unix系統(tǒng)管理員安全問題

1、本文從系統(tǒng)管理員的角度討論安全問題.系統(tǒng)管理員是管理系統(tǒng)的人:啟動(dòng)系統(tǒng)停止系統(tǒng)運(yùn)行安裝新軟件增加新用戶刪除老用戶以及完成保持系統(tǒng)發(fā)展和運(yùn)行的日常事務(wù)工作.1.安全管理安全管理主要分為四個(gè)方面:(1)防止未授權(quán)存取:這是計(jì)算機(jī)安全最重要的問題:未被使用系統(tǒng)的人進(jìn)入系統(tǒng).用戶意識(shí)良好的口令管理(由系統(tǒng)管理員和用戶雙方配合)登錄活動(dòng)記錄和報(bào)告用戶和網(wǎng)絡(luò)活動(dòng)的周期檢查這些都是防止未授權(quán)存取的關(guān)鍵.(2)防止泄密:這也是計(jì)算機(jī)安全的一個(gè)重要問題.

2、防止已授權(quán)或未授權(quán)的用戶相互存取相互的重要信息.文件系統(tǒng)查帳su登錄和報(bào)告用戶意識(shí)加密都是防止泄密的關(guān)鍵.(3)防止用戶拒絕系統(tǒng)的管理:這一方面的安全應(yīng)由操作系統(tǒng)來完成.一個(gè)系統(tǒng)不應(yīng)被一個(gè)有意試圖使用過多資源的用戶損害.不幸的是UNIX不能很好地限制用戶對(duì)資源的使用一個(gè)用戶能夠使用文件系統(tǒng)的整個(gè)磁盤空間而UNIX基本不能阻止用戶這樣做.系統(tǒng)管理員最好用PS命令記帳程序df和du周期地檢查系統(tǒng).查出過多占用CUP的進(jìn)程和大量占用磁盤的文件

3、.(4)防止丟失系統(tǒng)的完整性:這一安全方面與一個(gè)好系統(tǒng)管理員的實(shí)際工作(例如:周期地備份文件系統(tǒng)系統(tǒng)崩潰后運(yùn)行fsck檢查修復(fù)文件系統(tǒng)當(dāng)有新用戶時(shí)檢測(cè)該用戶是否可能使系統(tǒng)崩潰的軟件)和保持一個(gè)可靠的操作系統(tǒng)有關(guān)(即用戶不能經(jīng)常性地使系統(tǒng)崩潰).本文其余部分主要涉及前兩個(gè)問題第三個(gè)問題在“安全查帳“一節(jié)討論.2.超級(jí)用戶一些系統(tǒng)管理命令只能由超級(jí)用戶運(yùn)行.超級(jí)用戶擁有其他用戶所沒有的特權(quán)超級(jí)用戶不管文件存取許可方式如何都可以讀寫任何文件運(yùn)

4、行任何程序.系統(tǒng)管理員通常使用命令:binsu或以root進(jìn)入系統(tǒng)從而成為超級(jí)用戶.在后面文章中以#表示應(yīng)敲入必須由超級(jí)用戶運(yùn)行的命令用$表示應(yīng)敲入由所有其他用戶運(yùn)行的命令.3.文件系統(tǒng)安全(1)UNIX文件系統(tǒng)概述UNIX文件系統(tǒng)是UNIX系統(tǒng)的心臟部分提供了層次結(jié)構(gòu)的目錄和文件.文件系統(tǒng)將磁盤空間劃分為每1024個(gè)字節(jié)一組稱為(block)(也有用512字節(jié)為一塊的如:SCOXENIX).編號(hào)從0到整個(gè)磁盤的最大塊數(shù).全部塊可劃分為

5、四個(gè)部分塊0稱為引導(dǎo)塊文件系統(tǒng)不用該塊塊1稱為專用塊專用塊含有許多信息其中有磁盤大小和全部塊的其它兩部分的大小.從塊2開始是i節(jié)點(diǎn)表i節(jié)點(diǎn)表中含有i節(jié)點(diǎn)表的塊數(shù)是可變的后面將做討論.i節(jié)點(diǎn)表之后是空閑存儲(chǔ)塊(數(shù)據(jù)存儲(chǔ)塊)可用于存放文件內(nèi)容.文件的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)是十分不同的邏輯結(jié)構(gòu)是用戶敲入cat命令后所看到的文件用戶可得到表示文件內(nèi)容的字符流.物理結(jié)構(gòu)是文件實(shí)際上如何存放在磁盤上的存儲(chǔ)格式.用戶認(rèn)為自己的文件是邊疆的字符流但實(shí)際上文

6、件可能并不是以邊疆的方式存放在磁盤上的長于一塊的文件通常將分散地存放在盤上.然而當(dāng)用戶存取文件時(shí)UNIX文件系統(tǒng)將以正確的順序取各塊給用戶提供文件的邏輯結(jié)構(gòu).當(dāng)然在UNIX系統(tǒng)的某處一定會(huì)有一個(gè)表告訴文件系統(tǒng)如何將物理結(jié)構(gòu)轉(zhuǎn)換為邏輯結(jié)構(gòu).這就涉及到i節(jié)點(diǎn)了.i節(jié)點(diǎn)是一個(gè)64字節(jié)長的表含有有關(guān)一個(gè)文件的信息其中有文件大小文件所有者文件存取許可方式以及文件為普通文件目錄文件還是特程序.調(diào)用設(shè)備驅(qū)動(dòng)程序時(shí)次設(shè)備號(hào)將傳遞給該驅(qū)動(dòng)程序(次設(shè)備規(guī)定

7、具體的磁盤驅(qū)動(dòng)器帶驅(qū)動(dòng)器信號(hào)線編號(hào)或磁盤分區(qū)).每種類型的設(shè)備一般都有自己的設(shè)備驅(qū)動(dòng)程序.文件系統(tǒng)將主設(shè)備號(hào)和次設(shè)備號(hào)存放在i節(jié)點(diǎn)中的磁盤地址表內(nèi)所以沒有磁盤空間分配給設(shè)備文件(除i節(jié)點(diǎn)本身占用的磁盤區(qū)外).當(dāng)程序試圖在設(shè)備文件上執(zhí)行IO操作時(shí)系統(tǒng)識(shí)別出該文件是一個(gè)特別文件并調(diào)用由主設(shè)備號(hào)指定的設(shè)備驅(qū)動(dòng)程序次設(shè)備號(hào)作為調(diào)用設(shè)備驅(qū)動(dòng)程序的參數(shù).(4)安全考慮將設(shè)備處理成文件使得UNIX程序獨(dú)立于設(shè)備即程序不必一定要了解正使用的設(shè)備的任何特

8、性存取設(shè)備也不需要記錄長度塊大小傳輸速度網(wǎng)絡(luò)協(xié)議等這樣一些信息所有煩人的細(xì)節(jié)由設(shè)備驅(qū)動(dòng)程序去關(guān)心考慮要存取設(shè)備程序只須打開設(shè)備文件然后作為普通的UNIX文件來使用.從安全的觀點(diǎn)來看這樣處理很好因?yàn)槿魏卧O(shè)備上進(jìn)行的IO操作只經(jīng)過了少量的渠道(即設(shè)備文件).用戶不能直接地存取設(shè)備.所以如果正確地設(shè)置了磁盤分區(qū)的存取許可用戶就只能通過UNIX文件系統(tǒng)存取磁盤.文件系統(tǒng)有內(nèi)部安全機(jī)制(文件許可).不幸的是如果磁盤分區(qū)設(shè)備得不正確任何用戶都能夠?qū)?/p>

9、一個(gè)程序讀磁盤分區(qū)中的每個(gè)文件作法很簡單:讀一i節(jié)點(diǎn)然后以磁盤地址表中塊號(hào)出現(xiàn)的順序依次讀這些塊號(hào)指出的存有文件內(nèi)容的塊.故除了root以外決不要使盤分區(qū)對(duì)任何人可寫.因?yàn)樗姓呶募嫒≡S可方式這樣一些信息存放于i節(jié)點(diǎn)中任何人只要具有已安裝分區(qū)的寫許可就能設(shè)置任何文件的SUID許可而不管文件的所有者是誰也不必用chmod()命令還可避過系統(tǒng)建立的安全檢查.以上所述對(duì)內(nèi)存文件memkmem和對(duì)換文件swap也是一樣的.這些文件含有用戶信息

10、一個(gè)“耐心“的程序可以將用戶信息提取出來.要避免磁盤分區(qū)(以及其它設(shè)備)可讀可寫應(yīng)當(dāng)在建立設(shè)備文件前先用umask命令設(shè)置文件建立屏蔽值.一般情況下UNIX系統(tǒng)上的終端口對(duì)任何人都是可寫的從而使用戶可以用write命令發(fā)送信息.雖然write命令易引起安全方面的問題但大多數(shù)用戶覺得用write得到其他用戶的信息很方便所以系統(tǒng)將終端設(shè)備的存取許可設(shè)置成對(duì)所有用戶可寫.dev目錄應(yīng)當(dāng)是755存取許可方式且屬root所有.不允許除root外的

11、任何用戶讀或?qū)懕P分區(qū)的原則有一例外即一些程序(通常是數(shù)據(jù)庫系統(tǒng))要求對(duì)磁盤分區(qū)直接存取解決這個(gè)問題的經(jīng)驗(yàn)的盤分區(qū)應(yīng)當(dāng)由這種程序?qū)Ｓ?不安裝文件系統(tǒng))而且應(yīng)當(dāng)告知使用這種程序的用戶文件安全保護(hù)將由程序自己而不是UNIX文件系統(tǒng)完成.(5)find命令find命令用于搜索目錄樹并對(duì)目錄樹上的所有文件執(zhí)行某種操作參數(shù)是目錄名表(指出從哪些起點(diǎn)開始搜索)還可給出一個(gè)或多個(gè)選項(xiàng)規(guī)定對(duì)每個(gè)文件執(zhí)行什么操作.find.print將列出當(dāng)前工作目錄下的

12、目錄樹的每一個(gè)文件.finduserbobprint將列出在系統(tǒng)中可找到的屬于bob用戶的所有文件.findusrbobperm666print將列出usrbob目錄樹下所有存取許可為666的文件.若將666改為666則將列出所有具有包含了666在內(nèi)的存取許可方式的文件(如777).findusrbobtypebprint將列出usrbob目錄樹下所有塊特別文件(c為字符特別文件).finduserrootperm4000execlsl