计算机安全之网络安全措施

　　由于网络安全的目的是保障用户的重要信息的安全，因此限制直接接触十分重要。如果用户的网络连入Internet，那麽最好尽可能地把与Internet连接的机器与网络的其余部分隔离开来。实现这个目标的最安全的方法是将Internet服务器与网络实际隔开。当然，这种解决方案增加了机器管理的难度。但是如果有人闯入隔离开的机器，那麽网络的其余部分不会受到牵连。

　　最重要的是限制访问。不要让不需要进入网关的人都进入网关。在机器上用户仅需要一个用户帐号，严格限制它的口令。只有在使用su时才允许进入根帐号。这个方法保留一份使用根帐号者的记录。

　　在Internet服务器上提供的一些服务有FTP、HTTP、远程登陆和WAIS(广域信息服务)。但是，FTP和HTTP是使用最普遍的服务。它们还有潜力泄露出乎用户意料之外的秘密。

　　与任何其它Internet服务一样，FTP一直是(而且仍是)易于被滥用的。值得一提的弱点涉及几个方面。第一个危险是配置不当。它使站点的访问者(或潜在攻击者)能够获得更多超出其预期的数据。

　　他们一旦进入，下一个危险是可能破坏信息。一个未经审查的攻击者可以抹去用户的整个FTP站点。

　　最后一个危险不必长篇累牍，这是因为它不会造成破坏，而且是低水平的。它由用户的FTP站点构成，对于交换文件的人来说，用户的FTP站点成为“麻木不仁的窝脏点”。这些文件无所不包，可以是盗版软件，也可以是色情画。这种交换如何进行的呢？简单的很。发送者发现了一个他们有权写入和拷入可疑文件的FTP站点。通过某些其它方法，发送者通知它们的同伙文件可以使用。

　　所有这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许FTP用户有机会写入。当用户通过FTP访问一个系统时，这一般是FTP用户所做的事。因此，FTP用户可以访问，用户的访问者也可以使用。所有这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许FTP用户有机会写入。当用户通过FTP访问一个系统时，这一般是FTP用户所做的事。因此，FTP用户可以访问，用户的访问者也可以访问。

　　一般说来，FTP用户不是用户的系统中已经有的。因此，用户要建立FTP用户。无论如何要保证将外壳设置为真正外壳以外的东西。这一步骤防止FTP用户通过远程登录进行注册(用户或许已经禁止远程登录，但是万一用户没有这样做，确认一下也不会有错)。

　　将所有文件和目录的主人放在根目录下，不要放在ftp下。这个预防措施防止FTP用户修改用户仔细构思出的口令。然后，将口令规定为755(读和执行，但不能写，除了主人之外)。在用户希望匿名用户访问的所有目录上做这项工作。尽管这个规定允许他们读目录，但它也防止他们把什麽东西放到目录中来。

　　用户还需要编制某些可用的库。然而，由于用户已经在以前建立了必要的目录，因此这一步仅执行一部分。因此，用户需要做的一切是将/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷贝到~ftp/usr/lib中。接着将~ftp/usr/lib上的口令改为555，并建立主接收器。

　　最后，用户需要在~ftp/dev/中建立/dev/null和/dev/socksys设备结点。用户可以用mknod手工建立它们。然而，让系统为用户工作会更加容易。SCO文档说用cpio,但是copy(非cp)很管用。

　　如果用户想建立一个人们都可用留下文件的目录，那麽可将它称作输入。允许其他人写入这个目录，但不能读。这个预防措施防止它成为麻木不仁的窝脏点。人们可以在这里放入他们想放的任何东西，但是他们不能将它们取出。如果用户认为信息比较适合共享，那麽将拷贝到另一个目录中。

　　计算机安全之提高企业内部网安全性步骤

　　限制对网关的访问。限制网关上的帐号数。不要允许关不信任任何机器。没有一台机器应该信任网关；

　　不要用NFS向网关传输或接收来自网关的任何文件系统；

　　不要在网关上使用NIS(网络信息服务)；

　　制订和执行一个非网关机器上的安全性方针；

　　关闭所有多余服务和删除多余程序

　　删除网关的所有多余程序(远程登录、rlogin、FTP等等)；

　　定期阅读系统记录。