講解安全Unix操作系統(tǒng)關(guān)機(jī)用戶
Unix操作系統(tǒng)有很多值得學(xué)習(xí)的地方,這里我們主要介紹Unix操作系統(tǒng)中的安全問題。本文介紹由于技術(shù)上認(rèn)識不足而造成的安全問題,并給出解決方法。
關(guān)機(jī)用戶的安全問題。
這樣,雖然不能用DEL鍵中斷或su命令等手段非法侵入Unix操作系統(tǒng), 但利用一些網(wǎng)絡(luò)遠(yuǎn)程命令卻有可能通過關(guān)機(jī)用戶侵入Unix操作系統(tǒng),甚至進(jìn)入超級用戶root的sh狀態(tài)。
1.提出問題
假算機(jī)A中有一個關(guān)機(jī)用戶名為shutdown,其設(shè)置和權(quán)限控制按“最安全的關(guān)機(jī)用戶”的方法設(shè)定,因為系統(tǒng)管理員、軟件管理員、一般操作員都要使用該用戶, 故而未對其設(shè)置密碼。設(shè)計算機(jī)A的IP地址為129.15.21.77。
此時如果想從另一臺計算機(jī)假設(shè)為計算機(jī)B中向計算機(jī)A發(fā)起攻擊,則利用Unix操作系統(tǒng)網(wǎng)絡(luò)遠(yuǎn)程命令, 通過計算機(jī)A的“最安全的關(guān)機(jī)用戶”:shutdown即可達(dá)到目的。首先在計算機(jī)B中的/etc/hosts文件中加入,然后在計算機(jī)B中進(jìn)入任何一個普通用戶,鍵入命令或 rcmd hostshut -l shutdown vi /etc/shadow
這樣,該普通計算機(jī)用戶已在計算機(jī)B中用vi命令打開了計算機(jī)A中包括root超級用戶在內(nèi)的所有用戶的密碼文本。接下來只要改動或刪除這些密碼,就可以輕松地用telnet、rlogin等遠(yuǎn)程命令登錄到計算機(jī)A的任何一個用戶中。如果此時闖入的是一個惡意用戶, 對計算機(jī)A來說其后果將不堪設(shè)想。
2.解決問題
為了解決這個安全問題,首先可以封閉inetd守護(hù)進(jìn)程中的部分遠(yuǎn)程功能,如telnet、shell、login、exec等,方法是直接用vi修改/etc/inetd.conf文件,在上述功能前添加#號,然后執(zhí)行/etc/inetd命令即可。但這樣大大削弱了Unix操作系統(tǒng)的網(wǎng)絡(luò)功能,并可能影響到其他計算機(jī)應(yīng)用方案的實施。
經(jīng)過實踐,筆者發(fā)現(xiàn)了一種相當(dāng)安全的關(guān)機(jī)方法,該方法采用了輸入/輸出重定向、Unix啞終端技術(shù)和Unix定時系統(tǒng)來實現(xiàn)安全的關(guān)機(jī)。具體做法如下:
首先在超級用戶中輸入如下命令,使tty12終端成為啞終端:
由于需要在啞終端tty12中運行關(guān)機(jī)程序,而啞終端的窗口在原始模式下工作, 所以不能用Unix操作系統(tǒng)命令read進(jìn)行輸入,必須自己編寫一個能在原始模式下實現(xiàn)輸入/輸出功能的程序。用cc -lcurses命令編譯以下源程序,并生成可執(zhí)行文件safehalt:file://安全關(guān)機(jī)程序 WINDOW *win char til[]=“是否現(xiàn)在關(guān)機(jī)?
- 確認(rèn)請按yes:”,s1[4],sum[100]
- keypadstdscr,TRUE clear
- ioctl0,TCGETA,&term
- keypadstdscr,FALSE echo
最后編制一個Unix的shell腳本atsh,包括以下內(nèi)容:執(zhí)行一次atsh腳本程序后,該程序以后會自動執(zhí)行。
這樣每天在tty12屏幕上都會自動運行一個關(guān)機(jī)程序,當(dāng)輸入yes后,機(jī)器將被關(guān)閉,當(dāng)然也可以在程序中設(shè)置關(guān)機(jī)密碼。該方法徹底排除了由關(guān)機(jī)用戶引起的安全性問題。
【編輯推薦】
