一、HP-UX
1.1 /var/adm/inetd.sec
在HP UX中,可以對IP地址和通過這個IP地址接入的服務進行限制。在HP系統中有一個配置文件inetd.sec,用於設置每一個服務允許或禁止被某些網絡地址使用。在系統缺省安裝中,這個文件內容爲空或不存在,即系統缺省允許任意地址使用本機的任何服務。
設置方法:
1.檢查/var/adm/inetd.sec是否存在,不存在則以root用戶創建:
# touch /var/adm/inetd.sec
2.編輯/var/adm/inetd.sec文件,保證其中包含以下幾行,例如:
shell allow 139.104.8.21 139.104.8.22
login allow 139.104.8.1-64 139.104.4.1-64
telnet allow 139.104.8.1-128 139.104.4.1-128
ftp allow 139.104.8.1-128 139.104.4.1-128
首先說明每一行各字段的含義,第一列是服務名,對應於/etc/services的第一列。第二列是權限,可以爲allow或deny,如果是allow,則表示僅在後面的地址列表中的地址允許訪問。第三列爲地址列表,用空格分隔開多個地址,可以是完整的IP地址或網段地址,也可以用網絡名來表示。通配符(*)和範圍符(-)在地址列表中被允許使用。
上面的例子是一個典型的移動智能網的SCP的限制配置,第一行shell用於配置rsh允許的地址,由於雙機兩臺主機之間需要使用rsh,因此必須保證雙機的兩臺主機的/var/adm/inetd.sec相互都包含對方的IP
第二行login用於配置rlogin允許的地址,由於雙機兩臺主機之間需要使用rlogin,因此必須保證雙機的兩臺主機的/var/adm/inetd.sec相互都包含對方的IP
第三行用於配置telnet允許的地址,這裏就是局方允許登錄的遠程終端的IP地址,可以根據需要配置。
第四行用於配置ftp允許的地址,根據需求配置。注意SMP需要訪問SCP的FTP服務、SMAP也需要訪問SMP的FTP服務、RBI要訪問SCP的FTP服務,因此SCP上需要加上SMP的地址,SMP需要加上SMAP的地址列表
3.修改/var/adm/inetd.sec文件的屬性,保證他人不可寫:
# chmod 444 /var/adm/inetd.sec
需要注意的是,我們使用此功能的目的是爲了限制某些客戶端的訪問,添加allow或deny務必保證原來需要訪問的主機包含在allow中或不在deny中。UNIX主機在收到用戶的登錄申請後,會根據服務名進行檢查,比如telnet(23)服務,如果發現配置文件中有telnet服務,而且配置了allow項,則接入的IP地址在allow項的list中,系統才允許此IP登錄,否則系統將不允許此IP連接;如果配置的是deny項,則接入的IP地址必須不在deny的list中,系統才允許此IP進行連接。
1.2 FTP服務,
FTP服務可以針對用戶進行設置,在HP-UX系統中,通過配置/etc/ftpd/fpaccess文件每行增加一個用戶名,系統將只允許此文件中配置的用戶進行FTP操作。需要注意在生產系統上實施時必須包含需要FTP的賬戶名稱。