发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 网络安全(14)
发信站: cs3 BBS (Mon Jun 16 13:50:53 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

  (2)NFS安全性方面的缺陷
      SUN的远程过程调用(RPC)机制已被证明可以用来建立有效的网络服务,最
  有名的服务是NFS,它实现了不同机器,不同操作系统之间透明的文件共享.但
  NFS并非毫无缺陷.通常NFS鉴别一个写文件的请求时是鉴别发出这个请求的机
  器,而不是用户.因而,在基于NFS的文件系统中,运行su命令而成为某个文件的
  拥有者并不是一件困难的事情.同样,rlogin命令使用的是与NFS同样的鉴别机
  制,也存在与NFS一样的在安全性方面的弱点.
      对网络安全问题一个通常的办法是针对每一个具体的应用来进行解决.而
  更好的办法是在RPC层设置鉴别机构,使对所有的基于RPC的应用都使用标准的
  鉴别机构(比如NFS和Yellow pages).于是在SUN OS系统中就可以对用户的机
  器都进行鉴别.这样做的优点是使计算机网络系统更像过去的分时系统.在每
  台机器上的用户都可登录到任何一台机器;就象分时系统中任何一个终端上的
  用户都可登录到主机系统一样,用户的登录口令就是网络的安全保证.用户不
  需要有任何有关鉴别系统的基础.SUN系统的目标是让网络系统成为既安全又
  方便的分时系统.
      要注意以下几点:
      . 任何人只要他拥有root存取权并具备较好的网络程序设计知识,他就可
        以向网络中加入二进制数据或从网络中获得数据.
      . 在采用以太网结构的局域网的工作中不可能发生信息包被窜改(即被传
        送的信息包在到达目的站之前,被捕获并将其修改后按原路径发出),因
        为所有的信息包都将几乎同时到达目的站之前,被捕获并将其修改后按
        原路径发出),但在网关上发生包被窜改则是有可能的.因而应确保网络
        中所有网关都是可靠的.
      . 对网络系统最危险的攻击是同向网络中加入数据有关的事件,例如通过
        生成一个合法的信息包来冒充某个用户;或记录下用户会话的内容,并
        在晚一些时候再回答它们.这些都会严重的影响数据的完整性.
      . 至于偷看信息这类侵袭(仅仅是偷看网络中传送的内容而不冒充任何人)
        将可能造成失密,但并不十分危险,因为数据的完整性没有被破坏,而且
        用户可通过对需要保密的数据进行编码来保护数据的专用.
      总之,在任何意义上要完全明白网络传送的各种问题并不是很容易的,需
  不断实践分析.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]