摘 要 本文通过解释加示例的方法,归纳总结了aix系统远程访问工具的使用和限制方法,为日常的系统维护提供了一个便捷的知识库,对提高aix系统运维能力将起到一定的帮助作用。
【关键词】telnet ftp rlogin ssh 使用 限制
1 概述
在aix系统的日常管理环节中,除了系统管理员,其他用户一般较少使用控制台去管理应用,大多数情况下使用诸如telnet,rlogin,ftp,ssh等工具来远程登录进行操作。本文将从实例角度对这一系列常规工具的使用进行一个简单总结,提供一些有用经验,便于大家在日常工作中合理使用。示例所使用的aix主机ip为192.168.0.6;客户端主机ip为192.168.7.21;
2 telnet,ftp的使用和限制
2.1 telnet,ftp的使用方法:
通常情况下,只要inetd守护进程是开启的,我们便可以在客户端远程使用telnet和ftp命令。可以通过查看/etc/inetd.conf文件的相关行是否被”#”注释掉,如果没有注释掉缺省状态,说明开机时会自动启动相关服务。客户端使用命令的格式为:ftp 192.168.0.6和telnet 192.168.0.6。执行后通过输入用户名和密码就可以登录到aix服务器上进行相关的操作了。
2.2 telnet,ftp的限制方法
2.2.1 根据用户名控制
2.2.2 根据ip地址控制
当然有时我们也需要通过ip地址来限制某一地址或某一地址范围的客户端来对aix服务器进行远程登录操作,下面介绍两种常用的方法,来帮助实现这一功能。
2.2.2.1 使用ip过滤包
要使用这个功能,首先得确认所处的系统已经安装了相应的文件包: bos.net.ipsec.rte和 bos.net.ipsec.keymgt,首先通过smitty ipsec4启动ip安全服务,接下来通过lsdev -cc ipsec检查过滤规则,正常情况下系统有两条缺省的规则,紧接着通过smitty ipsec4增加过滤规则,这是该方法最关键的地方。
2.2.2 使用tcp_wrappers
tcp_wrappers是在服务器向外提供的tcp服务上包装一层安全检测机制。外来连接请求首先通过这个安全检测,获得安全认证后才可被系统服务接受。要使用此功能我们必须安装tcp_wrappers文件包。在aix系统中每当有ftp,telnet, rlogin等网络服务请求时,这种请求都被送到处于侦听状态的inetd守护进程,inetd再根据请求启动相应服务,这是unix默认的连接方式,在这个过程中没有管理员可以控制的部分。而在安装了tcp_wrapper的主机上,管理员可以对上述服务加以控制,当tcp_wrapper编译安装成功后,会生成一个tcpd程序,它可以在inetd.conf中取代in.telnetd的位置,每当有telnet的连接请求时,tcpd即会截获,先读取管理员所设置的访问控制文件,合乎要求则会把这次连接原封不动的转给真正的in.telnetd程序,由in.telnetd完成以后的工作。
tcp_wrapper访问控制的实现是依靠两个配置文件/etc/hosts.allow和/etc/hosts.deny来实现的。
3 rlogin工具的使用和控制
rlogin与telnet,ftp等工具一样可以通过前述方法进行访问的限制,但rlogin不同于telnet,ftp它是一个完全的unix命令,可以依靠信任关系允许授权用户进入网络中其它有相同用户名的unix机器而无须进行密码验证。系统通过两个配置文件/etc/hosts.equiv和$home/.rhosts来实现这种信任。它们各自都是一个包含了信任主机名和用户名的列表文件。当有远程服务器想rlogin到本地服务器时,rlogind进程首先检查本机/etc/passwd中是否有远程的用户名,没有则拒绝访问,如果本机/etc/passwd中有远程的用户名,并且该用户名不是root,则先检查/etc/hosts.equiv,看里面是否存在远程主机名,如果存在,则允许访问。$home/.rhosts文件中如果是远程主机名+用户名的话,则远程主机上对应的那些用户都可以登录过来到本地主机,但是在本地主机上显示的用户权限是对应$home的那个本地用户,通过这一系列规则的合理应用,便可以很好的控制两个aix系统间的用户的rlogin操作。
4 ssh工具的使用和控制
4.1 ssh工具说明
ftp和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人就可以截获这些口令和数据。ssh是替代telnet和其他远程控制台管理应用程序的行业标准。ssh保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。通过使用ssh把所有传输的数据进行加密,可以避免攻击,而且也能够
防止dns和ip欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。
4.2 aix下ssh的使用
4.2.1 服务器端的配置
要在aix下运行,我们首先得从ibm官方网站获取openssl软件包,并从网络获取openssh-aix软件包,依序安装openssl和openssh。待完成后,ssd命令位于/usr/sbin目录,配置文件位于/etc/ssh目录。默认系统自动启动ssh服务。可以通过lssrc –a|grep ssh查看服务状态。可以通过startsrc –s sshd和stopsrc –s sshd对服务进行启停操作。在服务正常启动后,我们就可以通过客户端工具来进行ssh操作。
4.2.2客户端工具的使用
不同于telnet,ftp在windows系统命令行下可以直接使用,ssh的客户端我们通常需要第三方工具,例如putty,securecrt都有广泛的使用,配置方式比较简单,按照向导便可顺利完成。当系统首次登录服务器端时,需要接受一次服务器密钥,可以选择接受一次或者接受并保存。输入密码后即可完成登录操作。
4.2.3 aix下ssh的限制
ssh提供两种限制用户访问的机制:deny和allow属性。这些关键词基于用户名和组列表。还可以像telnet和ftp一样使用tcp-wrappers来阻止已知和未知主机的连接。通常建议使用tcp-wrappers按主机名或ip阻止,使用sshd_config文件来实现即用用户和组的控制。
5 结束语
以上通过笔者在日常工作中的经验,对常用工具进行了简要总结。阐述了常用的远程登录命令和工具的使用及限制方法,具体的运用还需要在实践中不断
参考文献
[l]刘浩林.走入ibm小型机世界[m].电子工业出版社,2008.
作者单位
陕西法士特齿轮有限责任公司 陕西省西安市 710077
