@信仰
2年前 提问
1个回答

系统口令维护时应注意哪些问题

房乐
2年前

口令维护时应注意如下问题:

  • 口令只能自己知道:不要将口令告诉别人,也不要几个人共享一个口令,不要把它记在本子上或计算机周围。

  • 不要用系统指定的口令:如root、demo和test等,第一次进入系统就修改口令,不要沿用系统提供给用户的默认口令,关闭掉 UNIX 操作系统配备的所有默认账号,这个操作也要在每次系统升级或系统安装之后来进行。

  • 不要用电子邮件传送口令:最好不要用电子邮件传送口令。如果一定需要这样做,则最好对电子邮件进行加密处理。

  • 如果账户长期不用,管理员应将其暂停:如果雇员离开公司,则管理员应及时把他的账户消除,不要保留一些不用的账号,这是很危险的。

  • 限制登录事件:管理员也可以限制用户的登录时间,例如,只有在工作时间,用户才能登录。

  • 限制登录次数:为了防止对账户多次尝试口令以闯入系统,系统可以限制登录企图的次数,这样可以防止有人不断地尝试使用不同的口令和登录名。

  • 最后一次登录,该方法报告最后一次系统登录的时间、日期,以及在最后一次登录后发生过多少次未成功的登录企图。这样可以提供线索了解是否有人非法访问。

  • 通过使用简单文件传输协议获取口令文件:为了检验系统的安全性,通过TFTP命令连接到系统上,然后获取/etc/passwd文件。如果用户能够完成这种操作,那么任何人都能获取用户的passwd文件。因此,应该去掉TFTP服务。如果必须要有TFTP服务,要确保它是受限访问的。

  • 定期查看日志:一定要定期地查看日志文件,以便检查登录成功和不成功中所用的命令,一定要定期地查看登录未成功的消息日志文件,一定要定期地查看 Login Refused消息日志文件。

  • 确保除了root外没有公用账号:根据场所安全策略,确保除了 root 之外没有任何公共的用户账号。也就是说,一个账号的口令不能被两个或两个以上的用户知道。去掉guest账号,或者更安全的方法是,根本就不创建guest账号。

  • 使用特殊的用户组:使用特殊的用户组来限制哪些用户可以使用su命令来成为root,例如:在SunOS下的wheel用户组。

  • 关闭没有口令却可以运行命令的账号:一定要关闭所有没有口令却可以运行命令的账号,如sync。删除这些账号拥有的文件或改变这些账号拥有文件的拥有者。确保这些账号没有任何的cron或at作业。最安全的方法是彻底删除这些账号。