在开放网络中,任何工作站都可以请求网络上其他计算机的服务。 可以使用 TCP/IP 协议提供许多服务。 其中一些服务(例如 rlogin、rcp、rsh、ftp、telnet 和 rexec 等)对所有基于 UNIX 的操作系统来说是通用的。 其他服务由内部和第三方软件提供。
CA ControlMinder 在主机上拦截 TCP/IP 的接受过程,并确定应该以正常方式继续还是覆盖接受程序。 CA ControlMinder 根据管理您定义的主机和服务的访问规则做出决策。 您可以在数据库中创建 TCP/IP 访问规则,以指定允许接收来自特定计算机的服务(例如文件传输、远程登录以及远程 shell)的计算机和网络。
以下示例显示如何定义和设置 TCP/IP 访问规则,以便有效地阻止不受欢迎的外来者。 如果您还没有时间开发一个完善的数据库,则可能需要使没有在数据库中定义的某个工作站来接收所有服务。 如果是这样,请设置 UACC 类中的 HOST 记录,如下所示:
chres UACC HOST defaccess(READ)
具有本地主机 TCP/IP 服务访问规则的工作站在数据库中 HOST 类下的记录中定义。 对于其中的每个工作站,将在记录中列出允许的服务。 例如,下列命令序列定义工作站 ws5 的记录,并禁止它接收来自本地主机的任何 TCP/IP 服务:
newres HOST ws5 authorize HOST ws5 service(*) access(NONE)
下列命令允许 ws5 对本地计算机执行 telnet:
authorize HOST ws5 service(telnet)
这些设置允许用户通过 telnet 访问本地计算机,这意味着远程用户必须先指定用户名和密码才能使用本地系统。 为了使工作站可以接收来自本地计算机的所有 TCP/IP 服务,您可以在服务关键字中使用星号。 例如,下列命令允许 ws5 调用来自本地计算机的任何 TCP/IP 服务:
authorize HOST ws5 service(*)
可以使用几种方法指定服务,其中有些方法需使用端口号。 端口号是服务的标识号。 所有服务都有端口号,而端口号被映射到文件 /etc/services 中的服务。 您可以采用下列方式指定服务:
例如,下列命令允许 ws5 接收端口号在 7045 和 7050 之间的任何 TCP/IP 服务:
authorize HOST ws5 service(7045-7050)
在许多情况下,定义主机组并一次设置其权限而非分别为每台计算机设置权限,这种方式更为经济。 CA ControlMinder 提供 GHOST 类,其中每个 GHOST 记录都定义一个主机组。 要定义一个 GHOST 记录并向其成员列表中添加主机,请输入以下命令:
newres GHOST gh1 mem(ws2, ws3, ws5) authorize GHOST gh1 service(ftp)
newres 命令定义包含成员 ws2、ws3 和 ws5 的主机组 gh1。 authorize 命令允许全部三个工作站接收 ftp(文件传输)服务。
管理主机组比管理单个工作站更容易,但为了提供更大的灵活性,CA ControlMinder 还支持定义网络访问规则。 在 HOSTNET 类中定义网络。 例如,考虑下面一组命令:
newres HOSTNET hn1 mask(255.555.0.0) match(192.168.0.0) authorize HOSTNET hn1 service(*) access(NONE) authorize HOSTNET hn1 service(ftp)
CA ControlMinder 提供的另一种定义 TCP/IP 访问规则的方法是名称‑模式访问规则。 CA ControlMinder 支持在 HOSTNP 类(主机名模式)中使用通配符定义通用记录。
注意:有关 CA ControlMinder 如何执行字符串匹配的信息,请参阅《selang 参考指南》。
例如,下列命令序列允许名称以字符“lin”开始并以字符“.org.com”结束的任何主机接受本地主机上的所有 TCP/IP 服务:
newres HOSTNP lin*.org.com authorize HOSTNP lin*.org.com service(*).
注意:由 NIS 管理的主机必须按它们在 NIS 映射中显示的正式名称而不是别名来标识。 下一节中的图表总结了 TCP/IP 检查流程。
|
版权所有 © 2013 CA。
保留所有权利。
|
|