UNIX主机下如何通过IP限制用户远程登录要点

UNIX主机下如何通过IP限制用户远程

登录

目录

1简介 (4)

2HP-UX (4)

2.1/var/adm/inetd.sec (4)

2.2FTP服务， (5)

3IBM AIX (5)

3.1/etc/security/user (5)

3.2FTP服务 (8)

4SUN SOLARIS (9)

4.1/etc/inet/inetd.conf (9)

关键词：

UNIX、远程登陆

摘要：

本文汇总了IBM AIX、HP UX和SUN SOLARIS三种操作系统上如何通过IP来限制用户的远程登录的方法。

1 简介

在日常维护或安全加固行为中，我们往往需要通过对接入客户端的IP地址进行限制来实现系统的操作可以对应到执行操作的人员，本文汇总了IBM AIX、HP UX和SUN SOLARIS 三种操作系统上如何通过IP来限制用户的远程登录的方法。

2 HP-UX

2.1 /var/adm/inetd.sec

在HP UX中，可以对IP地址和通过这个IP地址接入的服务进行限制。在HP系统中有一个配置文件inetd.sec，用于设置每一个服务允许或禁止被某些网络地址使用。在系统缺省安装中，这个文件内容为空或不存在，即系统缺省允许任意地址使用本机的任何服务。

设置方法：

1.检查/var/adm/inetd.sec是否存在，不存在则以root用户创建：

# touch /var/adm/inetd.sec

2.编辑/var/adm/inetd.sec文件，保证其中包含以下几行，例如：

shell allow 139.104.8.21 139.104.8.22

login allow 139.104.8.1-64 139.104.4.1-64

telnet allow 139.104.8.1-128 139.104.4.1-128

ftp allow 139.104.8.1-128 139.104.4.1-128

首先说明每一行各字段的含义，第一列是服务名，对应于/etc/services的第一列。第二列是权限，可以为allow或deny，如果是allow，则表示仅在后面的地址列表中的地址允许访问。第三列为地址列表，用空格分隔开多个地址，可以是完整的IP地址或网段地址，也可以用网络名来表示。通配符（*）和范围符（－）在地址列表中被允许使用。

上面的例子是一个典型的移动智能网的SCP的限制配置，第一行shell用于配置rsh允许的地址，由于双机两台主机之间需要使用rsh，因此必须保证双机的两台主机的/var/adm/inetd.sec 相互都包含对方的IP

第二行login用于配置rlogin允许的地址，由于双机两台主机之间需要使用rlogin，因此必须保证双机的两台主机的/var/adm/inetd.sec相互都包含对方的IP

第三行用于配置telnet允许的地址，这里就是局方允许登录的远程终端的IP地址，可以

根据需要配置。

第四行用于配置ftp允许的地址，根据需求配置。注意SMP需要访问SCP的FTP服务、SMAP也需要访问SMP的FTP服务、RBI要访问SCP的FTP服务，因此SCP上需要加上SMP的地址，SMP需要加上SMAP的地址列表

3.修改/var/adm/inetd.sec文件的属性，保证他人不可写：

# chmod 444 /var/adm/inetd.sec

需要注意的是，我们使用此功能的目的是为了限制某些客户端的访问，添加allow或deny 务必保证原来需要访问的主机包含在allow中或不在deny中。UNIX主机在收到用户的登录申请后，会根据服务名进行检查，比如telnet(23)服务，如果发现配置文件中有telnet服务，而且配置了allow项，则接入的IP地址在allow项的list中，系统才允许此IP登录，否则系统将不允许此IP连接；如果配置的是deny项，则接入的IP地址必须不在deny的list中，系统才允许此IP进行连接。

2.2 FTP服务，

FTP服务可以针对用户进行设置，在HP-UX系统中，通过配置/etc/ftpd/fpaccess文件每行增加一个用户名，系统将只允许此文件中配置的用户进行FTP操作。需要注意在生产系统上实施时必须包含需要FTP的账户名称。

3 IBM AIX

3.1 /etc/security/user

/etc/security/user配置文件包含用户的扩展属性，出于AIX系统安全考虑，需要使某些用户只能在控制台登录使用，而不允许远程登陆使用。处理方法：更改/etc/security/user 文件中需要限制的用户的rlogin属性（rlogin = false）。当再次尝试远程登录时，系统报错：Remote logins are not allowed for this account ，表示修改成功。

AIX系统可以针对设备端口（/dev/pts）进行限制，但是对我们的需求来讲，似乎用途不大，这里仅做介绍。可以编辑/etc/security/user文件，例如：

test:

admin = false

admgroups = system

ttys = !/dev/pts/0,ALL

结果是用户test可以在除了pts/0以外的所有端口登录，当test在pts/0登录时，系统报错：You are not allowed to access the system via this terminal。

AIX操作系统支持静态的IP包过滤功能，可以利用这一功能来保护连接在网络上的服务器。但是与HP-UX不同，缺省安装是不具备此功能的，在使用这一功能之前，需要安装以下文件集（filesets），如果文件集不存在，请安装这些文件集，然后重新启动机器。

# lslpp -l .ipsec.rte

Fileset Level State Description

----------------------------------------------------------------------------

Path: /usr/lib/objrepos

.ipsec.rte 5.3.0.20 COMMITTED IP Security

# lslpp -l .ipsec.keymgt

Fileset Level State Description

----------------------------------------------------------------------------

Path: /usr/lib/objrepos

.ipsec.keymgt 5.3.0.20 COMMITTED IP Security Key Management

下面开始对IP security进行配置（以FTP服务为例，TELNET等其他端口的服务类似）1. 启动IP安全（IPSec）：

# smitty ipsec4-> Start/Stop IP Security----> Start IP Security ->Start IP Security

上面两项的设置均使用缺省值

2. 检查ipsec是否可用：

# lsdev -Cc ipsec

ipsec_v4 Available IP Version 4 Security Extension

3. 现在系统中应创建了两个过滤规则。使用下面的命令检查这两个过滤规则：

# lsfilt -v4

正常情况下可以看到2条规则，如果提示无任何缺省规则，请参考本节的注解。