如果 TERMINAL 类的默认访问权限为读取,则您应该限制使用回环终端、本地主机终端和工作站主机的名称。 如果允许用户使用这些终端,若其他用户知道目标用户的密码,则将允许所有这些用户替换他们自己的用户 ID。 例如,假设以下情况:
用户 U 只需执行命令 telnet 回环、指定用户 ID root 和提供密码,即可跳过该组访问规则。 现在,超级用户会话已从终端 T 启动,该终端被假设为不允许超级用户登录。 用户可以利用本地主机或工作站主机的名称,从而以相似方式跳过访问规则。
要限制这三个漏洞,请使用以下定义:
newres TERMINAL loopback defaccess(N) owner(nobody) newres TERMINAL localhost defaccess(N) owner(nobody) chres TERMINAL hostname defacc(N) owner(nobody)
防止这种破坏安全操作的另一种方法是限制来自本地主机的 Telnet、FTP 等的 TCP 请求。
另一个选项是将 TERMINAL 组的默认访问权限设置为 NONE,然后指定 TERMINAL 和 GTERMINAL 规则。
|
版权所有 © 2013 CA。
保留所有权利。
|
|