共查询到20条相似文献,搜索用时 625 毫秒
1.
ftp用于在两台Internet主机之间传输文件,它使用client/server结构,通常把申请ftp服务的计算机称为ftp客户机,提供ffp服务的计算机称为ftp服务器。ftp服务器提供两种访问方式:(1)内部用户ftp,它适用于在主机上有帐号的用户,用户在输入正确的帐号和口令后,就可以进行相应的操作;(2)匿名ftp,它是最常用的方式,用户只需以ftp登录,输入任意字符为口令,即可访问并下载服务器提供的所有文件。 相似文献
2.
UNIX作为稳定、成熟的操作系统已广泛应用在国民经济的各个领域,银行的核心主机大都采用UNIX操作系统,并通过TCP/IP网络协议与其它主机联接成网络。在网络系统应用中,客户端需要访问UNIX服务器上的文件,对服务端上文件(特别是大文件)的某部分进行快速读写。UNIX提供了NFS网络文件系统方法共享文件,也提供了FIP、RCP等服务传输任何类型的文件,但是这些方法在 相似文献
3.
文件传输协议FTP(File Transfer Protocol)用来在网络系统之间进行数据交换和文件传输,工作于客户机/服务器模式。像Internet操作一样,在安装了FTP的客户端程序与运行FTP服务器程序的远程系统都可以相互传输文件。FTP客户/服务器端程序可在DOS、WindowsNT、UNIX、NetWare等网络操作系统,甚至大中型机上运行,同样,在Linux系统中提供了华盛顿大学的FTP守护程序,其名称为Wu-ftp。 以下从4个方面讨论在Linux下实现自动FTP的方法,首先介绍Linux环境下ftp和telnet网络工具的配置,讨论两个实现自动FTP的方法,最后介 相似文献
4.
在 UNIX 系统中,文件被设置成三组权限,规定了一个文件针对用户、同组用户和其他人员的权力许可。常用的文件可读、可写和可执行三种权限。实际上,还有另外一种常用的文件权限,用于用户识别许可(SUID)和组识别许可(SGID),它的正确设置和使用同文件的读写执行权限一样,对 UNIX文件系统的安全性关系重大。当一个程序被运行时,有两个数字分配给该程序生成的进程,以表示进程的归属,这两个数字是 相似文献
5.
1.UNIX系统的基本安全机制(1)用户帐号用户帐号就是用户在UNIX系统上的合法身份标志,其最简单的形式是用户名/口令。在UNIX系统内部,与用户名/口令有关的信息存储在/etc/passwd文件中,一旦当非法用户获得passwd文件时,虽然口令是被加密的密文,但如果口令的安全强度不高,非法用户即可采用“字典攻击”的方法枚举到用户口令,特别是当网络系统有某一入口时,获取passwd文件就非常容易。(2)文件系统权限UNIX文件系统的安全主要是通过设置文件的权限来实现的。每一个UNIX文件和目录都有18种不同的权限,这些权限大体可分为3类,即… 相似文献
6.
目前,商业银行向本地人民银行报送有关业务数据主要是使用 ftp这一基本的网络传输工具。但在实际应用中,通过 ftp进行数据传输不能仅满足于把文件传到人行服务器,还需要考虑文件传输过程中的各个环节,以确保各种基础业务数据的完整、可靠和安全。要达到这个要求,所选用的 ftp Server就必须提供功能丰富的访问控制机制。本文将介绍如何利用 Windows NT配置 ftp Server,实现上述管理要求。 一、应用需求 从商业银行到人民银行的跨系统数据通信,具有这样一些特点: 1.数据文件的命名具有规则性,并且要求按照不同的业务分类存放,便于… 相似文献
7.
在UNIX系统中,文件都被设置成为一定的读写执行权限,它规定了一个文件针对用户主(user)。同组用户(group)和其他无关人员(other)的权力许可。实际上,还有另外两种可被设置的许可,用户主识别许可(SUID)和组识别许可(SGID),它们的正确设置和使用,同文件的读写执行权限一样,和UNIX文件系统的安全性有很大关系。这两种许可可对任何一可执行的文件给出(当然可对任何文件给出,不过对于不可执行的文件,对系统的安全性影响不大),当一个程序(命令、文件)被运行时,其中有4个数字分配给该程序生成的进程,以表示进程的… 相似文献
8.
日前,笔者所在单位会计财务科新配置了一台HP TC3 100服务器,需要安装“会计核算事后监督系统”,此系统运行于SCO UNIX 5.0.5平台下。笔者在安装SCO UNIX 5.0.5时花费了不少心思,总结出在HP TC3100服务器上顺利安装SCO UNIX5.0.5的几个步骤,供同行参考。 相似文献
9.
在目前已建成的局域网中,服务器一端大多运行NOThLL的NETWARE网络操作系统或者运行UNIX操作系统,有的用户也同时使用这两种操作系统。例如人民银行湖南省分行建成的办公大楼局域网就同时使用这两种网络操作系统。其中一台服务器使用NETWARE网络操作系统,上面运行MicrosoftMail及各种业务软件;另一台服务器使用UNIX操作系统,上面运行ORACLE大型数据库软件。NETWARE在传输层和网络层使用的是SPX/IPX协议,UNIX操作系统在传输层和网络层使用的是TCP/IP协议。客户机要想在WINDOWS环境下同时获得这两类网络资源… 相似文献
10.
建设银行浙江省天台县支行的局域网采用细缆总线结构,网上有Novell文件服务器和多台DOS工作站、多台UNIX主机,并通过路由器与分组交换网相连,所有的服务器、工作站、UNIX主机。路由器都在同条总线上。笔者在实际工作中排除过五种故障,现予介绍。一、UN以生机间可用Pug命令违通,而原先使用一直正常的DOSI作站不能登录到文件服务器用UNIX的Ping命令连通UNIX主机,说明网络线路通,由于同一台机器有UNIX和DOS两个分区,既作为DOSI作站,又可作为UNIX主机,而UNIX主机能连通,说明该机网卡没问题,DOSI作站不能登录到… 相似文献
11.
12.
《金卡工程》2000,(4):40-42
Unix网络系统由于其功能强大、性能稳定、安全可靠而在银行系统中广泛的应用。它与Windows95/98等系统相比,具有较高的安全性。但由于其动态体系结构特点、源代码公开、系统配置复杂等原因,Unix网络系统也存在很多安全缺陷,如果不采取相应的防范措施,这些缺陷可能被非法入侵者利用,而影响银行的资金安全。
一、安全缺陷
1.利用网络监听工具截取重要数据
我们通常所用的以太网是一种广播型网络,在这种网络上,发送给每个特定机器的数据都可以被网络上任何机器监听到。常用的监听软件有tcpdump、snoop、etherfind等。这些软件的功能十分强大,既可以监听在网络上传输的所有数据,又可以监听指定源地址、指定目标地址、指定端口和协议的数据,还可以将它们保存下来以便仔细分析。如果网络上有其他用户在使用telnet、ftp、rlogin等服务、就可以监听到这些用户明文形式的帐户名和口令,进而就可以侵入其系统。
2.利用具有suid权限的系统软件的安全漏洞
具有suid权限的程序在运行时,其进程的实际uid为程序执行者的uid,而有效uid为程序owner的uid。由于系统软件的owner通常为root,非法入侵者可能利用这些软件的漏洞来窃取root权限。
(1)利用IFS等环境变量
如果通过阅读系统软件的源程序,知程序中有system()系统调用,如:swstem(“/bin/cpfilelfile2”),那么我们可以重新设置IFS(输入字段分隔符)变量:
$IFS=/:exportIFS
此时.该system调用中的命令被解释为:bincpfilefile2,再编一个恶意程序命令为bin并放在用户的path变量内,便可以通过这个bin程序窃取root权限了。
(2)利用缓冲区溢出
有些系统在调用时不检查参数的长度,如调用gets(),scanf()等,这使得程序可以在用户的控制下形成缓冲区溢出。在正常情况下,程序在遇到缓冲区溢出时会停止。但如果用户对Unix很熟悉,就可以使程序在遇到缓冲区溢出时转而运行另一个程序。如果一个有suid权限的程序在缓冲区溢出后转而执行一个shell,那么这时的普通用户就变成了root用户。
(3)利用core文件
程序在运行中发生缓冲溢出、数组边界越界或接收到SIGILL、SIGTRAP等信号时都可能会产生core文件。如果将umask设为000,那么产生的core文件就具有777权限。非法入侵者可以利用dbx或adb等工具来读这个core文件,从而可能获取系统上的重要信息。
3.利用ping、telnet、ftp等命令的缺陷
根据TCP/IP协议规定,数据包的最大长度为65536字节。有的Unix系统在收到过长的IP数据包时,会产生系统崩溃、重新启动、死机等异常反应。我们知道,用ping命令向其他主机发送ICMP数据报文时,其报文大小可以任意指定。因此恶意用户可能通过用ping命令向其他主机发送过长的数据报文来对其进行攻击。微机上常用的SCOUnixSystemV/3863.2.4.2、SCOOpenServer5.0.0和5.O.2均存在该问题。
此外,很多版本的telnet、ftp等命令也存在一定的安全缺陷。
4.利用IP欺骗技术
为了获取访问权限,入侵者可以利用一些基于IP地址的认证程序的特点,在发送IP数据包时,修改其源IP地址字段,将其置为另一台机器的IP地址,该IP地址可能在目标机的/etc/hosts.Equiv或.Rhosts中有记录,这样就可能获取非授权的访问权限,甚至是目标机的root访问权限。
5.利用.Exrc文件
.Exrc是编辑程序vi的初始化文件。Vi启动时,首先查找并执行$HOME/.Exit和当前目录下的.Exrc文件。非法入侵者可以将一个自己编写的.Exic放在/tmp等公共目录下,当root用户在该目录下运行vi时,该.Exrc文件就会自动运行。非法入侵者可以利用该.Exrc修改重要的系统配置文件,从而获得对系统的长期控制权。
目前的银行系统很多Unix机器在配置上存在着明显的安全缺陷。例如,很多业务机上都有一个关机用户,该用户是root权限,通过将initO或shutdown命令加入其.Pmfile文件,使操作人员能利用该关机用户进行系统关机。但这种关机用户往往未加口令(即使有口令也常为很多人知晓),因而恶意用户可以利用ftp命令,通过关机用户进行登录,进而修改系统文件而获得长期控制权。更有甚者.许多银行网点都是X.25专线连接到机房,而在配置X.25时,往往未将x29、x25ftp等服务屏蔽掉,这样X.25网上的任何用户都可以利用这些X.25服务.通过关机用户而自由进入该台银行业务机。
二、查看是否已被入侵的方法
1.检查日志文件
在文件/etc/syslog.Conf中控制了日志文件的位置以及哪些日志文件记录哪些活动。通过检查这些日志文件,可以获得本系统是如何被攻破的、入侵的过程怎样、哪些远程主机访问了本机器等信息。
2.检查具有suid权限的文件
入侵者常留下具有suid权限且owner为root的可执行文件,以便以后能继续以root身份访问系统。
3.检查文件/etc/passwd是否被修改
应检查非法新增用户、没有口令的用户和UID的改变(尤其是UID为O的用户)。
4.检查系统网络配置中是否有非法的项
应检查/etc/hosts.Equiv以及所有的.Rhosts文件中是否有“+”项和非法的地址项。
5.检查系统上非正常的隐藏文件
Unix上常用的方法是在文件或目录名前加上“…”、“..”(两点加一个空格)或“..^G”,这样就实现了文件或目录的隐藏效果,可以用find命令查找这些文件。
6.检查/etc/inetd.Conf和/etc/rc2.D/*文件
检查这些文件是否被植入了人侵者留下的“后门”程序。
三、提高安全性的措施
1.及时安装Unix补丁程序
旧版本的Unix系统往往含有安全漏洞,因此为了系统的安全,应该使用最新版本的Unix系统。同时,新版系统在运行过程中,可能会逐渐暴露出一些安全缺陷,因此要及时安装系统的补丁程序。这些补丁程序可以从各个Unix供应商的Internet网站上下载得到。
2.对网络监听的防范措施
首先应在支持监听模式网络接口的机器上检查是否有网络监听工具软什在运行,包括检查在系统上运行的可疑进程、对/dev/nit的未经授权使用等。如果发现了有网络监听软件正在运行,就应检查网络系统是否已被攻击,并设法恢复系统。此外.对于以太网等广播型网络,应当尽量不要在网络上传输纯文本形式的口令信息,不要以root身份进行远程登录。
3.对IP欺骗技术的防范措施
解决IP欺骗技术的最好方法是安装过滤路由器,不允许包含内部网络地址的数据包通过该路由器。此外,还应该过滤掉与用户内部网络地址不同的源地址向外发出的数据包,这样可以防止源于网络的IP欺骗的攻击。
4.提高文件系统配置的安全性措施
(1)确保系统上没有用于非法目的的.Exre文件。
(2)确保各个系统文件尤其是/etc下各文件的权限被正确设置。
(3)确保/etc、/bin、/usr/bin、/usr/sbin、/tmp、/var/tmp等系统目录的owner为mot,并且/tmp、/var/tmp目录的权限最高位为“t”。
(4)橙查系统上所有具有suid或sgid权限的文件。
(5)建议任何由root运行的文件,其文件owner都应该是root,并将其文件权限的“w”位屏蔽掉。
5.提高网络系统配置的安全性措施
(1)r命令系列(rep、rlogin、rsh)常常是Unix系统的不安全因素。因此,当不真正需要使用r命令时,应当将这些服务去掉。当确实需要使用r命令时,应当谨慎地配置/etc/hosts.Equiv和$HOME/.Rhosts文件。应确保这些文件的权限正确,它们的第一个字符不是“-”,文件中不含有“+”通配符,并建议对root用户不要配置其.Rhosts。
(2)对于/etc/inetd.Conf文件,应确保该文件的owner是root,权限为600,并尽量过滤掉并不真正需要的服务,如tftp服务和r命令服务。
(3)对于ftp服务,应确保已经正确地设置了文件/etc/ftpusers,如果没有该文件则创建。该文件用于指定不许访问用户系统的ftp服务器的用户,其中至少应包含root、bin、rrcp等。
6.加强帐号和口令的安全管理
一定要定期检查/etc/passwd和/etc/shadow文件,检查除root外uid为O的帐号、没有口令的帐号或新增的帐号。任何帐号都不能没有口令保护,各帐号的口令都应当经常更换,要定期查看su日志文件和拒绝登录消息日志文件。 相似文献
13.
多用户UNIX/XENIX操作系统的超级用户root,管理和维护着整个计算机系统的正常工作,如果使用时忘记了超级用户root的口令,会给系统管理带来不便。重新安装系统,不但需要很长时间,而且系统中存储的大量有用数据就会遭到破坏或损失。遇到这种情况怎么处理呢?由于UNIX与XENIX超级用户root的口令不是放在同一文件中,所以,处理UNIX与XENIX系统的root口令是不同的,下面分开来介绍。一、UN以系统root口令的修复三.制作系统引导盘在安装完成UNIX系统后,事先做一套应急盘,即在超级用户下,先将超级用户root的口令设成无口… 相似文献
14.
人们经常要访问不同类型的商业信息,例如电子表格、报告、商业模式、进度表等,并且对这些信息进行加工处理。在分布式系统中采用NFS(网络文件共享)文件服务标准可以做到这一点。 IBM—RS6000服务器是一种广泛应用于金融、保险、邮电、政府机关的机型,该系列服务器上NFS的配置与使用,正是本文讨论的内容。NFS是客户/ 相似文献
15.
局域网上的UNIX主机访问其它局域网时,需要增加网关,一般手工方法是使用route命令.笔者对SCO UNIX进行了研究,发现有如下方法可实现UNIX系统启动时自动增加网关,并在实际应用中得到了验证.
1.在/etc目录下编辑产生一个gateways文件 相似文献
16.
17.
在UNIX系统中,为了使数据备份变得轻松、容易、安全,最好的办法就是自动安排系统例行工作(系统调度),在系统空闲时间里自动执行任务。如定期删除一些流水文件、日志文件,定期完成数据的本地备份和异地备份等。这样既发挥了UNIX系统的卓越功能,又减轻了系统管理员的工作量,使数据备份做到及时安全。一、建立数据备份用户首先建立一个用户,如:userbk,将该用户的属主、属组设定为Informix,权限为755。在该用户下存放备份的各种数据,以便统一备份到磁带上或异地机器上。二、用系统例行工作安排作业UNIX系统有一个始终运行的守… 相似文献
18.
金融行业普遍使用UNIX作为操作平台,而金融行业电脑中的文件却往往包含着重要的数据,因此安全地使用系统中的文件便成为该行业操作的一个重要环节。但是,我们在使用UNIX系统中的文件时,可能会出现因为错误操作而导致重要文件丢失的情况。以下就是在使用UNIX操作系统时容易造成重要文件丢失的一些情况和应对方法。 相似文献
19.
一、总体设计思想建立在Client/Server(客户/服务器)模式基础上的工商银行牡丹卡微机业务处理系统(ICBPCS),在实际应用中,作为服务器的主机往往需要启动多个服务器进程进行联机事务处理。每个服务器进程启动后,需要占用一个虚拟屏做监控画面,当主机启动多个服务器进程时,将造成虚拟屏使用紧张,甚至不够用。笔者设想:在不修改服务器源程序的前提下,用~个虚拟屏幕实时监控多个服务器的显示信息,所实现的监控效果与多个原系统虚拟屏监控完全相同。总体设计思想如下。(1)可以在命令行上进行设置,使服务器进程的标准输出… 相似文献
20.
通过FTP协议可以方便传输文件,所以在进行内部文件的自动传输时我们都会用到架设FTP服务器.当要求不高时,可以简单的使用Windows自带的IIS中的FTP服务来架设,但是很多时候我们还要对上传、下载文件的IP、用户访问目录等进行控制,Windows系统自带的服务就力不从心了.为了满足比较复杂的FTP服务要求,我们可以使用一些比较专业的FTP服务软件进行架设服务器来达到目的,下面以Serv-U为例进行介绍. 相似文献