AIX服务器常用访问和限制方法总结

摘 要 本文通过解释加示例的方法，归纳总结了AIX系统远程访问工具的使用和限制方法，为日常的系统维护提供了一个便捷的知识库，对提高AIX系统运维能力将起到一定的帮助作用。

【关键词】telnet ftp rlogin ssh 使用 限制

1 概述

在AIX系统的日常管理环节中，除了系统管理员，其他用户一般较少使用控制台去管理应用，大多数情况下使用诸如telnet，rlogin，ftp，ssh等工具来远程登录进行操作。本文将从实例角度对这一系列常规工具的使用进行一个简单总结，提供一些有用经验，便于大家在日常工作中合理使用。示例所使用的AIX主机IP为192.168.0.6；客户端主机IP为192.168.7.21；

2 telnet，ftp的使用和限制

2.1 telnet，ftp的使用方法：

通常情况下，只要inetd守护进程是开启的，我们便可以在客户端远程使用telnet和ftp命令。可以通过查看/etc/inetd.conf文件的相关行是否被”#”注释掉，如果没有注释掉缺省状态，说明开机时会自动启动相关服务。客户端使用命令的格式为：ftp 192.168.0.6和telnet 192.168.0.6。执行后通过输入用户名和密码就可以登录到AIX服务器上进行相关的操作了。

2.2 telnet，ftp的限制方法

2.2.1 根据用户名控制

2.2.2 根据IP地址控制

当然有时我们也需要通过IP地址来限制某一地址或某一地址范围的客户端来对AIX服务器进行远程登录操作，下面介绍两种常用的方法，来帮助实现这一功能。

2.2.2.1 使用IP过滤包

要使用这个功能，首先得确认所处的系统已经安装了相应的文件包： bos.net.ipsec.rte和 bos.Net.ipsec.keymgt，首先通过smitty ipsec4启动ip安全服务，接下来通过lsdev -Cc ipsec检查过滤规则，正常情况下系统有两条缺省的规则，紧接着通过smitty ipsec4增加过滤规则，这是该方法最关键的地方。

2.2.2 使用Tcp_wrappers

Tcp_wrappers是在服务器向外提供的tcp服务上包装一层安全检测机制。外来连接请求首先通过这个安全检测，获得安全认证后才可被系统服务接受。要使用此功能我们必须安装tcp_wrappers文件包。在AIX系统中每当有ftp，telnet， rlogin等网络服务请求时，这种请求都被送到处于侦听状态的inetd守护进程，inetd再根据请求启动相应服务，这是unix默认的连接方式，在这个过程中没有管理员可以控制的部分。而在安装了Tcp_wrapper的主机上，管理员可以对上述服务加以控制，当Tcp_wrapper编译安装成功后，会生成一个tcpd程序，它可以在inetd.conf中取代in.telnetd的位置，每当有telnet的连接请求时，tcpd即会截获，先读取管理员所设置的访问控制文件，合乎要求则会把这次连接原封不动的转给真正的in.telnetd程序，由in.telnetd完成以后的工作。

Tcp_wrapper访问控制的实现是依靠两个配置文件/etc/hosts.allow和/etc/hosts.deny来实现的。

3 rlogin工具的使用和控制

rlogin与telnet，ftp等工具一样可以通过前述方法进行访问的限制，但rlogin不同于telnet，ftp它是一个完全的unix命令，可以依靠信任关系允许授权用户进入网络中其它有相同用户名的unix机器而无须进行密码验证。系统通过两个配置文件/etc/hosts.equiv和$HOME/.rhosts来实现这种信任。它们各自都是一个包含了信任主机名和用户名的列表文件。当有远程服务器想rlogin到本地服务器时，rlogind进程首先检查本机/etc/passwd中是否有远程的用户名，没有则拒绝访问，如果本机/etc/passwd中有远程的用户名，并且该用户名不是root，则先检查/etc/hosts.equiv，看里面是否存在远程主机名，如果存在，则允许访问。$HOME/.rhosts文件中如果是远程主机名+用户名的话，则远程主机上对应的那些用户都可以登录过来到本地主机，但是在本地主机上显示的用户权限是对应$HOME的那个本地用户，通过这一系列规则的合理应用，便可以很好的控制两个AIX系统间的用户的rlogin操作。

4 SSH工具的使用和控制

4.1 SSH工具说明

ftp和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人就可以截获这些口令和数据。SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。通过使用SSH把所有传输的数据进行加密，可以避免攻击，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。

4.2 AIX下SSH的使用

4.2.1 服务器端的配置

要在AIX下运行，我们首先得从IBM官方网站获取openssl软件包，并从网络获取openssh-aix软件包，依序安装openssl和openssh。待完成后，ssd命令位于/usr/sbin目录，配置文件位于/etc/ssh目录。默认系统自动启动ssh服务。可以通过lssrc –a|grep ssh查看服务状态。可以通过startsrc –s sshd和stopsrc –s sshd对服务进行启停操作。在服务正常启动后，我们就可以通过客户端工具来进行ssh操作。

4.2.2客户端工具的使用

不同于telnet，ftp在Windows系统命令行下可以直接使用，SSH的客户端我们通常需要第三方工具，例如Putty，SecureCRT都有广泛的使用，配置方式比较简单，按照向导便可顺利完成。当系统首次登录服务器端时，需要接受一次服务器密钥，可以选择接受一次或者接受并保存。输入密码后即可完成登录操作。

4.2.3 AIX下SSH的限制

SSH提供两种限制用户访问的机制：Deny和Allow属性。这些关键词基于用户名和组列表。还可以像telnet和ftp一样使用Tcp-Wrappers来阻止已知和未知主机的连接。通常建议使用Tcp-Wrappers按主机名或IP阻止，使用sshd_config文件来实现即用用户和组的控制。

5 结束语

以上通过笔者在日常工作中的经验，对常用工具进行了简要总结。阐述了常用的远程登录命令和工具的使用及限制方法，具体的运用还需要在实践中不断

参考文献

[l]刘浩林.走入IBM小型机世界[M].电子工业出版社，2008.

作者单位

陕西法士特齿轮有限责任公司 陕西省西安市 710077