三、SUN SOLARIS
3.1 /etc/inet/inetd.conf
在默认情况下,Solaris允许所有的服务请求。Solari本身不具备限制接入IP的能力,但是可以安装类似Tcp_Wrappers这样的freeware软件来增强这部分功能。Tcp_Wrappers是由两个文件控制的,分别是/etc/hosts.allow 和 /etc/hosts.deny。在/etc/hosts.deny文件中加入ALL:ALL就可以禁止所有计算机访问服务器,然后在/etc/hosts.allow文件中加入允许访问服务器的计算机,这种做法是最安全的。这样做的结果是:所有的服务、访问位置,如果没有被明确的允许,也就是在/etc/hosts.allow 中找不到匹配的项,就是被禁止的。
1、在etc下创建hosts.allow和hosts.deny文件,该文件完成主机访问权限控制。
hosts.deny文件设置工作站拒绝的ip地址和服务范围。
hosts.allow文件设置工作站允许的ip地址和服务范围.
如果客户端ip地址不在hosts.allow和hosts.deny两个里面,允许访问。
注意:host.allow的优先级大于host.deny
两个文件格式相同,可以有两种设置方法,网段和主机,分别如下:
#允许10.152.129.x网段的ip地址
in.telnetd:10.152.129. =====> 如果ip地址的前缀为10.11.147.,允许网段范围
in.telnetd:10.152.129.0/255.255.255.0 ====> 网段和掩码的定义方式,允许主机范围。
举例如下:
只允许10.152.129.x网段的ip地址telnet工作站:
#hosts.deny:
in.telnetd:ALL =====> 禁止所有IP地址进行telnet访问
#hosts.allow:
in.telnetd:10.152.129.0/255.255.255.0 =====> 如果ip地址的前缀为10.152.129.则允许范围
允许除了10.152.129.x网段之外的所有ip地址telnet工作站:
#host.deny
in.telnetd:10.152.129.
只允许本地ip地址telnet工作站:(仅在本工作站的/etc/hosts里面的ip地址才可以telnet)
#hosts.deny
in.telnetd:ALL =====> 禁止所有IP地址进行telnet访问
#hosts.allow
in.telnetd:LOCAL =====>仅在本工作站的/etc/hosts里面的ip地址才可以telnet
最后执行' kill -HUP inetd进程ID ' 以使得生效。
FTP等服务类似操作即可。
第四行用于配置ftp允许的地址,根据需求配置。注意SMP需要访问SCP的FTP服务、SMAP也需要访问SMP的FTP服务、RBI要访问SCP的FTP服务,因此SCP上需要加上SMP的地址,SMP需要加上SMAP的地址列表
3.修改/var/adm/inetd.sec文件的属性,保证他人不可写:
# chmod 444 /var/adm/inetd.sec
需要注意的是,我们使用此功能的目的是为了限制某些客户端的访问,添加allow或deny务必保证原来需要访问的主机包含在allow中或不在deny中。UNIX主机在收到用户的登录申请后,会根据服务名进行检查,比如telnet(23)服务,如果发现配置文件中有telnet服务,而且配置了allow项,则接入的IP地址在allow项的list中,系统才允许此IP登录,否则系统将不允许此IP连接;如果配置的是deny项,则接入的IP地址必须不在deny的list中,系统才允许此IP进行连接。
1.2 FTP服务,
FTP服务可以针对用户进行设置,在HP-UX系统中,通过配置/etc/ftpd/fpaccess文件每行增加一个用户名,系统将只允许此文件中配置的用户进行FTP操作。需要注意在生产系统上实施时必须包含需要FTP的账户名称。