Solaris安全FAQ（下）

新客网 XKER.COM 2008-03-16 来源：新客网络学院 收藏本文

5.5) 限制通过网络进入系统
　　
　　telnet和ftp守护进程是从inetd进程启动的，inetd的配置文件是/etc/inetd.conf,还包含了其它的各种服务，所以你可以干脆移去这个文件，新建一个只包括以下两行的文件：

　　ftp stream tcp nowait root /usr/local/bin/tcpd /usr/local/bin/wu-ftpd
　　telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd

　　当然这是基于你需要telnet及ftp的基础上的，如果你连这两个服务都不用的话，你就可以将它注释掉或者删除，这样在系统启动的时候inetd甚至就起不来了:)

　　tcpd的访问控制是由/etc/hosts.allow和/etc/hosts.deny文件控制的，tcpd先查找/etc/hosts.allow，如果你在这里面允许了某几台主机的telnet或ftp访问的话，那么deny访问就是对其它所有机器的了。这是“默认拒绝”的访问控制策略，下面是一个hosts.allow文件的样本：

　　ALL: 172.16.3.0/255.255.255.0

　　这将允许172.16.3.0网络的主机上任何用户访问你的telnet及ftp服务，记住在这里要放置IP地址，因为域名比较容易受到欺骗攻击……

　　现在我们准备拒绝其余所有人的连接了，将下面的语句放在/etc/hosts.deny中：

　　ALL: ALL: /usr/bin/mailx -s "%d: connection attempt from %c" root@mydomain.com

　　这条指令不仅拒绝了其它所有的连接，而且能够让tcpd发送email给root——一旦有不允许的连接尝试发生时。

　　现在你可能希望用syslog记录下所有的访问记录，那么在/etc/syslog.conf放进如下语句：

　　auth.auth.notice;auth.info /var/log/authlog

　　注意两段语句间的空白是tab键，否则syslog可能会不能正常工作。

　　Sendmail将用以cron来调用sendmail来替代。

• ·服务器维护经验谈：认识Solaris 操作系统之一
• ·Solaris安全FAQ（下）
• ·Solaris安全FAQ（中）
• ·Solaris安全FAQ（上）
• ·SUN的PROM状态命令与参数
• ·关于Solaris的syslog机制
• ·solaris中的系统log日志原理分析
• ·solaris工具的安装,使用和注意事项
• ·Solaris卷管理
• ·SOLARIS下SSH的安装和自动运行
• ·Solaris日志介绍
• ·在Solaris下制作可使用pkgadd安装的软件包
• ·Solaris 的引导与初始化
• ·SUN Solaris 2.6系统的克隆方法
• ·手把手教你Solaris 10安装(概述篇)
• ·RoseHA（for Solaris）快速安装指引