| 要ftp不要telnet如何设? | | 发布日期:2005-3-28 浏览:328次 | | 关键字: | 作者:woju(躲起来了)看板:BSD
标题:Re:[help]请教要ftp不要telnet如何设?
时间:SunFeb1516:21:251998
※引述《demonhuang.bbs@csie.nctu.edu.tw(小黄)》之铭言:
:==>在haha.bbs@bsd.hs.ntnu.edu.tw(haha)的文章中提到:
::我想让使用者只用ftp进来主机
::但不让这些使用者用telnet进来主机
::(but有些使用者还是可以让它进来)
::对於这些特别的使用者如何设定呢???
:把那些使用者的shell改掉.like/noexistence..
刚好最近也在处理类似的ftp/login机制,除了传统做法--改loginshell外,
还可配合其它机制的辅助让loginaccesscontrol更有弹性。
/nonexistent
/sbin/nologin
是典型的nologinshells,若要让ftpaccount能正常使用得在/etc/shells
有对应的entries。
ftp://FreeBSD.ntu.edu.tw/freebsd/woju/source/telnetd.tgz
有更新,修改了safe_exit()让denytry的「代价」少一点:
safe_exit(intn)
{
structrtpriorp;
rp.prio=RTP_PRIO_MAX;
rp.type=RTP_PRIO_REALTIME;
rtprio(RTP_SET,0,&rp);
rp.type=RTP_PRIO_NORMAL;
rtprio(RTP_SET,0,&rp);
rp.type=RTP_PRIO_IDLE;
rtprio(RTP_SET,0,&rp);
setgid(65534);
initgroups("nobody",65534);
chroot("/usr/local/srclocal/telnetd");
chdir("/");
setuid(65534);
setpriority(PRIO_PROCESS,0,20);
setpriority(PRIO_PGRP,0,20);
setpriority(PRIO_USER,0,20);
execl("/telnets",0);
sleep(60);
exit(n);
}
setgid/chroot/setuid将程式切换到较安全的状态。
rtprio/setpriority将prio/nice调到最大,也就是让这个process吃量
少的系统(cpu)资源。
execl将telnetd换成telnets,节省记忆体(vsz/rss)的使用,telnets非常小,
主要的任务是「拖时间&省资源」。
telnet://bbs.ee.ntu.edu.twBSD板精华区
http://bbs.ee.ntu.edu.tw/cgi-bin/bbs2html_cgi?boards/BSD/
->3.◆FreeBSD快速入门(由网路安装FreeBSD)
->7.◇[fromzero]telnetd
有相关的资料。
接下来谈的和原问题有较直接的关--/etc/login.access
较保守的设定例如下:
:woju:.ee.ntu.edu.tw
-:wheel:ALLEXCEPTlocalfreebsd.ee.ntu.edu.tw
-:ALL:ALLEXCEPTLOCAL
login.access的特性是"firstmatch",从第一行开始比对,如果match就直接
returnresult,所以我们应将「特例」量往前放,是「通用性的规则」该
放後头。
login.access的格式为
perm( |-):users:origins
以上面的例子来说,第一行woju可以从*.ee.ntu.edu.twlogin,第二行wheel
group只能从local或freebsd.ee.ntu.edu.twlogin,第三行拒绝所有remote
login。
manlogin.access有更详细的说明。
要特别说明的是origins会先使用domainname,若查不到domainname*才*会
使用ip,也就是我们*不能*使用ip来代表有domainname的主机,举例说:
-:wheel:ALLEXCEPTlocal140.112.19.123
将*无法*让wheelgroup的人从140.112.19.123(freebsd.ee.ntu.edu.tw)
login。
此外请记得将/etc/inetd.confrlogin相关的entries全关掉,rlogind不
认得/etc/login.access。
--------------------------------------------------------------------------------吴庆鸿,woju@freebsd.ee.ntu.edu.tw|台大电机,http://bbs.ee.ntu.edu.tw
| | 关键字: |
|
