一、Juniper设备系统介绍
Juniper 路由器的操作系统JOS建立在FreeBSD内核之上,采用模块化的设计,结构图如图1-1:
图1-1
包括以下模块:
(1)内存管理:保护各个软件模块,管理内存空间;
(2)转发表:管理转发表项,包括使得PEE的转发表项的拷贝与RE的主拷贝同步;
(3)内核调度:因为进程的执行相对应它们的权限,因此,我们可以看到CPU的负载情况;
(4)路由套字节:在内核与进程之间提供一种通信方式;
(5)各种数据统计;
(6)设备驱动。
二、Juniper设备帐号权限管理介绍
在juniper router系统里面,首先说到的就是root账号。root基本是无所不能,掌管着最高的权限,它可以设置其它所有的账号,并且分配权限给它们。
除去root账户外,管理员可以根据实际的需要自行地添加不用的用户账号。
对于系统来说,一般仅有一个root帐号是不明智的。用root帐号时一定要谨慎,最好是确认了以后再用root帐号登陆设置管理。
此外,juniper系统里面还有一个安全等级的概念,即在系统里面分等级权限来管理。比如说设置一个用户是只读权限,或者只限制它可以配置某一类的命令,这时就要用到等级权限分类进行管理。
在juniper router里面,
用以下命令进行权限管理,juniper的权限包括有:
operator
read-noly
superuser
unauthorized
其中superuser的权限是基本跟root同级,read-only即仅有只读权限,operator的权限只比readonly大一点。Unauthorized不通过认证,第一次用root登陆时使用。
对于系统来说,一般仅有一个root帐号是不明智的。用root帐号时一定要谨慎,最好是确认了以后再用root帐号登陆设置管理。
此外,juniper系统里面还有一个安全等级的概念,即在系统里面分等级权限来管理。比如说设置一个用户是只读权限,或者只限制它可以配置某一类的命令,这时就要用到等级权限分类进行管理。
在juniper router里面,
用以下命令进行权限管理,juniper的权限包括有:
operator
read-noly
superuser
unauthorized
其中superuser的权限是基本跟root同级,read-only即仅有只读权限,operator的权限只比readonly大一点。Unauthorized不通过认证,第一次用root登陆时使用。
但是在superuser的这一组账号里面,各个账号的权限都非常高,一个账号可以删除别的账号.比如说,root创建的两个superuser账号user、admin,但是user可以在不知道admin账号密码的情况下通过delete命令把admin的账号删除掉,甚至把自己的账号也删除掉.这样的结果就是user账号退出后,user账号和admin账号都登陆不上去了。
三、UNIX及LINUX系统帐号权限管理介绍
UNIX 系统实质是一个多用户的系统,它的每一个用户账号都独立享有自己的文件,各个用户之间不能修改对方文件的各项属性,即互不干涉。仅有root账号有删除、控制其它账号的权限。这种严格的所有权和针对每个用户的预置,两种特性使得 UNIX 远比 Windows系统更加安全。同时,管理员需要不断地设置和管理相关权限。通常,管理员需要对特定文件和目录具有适当的权限,以便运行一些守护进程;只有设置了正确的权限,这些目录(如 /tmp)才能正常工作;当然,要与其他用户共享某些文件,或保护您的文件不让其他用户访问,必须能够设置、更改和读取相应的权限。
同样的,在linux中,不论由本机还是远程登录linux系统,每个人都应该拥有一个自己的帐号,并且对于不同的资源拥有不同的权力,在Red Hat Linux中将帐号分成以下二种类型:
1.用户帐号:所谓用户账号就是实际的人员,例如,redhat,或是逻辑的对象,例如程序用来执行特定工作的帐号.但每个帐号都包含唯一的一个识别码,以及组的识别码;
2.组帐号:是一个逻辑单位,它主要的功能是用来集合特定的用户,以授予它们特定的存取权限,例如,存,取,执行。
在进行帐号管理前,必须先有一个同"root"同一等级的权限帐号,root是系统权限最高的supper user,它可以在系统中执行任何的设置,因此,除非必要不要随便使用root进行登录,最好的方式新建一用户,然后利用su或"su -"命令变更管理权限,通常所有用户的帐号信息全部记录/etc/passwd文件里,通称为"标准用户"。
1.用户帐号:所谓用户账号就是实际的人员,例如,redhat,或是逻辑的对象,例如程序用来执行特定工作的帐号.但每个帐号都包含唯一的一个识别码,以及组的识别码;
2.组帐号:是一个逻辑单位,它主要的功能是用来集合特定的用户,以授予它们特定的存取权限,例如,存,取,执行。
在进行帐号管理前,必须先有一个同"root"同一等级的权限帐号,root是系统权限最高的supper user,它可以在系统中执行任何的设置,因此,除非必要不要随便使用root进行登录,最好的方式新建一用户,然后利用su或"su -"命令变更管理权限,通常所有用户的帐号信息全部记录/etc/passwd文件里,通称为"标准用户"。
四、风险评估及改进建议
通过上面对juniper设备账号权限管理系统的介绍,可以认识到Juniper路由器系统管理里面的超级用户可以在不知道别的用户(除去root账号)的密码情况下,就能直接删除该用户,包括其它跟它同一级的超级用户,甚至可以把自己的账号删除掉,导致自己的账号退出后也登陆不上去.而相对比之下,linux,unix里面root权限最大,只有它才可以建立其它超级用户,分配权限给它们,也可以直接删除它们。但超级用户组之间是不可以互相删除跟它同级的超级用户的.超级用户若想删除其它同级的超级用户时必须先切换为root账号。用过windows系统的都知道 ,Windows里面的超级用户可以在不知道同组的其它超级用户的密码的情况下直接把它们删除掉.这也可能是linux,unix系统比Windows系统安全性高的原因之一。
因此,为了提高juniper设备账号的安全管理,建议juniper设备的账号权限管理可以参考unix/linux系统的账号权限管理方法。即root账号的管理权限是最高的,只有它才能删除其它所有的超级用户。Root所创建的超级用户拥有一个自己的帐号,并且对于不同的资源拥有不同的权限,超级用户之间不能相互干涉,比如进行删除、改名等。要进行操作的话必须先切换为root账号的情况下才能进行。这样也是为了避免个别的超级用户在不经意的情况下删除了所有的其它用户账号的信息的安全隐患,包括删除掉一些超级用户,及至自己的账号,导致退出后登陆不上的问题。
本文转自 独钩寒江雪 51CTO博客,原文链接:http://blog.51cto.com/bennie/141127,如需转载请自行联系原作者
