對(duì)于Unix操作系統(tǒng)來(lái)說(shuō)，受到攻擊已經(jīng)是很經(jīng)常的事情了，很多人會(huì)把Unix操作系統(tǒng)作為攻擊的對(duì)象，我們?cè)谶@里為大家講解關(guān)于如何解決攻擊的3個(gè)工具。下面，我們一起來(lái)學(xué)習(xí)吧。

NFS(Network File System)服務(wù)。

此服務(wù)允許工作站通過(guò)網(wǎng)絡(luò)系統(tǒng)共享一個(gè)或多個(gè)服務(wù)器輸出的文件系統(tǒng)。早期的NFS協(xié)議使用RPC(Remote Procedure Call)進(jìn)行客戶機(jī)與服務(wù)器數(shù)據(jù)交換，由于用戶不經(jīng)登錄就可以閱讀或更改存儲(chǔ)在NFS服務(wù)器上的文件，使得NFS服務(wù)器很容易受到攻擊。

為了確保基于Unix操作系統(tǒng)的所有NFS服務(wù)器均支持Secure RPC，Secure RPC使用DES加密算法和指數(shù)密鑰交換技術(shù)驗(yàn)證每個(gè)NFS RPC請(qǐng)求的身份。

當(dāng)Unix操作系統(tǒng)用戶登錄到某臺(tái)工作站時(shí)，login程序從NIS(Network Information System)數(shù)據(jù)庫(kù)中獲得一個(gè)包含用戶名、用戶公鑰以及用于用戶口令加密的用戶私鑰三項(xiàng)內(nèi)容的記錄（在Secure RPC4.1以上版本中，私鑰被保存在內(nèi)存中的 Keyserver進(jìn)程中），而工作站和服務(wù)器用自已的私鑰和對(duì)方的公鑰產(chǎn)生一個(gè)Session Key。

隨后工作站產(chǎn)生一個(gè)56位隨機(jī)Conversation Key,用Session Key加密后傳給服務(wù)器,登錄時(shí)均使用Conversation Key進(jìn)行加密。在數(shù)據(jù)傳輸過(guò)程中，服務(wù)器通過(guò)以下推理確認(rèn)用戶身份是否合法。首先用戶傳送的包是用Conversation Key加密的；其次只有知道用戶的私鑰才能產(chǎn)生Conversation Key;最后必須知道口令才能解開(kāi)加密的私鑰。

使用NFS還應(yīng)注意以下幾點(diǎn)：盡可能以只讀方式輸出文件Unix操作系統(tǒng)；只將必須輸出的文件系統(tǒng)輸出給需要訪問(wèn)的客戶，不要輸出本機(jī)的可執(zhí)行文件，或僅以只讀方式輸出；不要輸出所有人都可以寫的目錄；不要輸出用戶的home目錄；將所有需要保護(hù)的文件的owner設(shè)為root，權(quán)限均設(shè)為755(或644),這樣即使工作站上的root帳號(hào)被攻破，NFS服務(wù)器上的文件仍能受到保護(hù)；可使用fsirand程序，增加制造文件句柄的難度。

NIS (Network Information System)服務(wù)。

這是一個(gè)分布式數(shù)據(jù)系統(tǒng)，計(jì)算機(jī)用它能夠通過(guò)網(wǎng)絡(luò)共享passwd文件、group文件、主機(jī)表和一些類似的資源。通過(guò)NIS和NFS，整個(gè)網(wǎng)絡(luò)系統(tǒng)中所有工作站的操作就好象在使用單個(gè)計(jì)算機(jī)Unix操作系統(tǒng)，而且其中的過(guò)程對(duì)用戶是透明的。

但在NIS系統(tǒng)中，用戶可以編寫程序模仿ypserv來(lái)響應(yīng)ypbind的請(qǐng)求，從而獲取用戶的口令。因此，NIS客戶最好使用ypbind的secure選項(xiàng)，不接受非特權(quán)端口(即端口號(hào)小于1024)的ypserv響應(yīng)。

finger服務(wù)。

通常使用finger命令是為了查看本地或遠(yuǎn)程網(wǎng)絡(luò)Unix操作系統(tǒng)中當(dāng)前登錄用戶的詳細(xì)信息,但同時(shí)也為入侵者提供了成功入侵系統(tǒng)的機(jī)會(huì)。所以，最好禁止使用finger。

我們?cè)谶@里就講解Unix操作系統(tǒng)的這3種服務(wù)，希望對(duì)大家有所幫助。我們應(yīng)該建立一整套網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)章和防范措施，經(jīng)常進(jìn)行監(jiān)督檢查，使安全管理規(guī)章和防范措施落到實(shí)處。

【編輯推薦】

1. 配置Unix操作系統(tǒng)打印接口
2. 完美解析Unix操作系統(tǒng)中sar命令
3. 如何文件切割Unix操作系統(tǒng)
4. 講解Unix操作系統(tǒng)引導(dǎo)過(guò)程
5. 解析Unix操作系統(tǒng)變種SCO UnixWare