TCP/IP 指令安全
TCP/IP 的部分指令在作業期間會提供安全的環境。這些指令包含 ftp、rexec、 及 telnet。
ftp 功能提供檔案轉送期間的安全性。rexec 指令提供在外來主機上執行指令的安全環境。 telnet 功能提供登入外來主機的安全性。
ftp、rexec 及 telnet 指令僅於其作業期間提供安全性。亦即,不設定安全環境供其他指令使用。若要在其他作業上保護您系統的安全性,請使用 securetcpip 指令。此指令可讓您保護系統的安全性,停用非授信常駐程式與應用程式,也可讓您選擇保護 IP 層網路通訊協定的安全性。
ftp、rexec、 securetcpip 及 telnet 指令提供下列形式的系統與資料安全性:
- ftp
- ftp 指令提供轉送檔案的安全環境。當使用者呼叫
ftp 指令來連接外來主機時,會提示使用者登入 ID。預設登入 ID 會顯示:使用者在本端主機的現行登入 ID。使用者受提示而輸入遠端主機上的密碼。
自動登入處理程序會搜尋本端使用者的 $HOME/.netrc 檔,取得使用者的 ID 與密碼來使用於外來主機。基於安全考量,$HOME/.netrc 檔的許可權必須設為 600 (僅擁有者可以讀寫)。否則,自動登入會失敗。
註: 由於使用 .netrc 檔需要將密碼儲存在非加密的檔案中,因此在使用 securetcpip 指令配置您的系統時,就無法使用 ftp 指令的自動登入功能。 從 /etc/security/config 檔案的 tcpip 段落中移除 ftp 指令,即可重新啟用此功能。若要使用檔案轉送功能,則 ftp 指令需要兩個 TCP/IP 連線,其中一個使用於「檔案轉送通訊協定 (FTP)」, 另一個使用於資料轉送。通訊協定連線是主要且安全的,因為是建立在授信的通訊埠上。實際轉送資料需要第二個連線,本端與遠端主機會驗證此連線的另一端是連接主要連線的相同主機。若主要與次要連線不是連接相同主機,則 ftp 指令會先顯示錯誤訊息, 表示資料連線未通過鑑別,然後就結束。次要連線的這項驗證可防止第三部主機截取原本要給另一部主機的資料。
- rexec
- rexec 指令提供在外來主機上執行指令的安全環境。使用者會看到輸入登入 ID 與密碼的提示。
自動登入功能會使 rexec 指令搜尋本端使用者的 $HOME/.netrc 檔,以取得外來主機上的使用者 ID 與密碼。基於安全考量,$HOME/.netrc 檔的許可權必須設為 600 (僅擁有者可以讀寫)。否則,自動登入會失敗。
註: 由於使用 .netrc 檔案需要將密碼儲存在非加密的檔案中,因此當您的系統以安全模式操作時,就無法使用 rexec 指令的自動登入功能。 從 /etc/security/config 檔案的 tcpip 段落中移除項目,即可重新啟用此功能。 - securetcpip
- securetcpip 指令可啟用 TCP/IP 安全特性。發出此指令時,系統中會移除非授信指令的存取。執行 securetcpip 指令會移除下列每一個指令:
securetcpip 指令可將一個系統從標準安全層次轉換至更高的安全層次。除非您重新安裝 TCP/IP,否則在轉換系統之後,您需要重新發出 securetcpip 指令。
- telnet 或 tn
- telnet (TELNET) 指令提供登入外來主機的安全環境。使用者會看到輸入登入 ID 與密碼的提示。使用者的終端機如同直接連接到主機。亦即,對終端機的存取由許可權位元來控制。其他使用者 (群組與其他) 對終端機不具讀取權,但若擁有者提供寫入權給他們,則可寫入訊息。telnet 指令亦提供透過 SAK 來存取遠端系統上的授信 shell。此按鍵順序不同於呼叫本端授信路徑的順序,且可在 telnet 指令內定義。