Unix操作系統(tǒng)管理客戶端

 在Unix操作系統(tǒng)中，可以利用兩個(gè)文件來統(tǒng)一管理客戶端的連接。誰可以訪問Unix服務(wù)器，都有這兩個(gè)文件說了算。也就是說，這Hosts.allow與Hosts.deny兩個(gè)文件就好像是Unix服務(wù)器的“看門狗”，它決定了哪些客戶端可以訪問Unix服務(wù)器，哪些則不行。

筆者在描述這兩個(gè)文件的工作流程時(shí)，各位讀者不知道有沒有注意一個(gè)問題。當(dāng)客戶端的信息在兩個(gè)文件中都沒有定義的時(shí)候，Unix操作系統(tǒng)服務(wù)器最終是否允許連接呢?答案是可以連接。也就是說，Unix操作系統(tǒng)服務(wù)器有一個(gè)默認(rèn)的策略，當(dāng)在以上兩個(gè)文件中都找不到相關(guān)的紀(jì)錄時(shí)，則服務(wù)器最終是允許客戶端進(jìn)行連接的。

這就會(huì)造成一個(gè)安全的隱患。如上面財(cái)務(wù)管理軟件這個(gè)案例。企業(yè)可能只允許四個(gè)財(cái)務(wù)人員與系統(tǒng)管理員可以連接到財(cái)務(wù)管理軟件服務(wù)器。為此Unix操作系統(tǒng)管理員就只在Hosts.allow文件中定義了這五個(gè)用戶的信息。而在hosts.deny文件中沒有定義其他信息。此時(shí)采購部的某個(gè)用戶其能否訪問這臺(tái)Unix服務(wù)器呢?首先Unix操作系統(tǒng)會(huì)查詢hosts.allow文件，發(fā)現(xiàn)沒有這個(gè)客戶端的相關(guān)信息。此時(shí)Unix服務(wù)器就會(huì)去查詢hosts.deny文件的信息。

由于在這個(gè)文件中也沒有明確定義用戶不能夠訪問Unix服務(wù)器，故Unix操作系統(tǒng)又會(huì)放行。最后的結(jié)果就是采購用戶可以訪問財(cái)務(wù)管理軟件的服務(wù)器系統(tǒng)。這個(gè)結(jié)果顯然跟系統(tǒng)管理員的本意不符。

筆者上面談到過，這兩個(gè)文件的處理機(jī)制跟思科防火墻的訪問控制列表類似。但是在這方面則是一個(gè)最大的不同。在思科路由器等網(wǎng)絡(luò)設(shè)備中的防火控制列表，其默認(rèn)情況下是全部拒絕的。也就是說，如果其前面沒有匹配選項(xiàng)的話，則其最后采用拒絕全部用戶連接電策略。而現(xiàn)在Unix操作系統(tǒng)對這個(gè)兩個(gè)文件的處理過程則剛好相反。默認(rèn)情況下，其是允許用戶進(jìn)行連接的。

即如果前面兩個(gè)文件都沒有客戶端信息的話，則最終將允許這個(gè)客戶端連接到Unix服務(wù)器中。這顯然對于Unix操作系統(tǒng)服務(wù)器不怎么安全。為了避免這種情況，筆者建議在hosts.deny文件的尾部最好能夠添加ALL:ALL一句。

這個(gè)表示默認(rèn)情況下拒絕所有客戶端連接到Unix操作系統(tǒng)服務(wù)器中。如此的話，第一個(gè)文件定義允許的客戶端;第二個(gè)文件定義拒絕的客戶端(默認(rèn)情況下為所有客戶端都拒絕連接)。這就可以保證只有第一個(gè)文件中定義的客戶端才可以連接到Unix服務(wù)器，就不會(huì)有漏網(wǎng)之魚了。當(dāng)然這是對于安全要求比較要的企業(yè)或者服務(wù)器來說。

而對于像文件服務(wù)器這種多個(gè)部門需要用到的管理軟件，則不能夠這么設(shè)置。因?yàn)槠淠J(rèn)情況下是所有客戶端都可以連接到文件服務(wù)器，故要把hosts.deny文件中的ALL:ALL參數(shù)去掉。

如果Unix操作系統(tǒng)需要限制某些客戶端的連接(如某個(gè)員工要離職了，為了防止其對文件服務(wù)器中的文件進(jìn)行故意損壞，就會(huì)中斷這個(gè)員工跟服務(wù)器的連接)，則可以以顯示的方式在hosts.deny這個(gè)文件中加入這個(gè)信息。拒絕這個(gè)客戶端再次連接到Unix服務(wù)器中。