发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(16)
发信站: cs3 BBS (Mon Jun 16 13:14:55 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

10.小系统安全
    任何足够小,运行于办公室的UNIX系统就是小系统.这类小系统也包括所有
台式UNIX机器.根据安全观点,使小系统很特别而值得特别的有以下几点:
    . 小系统的用户比大系统的用户少,通常是很小一组用户,使系统管理员能
      熟悉每个人,安全问题可以直接地面对面处理.
    . 由于小UNIX系统管理更简单,可能只需要一个系统管理员,因而维护系统
      安全的责任只有一个人担负.
    . 如果既是用户又是系统管理员,将不能花大量时间考虑系统安全.
    . 如果自己拥有系统并且是系统管理员,就可能有权直接将违反规的用户从
      系统中删除,而没有几个大系统的管理员能有这种权利.
    . 如果自己是系统的唯一用户,则将既是用户又是管理员,维护系统安全的
      任务就很简单了,只须确保系统中所有登录户头的口令是好的.
    . 如果不能将系统锁起来,就把敏感的数据存放在软盘上,把软盘锁起来.
    . 即使系统中有若干个用户,但如果系统的终端之产是有线连接,并且用户
      们保持门上锁,则系统也将是安全的,至少在本组用户内是安全的.
    . 小系统通常有可移动的介质(软盘),可用mount命令将其安装到系统上,提
      供一种安全的方法让用户自己在系统上安装软盘,否则系统管理员要一天
      到晚地干这些琐碎的安装盘事务.允许用户安装软盘的通常做法是给用户
      一个SUID程序,该程序基本完成与系统管理员安装用户软盘同样的操作,
      首先检查软盘上有无SUID/SGID/设备文件,若发现任何奇怪的文件,则拒
      绝安装该软盘.
    . 当小系统开电源后,系统一般在从硬盘引导以前,先试图从软盘引导.这就
      意味着计算机将首先试图从软盘装入程序,若软盘不在驱动器中,系统将
      从硬盘装入UNIX内核.软盘几乎可以含有任何程序,包括在控制台启动
      root shell的UNIX系统版本.如果破坏者有一把螺丝起子和有关系统内部
      的一些知识,则即便系统有被认为防止安全事故发生的特殊"微码"口令,
      也可能被诱骗去从软盘引导.
    . 即使小系统晚上不锁,凡从不将个人的或秘密的信息存放在大系统上的人
      他们不可能认识所有系统上的用户),也不会想把这样的信息存放在小系
      统上.
    . 小系统的系统管理员在使用UNIX系统方面常不如大系统管理员有经验,而
      安全地管理系统需要一定的使用系统的知识.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]