雖然已經(jīng)有許多文章對有關Unix網(wǎng)絡的安全性問題進行了廣泛的論述�,但隨著技術的進步和人們對安全問題的認識的深入��,總是不斷有安全問題被暴露出來��,并被加以修正。本文介紹兩個由于技術上認識不足而造成的安全問題�,并給出解決方法。
關機用戶的安全問題���。
近年來�,許多文章相繼介紹了一種所謂最安全的Unix的關機用戶�����。其主要思想是直接在/etc/passwd文件或/etc/shadow文件中的關機用戶一行的末尾加入/etc/shutdown命令或加入/etc/haltsys命令以代替/bin/sh命令�。這樣即使有人知道了關機用戶的密碼(或沒有設置關機用戶的密碼),也不能通過關機用戶進入Unix系統(tǒng),關機用戶被嚴格界定為有且僅有關機功能的超級用戶�����。這一關機用戶已被公認為“最安全的關機用戶”���。
該用戶和其他的關機方法相比安全性有所提高,特別是在單機狀態(tài)下,其安全性值得信賴。但令人遺憾的是�,該關機用戶在Unix網(wǎng)絡中也存在著一定的安全隱患。這主要是由關機用戶本身的用途所造成的,首先由于網(wǎng)絡中的用戶幾乎都需要關機用戶,所以關機用戶往往不設密碼或由多人同時掌握密碼;另一方面要關閉Unix系統(tǒng)就必須使關機用戶具有超級用戶的權限��。這樣�����,雖然不能用DEL鍵中斷或su命令等手段非法侵入Unix系統(tǒng), 但利用一些網(wǎng)絡遠程命令卻有可能通過關機用戶侵入Unix系統(tǒng),甚至進入超級用戶root的sh狀態(tài)��。
1.提出問題
假設計算機A中有一個關機用戶名為shutdown��,其設置和權限控制按“最安全的關機用戶”的方法設定���,因為系統(tǒng)管理員���、軟件管理員、一般操作員都要使用該用戶, 故而未對其設置密碼����。設計算機A的IP地址為129.15.21.77。
此時如果想從另一臺計算機(假設為計算機B)中向計算機A發(fā)起攻擊,則利用Unix系統(tǒng)網(wǎng)絡遠程命令, 通過計算機A的“最安全的關機用戶”:shutdown即可達到目的��。首先在計算機B中的/etc/hosts文件中加入如下代碼:
129.15.21.77 hostshut
然后在計算機B中進入任何一個普通用戶,鍵入以下命令:
rcmd hostshut -l shutdown vi /etc/passwd
或 rcmd hostshut -l shutdown vi /etc/shadow
這樣����,該普通計算機用戶已在計算機B中用vi命令打開了計算機A中包括root超級用戶在內的所有用戶的密碼文本����。接下來只要改動或刪除這些密碼,就可以輕松地用telnet�����、rlogin等遠程命令登錄到計算機A的任何一個用戶中����。如果此時闖入的是一個惡意用戶, 對計算機A來說其后果將不堪設想。
2.解決問題
為了解決這個安全問題����,首先可以封閉inetd守護進程中的部分遠程功能,如telnet、shell���、login�����、exec等���,方法是直接用vi修改/etc/inetd.conf文件,在上述功能前添加#號,然后執(zhí)行/etc/inetd命令即可��。但這樣大大削弱了Unix系統(tǒng)的網(wǎng)絡功能�����,并可能影響到其他計算機應用方案的實施���。
經(jīng)過實踐����,筆者發(fā)現(xiàn)了一種相當安全的關機方法���,該方法采用了輸入/輸出重定向��、Unix啞終端技術和Unix定時系統(tǒng)來實現(xiàn)安全的關機�����。具體做法如下:
首先在超級用戶中輸入如下命令,使tty12終端成為啞終端:
#disable /dev/tty12
由于需要在啞終端tty12中運行關機程序,而啞終端的窗口在原始模式下工作, 所以不能用Unix系統(tǒng)命令read進行輸入,必須自己編寫一個能在原始模式下實現(xiàn)輸入/輸出功能的程序����。用cc -lcurses命令編譯以下源程序,并生成可執(zhí)行文件safehalt:
file://安全關機程序
#include<curses.h>
#include<termio.h>
#include<stdio.h>
#include<string.h>
main()
{
WINDOW *win;
char til[]=“是否現(xiàn)在關機?確認請按yes:”,s1[4],sum[100];
struct termio save,term;
initscr(); raw(); noecho();
keypad(stdscr,TRUE); clear();
ioctl(0,TCGETA,&term);
save=term;
win=newwin(24,80,0,0);
while(s1[0]!=‘q’)
{
s1[0]=‘\0’;s1[1]=‘\0’;s1[2]=‘\0’;
mvwaddstr(win,5,0,til);
wrefresh(win);
read(0,&s1[0],1);
if(s1[0]==‘y’)
{
sprintf(sum,“%s%s”,til,s1);
mvwaddstr(win,5,0,sum);
wrefresh(win);
read(0,&s1[1],1);
if(s1[1]==‘e’)
{
sprintf(sum,“%s%s”,til,s1);
mvwaddstr(win,5,0,sum);
wrefresh(win);
read(0,&s1[2],1);
if(s1[2]==‘s’)
system(“/etc/shutdown -g0 -y”);
}
}
}
keypad(stdscr,FALSE); echo();
noraw(); endwin();
}
最后編制一個Unix的shell腳本atsh����,包括以下內容:
at now +1 day
/usr/bin/safehalt
執(zhí)行一次atsh腳本程序后�,該程序以后會自動執(zhí)行����。
這樣每天在tty12屏幕上都會自動運行一個關機程序,當輸入yes后,機器將被關閉,當然也可以在程序中設置關機密碼。該方法徹底排除了由關機用戶引起的安全性問題����。
自動傳輸數(shù)據(jù)的安全問題
在Unix系統(tǒng)中自動批量發(fā)送數(shù)據(jù)文件的方法主要有兩種:一種方法是在用戶的宿主目錄下增加.netrc文件, 并在文件中加入遠程機器的host名、用戶名和密碼,然后在建有.netrc文件的用戶登錄后用ftp自動批量發(fā)送文件�;另一種方法是用Unix的shell編寫一個批處理的腳本文件, 以執(zhí)行該腳本文件來自動批量發(fā)送數(shù)據(jù)。上述兩種方法雖然都可以實現(xiàn)自動批量發(fā)送數(shù)據(jù)文件的目的,但卻存在一些安全隱患�。這兩種方法都使用了純文本文件的方式來存放遠程機器的host名、IP地址��、用戶名和密碼,因此只要用簡單的Unix命令如cat���、vi���、more等就可以對遠程機器的主要秘密一覽無遺。
為增加安全性����,必須對這些秘密信息進行隱藏和加密。筆者用C語言程序的二進制代碼封裝遠程機器的IP地址����、host名����、用戶名和密碼以增加其安全性��。在用C語言進行編程封裝時����,注意不能在程序中把遠程機器的IP地址�、host名、用戶名和密碼等重要信息直接賦值給字符串變量�����。如果直接賦值給字符串變量�,就很容易被人用Unix命令strings、hd和DOS操作系統(tǒng)的常用工具pctools從C程序的二進制代碼中找到上述重要信息���。還要注意不能在程序執(zhí)行過程中產(chǎn)生帶有上述遠程機器重要信息的中間文件�����。如果出現(xiàn)這些中間文件,雖然可以在程序結束前刪除它們,但遇到發(fā)送的數(shù)據(jù)文件數(shù)量多時間長時, 這些中間文件就有可能被調看而泄密����,所以最好不要在程序中產(chǎn)生中間文件。
下面這個簡短的程序例子是從本地機器的超級用戶中把數(shù)據(jù)文件發(fā)送到另一臺機器的超級用戶中, 可以實現(xiàn)多個文件的連續(xù)自動批量發(fā)送���。盡管該程序使用了超級用戶進行數(shù)據(jù)發(fā)送,但由于編程時進行了巧妙的設計,所以當它被編譯成可執(zhí)行代碼后,很難從這些二進制代碼中發(fā)現(xiàn)有關本地計算機和遠程計算機的安全方面的重要信息����。同時�,該程序采用了管道通信方法從而在執(zhí)行過程中不會產(chǎn)生任何中間文件,安全性相對較高。實現(xiàn)代碼如下:
file://安全發(fā)送數(shù)據(jù)
#include<stdio.h>
#include<string.h>
main(int argc,char *argv[])
{
int i,u1,u2,u3,u4;
float ip1,ip2;
char pw[10]=“”,us[5]=“”,ftpn[4]=“”;
char ftpcmd[500]=“”,runl[10]=“”;
char ftpprt[256]=“”;
FILE *fftp;
if(argc>1)
{
us[0]=‘u’;us[1]=‘s’;us[2]=‘e’;us[3]=‘r’;
u1=‘r’;u2=‘o’;u3=‘o’;u4=‘t’;
pw[0]=‘5’;pw[1]=‘1’;pw[2]=‘2’;
pw[3]=‘7’;pw[4]=‘3’;
pw[5]=‘7’;pw[6]=‘4’;
ftpn[0]=‘f’;ftpn[1]=‘t’;ftpn[2]=‘p’;
ip1=106.73;ip2=168.13;
printf(“\f 從本機數(shù)據(jù):\n”);
for(i=1;i<argc;i++)
{
sprintf(runl,“l(fā) %s”,argv[i]);
system(runl);
}
sprintf(ftpcmd,“%s%s -n -i %.2f.%.2f <
sprintf(ftpcmd,“%s%s %c%c%c%c %s \n”,ftpcmd,us,u1,u2,u3,u4,pw);
sprintf(ftpcmd,“%scd /usr/tmp \n”,ftpcmd);
for(i=1;i<argc;i++)
{
sprintf(ftpcmd,“%sput %s \n”,ftpcmd,argv[i]);
sprintf(ftpcmd,“%sls %s \n”,ftpcmd,argv[i]);
}
sprintf(ftpcmd,“%sCMD\n”,ftpcmd);
printf(“\n正在發(fā)送……\n”);
fftp=popen(ftpcmd,“r”);
i=0;
while(fgets(ftpprt,256,fftp)!=NULL)
{
i++;
if(i>0)
printf(“%s”,ftpprt);
}
pclose(fftp);
}
}
