今天要講解的是關於限制通過網絡進入Unix操作系統的知識,這是屬於Unix操作系統用戶賬號中的安全問題,我們都希望我們的Unix操作系統能夠安全,那我在這裡就不多說了,大家一起來學習下吧!
Telnet和ftp守護進程是從inetd進程啟動的,inetd的配置文件是/etc/inetd.conf,還包含了其它的各種服務,所以你可以干脆移去這個文件,新建一個只包括以下兩行的文件:
- ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd
- telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd
當然這是基於你需要telnet及ftp的基礎上的,如果你連這Unix操作系統兩個服務都不用的話,你就可以將它注釋掉或者刪除,這樣在系統啟動的時候inetd就不需要啟動了。
Tcpd的訪問控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的,tcpd先查找/etc/hosts.allow,如果你在這裡面允許了Unix操作系統某幾台主機的telnet或ftp訪問的話,那麼deny訪問就是對其它所有機器的了。
這是"默認拒絕"的訪問控制策略,下面是一個Unix操作系統hosts.allow文件的樣本: ALL: 172.16.3.0/255.255.255.0
這將允許172.16.3.0網絡的主機上任何用戶訪問你的telnet及ftp服務,記住在這裡要放置IP地址,因為域名比較容易受到欺騙攻擊
現在我們准備拒絕其余所有人的連接了,將下面的語句放在/etc/hosts.deny中:
ALL: /usr/bin/mailx -s "%d: connection attempt from %c" [email protected]
這條指令不僅拒絕了Unix操作系統其它所有的連接,而且能夠讓tcpd發送email給root--一旦有不允許的連接嘗試發生時。
現在你可能希望用syslog記錄下所有的訪問記錄,那麼在/etc/syslog.conf放進如下語句:
auth.auth.notice;auth.info /var/log/authlog
注意兩段語句間的空白是tab鍵,否則syslog可能會不能正常工作。
好了,我們就完成了限制通過網絡進入Unix操作系統的步驟,讓我們一起在我們的Unix操作系統中來操作吧!