AINM
hosts_access - formáid na n-óstach comhaid rialaithe rochtana
CUR SÍOS
Cuireann an leathanach lámhleabhar seo síos ar theanga simplí um rialú rochtana atá bunaithe ar an gcliant (ainm óstach / seoladh, ainm úsáideora), agus freastalaí (ainm an phróisis, ainm an t-ainm óstach / an seoladh). Tugtar samplaí ag an deireadh. Spreagtar an léitheoir míchuí chun scipeáil chuig an rannóg SAMPLAÍ le haghaidh réamhrá tapa. Déantar cur síos ar leagan leathnaithe den teanga rialaithe rochtana sa doiciméad hosts_options (5). Déantar na síntí a iompú ag am tógála an chláir trí thógáil le -DPROCESS_OPTIONS.
Sa téacs seo a leanas, is é an deamhan ainm phróiseas an phróisis daemon líonra , agus is é cliant ainm agus / nó seoladh seirbhís iarratais óstach. Sonraítear ainmneacha próiseas daemon an líonra sa chomhad cumraíochta iontrála.
FOILSEANNA RIALÚ RÁITEAS
Ciallaíonn na bogearraí rialaithe rochtana dhá chomhad . Stadann an cuardach ag an gcéad chluiche.
Deonófar rochtain nuair a bhíonn iontráil sa chomhad /etc/hosts.allow i bpéire (daemon, cliant).
Seachas sin, déanfar rochtain a dhiúltú nuair a bhíonn iontráil sa chomhad /etc/hosts.deny i bpéire (daemon, cliant).
Seachas sin, deonófar rochtain.
Déileáiltear le comhad rialaithe rochtana nach bhfuil ann cheana féin amhail is dá mba chomhad folamh é. Dá bhrí sin, is féidir rialú rochtana a dhiúltú trí aon chomhad rialaithe rochtana a sholáthar.
RIALACHA RIALÚ RÁITEAS
Is éard atá i ngach comhad rialaithe rochtana ná línte téacs náid ná níos mó. Déantar na línte seo a phróiseáil in ord an chuma. Críochnaíonn an cuardach nuair a aimsítear cluiche.
Déantar neamhaird ar charachtar nualíne nuair a bhíonn carachtar backslash roimh ré. Ceadaíonn sé seo duit línte fada a bhriseadh ionas go mbeidh siad níos éasca a chur in eagar.
Tugtar neamhaird do línte nó línte bán a thosaíonn le carachtar `# '. Ceadaíonn sé seo duit tuairimí agus spás bán a chur isteach ionas go mbeidh na táblaí níos éasca le léamh.
Ba chóir go gcomhlíonfadh gach líne eile an fhormáid seo a leanas, rudaí idir [] a bheith roghnach:
daemon_list: client_list [: shell_command]
Is liosta daemon_list de ainmneacha próiseas daemon amháin nó níos mó (luachanna argv [0] nó wildcards (féach thíos).
Is liosta is ea client_list d'ainmneacha óstach amháin nó níos mó, seoltaí óstacha, patrúin nó cártaí fiáin (féach thíos) a mheaitseálfar in aghaidh ainm nó seoladh óstach an chliaint.
Mínítear na foirmeacha níos casta daemon @ óstach agus úsáideoir @ óstach sna hailt ar phointí deireadhphointí an fhreastalaí agus ar chuardaitheoirí ainm úsáideora cliant, faoi seach.
Ba chóir go mbeadh na heilimintí liosta ar scarthanaí agus / nó i dtoscaí.
Le heisceacht na ngrúpaí glaonna de chuid NIS (YP), tá gach seiceálacha rialaithe rochtana neamhshóisialta.
PATTERNS
Cuireann an teanga um rialú rochtana na patrúin seo a leanas i bhfeidhm:
Sreang a thosaíonn le `. ' carachtar. Déantar ainm óstach a mhacasamhlú má chomhlíonann na comhpháirteanna deiridh den ainm an patrún sonraithe. Mar shampla, luíonn an patrún `.tue.nl 'leis an ainm óstach` wzv.win.tue.nl'.
Sreang a chríochnaíonn le `. ' carachtar. Déantar seoladh óstach a mhacasamhlú má mheaitseáil a chéad réimsí uimhriúla leis an teaghrán a thugtar. Mar shampla, an patrún `131.155. ' Déanann seoladh gach (ó) gach óstach ar líonra Ollscoil Eindhoven (131.155.xx).
Déileáiltear le teaghrán a thosaíonn le carachtar `@ 'mar ainm ghrúpa NIS (roimhe seo YP). Déantar ainm óstach a mhacasamhlú más ball óstach den ghrúpaghrúpa sonraithe é. Ní thacaítear le cluichí glanghrúpa le haghaidh ainmneacha próiseála daemon nó d'ainmneacha cliant úsáideora.
Léirítear léiriú den fhoirm `nnnn / mmmm 'mar' péire glan / masc '. Déantar seoladh óstach IPv4 a mhacasamhlú má tá 'glan' comhionann leis an seoladh giotán AGUS an seoladh agus an `masc '. Mar shampla, déanann an patrún glan / masc `131.155.72.0/255.255.254.0 'gach seoladh sa raon` 131.155.72.0' trí `131.155.73.255 '.
Léirítear léiriú den fhoirm `[n: n: n: n: n: n: n: n] / m 'mar` péire [[net] / prefixlen'. Déantar seoladh óstach IPv6 a mhacasamhlú má tá giotán `prefixlen 'de' glan 'comhionann le giotán` prefixlen' an seoladh. Mar shampla, déanann patrún [glan] / prefixlen `[3ffe: 505: 2: 1 ::] / 64 'gach seoladh sa raon` 3ffe: 505: 2: 1 ::' trí `3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
Déileáiltear le teaghrán a thosaíonn le carachtar `/ 'mar ainm comhad . Tá ainm nó seoladh óstach comhoiriúnach má chomhlíonann sé aon ainm óstach nó patrún seoladh atá liostaithe sa chomhad ainmnithe. Is é an fhormáid comhad ná línte náid nó níos mó le hainm nó náid óstach nó níos mó ná pátrúin seoladh atá scartha ag spás bán. Is féidir patrún ainm comhaid a úsáid in áit ar bith is féidir ainm óstach nó patrún seoladh a úsáid.
Wildcards `* 'agus`?' is féidir iad a úsáid chun aicmí ainmneacha nó seoltaí IP a mheaitseáil. Ní féidir an modh meaitseála seo a úsáid i dteannta le comhoiriúnú 'glan / masc', comhoiriúnóir óstainm le `. ' nó meaitseáil seoladh IP dar críoch le `. '.
DÍOLAÍOCHTAÍ
Tacaíonn an teanga um rialú rochtana fiáiníní sainráite:
GACH
Tagann an cárta fiáin uilíoch, i gcónaí.
ÁITIÚIL
Comhoiríonn le haon óstach nach bhfuil dot dot ann.
NEANNÁN
Comhoiríonn le haon úsáideoir nach bhfuil anaithnid aici, agus maireann sé le haon óstach nach bhfuil a ainm nó a seoladh anaithnid. Ba cheart an patrún seo a úsáid le cúram: d'fhéadfadh nach mbeadh ainmneacha óstacha ar fáil de bharr fadhbanna sealadach freastalaí ainmneacha. Ní bheidh seoladh líonra ar fáil nuair nach féidir leis na bogearraí amach cén cineál líonra atá á labhairt aige.
FÁIL
Comhcheanglaíonn aon úsáideoir a bhfuil a n-ainm ar eolas, agus maireann sé le haon óstach a bhfuil a ainm agus a seoladh ar eolas. Ba cheart an patrún seo a úsáid le cúram: d'fhéadfadh nach mbeadh ainmneacha óstacha ar fáil de bharr fadhbanna sealadach freastalaí ainmneacha. Ní bheidh seoladh líonra ar fáil nuair nach féidir leis na bogearraí amach cén cineál líonra atá á labhairt aige.
PARANOID
Comhoireann le haon óstach nach n-ainmneoidh a ainm a sheoladh. Nuair a thógtar tcpd leis -DÉANÁIL (modh réamhshocraithe), titeann sé iarratais ó na cliaint sin fiú sula bhféachtar ar na táblaí rialaithe rochtana. Tóg gan -IÚMHÁIL nuair is mian leat níos mó smachta a fháil ar iarratais den sórt sin.
OIBRÍOCHTAÍ
SEACHT
Is é an úsáid atá beartaithe ná an fhoirm: `list_1 EXCEPT list_2 '; Déanann an tógáil seo aon rud a mhaireann liosta_1 mura rud é go ndéanann sé liosta_2 . Is féidir an t-oibreoir EXCEPT a úsáid i daemon_lists agus i client_lists. Is féidir an t-oibreoir EXCEPT a neadú: más rud é go gceadódh an teanga rialaithe go mbainfí úsáid as braibíní, bheadh 'SEACHTRACH b BHEITHNÍOCHT c' a pháirceáil mar `(a SÍOCHT (b EISCEACH c)) '.
Má tá ordú bhlaosc sa riail rialaithe rochtana céad-mheaitseála, tá an t-ordú sin faoi réir% substitutions (féach an chéad chuid eile). Déantar próiseas / bin / sh an toradh a fhorghníomhú le hionchur, aschur caighdeánach agus earráid ceangailte le / dev / null . Sonraigh `& 'ag deireadh an orduithe mura mian leat fanacht go dtí go mbeidh sé críochnaithe.
Níor chóir go mbeadh orduithe Shell ag brath ar shuíomh PATH an inetd. Ina áit sin, ba cheart dóibh ainmneacha cosáin iomlána a úsáid, nó ba cheart dóibh ráiteas sainiúil PATH a thosú.
Déanann an doiciméad hosts_options (5) cur síos ar theanga eile a úsáideann an réimse ordú bhlaosc ar bhealach difriúil agus neamh-chomhoiriúnach.
EXPANSIONS%
Tá na leathnú seo a leanas ar fáil laistigh d'orduithe bhlaosc:
% a (% A)
Seoladh óstach an chliant (freastalaí).
% c
Faisnéis an chliaint: úsáideoir @ óstach, seoladh úsáideora, ainm óstach, nó díreach seoladh, ag brath ar an méid faisnéise atá ar fáil.
% d
Ainm an phróisis daemon (argv [0] luach).
% h (% H)
Ainm nó seoladh óstach an chliant (freastalaí), mura bhfuil an t-ainm óstach ar fáil.
% n (% N)
Ainm an óstach cliant (freastalaí) (nó "anaithnid" nó "paranoid").
% p
An próiseas daemon id.
% s
Faisnéis an fhreastalaí: daemon @ host, deemon @ address, nó díreach ainm daemon, ag brath ar an méid faisnéise atá ar fáil.
% u
Ainm úsáideora an chliaint (nó "anaithnid").
%%
Leathnaíonn sé le carachtar `% 'amháin.
Cuirtear síos ar na carachtair i leathnúcháin% a d'fhéadfadh mearbhall a dhéanamh ar an bhlaosc.
PATRÚNAITHE CRÍOCHNAITHE SEIRBHÍSE
D'fhonn idirdhealú a dhéanamh ar chliaint ag an seoladh líonra a nascann siad le patrúin na foirme a úsáid:
process_name @ host_pattern: client_list ...
Is féidir patrúin mar seo a úsáid nuair a bhíonn seoltaí idirlín difriúla ag an meaisín le hóstainmneacha idirlín éagsúla. Is féidir le soláthraithe seirbhíse an áis seo a úsáid chun cláir FTP, GOPHER nó WWW a thairiscint le hainmneacha idirlín a d'fhéadfadh a bheith fiú d'eagraíochtaí éagsúla. Féach freisin an rogha 'casta' sa doiciméad hosts_options (5). Is féidir le córais áirithe (Solaris, FreeBSD) níos mó ná seoladh idirlín amháin a bheith acu ar chomhéadan fisiciúil amháin; le córais eile is féidir go dtiocfadh leat dul i ngleic le sraitheanna idirghabhálacha SLIP nó PPP a bhfuil cónaí orthu i spás seoladh tiomnaithe líonra.
Oibríonn an host_pattern na rialacha comhréire céanna mar ainmneacha agus seoltaí óstacha i gcomhthéacs client_list. De ghnáth, níl eolas críochnaithe an fhreastalaí ar fáil ach amháin le seirbhísí atá dírithe ar nasc.
CLÚRÚ ÚNTAÍOCHTA LOOKUP
Nuair a thacaíonn an t-óstach cliant leis an bprótacal RFC 931 nó ceann dá shliocht (TAP, IDENT, RFC 1413) is féidir leis na cláir iompair faisnéis bhreise a fháil faoi úinéir an nasc. Tá eolas úsáideora cliant, nuair atá sé ar fáil, logáilte le chéile leis an ainm óstach cliaint, agus is féidir é a úsáid chun patrúin cosúil le:
daemon_list: ... user_pattern @ host_pattern ...
Is féidir na clúdaitheoirí daemon a chumrú ag an am a thiomsú chun cuardach a dhéanamh ar chuardaigh ainm úsáideora rialaithe (réamhshocraithe) nó óstáil an chliaint a fhiosrú i gcónaí. I gcás cuardaigh ainm úsáideora riail-rialaithe, bheadh an riail thuas ina chúis le cuardach úsáideora amháin nuair a bhíonn an daemon_list agus an comórtas host_pattern araon .
Tá an chomhréireacht céanna ag patrún úsáideora mar phhatrún próiseas daemon, mar sin tá feidhm ag na cártaí fiáin céanna (ní thacaítear le ballraíocht ghrúpa an ghrúpa). Níor cheart go gcuirfí ceann de na daoine le hainmneacha úsáideora ar bun, áfach.
Ní féidir muinín a bheith ar eolas an ainm úsáideora cliant nuair is gá an chuid is mó, ie nuair a bhíonn an córas cliant curtha i mbaol. Go ginearálta, is é GACH agus (NA) AONTAITHE an t-aon phatrún ainm úsáideora atá ciallmhar.
Ní féidir le húsáideoirí ainm úsáide ach seirbhísí TCP-bhunaithe a dhéanamh, agus ach amháin nuair a ritheann an óstach cliaint daon oiriúnach; i ngach cás eile is é an toradh "anaithnid".
D'fhéadfadh sé go gcuirfí caillteanas seirbhíse ar chúis aitheanta le heilimint UNIX aitheanta nuair a chuireann balla dóiteáin bac ar chuardaitheoirí ainm úsáideora. Déanann an doiciméad README cumhdaigh cur síos ar nós imeachta chun a fháil amach an bhfuil an fabht seo i do chnáithne.
D'fhéadfadh go mbeadh moilleanna suntasacha ag úsáideoirí neamh-UNIX faoi deara le húsáideoirí úsáideora. Is é an tréimhse ama réamhshocraithe le haghaidh úsáideora ainm úsáideora ná 10 soicind: ró-ghearr chun déileáil le líonraí mall, ach fada le go leor úsáideoirí ríomhaire a ghéilleadh.
Is féidir le cuardach úsáideora roghnacha an fhadhb deireanach a mhaolú. Mar shampla, riail cosúil le:
daemon_list: @pcnetgroup GACH @ GACH
comhaltaí den ghrúpaghrúpa ríomhaire a chomhcheangal gan breathnú ar ainm úsáideora a dhéanamh, ach go ndéanfadh sé cuma ainm úsáideora le gach córas eile.
TACAÍOCHTAÍ SPOOFING SEOLADH
Tugann locht i gineadóir uimhir na seicheamh i bhfeidhmithe TCP / IP go leor iontrálaithe ionas gur féidir le hóstach iontaofa a ionchorprú agus a bhriseadh isteach, mar shampla, an tseirbhís bhlaosc iargúlta. Is féidir an tseirbhís IDENT (RFC931 srl.) A úsáid chun ionsaithe den sórt sin agus óstáil eile óstáil a bhrath.
Sula nglacfaidh sé le hiarratas ar chliaint, féadfaidh na clúdaitheoirí úsáid a bhaint as an tseirbhís IDENT chun a fháil amach nár chuir an cliant an t-iarratas ar chor ar bith. Nuair a sholáthraíonn an t-óstach cliaint seirbhís IDENT, tá toradh diúltach ar IDENT (is é an cliant 'UNKNOWN @ host') fianaise láidir ar ionsaí spoofing óstach.
Tá toradh dearfach maidir le hIontaobhaí dearfach (is é an cliant 'KNOWN @ host') lúide iontaofa. Is féidir le intruder an ceangal cliant agus an t-iarratas IDENT a mhilleadh, cé go bhfuil sé i bhfad níos deacra ná mar a bhaineann sé le nasc cliaint. D'fhéadfadh sé a bheith chomh maith go bhfuil freastalaí IDENT an chliaint suite.
Nóta: Ní fhéachann le húsáideoirí IDENT le seirbhísí UDP.
SAMPLAÍ
Tá an teanga solúbtha go leor gur féidir cineálacha éagsúla polasaí rialaithe rochtana a chur in iúl le fuss íosta. Cé go n-úsáideann an teanga dhá bhord rialaithe rochtana, is féidir na polasaithe is coitianta a chur i bhfeidhm le ceann de na táblaí a bheith fánach nó fiú folamh.
Nuair a léitear na samplaí thíos tá sé tábhachtach a thuiscint go ndéantar an tábla a cheadú a scanadh roimh an tábla a dhiúltú, go dtiocfaidh deireadh leis an gcuardach nuair a aimsítear comórtas, agus go dtugtar an rochtain sin nuair nach bhfuarthas aon mheaitseáil ar chor ar bith.
Úsáideann na samplaí ainmneacha óstacha agus fearainn. Is féidir iad a fheabhsú trí sheirbhísí seoladh agus / nó líonra / faisnéise glaonna a áireamh, chun tionchar na dteipeanna sealadacha seiceálacha freastalaí ainmneacha a laghdú.
COSTAITHE GOIMH
Sa chás seo, déantar rochtain a dhiúltú de réir réamhshocraithe. Níl cead ag hóstach sainráite údaraithe rochtain.
Cuirtear an beartas réamhshocraithe (gan rochtain ar bith) i bhfeidhm le comhad dhiúltú fánach:
/etc/hosts.deny: GACH: GACH
Laghdaíonn sé seo an tseirbhís go léir do gach áitritheoir, ach amháin má tá rochtain ceadaithe acu trí iontrálacha sa chomhad a cheadú.
Tá na hóstach sainithe údaraithe liostaithe sa chomhad a cheadú. Mar shampla:
/etc/hosts.allow: GACH: ÁITIÚIL @some_netgroup
GACH: .foobar.edu EXCEPT terminalserver.foobar.edu
Ceadaíonn an chéad riail rochtain ó óstach sa réimse áitiúil (níl '.' San ainm óstach) agus ó bhaill den ghrúpaghrúpa some_netgroup. Ceadaíonn an dara riail rochtain ó na hóstach go léir sa réimse foobar.edu (tabhair faoi deara an dromchla tosaigh), cé is moite de terminalserver.foobar.edu .
OSCAIL AR CHOMHLÁN
Anseo, deonaítear rochtain de réir réamhshocraithe; ní dhéantar seirbhís a dhiúltú ach amháin a shonraítear go sainráite.
Déanann an beartas réamhshocraithe (rochtain arna dheonú) an comhad a cheadú iomarcach ionas gur féidir é a fhágáil ar lár. Tá na hóstach atá neamh-údaraithe go sainráite liostaithe sa chomhad dhiúltú. Mar shampla:
/etc/hosts.deny: GACH: some.host.name, .some.domain
GACH EILEACH in.fingerd: other.host.name, .other.domain
Diúltaíonn an chéad riail cuid de na hóstach agus na réimsí ar fad na seirbhísí; tá an dara riail fós ag ceadú iarratais ar mhéar ó hóstach agus ar fhearainn eile.
TRAPS BOOBY
Ceadaíonn an chéad sampla eile iarratais tftp ó óstach sa réimse áitiúil (tabhair faoi deara an dromchla tosaigh). Déantar iarratais ó aon óstach eile a dhiúltú. In ionad an chomhaid iarrtha, cuirtear súnna finger chuig an óstach ciontaithe. Cuirtear an toradh ar an bpost chuig an maoirseoir.
/etc/hosts.allow:
in.tftpd: ÁITIÚIL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h root) &Tagann an t-ordú safe_finger leis an imfhillteán tcpd agus ba chóir é a shuiteáil in áit oiriúnach. Cuireann sé teorainn ar an damáiste is féidir ó shonraí a chuireann an freastalaí finger iargúlta ar fáil. Tugann sé cosaint níos fearr ná an t-ordú caighdeánach finger.
Déantar cur síos ar leathnú an% h (host host) agus% d (ainm seirbhíse) sa rannóg ar orduithe bhlaosc.
Rabhadh: ná bíobair do dheamhan finger, ach amháin má tá tú réidh le haghaidh lúibí míre gan teorainn.
Is féidir an cleas seo a iompar níos faide ar chórais balla balla dóiteáin. Ní sholáthraíonn an balla dóiteáin tipiciúil líonra ach seirbhísí teoranta don domhan seachtrach. Is féidir gach seirbhís eile a bheith "fillte" díreach cosúil leis an sampla tftp thuas. Is é an toradh an córas rabhaidh rabhaidh den scoth.
FÉACH FREISIN
tcpd (8) tcp / ip clár imréitigh daemon. tcpdchk (8), tcpdmatch (8), cláir tástála.Tábhachtach: Bain úsáid as an ordú fear ( % man ) chun a fheiceáil conas a úsáidtear ordú ar do ríomhaire ar leith.