UNIX下如何通过IP限制用户远程登录

UNIX下如何通过IP限制用户远程登录

    在日常维护或安全加固行为中，我们往往需要通过对接入客户端的IP地址进行限制来实现系统的操作可以对应到执行操作的人员，本文汇总了IBM AIX、HP UX和SUN SOLARIS三种操作系统上如何通过IP来限制用户的远程登录的方法。

　　一、HP-UX

　　1.1 /var/adm/inetd.sec

　　在HP UX中，可以对IP地址和通过这个IP地址接入的服务进行限制。在HP系统中有一个配置文件inetd.sec，用于设置每一个服务允许或禁止被某些网络地址使用。在系统缺省安装中，这个文件内容为空或不存在，即系统缺省允许任意地址使用本机的任何服务。

　　设置方法：

　　1.检查/var/adm/inetd.sec是否存在，不存在则以root用户创建：

　　# touch /var/adm/inetd.sec

　　2.编辑/var/adm/inetd.sec文件，保证其中包含以下几行，例如：

　　shell allow 139.104.8.21 139.104.8.22

　　login allow 139.104.8.1-64 139.104.4.1-64

　　telnet allow 139.104.8.1-128 139.104.4.1-128

　　ftp allow 139.104.8.1-128 139.104.4.1-128

　　首先说明每一行各字段的含义，第一列是服务名，对应于/etc/services的第一列。第二列是权限，可以为allow或deny，如果是allow，则表示仅在后面的地址列表中的地址允许访问。第三列为地址列表，用空格分隔开多个地址，可以是完整的IP地址或网段地址，也可以用网络名来表示。通配符(*)和范围符(-)在地址列表中被允许使用。

　　上面的例子是一个典型的移动智能网的SCP的限制配置，第一行shell用于配置rsh允许的地址，由于双机两台主机之间需要使用rsh，因此必须保证双机的两台主机的/var/adm/inetd.sec相互都包含对方的IP

　　第二行login用于配置rlogin允许的地址，由于双机两台主机之间需要使用rlogin，因此必须保证双机的两台主机的/var/adm/inetd.sec相互都包含对方的IP

　　第三行用于配置telnet允许的地址，这里就是局方允许登录的远程终端的IP地址，可以根据需要配置。