Unix操作系統(tǒng)因其運行穩(wěn)定，對配置的要求不高，目前正被廣泛應(yīng)用于銀行、電信、保險、證券、鐵路等行業(yè)，但這些行業(yè)一般都不是單機應(yīng)用，而是使用內(nèi)部網(wǎng)絡(luò)進行數(shù)據(jù)處理，對系統(tǒng)安全性的要求又相當(dāng)高。SCO Unix操作系統(tǒng)支持網(wǎng)絡(luò)功能，但要靠系統(tǒng)管理員手工限定。

筆者單位用裝有SCO OpenServer5.0.5版本操作系統(tǒng)的IBM Netfinity系列作為應(yīng)用系統(tǒng)的前置機，后臺主機用RS/6000小型機，考慮到應(yīng)用的實際情況，租用電信的DDN線路來連接各前置機和主機。

整個網(wǎng)絡(luò)除本單位內(nèi)部各Unix操作系統(tǒng)主機可以互通外，還與人行和其他中間業(yè)務(wù)單位的主機互通。雖然在路由器上進行了一定的安全設(shè)置，但網(wǎng)絡(luò)上主機互通給系統(tǒng)帶來了極大的不安全因素。筆者根據(jù)多年的系統(tǒng)維護和開發(fā)經(jīng)驗，對單位的所有前置機進行了一定的安全限制，最大限度地保障了應(yīng)用需要和Unix操作系統(tǒng)安全，以下步驟均在SCO OpenServer5.0.5操作系統(tǒng)上應(yīng)用通過。

1.為所有前置機建立信任關(guān)系

中心機房備有一臺和前置機相同配置的服務(wù)器，專門用來管理前置機，也用此機對前臺進行應(yīng)用程序的更新。通過下面的方法建立信任關(guān)系，如管理機的主機名為sqls，地址為130.30.1.200，則在前置機的/etc/hosts文件中加入一行130.30.1.200 sqls，然后在前置機的超級用戶根目錄下創(chuàng)建文件.rhosts，文件寫入sqls后保存。

SCO Unix操作系統(tǒng)安裝時并沒有.rhosts文件，需要建立信任關(guān)系時，必須手工建立此文件。建立好信任關(guān)系后，管理機就可以直接用rlogin、rcp等遠程命令來管理和控制前置機了，所有這些r 開頭的命令都不需要輸入密碼。而前置機則不允許直接rlogin 到管理機上，所以信任關(guān)系的建立是單向的。我們要求下級信用社的系統(tǒng)管理員自己掌握超級用戶和一般用戶的密碼，并定期更換。建立信任關(guān)系后，日常管理和維護就方便了。

2.修改Telnet、Ftp端口參數(shù)

我們知道，無論是還是Unix操作系統(tǒng)，都有端口號這個概念，計算機之間的通訊，是通過對應(yīng)的端口號實現(xiàn)的。一般系統(tǒng)都用缺省的端口號，比如Ftp的端口號為21，Telnet的端口號為23，Http的端口號為80 等，當(dāng)我們使用Telnet登錄到其它計算機上時，系統(tǒng)就使用默認端口號23，這是很不安全的。

筆者對轄內(nèi)的前置機和管理機進行了Telnet和Ftp端口號的更改，具體為編輯/etc/services文件，找到想要修改的Telnet和Ftp行，修改端口號，比如把Telnet的23/tcp改成6364/tcp，但不要用/etc/services文件中已存在的端口號。這樣使用Telnet命令登錄到該主機時，必須給出端口號，即用Telnet xxx.xxx.xxx.xxx 6364 才能進行登錄，否則會被系統(tǒng)拒絕。通過修改端口號可以使不知道相應(yīng)端口號的遠程用戶不能登錄，進一步提高了系統(tǒng)的安全性。

以上，就是我們這次要講的關(guān)于Unix操作系統(tǒng)關(guān)于網(wǎng)絡(luò)方面的知識。

【編輯推薦】

1. 全面解決Unix操作系統(tǒng)安全問題
2. Unix操作系統(tǒng)防范很重要
3. 解析幾種Unix網(wǎng)絡(luò)系統(tǒng)攻擊
4. 安全Unix操作系統(tǒng)升級
5. Unix操作系統(tǒng)基礎(chǔ)介紹講解