大西瓜的杂货铺

面对众多的复杂环境，客户出于安全的考虑常常有很多特殊的需求，其中一个最常碰到的问题就是“我能否按照IP Address来确定是否允许其访问服务器？”客户通常可以根据用户名或者pty来设置是否允许访问，但是如果不能做到以IP Address 来做，那么当服务器被连到网上就可能被攻击。现在我们要介绍一个非常出色的软件 Tcp_Wrapper，它可以帮助我们实现完善的服务器访问策略。但是在我们 AIX 系统光盘中并没有包含这样的软件，Tcp_Wapper是在 Solaris, HP_UX以及 Linux中广泛流行的免费软件.我们强烈建议您把它作为您重要服务器的安全标准配置。

Tcp_wrapper是Wietse Venema开发的一个可用于各种Unix平台的免费软件，说起Tcp_wrapper的诞生，到有个小小的故事，大约在1990年，作者所在大学的服务器屡屡受到一个外来黑客侵入， 因为受害主机的硬盘数据屡次被rm –rf / 命令整个抹掉，所以找寻线索极为困难，直到有一天晚上Venema在工作的过程中无意中发现这个黑客在不断的finger 受害主机，偷窥受害者的工作，在那个时候一个想法诞生了：设计一个软件，使它可以截获发起finger请求的IP，用户名等资料，Venema 很快投入了工作,而Tcp_wrapper也由此出现!在这以后，Tcp_wrapper随着应用逐渐成为一种标准的Unix安全工具，成为unix守护程序inetd的一个插件.通过Tcp_wrapper,管理员可以设置对inetd提供的各种服务进行监控和过滤.

下面我们介绍Tcp_Wrapper在AIX上的安装和使用
第一步：下载
第二步：安装
第三步：配置
第四步：测试
第一步：下载

http://ftp.univie.ac.at/aix/download/aix43/tcp_wrappers-7.6.1.0.exe

第二步：安装
# ls
tcp_wrappers-7.6.1.0.exe
# chmod +x *exe
# ./tcp_wrappers-7.6.1.0.exe
UnZipSFX 5.32 of 3 November 1997, by Info-ZIP (Zip-Bugs@lists.wku.edu).
inflating: tcp_wrappers-7.6.1.0.bff
inflating: tcp_wrappers-7.6.1.0.bff.asc
# inutoc .
# installp -aXgd . all
+——————————————————————–+
Pre-installation Verification…
+——————————————————————–+
Verifying selections…done
Verifying requisites…done
Results…

SUCCESSES
———
Filesets listed in this section passed pre-installation verification
and will be installed.

Selected Filesets
—————–
freeware.tcp_wrappers.rte 7.6.1.0 # —-TCP/IP daemon security wrapp…

<< End of Success Section >;>;

FILESET STATISTICS
——————
1 Selected to be installed, of which:
—-1 Passed pre-installation verification
—-
1 Total to be installed
+——————————————————————–+
Installing Software…
+——————————————————————–+
installp: APPLYING software for:
——–freeware.tcp_wrappers.rte 7.6.1.0

. . . . . << Copyright notice for freeware.tcp_wrappers >;>; . . . . . . .

TCP WRAPPERS, version 7.6
Copyright (C) 1997 by Wietse Venema. All rights reserved.
(Some individual files may be covered by other copyrights.)

Plaese refer to the DISCLAIMER file delivered in the directory
/usr/local/lib/tcp_wrappers-7.6 for complete details. The README file
delivered in the same directory should also be read.

Packaging is Copyright (C) 1999 BULL SA. This LPP may not be redistributed
comercially. No warranty or support in any form is offered with this
LPP.

. . . . . << End of copyright notice for freeware.tcp_wrappers >;>;. . . .

Finished processing all filesets. (Total time: 2 secs).

+——————————————————————-+
Summaries:
+——————————————————————-+
Installation Summary
——————–
Name ————————Level —-Part—- -Event —–Result
——————————————————————–
freeware.tcp_wrappers.rte -7.6.1.0 —-USR ——APPLY —-SUCCESS

第三步：配置
# vi /etc/inetd.conf
modifty the two lines from
ftp —-stream -tcp6 -nowait -root -/usr/sbin/ftpd —–ftpd
telnet -stream -tcp6 -nowait -root -/usr/sbin/telnetd -telnetd -a
to the following
ftp —-stream -tcp6 -nowait -root -/usr/local/bin/tcpd -ftpd
telnet -stream -tcp6 -nowait -root -/usr/local/bin/tcpd -telnetd –a
# vi /etc/hosts.deny
all:all
# vi /etc/hosts.allow
telnetd:192.168.0.201:allow
ftpd:192.168.0.201:allow
# refresh –s inetd

第四步：测试
# /usr/local/bin/tcpdmatch ftpd 9.185.43.221
client: address 9.185.43.221
server: process ftpd
access: denied
# /usr/local/bin/tcpdmatch ftpd 192.168.0.201
client: address 192.168.0.201
server: process ftpd
access: granted
# /usr/local/bin/tcpdmatch telnetd 9.185.43.221
client: address 9.185.43.221
server: process ftpd
access: denied
# /usr/local/bin/tcpdmatch telnetd 192.168.0.201
client: address 192.168.0.201
server: process ftpd
access: granted

以上只是对访问控制文件的一个简单示例,您可以参看Tcp_wrapper的相应说明定制更为复杂并且有效的安全访问策略.