computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 网络安全综述——思想篇(2)
发信站: 听涛站 (2001年12月20日23:06:33 星期四), 站内信件

1、要熟练输入密码，保证密码输入的速度要快。输入的很慢等于给别人看，还是熟练
点好。
　　2、不要将密码写下来。密码应当记在脑子里，千万别写出来。
　　3、不要将密码存入计算机的文件中。
　　4、不要让别人知道。
　　5、不要在不同系统上使用同一密码。
　　6、在输入密码时最好保证没有任何人和监视系统的窥视。
　　7、定期改变密码，最少半年一次。这点尤为重要，是密码安全问题的关键。永远不
要对自己的密码过于自信，也许无意中就泄漏了密码。定期改变密码，会使密码被破解
的可能性降到很低的程度。
　　8、对于大型网络的系统管理员，应该定期使用密码破解软件来检测全体用户密码的
安全性。但要注意这些软件是否留有后门。
　　对于有些用户来说，这样做的确有点太那个了；但是对于管理员来说，就显得尤为
重要。有些用户采用诸如PGP（Pretty Good Privacy，良好隐私）这类的软件来生成密
码。这是个很好的方法，但是PGP的真正用途是用于对机密性文件的加密。一般密匙都在
1024位，如著名的RSA公匙。对于一般密码生成，PGP不是最好的，它并不适合你自己。

　　管理员应该保证Root用户、Administrators用户组、Power Users用户组、Super U
sers用户组以及Replicator用户组密码的安全性要高，防止低权限的用户的密码被窃取
影响到高权限用户的安全性及整个系统的安全性。不要用Root及其他高权限用户去察看
其他用户的文件，以免造成安全隐患。管理员要定期给员工进行安全知识培训，增强员
工的安全意识。一旦发现高权限用户无法登陆，察看系统日志，必要时刻将主机断开所
有网络以保证主机系统及重要文件的安全性。
二、漏洞
　　网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞
、结构漏洞、信任漏洞。如果管理员解决不好结构漏洞和信任漏洞，我想这位管理员应
该可以卷着被子回家了。在此主要谈论一下管理漏洞和软件漏洞。这两种漏洞产生的原
因也是人为的。
　　1、微软系统
　　这个涉及面就比较广了，但主要是Windows 9x系统、Windows NT系统、SQL Server
。
不可否认，尽管这些系统的内核和组成有所不同，但通病还是有的，比如容易受到DoS
（Denial Of Service，分布式拒绝服务）和OOB（Out Of Band）方式的攻击。这是比较
致命的漏洞，但是通过修改注册表、打补丁的方法都可以避免。但是有一点漏洞是不能
避免的，就是在Windows系统下运行IIS（Internet Information Server，Internet信息
服务），这样约等于自杀。
　　首先，Windows下的密码文件存储时都不能经过shadow，所以只要拿到了这个文件用
相应的软件打开，所有的用户名和密码都暴露无遗。其次，现在许多用户喜欢用Window
s 2000，原因是不易崩溃。但是很多人都在Windows 2000下安装了IIS，但是他们却不会
配置IIS。最可悲的是只要你登陆到Internet，IIS就自动运行，而且端口都是固定的：
默认FTP Port 21，默认Web Port 80，默认SMTP Port 25。等于给人家大开后门。
　　对于用SQL Server或Windows 2000+IIS架站的服务器，安全系数并不如用Unix系统
。因为Windows固有的易崩溃的特性依然保留，对DoS的抵抗力还是太低，直到Beta2版的
Windows XP依然保留了这个特性。而且通过Ftp登陆，首先告诉你机器的IIS是什么版本
，这就为攻击服务器提供了方便，而且如果权限设置不好，anonymous都可以使用debug
。安全性实在不好。
　　2、Unix系统
　　我这里说的Unix系统指的是和Unix有类似的系统，比如：SCO Unix、以前的SUN OS
和现在的Solaris、FreeBSD、xBSD、HP和IBM的Unix。这些Unix的结构基本相同，长的差
不多，区别不大，但是都有各自的漏洞。比如SUN OS的snoop命令，可以监听到同一共享
网段内的其他用户口令，包括超级用户。这一点也被Solaris继承了。而且这些Unix系统
有个通病，就是在能访问对方机器的情况下，把shell命令用ksh运行，在自己能用的目
录里放上叫“ls”之类的程序，希望超级用户可以不小心的运行他们，一旦运行，就可
以获得其权限。对于这一点，超级用户的Path中不应当有“.”（既当前目录）。
　　所以这就要求管理员的素质相对的要高，可以把软件漏洞都补上，同时不出现管理
漏洞。还得防止被窃听。
　　现在最多的漏洞出现在CGI上。使用这些服务最容易受到DoS方式的攻击。CGI是Web
的安全漏洞的主要来源。尽管CGI协议并不是固有的不安全，然而不幸的是，有的Scrip
t缺少这样的标准，而对之信任的管理员把它安装在节点上，造成每个CGI都存在被攻击
bug的可能性。CGI的安全隐患主要在于两个方面：①他们会有意无意的泄漏主机的系统
信息；②处理远程用户输入的如表格的内容或“搜索内容”命令的Script，可能容易被
远程用户攻击而执行命令。
　　对于Java，PHP，ASP也存在相应的错误。这些都是管理员应该予以注意。
三、总结
　　由于思想涣散造成的漏洞要远高于系统自身的漏洞，而系统自身的漏洞也是由于管
理员的大意造成的。所以，加强思想意识上的安全教育，势在必行。

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]