AIX操作系统安全配置手册

《AIX操作系统安全配置手册》由会员分享，可在线阅读，更多相关《AIX操作系统安全配置手册（25页珍藏版）》请在装配图网上搜索。

1、AIX操作系统安全配置手册许新新 xuxinxin201168 版本号：V1.0目 录1。 引言22。 用户管理22.1 用户账号安全设置22.2 删除一个用户账号32。3 禁止root用户直接登录42。4 用户登录审计42.5 密码规则设置62.6 文件和目录的默认访问权限62.7 用户错误登录次数过多导致账号被锁定72。8 查看密码的上次修改时间72。9 chpasswd和pwdadmin命令的使用83. 网络安全93。1 安装SSH文件集并设置93.2 TELNET和SSH的安全性比较103.3 禁止TELNET、FTP、RLOGIN等网络服务113。4 限制某些用户FTP登录123.5

2、 设置目录的FTP访问权限123.6 将用户FTP访问限定在自己的HOME目录153。7 实现基于IP地址的访问控制153。8 查看当前的TCPIP网络连接184. 系统安全管理194。1 设置用户终端长时间不操作后自动退出194。2 设置NTP网络时钟协议204.3 停止NFS服务224.4 设置用户limits参数234。5 wtmp文件的使用241。 引言 AIX作为IBM Power系列开放平台服务器的专用操作系统，属于UNIX操作系统的一个商业版本。作为企业级服务器的操作平台，安全性是AIX必备的一个重要特性。 由于我们的小型机上往往运行着客户的核心生产业务，因此对于系统的安全设置往

3、往会有着严格的要求.2. 用户管理AIX是一个多用户操作系统,多个用户要在同一个系统环境中协同工作,用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制，都是AIX操作系统不可或缺的功能.2。1 用户账号安全设置为了保证整个操作系统的安全，每个用户账号必须满足如下安全设置要求：（1）每个系统管理员应该设置单独的账号，不允许多个管理员共用一个账号;(2）root用户不允许直接登录，必须通过其他用户登录后，通过su命令获得root用户权限;（3）禁用或者删除不使用的系统账号；（4)设置必要的密码规则.AIX操作系统在安装成功后,默认就会创建一些用户，用户的基本信息保存在/etc/passwd

4、文件中。其中root和bin用户是不可以删除的，其他用户都可以安全地删除或者屏蔽掉,以避免这些系统默认用户账号由于存在弱口令等问题，被黑客所攻击。其中第二列中“！表示该用户已经设置了密码，“*”表示该用户还没有设置密码。# cat /etc/passwdroot:！：0：0：/:/usr/bin/kshdaemon:!：1：1:：/etc：bin:！:2:2:：/bin:sys:!：3：3：/usr/sys:adm：！：4：4:：/var/adm：uucp：！：5：5:：/usr/lib/uucp:guest：！：100:100:：/home/guest：nobody:!：4294967294

5、：4294967294：:/：lpd:！:9：4294967294:：/:lp：11:11：:/var/spool/lp：/bin/falseinvscout：6：12:/var/adm/invscout：/usr/bin/kshsnapp：200：13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappdipsec：201:1：:/etc/ipsec:/usr/bin/kshnuucp:7：5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole：*:8：0：/va

6、r/adm/pconsole:/usr/bin/kshesaadmin：:10：0:：/var/esa：/usr/bin/ksh#AIX操作系统在安装的时候，会默认建立一些用户组，用户组的基本信息保存在/etc/group文件中，其中system和bin组是不可以删除的.# cat /etc/groupsystem:!：0:root,pconsole，esaadminstaff：！：1：ipsec,esaadmin，sshd,user1,oraclebin:!:2:root，binsys：！：3:root,bin，sysadm：!:4:bin,admuucp:!：5：uucp,nuucpmai

7、l:!:6：security：！：7：rootcron：！:8：rootprintq:！：9:lpaudit：!：10：rootecs:！:28：nobody:！:4294967294：nobody，lpdusr:!：100:guestperf：!:20：shutdown:!:21:lp：!：11:root,lpinvscout:！:12:invscoutsnapp:！：13：snappipsec:!：200：pconsole：!:14：pconsole#2.2 删除一个用户账号要删除或者禁用一个用户账号，可以使用三个办法：（1）使用rmuser命令删除用户，格式为 rmuser p user

8、_name。这会删除/etc/passwd和/etc/group文件中关于该用户的内容，同时删除/etc/security/passwd文件中关于该用户的内容.但是该用户的home目录并不会被删除，需要使用rmdir的命令去删除该用户的home目录。（2）编辑/etc/passwd文件，在需要删除的用户名前加上“#注释符.建议使用第二种方法，因为第二种方法只是注释掉需要删除的用户，此后该用户将无法登录系统,但与该用户相关的信息并不删除,当需要恢复该用户的登录功能时，只需要把/etc/passwd文件中该用户名前的“”注释符删除即可.（3）编辑/etc/passwd文件，把需要删除的用户的默认s

9、hell设置为/bin/false./bin/false是一个系统空文件,并不是有效的shell程序,因此当该用户登录系统后,由于无法打开shell而登录失败。2。3 禁止root用户直接登录禁止root用户直接登录系统,必须使用普通用户登录后，使用su命令切换到root用户权限设置方法是编辑/etc/security/user配置文件中的login、rlogin和su属性.在该文件的头部,详细描述了每一个参数的含义.其中login属性是设置是否允许用户通过本地console登录，本地console包括显示器或者串口。rlogin属性是设置是否允许用户远程登录，远程登录方式包括rlogin和t

10、elnet,不包括SSH等其他远程登录方式。su属性是设置是否允许该用户通过su命令获得其他用户的权限。 login Defines whether the user can login。 Possible values : true or false。 rlogin Defines whether the user account can be accessed by remote logins。 Commands rlogin and telnet support this attribute.* Possible values: true or false。 su Defines whe

11、ther other users can switch to this user account。 * Command su supports this attribute.* Possible values： true or false.2。4 用户登录审计在/var/adm/wtmp文件中记录了所有用户的登录时间、登录方式、源IP地址信息。而在/var/adm/sulog文件中，记录了使用su命令切换用户权限的时间点。wtmp文件不是纯文本文件，需要使用who命令来查看。sulog文件是纯文本文件,可以使用cat命令直接查看。结合/var/adm/wtmp文件和/var/adm/sulog

12、文件的输出，就可以确切地判断出在某个时间段是谁获得了root操作权限.启用EXTENDED_HISTORY=ON环境变量，记录用户的命令行操作。在每个用户的HOME目录下都有一个.sh_history的文本文件,记录了该用户的所有命令行操作。默认情况下，EXTENDED_HISTORY环境变量处于OFF状态。因此在.sh_history文件中只包含执行的命令,不包含时间点。cat 。sh_historywhoamiexitexitpasswderrptioscansu -whoamisarsar 3su whoamiwhereis sarsar 3。将环境变量EXTENDED_HISTORY设

13、置为ON后，.sh_history文件中就会包含该用户所执行的命令已经时间点。使用命令fc t 1000可以查看本用户最近1000条执行的命令。fc -t -100021 2011/04/09 14：45：07 ： vi ntp。conf22 2011/04/09 14：46：21 :： cat ntp。conf23 2011/04/09 14：46：35 ：: startsrc -s xntpd24 2011/04/09 14：46：46 ： lssrc -agrep ntp25 2011/04/09 14:46:58 :： lssrc -ls xntpd26 2011/04/09 14：4

14、7:21 ：: set -o vi27 2011/04/09 14:47:24 ：: lssrc -ls xntpd28 2011/04/09 14:47:26 :： lssrc -ls xntpd29 2011/04/09 14：47：27 ：: lssrc ls xntpd30 2011/04/09 14:47:29 ： lssrc ls xntpd31 2011/04/09 14:47:30 :： lssrc ls xntpd32 2011/04/09 14：47：32 ： lssrc ls xntpd33 2011/04/09 14:47：34 : lssrc -ls xntpd34

15、2011/04/09 14:47：35 : lssrc -ls xntpd35 2011/04/09 14：47：36 ：: lssrc ls xntpd36 2011/04/09 15:28：53 ：: lssrc ls xntpd37 2011/04/09 15:29：02 : lssrc ls xntpd38 2011/04/09 15:31：05 ：: vi ntp。conf.。每个用户的$HOME目录下还有一个smit.log文件,这个文件记录了该用户通过smit菜单所做的所有操作.这是一个文本文件，通过VI文本编辑器可以直接查看和修改。2.5 密码规则设置AIX支持对密码的复杂度、

16、重复次数、生命期等进行限制，以提高密码被破解或者盗取的难度。AIX最多支持8位密码,多于8位之后的内容将被自动忽略。在/etc/security/user文件存在设置密码规则的参数。logintimes：定义一个用户在某一时间段内允许登录pwdwarntime：定义在密码到期前多少天提醒用户密码即将到期account_locked：定义一个用户是否被锁定loginretries：定义连续多少次输入错误密码后锁定该用户账号histexpire:定义相同密码在多少周内不允许重复使用histsize:定义相同密码在多少次内不允许重复使用minage:定义密码的最少生命期，单位为周，即限制用户频繁更改

17、密码.maxage：定义密码的最大生命期，单位为周，即强迫用户定期修改密码。maxexpired：定义密码超过最大生命期后，多少周内允许用户修改密码.如果在此期间用户没有修改密码，则该用户账号被锁定。minalpha：定义密码中最少包含多少个数字和字母（0-9，az，A-Z）。minother：定义密码中最少包含多少个特殊字符。minlen：定义密码的最小长度。mindiff:定义新密码与旧密码间至少有多少个字符是不同的。maxrepeats：定义同一个字符在密码中可以最多重复出现多少次.dictionlist：定义密码字典,密码字典为一个文本文件,需要用户来编辑该密码字典，出现在密码字典中的

18、条目将不允许作为密码使用。pwdchecks：定义外部的密码限制方式。建议的密码规则参数如下:minlen=6minalpha=1mindiff=1minother=1pwdwarntime=5maxage=13histsize=5loginretries=62。6 文件和目录的默认访问权限 当用户创建一个文件或者创建一个目录时，AIX会自动给该文件或者目录赋予默认的访问权限,为了提高系统安全,建议设置文件的默认访问权限为600，目录的默认访问权限为700，即只允许属主用户读、写和执行，对于其他用户默认禁止所有权限。这需要修改/etc/security/user文件的umask参数。默认uma

19、sk参数值为022，umask是使用八进制数据代码设置的，。目录的默认访问权限等于八进制代码777减去umask值；文件的默认权限等于八进制代码666减去umaks值。要使默认访问权限为700，则需要修改/etc/security/user文件的umask值为077。2.7 用户错误登录次数过多导致账号被锁定当设置了用户密码规则loginretries,当用户的连续错误登录次数累计到该值后,该用户就会被自动锁定，必须由root用户来解锁。用户的错误登录信息保存在文件/etc/security/lastlog文件中,time_last_login：该用户上次成功登录时间tty_last_logi

20、n：该用户上次成功登录的端口host_last_login：该用户上次成功登录的源地址unsuccessful_login_count：该用户连续失败的登录次数，当用户登录成功后该值即清0time_last_unsuccessful_login：该用户上次失败的登录时间tty_last_unsuccessful_login：该用户上次失败的登录端口host_last_unsuccessful_login：该用户上次失败登录的源地址root: time_last_login = 1307599235 tty_last_login = ftp host_last_login = ：:ffff：9。

21、125.1。251 unsuccessful_login_count = 0 time_last_unsuccessful_login = 1307599199 tty_last_unsuccessful_login = ftp host_last_unsuccessful_login = ：:ffff:9.125.1。251 如果一个用户已经因为连续失败登录次数过多被锁定,那么可以使用root用户直接修改/etc/security/lastlog文件，将unsuccessful_login_count修改为0即可。2。8 查看密码的上次修改时间 在系统文件/etc/security/pass

22、wd中记录有每个用户登陆密码的加密形式,以及上次修改密码的时间，我们以root为例： root: password = hVvR/QGnSNKlE flags = lastupdate = 1200982154 此处,lastupdate为上次密码修改时间，以epoch time表示。 Epoch time是从Epoch（新纪元时间,传说中的标志Unix时代开端的那个拂晓）开始计算起,单位为秒，Epoch则是指定为1970年一月一日凌晨零点零分零秒，格林威治时间。我们可以通过下面的命令来转换epoch time： perl -le print scalar localtime 12009821

23、54 Tue Jan 22 06：09:14 2008 所以，root用户上次修改密码是在2008年1月22日上午06：09:14.使用命令 date +”s”，就可以将当前日期转换为从1970年1月1日0：00开始的秒数。注意:AIX5.3版本才有此参数$ date +”s1290988961$ dateMon Nov 29 08：02:46 BEIST 2010$ perl -le print scalar localtime 1290988961Mon Nov 29 08:02:41 2010$ 也可以使用chsec命令手动修改用户的上次密码修改时间戳，而无需更改密码。命令格式如下：ch

24、sec f /etc/security/passwd s root a lastupdate=1307665547即修改/etc/security/passwd文件中root用户段的lastupdate属性,设置值为1307665547。2.9 chpasswd和pwdadmin命令的使用使用passwd命令来修改用户密码，进入的是交互模式。对于希望使用脚本来批量修改或定时修改密码的操作,使用chpasswd命令会更加快捷，因为这个命令不要交互操作，也不需要重复输入两次相同密码使用chpasswd命令修改用户密码的命令格式为：echo user_name:new_password” | chp

25、asswd例如echo ”ftp：passw0rd chpasswd,就是给用户ftp设置密码为passw0rd。pwdadmin命令用来查看和设置某个用户的密码属性。例如要查看一个用户的密码属性,可以使用命令pwdadmin q .#pwdadm q ftp ftp： lastupdate = 1307634431 flags = ADMCHG 可以看到ftp用户的密码修改时间为1307634431；同时flags=ADMCHG说明该用户密码为root管理员所设置,当该ftp用户第一次登录系统时，会强制用户修改密码。AIX Version 5Copyright IBM Corporation

26、， 1982， 2007.login: ftpftps Password： compat: 3004610 You are required to change your password. Please choose a new one.ftps New password: 在用chpasswd命令设置用户密码时，可以加上c参数，这样就会去掉flags=ADMCHG参数,当该用户第一次登录系统时就不会强制修改密码了。#echo ftp：abcd1234 chpasswd c #pwdadm q ftpftp: lastupdate = 1307635016#3. 网络安全3。1 安装SSH文

27、件集并设置 在AIX的缺省安装情况下，只安装了telnet服务，用于对系统的远程管理。如果需要使用更加安全的SSH服务，则需要另外安装openssl和openssh软件包。openssl文件位于AIX Toolbox for Linux Applications安装光盘中，也可以从AIX Web Download Pack Programs页面下载，下载地址：https:/www14。 openssh文件位于AIX 5L V5.3 Expansion Pack安装光盘中，也可以从sorceforge开源软件网站下载：http：/sourceforge。net/projects/openssha

28、ix/files/默认情况下，ssh软件包安装之后会自动随AIX操作系统启动。即AIX重启后，自动启动ssh服务。使用命令lssrc g ssh来查看sshd后台守护进程是否启动。默认情况下，AIX使用SSH2协议。安装ssh成功后，不需要进行额外的配置，其他主机就可以通过SSH2协议访问22端口来远程登录。 要实现禁止root用户通过SSH直接登录，需要编辑SSH配置文件/etc/ssh/sshd_config，找到“PermitRootLogin yes”行，去掉该行前面的注释符“”，并将yes修改为no。需要重新启动sshd服务，才能使新的配置文件生效stopsrc s sshdstar

29、tsrc s sshd此时root用户将不能直接SSH登录，必须首先使用普通用户登录，然后“su -”转为root用户权限.此外,我们还可以编辑/etc/ssh/sshd_config文件的下列参数，实现安全配置。Protocol 2：使用ssh2版本X11Forwarding yes:允许窗口图形传输使用ssh加密IgnoreRhosts yes:完全禁止SSHD使用。rhosts文件RhostsAuthentication no：不设置使用基于rhosts的安全验证RhostsRSAAuthentication no：不设置使用RSA算法的基于rhosts的安全验证HostbasedAut

30、hentication no：不允许基于主机白名单方式认证PermitRootLogin no：不允许root登录PermitEmptyPasswords no：不允许空密码Banner /etc/motd:设置ssh登录时显示的banner3。2 TELNET和SSH的安全性比较TELNET协议使用明文(ASCII码)来传递数据,因此只要使用TCPIP嗅探工具就可以从telnet的数据包中找到用户名和密码。AIX中自带的iptrace工具就可以实现这个功能。iptrace使用比较简单，可以针对特定的网络接口、特定的源地址、目的地址、端口进行数据包的抓取。使用命令:iptrace -a s 1

31、0。60。28.47 -b -p telnet telnet.trace1参数的含义是：忽略arp数据包，只抓取与10.60.28.47相关的数据包（抓包在IP为10。60。28.45的机器，telnet客户端来自10.60。28。47），p参数指定了只监听telnet服务的端口，当然这里也可以直接用端口号23代替telnet，最后把生成的日志文件保存为telnet.trace1。接下来，我们去10.60。28。47上运行telnet客户端连接10.60。28。45几秒钟后，停掉iptrace进程，命令为“kill 15 iptrace进程号.然后把生成的日志文件转换为文本文件，命令为：ipr

32、eport -sn telnet。trace1telnet.report1Packet Number 86ETH: =( 70 bytes transmitted on interface en0 ）= 13:18:40。399148726ETH: 00：14:5e:5f:66：82 - 00：14:5e：d1:4a:36 type 800 （IP）IP： TCP： th_win=17520, th_sum=0, th_urp=0TCP: 00000000 726f6f74 27732050 61737377 6f72643a |roots Password：|Packet Number 87

33、ETH: =( 60 bytes received on interface en0 ）= 13:18:40.399387222ETH： 00:14:5e:d1:4a：36 00:14:5e:5f:66：82 type 800 （IP）IP: （AIX33_bt1)IP: ip_v=4, ip_hl=20, ip_tos=16， ip_len=45, ip_id=49545, ip_off=0 DFIP： ip_ttl=60, ip_sum=218c， ip_p = 6 （TCP)TCP： source port=46047, destination port=23(telnet） TCP:

34、th_seq=4287740177, th_ack=519673054TCP: th_off=5, flags cd /test250 CWD command successful。ftp lcd /testLocal directory now /testftp dir200 PORT command successful.150 Opening data connection for /bin/ls.total 29472-rwr-r- 1 root system 7539356 Apr 24 19:42 trace。rrwrwrw- 1 root system 880640 Apr 24

35、 19：41 trace.raw-rwrw-rw 1 root system 1158232 Apr 24 19:41 trace.raw-0rwrwrw- 1 root system 1059928 Apr 24 19：41 trace.raw-2rwrw-rw- 1 root system 1050952 Apr 24 19：41 trace。raw3-rw-rw-rw 1 root system 1195440 Apr 24 19：41 trace。raw4rw-rwrw 1 root system 2196288 Apr 24 19:41 trace。raw-5226 Transfer

36、 complete。ftp bin200 Type set to I.ftp get trace。raw200 PORT command successful.150 Opening data connection for trace.raw （880640 bytes).226 Transfer complete。880852 bytes received in 0。08342 seconds （1.031e+04 Kbytes/s）local: trace。raw remote： trace.rawC.进行写入传输，则遭遇报错ftp bin200 Type set to I.ftp put

37、 trace。raw-1200 PORT command successful。550 Write access denied（2）设置一个目录为ftp只写A。 编辑/etc/ftpaccess.ctl，加入如下一行:writeonly： /testB. ftp连接服务器进行读取传输，则遭遇报错HA_node2/ ftp 172.16.18。13Connected to 172.16。18。13.220 DumpServer FTP server （Version 4。2 Fri Feb 3 22:13:23 CST 2006） ready。Name (172。16。18.13：root）:

38、root331 Password required for root。Password:230-Last unsuccessful login： Tue May 13 08:44：37 2008 on /dev/pts/1 from 9.181.50.139230Last login： Tue May 13 15：45：37 2008 on ftp from :ffff：172.16.18.11230 User root logged in.ftp cd /test250 CWD command successful。ftp lcd /testLocal directory now /test

39、ftp dir200 PORT command successful。150 Opening data connection for /bin/ls.total 29472-rw-r-r 1 root system 7539356 Apr 24 19：42 trace.rrwrwrw- 1 root system 880640 Apr 24 19:41 trace.raw-rw-rw-rw- 1 root system 1158232 Apr 24 19：41 trace.raw0rw-rwrw- 1 root system 1059928 Apr 24 19：41 trace。raw-2-r

40、w-rwrw- 1 root system 1050952 Apr 24 19:41 trace。raw3-rw-rwrw- 1 root system 1195440 Apr 24 19:41 trace。raw4rwrwrw- 1 root system 2196288 Apr 24 19：41 trace。raw5226 Transfer complete。ftp bin200 Type set to I。ftp get trace.raw2200 PORT command successful.550 Read access deniedC。进行写入传输,成功ftp bin200 Ty

41、pe set to I.ftp put trace.raw-1200 PORT command successful。150 Opening data connection for trace。raw1。226 Transfer complete.880640 bytes sent in 0。07938 seconds （1.083e+04 Kbytes/s）local: trace。raw-1 remote： trace.raw1ftp dir200 PORT command successful.150 Opening data connection for /bin/ls.total 3

42、1192rw-rr- 1 root system 7539356 Apr 24 19:42 trace。rrwrw-rw 1 root system 880640 Apr 24 19:41 trace.raw-rwrw-rw- 1 root system 1158232 Apr 24 19:41 trace。raw-0-rwr- 1 root system 880640 May 13 15:53 trace.raw1rwrw-rw- 1 root system 1059928 Apr 24 19：41 trace.raw2-rwrwrw- 1 root system 1050952 Apr 2

43、4 19：41 trace。raw3-rwrwrw 1 root system 1195440 Apr 24 19:41 trace。raw4rw-rw-rw- 1 root system 2196288 Apr 24 19:41 trace.raw5226 Transfer complete。3.6 将用户FTP访问限定在自己的$HOME目录（1)创建并编辑ftpaccess.ctl#touch /etc/ftpaccess。ctlvi /etc/ftpaccess.ctl添加下面一行，列出需要限制的用户名：useronly: ftpuser1,ftpuser2(2）为了使限制在自己HOME

44、目录的用户FTP登陆时，仍然可以使用ls命令查看当前目录的文件列表，需要做如下设置：拷贝ls可执行文件到该用户的HOME目录：# mkdir bin# chown root bin cp /bin/ls HOME/bin/ls# chmod 111 $HOME/bin/ls# chmod 555 HOME/bin chgrp system $HOME/bin拷贝库函数文件到该用户的HOME目录：# mkdir lib# chmod 555 lib# chgrp system HOME/lib cp /lib/libc。a lib/libc.a cp /lib/libcurses.a lib/l

45、ibcurses。a# cp /lib/libcrypt。a lib/libcrypt.a3。7 实现基于IP地址的访问控制要实现只允许来自某个IP源地址的TELNET或者FTP访问，AIX自身没有简单的方法可以实现此功能.可以通过安装一个第三方的开源软件Tcp_Wrapper来实现此功能，它可以帮助我们实现完善的服务器访问策略.Tcp_Wapper是在 Solaris、HP_UX和Linux中广泛流行的免费软件.Tcp_wrapper随着应用逐渐成为一种标准的Unix安全工具，成为UNIX守护程序inetd的一个插件。通过Tcp_wrapper，管理员可以设置对inetd提供的各种服务进行监

46、控和过滤。第一步:下载http:/ftp。univie。ac.at/aix/download/aix43/tcp_wrappers-7。6。1。0.exe （158KB)第二步:安装# lstcp_wrappers7.6.1.0。exe# chmod +x *exe# 。/tcp_wrappers7.6.1。0.exeUnZipSFX 5.32 of 3 November 1997, by Info-ZIP （ZipBugslists.wku。edu）。inflating： tcp_wrappers-7.6。1.0。bffinflating: tcp_wrappers7.6.1。0。bff。a

47、sc inutoc .# smitty installp第三步：配置# vi /etc/inetd。conf修改下面两行关于ftp和telnet的设置:ftp stream tcp6 nowait root /usr/sbin/ftpd ftpdtelnet stream tcp6 nowait root /usr/sbin/telnetd telnetd a更改为下面的格式：ftp stream tcp6 nowait root /usr/local/bin/tcpd ftpdtelnet stream tcp6 nowait root /usr/local/bin/tcpd telnetd

48、 -a编辑允许登录的主机IP地址列表和拒绝登录的主机IP地址列表 vi /etc/hosts。denyall：all vi /etc/hosts。allowtelnetd：192.168。0.201：allowftpd:192.168.0.201:allow refresh s inetd第四步：测试# /usr/local/bin/tcpdmatch ftpd 9.185.43.221client： address 9.185。43.221server: process ftpdaccess： denied# /usr/local/bin/tcpdmatch ftpd 192.168。0。2

49、01client: address 192.168。0。201server： process ftpdaccess: granted# /usr/local/bin/tcpdmatch telnetd 9.185.43.221client： address 9.185.43。221server: process ftpdaccess: denied /usr/local/bin/tcpdmatch telnetd 192.168。0。201client： address 192.168.0.201server: process ftpdaccess： grantedTcp_wrapper软件检测访问控制规则的顺序1. Access will be allowed when a host and service matches an entry in the /etc/hosts。allow file.2. Access will be denied when a service and client matches an entry in the /etc/hosts.deny file.3。 All access will be granted.Tcp_wrapper的日志1。 tail /var/adm/messagesrootsvr06:/ 501