我們經(jīng)常使用Unix系統(tǒng)就知道，如果你的賬戶是不安全的，那么你所采用的其它步驟就會(huì)形同虛設(shè)。關(guān)于Unix安全、口令安全以及為每一類賬戶所采取的特定步驟是是需要關(guān)心的重要問(wèn)題。

Unix系統(tǒng)口令安全

一定要保障所有的用戶擁有一個(gè)不可猜測(cè)的口令。為了保障所有的口令是不可猜測(cè)的，要做到口令經(jīng)常改變。理想情況下，應(yīng)該使用一次性的口令。

如果賬戶進(jìn)行了連續(xù)幾次錯(cuò)誤的登錄，應(yīng)予以禁用。在HP系統(tǒng)上實(shí)施口令安全的的一個(gè)簡(jiǎn)單方法就是使用HP的信任系統(tǒng)組件。當(dāng)然，只有你沒(méi)有運(yùn)行NIS 或NIS+時(shí)才是可用的。

一定要保證口令是不可描述的。通常情況下，人們可能會(huì)使用牌照號(hào)碼或電話號(hào)碼或人名等作為用戶名。十分不幸的是，這種口令易于猜測(cè)。此外，有些人喜歡從其日常喜好中尋找口令。這都是用戶應(yīng)該檢查避免的不安全的口令。還有，系統(tǒng)中無(wú).netrc文件會(huì)強(qiáng)化安全。

Unix系統(tǒng)根賬戶

在少數(shù)人可以訪問(wèn)根目錄的情況下，跟蹤其改變和安全性侵犯是最簡(jiǎn)單的事情，根目錄口令要求是一種強(qiáng)健的不可猜測(cè)的口令。此外，你應(yīng)該至少每三個(gè)月修改一次根口令，或者當(dāng)你長(zhǎng)時(shí)間離開(kāi)公司時(shí)也該修改口令。一定要正常退出根目錄命令處理程序。 千萬(wàn)不要讓命令處理程序處于無(wú)人看管的狀態(tài)。

根目錄能夠直接登錄的***地方應(yīng)是控制臺(tái)（在/etc/securetty中設(shè)定）。只有根目錄擁有UID 0。

同時(shí)要檢查根目錄文件的安全漏洞問(wèn)題。文件別名應(yīng)有完整的路徑名。根目錄萬(wàn)萬(wàn)不可在其路徑中使用“.”。根目錄dot文件只能擁有700個(gè)授權(quán)許可。

再次強(qiáng)調(diào)，為了避免特洛伊木馬程序，一定要使用完整的路徑名。千萬(wàn)不要將那些非根目錄的寫訪問(wèn)權(quán)限給根路徑中的任何目錄。如果可能的話，不要在公共可寫的目錄中創(chuàng)建根目錄的tmp文件。

Unix系統(tǒng)來(lái)賓賬戶

你一定只在需要的時(shí)候創(chuàng)建來(lái)賓賬戶；在目的完成之后，你需要及時(shí)清除這個(gè)賬戶；并且要使用非標(biāo)準(zhǔn)的來(lái)賓賬戶名稱；不要使用“guest”；也不要使用如“fixomni”、“oratmp”之類的賬戶名稱。

來(lái)賓賬戶應(yīng)有一個(gè)極強(qiáng)的口令和受限的處理程序，如果合理的話，要給來(lái)賓賬戶一個(gè)強(qiáng)umask（如077）等。

Unix系統(tǒng)用戶賬戶

用戶賬戶不應(yīng)共享，在期限終止之后應(yīng)清除用戶賬戶。應(yīng)禁用那些眾所周知的賬戶名稱的登錄，因?yàn)檫@些賬戶不需要直接的登錄訪問(wèn)（如，bin、daemon、sys、uucp、lp、adm）。

Unix系統(tǒng)中的安全問(wèn)題，我們就講解到這里了。

【編輯推薦】

1. Unix系統(tǒng)光景不如以往
2. 我看Unix服務(wù)器之路
3. Unix網(wǎng)絡(luò)的安全性問(wèn)題
4. Unix系統(tǒng)中知識(shí)講解
5. Unix系統(tǒng)創(chuàng)始人介紹