不设置UUCP
UUCP为采用拨号用户实现网络连接提供了简单、经济的方案,但是同时也为黑客提供了入侵手段,所以必须避免利用这种模式进行网络互联。
删除不用的软件包及协议
在进行系统规划时,总的原则是将不需要的功能一律去掉。如通过scoadmin--〉Soft Manager去掉X Window;通过修改/etc/services文件去掉UUCP、SNMP、POP、POP2、POP3等协议。
正确配置.profile文件
.profile文件提供了用户登录程序和环境变量,为了防止一般用户采用中断的方法进入 $符号状态,系统管理者必须屏蔽掉键盘中断功能。具体方法是在.porfile首部增加如下一行:
trap ' ' 0 1 2 3 5 15
创建匿名ftp
如果你需要对外发布信息而又担心数据安全,你可以创建匿名ftp,允许任何用户使用匿名ftp,不需密码访问指定目录下的文件或子目录,不会对本机系统的安全构成威胁,因为它无法改变目录,也就无法获得本机内的其他信息。注意不要复制/etc/passwd、/etc/proup到匿名ftp的etc下,这样对安全具有潜在的威胁。
应用用户和维护用户分开
金融系统UNIX的用户都是最终用户,他们只需在具体的应用系统中完成某些固定的任务,一般情况下不需执行系统命令(shell),其应用程序由.profile调用,应用程序结束后就退到login状态。维护时又要用root级别的su命令进入应用用户,很不方便。可以通过修改.profile 文件,再创建一个相同id用户的方法解决。例:应用用户work有一个相同id相同主目录的用户worksh, 用户work的.profile文件最后为:
set -- who am i
case $1 in
work exec workmain;exit;;
worksh break;;
esac
这样当用work登录时,执行workmain程序;而用worksh登录时,则进入work的 $状态。