Unix操作系统网络相关的两个安全问题

虽然已经有许多文章对有关Unix网络的安全性问题进行了广泛的论述,但随着技术的进步和人们对安全问题的认识的深入,总是不断有安全问题被暴露出来,并被加以修正。本文介绍两个由于技术上认识不足而造成的安全问题,并给出解决方法。

关机用户的安全问题。

近年来,许多文章相继介绍了一种所谓最安全的Unix的关机用户。其主要思想是直接在/etc/passwd文件或/etc/shadow文件中的关机用户一行的末尾加入/etc/shutdown命令或加入/etc/haltsys命令以代替/bin/sh命令。这样即使有人知道了关机用户的密码(或没有设置关机用户的密码),也不能通过关机用户进入Unix系统,关机用户被严格界定为有且仅有关机功能的超级用户。这一关机用户已被公认为“最安全的关机用户”。

该用户和其他的关机方法相比安全性有所提高,特别是在单机状态下,其安全性值得信赖。但令人遗憾的是,该关机用户在Unix网络中也存在着一定的安全隐患。这主要是由关机用户本身的用途所造成的,首先由于网络中的用户几乎都需要关机用户,所以关机用户往往不设密码或由多人同时掌握密码;另一方面要关闭Unix系统就必须使关机用户具有超级用户的权限。这样,虽然不能用DEL键中断或su命令等手段非法侵入Unix系统, 但利用一些网络远程命令却有可能通过关机用户侵入Unix系统,甚至进入超级用户root的sh状态。

1.提出问题

假设计算机A中有一个关机用户名为shutdown,其设置和权限控制按“最安全的关机用户”的方法设定,因为系统管理员、软件管理员、一般操作员都要使用该用户, 故而未对其设置密码。设计算机A的IP地址为129.15.21.77。

此时如果想从另一台计算机(假设为计算机B)中向计算机A发起攻击,则利用Unix系统网络远程命令, 通过计算机A的“最安全的关机用户”:shutdown即可达到目的。首先在计算机B中的/etc/hosts文件中加入如下代码:

129.15.21.77 hostshut

然后在计算机B中进入任何一个普通用户,键入以下命令:

rcmd hostshut -l shutdown vi /etc/passwd

或 rcmd hostshut -l shutdown vi /etc/shadow

这样,该普通计算机用户已在计算机B中用vi命令打开了计算机A中包括root超级用户在内的所有用户的密码文本。接下来只要改动或删除这些密码,就可以轻松地用telnet、rlogin等远程命令登录到计算机A的任何一个用户中。如果此时闯入的是一个恶意用户, 对计算机A来说其后果将不堪设想。

时间: 2024-12-03 21:33:07

Unix操作系统网络相关的两个安全问题的相关文章

网络编程-关于unix下的相关问题

问题描述 关于unix下的相关问题 本人学习软件一段时间了但是又感觉没有入门接触的主要是C语言,unix和linux系统 也接触了近两年时间,但是并没有感觉到unix/linux的强大和优越, 鸟哥私房菜读完大概,也动手实践过.unix编程环境读完,但是就是被unix下繁多的工具给迷惑,组合起来 有那么强大吗? unix编程艺术读完了,但是一头雾水,只能是人云亦云,觉得unix应该 比windows有生产力,尤其对于程序员而言,但不知所以然.begin linux programming 实践了

Shell中4个网络相关命令的使用技巧

这篇文章中我介绍几个非常实用的和网络相关的命令. ifconfig 这个命令与Windows的"ipconfig"作用一致,用于显示网络接口,子网掩码等详细信息. ifconfig 左边一列是网络接口名,占据10个字节,右边的若干列显示对应的网络接口的详细信息. 在每个系统中,默认都有一个称之为环回接口的lo,这个接口指向当前主机本身. 下面这张截图是在博主的电脑上运行这个命令之后显示的信息: 相关技巧: 1.打印网络接口列表 说明:ifconfig 输出的第一列的前十个字节显示的网络

ASP.NET设计网络硬盘之两重要类

asp.net|设计|网络|硬盘 要进行"网络硬盘"功能设计,首先要熟悉.NET中处理文件和文件夹的操作.File类和Directory类是其中最主要的两个类.了解它们将对后面功能的实现提供很大的便利. System.IO.File类和System.IO.FileInfo类 在设计和实现"网络硬盘"的过程中,将大量地使用和文件系统操作相关的内容.故本节先对和文件系统相关的两个.NET类进行简要介绍. System.IO.File类和System.IO.FileInf

网卡配置和DNS配置,手动挂在nas存储的共享目录,网络相关其它操作命令,修改防火墙中的端口配置,resolv.conf配置详细介绍和网卡信息配置详细介绍

1.   网卡配置和DNS配置 若想服务器能够发邮件,需要让部署的服务器能够访问到外网环境.若部署的服务器访问不到外网,通过ping www.baidu.com的方式执行的时候,会出现以下问题:  "ping:unknown host www.baidu.com"  出现上面的原因主要是网络的DNS和网关不正确,需要进行如下操作: A:修改/etc/resolv.conf中的内容,配置如下: vim /etc/resolv.conf  修改里面的内容: resolv.conf的一个示例

ASP.NET设计网络硬盘之两重要类代码_实用技巧

System.IO.File类和System.IO.FileInfo类 在设计和实现"网络硬盘"的过程中,将大量地使用和文件系统操作相关的内容.故本节先对和文件系统相关的两个.NET类进行简要介绍. System.IO.File类和System.IO.FileInfo类主要提供有关文件的各种操作,在使用时需要引用System.IO命名空间.下面通过程序实例来介绍其主要属性和方法. (1) 文件打开方法:File.Open 该方法的声明如下: public static FileStre

LED光学无线网络照明通信两不误

记者 李长灿 相信很多习惯无线上网的人都碰到过一个问题,如果房间里有类似墙壁等物体的阻挡,一些地方难免信号很差,甚至完全没信号.于是,科学家们设想:何不让灯光来发射信号?只要灯亮,就不愁没网上. 这一看似天马行空的想法,如今已成为现实.昨日,一年一度的中国浙江网上技术市场中介服务联盟年会在杭州召开.中科院半导体研究所的科学家带来了这项最新最前卫的成果--利用LED光通信的智能家居系统,实现照明.智能通信.智能控制三者的有机融合.昨日,杭州一家企业现场进行了洽谈,未来这一成果有望在杭州转化,最终改

UNIX操作系统tar命令之隐患及解决方法

unix|解决 目前,UNIX操作系统在我国金融界被广泛地采用,UNIX以其强大的功能(分时.多任务.多用户.网络互连.图形接口等),倍受金融企业青睐.中国农业银行现应用的SCO UNIX OPENSERVER50更是功能强劲. 各家银行的储蓄.会计.信用卡等计算机业务处理系统均运行在UNIX操作系统平台上.电子化的发展拓展了银行的业务领域,提高了工作效率,加强了业务的准确性.保密性.安全性,树立了银行的社会形象,产生间接的经济效益.电子化银行的发展对计算机数据的可靠性提出了更高的要求. 据笔

在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误

错误信息: 标题: 连接到服务器 ------------------------------ 无法连接到 (local). ------------------------------ 其他信息: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误.未找到或无法访问服务器.请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接. (provider: 命名管道提供程序, error: 40 - 无法打开到 SQL Server 的连接) (Microsof

与excel启动相关的两个技巧

  与excel启动相关的两个技巧           一.开机后自动打开指定的excel文件 如果你每天上班开机后,需要打开一个或多个excel表格.今天的技巧就可以用上了.虽然省不了多少时间,能省一秒是一秒呗! 操作方法: 1 .电脑开始菜单 - 程序 - 右键单击"启动" - 点击"打开"命令. 2.把需要开机启动的excel文件创建一个快捷方式.复制粘贴到"启动"文件夹中. 设置完成!以后再开机时,启动文件夹中的excel文件就会自动打开