1、構筑 Unix 系統內防火墻體系的多種方案近一段時間,某銀行地市級分行計算機中心的某些服務器,如儲蓄服務器、本地服務器多次出現了相同的奇怪現象:正常運行的計算機被意外關掉。經檢查機器的各方面資源都沒有明顯的故障,而且相同配置的服務器也只是個別機器被關掉,最關鍵的是被關的機器上除了關機信息外沒有其他報錯信息。綜合種種跡象確定,是市分行下屬的某縣支行機房中有人用 telnet 登錄到市分行的服務器,進入一個菜單用戶后,執行了菜單中的關機選項而關掉了正在運行的機器。通過這件事例,使人警覺到利用遠程計算機進行高科技作案的潛在危險。目前銀行系統的計算機網絡發展迅猛,由于全省乃至全國通存通兌的需要,地市級

2、分行的計算機系統對上要與省分行的計算機網絡相連,對下連通了全市所轄的數十家縣市工行或辦事處的計算機;又由于代理業務和電子商務的需要,銀行內部網絡必須與越來越多的被代理企事業單位的計算機相連。這樣一個龐大的網絡,要防范“黑客”的偷襲確實有一定的困難。為了使 Unix 服務器或前置機能安全正常地運行,必須及時地根據業務的不同應用和需求,有針對性地構筑Unix 系統內的防火墻體系,對遠程登錄和遠程數據傳輸進行過濾,從而實現 Unix防火墻的作用,同時能保障合法計算機遠程業務操作的正常進行。下面把多種防火墻體系的具體實現方案介紹給讀者。方案一禁止其他任何計算機向本機的遠程登錄和遠程數據傳輸。設置方法進

3、入超級用戶,用 vi 打開/etc/inetd.conf 文件,用字封閉 ftp、telnet、login、exec 打頭的四行，然后執行/etc/inetd 命令,即可生效。特點網絡中其他計算機都無法遠程登錄和傳輸數據到本機,但本機卻可以登錄到其他計算機,也可向其他計算機收發數據。對本機來說,遠程登錄和數據傳輸變為單向操作,雖然其設置非常簡單,但它的應用范圍極為有限。方案二禁止其他任何計算機向本機的遠程登錄,允許其他計算機向本機部分用戶的遠程傳輸數據。設置方法以允許用 ftp 到本機的普通用戶而禁止用 ftp 到超級用戶為例。(1)進入超級用戶,用 vi 打開/etc/inetd.conf

4、文件,用“”字封閉telnet、login、exec 打頭的三行,并放開 ftp,然后執行/etc/inetd 命令。(2)用 vi 修改/etc/passwd 文件,把第一行root:x:0:1:Superuser:/:改為root:x:0:1:Superuser:/:/bin/shcheck(3)用 vi 創建/etc/shcheck 文件,內容如下/bin/sh/etc/profile/bin/sh/.profile/bin/shsh(4)修改/etc/profile 文件,把其中的一行sh|rsh|ksh|rksh)改為sh|rsh|ksh|rksh|/etc/profile)(5)執

5、行命令chmodaw/etc/shcheckchmodux/etc/shcheck特點仍禁止其他任何計算機向本機的 telnet、login 的登錄,有條件地放開用 ftp 進行雙向傳輸數據。需要特別注意的是:必須按以上方法禁止其他機器用 ftp 進入到本機的超級用戶,否則其他機器就可以用 ftp 接收本機的inetd.conf 文件,經修改后再用 ftp 傳回本機,以達到放開本機 telnet、login等遠程服務的目的。方案三以 IP 地址為對象,允許部分計算機向本機的遠程登錄,允許其他計算機向本機普通用戶的遠程傳輸數據。設置方法設置步驟如下：(1)進入超級用戶,用 vi 打開/etc/i

6、netd.conf 文件,放開 telnet、login、ftp 的功能，然后執行/etc/inetd 命令。(2)參照方案二中的(2)、(3)兩步的做法進行設置。(3)把/etc/profile 文件修改成以下內容trap“”123umask022fhq=netstatn|grepESTABLISHED|awkprint5|cutf14d.|head1fhq=“(“fhq”)”fhqchk=grepfhq/etc/.safeif“fhq”=“fhqchk”thenechoelseecho“警告:你的地址為fhq 禁止非法登錄!”exitficase“0”insh|rsh|ksh|rksh|/

7、etc/profile)“XHUSHLOGIN”!=“XTRUE”s/etc/motdtrap:123echo“”skipalinecat/etc/motdtrap“”123if“XHUSHLOGIN”!=“XTRUE”thenx/usr/bin/mailiftheprogramisinstalleds“MAIL”echo“youhavemail”if“LOGNAME”!=“root”ax/usr/bin/newsbesureitstherethennewsnfifi;su):;esactrap123(4)創建/etc/.safe 文件,加入允許登錄的計算機的 IP 地址,一個地址占一行,格式

8、如下所示()()(5)執行下列命令chmodaw/etc/shcheck/etc/.safechmodux/etc/shcheckchmod0100/bin/su特點允許經過定義的部分計算機用 telnet、login 登錄,允許其他計算機用 ftp 進入本機的普通用戶進行數據傳輸,未經定義的計算機將被禁止登錄到本機。本方案的應用范圍比較廣,可使經過定義的多臺計算機形成一個內部寬松而對外嚴防的安全系統。方案四以 IP 地址為對象,允許部分計算機向本機的部分用戶的遠程登錄,允許其他計算機向本機普通用戶的遠程傳輸數據。設置方法設置步驟如下：(1)參照方案三中的

9、(1)、(2)兩步的做法進行設置。(2)對只允許部分計算機登錄本機的某一用戶的宿主目錄下的.profile文件進行修改,加入以下內容fhq=netstatn|grepESTABLISHED|awkprint5|cutf14d.|head1fhq=“(“fhq”)”fhqchk=grepfhq/etc/.safeif“fhq”=“fhqchk”thenechoelseecho“警告:你的地址為fhq 禁止非法登錄!”exitfi(3)對禁止其他任何計算機登錄本機的某一用戶的宿主目錄下的.profile文件進行修改,加入以下內容ttychk=tty|grepttypif“ttychk”!=“”th

10、enecho“警告:禁止非法登錄!exitfi(4)參照方案三中的(4)、(5)兩步的做法進行設置。特點對計算機的 IP 地址和用戶同時進行過濾處理,應用范圍更為廣泛,可滿足各種業務運行的需要,并具有較高的安全性。方案五以以太網地址為對象,允許部分計算機向本機的遠程登錄,允許其他計算機向本機普通用戶的遠程傳輸數據。設置方法設置步驟如下：(1)參照方案三中的(1)、(2)兩步的做法進行設置。(2)把/etc/profile 文件修改成以下內容trap“”123umask022fhq=netstatn|grepESTABLISHED|awkprint5|cutf14d.|head1fhq=“(“f

11、hq”)”ether=arpa|grepfhq|head1|awkprint4ether=“(“ether”)”fhqchk=grepether/etc/.safeif“ether”=“fhqchk”thenechoelseecho“警告:你的以太網地址為ether 禁止非法登錄!”exitficase“0”insh|rsh|ksh|rksh|/etc/profile)“XHUSHLOGIN”!=“XTRUE”s/etc/motdtrap:123echo“”skipalinecat/etc/motdtrap“”123if“XHUSHLOGIN”!=“XTRUE”thenx/usr/bin/ma

12、iliftheprogramisinstalleds“MAIL”echo“ youhavemail”if“LOGNAME”!=“root”ax/usr/bin/newsbesureitstherethennewsnfifi;su):;esactrap123(3)創建/etc/.safe 文件,加入允許登錄的計算機的以太網地址,一個地址占一行,格式如下所示(0:90:27:d3:b3:21)(0:80:c8:e0:43:8e)(4)執行下列命令chmodaw/etc/shcheck/etc/.safechmodux/etc/shcheckchmod0100/bin/su特點以太網地址是計算機硬件地址,是每臺計算機唯一確定的,而 IP 地址在一臺計算機中可以有兩個或更多,所以以以太網地址為對象對遠程登錄和遠程傳輸數據進行過濾比用 IP 地址為對象要安全得多。以上五種方案都已在 Unix3.2/4.2 和 SCOOpenServer5.0.4 中測試通過,Unix 系統管理者