TCP/IP 命令安全性

TCP/IP 中的一些命令提供操作过程中的安全环境。 这些命令是 ftp、rexec 和 telnet。

ftp 功能提供文件传送过程中的安全性。 rexec 命令为在外部主机上运行命令提供安全环境。 telnet 函数为登录到外部主机提供安全性。

ftp， rexec和 telnet 命令仅在其操作期间提供安全性。 也就是说，它们并不建立与其他命令一起使用的安全环境。 为了保护系统进行其他操作，使用 securetcpip 命令。 此命令通过禁用非可信守护程序和应用程序，及提供保护 IP 层网络协议的选项，提供您保护系统安全的能力。

ftp， rexec， securetcpip和 telnet 命令提供以下形式的系统和数据安全性:

ftp

ftp 命令提供传送文件的安全环境。 当用户对外部主机调用 ftp 命令时，将提示用户输入登录标识。 显示的缺省登录标识为：用户在本地主机的当前登录标识。 提示用户输入远程主机的密码。

自动登录过程搜索本地用户的 $HOME/.netrc 文件以获取用于外部主机的用户标识及密码。 出于安全性，$HOME/.netrc 文件的许可权必须设置为 600（只能由所有者读写）。 否则，自动登录失败。

注: 由于使用 .netrc 文件需要在非加密文件中存储密码，因此当使用 securetcpip 命令配置系统时， ftp 命令的自动登录功能不可用。 通过将 ftp 命令从 /etc/security/config 文件的 tcpip 节中除去，可以重新启用此功能。

要使用文件传输功能， ftp 命令需要两个 TCP/IP 连接，一个用于文件传输协议 (FTP) ，另一个用于数据传输。 协议连接是主要的而且是安全的，因为它建立在可靠的通信端口上。 第二连接是实际数据传输所必需的，且本地及远程主机都验证了此连接的另一端由与主要连接相同的主机建立的。 如果主要连接和第二连接不是由相同主机建立，ftp 命令首先显示错误消息，指出数据连接未认证，然后退出。 第二连接的这种验证防止第三主机拦截要送至另一主机的数据。

rexec

rexec 命令为在外部主机上执行命令提供安全环境。 提示用户输入登录标识及密码。

自动登录功能使 rexec 命令搜索本地用户的 $HOME/.netrc 文件，以获取外部主机上的该用户标识及密码。 出于安全性，$HOME/.netrc 文件的许可权必须设置为 600（只能由所有者读写）。 否则，自动登录失败。

注: 由于使用 .netrc 文件需要在非加密文件中存储密码，因此当系统在安全情况下运行时， rexec 命令的自动登录功能不可用。 可以通过从 /etc/security/config 文件的 tcpip 节中除去条目来重新启用此功能。

securetcpip

securetcpip 命令启用 TCP/IP 安全功能。 发出此命令时，从系统中除去对非可信命令的访问。 通过运行 securetcpip 命令来除去以下每一个命令：

• rlogin 和 rlogind
• rcp， rsh和 rshd
• tftp 和 tftpd
• trpt

使用 securetcpip 命令将系统从标准安全性级别转换为更高安全性级别。 系统转换后，除非重装了 TCP/IP，否则不必再次发出 securetcpip 命令。

telnet 或 tn

telnet(TELNET) 命令提供登录到外部主机的安全环境。 提示用户输入登录标识及密码。 将用户终端看作直接与主机连接的终端。 即，对终端的访问由许可权位控制。 其他用户 (组和其他用户) 没有对终端的读访问权，但如果所有者授予他们写许可权，那么他们可以向终端写入消息。 telnet 命令也通过 SAK 提供对远程系统上可信 shell 的访问。 此按键顺序不同于调用本地可信路径的顺序，并可以在 telnet 命令中定义。