作为网络管理员必须知晓的安全知识

[项目D组]

本文从系统管理员的角度讨论安全问题。系统管理员是管理系统的人：启动系统，停止系统运行，安装新软件，增加新用户，删除老用户，以及完成保持
系统发展和运行的日常事务工作。
1、安全管理
安全管理主要分为四个方面：
(1)防止未授权存取：这是计算机安全最重要的问题：未被使用系统的人进入系统。用户意识，良好的口令管理(由系统管理员和用户双方配合)，登
录活动记录和报告，用户和网络活动的周期检查，这些都是防止未授权存取的关键。
(2)防止泄密：这也是计算机安全的一个重要问题。防止已授权或未授权的用户相互存取相互的重要信息。文件系统查帐，su登录和报告，用户意
识，加密都是防止泄密的关键。
(3)防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。一个系统不应被一个有意试图使用过多资源的用户损害。不幸的是，UNIX不
能很好地限制用户对资源的使用，一个用户能够使用文件系统的整个磁盘空间，而UNIX基本不能阻止用户这样做。系统管理员最好用PS命令，记帐程序df
和du周期地检查系统。查出过多占用CUP的进程和大量占用磁盘的文件。
(4)防止丢失系统的完整性：这一安全方面与一个好系统管理员的实际工作(例如：周期地备份文件系统，系统崩溃后运行fsck检查，修复文件系
统，当有新用户时，检测该用户是否可能使系统崩溃的软件)和保持一个可靠的操作系统有关(即用户不能经常性地使系统崩溃)。
本文其余部分主要涉及前两个问题，第三个问题在"安全查帐"一节讨论。
2、超级用户
一些系统管理命令只能由超级用户运行。超级用户拥有其他用户所没有的特权，超级用户不管文件存取许可方式如何，都可以读，写任何文件，运行任何
程序。 系统管理员通常使用命令： /bin/su 或以 root 进入系统从而成为超级用户。在后面文章中以#表示应敲入必须由超级用户运行的命
令，用$表示应敲入由所有其他用户运行的命令。
3、文件系统安全
(1)UNIX文件系统概述
UNIX文件系统是UNIX系统的心脏部分，提供了层次结构的目录和文件。文件系统将磁盘空间划分为每1024个字节一组，称为块
(block)(也有用512字节为一块的，如：SCO XENIX)。编号从0到整个磁盘的最大块数。
全部块可划分为四个部分，块0称为引导块，文件系统不用该块;块1称为专用块，专用块含有许多信息，其中有磁盘大小和全部块的其它两部分的大
小。从块2开始是i节点表，i节点表中含有i节点，表的块数是可变的，后面将做讨论。 i节点表之后是空闲存储块(数据存储块)，可用于存放文件内
容。
文件的逻辑结构和物理结构是十分不同的，逻辑结构是用户敲入cat命令后所看到的文件，用户可得到表示文件内容的字符流。物理结构是文件实际上
如何存放在磁盘上的存储格式。用户认为自己的文件是边疆的字符流，但实际上文件可能并不是以边疆的方式存放在磁盘上的，长于一块的文件通常将分散地存放
在盘上。然而当用户存取文件时，UNIX文件系统将以正确的顺序取各块， 给用户提供文件的逻辑结构。
当然，在UNIX系统的某处一定会有一个表，告诉文件系统如何将物理结构转换为逻辑结构。这就涉及到i节点了。i节点是一个64字节长的表，含
有有关一个文件的信息，其中有文件大小，文件所有者，文件存取许可方式，以及文件为普通文件，目录文件还是特别文件等。在i节点中最重要的一项是磁盘地
址表。 该表中有13个块号。前10个块号是文件前10块的存放地址。这10个块号能给出一个至多10块长的文件的逻辑结构，文件将以块号在磁盘地址表
中出现的顺序依次取相应的块。
当文件长于10块时又怎样呢?磁盘地址表中的第十一项给出一个块号，这个块号指出的块中含有256个块号，至此，这种方法满足了至多长于266
块的文件(272，384字节)。如果文件大于266块，磁盘地址表的第十二项给出一个块号， 这个块号指出的块中含有256个块号，这256个块号的
每一个块号又指出一块， 块中含256个块号，这些块号才用于取文件的内容。磁盘地址中和第十三项索引寻址方式与第十二项类似，只是多一级间接索
引。
这样，在UNIX系统中，文件的最大长度是16，842，762块，即17，246，988，288字节，有幸是是UNIX系统对文件的最大长
度(一般为1到2M字节)加了更实际的限制，使用户不会无意中建立一个用完整个磁盘窨所有块的文件。
文件系统将文件名转换为i节点的方法实际上相当简单。一个目录实际上是一个含有目录表的文件：对于目录中的每个文件，在目录表中有一个入口
项， 入口项中含有文件名和与文件相应的i节点号。当用户敲入cat xxx时，文件系统就在当前目录表中查找名为xxx的入口项，得到与文件xxx相
应的i节点号，然后开始取含有文件xxx的内容的块。
(2)设备文件
UNIX系统与边在本系统上的各种设备之间的通讯，通过特别文件来实现，就程序而言，磁盘是文件，MODEM是文件，甚至内存也是文件。所有连
接到系统上的设备都在/dev目录中有一个文件与其对应。当在这些文件上执行I/O操作时，由UNIX系统将I/O操作转换成实际设备的动作。例如，文
件/dev/mem是系统的内存，如果cat这个文件，实际上是在终端显示
系统的内存。为了安全起见，这个文件对普通用户是不可读的。因为在任一给定时间，内存区可能含有用户登录口令或运行程序的口令，某部分文件的编
辑缓冲区，缓冲区可能含有用ed -x命令解密后的文本，以及用户不愿让其他人存取的种种信息。
在/dev中的文件通常称为设备文件，用ls /dev命令可以看看系统中的一些设备：
acuo 呼叫自动拨号器
console 系统控制台
dsknn 块方式操作磁盘分区
kmem 核心内存
mem 内存
lp 打印机
mto 块方式操作磁带
rdsknn 流方式操作的磁盘分区
rmto 流方式操作的磁带
swap 交换区
syscon 系统终端
ttynn 终端口 x25 网络端口
等等
(3)/etc/mknod命令
用于建立设备文件。只有root能使用这个命令建立设备文件。其参数是文件名，字母c或b分别代表字符特别文件或块特别文件，主设备号，次设备
号。块特别文件是像磁带，磁盘这样一些以块为单位存取数据的设备。字符特别文件是如像终端，打印机，MODEM，或者其它任何与系统通讯时，一次传输一
个字符的设备，包括模仿对磁盘进行字符方式存取的磁盘驱动器。主设备号指定了系统子程序(设备驱动程序)，当在设备上执行I/O时，系统将调用这个驱动
程序。调用设备驱动程序时，次设备号将传递给该驱动程序(次设备规定具体的磁盘驱动器，带驱动器，信号线编号，或磁盘分区)。每种类型的设备一般都有自
己的设备驱动程序。
文件系统将主设备号和次设备号存放在i节点中的磁盘地址表内，所以没有磁盘空间分配给设备文件(除i节点本身占用的磁盘区外)。当程序试图在设
备文件上执行I/O操作时，系统识别出该文件是一个特别文件，并调用由主设备号指定的设备驱动程序，次设备号作为调用设备驱动程序的参数。
专业技术服务是我们的核心
追求卓越是我们的做事风范
超越客户满意是我们的目标
Providing professional technical support is our core
Seeking excellence is our code
Exceeding customer satisfaction is our aim

东方IT-真诚奉献每一天！
East IT-Devote each day to ...

地址：北京市海淀区闵航路5号院（邮编：100089）
网址： www.dfit.com.cn Email：huda...@126.com
单位：北京东方IT电脑救援俱乐部
电话：88467112-1013
手机：13261198744
QQ： 513650821
联系人:胡大吉
站产品搜索可通过： 软件 POS 防火墙 杀毒软件 IT外包 ERP IT服务 电脑培训 创业 风险投资 监控软

件 网络监控软件 远程监控软件 网络聊天监控软件破解软件 最新下载 qq聊天监控软件 MSN聊天监控软

件破解软件 免费下载 邮件监控系统 企业管理软件 企业网络管理软件 企业办公管理软件 免费企业管

理软件 企业网络监控软件 企业电脑监控软件 企业电脑管理软件 中小企业管理软件 网络管理软件下载

网络管理监控软件 网络管理员软件 MSN聊天监控 Email监控 邮件监控 聊天监控软件下载 聊天记录监

控软件 聊天监控软件下载 聊天监控软件功能 网络聊天监控软件 聊天监控软件 聊天记录监控软件 聊

天内容监控软件 电脑监控软件 局域网监控软件 网吧监控软件 网络管理软件 最好的监控软件下载 远

程监控软件下载 网络监控软件下载 qq监控软件 聊天记录 最新中文监控 电脑监控 屏幕监控软件 监控

系统 远程监控系统 网络监控系统 即时监控 聊天监控 屏幕监控 上网监控 免费软件下载 网络管理 网

管软件 网站建设 主页制作 电子商务 网络监控软件 综合布线 局域网上网监控软件 建立自己的网站

自己建立网站 建立网站 做自己的网站 办公自动化 OA 免费自己做网站 北京虚拟主机 虚拟主机 IT外

包服务 IT服务管理 it服务公司 it增值服务 虚拟主机租用 it服务供应商 北京主机租用 IT咨询服务

虚拟主机系统 it客户服务 虚拟主机 it技术服务 企业it应用服务 虚拟主机管理平台 网站推广 网站推

广工具 如何注册域名 网络空间租赁 办公自动化软件 软件批发 办公自动化系统 ic卡会员管理 ic卡会

员管理系统 IC卡管理系统 ic管理软件 批发管理软件 电脑软件批发 正版软件批发 企业网站 邮件服务

器 vpn 上网管理 宽带主机 网络服务器 非接触式IC卡 ID卡 北京ic卡 IT外包 域名注册 空间租赁 企

业网站建设 企业网站管理系统 电子邮件服务器 linux 邮件服务器 VPN服务器 电话监控系统 电话监控

软件 VPN产品 VPN设备 租赁空间 出租网管 网管出租 局域网上网管理软件 虚拟主机 主机托管 主机租

用 网站建设 网络工程师 销售工程师 虚拟主机管理软件 虚拟主机管理 网站空间租赁 主机 虚拟主机

管理系统 SAP 用友 速达 微软产品 Windows Office Exchange SQL PhotoShop Symantec
Norton 诺顿

Netscreen 东软 NetEye 天融信 中软 首信 趋势NVW 诺基亚 方正方域 联想网域 易尚 金盾 vpn型 瑞

星 KV 金山毒霸 金山词霸 AutoCAD 微软件报价 图形图像软件 网络防毒软件 机械CAD产品 影视多媒体

设计可视化产品 LINUX系列软件 金山杀毒 熊猫卫士 金蝶 园林辅助设计 多媒体教学软件 住房公积金

新闻采编管理软件 广告管理软件 方正 方正熊猫安全网关 启明星辰天清防垃圾邮件系统 卓尔InfoGate

EQManager邮件网关管理系统 KILL过滤网关 ThinkSEC反垃圾邮件网关 汉邦 网络监控审计 网络安全审

计系统 网御神州 网站检测 自动修复 网站监护 综合管理系统 汉邦 剑鱼 苏富特 中软防火墙 安全管

理系统 安信安全隔离与信息交换系统 国保金泰 金电网安 联想网御 浪潮网泰 天行安全隔离网闸 网御

神州 中网物理隔离网闸产品 安氏领信 方正入侵检测系统 华为三康 金诺网安入侵检测系统 入侵检测

系统 太极 亿阳网警 友讯 东方IT 东方艾替 数据恢复 卡巴斯基 顾问职责 网络规划 网络建设 网络管

理 网站建设 储存和处理 网络安全 电子商务 虚拟专用网 企业资源计划 网络营销 网管职责 行业外包

专职网管 兼职网管 单次服务 硬件超市 软件超市 企业管理 网络建设 多媒体 安全维护 信息应用 教

育系统 政府部门 新闻出版 法律部门 电力系统 旅游宾馆 物流仓储 建筑房产 公共事业 商业贸易 石

油化工 工商税务 食品餐饮 新闻中心 信息化顾问 解决方案 成功案例 工作机会 网络故障 客户求助

技术答疑 信息录入 电脑救援 客户满意 网管上门 签订协议 网络产品 网络设备 电那网络 高价回收

专业服务 电脑维修 电脑医院 电脑精修 电脑急修 财务软件 进销存 动态网站 二手电脑 软件开发 数

据采集 短信群发 英文网站 路由器 交换机 防火墙 工作站 UPS 综合布线 ADSL 视频会议 网络摄像机

防火墙 工作站 机柜控制台 集线器 光端机 VPN 安防监控 打印服务器 转换器 收发器 KVM VoIP网关

程控交换机 组网指南 评测试用 网络学院 技术指南 宽带应用 方案案例 经销商 系统集成 系统安全

网管天地 操作系统 财务管理 开发软件 翻译软件 杀毒软件 安防入侵 OA自动化 办公软件 图像软件

辅助设计 桌面工具 教学软件 网页制作 多媒体 软件加密 支票打印 通讯软件 收费系统 数据库及中间

件 机房布线 网络存储 行业安全 企业安全 电脑安全 维修中心 入侵检测 病毒防范 漏洞扫描 加密解

密 访问控制 数据安全 系统安全 邮件安全 设备安全 CIO 信息化专家 中小企业 安全审 网络监控 邮

件监控 上网管理 msn聊天监控 上网监控 流量控制 网页监控 邮件备份 上网过滤 网页过滤 管理上网

BT控制 流量控制 网络监视 上网监视 网络监测 邮件监测 监控MSN 监控QQ 限制上网 限制聊天 上网限

制 聊天限制 控制上网 网络管理软件 网络管理程序 限制QQ 限制MSN 封堵QQ 禁止MSN FTP监控 email

监控 邮件管理 网络游戏控制 流量监控