据有关资料显示，近两年内，中国的计算机网络受到了近200个黑客有意识的袭击。网络遭到攻击已经不仅仅是从报刊文摘中读到的外国神话，而是真真切切地存在于我们生活中的现实。维护网络的安全性已经具有越来越重要的现实意义，下面这篇文章介绍了在sco unix上进行安全管理的一些具体设置，也是一些专业书籍中很少涉及到的，具有很强的实用价值。

　　金融业务系统大部分以UNIX或XENIX操作系统为平台，以TCP/IP为网络平台。虽然UNIX安全性能已达到美国国防部的C2级安全标准，是一个相对安全、严密的系统，但也并非无懈可击。电脑黑客入侵多种、证券网络系统的新闻再次敲响金融网络安全管理的警钟。如何加强UNIX网络系统的安全性管理，笔者以SCO UNIX3.2.v4.2为例，提几点看法，与广大同仁商榷。

　　这里所说的安全性，主要指通过防止本机或本网被非法侵入、访问，从而达到保护本系统可靠、正常运行的目的，本文只在此范围内讨论，对其他方面不予考虑。

　　一、抓好网内主机的管理是网络安全管理的前提

　　用户名和密码管理永远是系统安全管理中最重要的环节之一，对网络的任何攻击，都不可能没有合法的用户名和密码(后台网络应用程序开后门例外)。但目前绝大部分系统管理员只注重对特权用户的管理，而忽视对普通用户的管理。主要表现在设置用户时图省事方便，胡乱设置用户的权限(id)、组别(group)和文件权限，为非法用户窃取信息和破坏系统留下了空隙。

　　金融系统UNIX的用户都是最终用户，他们只需在具体的应用系统中工作，完成某些固定的任务，一般情况下不需执行系统命令(shell)。以农业银行全国电子汇兑为例，用户名为dzhd，它在/etc/passwd文件中描述如下:

　　dzhd:x:200:50: :/usr/dzhd:/bin/sh

　　它的.profile内容大致如下:

　　COBSW=+R+N+Q-10

　　DD_PRINTER=“1p-s”

　　PATH=/etc:/bin:/usr/bin:$HOME/bin:/usr/dzhd/obj:

　　MAIL=/usr/spool/mail/logname

　　umask 007

　　eval`test -m ansi:ansi -m:?ansi -c -s -Q`

　　export PATH MAIL COBSW DD_PRINTER

　　cd usr/dzhd/obj

　　runx hdg

　　exit

　　用户正常登录后，如果按下中断键“delete”，关掉终端电源，或同时键入“Ctrl”“”，那么用户将进入shell命令状态。例如他可以在自己的目录不断创建子目录而耗尽系统的I节点号、或用yes>aa创建一个其大无比的垃圾文件而耗尽硬盘空间等导致系统的崩溃、瘫痪;如果文件系统的权限设置不严密，他可运行、窥视甚至修改它;还可通过su等命令窃取更高的权限;还可登录到其它主机上去捣乱，令你防不胜防，危险性可想而知。这一些问题都与用户设置有关。所以，尽量不要把用户设置成上述形式。如果必须这样，可根据实际需要，看看能否把用户的sh变成受限sh，如rsh等，变成如下形式:zCTLinux联盟
dzhd:x:200:50: :/usr/dzhd/obj:/bin/rsh

　　或如下形式:

　　dzhd:x:200:50: :/usr/dzhd:./main

　　在main(.porfile)

　　首部增加如下一行:

　　trap' ' 0 1 2 3 5 15

　　那么上述一切问题都可避免。

　　此外定期检查你的/etc/passwd文件，看看是否有来历不明的用户和用户的权限;定期修改用户密码，特别是uucp、bin等不常用的用户的密码，以防有人在此开个活动的天窗--一个可自由进出的用户;删除所有睡眠用户等。

　　二、设置好自己的网络环境是阻止非法访问的有效途径

　　网上访问的常用工具有telnet、ftp、rlogin、rcp、rcmd等网络操作命令，对它们的使用必须加以限制。最简单的方法是修改/etc/services中相应的服务端口号。但这样做会使网外的一切访问都被拒绝，即使是否法访问也不例外。这种闭关自守的做法不值得提倡，因为这样会使本网和网外隔绝开，也会给自己带来不便。通过对UNIXt系统的分析，我们认为有可能做到有条件限制(允许)网上访问。

　　(1)建立etc/ftpusers文件(不受欢迎的ftp用户表)。与之相关的命令是ftp。配置如下:

　　#用户名

　　dgxt

　　dzhd

　　…

　　以上都是本机内的一些用户，侵入者使用以上用户名ftp访问本网会被拒之门外。

　　(2)注意保存好.netrc文件(远程注册数据文件)。与之有关的命令是ftp。.netrc包含注册到网络上用ftp作文件转移的远程主机的数据。通常驻留在用户当前目录中，文件权限必须为0600。格式如下:

　　machine对方主机名login对方主机内用户名password对方用户密码macdef init ftp的操作命令集。

　　(3)创建匿名ftp。所谓匿名ftp，是指其他主机的用户能以ftp或anonymous用户进行数据收发而不要任何密码。建立方法如下:

　　a)用sysadmsh创建ftp用户，在passwd文件表示为:

　　ftp:x:210:50: :/usr/ftp:/bin/sh

　　.profile中的路径为:

　　PATH=$HOME/bin:$HOME/etc

　　)在/usr/ftp目录:

　　#创建匿名ftp所用的目录

　　#mkdir bin etc dev pub shlib

　　#改变pub以外所有目录权限

　　#chmod 0555 bin etc dev shlib

　　#改变pub目录的所有者和同组者

　　#chown ftp pub

　　#chgrp ftp pub

　　#复制匿名ftp所执行文件

　　#cp/bin/rsh/bin/pwd/bin/1s bin

　　#改变所需执行文件权限

　　#chmod 011 bin/*

　　#查看所需伪设备的情况

　　#1/dev/socksys

　　#1/dev/null

　　#建立所需伪设备的驱动程度