Unix系統(tǒng)管理員安全問題

1、本文從系統(tǒng)管理員的角度討論平安問題系統(tǒng)管理員是管理系統(tǒng)的人：啟動系統(tǒng)，停止系統(tǒng)運行，安裝新軟件，增加新用戶，刪除老用戶，以及完成保持系統(tǒng)開展和運行的日常事務(wù)工 作1. 平安管理平安管理主要分為四個方面：(1) 防止未授權(quán)存?。哼@是計算機平安最重要的問題：未被使用系統(tǒng)的人進入系統(tǒng)用戶意識，良好的口令管理(由系統(tǒng)管理員和用戶雙方配合 )，登錄活動記錄和報告，用戶和網(wǎng)絡(luò)活動的周期檢查，這些都是防止未授權(quán)存取的關(guān)鍵 (2) 防止泄密：這也是計算機平安的一個重要問題 防止已授權(quán)或未授權(quán)的用戶相互存取相互 的重要信息文件系統(tǒng)查帳，su登錄和報告，用戶意識，加密都是防止泄密的關(guān)鍵(3) 防止用戶拒絕系統(tǒng)的管

2、理：這一方面的平安應(yīng)由操作系統(tǒng)來完成 一個系統(tǒng)不應(yīng)被一個有 意試圖使用過多資源的用戶損害 不幸的是，UNIX不能很好地限制用戶對資源的使用 ，一個 用戶能夠使用文件系統(tǒng)的整個磁盤空間 ，而UNIX根本不能阻止用戶這樣做系統(tǒng)管理員最好用 PS命令，記帳程序df和du周期地檢查系 統(tǒng).查出過多占用 CUP的進程和大量占用磁盤的文件(4) 防止喪失系統(tǒng)的完整性：這一平安方面與一個好系統(tǒng)管理員的實際工作(例如:周期地備份文件系統(tǒng)，系統(tǒng)崩潰后運行fsck檢查，修復(fù)文件系統(tǒng)，當有新用戶時，檢測該用戶是否可能 使系統(tǒng)崩潰的軟件)和保持一個可靠的操作系統(tǒng)有關(guān)(即用戶不能經(jīng)常性地使系統(tǒng)崩潰).本文其余局部主要涉

3、及前兩個問題，第三個問題在平安查帳一節(jié)討論文檔來自于網(wǎng)絡(luò)搜索2. 超級用戶一些系統(tǒng)管理命令只能由超級用戶運行 超級用戶擁有其他用戶所沒有的特權(quán) ，超級用 戶不管文件存取許可方式如何 ，都可以讀，寫任何文件，運行 任何程序系統(tǒng)管理員通常使用 命令:/bin/su 或以root 進入系統(tǒng)從而成為超級用戶 在后面文章中以#表示應(yīng)敲入必須 由超級用戶運行的命令，用$表示應(yīng)敲入由所有其他用戶運行的命令 文檔來自于網(wǎng)絡(luò)搜索3.文件系統(tǒng)平安文檔來自于網(wǎng)絡(luò)搜索(1) UNIX文件系統(tǒng)概述UNIX文件系統(tǒng)是UNIX系統(tǒng)的心臟局部，提供了層次結(jié)構(gòu)的目錄和文件文件系統(tǒng)將磁盤空間劃分為 每1024個字節(jié)一組，稱為(b

4、lock)(也有用512字節(jié)為一塊的，如:SCOXENIQ編號從 0到整個磁盤的最大塊數(shù)全部塊可劃分為四個局部，塊0稱為引導塊，文件系統(tǒng)不用該塊；塊 1稱為專用塊，專用塊含有許多信息，其中有 磁盤大小和全部塊的其它兩局部的大小從塊2開始是i節(jié)點表，i節(jié)點表中含有i節(jié)點，表的塊數(shù)是可變的，后面將做討論i節(jié)點表之后是 空閑存儲塊(數(shù)據(jù)存 儲塊)，可用于存放文件內(nèi)容文件的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)是十分不同的 邏輯結(jié)構(gòu)是用戶敲入 cat命令后所看到的文件，用戶可得到表示文件內(nèi)容的字符流物理結(jié)構(gòu)是文件實際上如何存放在磁盤上的存儲格式用戶認為自己的文件是邊疆的字符流，但實際上文件可能并不是以邊疆的方式存放在磁盤

5、上的，長于一塊的文件通常將分散地存放在盤上然而當用戶存取文件時，UNIX文件系統(tǒng)將以正確的順序取各塊，給用戶提供文件的邏輯結(jié)構(gòu)當然，在UNIX系統(tǒng)的某處一定會有一個表，告訴文件系統(tǒng)如何將物理結(jié)構(gòu)轉(zhuǎn)換為邏 輯結(jié)構(gòu)這就涉及到i節(jié)點了 i節(jié)點是一個64字節(jié)長的表，含有有關(guān)一個 文件的信息，其中 有文件大小，文件所有者，文件存取許可方式，以及文件為普通文件，目錄文件還是特別文件等.在i節(jié)點中最重要的一項為哪一項磁盤地址表該表中 有13個塊號.前10個塊號是文件前10塊的存放地址這10個塊號能給出一個至多10塊長的文件的邏輯結(jié)構(gòu)，文件將以塊號在磁盤地址表中出現(xiàn)的順序依次取相應(yīng)的塊.當文件長于10塊時又怎

6、樣呢？磁盤地址表中的第十一項給出一個塊號,這個塊號指出的塊中含有256個塊號,至此,這種方法滿足了至多長于266塊的文件272,384字節(jié).如果文件大于266塊,磁盤地址表的第十二項給出一個塊號,這個塊號指出的塊中含有256個塊號,這256個塊號 的每一個塊號又指出一塊，塊中含256個塊號，這些塊號才用于取文件的內(nèi)容磁盤地址中和第十三項索引尋址方式與第十二項類似,只是多一級間接索引這樣,在UNIX系統(tǒng)中，文件的最大長度是16,842,762塊,即 17,246,988,288字節(jié)，有幸是是UNIX系統(tǒng)對文件的最大長度一般為1到2M字節(jié)加了更實 際的限制，使用戶不會無意中建立一個用完整個磁盤窨所

7、有塊的文件文件系統(tǒng)將文件名轉(zhuǎn)換為i節(jié)點的方法實際上相當簡單一個目錄實際上是一個含有目錄表的文件：對于目錄中的每個文件，在目錄表中有一個入口項，入口項中含 有文件名和與文件相應(yīng)的i節(jié)點號當 用戶敲入cat xxx時，文件系統(tǒng)就在當前目錄表中查找名為xxx的入口項，得到與文件xxx相應(yīng)的i節(jié)點號，然后開始取含有文件 xxx的內(nèi)容的塊.文檔來自于網(wǎng)絡(luò)搜索2設(shè)備文件UNIX系統(tǒng)與邊在本系統(tǒng)上的各種設(shè)備之間的通訊，通過特別文件來實現(xiàn)，就程序而言，磁盤是文件,MODEM是文件，甚至內(nèi)存也是文件.所有連接到系統(tǒng)上的設(shè)備都在/dev目錄中有一個文件與其對應(yīng).當在這些文件上執(zhí)行I/O操作時，由UNIX系統(tǒng)將I/

8、O操作轉(zhuǎn)換成實際設(shè)備的 動作.例如,文件/dev/mem是系統(tǒng)的內(nèi)存，如果cat這個文件，實際上是在終端顯示系統(tǒng)的內(nèi) 存.為了平安起見，這個文件對普通用戶是不可讀的.因為在任一給定時間，內(nèi)存區(qū)可能含有用戶登錄口令或運行程序的口令，某局部文件的編輯緩沖區(qū)，緩沖區(qū)可 能含有用ed -x命令解密后的文本，以及用戶不愿讓其他人存取的種種信息.在/dev中的文件通常稱為設(shè)備文件，用Is /dev 命令可以看看系統(tǒng)中的一些設(shè)備：acuo呼叫自動撥- 號器 con sole 系統(tǒng)控制臺 dsknn塊方式操作磁盤分區(qū)kmem核心內(nèi)存mem內(nèi)存lp打印機mto塊方式操作磁帶rdsknn流方式操作的磁盤分區(qū)rmt

9、o流方式操作的磁帶swap交換區(qū)syscon 系統(tǒng)終端 tty nn 終端口 x25網(wǎng)絡(luò)端口等等文檔來自于網(wǎng)絡(luò)搜索3/etc/mk nod命令用于建立設(shè)備文件.只有root能使用這個命令建立設(shè)備文件.其參數(shù)是文件名，字母c或b分別代 表字符特別文件或塊特別文件，主設(shè)備號，次設(shè)備號.塊特別文件是像磁帶，磁盤這樣一些以塊為單位存取數(shù)據(jù)的設(shè)備.字符特別文件是如像終端，打印機,MODEMI或者其它任何 與系統(tǒng)通訊時，一次傳輸一個字符的設(shè)備，包括模仿對磁盤進行字符方式存取的磁盤驅(qū)動器.主設(shè)備號指定了系統(tǒng)子程序設(shè)備驅(qū)動 程序,當在設(shè)備上執(zhí)行I/O時，系統(tǒng)將調(diào)用這個驅(qū)動程序.調(diào)用設(shè)備驅(qū)動程序時，次設(shè)備號將傳

10、遞給該驅(qū)動程序次設(shè)備規(guī)定具體的磁盤驅(qū)動器,帶驅(qū)動器，信號線編號，或磁盤分區(qū).每種類型的設(shè)備一般都有自己的設(shè)備驅(qū)動程序文件系統(tǒng)將主設(shè)備號和次設(shè)備號存放在i節(jié)點中的磁盤地址表內(nèi)，所 以沒有磁盤空間分配給設(shè)備文件除i節(jié)點本身占用的磁盤區(qū)外.當程序試圖在設(shè)備文件上執(zhí)行I/O操作時，系統(tǒng)識別出該文件是一個特別文件，并調(diào)用由主設(shè)備號指定的設(shè)備驅(qū)動程序，次設(shè)備號作為調(diào)用設(shè)備驅(qū) 動程序的參數(shù)文檔來自于網(wǎng)絡(luò)搜索4平安考慮將設(shè)備處理成文件，使得UNIX程序獨立于設(shè)備，即程序不必一定要了解正使用的設(shè)備的任何 特性，存取設(shè)備也不需要記錄長度，塊大小，傳輸速度，網(wǎng)絡(luò)協(xié)議等 這樣一些信息，所有煩人 的細節(jié)由設(shè)備驅(qū)動程序去

11、關(guān)心考慮，要存取設(shè)備，程序只須翻開設(shè)備文件，然后作為普通的UNIX文件來使用從平安的觀點來看這樣處理很好，因為任何設(shè)備上進行的I/O操作只經(jīng)過了少量的渠道即設(shè)備文件用戶不能直接地存取設(shè)備所以如果正確地設(shè)置了磁盤分區(qū)的 存取許可，用戶就只 能通過UNIX文件系統(tǒng)存取磁盤.文件系統(tǒng)有內(nèi)部平安機制文件許可. 不幸的是，如果磁盤分區(qū)設(shè)備得不正確，任何用戶都能夠?qū)懸粋€程序讀磁盤分區(qū)中的每個文件，作法很簡單：讀一 i節(jié)點，然后以磁盤地址表中塊號出現(xiàn)的順序，依次讀這些塊號指出的存有文件內(nèi)容的塊故除了 root以外，決不要使盤分區(qū)對任何人可寫因為所有者，文件存取許可方式這樣一些信息存放于i節(jié)點中，任何人只要具

12、有已安裝分區(qū)的寫許可，就能設(shè)置任何文件的SUID許可，而不管文件的所有者是誰，也不必用chmod命令，還可避過系統(tǒng)建立的平安檢查.以上所述對內(nèi)存文件 mem，kmer和對換文件swap也是一樣的.這些文件含有用 戶信息，一個耐心的程序可以將用戶信息提取出來要防止磁盤分區(qū)以及其它設(shè)備可讀可寫，應(yīng)當在建立設(shè)備文件前先用umask命令設(shè)置文件建立屏蔽值.一般情況下，UNIX系統(tǒng)上的終端口對任何人都是可寫的，從而使用戶可以用 write 命令發(fā)送信息.雖然write命令易引起平安方面的問題，但大多數(shù)用戶覺得用write得到其他用戶的信息很方便，所以系統(tǒng)將終端設(shè)備的存取許可設(shè)置成對所有用戶可寫/dev目

13、錄應(yīng)當是755存取許可方式，且屬root所有不允許除root外的任何用戶讀或?qū)懕P分區(qū)的原那么有一例外，即一些程 序通常是數(shù)據(jù)庫系統(tǒng)要求對磁盤分區(qū)直接存取，解決這個問題的經(jīng)驗的盤分區(qū)應(yīng)當由這種程序?qū)Ｓ?不安裝文件系統(tǒng)，而且應(yīng)當告知使用這種程序的用戶，文件平安保護將由程序自己而不是UNIX文件系統(tǒng)完成文檔來自于網(wǎng)絡(luò)搜索fi nd 命令find命令用于搜索目錄樹，并對目錄樹上的所有文件執(zhí)行某種操作，參數(shù)是目錄名表指出從哪些起點開始搜索，還可給出一個或多個選項，規(guī)定對每個文件執(zhí)行什么操作find -pri nt將列出當前工作目錄下的目錄樹的每一個文件find / -user bob -print將列出

14、在系統(tǒng)中可找到的屬于 bob用戶的所有文件.find /usr/bob -perm 666 -print將列出/usr/bob目錄樹下所有存取許可為666的文件.假設(shè)將666改為-666那么將列出所有具有包含了666在內(nèi)的存取許可方式的文件如777.find /usr/bob -typeb -print將列出/usr/bob目錄樹下所有塊特別文件 c為字符特別文件.find / -user root -perm -4000 -exec Is -l ;是一個較復(fù)雜一點的命令 ，-exec COMMAND;允許對所找到的每個文件運行指定的命令COMMAN假設(shè)COMMAND含有，那么將由find所找

15、到的文件名替換.COMMAN必須以;結(jié)束.以上舉例介紹find的用法，各選項可組合使用以到達更強的功能.文檔來自于網(wǎng)絡(luò)搜索6secure 程序系統(tǒng)管理員應(yīng)當做一個程序以定期檢查系統(tǒng)中的各個系統(tǒng)文件，包括檢查設(shè)備文件和SUID,SGID程序,尤其要注意檢查 SUID,SGID程序,檢查/etc/passwd 和/etc/group 文件,尋 找久未登錄的戶頭和校驗各重要文件是否被修改源程序清單將在今后發(fā)表文檔來自于網(wǎng)絡(luò)搜索7ncheck 命令用于檢查文件系統(tǒng)，只用一個磁盤分區(qū)名作為參數(shù)，將列出i節(jié)點號及相應(yīng)的文件名.i節(jié)點相同的文件為建鏈文件.注意：所列出的清單文件名與mount命令的第一個域相

16、同的文件名前局部將不會列出來因為是做文件系統(tǒng)內(nèi)部的檢查，ncheck并不知道文件系統(tǒng)安裝點以上局部的目錄也可用此命令來搜索文件系統(tǒng)中所有的SUID和SGID程序和設(shè)備文件，使用-s選項來完成此項功能文檔來自于網(wǎng)絡(luò)搜索8安裝和拆卸文件系統(tǒng)UNIX文件系統(tǒng)是可安裝的，這意味著每個文件系統(tǒng)可以連接到整個目錄樹的任意節(jié)點上根目錄總是被安裝上的.安裝文件系統(tǒng)的目錄稱為安裝點./etc/mount命令用于安裝文件系統(tǒng),用這條命令可將文件系統(tǒng)安裝在現(xiàn)有目錄結(jié)構(gòu)的任意處安裝文件系統(tǒng)時，安裝點的文件和目錄都是不可存取的，因此未安裝文件系統(tǒng)時，不要將文件存入安裝點目錄.文件系統(tǒng)安 裝后，安裝點的存取許可方式和所有

17、者將改變?yōu)樗惭b的文件根目錄的許可方式和所有者安裝文件系統(tǒng)時要小心：安裝點的屬性會改變！還要注意新建的文件，除非新文件系統(tǒng)是由標 準文件建立的，系統(tǒng)標準文件會設(shè)置適當?shù)拇嫒≡S可方式，否那么新文件系統(tǒng)的存取許可將是777!可用-r選項將文件系統(tǒng)安裝成只讀文件系統(tǒng)需要寫保護的帶驅(qū)動器和磁盤應(yīng)當以這種方式來安裝不帶任何參數(shù)的/etc/mount可獲得系統(tǒng)中所安裝的文件系統(tǒng)的有關(guān)信息包括:文件系統(tǒng)被安裝的安裝點目錄，對應(yīng)/dev中的哪個設(shè)備，只讀或可讀寫，安裝時間和日期等從平安的觀點來講，可安裝系統(tǒng)的危險來自用戶可能請求系統(tǒng)管理員為其安裝用戶自己的文件系統(tǒng)如果安裝了用戶的文件系統(tǒng)，那么應(yīng)在允許用戶存取

18、文件系統(tǒng)前，先掃描用戶的文件系統(tǒng)，搜索SUID/SGID程序和設(shè) 備文件在除了 root外任何人不能執(zhí)行的目錄中安裝文 件系統(tǒng)，用find命令或secure列出可疑文件，刪除不屬用戶所有的文件的SUID/SGID許可用戶的文件系統(tǒng)用完后，可用umount命令卸下文件系統(tǒng)并將安裝點目錄的所有者改回root,存取許可改為755文檔來自于網(wǎng)絡(luò)搜索9系統(tǒng)目錄和文件UNIX系統(tǒng)中有許多文件不允許用戶寫，如:/bin，/usr/bi n,/usr/lb in,/etc/passwd,/usr/lib/cro ntab,/u nix,/etc/rc,/etc/i nittab這樣一些文件和目錄 大多數(shù)的系統(tǒng)

19、目錄,可寫的目錄允許移動文件，會引起平安問題系統(tǒng)管理員應(yīng)經(jīng)常檢查系統(tǒng)文 件和目錄的許可權(quán)限和所有者可做一個程序根據(jù)系統(tǒng)提供的規(guī)那么文件在/etc/permlist文件中所描述的文件所有者和許可權(quán)規(guī)那么檢查各文件源程序清單將在今后發(fā)表注意:如果系統(tǒng)的平安管理不好，或系統(tǒng)是新安裝的，其平安程序不夠高，可以用make方式 在平安強的系統(tǒng)上運行上述程序，將許可規(guī)那么文件拷貝到新系統(tǒng)來，再以設(shè)置方式在新系統(tǒng) 上運行上述 程序，就可提高本系統(tǒng)的平安程序但要記住，兩個系統(tǒng)必須運行相同的UNIX系統(tǒng)版本文檔來自于網(wǎng)絡(luò)搜索4作為root運行的程序在UNIX系統(tǒng)中，有些程序由系統(tǒng)作為root進程運行.這些程序并不

20、總是具有SUID許可,因為其不少程序僅由root運行,系統(tǒng)管理員需要清楚這些程序做什么，以及這些程序還將運行其它什么程序文檔來自于網(wǎng)絡(luò)搜索(1) 啟動系統(tǒng)當某些UNIX系統(tǒng)(如SCOUNIX/XENIX)啟動時，是以被稱為單用戶的方式運行，在這種方式中普通用戶不能登錄，唯有的進程是in it, swap per,以及一些由系統(tǒng)管理員從控制臺運行的進 程.UNIX系統(tǒng)的單用戶方式啟動，使系統(tǒng)管理員能在允許普通用戶登錄以前，先檢查系統(tǒng)操作,確保 系統(tǒng)一切正常，當系統(tǒng)處于單用戶方式時，控制臺作為超級用戶，命令揭示是#,有 些UNIX系統(tǒng)不要確認超級用戶口令就認可控制臺是root,給出#提 示符.這就

21、可能成為一個平安問題.文檔來自于網(wǎng)絡(luò)搜索(2) i nit進程UNIX系統(tǒng)總是以某種方式或稱為某種級運行，系統(tǒng)有假設(shè)干種運行級，這些運行級由init進程控 制.UNIX系統(tǒng)啟動時以單用戶方式運行，也叫1級或S級.對于其他用戶登錄進入系統(tǒng),UNIX有一種多用戶運行方式，也叫2級.init進程控制系統(tǒng)運行級，它讀入文件/etc/ini ttab,該文件詳細地規(guī)定了哪些進程在哪一級運行.當root敲入in itn(數(shù)字),系統(tǒng)就進入n級.init讀該文件以確定終止哪些進程，啟動哪些進程.有效的運行級的數(shù)值是從0到6與s.注意：由init建立 的進程以UID為0運行(root)從/etc/initta

22、b運行的程序 也作為root運行，所以系統(tǒng)管理員要確保自己知道/etc/inittab中的程序做什么工作，確保這些程序以及這些程序所在的目錄直到/和/etc /inittab除root外無人可寫.文檔來自于網(wǎng)絡(luò)搜索(3) 進入多用戶當UNIX系統(tǒng)進入多用戶方式時，將寢化一系列事件，接著開始執(zhí)行g(shù)ettys,允許其他用戶登 錄進入系 統(tǒng).如果再看看/etc/inittab 文件，會看到gettys定義在運行級2,至少三個shell程序/etc/brc,/etc /bcheckrc,/etc/rc*也定義在運行級 2.這些程序都在 gettys啟動前運行.這些shell程序作為root運行,也不能

23、僅對root可寫還應(yīng)當檢查 shell程序運 行的命令,因為這些命令也將作為 root運行.文檔來自于網(wǎng)絡(luò)搜索(4) shutdown 命令用shutdown命令關(guān)系統(tǒng),shutdown shell 程序發(fā)送警告通知所有用戶離開系統(tǒng)，在給定的期限時間到了后，就終止進程，拆卸文件系統(tǒng)，進入單用戶方式或關(guān)機狀態(tài) .一旦進入單用戶 方式，所有的gettys停止運行，用戶再不能登錄.進入關(guān)機狀態(tài)后可將系統(tǒng)關(guān)電 .shutdown 僅能由作為root登錄的用戶從系統(tǒng)控制臺上運行.所以任何的shutdown運行的命令僅能對 root可寫.文檔來自于網(wǎng)絡(luò)搜索(5) 系統(tǒng)V的cron程序cron在UNIX系統(tǒng)

24、是多用戶方式時運行，根據(jù)規(guī)定的時間安排執(zhí)行指定的命令,每隔一分鐘檢查一次文件/usr/lib/crontab,尋找是否有應(yīng)當運行的程序？如果找到要運行的程序，就運行該程序，否那么睡眠等待一分鐘.實際的/usr/lib/crontab用于根據(jù)全天的規(guī)那么時間表運行程序，也可在夜晚運行白天不愿運行怕降低其他用戶速度的程序.通常由cron運行的 程序是如記帳，存文件這樣的程序.cron 般在系統(tǒng)進入多用戶后由/etc/rc 啟動，當shutdown運行killall命令時便終止運行.由cron運行的程序作為root,所以應(yīng)當注意放什么程序在cron tab中，還要確保/usr/lib/cro nta

25、b和該表中列出的任何程序?qū)θ魏稳瞬豢蓪?如果用 戶需要由cron執(zhí)行一個程序，系統(tǒng)管理員可用su命令在cron tab表中建立一個入口 ，使用戶 的程序不能獲得root的權(quán)限.文檔來自于網(wǎng)絡(luò)搜索(6) 系統(tǒng)V版本2之后的cron程序在系統(tǒng) V版本2中,cron 被修改成允許用戶建立自己的crontab 入口，/usr/lib/crontab文件不再存在，由目錄/usr/spool/cron/crontabs中的文件代替.這些文件的格式與cron tab相同,但 每個文件與系統(tǒng)中的一個用戶對應(yīng)，并以某用戶的名義由cron運行.如果想限制能建立 cron tab的用戶，可在文件/usr/lib/c

26、ro n /cron .allow文件中列出允許運行cron tab命令的用戶.任何未列于該文件的用戶不能運行cron tab.反之，假設(shè)更愿意列出不允許運行cron tab 命令的用戶，那么可將他們列入/usr/lib/cro n/ cro n.deny文件中，未列于該文件的其他用戶將被允許建立cron tab.注意：假設(shè)兩個文件都存在，系統(tǒng)將使用cron .allow,忽略cron.den y.如果兩個文件都不存在 那么只有root可運行cron tab.所以，假設(shè) 要允許系統(tǒng)中的所有用戶都可運行cron tab命令,應(yīng)當建立一個空的cron .de ny文件，如果cron .allow

27、也存在，那么刪除該文件.這個版本 的cron 命令的平安程度比前一個高，因為用戶只能看自己的cron tab,系統(tǒng)管理員也不必擔憂其他用戶的程序是否會作為root運行，由于允許每個系統(tǒng)登錄用戶有自己的cron tab,也簡化了對程序必須由cron運行，但不必作為root運行的系統(tǒng)程序的處理.必須確保root的 cron tab文件僅對root可寫,并且該文件所在的目錄及所有的父目錄也僅對root可寫.文檔來自于網(wǎng)絡(luò)搜索(7) /etc/profile每當用戶(包括root在內(nèi))登錄時，由shell執(zhí)行/etc/profile 文件，應(yīng)確保這個文件以及從 這個文件運行的程序和命令都僅對root可

28、寫.文檔來自于網(wǎng)絡(luò)搜索5. /etc/passwd 文件/etc/passwd文件是UNIX平安的關(guān)鍵文件之一.該文件用于用戶登錄時校驗用戶的口令，當然應(yīng)當僅對root可寫.文件中每行的一般格式為:LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SH每LL亍的頭兩項是登錄名和加密后的口令,后面的兩個數(shù)是 UID和GID,接著的一項為哪一項系統(tǒng)管理員想寫入的有關(guān)該用戶的任何信息 最后兩項是兩個路徑名：一個是 分配給用戶的HOME!錄,第二個是用戶登錄后將執(zhí)行的 shell(假設(shè)為空格那么缺省為/bin/sh).文檔來自于網(wǎng)絡(luò)搜索(1) 口令時效/etc/passwd

29、 文件的格式使系統(tǒng)管理員能要求用戶定期地改變他們的口令.在口令文件中可以看到，有些加密后的口令有逗號，逗號后有幾個字符和一個冒號.如：steve:xyDfccTrt180x,M.y8:0:0:admi n:/:/bi n/sh restrict:pomJk109Jky41,.1:0:0:admi n:/:/bi n/sh pat:xmotTVoyumjls:0:0:adm in:/:/b in/sh可以看到,steve的口令逗號后有 4個字符,restrict 有2個,pat沒有逗號.逗號后第一個字 符是口令有效期的最大周數(shù)，第二個字符決定了用戶再次修改口信之前，原口令應(yīng)使用的最小周數(shù)(這就防

30、止了用戶改了新口令后立刻又 改回成老口令).其余字符說明口令最新修改時間.要能讀懂口令中逗號后的信息，必須首先知道如何用 passwd_esc 計數(shù)，計數(shù)的方法是：.=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63 系統(tǒng)管理員必須將前兩個字符放進/etc/passwd文件，以要求用戶定期的修改口令，另外兩個字符當用戶修改口令時，由passwd命令填入.注意：假設(shè)想讓用戶修改口令，可在最后一次 口令被修改時，放兩個.,那么下一次用戶登錄時將被要求修改自己的口令有兩種特殊情況:.最大周數(shù)(第一個字符)小于最小周數(shù)(第二個字符),那么不允許用戶修改口令，僅超級用戶 可以修改用戶

31、的口令.第一個字符和第二個字符都是，這時用戶下次登錄時被要求修改口令，修改口令后，passwd命令將.刪除，此后再不會要求用戶修改口令文檔來自于網(wǎng)絡(luò)搜索(2) UID 和 GID/etc/passwd中UID信息很重要，系統(tǒng)使用UID而不是登錄名區(qū)別用戶 一般來說，用戶 的 UID應(yīng)當是獨一無二的，其他用戶不應(yīng)當有相同的UID數(shù)值.根據(jù)慣例，從0到99的UID保存用作系統(tǒng)用戶的UID(root,bin,uucp 等).如果在/etc/passwd 文件中有兩個不同的入口項有相同的UID,那么這兩個用戶對相互的文件具有相同的存取權(quán)限.文檔來自于網(wǎng)絡(luò)搜索6. /etc/group文件/etc/gr

32、oup文件含有關(guān)于小組的信息，/etc/passwd中的每個GID在本文件中應(yīng)當有相應(yīng)的入口項，入口項中列出了小組名和小組中的用戶.這樣可方便地了解每個小組的用戶，否那么必須根據(jù)GID在/etc/passwd文件中從頭至尾地尋找同組用戶./etc/group 文件對小組的許可權(quán)限的控制并不是必要的，因為系統(tǒng)用UID,GID(取自/etc/passwd)決定文件存取權(quán)限，即使/etc/group 文件不存在于系統(tǒng)中，具有相同的GID用戶也可以小組的存取許可權(quán)限共享文件.小組就像登錄用戶一樣可以有口令.如果/etc/group文件入口項的第二個域為非空，那么將被認為是加密口令,newgrp命令將要

33、求用戶給出口令，然后將口令加密，再與該域的 加密口令比擬.給小組建立口令一般不是個好作法.第一,如果 小組內(nèi)共享文件，假設(shè)有某人猜著小組口令，那么該組的所有用戶的文件就可能泄漏；其次,管理小組口令很費事，因為對于小組沒有類似的passwd命令.可用/usr/lib/makekey生成一個口令寫入/etc/group. 以下情況必須建立新組：(1) 可能要增加新用戶，該用戶不屬于任何一個現(xiàn)有的小組.(2) 有的用戶可能時常需要單獨為一個小組 有的用戶可能有一個SGID程序，需要單獨為一個小組.(4)有時可能要安裝運行SGID的軟件系統(tǒng)，該軟件系統(tǒng)需要建立一個新組.要增加一個新組，必須編輯該文件，

34、為新組加一個入口項.由于用戶登錄時，系統(tǒng)從 /etc/passwd 文件中取 GID,而不是從/etc/group 中取GID,所以group文件和口令文件應(yīng)當 具有一致性.對于一個用戶的小組,UID和GID應(yīng)當是相同的.多用戶小組的 GID應(yīng)當不同于 任何用戶的UID, 一般為5位數(shù),這樣在查看/etc/passwd 文件 時,就可根據(jù)5位數(shù)據(jù)的GID 識別多用戶小組，這將減少增加新組，新用戶時可能產(chǎn)生的混淆.文檔來自于網(wǎng)絡(luò)搜索7. 增加，刪除,移走用戶(1)增加用戶增加用戶有三個過程：.在/etc/passwd 文件中寫入新用戶的入口項.為新登錄用戶建立一個HOM目錄.在/etc/grou

35、p中為新用戶增加一個入口項.在/etc/passwd文件中寫入新的入口項時，口令局部可先設(shè)置為NOLOGIN以免有人做為此新用戶登錄在修改文件前,應(yīng)mkdir /etc/ptmp,以免他人同時修改此文件.新用戶一般獨立為一個新組，GID號與UID號相同(除非他要參加目前已存在的一個新組),UID號必須和 其他人不同,HOME目錄一般設(shè)置在/usr或/home目錄下建立一個以用戶登錄名為名稱的目錄做為 其主目錄文檔來自于網(wǎng)絡(luò)搜索(2) 刪除用戶刪除用戶與加用戶的工作正好相反，首先在/etc/passwd和/etc/group文件中刪除用戶的入口項，然后刪除用戶的 HOME!錄和所有文件.rm -

36、r /usr/loginname刪除整個目錄樹.如果用戶在/usr/spool/cro n/cro ntabs中有cron tab 文件，也應(yīng)當刪除.文檔來自于網(wǎng)絡(luò)搜索(3) 將用戶移到另一個系統(tǒng)這是一個復(fù)雜的問題，不只是拷貝用戶的文件和用戶在/etc/passwd 文件中的入口項.首先一個問題是用戶的 UID和GID可能已經(jīng)用于另一個系統(tǒng)，假設(shè)是出現(xiàn)這種情況，必須給要移的用 戶分配另外的UID和GID,如果改變了用戶的UID和GID,那么必須搜索該用戶的全部文件，將文件的原UID和GID改成新的UID和GID.用find命令可以完成這一修改：find . -user olduid -exec

37、 chow n n ewuid ;find . -group oldgid -exec chgrp n ewgid ;也許還要為用戶移走其它一些文件:/usr/mail/user和 /usr/spool/cron/crontabs/user.如果用戶從一個不是本系統(tǒng) 管理員的系統(tǒng)移來，那么應(yīng)對該用戶的目錄結(jié)構(gòu)運行程序來檢查.一個不平安系統(tǒng)的用戶，可能有與該用戶其它文件存在一起的SUID/SGID程序,而這個SUID/SGID程序?qū)儆诹硪粋€用戶.在這種情況下，如果用cpio或tar命令將用戶的目錄結(jié)構(gòu) 拷貝到本系統(tǒng),SUID/SGID程序也將會拷貝到本系統(tǒng)而沒有任何警告信息.應(yīng)當在允許用戶 使用

38、新系統(tǒng)以前先刪除這種文件的SUID/SGID許可.總之,始終堅持檢查所移用戶的文件總是更平安些.也可以 用su命令進入用戶的戶頭，再拷貝用戶文件，這樣文件的所有者就是該 用戶，而不是root. 文檔來自于網(wǎng)絡(luò)搜索8. 平安檢查像find和secure這樣的程序稱為檢查程序，它們搜索文件系統(tǒng)，尋找出SUID/SGID文件, 設(shè)備文件，任何人可寫的系統(tǒng)文件，設(shè)有口令的登錄用戶，具有相同UID/GID的用戶等等.文 檔來自于網(wǎng)絡(luò)搜索(1)記帳UNIX記帳軟件包可用作平安檢查工具，除最后登錄時間的記錄外，記帳系統(tǒng)還能保存全天運 行的所有進程的完整記錄，對 于一個進程所存貯的信息包括UID,命令名，進程

39、開始執(zhí)行與結(jié)束的時間,CPU時間和實際消耗的時間，該進程是否是root進程，這將有助于系統(tǒng)管理員了 解系統(tǒng)中的用戶在干什么.acctcom命令可以列出一天的帳目表.有明，系統(tǒng)中有多個記帳數(shù)據(jù)文件，記帳信息保存在文件/usr/adm/pacct* 中，/usr/adm/pacct是當前記錄文件，/usr/adm/pacctn是以前的記帳文件(n為整型數(shù)).假設(shè)有假設(shè)干個記帳文件要查看，可在acctcom命令中指定文件名：acctcom /usr/adm/pacct? /usr/adm/pacct要檢查的問題的其中之一是：在acctcom的輸出中查找一個用戶過多的登錄過程，假設(shè)有,那么說明可能有人

40、一遍遍地嘗試登錄，猜想口令，企圖非法進入系統(tǒng).此外,還應(yīng)查看root進程,除了系統(tǒng)管理員用 su 命令從終端進入root,系統(tǒng)啟動，系統(tǒng)停止時間，以及由in it(通常in it只啟動getty,logi n, 登錄shell),cron啟動的進程和具有 root SUID 許可的命令外，不應(yīng)當有任何root進程.由記帳系統(tǒng)也可獲得有關(guān)每個用戶的CPU利用率，運行的進程數(shù)等統(tǒng)計數(shù)據(jù).文檔來自于網(wǎng)絡(luò)搜索2其它檢查命令*du:報告在層次目錄結(jié)構(gòu)當前工作目錄或指定目錄起中各目錄占用的磁盤塊數(shù).可用于檢查用戶對文件系統(tǒng)的使用情況.可用于合理調(diào)整磁盤空間的使用和管理.對于用了大量CPU時間的進程,同時運

41、行了許CPU時間的用戶進程應(yīng)當深入檢查.還可以查出,未注銷戶頭就關(guān)終端的用戶一般發(fā)生在直接連*df:報告整個文件系統(tǒng)當前的空間使用情況 *ps:檢查當前系統(tǒng)中正在運行的所有進程 多進程的用戶，運行了很長時間但用了很少 運行了一個無限制循環(huán)的后臺進程的用戶 線的終端.*who:可以告訴系統(tǒng)管理員系統(tǒng)中工作的進展情況等等許多信息，檢查用戶的登錄時間，登錄終端.*su:每當用戶試圖使用 su命令進入系統(tǒng)用戶時，命令將在/usr/adm/sulog文件中寫一條信息,假設(shè)該文件記錄了大量試圖用su進入root的無效操作信息，那么說明了可能有人企圖破譯root 口令.*login: 在一些系統(tǒng)中,logi

42、n 程序記錄了無效的登錄企圖 假設(shè)本系統(tǒng)的login程序不做這項 工作而系統(tǒng)中有l(wèi)ogin源程序，那么應(yīng)修改login.每天總有少量的無效登錄，假設(shè)無效登錄的 次數(shù)突然增加了兩倍，那么說明可能有人企圖通過猜想登錄名和口令，非法進入系統(tǒng).文檔來自于網(wǎng)絡(luò)搜索3平安檢查程序的問題關(guān)于以上的檢查方法的一個警告，假設(shè)有誘騙，那么這些方法中沒有幾個能防誘騙.如find命令,如果碰 到路徑名長于256個字符的文件或含有多于200個文件的目錄，將放棄處理該文件或目錄,用戶就有可能利用建立多層目錄結(jié)構(gòu)或大目錄隱藏SUID程序,使 其逃避檢查但find命令會給出一個錯誤信息，系統(tǒng)管理員應(yīng)手工檢查這些目錄和文件.也

43、可用ncheck命令搜索文件系統(tǒng)，但它沒有find命令指定 搜索哪種文件的功能.如果定期存取.profile 文件,那么 檢查久未登錄用戶的方法就不奏效了.而 用戶用su命令時，除非用參數(shù)-,否那么su不讀用戶的.profile.有三種方法可尋找久未登錄的帳戶：.UNIX記帳系統(tǒng)在文件/usr/adm/acct/sum/login中為每個用戶保存了最后一次登錄日期.用這個文件的好處是，該文件由系統(tǒng)維護，所 以可完全肯定登錄日期是準確的.缺點是必須在系統(tǒng)上運行記帳程序以更新loginlog 文件,如果在清晨午夜后運行記帳程序，一天的登錄日期可能就被去除了 ./etc/passwd文件中的口令時效

44、域?qū)⒛芨嬖V系統(tǒng)管理員，用戶的口令是否過期了，假設(shè)過期，那么意味著自過期以來，戶頭再未被用過.這一方法的好處在于系統(tǒng)記錄了久未用的戶頭，檢查過程簡單，且不需要記帳系統(tǒng)所需要的磁盤資源，缺點是也許系統(tǒng)管理員不想在系統(tǒng)上設(shè)置口令時效，而且這一方法僅在口令的最大有效期只有幾周才是準確的.系統(tǒng)管理員可以寫一個程序，每天和重新引導系統(tǒng)時掃描/etc/wtmp,自己保存下用戶最后登錄時間記錄，這一方法的好處是不需要記帳程序，并且時 間準確，缺點是要自己寫程序.以上任何方法都可和/usr/adm/sulog文件結(jié)合起來，查出由login或su登錄戶頭的最后登錄時間.如果有人存 心破壞系統(tǒng)平安，第一件要做的事就

45、是尋找檢查程序.破壞者將修改檢查程序，使其不能報告任何異常事件，也可能停止系統(tǒng)記帳，刪除記帳文件，使系統(tǒng)管理員不 能發(fā)現(xiàn)破壞者干了些什么.這里最重要的一點是：系統(tǒng)管理沒越熟悉自己的用戶和用戶的工 作習慣，就越能快速發(fā)現(xiàn)系統(tǒng)中任何不尋常的事件，而不尋常的事件意味著系統(tǒng)已被人竊密文檔來自于網(wǎng)絡(luò)搜索4系統(tǒng)泄密后怎么辦？發(fā)現(xiàn)有人已經(jīng)破壞了系統(tǒng)平安的時候，這時系統(tǒng)管理員首先應(yīng)做的是面對肇事用戶如果該用戶所做的事 不是蓄意的，而且公司沒有關(guān)于破壞平安的規(guī)章，也未造成損壞，那么系統(tǒng)管 理員只需清理系統(tǒng)，并留心該用戶一段時間如果該用戶造成了某些損壞，那么應(yīng)當報 告有關(guān) 人士，并且應(yīng)盡可能地將系統(tǒng)恢復(fù)到原來的狀

46、態(tài)如果肇事者是非授權(quán)用戶，那就得做最壞的假設(shè)了 ：肇事者已設(shè)法成為root且本系統(tǒng)的文件和程序已經(jīng)泄密了 .系統(tǒng)管理員應(yīng)當想法查出誰是肇事者，他造成了什么損壞？還應(yīng)當對整個文件做一次全面的檢查，并不只是檢查SUID和SGID,設(shè)備文件.如果系統(tǒng) 平安被一個敵對的用戶破壞了，應(yīng)當采用下面的步驟：.關(guān)系統(tǒng)，然后重新引導，不要進入多用戶方式，進入單用戶方式.安裝含有本系統(tǒng)原始UNIX版本的帶和軟盤.將/bin，/usr/bin，/etc，/usr/lib中的文件拷貝到一個暫存目錄中.將暫存目錄中所有文件的校驗和用原始版本的suM程序拷貝做校驗和，不 要用/bin中的suM程序做與系統(tǒng)中所有對就的文件

47、的校驗和進行比擬，如果有任何差異要查清差異產(chǎn)生的原因如果兩個校驗和不同，是由于安裝了新版本的程序，確認一相是否確實是安裝了新版本程序如果不能找出校驗和不同的原因，用暫存目錄中的命令替換系統(tǒng)中的原有命令.在確認系統(tǒng)中的命令還未被竄改之前，不要用系統(tǒng)中原命令.用暫存目錄中的shell,并將PATH設(shè)置為僅在暫存目錄中搜索命令.根據(jù)暫存目錄中所有系統(tǒng)命令的存取許可，檢查系統(tǒng)中所有命令的存取許可.檢查所有系統(tǒng)目錄的存取許可，如果用了 perms,檢查permlist文件是否被竄改正.如果系統(tǒng)UNIX/unix的校驗和不同于原版的校驗和，并且系統(tǒng)管理員從未修改正核心，那么應(yīng)當認為，一個非法者很能干,從暫

48、存緩沖區(qū)重新裝入系統(tǒng)系統(tǒng)管理員可以從逐步增加 的文件系統(tǒng)備份中恢復(fù)用戶的文件，但是在檢查備份中的有趣文件之前，不能做文件恢復(fù).改變系統(tǒng)中的所有口令，通知用戶他們的口令已改變，應(yīng)找系統(tǒng)管理員得到新口令 .當用戶來要新口令時，告訴用戶發(fā)生了一次平安事故，他們應(yīng)查看自己的文件和目錄是否潛伏著危害如SUID文件,特洛依木馬，任何人可寫的目錄,并報告系統(tǒng)管理員任何異乎尋 常的情況設(shè)法查清平安破壞是如何發(fā)生的？如果沒有肇事者說明，這也許是不可能弄清的如果能發(fā)現(xiàn)肇事者如何進入系統(tǒng)，設(shè)法堵住這個平安漏洞第一次安裝UNIX系 統(tǒng)時，可以將 shell,sum 命令,所有文件的校驗和存放在平安的介質(zhì)上帶，軟盤,硬

49、盤和任何可以卸下并鎖焉起來的介質(zhì)于是不必再從原版系統(tǒng)帶上重新裝入文件，可以安裝備份介質(zhì)，裝入shell和sum,將存在帶上的校驗和與系統(tǒng)中文件的校驗和進行比擬系統(tǒng)管理員也許想自己寫一個計算校驗和的程序，破壞者將不能知道該程序的算法，如果將該程序及校驗和保存在 帶上，這一方法的保密問題就減小到一個物理的平安問題，即只需將帶鎖起來 文檔來自于網(wǎng)絡(luò)搜索9. 加限制的環(huán)境1加限制的 shellrsh該shell幾乎與普通的shell相同，但是該shell的設(shè)計能限制一個用戶的能力，不允許用戶有某些標準shell所允許的行為：不能改變工作目錄cd.不能改變 PATH或 SHELL shell變量不能使用

50、含有/的命令名不能重定向輸出 和.不能用exec執(zhí)行程序.用戶在登錄時，招待.profile文件后系統(tǒng)就強加上了這些限制，如果用戶在.profile 文件正被解釋時按了 BREAK鍵或DELETE鍵,該用戶將被注銷.這些簡單的限制，使用寫受限制用 戶的.profile文件的系統(tǒng)管理員可以對用戶能使用什么命令，進行完全的控制.應(yīng)當注意：系統(tǒng)V加限制的shell實 際上不是很平安，在敵對的用戶時不要用.系統(tǒng)V版本2以后的版 本中加限制的shell更平安些但假設(shè)允許受限制的用戶使用某些命令(如env,cp,ln),用戶將能逃避加限制的shell,進入非限制的shell.文檔來自于網(wǎng)絡(luò)搜索(2)用ch

51、root()限制用戶如果確實想限制一個用戶，可用chroot()子程序為用戶建立一個完全隔離的環(huán)境，改變了進程對根目錄的概念，因此可用于將一個用戶封在整個文件系統(tǒng)的某一層目錄結(jié)構(gòu)中，使用戶無法用cd命令轉(zhuǎn)出該層目錄結(jié)構(gòu)，不能存取文件系統(tǒng)中其余局部的任何文件.這種限制方式比加限制的shell好得多.用戶使用的命令應(yīng)由系統(tǒng)管理員在新的root目錄中建立一個bin目錄,并建立用戶可用命令的鏈到系統(tǒng)的/bin目錄中相應(yīng)命令文件上(假設(shè)在不同的文件系統(tǒng)那么應(yīng)拷貝命令文件).還應(yīng)建立新的passwd文件，保存系統(tǒng)登錄戶頭(為了使ls -l 正確 地報告與受限制的子文件系統(tǒng)中的文件相關(guān)的正確登錄名)和用戶帳

52、戶，但系統(tǒng)帳戶的口令改為NOLOGIN以使受限制的用戶不能取得系統(tǒng)登錄的真實口令，使破密程序的任何企圖成為泡影.utmp文件是who所需要的，該文件含有系統(tǒng)中已登錄用戶的列表新的/etc/profile文件也不是建鏈文件，以便受限制的用戶可以執(zhí)行不同的啟動命令./dev目錄中的終端設(shè)備文件被鏈接到新的/dev目錄下，因為命令who產(chǎn)生輸出時要查看這些文件.在系統(tǒng)V及以后的UNIX版本中,login 命令有chroot()的功能.如果口令文件中用戶入口項的登錄 shell域(最 后一個域)是*,login 將調(diào)用chroot()把用戶的根目錄設(shè)置成為口令文件中用 戶入口項登錄目錄域指定的目錄.然

53、后再調(diào)用exec()執(zhí)行l(wèi)ogin,新的login將在新子系統(tǒng)文件中執(zhí)行該用戶的登錄.chroot()并不是把root封鎖在一個子文件系統(tǒng)中，所以給受限制 用戶用的命令時應(yīng)加以考慮，具有root的SUID許可的程序可能會給予用戶root的能力.應(yīng)當將這種可能減低到最小程度，交給用戶使用的命令應(yīng)當取自去除了SUID陷井的系統(tǒng)命令.鏈接文件可減少磁盤占用區(qū)，但要記住，當與敵對用戶打交道時，鏈接到chroot目錄結(jié)構(gòu) (尤其是命令)的系統(tǒng)文件是很危險的.如果建立 一個像這樣的限制環(huán)境，應(yīng)確保對安裝到新 的/bin的每條命令都做過測試，有些程序可能有系統(tǒng)管理員未曾想到的出乎意料的執(zhí)行結(jié) 果.為了使這些

54、命令能運行，還得在加限制的子文件系統(tǒng)中加效勞目錄或文件如:/tmp,/etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用戶所登錄的 /dev 中的tty文件以及/unix.有些程序在子文件系統(tǒng)中運行時不會很好，如果將假脫機程序和網(wǎng)絡(luò)命令拷貝到加限制的子文件系統(tǒng)中，并放在為兩條命令專建的目錄層結(jié)構(gòu)下，它們可能也運行不 了 .文檔來自于網(wǎng)絡(luò)搜索10. 小系統(tǒng)平安任何足夠小，運行于辦公室的UNIX系統(tǒng)就是小系統(tǒng).這類小系統(tǒng)也包括所有臺式UNIX機器.根據(jù)平安觀點，使小系統(tǒng)很特別而值得特別的有以下幾點：.小系統(tǒng)的用戶比大系統(tǒng)的用戶少

55、，通常是很小一組用戶，使系統(tǒng)管理員能熟悉每個人，平安問題可以直接地面對面處理.由于小UNIX系統(tǒng)管理更簡單，可能只需要一個系統(tǒng)管理員，因而維護系統(tǒng)平安的責任只有 一個人擔負.如果既是用戶又是系統(tǒng)管理員，將不能花大量時間考慮系統(tǒng)平安.如果自己擁有系統(tǒng)并且是系統(tǒng)管理員，就可能有權(quán)直接將違反規(guī)的用戶從系統(tǒng)中刪除，而沒有幾個大系統(tǒng)的管理員能有這種權(quán)利.如果自己是系統(tǒng)的唯一用戶，那么將既是用戶又是管理員，維護系統(tǒng)平安的任務(wù)就很簡單了，只須確保系統(tǒng)中所有登錄戶頭的口令是好的 .如果不能將系統(tǒng)鎖起來，就把敏感的數(shù)據(jù)存放在軟盤上，把軟盤鎖起來.即使系統(tǒng)中有假設(shè)干個用戶，但如果系統(tǒng)的終端之產(chǎn)是有線連接，并且用戶們保持門上鎖，那么系統(tǒng)也將是平安的，至少在本組用戶內(nèi)是平安的小系統(tǒng)通常有可移動的介質(zhì) 軟盤，可用mount命令將其安裝到系統(tǒng)上，提供一種平安的 方法讓用戶自己在系統(tǒng)上安裝軟盤 ，否那么系統(tǒng)管理員要一天到晚地干這些瑣碎的安裝盤事務(wù)允許用戶安裝軟盤的通常做法是給用戶一個SUID程序，該程序根本完成與系統(tǒng)管理員安裝用戶軟盤同樣的操作，首先檢查軟盤上有無 S