|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)���,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作�,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)����、存儲(chǔ)資源、數(shù)據(jù)資源����、信息資源、知識(shí)資源�、專家資源、大型數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)、傳感器等����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�����。 一、安全理念
1����、安全的隱患更多來(lái)自于企業(yè)內(nèi)部
2�����、對(duì)于管理員的要求:不要信任任何人
3����、分層保護(hù)策略:假設(shè)某些安全保護(hù)層完全失效
4、服務(wù)最小化
5�����、為最壞的情況做打算
二���、物理安全
1、記錄進(jìn)出機(jī)房的人員名單�,考慮安裝攝像機(jī)
2、審查PROM是否被更換�,可以通過(guò)記錄hostid進(jìn)行比較
3、每個(gè)系統(tǒng)的OpenBoot口令應(yīng)該不一樣����,口令方案不可預(yù)測(cè)
4�、系統(tǒng)安裝完畢移除CD-ROM
5����、將版本介質(zhì)放入不在本場(chǎng)地的介質(zhì)儲(chǔ)藏室中
三、賬號(hào)與口令策略
1�����、超級(jí)用戶的PATH(在/.profile中定義的)設(shè)置為:
PATH = /usr/bin:/sbin:/usr/sbin
任何用戶的PATH或者LD_LIBRARY_PATH中都不應(yīng)該包含“.”
2�、口令文件����、影像文件、組文件
/etc/passwd 必須所有用戶都可讀�,root用戶可寫 –rw-r—r—
/etc/shadow 只有root可讀 –r--------
/etc/group 必須所有用戶都可讀,root用戶可寫 –rw-r—r--
3��、口令安全
Solaris強(qiáng)制口令最少6位,但是超級(jí)用戶修改口令的時(shí)候不受這個(gè)限制
強(qiáng)迫test賬號(hào)每隔30天修改一次口令
#passwd –n 30 test
強(qiáng)迫test賬號(hào)在下次登錄的時(shí)候修改口令
#passwd –f test
禁止test賬號(hào)修改口令
#passwd –n 2 –x 1 test
封鎖test賬號(hào)�,禁止登錄
#passwd –l test
4、組口令
用newgrp <group>命令臨時(shí)改變gid
由于sysadmin組可執(zhí)行admintool���,必須要保護(hù)好��,增加組口令的過(guò)程:
刪除不需要的成員(如果成員屬于sysadmin���,改變組時(shí)不需要口令)
#passwd <user> (通常封鎖的賬號(hào))
提取/etc/shadow中user的口令字符串插入到/etc/group中sysadmin的口令字段
封鎖user賬號(hào)
5��、修改口令策略
/etc/default/passwd文件
MAXWEEKS=4 口令至少每隔4星期更改一次
MINWEEKS=1 口令至多每隔1星期更改一次
WARNWEEKS=3 修改口令后第三個(gè)星期會(huì)收到快要修改口令的信息
PASSLENGTH=6 用戶口令長(zhǎng)度不少于6個(gè)字符
6�、限制使用su的組(只允許sysadmin組執(zhí)行su命令)
#chgrp sysadmin /bin/su
#chmod o-rwx /bin/su
7�、su的紀(jì)錄
/etc/default/su文件
SULOG=/var/adm/sulog
SYSLOG=YES
CONSOLE=/dev/console
PATH=/usr/bin:
SUPATH=/usr/sbin:/usr/bin
8、禁止root遠(yuǎn)程登錄
/etc/default/login中設(shè)置CONSOLE=/dev/null
在/etc/ftpusers里加上root�。
在SSH 配置文件加:permitRootLogin = no
(Solaris 9自帶SSH,缺省就禁止root登陸,對(duì) Solaris 9�����,/etc/ftpusers 不再使用�,F(xiàn)TP配置文件都在 /etc/ftpd/ 下面���。如果 ftpd 啟動(dòng)時(shí)存在 /etc/ftpusers���,它會(huì)被移動(dòng)到 /etc/ftpd/下)
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此���,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上�、軟件上、所用標(biāo)準(zhǔn)上......�����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)��,對(duì)應(yīng)發(fā)展����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。
|
溫馨提示:喜歡本站的話��,請(qǐng)收藏一下本站�!
