发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标 题: 网络安全(8)
发信站: cs3 BBS (Mon Jun 16 13:50:39 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出 处: cs3.xmu.edu.cn
(4)组合MACHINE和LOGNAME规则
将MACHINE和LOGNAME规则组合在一行中,可以确保一组系统的统一安全,
而不管远程系统调用局域系统还是局域系统调用远程系统.
LOGNAME=trusted MACHINE=zuul:gozur VALIDATE=zuul:gozur \
REQUEST=yes SENDFILES=yes \
READ=/ WRITE=/ PUBDIR=/usr/spool/trusted \
COMMANDS=rmail:rnews:lp:daps
(5)uucheck命令
一旦建立了Permissions文件,可用uucheck -v命令了解uucp如何解释该
文件.其输出的前几行是确认HONEYDANBER UUCP使用的所有文件,目录,命令都
存在,然后是对Permissions文件的检查.
(6)网关(gateway)
邮件转送可用于建立一个gateway机器.gateway是一个只转送邮件给其它
系统的系统.有了gateway,使有许多UNIX系统的部门或公司对其所有用户只设
一个电子邮件地址.所有发来的邮件都通过gateway转送到相应的机器.
gateway也可用于加强安全:可将MODEM连接到gateway上,由gateway转送
邮件的所有系统通过局域网或有线通讯线与gateway通讯.所有这些局域系统
的电话号码,uucp登录户头,口令不能对该组局域系统外的系统公布.如果有必
要,可使gateway是唯一连接了MODEM的系统.
建立一个最简单的gateway是很容易的:对每个登录进系统,想得到转送邮
件的用户,只需在文件/usr/mail/login中放入一行:
Forward to system !login
要发送给户头login的邮件进入gateway后,将转送给登录在系统system的
户头login下的用户.两个登录名可以不同.
gateway建立了一个安全管理的关卡:gateway的口令必须是不可猜测的,
gateway应尽可能只转送邮送而不做别的事.至少不要将重要数据存放在该机
上.在gateway上还应做日常例行安全检查,并且要对uucp的登录进行仔细的检
查.
gateway也为坏家伙提供了一个入口:如果有人非法进入了gateway,他将
通过uucp使用的通讯线存取其它的局域系统和存取含有关于其它局域系统uucp
信息的Systems文件.若这人企图非法进入其它系统,这些信息将对他具有很大
的用处.
经验:
. 若要建立gateway,应确保其尽可能的无懈可击.
. 可在gateway和局域系统间建立uucp连接,使得局域系统定期的与gateway
通讯获取邮件,而gateway完全不用调用局域系统.这样做至少能防止一
个坏家伙通过gateway非法进入局域系统.
. 利用局域系统的Permissions文件对gateway的行为加以限制,使其裸露
程度达到最小,即只转发邮件.这样可使窃密者不能利用gateway获取其
它系统的文件.
(7)登录文件检查
HONEYDANBER UUCP自动地将登录信息邮给uucp.login文件,应当定期地读
这个文件.系统管理员应当检查那些不成功的大量请求,特别是其它系统对本
系统的文件请求.还要检查不允许做的远程命令执行请求.登录信息都保存在
文件中,如果要查看,可用grep命令查看./usr/spool/uucp/.Log/uucico/system
文件中含有uucico登录,/usr/spool/uucp/.Log/uuxqt/system文件含有uuxqt
登录.下面一行命令将打印出uuxqt执行的所有命令(rmail除外):
grep -v rmail /usr/spool/uucp/.Log/uuxqt/*
下面一行命令将打印所有对本系统文件的远程请求:
grep -v REMOTE /usr/spool/uucp/.Log/uucico/* | grep "<"
总之,HONEYDANBER UUCP比老UUCP提供了更强的安全性,特别是提高了远
程命令执行的安全性.
--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.410毫秒