大多数人认为安全问题都是技术方面的，黑客都是具有高超编程技
术的计算机天才，事实不是这样，大部分黑客只是比一般的网络使
用者更有耐心更细心，他们利用一般用户使用不到的功能或系统管
理员的马虎对系统进行入侵。据CERT统计80％的安全问题出自于
管理的漏洞，也就是说绝大部分安全漏洞是系统管理员的操作失误
导致的(这种失误包括授予普通用户过多的权利和没有对自己的网
络拓扑结构透彻地分析)，而目前大多数安全方面的文章都是讨论
防火墙的运用。我不是反对运用防火墙保护网络的安全，但是大部
分毛病既然可以使用管理的角度来防止又何必非要等防火墙呢？

当然任何操作系统都有这样或那样的技术漏洞，但是在一般情况下
利用这些技术漏洞获得超级用户权利的前提是拥有本机的Shell，
如果没有一个可以操作的Shell，黑客是无法运用诸如缓冲区溢
出、sendmail bug等程序来获得超级用户的权限的。本文即介绍
从管理的角度来保障系统的安全。从管理上能防止大多数一般黑客
的攻击，但是并不是说安全能够完全通过管理来实现。对于那些对
操作系统十分熟悉的黑客来说,即使没有Shell帐户,他仍然可能入侵
到这台机器里，比如利用IP欺骗和一些特定操作系统的技术漏洞。
而且黑客如果只是想让某台机器瘫痪而不是盗取信息，他多半会用
DOS攻击(拒绝服务)，就是让主机一直处理无用的信息使之不能正
常工作。对于敏感网络建立放火墙应当和建立网络环境一样重要，
就目前的情况来看只要防火墙设置合适，局域网的安全还是有保障
的。然而系统管理员需要有一定的安全意识，对于机器的故障情况
能够判断出是技术故障还是被人攻击了。

容易出问题的地方

finger是UNIX平台上一种很普通的工具，使用它的目的是提供用
户在给定系统上的一些有关信息。而一台Unix主机最容易出问题的
地方是fingerd，就是finger的守护进程，关于它的工作原理在很
多UNIX书上都有介绍，但它的缺点是提供的消息实在太多了。一
个熟练运用finger的人可以在很短的时间内攻破一台fingerd没关
的机器，这不是危言耸听，SUN Solaris的fingerd可以提供主机
上所有在线用户名，所有用户名，比/etc/passwd更详细的用户信
息。例如我对一台SUN机器提出finger请求，查询root情况，如果
它的fingerd没有关闭或被替换，那么它将会告诉我如下信息：

Login name: root In real life: Super－User

Directory: / Shell: /sbin/sh

Last login Fri Mar 26 16:54 on pts/2

New mail received Sat Mar 27 23:10:37 1999;

unread since Wed Dec 23 09:56:10 1998

No Plan.

这样我就可以得到如下信息：

(1)root的真名是Super－User(有些勤劳的系统管理员会把自己的
名字写在这儿，而且把root的密码设成自己的名字!!)；

(2)root的根目录在/下，有时黑客以普通用户身份侵入一台机器后
发现/etc/passwd是root读写，那么他通过查看用户目录也能获
得主机上大部分用户名；

(3)root的Shell环境是/sbin/sh，如果是/bin/passwd，证明用
户登录主机只能修改密码；

(4)root上次登录机器是在1999.3.26 16:54；
(5)root有新信是1999.3.26到的，但是他从1998.12.23就没看
过信。

因为操作系统的设计者认为finger是查询用户用的，当然是输出的
信息越详细越好。但是在目前国内用户对口令安全认识还不够的情
况下，用户口令是用户名、12345、abc123或管理员分配的默认
口令还不能避免。除了对主机的finger外，路由器也有finger。尤
其是接入路由器，它可以输出当前连接者的用户名及IP地址。实际
上也造成了主机用户名的泄露。

除了finger命令外，sendmail带的EXPN命令也是可以泄露用户名
的一个途径。当用Telnet登录主机sendmail端口时,用EXPN命令
可以试出主机上的用户。比如expn root，如果有用户名叫root那
么将返回用户的电子邮件地址，如果没有的话将输出User
unknown。更危险的是用EXPN命令查到一个带别名的邮件地址
时，返回的将是这个别名抄送的所有电子邮件地址。httpd配置不
合理或CGI程序编写有问题，用户可以非法获取主机信息，存取文
件系统。WWW服务中的安全问题主要出在CGI程序上。

对于SGI的机器来讲有两点比较特殊。第一，IRIX安装后有几个系
统默认用户没有密码，请使用SGI机器的管理员们一定注意；第
二，如果安装了IRIX的WWW服务器，请注意它的默认主页，防
止它公布那些不该公布的消息。(未完待续）

加强安全管理

实际上安全的管理就是把该关的功能关闭，该限制的文件限制访问
权限。从上面的介绍，fingerd应当关掉或被替换。关闭fingerd的
方法也很简单：注释掉/etc/inetd.conf文件中finger进程来禁止
finger，并重新启动inetd进程。或者在Internet上下载一个新的
fingerd程序，它提供的信息可以让系统管理员放心。

如果要运行sendmail，请修改邮件发送配置文件（通常位于
/etc/sendmail.cf)，将O PrivacyOptions=authwarnings改为
O PrivacyOptions=authwarnings,novrfy,noexpn，这样可以
关闭expn和vrfy的输出。

如果安装的操作系统没有shadow的话，建议安装shadow程序，
并确实保证shadow文件的安全。备份shadow文件时文件名不能
和shadow有关，最好备份到软盘上存放于安全地点。

希望国内的系统管理员们多看看黑客方面的消息，在这方面没有权
威。漏洞从来不是CERT或DDN发现的，等他们做出反应时，对于
那些敏感的地方来说可能已经太晚了。知识是从细心地搜索中学来
的，经常上网是不可缺少的。

安全建议

从安全角度考虑，经常做telnet、ftp等需要传送口令的重要机密
信息应用的主机应该单独设立一个网段, 以避免某一台个人机被攻
破，被攻击者装上sniffer, 造成整个网段通信全部暴露。有条件的
情况下, 重要主机装在交换式集线器上，这样可以避免sniffer偷听
密码。

专用主机只开专用功能，如运行网管、数据库重要进程的主机上不
应该运行如sendmail这种bug比较多的程序。网管网段路由器中
的访问控制应该限制在最小限度，与系统集成商研究清楚各进程必
需的进程端口号, 关闭不必要的端口。

对用户开放的各个主机的日志文件全部定向到一个syslogd
server上, 集中管理。该服务器可以由一台拥有大容量存贮设备的
Unix或NT主机承当。定期检查备份日志主机上的数据。

网管不得访问Internet。并建议设立专门机器使用ftp或WWW下
载工具和资料。

提供电子邮件、WWW、DNS的主机不安装任何开发工具，避免
攻击者编译攻击程序。

不向用户提供pine、elm、 mail、 vi等命令或环境, 登录只提供
更换口令的功能。

网络配置原则是“用户权限最小化"，例如关闭不必要或者不了解
的网络服务， 不用电子邮件寄送密码。

下载安装最新的操作系统及其它应用软件的安全和升级补丁，安装
几种必要的安全加强工具，例如tcpwrapper， tripwire，john
等，限制对主机的访问，加强日志记录，对系统进行完整性检查，
定期检查用户的脆弱口令，并通知用户尽快修改。

定期检查系统日志文件，在备份设备上及时备份。

定期检查关键配置文件（最长不超过一个月）。

重要用户的口令应该定期修改（不长于三个月），不同主机使用不
同的口令。

制定完整的系统备份计划，并严格实施。

制定详尽的入侵应急措施以及汇报制度。发现入侵迹象，立即打开
进程记录功能（process accounting），同时保存内存中的进程
列表（ps�瞐ef）以及网络连接状态（netstat�瞡），保护当前
的utmp、 wtmp、lastlog、 sulog等重要日志文件，有条件的
话，立即打开网段上另外一台主机监听网络流量，尽力定位入侵者
的位置。如有必要，断开网络连接。在服务主机不能继续服务的情
况下，应该有能力从备份磁带中恢复服务到备份主机上。

结束语

我很欣赏在某一个安全方面的个人主页上看到的一句话，大意如
下：为了网络的安全，请您随手锁门。

我个人认为，在攻击强度不大时，随手锁门比换一把大锁唱空城计
更有效。在网络安全方面应当“不以善小而不为，不以恶小而为
之”。

锁这些门真难啊，有时候都根本不知道门在哪里。

老

有用就行~~ <_<

没什么大用。。。

嗬嗬，反正知道不要用sendmail就是了。