SCO UNIX系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范

janlen

SCO Unix操作系統(tǒng)因其運(yùn)行穩(wěn)定，對硬件配置的要求不高，目前正被廣泛應(yīng)用于銀行、電信、保險(xiǎn)、證券、鐵路等行業(yè)，但這些行業(yè)一般都不是單機(jī)應(yīng)用，而是使用內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)處理，對系統(tǒng)安全性的要求又相當(dāng)高。SCO Unix支持網(wǎng)絡(luò)功能，但網(wǎng)絡(luò)安全要靠系統(tǒng)管理員手工限定。
　　筆者單位用裝有SCO OpenServer5.0.5版本操作系統(tǒng)的IBM Netfinity系列服務(wù)器作為應(yīng)用系統(tǒng)的前置機(jī)，后臺主機(jī)用RS/6000小型機(jī)，考慮到應(yīng)用的實(shí)際情況，租用電信的DDN線路來連接各前置機(jī)和主機(jī)。整個(gè)網(wǎng)絡(luò)除本單位內(nèi)部各主機(jī)可以互通外，還與人行和其他中間業(yè)務(wù)單位的主機(jī)互通。雖然在路由器上進(jìn)行了一定的安全設(shè)置，但網(wǎng)絡(luò)上主機(jī)互通給系統(tǒng)帶來了極大的不安全因素。筆者根據(jù)多年的系統(tǒng)維護(hù)和開發(fā)經(jīng)驗(yàn)，對單位的所有前置機(jī)進(jìn)行了一定的安全限制，最大限度地保障了應(yīng)用需要和系統(tǒng)安全，以下步驟均在SCO OpenServer5.0.5操作系統(tǒng)上應(yīng)用通過。
　　1.為所有前置機(jī)建立信任關(guān)系
　　中心機(jī)房備有一臺和前置機(jī)相同配置的服務(wù)器，專門用來管理前置機(jī)，也用此機(jī)對前臺進(jìn)行應(yīng)用程序的上傳更新。通過下面的方法建立信任關(guān)系，如管理機(jī)的主機(jī)名為sqls，地址為130.30.1.200，則在前置機(jī)的/etc/hosts文件中加入一行130.30.1.200 sqls，然后在前置機(jī)的超級用戶根目錄下創(chuàng)建文件.rhosts，文件寫入sqls后保存。SCO Unix操作系統(tǒng)安裝時(shí)并沒有.rhosts文件，需要建立信任關(guān)系時(shí)，必須手工建立此文件。建立好信任關(guān)系后，管理機(jī)就可以直接用rlogin、rcp等遠(yuǎn)程命令來管理和控制前置機(jī)了，所有這些r 開頭的命令都不需要輸入密碼。而前置機(jī)則不允許直接rlogin 到管理機(jī)上，所以信任關(guān)系的建立是單向的。我們要求下級信用社的系統(tǒng)管理員自己掌握超級用戶和一般用戶的密碼，并定期更換。建立信任關(guān)系后，日常管理和維護(hù)就方便了。
　　2.修改Telnet、Ftp端口參數(shù)
　　我們知道，無論是Windows還是Unix操作系統(tǒng)，都有端口號這個(gè)概念，計(jì)算機(jī)之間的通訊，是通過對應(yīng)的端口號實(shí)現(xiàn)的。一般系統(tǒng)都用缺省的端口號，比如Ftp的端口號為21，Telnet的端口號為23，Http的端口號為80 等，當(dāng)我們使用Telnet登錄到其它計(jì)算機(jī)上時(shí)，系統(tǒng)就使用默認(rèn)端口號23，這是很不安全的。筆者對轄內(nèi)的前置機(jī)和管理機(jī)進(jìn)行了Telnet和Ftp端口號的更改，具體為編輯/etc/services文件，找到想要修改的Telnet和Ftp行，修改端口號，比如把Telnet的23/tcp改成6364/tcp，但不要用/etc/services文件中已存在的端口號。這樣使用Telnet命令登錄到該主機(jī)時(shí)，必須給出端口號，即用Telnet xxx.xxx.xxx.xxx 6364 才能進(jìn)行登錄，否則會被系統(tǒng)拒絕。通過修改端口號可以使不知道相應(yīng)端口號的遠(yuǎn)程用戶不能登錄，進(jìn)一步提高了系統(tǒng)的安全性。
　　3.禁止對前置機(jī)使用Ftp傳輸文件
　　如果系統(tǒng)對用戶的Ftp權(quán)限不做限制，那么用戶不僅可以通過Ftp來獲得操作系統(tǒng)的重要文件（如/etc/passwd、/etc/hosts等），還可以進(jìn)一步得到其他重要的數(shù)據(jù)文件，造成數(shù)據(jù)的泄露。筆者單位的前置機(jī)上因裝有多個(gè)應(yīng)用系統(tǒng)，建立的用戶也比較多，所以應(yīng)對大部分用戶的Ftp權(quán)限進(jìn)行限制。具體做法是，創(chuàng)建編輯/etc/ftpusers文件，把不允許使用Ftp功能的用戶寫到該文件中，每個(gè)用戶占一行，保存后即時(shí)生效，這些用戶就不能使用Ftp命令進(jìn)行連接了。
　　4.禁止外來主機(jī)遠(yuǎn)程登錄到前置機(jī)
　　筆者單位以前曾經(jīng)發(fā)生過這樣的事情，某個(gè)信用社的系統(tǒng)管理員利用其他途徑獲得了另外一個(gè)信用社前置機(jī)的用戶密碼，于是他就通過自己的主機(jī)遠(yuǎn)程登錄到另外那個(gè)信用社的計(jì)算機(jī)上，進(jìn)行一些非法操作。雖然沒造成嚴(yán)重的后果，但這件事給筆者敲響了警鐘，必須嚴(yán)格限制非法登錄。筆者首先在/etc/profile文件中case "$0" in -sh | -rsh | -ksh | -rksh)下添加限制非授權(quán)主機(jī)遠(yuǎn)程登錄代碼：
　　remote_ip=who -mx|awk ‘{print $6}’
　　PTTY=who -mx|awk ‘{ printf“%.4s\n”, $2; }’
　　if [ “$PTTY” =“ttyp” ]
　　then
　　remote=who -mx
　　if [ -n “remote_ip” -a “x$remote_ip” != “x” ]
　　then
　　case $remote_ip in
　　130.30.1.100) echo “成功 $remote $LOGNAME” >> /usr/adm/telnet.log;;
　　130.30.1.201) echo “成功 $remote $LOGNAME” >> /usr/adm/telnet.log;;
　　sqls) echo “成功 $remote $LOGNAME”>> /usr/adm/telnet.log;;
　　*)
　　echo “被殺 $remote” >> /usr/adm/telnet.log
　　echo “\n\t\t哈哈哈！你被我抓到了！你的地址($remote_ip)”
　　echo “ ”
　　exit
　　esac
　　fi
　　fi
　　以上代碼用來記錄遠(yuǎn)程登錄到本機(jī)的歷史，筆者創(chuàng)建的日志文件為/usr/adm/telnet.log，該文件會記錄遠(yuǎn)程用戶登錄時(shí)的用戶名、時(shí)間、終端號以及IP地址，可以隨時(shí)查看此文件。然后在所有用戶的.profile文件里加入trap''0 1 2 3 14 15，屏蔽鍵盤中斷，防止允許遠(yuǎn)程登錄的主機(jī)用鍵盤中斷進(jìn)入操作系統(tǒng)的命令行提示符。
　　5.清除SCO Unix系統(tǒng)中的大漏洞
　　完成上面的幾步后，應(yīng)該說已經(jīng)比較安全了，但還是存在不安全因素，因?yàn)镾CO Unix 有一個(gè)大BUG——任何普通用戶都可以成為超級用戶，筆者相信知道這個(gè)漏洞的人不會很多，但作為一個(gè)金融計(jì)算機(jī)工作者，有必要向國內(nèi)所有同行提個(gè)醒，及早消除安全隱患�？蛇M(jìn)行如下操作：
　�、儆闷胀ㄓ脩舻卿浀较到y(tǒng)，然后進(jìn)入一個(gè)可以寫的目錄；
　�、趌n /etc/shadow debug.log；
　�、�/etc/sysadm.d/bin/userOsa >>ttt。
　　則/etc/shadow文件被覆蓋，任何人可以用/etc/passwd中存在的任何用戶登錄而無需密碼。若第二步改為ln /etc/passwd debug.log 則/etc/passwd被覆蓋，誰也登錄不上來了！之所以會出現(xiàn)這樣的現(xiàn)象，主要是因?yàn)镾CO Unix 中/etc/sysadm.d/bin/us-erOsa 程序在運(yùn)行時(shí)會生成一個(gè)名叫debug.log的文件，這個(gè)文件用戶屬于root 組，而且此程序有BUG，不會檢查用戶權(quán)限，因此可以覆蓋任何文件，包括passwd和shadow。你在一個(gè)可寫目錄中建立連接將某個(gè)文件指向debug.log文件，運(yùn)行userOsa將出錯(cuò)信息寫入debug.log文件時(shí)，實(shí)際上就覆蓋了那個(gè)你想破壞的文件！奇怪的是，這個(gè)漏洞好像跟機(jī)器有關(guān)系，筆者單位有20%的計(jì)算機(jī)存在此漏洞，而其余的計(jì)算機(jī)做第二步連接時(shí)就報(bào)錯(cuò)。要清除此漏洞，可用超級用戶登錄，進(jìn)到/etc/sysadm.d/bin下，執(zhí)行chmod o-x userOsa即可。


本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u/13151/showart_69699.html