tcp-warpper（TCP包装器）.docVIP

tcp-warpper（TCP包装器） ftpd: : allow the in.rshd:: / usr / local / sbin / safe _ finger - @% h | usr / ucb / mail darktide @ the 而hosts.deny为:: the 我们来解释一下这两个文件的意思, hosts.allow中第一行是指对telnet来讲, 对telnetd的服务被许可在10.68.32这个c的范围.第二行意思是对ftp而言, 允许这个ip地址的连接.第三行in.rshd这一部分语法稍微复杂一些, 它的意思是外界任何一个ip每次试图使用rsh连接本系统的时候系统会finger发起连接请求的远程用户, 并立即将结果发mail到一个管理员的远程信箱yiming @ 371.net, 我们知道, 管理员之所以这么做, 是因为一般试图进行rsh的连接, 都是有很大的潜在危险性的, 这说明也许系统已经被人入侵, 并安插了.rhosts文件了, 这很危险 所以对管理员来说, 这种连接需! 要引起极大的注意. hosts.deny文件中的all: all表示除了这些以外, 拒绝来自任何地方的任何服务.上面是对访问控制文件的一个简单说明, 管理员可根据需要灵活运用, 也可以参看tcp _ wrapper的相应说明定制更为复杂的控制策略.同时需要指出的是, 如果需要象上例中设置对rsh的这种finger, mail功能, 是需要在makefile中打开language extension的. 二、tcp _ wrapper的安装 (8月15日) 下面来讲讲tcp _ wrapper的安装 首先, 我们从可信站点下载tcp _ wrappers, 如, ftp: / / / pub / security / tcp _ wrappers _ 7.6.tar.gz (目前最新的版本是7.6) 我们假设你的主机已有了各种所需的编译工具, cc (或gcc) make (或gmake), gzip等, 如果使用solaris的读者主机上没有这些工具, 可到下载它们, 使用其它unix系统亦可到相关站点下载.我们在得到tcp _ wrapper包后, 用gzip和tar将压缩包解开, 会生成tcp _ wrapper目录, 进入目录, 我们需要编辑makefile文件, 使它合乎我们的工作要求.编辑的基本工作可以分为3步. 1: 在makefile的头一部分我们可以看到real _ daemon _ dir的描述, 它表明了unix系统中真正的守护程序所在位置, 即上面提到的第六个分隔段的守护进程所在目录, solaris中这些守护程序的目录是 / usr / sbin, 所以我们将sysv.4 solaris 2.x osf aix前的 # 注释号去掉, 即下面的形式: # ultrix 4.x sunos 4.x convexos 10.x dynix / front rack # real _ daemon _ dir = / usr / etc # # sysv.4 2.x osf aix solaris real _ daemon _ dir = / usr / sbin # # bsd 4.4 # real _ daemon _ dir = / usr / libexec # # hp-ux sco unicos # real _ daemon _ dir = / etc 2: 在makefile 中查找facility = log _ mail这几个关键字, tcp _ wrapper的纪录功能就是由这里实现的, 系统默认是使用solaris的mail精灵来做连接纪录的, 但这样会造成tcp _ wrapper的连接纪录和系统的mail日志混杂在一起, 不利于管理员分辨.所以建议还是选用一个solaris中未使用的local精灵.我们在这里使用local3, 即facility = log _ local3, severity级别保持info级别不变.在读者的机器上可视情况而定用何种精灵. After modifying the following form: LOG_XXX names below are # The taken from the /usr/include/syslog.h file. FACILITY= LOG_LOCAL3 #LOG_MAIL is what most sendmail daemons use The syslog priority at which successful # connections are logged. SEVERITY= LOG_INFO L