发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 用户安全(4)
发信站: cs3 BBS (Sun Jun 15 23:01:46 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

10.保持户头安全的要点
  (1)保持口令的安全
     *不要将口令写下来.
     *不要将口令存于终端功能键或MODEM的字符
      串存储器中
     *不要选取显而易见的信息作口令.
     *不要让别人知道.
     *不要交替使用两个口令.
     *不要在不同系统上使用同一口令.
     *不要让人看见自己在输入口令.
  (2)不要让自己的文件或目录可被他人写.
     *如果不信任本组用户,umask设置为022.
     *确保自己的.profile除自己外对他人都不
      可读写.
     *暂存目录最好不用于存放重要文件.
     *确保HOME目录对任何人不可写.
     *uucp传输的文件应加密,并尽快私人化.
  (3)若不想要其他用户读自己的文件或目录,就
     要使自己的文件和目录不允许任何人读.
     *umask设置为006/007.
     *若不允许同组用户存取自己的文件和目录,
      umask设置为077.
     *暂存文件按当前umask设置,存放重要数据
      到暂存文件的程序,就被写成能确保暂存
      文件对其他用户不可读.
     *确保HOME目录对每个用户不可读.
  (4)不要写SUID/SGID程序.
  (5)小心地拷贝和移文件.
     *cp拷贝文件时,记住目的文件的许可方式
      将和文件相同,包括SUID/SGID许可在内,
      如目的文件已存在,则目的文件的存取许
      可和所有者均不变.
     *mv移文件时,记住目的文件的许可方式
      将和文件相同,包括SUID/SGID许可在内,
      若在同一文件系统内移文件,目的文件的
      所有者和小组都不变,否则,目的文件的
      所有者和小组将设置成本用户的有效UID
      和GID.
     *小心使用cpio命令,它能复盖不在本用户
      当前目录结构中的文件,可用t选项首先
      列出要被拷贝的文件.
  (6)删除一个SUID/SGID程序时,先检查该程序
     的链接数,如有多个链,则将存取许可方式
     改为000,然后再删除该程序,或先写空该
     程序再删除,也可将该程序的i结点号给
     系统管理员去查找其他链.
  (7)用crypt加密不愿让任何用户(包括超级
     用户)看的文件.
     *不要将关键词做为命令变量.
     *用ed -x或vi -x编辑加密文件.
  (8)除了信任的用户外,不要运行其他用户的
     程序.
  (9)在自己的PATH中,将系统目录放在前面.
  (10)不要离开自己登录的终端.
  (11)若有智能终端,当心来自其他用户,包括
     write命令,mail命令和其他用户文件的信
     息中有换码序列.
  (12)用CTRL+D或exit退出后,在断开与系统的
     联接前等待看到login:提示.
  (13)注意cu版本.
     *不要用cu调用安全性更强的系统.
     *除非确信cu不会被诱骗去发送文件,否则
      不要用cu调用安全性较弱的系统.

※ 修改:·netman 於 Jun 15 23:01:46 修改本文·[FROM:     210.34.9.28]
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]