《unix下如何通过ip限制用户远程登录》由会员分享,可在线阅读,更多相关《unix下如何通过ip限制用户远程登录(7页珍藏版)》请在金锄头文库上搜索。
1、一、HP-UX1.1 /var/adm/inetd.sec在 HP UX 中,可以对 IP 地址和通过这个 IP 地址接入的服务进行限制。在 HP 系统中 有一个配置文件 inetd.sec,用于设置每一个服务允许或禁止被某些网络地址使用。在系统 缺省安装中,这个文件内容为空或不存在,即系统缺省允许任意地址使用本机的任何服务。设置方法:1.检查/var/adm/inetd.sec 是否存在,不存在则以 root 用户创建:# touch /var/adm/inetd.sec2.编辑/var/adm/inetd.sec 文件,保证其中包含以下几行,例如:shell allow 139.104.8
2、.21 139.104.8.22login allow 139.104.8.1-64 139.104.4.1-64telnet allow 139.104.8.1-128 139.104.4.1-128ftp allow 139.104.8.1-128 139.104.4.1-128首先说明每一行各字段的含义,第一列是服务名,对应于/etc/services 的第一列。第二 列是权限,可以为 allow 或 deny,如果是 allow,则表示仅在后面的地址列表中的地址允许 访问。第三列为地址列表,用空格分隔开多个地址,可以是完整的 IP 地址或网段地址,也 可以用网络名来表示。通配符(*)和
3、范围符(-)在地址列表中被允许使用。上面的例子是一个典型的移动智能网的 SCP 的限制配置,第一行 shell 用于配置 rsh 允 许的地址,由于双机两台主机之间需要使用 rsh,因此必须保证双机的两台主机的 /var/adm/inetd.sec 相互都包含对方的 IP第二行 login 用于配置 rlogin 允许的地址,由于双机两台主机之间需要使用 rlogin,因 此必须保证双机的两台主机的/var/adm/inetd.sec 相互都包含对方的 IP第三行用于配置 telnet 允许的地址,这里就是局方允许登录的远程终端的 IP 地址,可 以根据需要配置。第四行用于配置 ftp 允许的
4、地址,根据需求配置。注意 SMP 需要访问 SCP 的 FTP 服 务、SMAP 也需要访问 SMP 的 FTP 服务、RBI 要访问 SCP 的 FTP 服务,因此 SCP 上需要 加上 SMP 的地址,SMP 需要加上 SMAP 的地址列表3.修改/var/adm/inetd.sec 文件的属性,保证他人不可写:# chmod 444 /var/adm/inetd.sec需要注意的是,我们使用此功能的目的是为了限制某些客户端的访问,添加 allow 或 deny 务必保证原来需要访问的主机包含在 allow 中或不在 deny 中。UNIX 主机在收到用户 的登录申请后,会根据服务名进行检
5、查,比如 telnet(23)服务,如果发现配置文件中有 telnet 服务,而且配置了 allow 项,则接入的 IP 地址在 allow 项的 list 中,系统才允许此 IP 登录,否则系统将不允许此 IP 连接;如果配置的是 deny 项,则接入的 IP 地址必须不在 deny 的 list 中,系统才允许此 IP 进行连接。1.2 FTP 服务,FTP 服务可以针对用户进行设置,在 HP-UX 系统中,通过配置/etc/ftpd/fpaccess 文件 每行增加一个用户名,系统将只允许此文件中配置的用户进行 FTP 操作。需要注意在生产 系统上实施时必须包含需要 FTP 的账户名称。
6、二、IBM AIX2.1 /etc/security/user/etc/security/user 配置文件包含用户的扩展属性,出于 AIX 系统安全考虑,需要使某些 用户只能在控制台登录使用,而不允许远程登陆使用。处理方法: 更改/etc/security/user 文件中需要限制的用户的 rlogin 属性(rlogin = false)。当再次尝试远程登录时,系统报错: Remote logins are not allowed for this account ,表示修改成功。AIX 系统可以针对设备端口(/dev/pts)进行限制,但是对我们的需求来讲,似乎用途不 大,这里仅做介绍。
7、可以编辑/etc/security/user 文件,例如:test:admin = falseadmgroups = systemttys = !/dev/pts/0,ALL结果是用户 test 可以在除了 pts/0 以外的所有端口登录,当 test 在 pts/0 登录时, 系统 报错:You are not allowed to access the system via this terminal。AIX 操作系统支持静态的 IP 包过滤功能,可以利用这一功能来保护连接在网络上的服 务器。但是与 HP-UX 不同,缺省安装是不具备此功能的,在使用这一功能之前,需要安 装以下文件集(fi
8、lesets),如果文件集不存在,请安装这些文件集,然后重新启动机器。# lslpp -l .ipsec.rteFileset Level State Description-Path: /usr/lib/.ipsec.rte 5.3.0.20 COMMITTED IP Security# lslpp -l .ipsec.keymgtFileset Level State Description-Path: /usr/lib/.ipsec.keymgt 5.3.0.20 COMMITTED IP Security Key Management 下面开始对 IP security 进行配置(以
9、FTP 服务为例,TELNET 等其他端口的服务类似)1. 启动 IP 安全(IPSec):# smitty ipsec4- Start/Stop IP Security- Start IP Security -Start IP Security2. 检查 ipsec 是否可用:# lsdev -Cc ipsecipsec_v4 Available IP Version 4 Security Extension3. 现在系统中应创建了两个过滤规则。使用下面的命令检查这两个过滤规则:# lsfilt -v4正常情况下可以看到 2 条规则,如果提示无任何缺省规则,请参考本节的注解。4. 增加一个过
10、滤规则以允许接受从 10.152.129.49 发来的 ftp 请求:# smitty ipsec4- Advanced IP Security Configuration- Configure IP Security Filter Rules- Add an IP Security Filter Rule -Add an IP Security Filter Rule* Rule Action -permit +* IP Source Address -10.152.129.49* IP Source Mask -255.255.255.255IP Destination Address -
11、IP Destination Mask - * Apply to Source Routing? (PERMIT/inbound only) yes+* Protocol -all+* Source Port / ICMP Type Operation -any+* Source Port Number / ICMP Type -0 #* Destination Port / ICMP Code Operation -eq+* Destination Port Number / ICMP Type -21 #* Routing -both +* Direction -both+* Log Co
12、ntrol -no+* Fragmentation Control -0+* Interface -all +其他缺省值5. 增加另一个过滤规则以拒绝其它所有向 10.110.157.151 发出的 ftp 请求:Add an IP Security Filter Rule* Rule Action -deny+* IP Source Address -0.0.0.0* IP Source Mask -0.0.0.0IP Destination Address -10.110.157.151IP Destination Mask -255.255.255.255 *Apply to Sourc
13、e Routing? (PERMIT/inbound only) yes +* Protocol -all+* Source Port / ICMP Type Operation -any +* Source Port Number / ICMP Type -0 #* Destination Port / ICMP Code Operation -eq+* Destination Port Number / ICMP Type -21#* Routing -both+* Direction -both+* Log Control -no +* Fragmentation Control - all packets+* Interface - all +6. 激活设置的过滤规则
