Juniper裝置系統安全許可權管理評估
一、Juniper裝置系統介紹
Juniper 路由器的作業系統JOS建立在FreeBSD核心之上,採用模組化的設計,結構圖如圖1-1:
圖1-1
包括以下模組:
(1)記憶體管理:保護各個軟體模組,管理記憶體空間;
(2)轉發表:管理轉發表項,包括使得PEE的轉發表項的拷貝與RE的主拷貝同步;
(3)核心排程:因為程式的執行相對應它們的許可權,因此,我們可以看到CPU的負載情況;
(4)路由套位元組:在核心與程式之間提供一種通訊方式;
(5)各種資料統計;
(6)裝置驅動。
二、Juniper裝置帳號許可權管理介紹
在juniper router系統裡面,首先說到的就是root賬號。root基本是無所不能,掌管著最高的許可權,它可以設定其它所有的賬號,並且分配許可權給它們。
除去root賬戶外,管理員可以根據實際的需要自行地新增不用的使用者賬號。
對於系統來說,一般僅有一個root帳號是不明智的。用root帳號時一定要謹慎,最好是確認了以後再用root帳號登陸設定管理。
此外,juniper系統裡面還有一個安全等級的概念,即在系統裡面分等級許可權來管理。比如說設定一個使用者是隻讀許可權,或者只限制它可以配置某一類的命令,這時就要用到等級許可權分類進行管理。
在juniper router裡面,
用以下命令進行許可權管理,juniper的許可權包括有:
operator
read-noly
superuser
unauthorized
其中superuser的許可權是基本跟root同級,read-only即僅有隻讀許可權,operator的許可權只比readonly大一點。Unauthorized不通過認證,第一次用root登陸時使用。
對於系統來說,一般僅有一個root帳號是不明智的。用root帳號時一定要謹慎,最好是確認了以後再用root帳號登陸設定管理。
此外,juniper系統裡面還有一個安全等級的概念,即在系統裡面分等級許可權來管理。比如說設定一個使用者是隻讀許可權,或者只限制它可以配置某一類的命令,這時就要用到等級許可權分類進行管理。
在juniper router裡面,
用以下命令進行許可權管理,juniper的許可權包括有:
operator
read-noly
superuser
unauthorized
其中superuser的許可權是基本跟root同級,read-only即僅有隻讀許可權,operator的許可權只比readonly大一點。Unauthorized不通過認證,第一次用root登陸時使用。
但是在superuser的這一組賬號裡面,各個賬號的許可權都非常高,一個賬號可以刪除別的賬號.比如說,root建立的兩個superuser賬號user、admin,但是user可以在不知道admin賬號密碼的情況下通過delete命令把admin的賬號刪除掉,甚至把自己的賬號也刪除掉.這樣的結果就是user賬號退出後,user賬號和admin賬號都登陸不上去了。
三、UNIX及LINUX系統帳號許可權管理介紹
UNIX 系統實質是一個多使用者的系統,它的每一個使用者賬號都獨立享有自己的檔案,各個使用者之間不能修改對方檔案的各項屬性,即互不干涉。僅有root賬號有刪除、控制其它賬號的許可權。這種嚴格的所有權和針對每個使用者的預置,兩種特性使得 UNIX 遠比 Windows系統更加安全。同時,管理員需要不斷地設定和管理相關許可權。通常,管理員需要對特定檔案和目錄具有適當的許可權,以便執行一些守護程式;只有設定了正確的許可權,這些目錄(如 /tmp)才能正常工作;當然,要與其他使用者共享某些檔案,或保護您的檔案不讓其他使用者訪問,必須能夠設定、更改和讀取相應的許可權。
同樣的,在linux中,不論由本機還是遠端登入linux系統,每個人都應該擁有一個自己的帳號,並且對於不同的資源擁有不同的權力,在Red Hat Linux中將帳號分成以下二種型別:
1.使用者帳號:所謂使用者賬號就是實際的人員,例如,redhat,或是邏輯的物件,例如程式用來執行特定工作的帳號.但每個帳號都包含唯一的一個識別碼,以及組的識別碼;
2.組帳號:是一個邏輯單位,它主要的功能是用來集合特定的使用者,以授予它們特定的存取許可權,例如,存,取,執行。
在進行帳號管理前,必須先有一個同“root”同一等級的許可權帳號,root是系統許可權最高的supper user,它可以在系統中執行任何的設定,因此,除非必要不要隨便使用root進行登入,最好的方式新建一使用者,然後利用su或“su -“命令變更管理許可權,通常所有使用者的帳號資訊全部記錄/etc/passwd檔案裡,通稱為“標準使用者“。
1.使用者帳號:所謂使用者賬號就是實際的人員,例如,redhat,或是邏輯的物件,例如程式用來執行特定工作的帳號.但每個帳號都包含唯一的一個識別碼,以及組的識別碼;
2.組帳號:是一個邏輯單位,它主要的功能是用來集合特定的使用者,以授予它們特定的存取許可權,例如,存,取,執行。
在進行帳號管理前,必須先有一個同“root”同一等級的許可權帳號,root是系統許可權最高的supper user,它可以在系統中執行任何的設定,因此,除非必要不要隨便使用root進行登入,最好的方式新建一使用者,然後利用su或“su -“命令變更管理許可權,通常所有使用者的帳號資訊全部記錄/etc/passwd檔案裡,通稱為“標準使用者“。
四、風險評估及改進建議
通過上面對juniper裝置賬號許可權管理系統的介紹,可以認識到Juniper路由器系統管理裡面的超級使用者可以在不知道別的使用者(除去root賬號)的密碼情況下,就能直接刪除該使用者,包括其它跟它同一級的超級使用者,甚至可以把自己的賬號刪除掉,導致自己的賬號退出後也登陸不上去.而相對比之下,linux,unix裡面root許可權最大,只有它才可以建立其它超級使用者,分配許可權給它們,也可以直接刪除它們。但超級使用者組之間是不可以互相刪除跟它同級的超級使用者的.超級使用者若想刪除其它同級的超級使用者時必須先切換為root賬號。用過windows系統的都知道 ,Windows裡面的超級使用者可以在不知道同組的其它超級使用者的密碼的情況下直接把它們刪除掉.這也可能是linux,unix系統比Windows系統安全性高的原因之一。
因此,為了提高juniper裝置賬號的安全管理,建議juniper裝置的賬號許可權管理可以參考unix/linux系統的賬號許可權管理方法。即root賬號的管理許可權是最高的,只有它才能刪除其它所有的超級使用者。Root所建立的超級使用者擁有一個自己的帳號,並且對於不同的資源擁有不同的許可權,超級使用者之間不能相互干涉,比如進行刪除、改名等。要進行操作的話必須先切換為root賬號的情況下才能進行。這樣也是為了避免個別的超級使用者在不經意的情況下刪除了所有的其它使用者賬號的資訊的安全隱患,包括刪除掉一些超級使用者,及至自己的賬號,導致退出後登陸不上的問題。
本文轉自 獨鉤寒江雪 51CTO部落格,原文連結:http://blog.51cto.com/bennie/141127,如需轉載請自行聯絡原作者
相關文章
- 【JavaWeb】許可權管理系統JavaWeb
- 企業許可權管理系統
- Winner許可權管理系統3.0
- OA管理系統,有哪些許可權管理?
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- 使用者許可權系統管理
- Vue2.0 + ElementUI 手寫許可權管理系統後臺模板(二)——許可權管理VueUI
- 基於RBAC的許可權管理系統
- JspSpringSecurity許可權管理系統JSSpringGse
- 有效管理Windows系統帳戶許可權Windows
- Android系統許可權和root許可權Android
- SpringSecurity許可權管理系統實戰—九、資料許可權的配置SpringGse
- MySQL許可權系統MySql
- Oracle系統許可權Oracle
- Oracle 使用者、物件許可權、系統許可權Oracle物件
- Linux命令-使用者、許可權管理、系統管理Linux
- 基於tp3.2.3開發的許可權管理系統,路由,微信,cdn,許可權路由
- 使用者許可權設計(三)——通用資料許可權管理系統設計
- Confluence6對比系統管理員許可權和Confluence管理員許可權
- mongodb 的許可權系統MongoDB
- 有贊許可權系統
- Android系統許可權Android
- 許可權系統設計
- 許可權系統跟進
- Linux-許可權管理(ACL許可權)Linux
- 作業系統---IO許可權管理和敏感指令作業系統
- 自動掛載裸裝置及許可權
- Java寫圖書管理系統(四、管理員功能許可權)Java
- Android註冊裝置管理器(獲取超級管理員許可權)Android
- PostgreSQL:許可權管理SQL
- Mysql——許可權管理MySql
- Mysql 許可權管理MySql
- MySQL許可權管理MySql
- oracle 許可權管理Oracle
- sql許可權管理SQL
- 許可權管理策略
- 2 Day DBA-管理Oracle例項-關於管理帳戶和許可權-SYSDBA和SYSOPER系統許可權Oracle
- 許可權維持專題:作業系統許可權維持作業系統