限制 TCP IP 服务

在开放网络中,任何工作站都可以从网络上的其他计算机请求服务。 可以使用 TCP/IP 协议提供许多服务。 其中一些服务(例如 rlogin、rcp、rsh、ftp、telnet 和 rexec 等)对所有基于 UNIX 的操作系统来说是通用的。 而另一些服务由内部和第三方软件提供。
cminder12901cn
在开放网络中,任何工作站都可以从网络上的其他计算机请求服务。 可以使用 TCP/IP 协议提供许多服务。 其中一些服务(例如 rlogin、rcp、rsh、ftp、telnet 和 rexec 等)对所有基于 UNIX 的操作系统来说是通用的。 而另一些服务由内部和第三方软件提供。
CA ControlMinder 在主机计算机上拦截 TCP/IP 的接受进程,并决定接受程序是应正常继续,还是应覆盖。 CA ControlMinder 基于适用于您定义的主机和服务的访问规则做出决定。 您可以在数据库中创建 TCP/IP 访问规则以指定允许从特定计算机接收服务(如文件传输、远程登录以及远程 shell)的计算机和网络。
以下示例显示如何定义和设置 TCP/IP 访问规则以有效阻止不受欢迎的外来者 。 如果您还没有时间开发一个完整的数据库,您可能希望让任何未在数据库中定义的工作站接收任何服务。 如果是这样,按如下方式设置 UACC 类中的 HOST 记录:
chres UACC HOST defaccess(READ)
要对来自本地主机的 TCP/IP 服务应用访问规则的工作站定义于数据库中 HOST 类下的记录中。 对于这些每个工作站,在记录中列出允许的服务。 例如,下列命令序列定义工作站 ws5 的记录,并拒绝让它接收来自本地主机的任何 TCP/IP 服务:
newres HOST ws5 authorize HOST ws5 service(*) access(NONE)
以下命令允许 ws5 执行对本地计算机执行 telnet:
authorize HOST ws5 service(telnet)
这些设置允许用户 telnet 到本地计算机,这意味着远程用户在使用本地系统之前必须指定用户名和密码。 要允许工作站接收来自本地计算机的所有 TCP/IP 服务,您可以在服务关键字中使用星号。 例如,以下命令允许 ws5 从本地计算机调用任何 TCP/IP 服务:
authorize HOST ws5 service(*)
可以通过多种方式调用服务,其中一些方式会涉及
端口号
。 端口号是服务的标识号。 所有服务都有端口号,端口号映射到文件 /etc/services 中的服务。 您可以通过以下方式指定服务:
  • 通过文件 /etc/services 中定义的名称
  • 通过其端口号
  • 通过端口号范围
  • 通过 /etc/rpc 系统文件中列出的 RPC 端口
例如,以下命令允许 ws5 接收端口号在 7045 和 7050 之间的任何 TCP/IP 服务:
authorize HOST ws5 service(7045-7050)
在许多情况下,一次定义一个主机组并设置其权限会更经济,而不是分别为每台计算机设置权限。 CA ControlMinder 提供 GHOST 类,其中每个 GHOST 记录都定义一个主机组。 要定义一个 GHOST 记录并将主机添加到其成员列表中,请输入以下命令:
newres GHOST gh1 mem(ws2, ws3, ws5) authorize GHOST gh1 service(ftp)
newres 命令定义了一个名为 gh1 的主机组,包含成员 ws2、ws3 和 ws5。 authorize 命令允许所有三个工作站接收 ftp(文件传输)服务。
管理主机组比管理单个工作站更容易,但为了提供更大的灵活性,CA ControlMinder 还支持网络访问规则的定义。 网络定义在 HOSTNET 类中。 例如,考虑下面一组命令:
newres HOSTNET hn1 mask(255.555.0.0) match(192.168.0.0) authorize HOSTNET hn1 service(*) access(NONE) authorize HOSTNET hn1 service(ftp)
  • 在第一行中,newres 命令定义名为 hn1 的网络。 使用其掩码和匹配值,它指定 IP 地址前两个限定符为 192.168 的任何计算机都将视为来自 hn1 网络。
  • 第二个和第三行的组合允许 hn1 网络中的任何工作站在主机计算机中执行 ftp,但不允许执行任何其他服务。
CA ControlMinder 提供的另一个定义 TCP/IP 访问规则的方法是名称模式访问规则。 CA ControlMinder 支持在 HOSTNP 类中使用通配符定义通用记录(主机名称模式)。
注意:
有关 CA ControlMinder 如何执行字符串匹配的信息,请参阅《
selang 参考指南
》。
例如,下列命令序列允许名称以字符 lin 开头并以字符 org.com 结尾的所有主机接收本地主机上的所有 TCP/IP 服务:
newres HOSTNP lin*.org.com authorize HOSTNP lin*.org.com service(*).
注意:
NIS 管理的主机必须由其在 NIS 映射中显示的正式名称标识,而非其别名。 下节中的图表总结了 TCP/IP 检查流。