SA-238读书笔记7

科学球

[这个贴子最后由科学球在 2002/10/26 05:01pm 编辑]

管理远程访问发布

在网络上有着更多的访问，这对远程系统用户来说是有益的。无论如何，无限制的访问和共享的数据和资源都需要考虑安全问题。

本地主机的远程安全办法一般是从远程系统用户基于验证，限定，或者块操作等方法。

下面列举了三个为操作基本的安全发布提供某些方法包括远程访问本地系统的用户的网络文件：

。/etc/hosts.equiv文件
。$HOME/.rhosts文件
。/etc/ftpusers文件

/etc/hosts.equiv和$HOME/.rhosts文件
一般的，当一个远程用户需要登陆访问到一个本地主机，本地主机读的第一个文件是/etc/passwd文件。从远程登陆的用户在文件中都有一个已经生效的条目。如果有一个密码和这个用户关联。那么，用户就必须提供正确的密码才能访问系统。

当用户名不在远程主机的/etc/passwd中，则访问拒绝。

/etc/hosts.equiv和$HOME/.rhosts文件是另外一种使用基本密码验证的方法。如果远程用户允许访问本地主机，则和本地用户一致。

这些文件提供一个远程鉴定程序来进行决定。

这个程序第一个检查/etc/host.equiv文件，然后在需要访问本地用户的home目录检查$HOME/.rhosts文件。基于这两个文件包含的信息（如果他们存在），决定是否允许用户访问系统。

/etc/hosts.equiv文件适用于整个系统，而个别用户可以在他们的home目录中维护他们自己的$HOME/.rhosts文件。

远程访问鉴别（书上有个流程图，在3-69），如图。

进入/etc/hosts.equiv和$HOME/.rhosts
当/etc/hosts.equiv和$HOME/.rhosts文件具有相同的格式时，相同的条目在不同的文件中有不同的效果。

常规格式包括下面的条目
。2个文件都有一个一行的条目，他们可能是下面条目中的一种：   
   hostname
   hostname username
   +
。如果只使用了hostname，那么所有的用户都信任指定的主机 ，提供他们已知的本地主机
。如果hostname和username都使用了，那么只有指定的远程用户从指定的远程主机可以访问到本地主机
。一个文件中只包含了一个单独的加号，任何一个在网络上的远程主机是被信赖的。

/etc/hosts.equiv文件
对于正常的用户，/etc/hosts.equiv文件通常是定义远程主机和远程用户是被信赖的

如果本地主机的/etc/hosts.equiv文件包含一个远程主机名，那么在远程主机上的所有的正常用户是被信赖的并且不需要密码就可以登陆到本地主机。每个远程用户在本地主机上已知；其他的都被拒绝访问。（？？没看懂）

这在正常用户在多个不同系统上有帐号的情况下是非常有用的，排除在网络上传送二进制密码的安全风险。

/etc/hosts.equiv文件默认是不存在的，如果远程用户需要访问本地主机的话，就建立文件。

$HOME/.rhosts文件

/etc/hosts.equiv文件适用于广泛的非root用户，.rhosts则适用于指定的用户

所有的用户包括root，都可以自己的home目录中建立并且维护他们自己的.rhosts文件

例子：如果用户从远程主机运行rlogin程序并且获得root权限访问到本地主机，程序就会在root的本地主机的home目录中检测/.rhosts文件。

如果远程主机名在文件中列表，他就被认为是可信赖主机并且允许远程的用户访问，在这个过程中的root访问，是在本地主机上得到的。

$HOME/.rhosts文件默认是不存在的，需要用户在自己的home目录中建立。

限制FTP登陆

Solaris操作系统提供一个叫做/etc/ftpusers的ASCII文件。ftpusers文件列出的是禁止运行FTP登陆到系统的用户名。

在文件中的每一行包括一个被限制的用户名

当ftp会话被调用的时候，FTP服务器in.ftpd守护进程会读这个ftpusers文件，如果登陆名与列表中的一个匹配，就拒绝会话，并返回“login faild”信息。

默认的，ftpusers文件包括下列系统帐号：
root；daemon；bin；sys；adm；lp；uucp；nuucp；listen；nobody；noaccess；nobody4

可以添加任何用户名；这些条目中的帐号必须是在/etc/passwd文件中存在的。

因为Solaris 8新的安全策略不允许root登陆，所以root也被包括在/etc/ftpusers文件中。

如果在/etc/ftpusers中删除root条目，那么root登陆权限就将被允许，/etc/default/login文件肯定反映远程root登陆权限。

/etc/shells文件
/etc/shells文件包含的是系统中shell的列表。在实际应用中，例如sendmail和ftp，可以使用这个文件来决定一个shell是不是有效的。

这个文件默认是不存在的。

建立文件时，希望认可的每个shell必须有一个单独的条目行，条目行由shell的路径组成。
#touch /etc/shells
/sbin/sh
/bin/sh
/bin/ksh

当/etc/ftpusers文件禁止某个用户ftp连接的时候，可以建立一个/etc/shells文件来允许只有那些运行了在文件中定义了的shell的用户进行ftp连接。

如果某个shell不在这个文件中，那么任何用户运行了这个未定义的shell都将不能允许利用ftp连接到系统。

复习
在进入下一模块之前，检查一下在这一章都学到了什么
。建立/var/adm/loginlog文件来保存不良的登陆企图
。使用finger，last和rusers来监视系统的使用
。使用su命令在系统上改变成root或者其他用户
。修改/etc/default/login文件来限制用户的访问
。使用id命令和groups来定义用户和他们的组成员
。使用chown和chgrp命令分别的改变文件的所有者或文件的所属组
。解释setuid，setgid和Sticky Bit是如何建立文件安全机制的
。在文件上建立，更改和删除ACLs
。通过维护三个基本网络文件来控制远程登陆访问：/etc/hosts.equiv，$HOME/.rhosts和/etc/ftpusers

第三章虽然结束了，但是我有很多地方不明白。
1。ACL到底有什么用？没彻底看明白啊
2。/etc/hosts.equiv是用来定义主机间信任关系的吗？
3。id命令能够帮助我做什么呢？他返回的数值，比我直接去看/etc/passwd文件来的更快吗？
4。setuid我的理解正确吗？是不是一种用户身份的切换呢？
希望老师们能给解答一下，谢谢。

此诗虽然思想陈旧了些，但仍不愧是我辈中人的警讯，故转贴于此，以做勉励。

训蒙幼学诗
天子重賢豪  文章教爾曹  萬般皆下品  惟有讀書高
幼小須勤學  文章可立身  滿朝朱子貴  盡是讀書人
教子以詩書  何勞更外圖  但教仙桂在  終是勝耕鋤
養子教讀書  書中有金玉  一子受皇恩  全家食天祿
養子切須教  莫嫌家裏貧  手拈一管筆  到處不求人
七歲應神童  天生我性聰  有才朝聖主  何必謁侯公
朝為天舍郎  暮登天子堂  將相本無種  男兒當自強
鑿山通大海  鍊石補青天  世上無難事  人心自不堅
昔日一貧儒  今乘駟馬車  鄉人皆嘆惜  養子教詩書
刮鏡光方徹  淘沙始見金  世人如欲學  須用下真心
一舉登科日  雙親未老時  歷階趨宰輔  猶掛老來衣
昨日堯階試  今朝掛綠袍  歸來親未老  方信讀書高
直上蟾宮去  藍袍惹桂香  花街紅粉女  爭看綠衣郎
衫長堪掃地  袖大好搖風  有志朝天子  無心謁相公
神童衫子短  袖大惹春風  未去朝天子  先來謁相公
來歲春三月  花香襯馬蹄  有人在平地  看我上雲梯
暖日浮金殿  和風動玉除  宮娥調雅樂  帝子誦詩書
一看欄干絕  清風水際間  白雲飛過去  天外見青山
花開蝶滿枝  花卸蝶還稀  惟有堂前燕  主人貧亦歸
詩酒琴棋客  風花雪月天  有名閒富貴  無事小神仙
往事多如夢  流年只斷魂  不堪春日盡  細雨又黃昏
盡值春多雨  催殘花易空  不知春態度  猶在雨陰中
人皆苦炎熱  我愛夏日長  薰風自南來  殿閣生微涼
向曉鋪階濕  如煙障碧天  幾回芳草上  珠樣不勝圓
楓落吳江冷  霜橫楚岸寒  晴煙飛水面  愛日上雲端
任人舒復卷  筆落似蠶聲  寫盡相思字  因風寄有情
七札弓何勇  千鈞弩不強  手持七寸管  容易達朝堂
香膠和汞煙  擣作方圓片  日日漸消磨  自身卻不見
紫石為奇硯  無痕妙處多  煩君收什取  免被別人磨
有過不能改  知賢不肯親  雖生人世上  未得謂之人
荷德如山重  承恩似海深  莫將風火性  燒斷歲寒心
山色無遠近  看山終日行  峰巒隨處改  行客不知名
九日龍山飲  黃花笑逐臣  醉看風落帽  舞愛月留人
一日今年始  一年前事空  淒涼百年事  應與百年同

maskgod

好

yuxiaodan

下次什么时候贴诗？

科学球

倒,等着看诗呢?

降龙十八掌

不，我等着看SA-238读书笔记8

libby

太崇拜你了！

jijian2

如果本地主机的/etc/hosts.equiv文件包含一个远程主机名,那么在远程主机上的所有的正常用户是被信赖的并且不需要密码就可以登陆到本地主机。每个远程用户在本地主机上已知；其他的都被拒绝访问。（？？没看懂）
以我的理解, hosts.equiv是开放权限的用户表,如不在文件中, 无权访问.

fly796

如果本地主机的/etc/hosts.equiv文件包含一个远程主机名，那么在远程主机上的所有的正常用户是被信赖的并且不需要密码就可以登陆到本地主机。每个远程用户在本地主机上已知；其他的都被拒绝访问。（？？没看懂）

我的理解是倘若本地主机的passwd文件已经包含有要登陆的远程用户的条目是，才可以不需要密码直接登陆本地主机

不知对否，请领导来看一下

nothing

“一个文件中只包含了一个单独的加号，任何一个在网络上的远程主机是被信赖的“

旋风

/etc/host.equiv 文件决定了特定主机上哪些用户被允许访问“r”命令。该文件中的每一条都可能以“+”或“-”开头。
command format:
                  hostname [username]