Unix操作系統(tǒng)目前正被廣泛應用于銀行、電信、保險、證券、鐵路等行業(yè)，但這些行業(yè)一般都不是單機應用，而是使用內部網(wǎng)絡進行數(shù)據(jù)處理，對系統(tǒng)安全性的要求又相當高。

禁止對前置機使用Ftp傳輸文件

如果Unix操作系統(tǒng)對用戶的Ftp權限不做限制，那么用戶不僅可以通過Ftp來獲得操作系統(tǒng)的重要文件（如/etc/passwd、/etc/hosts等），還可以進一步得到其他重要的數(shù)據(jù)文件，造成數(shù)據(jù)的泄露。

筆者單位的前置機上因裝有多個應用系統(tǒng)，建立的用戶也比較多，所以應對大部分用戶的Ftp權限進行限制。具體做法是，創(chuàng)建編輯/etc/ftpusers文件，把不允許使用Ftp功能的用戶寫到該文件中，每個用戶占一行，保存后即時生效，這些用戶就不能使用Ftp命令進行連接了。

禁止外來主機遠程登錄到前置機

筆者單位以前曾經發(fā)生過這樣的事情，某個信用社的Unix操作系統(tǒng)管理員利用其他途徑獲得了另外一個信用社前置機的用戶密碼，于是他就通過自己的主機遠程登錄到另外那個信用社的計算機上，進行一些非法操作。

雖然沒造成嚴重的后果，但這件事給筆者敲響了警鐘，必須嚴格限制非法登錄。筆者首先在/etc/profile文件中case "$0" in -sh | -rsh | -ksh | -rksh下添加限制非授權主機遠程登錄代碼：

PTTY=who -mx|awk ‘{ printf“%.4s\n”, $2 }  
if [ “$PTTY” =“ttyp” ]  
130.30.1.100 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log  
130.30.1.201 echo “成功 $remote $LOGNAME”/usr/adm/telnet.log  
sqls echo “成功 $remote $LOGNAME”   /usr/adm/telnet.log  
echo “被殺 $remote”/usr/adm/telnet.log  
echo “\n\t\t你的地址$remote_ip” 

以上代碼用來記錄遠程登錄到本機的歷史，筆者創(chuàng)建的日志文件為/usr/adm/telnet.log，該文件會記錄遠程用戶登錄時的用戶名、時間、終端號以及IP地址，可以隨時查看此文件。然后在所有用戶的.profile文件里加入trap0 1 2 3 14 15，屏蔽鍵盤中斷，防止允許遠程登錄的主機用鍵盤中斷進入Unix操作系統(tǒng)的命令行提示符。

【編輯推薦】

1. 深談使用Unix操作系統(tǒng)之后
2. 學習筆記Unix操作系統(tǒng)系統(tǒng)進程
3. 概述Unix操作系統(tǒng)環(huán)境文件
4. Unix操作系統(tǒng)crontab的使用方法
5. 詳談Unix操作系統(tǒng)作業(yè)調度