9.其它安全问题

　　(1)用户的.profile文件

　　由于用户的HOME目录下的.profile文件在用户登录时就被执行.若该文件对其他人是可写的则系统的任何用户都能修改此文件,使其按自己的要求工作.这样可能使得其他用户具有该用户相同的权限.

　　(2)ls -a

　　此命令用于列出当前目录中的全部文件,包括文件名以.开头的文件,查看所有文件的存取许可方式和文件所有者,任何不属于自己但存在于自己的目录中的文件都应怀疑和追究.

　　(3).exrc文件

　　为编辑程序的初始化文件,使用编辑文件后,首先查找$HOME/.exrc文件和./.exrc文件,若该文件是$HOME目录中找到,则可像.profile一 样控制它的存取方式,若在一个自己不能控制的目录中,运行编辑程序,则可能运行其他人的.exrc文件,或许该.exrc文件存在那里正是为了损害他人的文件安全.为了保证所编辑文件的安全,最好不要在不属于自己或其他人可写的目录中运行任何编辑程序.

　　(4)暂存文件和目录

　　在Unix系统中暂存目录为/tmp和/usr/tmp,对于程序员和许多系统命令都使用它们,如果用这些目录存放暂存文件,别的用户可能会破坏这些文件.使用暂存文件最好将文件屏蔽值定义为007,但最保险的方法是建立自己的暂存文件和目录:$HOME/tmp,不要将重要文件存放于公共的暂存目录.

　　(5)UUCP和其它网络

　　UUCP命令用于将文件从一个UNIX系统传送到另一个UNIX系统,通过UUCP传送的文件通常于/usr/spool/uucppublic/login目录,login 是用户的登录名,该目录存取许可为777,通过网络传输存放于此目录的文件属于UUCP所 有,文件存取许可为666和777,用户应当将通过UUCP传送的文件加密,并尽快移到自己的目录中.

　　其它网络将文件传送到用户HOME目录下的rjc目录中.该目录应对其他人是可写可搜索的, 但不必是可读的,因而用户的rjc目录的存取许可方式应为733,允许程序在其中建立文件. 同样,传送的文件也应加密并尽快移到自己的目录中.

　　(6)特络依木马

　　在UNIX系统安全中,用特络依木马来代表和种程序,这种程序在完成某种具有明显意图的功能时,还破坏用户的安全.如果PATH设置为先搜索系统目录,则受特络依木马的攻击会大大减少.如模似的crypt程序.

　　(7)诱骗

　　类似于特络依木马,模似一些东西使用户泄漏一些信息,不同的是,它由某人执行,等待无警觉的用户来上当.如模似的login.

　　(8)计算机病毒

　　计算机病毒通过把其它程序变成病毒从而传染系统的,可以迅速地扩散,特别是系统管理员的粗心大意,作为root运行一个被感染的程序时.实验表明,一个病毒可在一个小时内(平均少于30分钟)取得root权限.

　　(9)要离开自己已登录的终端

　　除非能对终端上锁,否则一定要注销户头.

　　(10)智能终端

　　由于智能终端有send和enter换码序列,告诉终端送当前行给系统,就像是用户敲入的一样. 这是一种危险的能力,其他人可用write命令发送信息给本用户终端,信息中如含有以下的换码序列: 移光标到新行(换行)在屏幕上显示"rm -r *"将该行送给系统后果大家可以想象.禁止其他用户发送信息的方法是使用mesg命令,mesg n不允许其他用户发信息,mesg y允许其他用户发信息.

　　即使如此仍是有换码序列的问题存在,任何一个用户用mail命令发送同样一组换码序列,不同的要用!rm -r *替换rm -r *.mail将以!开 头的行解释为一条shell命令,启动shell,由shell解释该行的其它部分,这被称为shell换码.为避免mail命令发送换码序列到自己的终端,可建立一个过滤程序,在读mail文件之前先运行过滤程序,对mail文件进行处理

标签：