阻擋非法用戶登陸SCO UNIX

sdccf

由于SCO UNIX的缺陷，加上信合營業(yè)網(wǎng)點(diǎn)分散等因素，留下了遠(yuǎn)程終端，包括DDN專線和MODEM的撥號(hào)端口及對(duì)外服務(wù)終端無法特別監(jiān)管的隱患，給非法進(jìn)入者提供了方便之門。因此必須設(shè)法加強(qiáng)對(duì)UNIX操作系統(tǒng)的端口安全管理，增加端口口令，限制登錄端口的用戶及工作時(shí)間。
　　工作原理
　　操作系統(tǒng)用戶注冊(cè)登錄的過程為：操作系統(tǒng)接收用戶名和口令字后與/etc/passwd和/etc/shadow文件進(jìn)行合法性檢查，對(duì)照注冊(cè)名UID碼、GID碼（表示用戶組）、GCOS域（用戶個(gè)人信息）、注冊(cè)目錄、注冊(cè)shell（一般為/bin/sh即Baurne shell），然后讀取終端端口的有關(guān)信息，查找 /etc/dialups文件、/etc/d_passwd文件，最后啟動(dòng)/etc/profile和用戶根目錄下的 .profile文件（若是c_shell，則執(zhí)行/etc/csh.login和用戶根目錄下的.login和.cshrc；若是korn shell，則會(huì)執(zhí)行環(huán)境變量ENV所定義的文件）配置用戶環(huán)境變量，查找提示該用戶的mail信息。
　　通過以上分析，我們可以簡(jiǎn)單地在/etc/dialups文件中加入終端端口設(shè)備號(hào)，在/etc/d_passwd文件中加入口令字，限制非法登錄，這是其一。我們還可以修改/etc/profile文件，從中增加一段程序，使之能與我們預(yù)先設(shè)定的有關(guān)用戶、端口、工作時(shí)間等一些信息的文件進(jìn)行比較，判斷當(dāng)前注冊(cè)用戶的登錄端口、日期和時(shí)間是否在我們?cè)试S的范圍內(nèi)，否則不允許注冊(cè)登錄。之所以修改文件/etc/profile而沒有使用文件$home/.profile,是因?yàn)槭褂梦募?etc/profile更便于大范圍的控制和處理，這是其二。另外，操作系統(tǒng)對(duì)合法用戶注冊(cè)登錄處理的最后部分是，根據(jù)該用戶根目錄下的$home/.profile，設(shè)置用戶環(huán)境變量、終端信息，我們可以在$home/.profile加入該用戶業(yè)務(wù)處理程序的起動(dòng)命令并使之退出注冊(cè)登錄狀態(tài)，以減少在該用戶根目錄下使用/bin/sh命令的機(jī)會(huì)，確保用戶根目錄下文件的安全。
　　基于以上原理，我們得出了三個(gè)有效地加強(qiáng)對(duì)終端端口限制管理的辦法。
　　1.增加端口口令，限制遠(yuǎn)程登錄
　　遠(yuǎn)程登錄包括通過MODEM撥號(hào)、DDN專線訪問服務(wù)器和通過終端服務(wù)器、集線器等登錄到系統(tǒng)。MODEM和DDN專線訪問服務(wù)器的端口號(hào)為/dev/tty1A和/dev/ttya?，其中？為0、1、2......等（下同）。通過終端服務(wù)器、路由器和集線器訪問服務(wù)器的端口號(hào)為/dev/ttyp？。此時(shí)使用的是偽tty設(shè)備文件，通常登錄的端口是不固定的。因此，必須先執(zhí)行固定通信服務(wù)器端口設(shè)置程序通過在這些設(shè)備端口上增加撥入口令，限制遠(yuǎn)程登錄。
　　2.限定用戶在指定的端口和規(guī)定的時(shí)間內(nèi)登錄
　　當(dāng)用戶注冊(cè)登錄到UNIX操作系統(tǒng)時(shí)，必須執(zhí)行系統(tǒng)文件/etc/profile。我們對(duì)這一文件進(jìn)行修改，讓系統(tǒng)去讀取用戶名、端口名、每周工作日期、每天上班時(shí)間、每天下班時(shí)間，然后依此文件審查用戶注冊(cè)登錄的合法性。端口名不在此文件中不受限制；端口名在此文件中但用戶名不正確不許登錄；用戶名和端口名皆正確但工作時(shí)間不在規(guī)定范圍內(nèi)不許登錄。
　　3.用戶注冊(cè)登錄立即運(yùn)行業(yè)務(wù)處理程序，退出業(yè)務(wù)處理程序也退出/bin/sh
　　用戶注冊(cè)登錄時(shí)系統(tǒng)訪問了用戶根目錄下面的$home/.profile，為了使用戶合法注冊(cè)登錄后即進(jìn)入運(yùn)行業(yè)務(wù)處理程序，或退出業(yè)務(wù)處理程序同時(shí)退出注冊(cè)登錄狀態(tài)，我們可以對(duì)$home/.profile進(jìn)行修改使用戶退出業(yè)務(wù)處理程序時(shí)，退至login：狀態(tài)。(這一點(diǎn)，信合網(wǎng)點(diǎn)的UNIX系統(tǒng)還得加強(qiáng)檢查）
　　以上三種方法加強(qiáng)了UNIX操作系統(tǒng)端口設(shè)備的安全管理，可以分開使用，也可以合并使用，達(dá)到對(duì)一些遠(yuǎn)程登錄端口和公眾場(chǎng)合端口限制管理的目的，有效地阻止了非法用戶的登錄


本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/31/showart_503170.html