(1) 一.Unix系統的基本安全機制
1.用戶帳號
用戶帳號就是用戶在Unix系統上的合法身份標誌,其最簡單的形式是用戶名/口令。在Unix系統內部,與用戶名/口令有關的信息存儲在/etc/passwd文件中,一旦當非法用戶獲得passwd文件時,雖然口令是被加密的密文,但如果口令的安全強度不高,非法用戶即可采用「字典攻擊」的方法枚舉到用戶口令,特別是當網絡系統有某一入口時,獲取passwd文件就非常容易。
2.文件系統權限
Unix文件系統的安全主要是通過設置文件的權限來實現的。每一個Unix文件和目錄都有18種不同的權限,這些權限大體可分為 3類,即此文件的所有者、組和其他人的使用權限如只讀、可寫、可執行、允許SUID和SGID等。需註意的是權限為允許SUID、SGID和可執行文件在程序運行中,會給進程賦予所有者的權限,若被入侵者利用,就會留下隱患,給入侵者的成功入侵提供了方便。
3.日誌文件
日誌文件是用來記錄系統使用狀況的。Unix中比較重要的日誌文件有3種:
(1)/usr/adm/lastlog文件。此文件用於記錄每個用戶最後登錄的時間(包括成功和未成功的),這樣用戶每次登錄後,只要查看一下所有帳號的最後登錄時間就可以確定本用戶是否曾經被盜用。
(2)/etc/utmp和/etc/wtmp文件。utmp文件用來記錄當前登錄到系統的用戶,Wtmp文件則同時記錄用戶的登錄和註銷。
(3)/usr/adm/acct文件。此文件用於記錄每個用戶運行的每條命令,通常我們稱之為系統記帳。
二.Unix系統和安全防範
金融系統應用的Unix網絡系統一般均采用客戶/服務器方式。系統前臺客戶機運行並向後臺系統發出請求,後臺服務器為前臺系統提供服務,系統功能由前後臺協同完成,典型的應用如:前臺運行銀行界面輸入輸出、數據校驗等功能,後臺實現數據庫查詢等操作。由於Unix系統設計基於一種開放式體系結構,系統中緊密集成了通信服務,但存在一定程度的安全漏洞,容易受到非法攻擊,通過多年的實踐證明,加強安全防範,特別是針對一些可能的網絡攻擊采取一定的安全防範措施,Unix網絡系統的安全性就可以大大提高。
