AIX服务器常用访问与限制方法总结.docVIP

AIX服务器常用访问与限制方法总结 　　摘 要 本文通过解释加示例的方法，归纳总结了AIX系统远程访问工具的使用和限制方法，为日常的系统维护提供了一个便捷的知识库，对提高AIX系统运维能力将起到一定的帮助作用。 　　【关键词】telnet ftp rlogin ssh 使用 限制 　　1 概述 　　在AIX系统的日常管理环节中，除了系统管理员，其他用户一般较少使用控制台去管理应用，大多数情况下使用诸如telnet，rlogin，ftp，ssh等工具来远程登录进行操作。本文将从实例角度对这一系列常规工具的使用进行一个简单总结，提供一些有用经验，便于大家在日常工作中合理使用。示例所使用的AIX主机IP为；客户端主机IP为1； 　　2 telnet，ftp的使用和限制 　　2.1 telnet，ftp的使用方法： 　　通常情况下，只要inetd守护进程是开启的，我们便可以在客户端远程使用telnet和ftp命令。可以通过查看/etc/inetd.conf文件的相关行是否被”#”注释掉，如果没有注释掉缺省状态，说明开机时会自动启动相关服务。客户端使用命令的格式为：ftp 和telnet 。执行后通过输入用户名和密码就可以登录到AIX服务器上进行相关的操作了。 　　2.2 telnet，ftp的限制方法 　　2.2.1 根据用户名控制 　　2.2.2 根据IP地址控制 　　当然有时我们也需要通过IP地址来限制某一地址或某一地址范围的客户端来对AIX服务器进行远程登录操作，下面介绍两种常用的方法，来帮助实现这一功能。 　　 使用IP过滤包 　　要使用这个功能，首先得确认所处的系统已经安装了相应的文件包： .ipsec.rte和 bos.Net.ipsec.keymgt，首先通过smitty ipsec4启动ip安全服务，接下来通过lsdev -Cc ipsec检查过滤规则，正常情况下系统有两条缺省的规则，紧接着通过smitty ipsec4增加过滤规则，这是该方法最关键的地方。 　　2.2.2 使用Tcp_wrappers 　　Tcp_wrappers是在服务器向外提供的tcp服务上包装一层安全检测机制。外来连接请求首先通过这个安全检测，获得安全认证后才可被系统服务接受。要使用此功能我们必须安装tcp_wrappers文件包。在AIX系统中每当有ftp，telnet， rlogin等网络服务请求时，这种请求都被送到处于侦听状态的inetd守护进程，inetd再根据请求启动相应服务，这是unix默认的连接方式，在这个过程中没有管理员可以控制的部分。而在安装了Tcp_wrapper的主机上，管理员可以对上述服务加以控制，当Tcp_wrapper编译安装成功后，会生成一个tcpd程序，它可以在inetd.conf中取代in.telnetd的位置，每当有telnet的连接请求时，tcpd即会截获，先读取管理员所设置的访问控制文件，合乎要求则会把这次连接原封不动的转给真正的in.telnetd程序，由in.telnetd完成以后的工作。 　　Tcp_wrapper访问控制的实现是依靠两个配置文件/etc/hosts.allow和/etc/hosts.deny来实现的。 　　3 rlogin工具的使用和控制 　　rlogin与telnet，ftp等工具一样可以通过前述方法进行访问的限制，但rlogin不同于telnet，ftp它是一个完全的unix命令，可以依靠信任关系允许授权用户进入网络中其它有相同用户名的unix机器而无须进行密码验证。系统通过两个配置文件/etc/hosts.equiv和$HOME/.rhosts来实现这种信任。它们各自都是一个包含了信任主机名和用户名的列表文件。当有远程服务器想rlogin到本地服务器时，rlogind进程首先检查本机/etc/passwd中是否有远程的用户名，没有则拒绝访问，如果本机/etc/passwd中有远程的用户名，并且该用户名不是root，则先检查/etc/hosts.equiv，看里面是否存在远程主机名，如果存在，则允许访问。$HOME/.rhosts文件中如果是远程主机名+用户名的话，则远程主机上对应的那些用户都可以登录过来到本地主机，但是在本地主机上显示的用户权限是对应$HOME的那个本地用户，通过这一系列规则的合理应用，便可以很好的控制两个AIX系统间的用户的rlogin操作。 　　4 SSH工具的使用和控制 　　4.1 SSH工具说明 　　ftp和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人就可以截获这些口令和数据。SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH保护并且有助于防止欺骗，