簡介
SCO UNIX
SCO OpenServer Release 5 是SCO公司於1995年推出的基於Intel CPU 的
UNIX作業系統系列軟體產品, SCO OpenServer 5.0.7目前有三個版本,企業版、主機版、桌面版, 滿足用戶不同的網路計算與套用需求。
SCO OpenServer 5.0.7新特性包括新的硬體支持,USB 2.0集成,新增圖形、網路和HBA
驅動,以及更新的集成UDI支持。同時增加了對Intel Pentium 4、Intel Xeon、AMD Athlon XP 和AMD Athlon MP 的支持。另外,集成了許多廣受歡迎的開放原始碼庫和工具,比如Samba、Mozilla、OpenSSL、OpenSLP、OpenSSH、OpenLDAP、Perl 和 Apache。同時,添加了SCO標準的線上檔案系統,DocView,實現對檔案系統進行本地和遠程訪問。
安裝指南
機型支持:HP Compaq Business Desktop dx6100 MT (沒有測試)
HP Compaq Business Desktop dc7100 SFF
HP Compaq Business Desktop dc7100 CMT
1.軟體準備
SCO UNIX Open server 5.0.6光碟
2. 硬體準備
F10進入BIOS
-------------->Storage
-------------->Storage Options
-------------->SATA Emulation 修改成 Combined IDE controller
F10 Save
Save change
3.安裝步驟
光碟引導機器
Boot:link
輸入:wd506
插入上面的軟碟
根據提示輸入:r
4. 網卡安裝
驅動下載:
惠普內部下載地址:\\shcc\sco\nic
通過SCOADMIN安裝
網卡安裝參數的查詢:
hw –n |more
按空格換頁,找到有ethernet controller這一項,記下bus no,device no,function no這三項後面的數字。
以DX6100為例:三個參數分別為:64/0/0
SCO UNIX - 運行級
在任何時候,系統都是處在一個運行級上,有時也稱為系統的運行模式。一個運行級體現著系統的一種軟體配置,對應著唯一的一組系統進程,即不同的系統運行級所對應的一組系統進程也不完全相同。SCO OpenServer 系統設定了八種運行級,即0、1、2、3、4、5、6、S、s,另外還包含兩種虛擬的運行級,即運行級a、b、c和運行級Q或者q。分別詳細論述如下:
0級: 系統關機,把系統shutdown
1級:
單用戶模式,即系統維護模式。本運行級別包括檢查檔案系統,安裝升級新軟體,系統檔案恢復等。但/etc/rc, /etc/rc2.d下各種daemons和啟動程式不能執行。改運行級只有從運行級S進入才有意義,如果從運行級2進入本運行級,將保留與主控台相關聯的進程。
2級:多用戶模式。這是系統的常規運行級,在多用戶模式下,首先檢查系統的安全資料庫,接著init(M)將創建所有多用戶環境下的終端進程和一些守護進程,檔案系統將被安裝,多用戶服務也被啟動。與單用戶模式最大的區別是/etc/
rcn下的啟動命令可以執行,列印及網路等功能開始運行。
3級:RFS狀態。用於啟動遠程檔案共享(RFS)和相應的守護進程,將本機連線到RFS網路,安裝遠程資源,自動提供本地資源。
4級:用戶可以定義的運行級,系統未使用。可以用來定義替代的多用戶環境。
5級:停止系統運行並重新引導
6級:停止系統運行,重新引導,是系統處於initdefault定義的運行級。initdefault由/etc/inittab檔案中定義。
S(s)級:單用戶模式。當系統進入S(s)級運行時,與系統在1級運行時的最主要區別時系統上所有已經安裝的檔案系統仍保持安裝狀態不變。本運行級用於軟體包的安裝和刪除,系統的備份和恢復,以及檔案系統的檢查。在此運行級下,所有的多用戶檔案系統均不安裝,與系統的互動只能通過主控制台進行,要求訪問多用戶檔案系統的login過程不能進行。由init(M)創建的全部進程都將被殺死。
abc級:虛擬運行級,沒有與之對應的系統實際運行狀態,不改變當前的運行級,作用時使init(M)進程僅處理/etc/initab檔案中包含的a、b、c運行級設定的那些記錄項。
Q,q:引起對/etc/inittab檔案的重新檢測。
SCO UNIX - 配置指南
一個網路系統的安全程度,在很大程度上取決於管理者的素質,以及管理者所採取的安全措施的力度。在對系統進行配置的同時,要把安全性問題放在重要的位置。
SCO UNIX,作為一個技術成熟的商用網路作業系統,廣泛地套用在金融、保險、郵電等行業,其自身內建了豐富的網路功能,具有良好的穩定性和安全性。但是,如果用戶沒有對UNIX系統進行正確的設定,就會給入侵者以可乘之機。因此在網路安全管理上,不僅要採用必要的網路安全設備,如:防火牆等,還要在作業系統的層面上進行合理規劃、配置,避免因管理上的漏洞而給套用系統造成風險。
下面以SCO UNIX Openserver V5.0.5為例,對作業系統級的網路安全設定提幾點看法,供大家參考。
合理設定系統安全級別
SCO UNIX提供了四個安全級別,分別是Low、Traditional、Improved和High級,系統預設為Traditional級;Improved級達到美國國防部的C2級安全標準;High級則高於C2級。用戶可以根據自己系統的重要性及客戶數的多少,設定適合自己需要的系統安全級別,具體設定步驟是:scoadmin→system→security→security profile manager。
合理設定用戶
建立用戶時,一定要考慮該用戶屬於哪一組,不能隨便選用系統預設的group組。如果需要,可以新增一個用戶組並確定同組成員,在該用戶的主目錄下,新建檔案的存取許可權是由該用戶的配置檔案.profile中的umask的值決定。umask的值取決於系統安全級, Tradition安全級的umask的值為022,它的許可權類型如下:
檔案許可權: - r w - r - - r - -
目錄許可權: d r w x r - x r - x
此外,還要限制用戶不成功登錄的次數,避免入侵者用猜測用戶口令的方法嘗試登錄。為賬戶設定登錄限制的步驟是:Scoadmin--〉Account Manager--〉選賬戶--〉User--〉Login Controls--〉添入新的不成功登錄的次數。
指定主控台及終端登錄的限制
如果你希望root用戶只能在某一個終端(或虛屏)上登錄,那么就要對主控台進行指定,例如:指定root用戶只能在主機第一屏tty01上登錄,這樣可避免從網路遠程攻擊超級用戶root。設定方法是在/etc/default/login檔案增加一行:CONSOLE=/dev/tty01。
注意:設定主控台時,在主機運行中設定後就生效,不需要重啟主機。
如果你的終端是通過Modem異步撥號或長線驅動器異步串口接入UNIX主機,你就要考慮設定某終端不成功登錄的次數,超過該次數後,鎖定此終端。設定方法為:scoadmin→Sysrem→Terminal Manager→Examine→選終端,再設定某終端不成功登錄的次數。如果某終端被鎖定後,可用ttyunlock〈終端號〉進行解鎖。也可用ttylock〈終端號〉直接加鎖。
檔案及目錄的許可權管理
有時我們為了方便使用而將許多目錄和檔案許可權設為777或666,但是這樣卻為黑客攻擊提供了方便。因此,必須仔細分配應用程式、數據和相應目錄的許可權。發現目錄和檔案的許可權不適當,應及時用chmod命令修正。
口令保護的設定
口令一般不要少於8個字元,口令的組成應以無規則的大小寫字母、數字和符號相結合,絕對避免用英語單詞或詞組等設定口令,而且應該養成定期更換各用戶口令的習慣。通過編輯/etc/default/passwd檔案,可以強制設定最小口令長度、兩次口令修改之間的最短、最長時間。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow檔案的保護,必須做到只有系統管理員才能訪問這兩個檔案。
合理設定等價主機
設定等價主機可以方便用戶操作,但要嚴防未經授權非法進入系統。所以必須要管理/etc/hosts.equiv、.rhosts和.netrc這3個檔案。其中,/etc /hosts.equiv列出了允許執行rsh、rcp等遠程命令的主機名字;.rhosts在用戶目錄內指定了遠程用戶的名字,其遠程用戶使用本地用戶賬戶執行rcp、rlogin和rsh等命令時不必提供口令;.netrc提供了ftp和
REXEC命令所需的信息,可自動連線主機而不必提供口令,該檔案也放在用戶本地目錄中。由於這3個檔案的設定都允許一些命令不必提供口令便可訪問主機,因此必須嚴格限制這3個檔案的設定。在.rhosts中儘量不用“+ +”,因為它可以使任何主機的用戶不必提供口令而直接執行rcp、rlogin和rsh等命令。
合理配置/etc/inetd.conf檔案
UNIX系統啟動時運行inetd進程,對大部分網路連線進行監聽,並且根據不同的申請啟動相應進程。其中ftp、telnet、rcmd、rlogin和finger等都由inetd來啟動對應的服務進程。因此,從系統安全形度出發,我們應該合理地設定/etc/inetd.conf檔案,將不必要的服務關閉。關閉的方法是在檔案相應行首插入“#”字元,並執行下列命令以使配置後的命令立即生效。
#ps-ef | grep inetd | grep -v grep
#kill -HUP 〈 inetd-PID 〉
合理設定/etc/ftpusers檔案
在/etc/ftpuser檔案里列出了可用FTP協定進行檔案傳輸的用戶,為了防止不信任用戶傳輸敏感檔案,必須合理規劃該檔案。在對安全要求較高的系統中,不允許ftp訪問root和UUCP,可將root和UUCP列入/etc/ftpusers中。
合理設定網段及路由
在主機中設定TCP/IP協定的IP位址時,應該合理設定子網掩碼(netmask),把禁止訪問的IP位址隔離開來。嚴格禁止設定預設路由(即:default route)。建議為每一個子網或網段設定一個路由,否則其他機器就可能通過一定方式訪問該主機。
不設定UUCP
UUCP為採用撥號用戶實現網路連線提供了簡單、經濟的方案,但是同時也為黑客提供了入侵手段,所以必須避免利用這種模式進行網路互聯。
刪除不用的軟體包及協定
在進行系統規劃時,總的原則是將不需要的功能一律去掉。如通過scoadmin--〉Soft Manager去掉X Window;通過修改/etc/services檔案去掉UUCP、SNMP、POP、POP2、POP3等協定。
正確配置.profile檔案
.profile檔案提供了用戶登錄程式和環境變數,為了防止一般用戶採用中斷的方法進入$符號狀態,系統管理者必須禁止掉鍵盤中斷功能。具體方法是在.porfile首部增加如下一行:
trap ' ' 0 1 2 3 5 15
創建匿名ftp
如果你需要對外發布信息而又擔心數據安全,你可以創建匿名ftp,允許任何用戶使用匿名ftp,不需密碼訪問指定目錄下的檔案或子目錄,不會對本機系統的安全構成威脅,因為它無法改變目錄,也就無法獲得本機內的其他信息。注意不要複製/etc/passwd、/etc/proup到匿名ftp的etc下,這樣對安全具有潛在的威脅。
套用用戶和維護用戶分開
金融系統UNIX的用戶都是最終用戶,他們只需在具體的套用系統中完成某些固定的任務,一般情況下不需執行系統命令(shell),其應用程式由.profile調用,應用程式結束後就退到login狀態。維護時又要用root級別的su命令進入套用用戶,很不方便。可以通過修改.profile 檔案,再創建一個相同id用戶的方法解決。例:套用用戶work有一個相同id相同主目錄的用戶worksh, 用戶work的.profile檔案最後為:
set -- `who am i`
case $1 in
work ) exec workmain;exit;;
worksh ) break;;
esac
這樣當用work
登錄時,執行workmain程式;而用worksh登錄時,則進入work的$狀態。