系統管理員如何防范黑客的攻擊
來源:中國IT實驗室 更新時間:2007-08-23

  1) 保持系統管理員個人的登錄安全  

  若系統管理員的登錄口令泄密了,則竊密者離竊取root只有一步之遙了,因為系統管理員經常作為root運行,竊密者非法進入到系統管理員的戶頭后, 將用特洛依木馬替換系統管理員的某些程序,系統管理員將作為root運行這些 已被替換的程序.正是因為這個原因,在UNIX系統中,管理員的戶頭最常受到攻擊.即使su命令通常要在任何都不可讀的文件中記錄所有想成為root的企圖, 還可用記帳數據或ps命令識別運行su命令的用戶.也是如此,系統管理員作為root運行程序時應當特別小心,因為最微小的疏忽也可能"沉船".下列一些指導規則可使系統管理員駕駛一艘"堅固的船":  

  ● 不要作為root或以自己的登錄戶頭運行其他用戶的程序,首先用su命令進入用戶的戶頭.

  ● 決不要把當前工作目錄排在PATH路徑表的前邊,那樣實際是招引特洛依木馬.當系統管理員用su命令進入root時,他的PATH將會改變,就讓PATH保持這樣,以避免特洛依木馬侵入   

  ● 敲入/bin/su執行su命令.若有su源碼,將其改成必須用全路徑名運行(即su要確認argv[0]的頭一個字符是"/"才運行).隨著時間的推移,用戶和管理員將養成敲/bin/su 的習慣.   

  ● 不要未注銷戶頭就離開終端,特別是作為root用戶時更不能這樣.當系統管理員作為root 用戶時,命令提示符是"#",這個提示符對某些人來說可能 是個紅燈標志.   

  ● 不允許root在除控制臺外的任何終端登錄(這是login的編譯時的選項), 如果沒有login   源碼,就將登錄名root改成別的名,使破壞者不能在root登錄名下猜測各種可能的口令,從而非法進入root的戶頭.   

  ● 經常改變root的口令. . 確認su命令記下的想運行su企圖的記錄/usr/adm/sulog,該記  錄文件許可方式是600,并屬root所有.這是非法者喜歡選擇來替換成特洛依木馬的文件.   

  ● 不要讓某人作為root運行,即使是幾分鐘,即使是系統管理員在一旁注視 著也不行!   

 

 

 (1) 加限制的shell(rsh)   

  該shell幾乎與普通的shell相同,但是該shell的設計能限制一個用戶的 能力,不允許用戶有某些標準shell所允許的行為:   

  不能改變工作目錄(cd).   

  不能改變PATH或SHELL shell變量.   

  不能使用含有"/"的命令名.   

  不能重定向輸出(>和>>).   

  不能用exec執行程序.  

  用戶在登錄時,招待.profile文件后系統就強加上了這些限制,如果用戶在.profile文件正被解釋時按了BREAK鍵或DELETE鍵,該用戶將被注銷.   

  這些簡單的限制,使用寫受限制用戶的.profile文件的系統管理員可以對用戶能使用什么命令,進行完全的控制.   

  應當注意:系統V加限制的shell實際上不是很安全,在敵對的用戶時不要 用.系統V版本2以后的版本中加限制的shell更安全些.但若允許受限制的用戶 使用某些命令(如env,cp,ln),用戶將能逃避加限制的shell,進入非限制的 shell.    

  (2) 用chroot()限制用戶     

  如果的確想限制一個用戶,可用chroot()子程序為用戶建立一個完全隔離 的環境,改變了進程對根目錄的概念,因此可用于將一個用戶封在整個文件系 統的某一層目錄結構中,使用戶無法用cd命令轉出該層目錄結構,不能存取文 件系統中其余部分的任何文件.這種限制方式比加限制的shell好得多.用戶使 用的命令應由系統管理員在新的root目錄中建立一個bin目錄,并建立用戶可 用命令的鏈到系統的/bin目錄中相應命令文件上(若在不同的文件系統則應拷 貝命令文件).   

  還應建立新的passwd文件,保留系統登錄戶頭(為了使ls -l正確地報告與 受限制的子文件系統中的文件相關的正確登錄名)和用戶帳戶,但系統帳戶的 口令改為NOLOGIN以使受限制的用戶不能取得系統登錄的真實口令,使"破密" 程序的任何企圖成為泡影.   

  utmp文件是who所需要的,該文件含有系統中已登錄用戶的列表. 新的/etc/profile文件也不是建鏈文件,以便受限制的用戶可以執行不同的啟動命令.   

  /dev目錄中的終端設備文件被鏈接到新的/dev目錄下,因為命令who產生輸出時要查看這些文件.   

  在系統V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文件中用戶入口項的登錄shell域(最后一個域)是*,login將調用chroot()把用戶的根目錄設置成為口令文件中用戶入口項登錄目錄域指定的目錄.然后再調 用exec()執行login,新的login將在新子系統文件中執行該用戶的登錄.  

  chroot()并不是把root封鎖在一個子文件系統中,所以給受限制用戶用的 命令時應加以考慮,具有root的SUID許可的程序可能會給予用戶root的能力. 應當將這種可能減低到最小程度,交給用戶使用的命令應當取自清除了SUID陷 井的系統命令.鏈接文件可減少磁盤占用區,但要記住,當與敵對用戶打交道時 鏈接到chroot目錄結構(尤其是命令)的系統文件是很危險的.  

  如果建立一個像這樣的限制環境,應確保對安裝到新的/bin的每條命令都 做過測試,有些程序可能有系統管理員未曾想到的出乎意料的執行結果.為了使這些命令能運行,還得在加限制的子文件系統中加服務目錄或文件如:/tmp, /etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用戶所 登錄的/dev中的tty文件以及/unix.   

  有些程序在子文件系統中運行時不會很好,如果將假脫機程序和網絡命令拷貝到加限制的子文件系統中,并放在為兩條命令專建的目錄層結構下,它們可能也運行不了.   

 如何清除黑客程序   

  得知不少網友深受黑客程序之苦,我在這想介紹一些防治黑客程序的土方法.本人只是想幫助網友,絕無班門弄斧之意,請電腦高手和黑客大俠不要見笑.并請不煩賜教.目前流行的黑客程序主要有兩種:Back Orifice(BO)和Netspy。BO在全球影響最大,Netspy由國內黑客編制,全中文界面,功能較弱,但使用簡單,所以在國內危害很大。   

  BO 運行c:windows目錄下的Regedit.exe,然后點擊目錄至HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion  

  RunServices看右邊是否有某個ab項出現(默認) ".exe",如果有立即刪除這個ab項,并確認刪除后原來".exe"的地方變為(未設置鍵值)。接著點擊開始菜單的“關閉系統”,選擇“重新啟動計算機并切換到MS-DOS方式”。退出后,輸入cd c:windowssystem 回車,輸入del exe~1 回車,輸入 del windll.dll 回車, 返回windows。   

  Netspy 運行c:windows目錄下的Regedit.exe,然后點擊目錄至HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion   

  Run看右邊是否有兩個ab項分別出現NETSPY和SPYNOTIFY,如果有,立即刪除這兩個ab項。用同上的方法退出到MS-DOS方式,輸入cd c:windowssystem 回車,輸入del netspy.exe回車,輸入del spynot~1.exe 回車,返回windows。解決中黑客程序的方法還有使用殺毒軟件,使用殺毒軟件的另一個好處在于可以查找出硬盤中感染黑客程序的文件。以防因再次運行該文件而再次中黑客程序。由于Netspy是國內編制的,國外殺毒軟件對它不一定有效,所以建議使用國內殺毒軟件。國內殺毒軟件有好幾種,大家只能選自已喜歡了羅。這里推薦行天98(AV98),因為它是免費的!可以 http://168.160.224.220/win95/av98w71s.zip下載。但它有使用限制,只能免費使用到99年9月,繼續使用的辦法是把WINDOWS的系統日期改成99年9月前的任意一天,或者注冊。如何防止再次中黑客程序呢?除了用殺毒軟件查出并清除硬盤中感染有黑客程序的文件,還要謹慎對待網上下載任何EXE、com可執行文件及ZIP,ARJ等壓縮文件,對于可信任的人所寄的郵件所帶附件中的以上文件也要特別小心,也許你的朋友中了黑客程序還不知道,天真地寄來與你分享呢!謹慎對待就是下載后先用殺毒軟件檢查一遍,確定無害了再執行、使用。許多網友就是懶得進行這幾秒種的檢查,才中了CIH,黑客程序。輕則被侵入者刪了系統文件,重裝系統;重則數據全無,主板換一塊!再不然,就是被人破譯上網帳號,那就有你好看的了!最后忠告那些使用、投放黑客程序及想學黑客的人:真正的黑客是不屑于使用這些傻瓜得近乎弱智的黑客工具。想學黑客?乖乖去學好編程、網絡技術、UNIX吧。別以為用這玩意兒別人就找不到你,window自帶的netstat就能把你的IP顯示得一清二楚!也別想偷拿別人的帳號省錢,上網花的是電話費,一個上網費省不了幾毛。即使你偷用了別人的帳號,ISP商對每個時間每個帳號的撥號電話號碼都是有記錄的,要抓你輕而易舉! 

 保證信息系統安全的主要問題是建立安全機制,迄今為止已發展了許多安全機制,但安全問題仍然倍受懷疑和關注。象電子商務這種應用是否會得到充分的推廣,將在很大程度上取決于人們對網絡環境下的信息系統安全的信心。由于已從理論上證明不存在絕對安全的安全系統,因此一般將審計跟蹤、攻擊檢測系統作為信息系統的最后一道安全防線。  

  早期中大型的計算機系統中都收集審計信息來建立跟蹤文件,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢測提供的有用信息比較少;此外,最主要的困難在于由于審計信息粒度的安排,審計信息粒度較細時,數據過于龐大和細節化,而由于審計跟蹤機制所提供的信息的數據量過于巨大,將有用的信息源沒在其中;因此,對人工檢查由于不可行而毫無意義。   

  對于攻擊企圖/成功攻擊,被動審計的檢出程度是不能保證的。通用的審計跟蹤能提供用于攻擊檢測的重要信息,例如什么人運行了什么程序,何時訪問或修改過那些文件,使用過內存和磁盤空間的數量等等;但也可能漏掉部門重要的攻擊檢測的相關信息。為了使通用的審計跟蹤能用于攻擊檢測等安全目的,必須配備自動工具對審計數據進行分析,以期盡早發現那些可疑事件或行為的線索,給出報警或對抗措施。   

  (一)基于審計信息的攻擊檢測技術   

  1、檢測技術分類   

  為了從大量的、有時是冗余的審計跟蹤數據中提取出對安全功能有用的信息,基于計算機系統審計跟蹤信息設計和實現的系統安全自動分析或檢測工具是很必要的,可以用以從中篩選出涉及安全的信息。其思路與流行的數據挖掘(Data Mining)技術是極其類似的。   

  基于審計的自動分析檢測工具可以是脫機的,指分析工具非實時地對審計跟蹤文件提供的信息進行處理,從而得到計算機系統是否受到過攻擊的結論,并且提供盡可能多的攻擊者的信息;此外,也可以是聯機的,指分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的攻擊行為時,系統提供實時的警報,在攻擊發生時就能提供攻擊者的有關信息,其中可以包括攻擊企圖指向的信息。  

  2、攻擊分類   

  在安全系統中,一般至少應當考慮如下三類安全威脅:外部攻擊、內部攻擊和授權濫用。攻擊者來自該計算機系統的外部時稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問某些特定的數據、程序或資源的人意圖越權使用系統資源時視為內部攻擊,包括假冒者(即那些使用其他合法用戶的身份和口令的人)秘密使用者(即那些有意逃避審計機制和存取控制的人);特權濫用者也是計算機系統資源的合法用戶,表現為有意或無意地濫用他們的特權。   

  通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖,如可通過為每個用戶單獨建立的行為模型和特定的行為的比較來檢測發現假冒者;但要通過審計信息來發現那些授權濫用者往往是很困難的。   

  基于審計信息的攻擊檢測特別難于防范的攻擊是具備較高優先特權的內部人員的攻擊;攻擊者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。對于那些具備系統特權的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他的審計參數來發現。審查更低級的功能,如審查系統服務或核心系統調用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現。總之,為了防范隱秘的內部攻擊需要在技術手段而外確保管理手段的行之有效,技術上則需要監視系統范圍內的某些特定的指標(如CPU、內存和磁盤的活動),并與通常情況下它們的歷史記錄進行比較,以期發現之。   

  3、攻擊檢測方法  

  (1)檢測隱藏的非法行為   

  基于審計信息的脫機攻擊檢測工作以及自動分析工具可以向系統安全管理員報告此前一天計算機系統活動的評估報告。    

  對攻擊的實時檢測系統的工作原理是基于對用戶歷史行為的建模以及在早期的證據或模型的基礎。審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監測,當發現有可疑的用戶行為發生時,保持跟蹤并監測、記錄該用戶的行為。SRI(Stanford Ressearch Institute)研制開發的IDES(Intrusion-Detection Expert System)是一個典型的實時檢測系統。IDES系統能根據用戶以前的歷史行為決定用戶當前的行為是否合法。系統根據用戶的歷史行為,生成每個用戶的歷史行為記錄庫。IDES更有效的功能是能夠自適應地學習被檢測系統中每個用戶的行為習慣,當某個用戶改變他的行為習慣時,這種異常就會被檢測出來。目前IDES中已經實現的監測基于以下兩個方面:  

  一般項目:例如CPU的使用時間:I/O的使用通道和頻率,常用目錄的建立與刪除,文件的讀寫、修改、刪除,以及來自局域網的行為;   

  特定項目:包括習慣使用的編輯器和編譯器、最常用的系統調用、用戶ID的存取、文件和目錄的使用。   

  IDES除了能夠實時地監測用戶的異常行為。還具備處理自適應的用戶參數的能力。在類似IDES這樣的攻擊檢測系統中,用戶行為的各個方面都可以用來作為區分行為正常或不正常的表征。例如,某個用戶通常是在正常的上班時間使用系統,則偶然的加班使用系統會被IDES報警。根據這個邏輯,系統能夠判斷使用行為的合法或可疑。顯然這種邏輯有“肅反擴大化/縮小化”的問題。當合法的用戶濫用他們的權利時,IDES就無效了。這種辦法同樣適用于檢測程序的行為以及對數據資源(如文件或數據庫)的存取行為。  

  (2)基于神經網絡的攻擊檢測技術   

  如上所述,IDES(Intrusion Detection Expert System)類的基于審計統計數據的攻擊檢測系統,具有一些天生的弱點,因為用戶的行為可以是非常復雜的,所以想要準確匹配一個用戶的歷史行為和當前的行為相當困難。錯發的警報往往來自對審計數據的統計算法所基于的不準確或不貼切的假設。作為改進的策略之一,SRI(Stanford Research Institute)的研究小組利用和發展神經網絡技術來進行攻擊檢測。 神經網絡可能用于解決傳統的統計分析技術所面臨的以下幾個問題:   

  ①難于建立確切的統計分布:統計方法基本上是依賴于用戶行為的主觀假設,如偏差高斯分布;錯發警報常由這種假設所導致。②難于實現方法的普適性:適用于某類用戶行為的檢測措施一般無法適用于另一類用戶。③算法實現比較昂貴:由于上面一條原因,即基于統計的算法對不同類型的用戶行為不具有自適應性,因此算法比較復雜而且龐大,導致算法實現上的昂貴。而神經網絡技術不存在這個問題,實現的代價較小。④系統臃腫難于剪裁:由于采用統計方法檢測具有大量用戶的計算機系統,將不得不保留大量的用戶行為信息,導致系統的臃腫和難于剪裁。而基于神經網絡的技術能夠回避這一缺點,根據實時檢測到的信息有效地加以處理作出攻擊可能性的判斷。  

  目前,神經網絡技術提出了對基于傳統統計技術的攻擊檢測方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價值的信息。   

  (3)基于專家系統的攻擊檢測技術   

  進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統的攻擊檢測技術,即根據安全專家對可疑行為的分析經驗來形成一套推理規則,然后再在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。   

  所謂專家系統是基于一套由專家經驗事先定義的規則的推理系統。例如,在數分鐘之內某個用戶連續進行登錄,且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有,同時應當說明的是基于規則的專家系統或推進系統也有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基于規則的專家系統是一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。當然這樣的能力需要在專家的指導和參與下才能實現,否則可能同樣會導致較多的錯報現象。一方面,推進機制使得系統面對一些新的行為現象時可能具備一定的應對能力(即有可能會發現一些新的安全漏洞);另一方面,攻擊行為也可能不會觸發任何一個規則,從而不被檢測到。專家系統對歷史數據的依賴性總的來說比基于統計的技術的審計系統較少,因此系統的適應性比較強,可以較靈活地適應廣譜的安全策略和檢測需求。但是迄今為止推理系統和謂詞演算的可計算問題距離成熟解決都還有一定的距離。   

  (4)基于模型推理的攻擊檢測技術   

  攻擊者在攻擊一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖。雖然攻擊者并不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的攻擊者和不同的系統建立特定的攻擊腳本。   

  當有證據表明某種特定的攻擊模型發生時,系統應當收集其他證據來證實或者否定攻擊的真實,既要不能漏報攻擊,對信息系統造成實際的損害,又要盡可能的避免錯報。

 TCP/IP網絡通信軟件包使用遠程訪問的命令,這些命令首先是由UC Berkely為Arpanet開發的。它允許您遠程注冊到另一個系統中,并從一個系統復制文件到另一個系統。您能取得關于一個系統的信息,比如當前誰正在注冊使用。調用一個系統的地址時,這些遠程命令使用域名或IP地址。和TCP/IP遠程訪問命令一樣,域名地址開始好是為在Arpanet上使用而設計。   

  &nbps;許多TCP/IP命令可以和用在Internet上的網絡通信功能相比較。例如,用TCP/IP命令rlogin可以遠程注冊到一個系統,它和telnet相似。rcp命令能遠程復制文件,它執行和ftp相同的功能。TCP/IP命令的不同之處是它們提供給用戶的易用和易控制性。您能很容易地訪問在不同的Unix或Linux系統中的帳號,并且能控制訪問這些帳號但沒有提供口令的用戶。事實上您能提供給不同的用戶提供關于您的帳號的一種組權限。   

  一、TCP/IP網絡系統信息:rwho,uptime和ping   

  這些命令是一些TCP/IP命令,通過它們,您能從網絡中的不同系統上取得信息。您能找到誰正在注冊,得到另一個系統中用戶的信息,或查詢一個系統是否正在運行。例如,rwho命令和who命令的功能很相似。它顯示網絡中的每個系統的當前注冊的用戶。   

  $rwho   

  violet robert:tty1 Sept 10 10:34   

  garnet chris:tty2 Sept 10 09:22   

  命令ruptime可以顯示網絡中的每個系統的信息。此信息能顯示出每個系統是如何執行。ruptime顯示系統是否運行,它運行了多久,系統中的用戶數和系統在最后5、10和15分鐘內的系統負荷。   

  $ruptime   

  violet up 11+04:10, 8 users, load 1.20 1.10   

  garnet up 11+04:10, 20 users, load 1.50 1.30   

  命令ping能檢測出系統是否啟動和運行。ping命令加上您想檢測的系統名做為參數,下面的例子將檢測violet是否啟動并連接在網絡中。   

  $ping violet   

  violet is alive  

  $   

  如果您想檢測的系統已經關機,將得到一個如下的響應。這種情況下,garnet是關閉并沒有連接到網絡中。   

  $ping garnet   

  no answer from garnet   

  $   

  二、遠程訪問權限:.rhosts   

  您能用.rhosts文件控制使用TCP/IP命令對您帳號的訪問。用戶能用標準的編輯器象Vi來創建他們帳號中的.rhosts文件。它必須位于用戶的主目錄。下面的例子中,使用者顯示文件.rhosts文件的內容。   

  $cat.rhosts   

  garnet chris   

  ciolet robert   

  使用.rhosts文件是一種允許用戶不提供口令而訪問您的系統的簡單方法。如果需要禁止此用戶訪問,只須簡單地從文件.rhost中刪除系統各和用戶注冊名。如果一個用戶的注冊名和系統名在文件.rhost中,那么此用戶即呆不提供口令直接訪問系統。并不是所有的遠程注冊操作都需要這種訪問形式(您能用輸入口令的方式來替代);但一些遠程命令要求有.rhosts文件,象遠程復制文件或遠程執行Linux命令。如果您想在遠程系統的帳號中招待這些命令,此帳號的.rhosts文件中必須有您 的注冊名和系統名。  

  通過.rhosts對某一系統進行訪問時,也允許您使用TCP/IP命令直接訪問系統中您的其他帳號。您不需要先注冊到這些帳號中。可以把系統中您的其他帳號做為當前注冊帳號的擴展。不管文件牌佻 的哪個賬號下,都可以用frcp命令從一個目錄復制到另一個目錄。用命令rsh,可以在您的其他帳號中招待任何Linux命令。   

  三、遠程注冊:rlogin   

  您可能在網絡中的不同系統上都有自己的帳號,或者可以訪問別人在另一個系統上的帳號。要訪問別的系統中的帳號,首先要注冊到您的系統中,接著通過網絡遠程注冊到帳號所在的系統中。用命令rlogin可以遠程注冊支別的系統。命令的參數應是一個系統名。命令將把您連接到另一個系統中并開始注冊的過程.   

  用rlogin的注冊過程和一般的注冊過程有所不同,用rlogin時用戶不被提示輸入注冊名。rlogin假設您的本地系統中的注冊名和遠程系統中的一致。所以象上面執行rlogin命令時,您將馬上被提示輸入口令。輸入口令后,您即可進入遠程系統各的帳號。   

  用rlogin假設注冊各是相同的,因為大多數的人用rlogin訪問別的系統中的注冊名一般和本地的注冊名是相同的。然而,當遠程系統中的注冊名和本地系統的不同時,選項1-允許您輸入遠程系統帳戶的不同的注冊名。語法如下所示:  

  $rlogin system-name -1 login-name   

  在下面的例子中,用戶使用注冊名robert注冊到violet的系統中。   

  $rlogin violet-1 robert  

  password   

  $   

  : 一旦注冊到遠程系統中,您能執行任何命令。可以用exit、CTRL-d或logout(TCSH或C-shell)結束連接。   

  四、遠程復制文件:rcp   

  您能用命令rcp從遠程系統復制文件到本地系統中。rcp執行文件傳輸的功能,它的操作和cp命令很相似,但它是通過網絡連接到另一系統。執行命令rcp時要求遠程系統的。rhosts文件中有您的本地系統名和注冊各。命令rcp用關鍵字rcp開頭,參數為源文件名和復制的目標文件名。為了指定文件在遠程系統中,您需要在文件名前放置一個系統名,兩者之間用冒號分隔,如下所示:  

  $rcp system-name:source-file slystem-name:copy-file   

  當復制一個文件到遠程系統中時,復制的目標文件是遠程文件,它要求帶有系統名。而源文件在您的本機系統中,不要求系統名:   

  $rcp source-file remote-system-name:copy-file   

  在下面的例子中,用戶從自己的系統中復制文件weather到遠程系統violet并重命名為monday.  

  $rcp weather violet:Monday   

  從遠程系統中復制一個文件到本地時,源文件是遠程文件,它要求帶有系統名。而復制的目標文件在您的本機系統中,不要求系統名:   

  $rcp remote-system-name:source-file copy-file   

  在下面的例子中,用戶從遠程系統之間復制整個目錄。rcp命令加上-r選項將從一個系統復制一個目錄和它的子目錄到另一個系統。象cp命令一樣,rcp要求一個源目錄和復制目錄。在遠程系統中的目錄要求系統名和一個以分隔系統名和目錄名的冒號,以及目錄名。當從您的系統復制目錄到一個遠程系統,則在遠程系統中的復制目錄需要遠程系統名。  

  $rcp -r source-directory remote-system-name:copy-directory   

  在下面的例子中,使用者把目錄letters復制到遠程系統violet中的目錄oldnotes中。   

  $rcp-r letters violet:oldnotes   

  當從您的系統復制一個遠程系統中的目錄到本地時,在遠程系統中的源目錄需要遠程系統名。   

  $rcp-r remote-system-name:source-directory copy-directory   

  在下面的例子中,使用者把遠程系統violet中的目錄birthdays復制到本地的目錄party中。   

  $rcp-r violet:birthdays party   

  同時,您可以用星號指定名字,或用圓點引用當前目錄。對于Shell的特殊字符,是由您的本地系統進行解釋轉換,而不是遠程系統。為了使遠程系統解釋轉換一個特定字符,您必須通進某種方式引用它。為了復制遠程系統種所有帶擴展名.c的文件到您的系統中,您需要用特殊字符-星號:*.c來指定所有的帶擴展名.c的文件。您必須注意引用星號的方式。下面的例子中,在系統violet中的帶.c擴展名的文件被復制到使用者的系統中。注意,星號是通過一個反斜杠引用。而最后的圓點,表示當前的目錄,并沒被引用。它是由您的本地系統解釋并轉換的。  

  $rcp violet:*.c   

  下面的例子中,目錄report將從使用者的本地系統復制到遠程系統的當前目錄中。注意圓點被引用,它將被遠程系統解釋轉換。   

  $rcp -r reports violet:.   

  五、遠程執行:rsh   

  您可能需要在遠程系統中執行一個命令。rsh命令將在遠程Linux系統上執行一個命令并把結果顯示到您的系統中。當然,您的系統名和注冊名必須在遠程系統的.rhosts文件中,命令rsh有兩個一般的參數,一個系統名和一個Linux命令。語法如下所示:

  $rsh remote-sytem-neame Linux-command   

  在下面的例子中,rsh命令將在遠程系統violet中執行一個ls命令以列出在violet中目錄/home/robert中的文件。   

  $rsh violet ls /home/robert   

  除非是引用特定字符,否則它將被本李系統解釋轉換,對于控制標準輸出的特殊字符更是如此,象重定向或管道字符。下面的例了中列出遠程系統上的文件,并把它們送到本系統中的標準輸出。重定向操作由本地系統解釋,并把輸出改向到本地系統中的文件myfiles中。  

  $rsh violet ls /home/robert>myfiles   

  如您引用一個特定字符,它將成為Linux命令的一部分被遠程系統解釋。引用重定向操作符將允許您在遠程系統中執行重定向操作。下面的例子中,引用一個重定向操作符。它變成Linux命令的一部分,包括命令的參數,文件名myfile。命令ls產生一列文件名并把它們重定向到遠程系統中的一個文件myfile中。   

  $rsh violet ls /hom

 ----公 開 密 鑰 基 礎 設 施(Public Key Infrastructure, PKI) 是 近 幾 年 涌 現 的 一 種 新 的 安 全 技 術, 它 是 由 公 開 密 鑰 密 碼 技 術、 數 字 證 書、 證 書 發 行 機 構(Certificate Authority,CA) 和 關 于 公 開 密 鑰 的 安 全 策 略 等 基 本 成 分 共 同 組 成 的。MS Windows NT 4.0 及 其 后 續 者Windows 2000, 提 供 了Windows 環 境 下 的PKI。 特 別 是Win2000 的PKI, 可 以 使 企 業 網 絡 管 理 員 為 企 業 網 絡 建 立 完 善 的、 適 合 企 業 應 用 需 求 的PKI。  

  ----Microsoft PKI 的 基 礎 是 它 的 加 密API — CryptoAPI 2.0, 該API 為 公 開 密 鑰 安 全 機 制 提 供 了 加 密 服 務 和 證 書 管 理 服 務。CryptoAPI 的 加 密 服 務 執 行 諸 如 密 鑰 產 生、 數 字 簽 名 和 加 密 等 功 能, 而 證 書 管 理 服 務 提 供 了 管 理 和 存 儲X.509v3 數 字 證 書 的 功 能。Win2000 PKI 的 組 成 部 件 有: 密 碼 服 務 提 供 者(Cryptographic Service Provider ,CSP)、 證 書 服 務 器(Certificate Server)、 智 能 卡 服 務、 安 全 通 道、 認 證 碼(Authenticode)、 加 密 文 件 系 統(Encrypting File System,EFS)、 Microsoft Exchange Server 密 鑰 管 理(Key Management,KM) 服 務 器 和PKI 應 用 程 序。Win2000 PKI 的 基 本 構 架 如 下 圖 所 示(圖略)。  

  ----Win2000 具 有 模 塊 化 的PKI 結 構, 使 管 理 員 能 夠 方 便 地 升 級、 集 成、 擴 展 和 開 發 企 業 的PKI, 而 無 需 改 變 下 層 的 操 作 系 統 內 核。 例 如,Exchange Server 5.5 使 用 它 的KM 服 務 器 來 發 行 和 管 理Exchange Server 客 戶 證 書, 而 在 安 裝 了Service Pack 1 之 后, 它 就 使 用Certificate Server 而 不 是KM 服 務 器 來 完 成 這 些 任 務 了。   

  ----開 發 人 員 可 以 建 立 基 于Microsoft 提 供 的 PKI 部 件 和CryptoAPI 的PKI 應 用 程 序, 如 可 以 使 用CryptoAPI 和 數 字 證 書 來 加 密 和 認 證MMQS(Microsoft Message Queue Server) 應 用 程 序 中 的 消 息。 管 理 員 可 以 根 據 網 絡 應 用 的 需 求, 有 選 擇 地 使 用Microsoft PKI 部 件。 若 企 業 需 要 建 立 一 個 安 全 的Web 站 點, 就 可 以 使 用Certificate Server 和IIS 及IE 內 嵌 的 安 全 通 道 功 能。

 網絡和單個系統在Windows 2000下要遠比Windows NT 4更加安全。對安全性要求極高的金融機構和其它公司或部門會很滿意這個新的操作系統。但是,全面利用Windows 2000的安全性意味著必須使用Active Directory,并且需要相當重視管理并進行重要的培訓。   

  認證—確定用戶是否名副其實—已經在Windows 2000中經受了徹底檢查。如果你拒絕采用Active Directory,Server版本仍然支持Windows NT 4的NTLM(Windows NT LAN Manager,Windows NT局域網管理器)協議,因而能夠對原有的客戶進行認證,不過Active Directory還提供了對Kerberos 5的支持。   

  Kerberos最大的好處是單次登錄,登錄后客戶不需要重新認證就能訪問網絡中的其它Windows 2000服務器。Kerberos采用一種稱為密鑰分發中心(Key Distribution Center,KDC)的特殊服務器,它在Windows 2000上必須是一個域控制器。KDC為客戶提供“門票”,以便提交給其它服務器進行認證。與NTLM不同,Kerberos可以用來進行服務器之間的相互認證;它還可以讓客戶對服務器進行認證。利用其它的Kerberos 5工具,或者通過被信任的數字證書權限,單次登錄還可以擴充到非Windows 2000服務器上。同Windows 98一樣,Windows 2000 Professional客戶端能通過符合PC/SC 1.0規范的智能卡進行認證。  

  Windows 2000具有公共密鑰加密基礎架構。證書服務(Certificate Services)是通過密碼保護的加密數據文件,其中包含的數據可用于對傳輸系統進行鑒別,證書服務可以分發、管理和撤消數字證書。基于公司的證書服務器可以用于客戶機與服務器之間的相互認證,或者對不安全的聯接中的數據進行加密—特別是對于Business-to-Business的電子商務。  

  Windows 2000可以使用IPSec這種加密的IP協議來加密網絡上的數據。同樣,它可以在更高的傳輸層上使用SSL和更新的TLS規范來加密數據。在Active Directory中,這兩種方式都可以被設置為強制性策略,以便特定的客戶機和服務器之間能夠進行通信。Windows 2000的公共密鑰加密是其VPN支持的基礎。   

  但是該操作系統中最棒的加密措施是加密文件系統(Encrypting File System,EFS),它允許你使用只有個別用戶和經過認證的恢復代理能夠解密的密鑰對保存在磁盤上的文件進行加密。EFS改善了容易受到侵襲的系統(例如筆記本電腦)的安全性。除非數據竊賊知道用戶的密碼,否則就不可能得到加密的數據。EFS非常易于使用;加密不過是文件或文件夾的另一個屬性。   

  Windows 2000中的缺省用戶權限比Windows NT 4要嚴格許多。例如,我們發現,如果用戶沒有Program FilesNetscapeCommunicatorUsers文件夾的寫權限,Netscape Communicator將不能啟動,因為它需要在那里寫入配置信息。要解決這一類問題,你可以將用戶劃分到權限更強的組中的成員,或者,如果可能的話,對權限進行微觀的管理。使用符合Windows 2000應用規范(Windows 2000 Application Specification)的應用程序也可以解決這種問題。為了有效地利用Windows 2000中眾多的安全工具,預先的規劃是必需的。負責Windows 2000網絡安全性的人員最好能接受專門的研究培訓。

  目前的局域網基本上都采用以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅為這兩個節點的網卡所接收,也同時為處在同一以太網上的任何一個節點的網卡所截取。因此,黑客只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息,這就是以太網所固有的安全隱患。   

  事實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網偵聽作為其最基本的手段。   

  當前,局域網安全的解決辦法有以下幾種:    

  1.網絡分段   

  網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,網絡分段可分為物理分段和邏輯分段兩種方式。   

  目前,海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:在海關系統中普遍使用的DEC MultiSwitch 900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制,也就是上述的基于數據鏈路層的物理分段。   

  2.以交換式集線器代替共享式集線器   

  對局域網的中心交換機進行網絡分段后,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都將被明文發送,這就給黑客提供了機會。  

  因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內的關鍵信息,要遠遠少于單播包。   

  3.VLAN的劃分   

  為了克服以太網的廣播問題,除了上述方法外,還可以運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,防止大部分基于網絡偵聽的入侵。   

  目前的VLAN技術主要有三種:基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。   

  在集中式網絡環境下,我們通常將中心的所有主機系統集中到一個VLAN里,在這個VLAN里不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分布式網絡環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內,互不侵擾。   

  VLAN內部的連接采用交換實現,而VLAN與VLAN之間的連接則采用路由實現。目前,大多數的交換機(包括海關內部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。   

  無論是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基于廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果局域網內存在這樣的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換端口的數據包映射到指定的端口上,提供給接在這一端口上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中,就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機,既得到了交換技術的好處,又使原有的Sniffer協議分析儀“英雄有用武之地”。   

  廣域網安全   

  由于廣域網大多采用公網來進行數據傳輸,信息在廣域網上傳輸時被截取和利用的可能性就比局域網要大得多。如果沒有專用的軟件對數據進行控制,只要使用Internet上免費下載的“包檢測”工具軟件,就可以很容易地對通信數據進行截取和破譯。   

  因此,必須采取手段,使得在廣域網上發送和接收信息時能夠保證:   

  ①除了發送方和接收方外,其他人是無法知悉的(隱私性);   

  ②傳輸過程中不被篡改(真實性);   

  ③發送方能確知接收方不是假冒的(非偽裝性);   

  ④發送方不能否認自己的發送行為(不可抵賴性)。   

  為了達到以上安全目的,廣域網通常采用以下安全解決辦法:   

  1.加密技術   

  加密型網絡安全技術的基本思想是不依賴于網絡中數據通道的安全性來實現網絡系統的安全,而是通過對網絡數據的加密來保障網絡的安全可靠性。數據加密技術可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。   

  其中不可逆加密算法不存在密鑰保管和分發問題,適用于分布式網絡系統,但是其加密計算量相當可觀,所以通常用于數據量有限的情形下使用。計算機系統中的口令就是利用不可逆加密算法加密的。近年來,隨著計算機系統性能的不斷提高,不可逆加密算法的應用逐漸增加,常用的如RSA公司的MD5和美國國家標準局的SHS。在海關系統中廣泛使用的Cisco路由器,有兩種口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未發現破解方法(除非使用字典攻擊法)。而Enable Password則采用了非常脆弱的加密算法(即簡單地將口令與一個常數進行XOR與或運算),目前至少已有兩種破解軟件。因此,最好不用Enable Password。   

  2.VPN技術   

  VPN(虛擬專網)技術的核心是采用隧道技術,將企業專網的數據加密封裝后,透過虛擬的公網隧道進行傳輸,從而防止敏感數據的被竊。VPN可以在Internet、服務提供商的IP、幀中繼或ATM網上建立。企業通過公網建立VPN,就如同通過自己的專用網建立內部網一樣,享有較高的安全性、優先性、可靠性和可管理性,而其建立周期、投入資金和維護費用卻大大降低,同時還為移動計算提供了可能。因此,VPN技術一經推出,便紅遍全球。   

  但應該指出的是,目前VPN技術的許多核心協議,如L2TP、IPSec等,都還未形成通用標準。這就使得不同的VPN服務提供商之間、VPN設備之間的互操作性成為問題。因此,企業在VPN建網選型時,一定要慎重選擇VPN服務提供商和VPN設備。   

  3.身份認證技術   

  對于從外部撥號訪問總部內部網的用戶,由于使用公共電話網進行數據傳輸所帶來的風險,必須更加嚴格控制其安全性。一種常見的做法是采用身份認證技術,對撥號用戶的身份進行驗證并記錄完備的登錄日志。較常用的身份認證技術,有Cisco公司提出的TACACS+以及業界標準的RADIUS。筆者在廈門海關外部網設計中,就選用了Cisco公司的CiscoSecure ACS V2.3軟件進行RADIUS身份認證。   

  外部網安全   

  海關的外部網建設,通常指與Internet的互聯及與外部企業用戶的互聯兩種。無論哪一種外部網,都普遍采用基于TCP/IP的Internet協議族。Internet協議族自身的開放性極大地方便了各種計算機的組網和互聯,并直接推動了網絡技術的迅猛發展。但是,由于在早期網絡協議設計上對安全問題的忽視,以及Internet在使用和管理上的無政府狀態,逐漸使Internet自身的安全受到威脅,黑客事件頻頻發生。   

  對外部網安全的威脅主要表現在:非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等。   

  外部網安全解決辦法主要依靠防火墻技術、入侵檢測技術和網絡防病毒技術。在實際的外部網安全設計中,往往采取上述三種技術(即防火墻、入侵檢測、網絡防病毒)相結合的方法。筆者在廈門海關外部網設計中,就選用了NAI公司最新版本的三宿主自適應動態防火墻Gauntlet Active Firewall。該防火墻產品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件,將防火墻技術、入侵檢測技術與網絡防病毒技術融為一體,緊密結合,相得益彰,性價比比較高。

 



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios