Linux1 telnet服务器Telnet服务的限制
凡是开放到Internet上的服务器,就需要对外提供各种各样的服务,允许用户安全有效的访问资源,但是,连接上Internet的同时,必然要面临来自网络的入侵和各种各样的病毒,信息资源的共享和分布处理增加了网络受攻击的可能性以及防范攻击的困难。为了保证服务器的安全运行,对服务器所提供服务的对象加以区分,设置服务范围,并给予相应的限制,可以有效的防范网络入侵。例如,在Telnet服务器端,设置不允许IP地址为“192.168.0.109”的计算机访问Telnet服务器,将来自次计算机的所有请求全部过滤掉,这样一些非法的入侵将被完全拒绝。
1.设置Telnet服务器的服务范围
设置Telnet服务的服务范围,是通过修改/etc/xinetd.d/telnet配置文件,设置“no_access”参数值和“only_from”参数值来实现的。在终端命令行中输入“vi /etc/xinetd.d/telnet”命令,打开文件。在本例中,设置只允许“192.168.0.0/24”网段访问Telnet服务器。在vi编辑器中,按“i”键,进入插入模式,并在文件中,输入“only_from = 192.168.0.0/24”,同时设置不允许IP地址为“192.168.0.109”的计算机访问,在vi编辑器中输入“no_access = 192.168.0.109”,然后按ESC键,退出插入模式,并输入“:”进入末行模式,在末行模式中,输入“wq”命令,保存配置并退出vi编辑器。当然,设置完成以后,还必须再次重启xinetd服务,使配置生效,如图14所示。
图14 设置服务范围
进行以上设置以后,只有属于“192.168.0.0/24”网段的计算机才能通过Telnet 方式访问服务器,并且,IP地址为“192.168.0.109”的计算机的连接请求将被服务器拒绝,
2.设置允许root用户登录Telnet服务器
root是Linux等类UNIX系统中的超级管理员用户账户,该账户拥有整个系统最大的权限。root用户可以操作所有的对象,所以很多黑客在入侵系统的时候,都要把权限提升到root权限,也就是将自己的非法账户添加到root用户组中。
administrator是windows内核系统中的超级管理员用户账户,也拥有最高的权限,但是,在windows下,administrator的资源和别的用户资源是共享的,简单的说,别的用户可以访问administrator的文件夹及文件,而在Linux中,普通用户是不能访问root用户的家目录(/root)下文件的,因此,Linux系统比Windows系统更加安全。
在Linux系统中,默认情况下是不允许root账户使用Telnet方式登录Linux计
算机的,如果需要root 账号登录Telnet 服务器,必须移除PAM 认证模块,root 账户才能成功登录。下面我们就通过重命名/etc/securetty 文件,设置允许root 账户登录Telnet 服务器,并使用root 账户进行登录测试。
移除PAM 认证模块非常简单,只需将pam 认证文件重命名即可实现。在终端命令行中,输入“mv /etc/securetty /etc/securetty.bak ”命令,并按【回车】键。如图
图15 重命名pam 认证文件
然后,在window 客户端,使用root 账户,登录Telnet 服务器,进行测试,确认已经取消了对root 账户的限制。在命令提示符下,输入“telnet 192.168.0.254 250”命令,并按【回车】键,然后根据提示,依次输入用户名“
root ”和“root ”账户的密码,按【回车】键,连接成功,命令提示符为“[root@localhost ~]#”,表明root 账户成功登录Telnet 服务器,如图16所示。
图16 使用root 用户登录Telnet 服务器
提 示
PAM (Pluggable Authentication Modules )是由Sun 提出的一种认证机制。它通过
提供一些动态链接库和一套统一的API ,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
