费用或系统管理员没有办法拨出,可以用SENDFILE选项.若要对某些机器取消
限制,则应当建立一个仅用于那些机器的uucico登录户头.例如:
LOGNAME=nuucp SENDFILES=yes
LOGNAME=trusted SENDFILES=yes REQUEST=yes READ=/ WRITE=/
上面的规则允许在trusted户头下登录的系统在本系统中具有另一种文件
存取许可,nuucp户头的口令应送给所有要与本系统uucp建立连接的系统管理
员,trusted户头的口令则只能送给信任系统的管理员.
如系统有信任和非信任的uucp户头,最好用PUBDIR选项为这两种户头建立
不同的公共户头,PUBDIR允许系统管理员改变uucico对公共目录的概念(缺省
为/usr/spool/uucppublic).例如:
LOGNAME=nuucp SENDFILES=yes REQUEST=yes \
PUBDIR=/usr/spool/uucppublic/nuucp
LOGNAME=trusted SENDFILES=yes REQUEST=yes READ=/ WRITE=/ \
PUBDIR=/usr/spool/uucppublic/trusted
上面的选项使要送到公共目录中的文件,对于不同登录nuucp和trusted分
别放入不同的目录中.这将防止登录到nuucp的非信任系统在信任系统的公共
目录中拷进和拷出文件(注意:上面的选项允许nuucp请求文件传送).行尾倒斜
杠指明下一行是该行的续行.
用MYNAME选项可以给登录进某一户头的系统赋与一个系统名:
LOGNAME=Xuucp MYNAME=IOnker
(3)MACHINE规则
MACHINE规则用于忽略缺省限制,在MACHINE规则中指定一个系统名表,就
可使uucico调用这些系统时改变缺省限制.READ,WRITE,REQUEST,NOREAD,
NOWRITE,PUBDIR选项的功能与LOGNAME相同.忽略CALLBACK,SENDFILES选项,
MYNAME选项所定义的必须与LOGNAME规则联用,指定将赋给调用系统的名,该名
仅当调用所定义的系统时才用.
MACHINE规则的格式如下:
MACHINE=zuul:gozur:enigma WRITE=/ READ=/
这条规则使远程系统zuul,gozar,enigma能够发送/请求本系统上任何其
他人可读/写的文件.一般不要让远程系统在除/usr/spool/uucppublic目录外
的其它目录读写文件,因此,对于信任的系统也要少用MACHINE规则.
系统名OTHER用于为指定用户外的所有其他用户建立MACHINE规则.
COMMANDS选项用于改变uuxqt通过远程请求执行的缺省命令表.
MACHINE=zuul COMMANDS=rmail:rnews:lp
上面的选项允许系统zuul请求远程执行命令rmail,rnews,lp.uucico不用
这个选项.uuxqt用该选项确定以什么系统的名义执行什么命令.
COMMANDS选项所指定的命令将用缺省设置的路径PATH.PATH在编辑uuxqt
时被建立通常设置为/bin:/usr/bin.在COMMANDS选项中给出全路径名可以忽
略缺省PATH.
MACHINE=zuul COMMANDS=umail:/usr/local/bin/rnews:lp
同样地,对HONEYDANBER UUCP也应当象老UUCP一样不允许远程系统运行
uucp或cat这样的命令.任何能读写文件的远程执行命令都可能威胁局域安全.
虽然局域系统对远程系统名进行一定程序的校核,但是任何远程系统在调用局
域系统时都可自称是"xyz",而局域系统却完全相信是真的.因此局域系统的系
统可能认为只允许了zuul运行lp命令.但实际上任何自称是zuul的系统也被允
许运行lp命令.
有两种方法可以证实系统的身份.一种方法是拒绝用CALLBACK=yes与调用
系统对话.只要电话和网络线未被破密或改变,局域系统就能肯定地确认远程
系统的身份.另一种方法是在LOGNAME规则中用VALIDATE选项.
若必须允许某些系统运行"危险"的命令,可联用COMMANDS和VALIDATE选项,
VALIDATE选项用于LOGNAME规则中指定某系统必须登录到LOGNAME规定的登录
户头下:
LOGNAME=trusted VALIDATE=zuul
MACHINE=COMMANDS=rmail:rnews:lp
当一个远程系统自称是zuul登录时,uucico将查Permissions文件,找到
LOGNAME=trusted规则中的VALIDATE=zuul,若该远程系统使用了登录户头
trusted,uucico将认为该系统的确是zuul继续往下执行,否则uucico将认为该
系统是假冒者,拒绝执行其请求.只要唯有zuul有trusted户头的登录口令,其
它系统就不能假冒它.仅当登录口令是保密的,没有公布给其他非信任的系统
管理员或不安全的系统,VALIDATE选项才能奏效.如果信任系统的登录口令泄
漏了,则任何系统都可伪装为信任系统.
在COMMANDS选项中给出ALL时,将允许通过远程请求执行任何命令.因此,
不要使用ALL!规定ALL实际上就是把自己的户头给了远程系统上的每一个用户.
(4)组合MACHINE和LOGNAME规则
将MACHINE和LOGNAME规则组合在一行中,可以确保一组系统的统一安全,
而不管远程系统调用局域系统还是局域系统调用远程系统.
LOGNAME=trusted MACHINE=zuul:gozur VALIDATE=zuul:gozur \
REQUEST=yes SENDFILES=yes \
READ=/ WRITE=/ PUBDIR=/usr/spool/trusted \
COMMANDS=rmail:rnews:lp:daps
(5)uucheck命令
一旦建立了Permissions文件,可用uucheck -v命令了解uucp如何解释该
文件.其输出的前几行是确认HONEYDANBER UUCP使用的所有文件,目录,命令都
存在,然后是对Permissions文件的检查.
(6)网关(gateway)
邮件转送可用于建立一个gateway机器.gateway是一个只转送邮件给其它
系统的系统.有了gateway,使有许多UNIX系统的部门或公司对其所有用户只设
一个电子邮件地址.所有发来的邮件都通过gateway转送到相应的机器.
gateway也可用于加强安全:可将MODEM连接到gateway上,由gateway转送
邮件的所有系统通过lan/Index.html'>局域网或有线通讯线与gateway通讯.所有这些局域系统
的电话号码,uucp登录户头,口令不能对该组局域系统外的系统公布.如果有必
要,可使gateway是唯一连接了MODEM的系统.
建立一个最简单的gateway是很容易的:对每个登录进系统,想得到转送邮
件的用户,只需在文件/usr/mail/login中放入一行:
Forward to system !login
要发送给户头login的邮件进入gateway后,将转送给登录在系统system的
户头login下的用户.两个登录名可以不同.
gateway建立了一个安全管理的关卡:gateway的口令必须是不可猜测的,
gateway应尽可能只转送邮送而不做别的事.至少不要将重要数据存放在该机
上.在gateway上还应做日常例行安全检查,并且要对uucp的登录进行仔细的检
查.
gateway也为坏家伙提供了一个入口:如果有人非法进入了gateway,他将
通过uucp使用的通讯线存取其它的局域系统和存取含有关于其它局域系统uucp
信息的Systems文件.若这人企图非法进入其它系统,这些信息将对他具有很大
的用处.
经验:
. 若要建立gateway,应确保其尽可能的无懈可击.
. 可在gateway和局域系统间建立uucp连接,使得局域系统定期的与gateway
通讯获取邮件,而gateway完全不用调用局域系统.这样做至少能防止一
个坏家伙通过gateway非法进入局域系统.
. 利用局域系统的Permissions文件对gateway的行为加以限制,使其裸露
程度达到最小,即只转发邮件.这样可使窃密者不能利用gateway获取其
它系统的文件.
(7)登录文件检查
HONEYDANBER UUCP自动地将登录信息邮给uucp.login文件,应当定期地读
这个文件.系统管理员应当检查那些不成功的大量请求,特别是其它系统对本
系统的文件请求.还要检查不允许做的远程命令执行请求.登录信息都保存在
文件中,如果要查看,可用grep命令查看./usr/spool/uucp/.Log/uucico/system
文件中含有uucico登录,/usr/spool/uucp/.Log/uuxqt/system文件含有uuxqt
登录.下面一行命令将打印出uuxqt执行的所有命令(rmail除外):
grep -v rmail /usr/spool/uucp/.Log/uuxqt/*
下面一行命令将打印所有对本系统文件的远程请求:上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页 |
