在Unix操作系统中,可以利用两个文件来统一管理客户端的连接。谁可以访问Unix服务器,都有这两个文件说了算。也就是说,这Hosts.allow与Hosts.deny两个文件就好像是Unix服务器的“看门狗”,它决定了哪些客户端可以访问Unix服务器,哪些则不行。
如果Unix操作系统工程师允许某些计算机可以访问这台服务器则可以在Hosts.allow文件中定义允许访问的计算机。反之,如果系统工程师不希望特定的计算机可以访问服务器,则应该在hosts.deny文件中定义拒绝访问服务器的计算机。
当系统的进程在接受来自客户端的服务请求后,Unix操作系统会先检查Hosts.allow文件,看看是否允许此客户端的访问,如果允许访问的话则会将这个请求转送到特定的服务程序。如果在hosts.allow文件中没有这个客户端允许的纪录,则会检查hosts.deny文件的内容。如果这个客户端的IP地址等信息出现在这个文件中,则客户端的这个请求将会被拒绝。
1、Unix操作系统 多个主机的表示方法。
当企业网络中的客户端数量比较多时,如果一个个IP地址去配制的话,工作量会变得很大,而且也缺乏灵活性。为此Unix操作系统需要能够提供一个简便的机制,如通过通配符来实现对一组IP地址的管理等等。在Unix操作系统服务器系统中,也提供了类似的机制。如在谈第一个问题的时候,笔者已经谈到,可以利用ALL选项来表示所有的计算机。
除了利用这个参数外还有几个参数可供系统管理员采用。笔者这里就捡几个常用的重要参数举几个例子,让大家可以了解这些参数的用途。
如参数LOCAL,表示不带小数点的主机名;如参数UNKNOWN,代表所有主机名或者IP地址为未置的客户端;如Unix操作系统参数KNOWN,表示所有主机名以及IP地址为已知的主机;而参数PRARANOID则表示所有主机名与IP地址不一致的主机等等。这些都是服务器部署时常用的一些参数。注意以上这两个文件对于大小写是敏感的,为此系统管理员要使用这些参数的话,要注意最好能够使用大写字母。
除了使用这些特定的字符串(代表特定的含义)之外,还可以利用子网来表示。如192.168.1.0就表示所有以192.168.1 开头的主机。这里要注意一点,如果想通过IP地址来控制Unix服务器的访问,那么客户端最好就不能够使用DHCP服务器来获得IP地址,即要采用固定的IP地址方案。
如笔者企业现在就使用的是IP地址与Mac地址绑定的方案。这虽然刚开始初始化的时候工作量会大一点,但是Unix操作系统后续网络维护的工作量到底可以减少很多。而且采用固定IP的话,有很多针对IP地址的安全解救方案也比较容易实现。
故笔者在给企业部署Unix操作系统服务器的时候,如果企业有安全方面的要求,那么笔者都会见以企业采用固定IP地址分配方案。注意默认规则是全部允许访问。
以上,我们就完成了对Unix操作系统中的多个主机的表示方法的介绍。
【编辑推荐】
