384.html

关于jsp的一些好文章 主要介绍一些关于JSP的应用技巧方面的东西

<STYLE type=text/css>
<!--
body,td { font-size:9pt;}
hr { color: #000000; height: 1px}
-->
</STYLE>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<HTML>
<HEAD><TITLE>论坛精华 >> solaris 专栏 >> SUN OS 安全浅谈</title>
</head>
<body >

<p><IMG SRC="../image/jsp001_middle_logo.gif" WIDTH="180" HEIGHT="60" BORDER=0 ALT=""></p>

<table width=100% bgcolor="#cccccc" align=center cellpadding="2" cellspacing="0" border=1 bordercolorlight="#000000" bordercolordark="#FFFFFF">
<tr bgcolor="#EFF8FF"><td>
<a href=http://www.jsp001.com/list_thread.php?int_attribute=4>论坛精华</a>
>> <a href=http://www.jsp001.com/list_thread.php?forumid=39&int_attribute=4>solaris 专栏</a>
>> SUN OS 安全浅谈 [<a href=http://www.jsp001.com/forum/showthread.php?goto=newpost&threadid=384>查看别人的评论</a>]<br>

<hr>
<p>由 fei 发布于: 2001-02-12 15:03</p>

<p> </p>

<p>SUN OS 安全浅谈<br>
<br>
<br>
美国SUN MICROSYSTEM公司的SUN OS操作系统是建立在贝尔实验室的UNIX SYSTEM V和加州大学伯克得分校的UNIX 4.3基础上的UNIX操作系统.SUN OS 4.0 版提供了专门的鉴别系统,该系统极大地提高了网络环境的安全性.它也可用来 确保其它UNIX系统或非UNIX系统的安全.它使用DES密码机构和公共关键字密码 机构来鉴别在网络中的用户和机器.DES表示数据编码标准,而公共数据编码机构 是包含两种密钥的密码系统:一种是公用的,另一种是专用的.公用的密钥是公开 的而专用密钥是不公开的.专用(秘密)的密钥用来对数据进行编码和解码. <br>
<br>
SUN OS系统不同于其它公共关键字编码之系统在于:SUN OS的公用和专用密 钥都被用来生成一个通用密钥,该密钥又用来产生DES密钥.<br>
<br>
(1)确保NFS的安全 <br>
在网络文件系统NFS上建立安全系统,首先文件系统必须开放并保证装配 的安全. <br>
. 编辑/etc/exports文件,并将-Secure任选项加在要使用DES编码机构的文 件系统上.在屏幕上显示服务器怎样开放安全的/home目录,如: home -Secure,access=engineering 其中engineering是网络中唯一能存取/home文件系统的用户组.<br>
. 对于每台客户机(CLIENT),编辑/etc/fastab文件时,Secure将作为一个装 配任选项出现在每个需要确保安全的文件系统中.<br>
. SUN OS中包括有/etc/publickey数据库,该库对每个用户均包含有三个域: 用户的网络名,公用密钥和编码后的密钥.当正常安装时X唯一的用户是 nobody,这个用户可以无需管理员的干预即可建立自己的专用密钥(使用 chkey(1)).为了进一步确保安全,管理员可为每个使用newkey(8)的用户 建立一个公用密钥.<br>
. 确认keyserv(8c)进程由/etc/rc.local启动,并且仍在运行.该进程执行 对公用密码的编码,并将编码后的专用密钥存入/etc/keystore中.<br>
. 此时,所有的用户(除超级用户)都必须使用yppasswd来代替passwd,以使 得登录的口令与用户的密钥一致.其结果是在网络中每台客户机的 /etc/passwd文件中不能有每个用户的用户名,因而应使用有缺省值的 /etc/passwd文件.<br>
<br>
<br>
. 当安装,移动或升级某台机器时,要将/etc/keystore和/etc/.rootkey两 个文件保留注意:当你使用login,rlogin或telnet命令到远程机器时,你会被要求输 入口令.一旦你输入正确的口令,你也就泄漏了你的帐号.因为此时你的密钥是 存放在/etc/keystore中.当然这是指用户对远程机器的安全不信任时.如果用 户觉得远程机器在安全保密方面不可靠,那就不要登录到远程机器去,而可使 用NFS来装配你所查找的文件. .<br>
<br>
<br>
(2)NFS安全性方面的缺陷<br>
SUN的远程过程调用(RPC)机制已被证明可以用来建立有效的网络服务,最 有名的服务是NFS,它实现了不同机器,不同操作系统之间透明的文件共享.但 NFS并非毫无缺陷.通常NFS鉴别一个写文件的请求时是鉴别发出这个请求的机 器,而不是用户.因而,在基于NFS的文件系统中,运行su命令而成为某个文件的 拥有者并不是一件困难的事情.同样,rlogin命令使用的是与NFS同样的鉴别机 制,也存在与NFS一样的在安全性方面的弱点. <br>
<br>
对网络安全问题一个通常的办法是针对每一个具体的应用来进行解决.而 更好的办法是在RPC层设置鉴别机构,使对所有的基于RPC的应用都使用标准的 鉴别机构(比如NFS和Yellow pages).于是在SUN OS系统中就可以对用户的机 器都进行鉴别.这样做的优点是使计算机网络系统更像过去的分时系统.在每 台机器上的用户都可登录到任何一台机器;就象分时系统中任何一个终端上的 用户都可登录到主机系统一样,用户的登录口令就是网络的安全保证.用户不 需要有任何有关鉴别系统的基础.SUN系统的目标是让网络系统成为既安全又 方便的分时系统.<br>
<br>
要注意以下几点: <br>
<br>
任何人只要他拥有root存取权并具备较好的网络程序设计知识,他就可 以向网络中加入二进制数据或从网络中获得数据. <br>
在采用以太网结构的局域网的工作中不可能发生信息包被窜改(即被传 送的信息包在到达目的站之前,被捕获并将其修改后按原路径发出),因 为所有的信息包都将几乎同时到达目的站之前,被捕获并将其修改后按 原路径发出),但在网关上发生包被窜改则是有可能的.因而应确保网络 中所有网关都是可靠的. <br>
对网络系统最危险的攻击是同向网络中加入数据有关的事件,例如通过 生成一个合法的信息包来冒充某个用户;或记录下用户会话的内容,并 在晚一些时候再回答它们.这些都会严重的影响数据的完整性. <br>
至于偷看信息这类侵袭(仅仅是偷看网络中传送的内容而不冒充任何人) 将可能造成失密,但并不十分危险,因为数据的完整性没有被破坏,而且 用户可通过对需要保密的数据进行编码来保护数据的专用. <br>
总之,在任何意义上要完全明白网络传送的各种问题并不是很容易的,需 不断实践分析.<br>
<br>
(3)远程过程调用(RPC)鉴别<br>
RPC是网络安全的核心,要明白这一点就必须清楚在RPC中鉴别机制是怎样 工作的.RPC的鉴别机制是端口开放式的,即各种鉴别系统都可插入其中并与之 共存.当前SUN OS有两个鉴别系统:UNIX和DES,前者是老的,功能也弱.后者是 在本节要介绍的新系统.对于RPC鉴别机制有两个词是很重要的:证书和核对器 (credentials和verify).这好比身份证一样,证书是识别一个人的姓名,地址, 出生日期等;而核对器就是身份证的照片,通过这张照片就能对持有者进行核 对.在RPC机制中也是这样:客户进程在RPC请求时要发出证书和核对器信息.而 服务器收到后只返回核对器信息,因为客户是已知道服务的证书的.<br>
<br>
(4)UNIX鉴别机制<br>
SUN早期的各种网络服务都建立在UNIX鉴别机制之上,证书部分包含站名, 用户号,组号和同组存取序列,而核对器是空白.这个系统存在两个问题:首先, 最突出的问题是核对器是空的,这就使得伪造一份证书是非常容易的.如果网 络中所有的系统管理员都是可以信赖的,那不会有什么问题.但是在许多网络 (特别是在大学)中,这样是不安全的.而NFS对通过查寻发出mount请求的工作 站的INTERNET地址作为hostname域的核对器来弥补UNIX鉴别系统的不足,并且 使它只按受来自特权INTERNET口的请求.但这样来确保系统安全仍然是不够的, 因为NFS仍然无法识别用户号ID.<br>
<br>
另一个问题是UNIX鉴别系统只适用于UNIX系统,但需要在一个网络中所有 的站都使用UNIX系统是不现实的.因为NFS可运行于MS-DOS和VMS系统的机器上, 但在这些操作系统中UNIX鉴别系统是不能运行的,例如:MS-DOS系统甚至就没 有用户号的概念.<br>
<br>
由此可知,应该有这样的鉴别系统:它具有独立于操作系统证书并使用核 对器.这就如像DES鉴别系统.<br>
<br>
(5)DES鉴别系统 <br>
DES鉴别系统的安全性建立在发送者对当前时间的编码能力上,它使接收 者能解码并对照自己的时钟来进行检验.时钟标记也使用DES编码.这样的机制 要工作有两件事是必须的:<br>
. 发送者和接收者双方必须对什么是当前时间进行约定.<br>
. 发送者和接收者必须使用同样的编码关键字. <br>
<br>
如果网络有时间同步机制,那么客户机服务器之间的时间同步将自己执行. 如果没有这样的机制,时间标记将按服务器的时间来计算.为计算时间,客户机 在开始RPC调用之前必须向服务器询问时间,然后计算自己和服务器之间的时 间差,当计算时间标记时,这个差值将校正客户方面的时钟.一旦客户机和服务 器时钟不同步,服务器就开始拒绝客户机的请求,并且DES鉴别系统将使它们的 时间同步.<br>
<br>
客户和服务器是怎样来获得相同的编码关键字的呢?当客户希望与服务器 交谈时,它生成一个随机关键字来对时间标记进行编码;这个关键字称为会话 关键字CK,客户对CK按公用关键字模式进行编码,并在第一次会话时发送给服 务器.这个CK是唯一使用公用关键字编码的关键字.这时只有这一客户与服务 器两者才知道它们的DES关键字,这个关键字称为共有关键字.<br>
<br>
第一次请求时,客户的证书包括三项:名字,用共有关键字编码的会话关键 字和用会话关键字编码的时窗,时窗告诉服务器:以后即将给你发送许多证书; 也许会有人用伪造的时间标记冒充新的会话向你发送证书.当你收到时间标志 时,请查看你的当前时间是否在时间标记和时间标记加时窗之间,如果不对请 拒绝.<br>
<br>
为创建安全的NFS文件,时窗缺省值为30分钟.在发出首次请求时,客户的 核对器中包含被编码的时间标记和特定时窗(WIN+1)的编码核对器.这样做的 原因是:如果某人想写一个程序并且在证书和核对器的编码域中填充一些任意 的二进制值,服务器将CK解码成DES关键字,并且用它来对时窗和时间标记解码, 最后产生随机值.在经过上千次的努力后,这些随机的时窗/时间标记对才有可 能通过鉴别系统,因此时窗核对器将使要猜测出正确的证书变得更困难,以提 高安全性. <br>
<br>