NAME
hosts_access - snið af gestgjafi aðgangsstjórnun skrár
LÝSING
Þessi handbókasíða lýsir einföldum aðgangsstjórnmálum sem byggist á viðskiptavini (gestgjafi nafn / heimilisfang, notandanafn) og miðlara (ferli nafn, gestgjafi nafn / heimilisfang) mynstur. Dæmi eru gefnar í lokin. Óþolinmóður lesandinn er hvattur til að sleppa í kaflann EXAMPLES fyrir fljótlega kynningu.
Útbreiddur útgáfa af aðgangsstjórnmálinu er lýst í skjalinu hosts_options (5). Eftirnafnin er kveikt á forritartímabilinu með því að byggja með -DPROCESS_OPTIONS.
Í eftirfarandi texta er þjónustan heiti vinnsluaðferðar á netkerfi og viðskiptavinur er nafn og / eða heimilisfang gestgjafa sem óskar eftir þjónustu. Netþjónsferli er tilgreint í inetd stillingarskránni.
Aðgangsstjórnarskrár
Aðgangsstýringartækið ræður yfir tveimur skrám . Leitin stoppar við fyrsta leik:
*
Aðgangurinn verður veittur þegar (pari, viðskiptavinur) par passar inn í /etc/hosts.allow skrána.
*
Annars verður hafnað aðgangur þegar (pari, viðskiptavinur) par passar færslu í /etc/hosts.deny skrána.
*
Að öðrum kosti verður aðgang veitt.
Óákveðinn greinir í ensku ógildur aðgangsstýringaskrá er meðhöndluð eins og ef það væri tómt skrá. Þannig er hægt að slökkva á aðgangsstýringu með því að veita engar aðgangsstýringarskrár.
Reglur um aðgangsstjórnun
Hver aðgangsstýringarskrá samanstendur af núll eða fleiri línum texta. Þessar línur eru unnar í samræmi við útliti. Leitin lýkur þegar samsvörun er fundin.
*
Nýtt staf er hunsað þegar það er á undan bakslagi staf. Þetta leyfir þér að brjóta upp langar línur svo að þær séu auðveldara að breyta.
*
Leynilegar línur eða línur sem byrja með `# 'staf eru hunsuð. Þetta leyfir þér að setja inn athugasemdir og hvítt svæði þannig að borðið sé auðveldara að lesa.
*
Allar aðrar línur ættu að uppfylla eftirfarandi sniði, hlutir á milli [] eru valfrjálst:
daemon_list: client_list [: shell_command]
daemon_list er listi með einum eða fleiri dögun ferli nöfn (argv [0] gildi) eða wildcards (sjá hér að neðan).
client_list er listi af einum eða fleiri gestgjöfum, gestgjafi heimilisföngum, mynstrum eða jólagjöfum (sjá hér að neðan) sem passa á móti gestgjafi nafn eða heimilisfang.
Flóknari eyðublöð dæmunnar @ gestgjafi og notandi @ gestgjafi er útskýrt í köflum um endapunktarmynstur miðlara og á notendahópi viðskiptavinar, í sömu röð.
Listaliðir ættu að vera aðskilin með blanks og / eða kommum.
Að undanskildum NIS (YP) netgroup leit, eru öll aðgangsstýringareftirlit ófullnægjandi.
MYNDIR
Aðgangsstjórnmálið útfærir eftirfarandi mynstur:
*
Strik sem byrjar með `. ' eðli. A gestgjafi nafn er passað ef síðasta hluti þess heitir passa við tilgreint mynstur. Til dæmis passar mynstur `.tue.nl 'við heitið' wzv.win.tue.nl '.
*
Strik sem endar með `. ' eðli. A gestgjafi heimilisfang er samsvörun ef fyrstu tölublaðin passa við viðkomandi streng. Til dæmis er mynstrið `131.155. ' passar við heimilisfang (næstum) öllum gestgjöfum á Eindhoven háskólasvæðinu (131.155.xx).
*
Strik sem byrjar með `@ 'staf er meðhöndluð sem NIS (áður YP) netgroup nafn. A gestgjafi nafn er passað ef það er gestgjafi í tilgreindu nethópnum. Netgroup passar eru ekki studdir fyrir nöfn á heitum pottum eða notendanöfn notenda.
*
Tjáning á forminu 'nnnn / mmmm' er túlkuð sem 'net / mask' par. IPv4 gestgjafi heimilisfang er samsvörun ef `net 'er jafnt bitwise og heimilisfangið og` maska'. Til dæmis er net / mask mynstur `131.155.72.0/255.255.254.0 'passa við hvert heimilisfang á bilinu` 131.155.72.0' gegnum `131.155.73.255 '.
*
Tjáning á forminu '[n: n: n: n: n] / m' er túlkað sem `[net] / prefixlen 'par. IPv6 gestgjafi heimilisfang er samsvörun ef `prefixlen 'bita af' net 'er jöfn' prefixlen 'bita heimilisfangsins. Til dæmis er [net] / fornafnarmynsturinn [3ffe: 505: 2: 1 ::] / 64 'í samræmi við hvert heimilisfang á bilinu `3ffe: 505: 2: 1 ::' gegnum` 3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
*
Strik sem byrjar með `/ 'staf er meðhöndluð sem skráarheiti. A gestgjafi nafn eða heimilisfang er samsvörun ef það passar við hvert gestgjafi nafn eða heimilisfang mynstur skráð í heiti skrá. Skráarsniðið er núll eða fleiri línur með núll eða fleiri gestgjafi nafn eða heimilisfang mynstur aðskilin með whitespace. Hægt er að nota skráarheiti mynstur hvar sem er, þar sem hægt er að nota gestgjafi nafn eða heimilisfang mynstur.
*
Wildcards `* 'og`?' Hægt er að nota til að passa vélarheiti eða IP-tölur. Þessi samsvörunaraðferð er ekki hægt að nota í tengslum við `net / mask 'samsvörun, hýsingarheiti samsvörun sem hefst með`.' eða IP-tölu samsvörun endar með `. '.
VILDCARDS
Aðgangsstjórnmálið styður skjót wildcards:
ALLT
The alhliða wildcard, passar alltaf.
LOCAL
Samsvarar hvaða gestgjafi nafnið inniheldur ekki punktapunkt.
ÓÞEKKTUR
Samsvarar hvaða notanda sem er nafn sem er óþekkt og passar við hvaða gestgjafi nafn eða heimilisfang er óþekkt. Þetta mynstur ætti að nota með varúð: Hýsingarheiti geta verið óaðgengilegar vegna tímabundinna vandamálum í nafni miðlara. Netfang verður ekki tiltækt þegar hugbúnaðurinn getur ekki fundið út hvaða tegund netkerfis það er að tala við.
Þekktur
Samsvarar öllum notendum sem heita nafnið og passar við hvaða gestgjafi nafn og heimilisfang eru þekktar. Þetta mynstur ætti að nota með varúð: Hýsingarheiti geta verið óaðgengilegar vegna tímabundinna vandamálum í nafni miðlara. Netfang verður ekki tiltækt þegar hugbúnaðurinn getur ekki fundið út hvaða tegund netkerfis það er að tala við.
PARANOID
Samsvarar hvaða gestgjafi sem er sem passar ekki við heimilisfangið. Þegar tcpd er byggt með -DPARANOID (sjálfgefið ham) sleppur það beiðnir frá slíkum viðskiptavinum jafnvel áður en þú skoðar aðgangsstýringartöflurnar. Byggja án -DPARANOID þegar þú vilt hafa meiri stjórn á slíkum beiðnum.
Rekstraraðila
Að undanskildum
Tilnefnd notkun er á forminu: `list_1 nema lista_2 '; Þessi bygging passar allt sem samsvarar list_1 nema það samsvari list_2 . EXCEPT rekstraraðilinn er hægt að nota í daemon_lists og í client_lists. EXCEPT-rekstraraðilinn er hægt að hreiður: Ef stjórnmálið leyfir notkun sviga, "nema b án þess að c" yrði flutt sem "(að undanskildu (b nema c))".
SHELL COMMANDS
Ef fyrsti samsvörun um aðgangsstýringin inniheldur skelskipun er þessi skipun háð% skipti (sjá næsta kafla). Niðurstaðan er framkvæmd með a / bin / sh barn ferli með venjulegu inntak, framleiðsla og villa tengdur / dev / null . Tilgreindu `& 'í lok stjórnunar ef þú vilt ekki bíða fyrr en hún hefur lokið.
Skeljar skipanir ættu ekki að treysta á PATH stillingin á inetd. Þess í stað ættu þeir að nota algeran slóðarnöfn, eða þeir ættu að byrja með skýrt PATH = hvað sem er yfirlýsing.
The hosts_options (5) skjalið lýsir öðru tungumáli sem notar skáskipunarreitinn á annan og ósamrýmanlegan hátt.
% EXPANSIONS
Eftirfarandi útvíkkanir eru í boði innan skeláskipta:
% a (% A)
Viðskiptavinur (framreiðslumaður) gestgjafi.
% c
Upplýsingar viðskiptavinar: notandi @ gestgjafi, notandi @ heimilisfang, gestgjafi nafn eða bara heimilisfang, allt eftir því hversu mikið er að finna.
% d
Dómin ferli nafn (argv [0] gildi).
% h (% H)
Viðskiptavinur (þjónn) gestgjafi nafn eða heimilisfang, ef gestgjafi nafn er ekki í boði.
% n (% N)
Viðskiptavinur (miðlara) gestgjafi nafn (eða "óþekkt" eða "ofsóknaræði").
% p
Dómsferli kennitölu.
% s
Upplýsingar um miðlara: Dóma @ gestgjafi, Dómon @ netfang, eða bara nafn dúns, eftir því hversu mikið er að finna.
% u
Notandanafn viðskiptavinarins (eða "óþekkt").
%%
Stækkar í einni `% 'staf.
Stafir í% útbreiðslum sem geta ruglað saman skelinni komi undir undirstöðuatriði.
SERVER ENDPOINT PATTERNS
Til að greina viðskiptavini með því netkerfi sem þeir tengjast, notaðu mynstur á forminu:
process_name @ host_pattern: client_list ...
Mynstur eins og þessar geta verið notaðar þegar vélin hefur mismunandi netföng með mismunandi netheitum. Þjónustuveitendur geta notað þennan möguleika til að bjóða upp á FTP, GOPHER eða WWW skjalasafn með nöfnum sem geta jafnvel tilheyrt mismunandi stofnunum. Sjá einnig valkostinn `snúa 'í skjalinu hosts_options (5). Sum kerfi (Solaris, FreeBSD) geta haft fleiri en eitt veffang á einni líkamlegu tengi; með öðrum kerfum sem þú gætir þurft að grípa til SLIP eða PPP gervi tengi sem búa í hollur netföng pláss.
Host_pattern hlýtur sömu setningu reglna sem hýsingarheiti og heimilisföng í client_list samhengi. Venjulega eru miðlara endapunktar upplýsingar aðeins tiltækar með tengingarstilla þjónustu.
Viðskiptavinur USERNAME LOOKUP
Þegar viðskiptavinur gestgjafi styður RFC 931 siðareglur eða einn af niðjum hans (TAP, IDENT, RFC 1413) geta umbúðirnar sótt um frekari upplýsingar um eiganda tengingar. Upplýsingar um notandanafn viðskiptavinarins, þegar þær eru tiltækar, eru skráðir saman við heiti viðskiptavinarins og hægt að nota til að passa við mynstur eins og:
daemon_list: ... user_pattern @ host_pattern ...
Hægt er að stilla umbúðirnar á samantektartíma til að framkvæma reglubundið notendanafn (sjálfgefið) eða alltaf að spyrja gestgjafann. Ef um er að ræða reglubundna notendanöfn, þá myndi ofangreind regla valda notendanafninu aðeins þegar bæði daemon_list og host_pattern passa saman.
Notandamynstur hefur sömu setningafræði og mönnunarferli mynstur, þannig að sömu jólagjöf gilda (netgroup aðild er ekki studd). Eitt ætti ekki að vera flutt með notandanafninu, þó.
*
Ekki er hægt að treysta upplýsingum um notandanafn viðskiptavinarins þegar það er mest þörf, þ.e. þegar viðskiptavinakerfið hefur verið í hættu. Almennt er ALL og (UN) þekktur eina notendanafnið sem er skynsamlegt.
*
Notendasíður eru aðeins mögulegar með TCP-undirstaða þjónustu, og aðeins þegar viðskiptavinur gestgjafi rekur hentugt þjónustuna; Í öllum öðrum tilvikum er niðurstaðan "óþekkt".
*
Vel þekkt UNIX kjarnagalla getur valdið tjóni þjónustu þegar notandanafnið er lokað með eldvegg. Umbúðir README skjalið lýsir málsmeðferð til að finna út hvort kjarninn þinn hefur þessa galla.
*
Notendasíður geta valdið áberandi töfum fyrir unix notendur. Sjálfgefið tímaskeið fyrir leitarnöfn er 10 sekúndur: of stutt til að takast á við hægar netkerfi, en nógu lengi til að pirra tölvu notendur.
Valið notendanafnið getur létta síðasta vandamálið. Til dæmis, regla eins og:
daemon_list: @pcnetgroup ALL @ ALL
myndi passa meðlimi tölvu netgroup án þess að gera notendanafn útlit, en myndi framkvæma notendanöfn með öllum öðrum kerfum.
ÁKVÖRÐUN HEIMILISFJÖLS
Skekkja í raðnúmeri rafall margra TCP / IP framkvæmda gerir boðflenna kleift að auðveldlega endurbæta treysta vélar og brjótast inn um, til dæmis, ytri skelþjónustu. IDENT (RFC931 osfrv.) Þjónusta er hægt að nota til að greina svona og aðrar árásir á hýsingaraðilum.
Áður en viðskiptavinarbeiðni er samþykkt geta umbúðirnar notað IDENT þjónustuna til að komast að því að viðskiptavinurinn hafi ekki sent beiðnina yfirleitt. Þegar viðskiptavinur gestgjafi veitir IDENT þjónustu, er neikvætt IDENT leitarniðurstaða (viðskiptavinurinn passar `UNKNOWN @ gestgjafi '
Jákvætt auðkenni IDE (viðskiptavinurinn passar `KNOWN @ host ') er minna áreiðanlegt. Það er mögulegt fyrir boðflenna að svíkja bæði tengingu við viðskiptavini og IDENT útlit, þó að það sé miklu erfiðara en að skjóta bara tengingu við viðskiptavini. Það kann einnig að vera að auðkenni miðlarans viðskiptavinar liggi.
Athugaðu: IDENT leitin virkar ekki með UDP þjónustu.
Dæmi
Tungumálið er sveigjanlegt svo að mismunandi gerðir stjórnunarleiðbeiningar geti komið fram með lágmarki. Þrátt fyrir að tungumálið notar tvær aðgangsstjórnartöflur, er hægt að útfæra algengustu stefnurnar með því að einn af töflunum sé léttvæg eða jafnvel tóm.
Þegar þú skoðar dæmi hér að neðan er mikilvægt að átta þig á því að leyfisborðið sé skannaður fyrir afneitunartöflunni, að leitin lýkur þegar samsvörun er fundin og aðgangur er veitt þegar engin samsvörun er yfirleitt.
Dæmiin nota gestgjafi og lén. Þeir geta batnað með því að innihalda heimilisfang og / eða net / netmask upplýsingar til að draga úr áhrifum tímabundinna nafngreiðslu á netþjónum.
Mest lokað
Í þessu tilfelli er aðgangur hafnað sjálfgefið. Aðeins sérstaklega viðurkenndir vélar eru leyfðar aðgangur.
Sjálfgefna stefnan (engin aðgang) er framkvæmd með léttvægri afneitunaskrá:
/etc/hosts.deny: ALL: ALL
Þetta afneitar öllum þjónustu við alla vélar, nema að þeim sé heimilt að fá aðgang að færslum í leyfisskránni.
Leyfileg vélar eru skráð í leyfisskrána. Til dæmis:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
ALL: .foobar.edu að undanskildum terminalserver.foobar.edu
Fyrsti reglan leyfir aðgang frá vélar í staðbundnu léni (ekki `. 'Í gestgjafi nafninu) og frá meðlimum sumgroups nethópsins . Önnur reglan leyfir aðgang frá öllum vélum á foobar.edu léni ( athugaðu leiðandi punkt), að undanskildum terminalserver.foobar.edu .
MESTU OPEN
Hér er aðgangur veitt sjálfgefið; Aðeins tilgreindar vélar eru neitaðar þjónustu.
Sjálfgefið stefna (aðgengi veitt) gerir leyfisskrána óþarfi svo að það geti verið sleppt. Sérfræðingar sem eru ekki viðurkenndir eru skráðir í neitunarskránni. Til dæmis:
/etc/hosts.deny: ALL: sum.host.name, .some.domain
Allt nema in.fingerd: other.host.name, .other.domain
Fyrsti reglan neitar sumum vélar og lén öll þjónusta; Önnur reglan leyfir enn fingur beiðnir frá öðrum vélum og lénum.
BOOBY TRAPS
Næsta dæmi leyfir tftp beiðnir frá vélar á staðnum léni (athugaðu leiðandi punkt). Beiðnir frá öðrum vélar eru hafnað. Í stað þess að umbeðna skráin er smellt á fókuspróf til sendanda. Niðurstaðan er send til superuser.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: hrogn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h rót) &Safe_finger stjórnin kemur með tcpd umbúðirnar og ætti að vera sett upp á viðeigandi stað. Það takmarkar hugsanleg tjón frá gögnum sem sendar eru af fjarstýringunni. Það gefur betri vörn en venjuleg fingur stjórn.
Stækkun á% h (viðskiptavinur gestgjafi) og% d (þjónusta nafn) röð er lýst í kaflanum um skel skipanir.
Viðvörun: Ekki hrekja fingurnaþjóninn þinn, nema þú sért tilbúinn fyrir óendanlega lykkjur.
Í netkerfi eldveggkerfa getur þetta bragð farið fram enn frekar. Dæmigerð net eldveggur veitir aðeins takmarkaðan fjölda þjónustu við ytri heiminn. Öll önnur þjónusta getur verið "bugged" eins og ofangreint tftp dæmi. Niðurstaðan er frábært snemma viðvörunarkerfi.
Mikilvægt: Notaðu stjórn mannsins ( % maður ) til að sjá hvernig stjórn er notuð á tölvunni þinni.
tengdar greinar