ②共享账号 UNIX系统的每个用户都应该有自己的专用账号。如果允许用户使用共享，即多个用户使用相同的账号，该账号的安全就被破坏了。 ③口令安全 任何登录UNIX系统的人，都必须输入口令，而口令文件只有超级用户可以读写。 2.用户和用户组 虽然每个UNIX用户都有一个长达8个字符的用户名，但在UNIX／Linux内部只用一个数字来标识每个用户：用户的标识符(UID)。通常，系统为每一个用户分配一个不同的UID。 UID被规定为一个无符号的16位整数，这意味着它的取值范围是0-65535。0-19之间的UID被用来标识系统函数，分配给用户使用的UID通常是从20开始。 UID是操作系统用于识别用户的实际信息，系统提供用户名仅仅是出于方便用户的考虑。如果两个用户被分配给相同的UID，系统将他们视为同一个用户，即使他们有不同的用户名和口令。两个具有相同UID的用户可以自由地读取和删除对方的文件。 出于管理的方便，UNIX／Linux系统还划分了用户组，每个用户都位于一个或者多个用户组中。与用户标识一样，每一个用户组在系统内部也用了一个整数标识，称为用户组标识(GID)。 每一个UNIX／Linux系统都有一个UID为0的特殊用户，它被称作超级用户并且被赋予用户名“root”，其口令通常称为“root口令”。 6.5.1 Internet 安全概述 1.网络安全现状 随着网络应用领域的不断拓展，互联网在全球的迅猛发展，社会的政治、经济、文化、教育等各个领域都在向网络化的方面发展。与此同时，“信息垃圾”、“邮件炸弹”、“电脑病毒”、“黑客”等也开始在网上横行，不仅造成了巨额的经济损失，也在用户的心理及网络发展的道路上投下巨大的阴影。 2.网络软件自身的安全及补丁 网络系统软件是运行管理其他网络软、硬件资源的基础，因而其自身的安全性直接关系到网络的安全。网络系统软件由于安全功能欠缺或由于系统在设计时的疏忽和考虑不周而留下安全漏洞，都会给攻击者以可乘之机，危害网络的安全性。许多软件存在着安全漏洞，一般生产商会针对已发现的漏洞发布“补丁(Patch)”程序。 6.5 Internet安全管理 6.5.2 FTP安全管理 1.FTP的工作原理 (1) FTP连接模式 FTP使用两个独立的TCP连接：一个在服务器和客户端之间传递命令(通常称为命令通道)；另一个用来传送文件和目录列表(通常称为数据通道)。数据通道为端口号20和端口号21，客户端则是用大于1023的端口。 FTP支持两种连接模式，一种叫做standard(也就是active，主动方式)，另一个叫passive模式(也就是pasv，被动方式)。 l Standard模式：FTP 客户端首先和FTP Server的TCP 21端口建立连接，通过这个信道发送命令，客户端需要接收资料的时候在这个信道上发送port命令。 l Passive模式：在建立控制信道的时候和Standard模式类似，当客户端通过这个信道发送PASV 命令的时候，FTP server开启一个位于1024和5000之间的随机Port并且通知客户端在这个Port上传送资料的请求，然后FTP server 将通过这个Port进行资料的传送。 (2) 匿名FTP 当我们登录到匿名FTP服务器后，可多次使用cd和dir来查看资料信息。许多FTP服务器一般把Anonymous用户能访问的文件放在pub子目录下。许多目录都含有readme或index文件，阅读这些文件可以看到对该目录所包含内容的说明。列出文件看看是否有需要的资料后，把需要的资料拷贝到本地计算机中。 一些站点经常为匿名FTP提供空间，以便外部用户能用它上传文件，这个可写空间是非常有用的，但也有不完美的地方。如果这个可写路径被心怀不轨的人得知，就会被Internet上的非法用户作为非法资料的集散和中转地，网上有很多盗版软件包括黄色影像文件通常就是通过这种方法传播的。 既然匿名FTP会对网络安全造成影响，在提供匿名FTP服务时就应该格外小心。可以通过以下方法提高匿名FTP安全