在 haha.bbs@bsd.hs.ntnu.edu.tw (haha) 的文章中提到: : : 我想讓使用者只用ftp 進來主機 : : 但不讓這些使用者用telnet 進來主機 : : (but有些。要 ftp 不要 telnet 如何設(shè)?。" />

日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

要 ftp 不要 telnet 如何設(shè)?

云知道

※ 引述《demonhuang.bbs@csIE.nctu.edu.tw (小黃)》之銘言:
: ==> 在 haha.bbs@bsd.hs.ntnu.edu.tw (haha) 的文章中提到:
: : 我想讓使用者只用ftp 進來主機
: : 但不讓這些使用者用telnet 進來主機
: : (but有些使用者還是可以讓它進來)
: : 對於這些特別的使用者如何設(shè)定呢???
: 把那些使用者的 shell 改掉 .like /noexistence ..
剛好最近也在處理類似的 ftp/login 機制,除了傳統(tǒng)做法 -- 改 login shell 外,
還可配合其它機制的輔助讓 login access control 更有彈性 。

/nonexistent
/sbin/nologin
是典型的 no login shells,若要讓 ftp account 能正常使用得在 /etc/shells
有對應(yīng)的 entries 。

ftp://FreeBSD.ntu.edu.tw/freebsd/woju/source/telnetd.tgz
有更新,修改了 safe_exit() 讓 deny try 的「代價」少一點:

safe_exit(int n)
{
struct rtprio rp;

rp.prio = RTP_PRIO_MAX;
rp.type = RTP_PRIO_REALTIME;
rtprio(RTP_SET, 0, &rp);
rp.type = RTP_PRIO_NORMAL;
rtprio(RTP_SET, 0, &rp);
rp.type = RTP_PRIO_IDLE;
rtprio(RTP_SET, 0, &rp);
setgid(65534);
initgroups("nobody", 65534);
chroot("/usr/local/srclocal/telnetd");
chdir("/");
setuid(65534);
setpriority(PRIO_PROCESS, 0, 20);
setpriority(PRIO_PGRP, 0, 20);
setpriority(PRIO_USER, 0, 20);
execl("/telnets", 0);
sleep(60);
exit(n);
}

setgid/chroot/setuid 將程式切換到較安全的狀態(tài) 。

rtprio/setpriority 將 prio/nice 調(diào)到最大,也就是讓這個 process 吃量
少的系統(tǒng)(CPU)資源 。

execl 將 telnetd 換成 telnets,節(jié)省記憶體(vsz/RSS)的使用,telnets 非常小,
主要的任務(wù)是「拖時間 & 省資源」 。

telnet://bbs.ee.ntu.edu.tw BSD 板精華區(qū)
http://bbs.ee.ntu.edu.tw/cgi-bin/bbs2HTML_cgi?boards/BSD/
-> 3. ◆ FreeBSD 快速入門 (由網(wǎng)路安裝FreeBSD)
-> 7. ◇ [fromzero] telnetd
有相關(guān)的資料 。

接下來談的和原問題有較直接的關(guān) -- /etc/login.access
較保守的設(shè)定例如下:
:woju:.ee.ntu.edu.tw
-:wheel:ALL EXCEPT local freebsd.ee.ntu.edu.tw
-:ALL:ALL EXCEPT LOCAL

login.access 的特性是 "first match",從第一行開始比對,如果 match 就直接
return result,所以我們應(yīng)將「特例」量往前放,是「通用性的規(guī)則」該
放後頭 。

login.access 的格式為
perm( |-):users:origins
以上面的例子來說,第一行 woju 可以從 *.ee.ntu.edu.tw login,第二行 wheel
group 只能從 local 或 freebsd.ee.ntu.edu.tw login,第三行拒絕所有 remote
login 。

man login.access 有更詳細的說明 。

要特別說明的是 origins 會先使用 domain name,若查不到 domain name *才* 會
使用 ip,也就是我們 *不能* 使用 ip 來代表有 domain name 的主機,舉例說:
-:wheel:ALL EXCEPT local 140.112.19.123
將 *無法* 讓 wheel group 的人從 140.112.19.123 (freebsd.ee.ntu.edu.tw)
login 。

此外請記得將 /etc/inetd.conf rlogin 相關(guān)的 entries 全關(guān)掉,rlogind 不
認得 /etc/login.access 。
--------------------------------------------------------------------------------吳 慶 鴻,woju@freebsd.ee.ntu.edu.tw | 臺大電機,http://bbs.ee.ntu.edu.tw

    推薦閱讀