資源描述:
《UNIX下如何通過IP限制用戶遠(yuǎn)程登錄》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1����、一�����、HP-UX 1.1/var/adm/inetd.sec 在HPUX中,可以對(duì)IP地址和通過這個(gè)IP地址接入的服務(wù)進(jìn)行限制����。在HP系統(tǒng)中有一個(gè)配置文件inetd.sec,用于設(shè)置每一個(gè)服務(wù)允許或禁止被某些網(wǎng)絡(luò)地址使用�����。在系統(tǒng)缺省安裝中����,這個(gè)文件內(nèi)容為空或不存在,即系統(tǒng)缺省允許任意地址使用本機(jī)的任何服務(wù)�����?! ≡O(shè)置方法: 1.檢查/var/adm/inetd.sec是否存在����,不存在則以root用戶創(chuàng)建: #touch/var/adm/inetd.sec 2.編輯/var/adm/inetd.sec文件,保證其中包含以下幾行���,例如: shellallo
2�、w139.104.8.21139.104.8.22 loginallow139.104.8.1-64139.104.4.1-64 telnetallow139.104.8.1-128139.104.4.1-128 ftpallow139.104.8.1-128139.104.4.1-128 首先說明每一行各字段的含義,第一列是服務(wù)名�,對(duì)應(yīng)于/etc/services的第一列。第二列是權(quán)限����,可以為allow或deny,如果是allow�����,則表示僅在后面的地址列表中的地址允許訪問����。第三列為地址列表,用空格分隔開多個(gè)地址�����,可以是完整的IP地址或網(wǎng)段地址�����,也可以
3��、用網(wǎng)絡(luò)名來表示。通配符(*)和范圍符(-)在地址列表中被允許使用�����?��! ∩厦娴睦邮且粋€(gè)典型的移動(dòng)智能網(wǎng)的SCP的限制配置����,第一行shell用于配置rsh允許的地址����,由于雙機(jī)兩臺(tái)主機(jī)之間需要使用rsh,因此必須保證雙機(jī)的兩臺(tái)主機(jī)的/var/adm/inetd.sec相互都包含對(duì)方的IP 第二行l(wèi)ogin用于配置rlogin允許的地址��,由于雙機(jī)兩臺(tái)主機(jī)之間需要使用rlogin�����,因此必須保證雙機(jī)的兩臺(tái)主機(jī)的/var/adm/inetd.sec相互都包含對(duì)方的IP 第三行用于配置telnet允許的地址�,這里就是局方允許登錄的遠(yuǎn)程終端的IP地址�����,可以根據(jù)需要配置?���!?/p>
4、 第四行用于配置ftp允許的地址�,根據(jù)需求配置。注意SMP需要訪問SCP的FTP服務(wù)����、SMAP也需要訪問SMP的FTP服務(wù)、RBI要訪問SCP的FTP服務(wù)����,因此SCP上需要加上SMP的地址,SMP需要加上SMAP的地址列表 3.修改/var/adm/inetd.sec文件的屬性��,保證他人不可寫: #chmod444/var/adm/inetd.sec 需要注意的是���,我們使用此功能的目的是為了限制某些客戶端的訪問���,添加allow或deny務(wù)必保證原來需要訪問的主機(jī)包含在allow中或不在deny中。UNIX主機(jī)在收到用戶的登錄申請(qǐng)后�,會(huì)根據(jù)服務(wù)名進(jìn)行檢查,
5��、比如telnet(23)服務(wù),如果發(fā)現(xiàn)配置文件中有telnet服務(wù)�����,而且配置了allow項(xiàng)����,則接入的IP地址在allow項(xiàng)的list中,系統(tǒng)才允許此IP登錄���,否則系統(tǒng)將不允許此IP連接;如果配置的是deny項(xiàng)���,則接入的IP地址必須不在deny的list中,系統(tǒng)才允許此IP進(jìn)行連接����。 1.2FTP服務(wù)�, FTP服務(wù)可以針對(duì)用戶進(jìn)行設(shè)置,在HP-UX系統(tǒng)中�����,通過配置/etc/ftpd/fpaccess文件每行增加一個(gè)用戶名�,系統(tǒng)將只允許此文件中配置的用戶進(jìn)行FTP操作�����。需要注意在生產(chǎn)系統(tǒng)上實(shí)施時(shí)必須包含需要FTP的賬戶名稱?�!《?、IBMAIX 2.1/etc
6、/security/user /etc/security/user配置文件包含用戶的擴(kuò)展屬性�����,出于AIX系統(tǒng)安全考慮��,需要使某些用戶只能在控制臺(tái)登錄使用���,而不允許遠(yuǎn)程登陸使用����。處理方法:更改/etc/security/user文件中需要限制的用戶的rlogin屬性(rlogin=false)����。當(dāng)再次嘗試遠(yuǎn)程登錄時(shí),系統(tǒng)報(bào)錯(cuò):Remoteloginsarenotallowedforthisaccount�,表示修改成功�����?����! IX系統(tǒng)可以針對(duì)設(shè)備端口(/dev/pts)進(jìn)行限制��,但是對(duì)我們的需求來講����,似乎用途不大�,這里僅做介紹?��?梢跃庉?etc/security
7��、/user文件���,例如: test: admin=false admgroups=system ttys=!/dev/pts/0,ALL 結(jié)果是用戶test可以在除了pts/0以外的所有端口登錄,當(dāng)test在pts/0登錄時(shí)����,系統(tǒng)報(bào)錯(cuò):Youarenotallowedtoaccessthesystemviathisterminal���。 AIX操作系統(tǒng)支持靜態(tài)的IP包過濾功能�,可以利用這一功能來保護(hù)連接在網(wǎng)絡(luò)上的服務(wù)器����。但是與HP-UX不同,缺省安裝是不具備此功能的���,在使用這一功能之前�,需要安裝以下文件集(filesets)����,如果文件集不存在,請(qǐng)安裝這些
8��、文件集���,然后重新啟動(dòng)機(jī)器��?! ?lsl
