方案四 以IP地址为对象,允许部分计算机向本机的部分用户的远程登录,允许其他计算机向本机普通用户的远程传输数据。
设置方法 设置步骤如下:
(1)参照方案三中的(1)、(2)两步的做法进行设置。
(2)对只允许部分计算机登录本机的某一用户的宿主目录下的.profile文件进行修改,加入以下内容
fhq=‘netstat -n|grep ESTABLISHED|awk’{print $5}'|cut -f1-4 -d. |head -1'
fhq=“(”$fhq“)”
fhqchk=‘grep $fhq /etc/.safe'
if [“$fhq”=“$fhqchk”]
then
echo
else
echo “警告:你的地址为$fhq禁止非法登录!”
exit
fi
(3)对禁止其他任何计算机登录本机的某一用户的宿主目录下的.profile文件进行修改,加入以下内容
ttychk=‘tty|grep ttyp'
if [“$ttychk” !=“”]
then
echo “警告:禁止非法登录!"
exit
fi
(4)参照方案三中的(4)、(5)两步的做法进行设置。
特点 对计算机的IP地址和用户同时进行过滤处理,应用范围更为广泛,可满足各种业务运行的需要,并具有较高的安全性。
方案五 以以太网地址为对象,允许部分计算机向本机的远程登录,允许其他计算机向本机普通用户的远程传输数据。
设置方法 设置步骤如下:
(1)参照方案三中的(1)、(2)两步的做法进行设置。
(2)把/etc/profile文件修改成以下内容
trap “”1 2 3
umask 022
fhq=‘netstat -n|grep ESTABLISHED|awk ’{print $5}'|cut -f1-4 -d. |head -1'
fhq=“(”$fhq“)”
ether=‘arp -a |grep $fhq |head -1|awk’{print $4}''
ether=“(”$ether“)”
fhqchk=‘grep $ether /etc/.safe'
if [“$ether”=“$fhqchk”]
then
echo
else
echo “警告:你的以太网地址为$ether禁止非法登录!”
exit
fi
case “$0” in
-sh | -rsh | -ksh | -rksh | /etc/profile)
[“X$HUSHLOGIN”!=“XTRUE”] && [ -s /etc/motd ] && {
trap : 1 2 3
echo“”# skip a line
cat /etc/motd
trap“”1 2 3
}
if [“X$HUSHLOGIN” !=“XTRUE”]
then
[ -x /usr/bin/mail ] && { # if the program is installed
[ -s “$MAIL” ] && echo “\nyou have mail”
}
if [“$LOGNAME”!=“root” -a -x /usr/bin/news ] # be sure it's there
then news -n
fi
fi
;;
-su)
:
;;
esac
trap 1 2 3
(3)创建/etc/.safe文件,加入允许登录的计算机的以太网地址,一个地址占一行,格式如下所示
(0:90:27:d3:b3:21)
(0:80:c8:e0:43:8e)
(4)执行下列命令
chmod a-w /etc/shcheck /etc/.safe
chmod u+x /etc/shcheck
chmod 0100 /bin/su
特点 以太网地址是计算机硬件地址,是每台计算机唯一确定的,而IP地址在一台计算机中可以有两个或更多,所以以以太网地址为对象对远程登录和远程传输数据进行过滤比用IP地址为对象要安全得多。
以上五种方案都已在Unix3.2/4.2和SCO Open Server5.0.4中测试通过,Unix系统管理者可以根据自己机器的实际情况从中任选一种建立Unix防火墙体系。以上方案中第三种和第四种应用较广,需要注意的是:如果选择了第三、第四和第五种方案,那么最好在多台相互间需要用telnet、login、ftp方式登录而又不允许其他计算机登录的机器上同时设置,从而组成一个局部的防火墙内控系统,以防止其他计算机非法间接登录,即先登录到已定义的计算机,再通过已定义的计算机最终登录到目标计算机。
【责编:Yoyo】 |
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2007-7-2 
