NAME
hosts_access - ostalariaren sarbide kontrol fitxategien formatua
DESCRIPTION
Eskuliburu orri honek bezeroaren (ostalari-izena / helbidea, erabiltzaile izena) eta zerbitzaria (prozesuaren izena, ostalari-izena / helbidea) oinarritutako sarbide-kontrolerako hizkuntza sinple bat deskribatzen du. Adibideak amaieran ematen dira. Irakurle irmoa EZARTZE ataletara joateko animatzen da sarrera azkarra egiteko.
Sarbide-kontroleko hizkuntzaren bertsio hedatua ostalarien_optzioak (5) dokumentuan deskribatzen da. Luzapenak programaren eraikitze-denboran aktibatzen dira -DPROCESS_OPTIONS-rekin eraikitzen.
Ondorengo testuan, deabrua da sare- deabruaren prozesu baten prozesuaren izena, eta bezeroak ostalariaren eskaera zerbitzua duen izena eta / edo helbidea da. Sareko demagun prozesuen izenak zehaztutako konfigurazio fitxategian zehazten dira.
SARBIDEA KONTROL-FITXAK
Sarbide kontrolatzeko softwareak bi fitxategi kontsultatzen ditu. Bilaketa lehen geldialdean gelditzen da:
*
Sarbidea emango zaie (deabrua, bezeroa) bikoteak sarrerarekin bat dator /etc/hosts.allow fitxategian.
*
Bestela, sarbidea ukatu egingo da ( deabrua , bezeroa) bikoteak sarrerarekin bat dator /etc/hosts.deny fitxategian.
*
Bestela, sarbidea emango zaio.
Sarbide-kontrolik gabeko fitxategi bat fitxategi hutsa balitz bezala tratatuko da . Horrela, sarbide-kontrola desaktiba daiteke sarbide-kontroleko fitxategiak ez ematea.
ACCESO DE CONTROL DE REGLAS
Sarbide-kontroleko fitxategi bakoitzak zero edo gehiago testu-lerro ditu. Lerro hauek itxura ordenatzen dira. Bilaketa bat datorrenean aurkitzen den unean amaitzen da.
*
Lerro berriaren karaktere bat alde batera utziko da barra-barrako karaktere baten aurretik. Horrek aukera ematen dizu lerro luzeak hausteko, editatzeko errazagoak izateko.
*
'#' Karakterearekin hasten diren lerro hutsak edo lerroak ez dira kontuan hartuko. Honek iruzkinak eta zuriunea txertatzeko aukera ematen du, taulak errazago irakurtzeko.
*
Beste lerro guztiek honako formatu hau bete behar dute: [] aukerako hautazkoak dira gauzak:
daemon_list: client_list [: shell_command]
daemon_list demagun prozesu bat edo gehiago (argv [0] balioak) edo komodinak (ikus behean) zerrenda bat da.
client_list ostalari izen edo ostalari , ostalari helbide, eredu edo komodin (edo behean) izeneko zerrenda bat da, bezeroaren ostalariaren edo helbidearen arabera bat etorriko dena.
Forma konplexuena daemon @ host eta user @ host zerbitzariaren endpoint ereduak eta bezeroaren erabiltzaile-izenaren bilaketak ataletan azaltzen dira, hurrenez hurren.
Zerrenda elementuen arabera blanks eta / edo komak banandu behar dira.
NIS (YP) netgroup bilaketak izan ezik, sarbide kontrolerako egiaztapen guztiak ez dira bereizten.
PATTERNS
Sarbide-kontrolaren hizkuntza honako ereduak inplementatzen ditu:
*
'.' Batekin hasten den katea izaera. Ostalari izena bat datorrenean, bere izenaren azken osagaiak zehaztutako eredua betetzen bada. Adibidez, '.tue.nl' patroia `wzv.win.tue.nl 'ostalariaren izena da.
*
'.' Batekin amaitzen duen katea izaera. Ostalariaren helbidea datorrenean, bere lehen zenbakizko eremuak emandako katearekin bat dator. Adibidez, '131.155' eredua. Eindhoven Unibertsitateko sarearen (ia) ostalari guztien helbidea (131.155.xx) betetzen du.
*
'@' Karaktere batekin hasten den katea NIS (lehen YP) netgroup izen gisa tratatzen da. Ostalariaren izena bat dator bat zehaztutako netgroup ostalariaren kide bada. Netgroup partiduak ez dira onartzen demagun prozesu-izenen edo bezeroaren erabiltzaileen izenak.
*
'Nnnn / mmmm' formaren adierazpena `net / mask 'bikote gisa interpretatzen da. IPv4 ostalariaren helbidea bat dator "net" bitarra duen AND helbidearekin eta `maskara 'berdina bada. Esate baterako, `131.155.72.0/255.255.254.0 'net / maskako eredua' 131.155.72.0 'bitarteko helbide guztiak betetzen ditu' 131.155.73.255 'bidez.
*
'[N: n: n: n: n: n: n: n: n] / m' inprimakiaren adierazpena '[net] / prefixlen' bikote gisa interpretatzen da. IPv6 ostalariaren helbidea bat dator bat bada `prefixlen '' net 'bitekin' address 'dauzkan' prefixlen 'bitartekoa. Adibidez, `[3ffe: 505: 2: 1 ::] / 64 '[3ffe: 505: 2: 1 ::] / 64' [3ffe: 505: 2: 1 :: '3ffe bitarteko barruti bakoitzean datorren [net] / prefixlen eredua': 505: 2 bidez: 1: ffff: ffff: ffff: ffff '.
*
'/' Karaktere batekin hasten den kate bat fitxategi izen bat bezala tratatzen da. Ostalariaren izena edo helbidea bat datoz izeneko fitxategian zerrendatutako ostalari izen edo helbide-ereduarekin bat datorren. Fitxategiaren formatua zero edo gehiago dauka zero edo gehiago ostalariaren izena edo helbide-ereduak zuriunez bereizita. Fitxategi izenaren eredua edozein lekutan erabil daiteke ostalariaren izena edo helbide-eredua.
*
Komodinak `* 'eta`?' hostnames edo IP helbideak bateratzeko erabil daiteke. Parekatze-metodo hau ezin da 'net / mask' bateragarritasunarekin bateragarria den 'host. edo "." helbidearekin bat datorren IP helbidea.
komodinak
Sarbidearen kontroleko hizkuntza bizkortzaile esplizituak onartzen ditu:
ALL
Komodin unibertsala, beti dator bat.
LOCAL
Izenburuak ez duen dot izeneko karaktererik duen edozein ostalariarekin bat egiten du.
EZEZAGUNA
Erabiltzaileari izena ezezaguna ematen dio eta edozein ostalari izena edo helbidea ezezaguna dator. Eredu hau kontu handiz erabili behar da: ostalariaren izenak ez daude erabilgarri aldi baterako izen zerbitzariaren arazoak direla eta. Sarearen helbidea ez da erabilgarri egongo softwareak ez daki zein motatako sareak hitz egiten duen.
ezagutzen
Erabiltzaileari izen hori ezagutzen duen edozein erabiltzailerekin bat dator, eta izena eta helbidea ezagutzen diren ostalariarekin bat egiten du. Eredu hau kontu handiz erabili behar da: ostalariaren izenak ez daude erabilgarri aldi baterako izen zerbitzariaren arazoak direla eta. Sarearen helbidea ez da erabilgarri egongo softwareak ez daki zein motatako sareak hitz egiten duen.
Paranoid
Izenburuarekin bat datorren ostalariarekin lotzen du bere helbidea. Tcpd -DPARANOID-rekin (lehenetsitako modua) eraiki- takoan, bezero horien eskaerak sarbide-kontrol taulak aztertu aurretik ere sar daitezke. Eraikitzeko gabe -DPARANOID eskaeren gaineko kontrol gehiago nahi baduzu.
OPERADORE
EXCEPT
Erabilitako erabilera honako hau da: `list_1 EXCEPT list_2 '; eraikuntza hau datorren zerrenda_1arekin bat datorrenarekin bat dator bat_2 . EXCEPT operadorea daemon_lists eta bezero_listsetan erabil daiteke. EXCEPT operadorea habiaratu daiteke: kontrol hizkuntza parentesiak erabiltzea baimentzen badu, `a EXCEPT b EXCEPT c '' an ('EXCEPT EXCEPT (b EXCEPT c)' parekatuko litzateke) '.
SHELL COMMANDS
Lehenengo parekatutako sarbide kontrolaren arauek komando shell bat badute, komandoa % ordezkapenetan dago (ikus hurrengo atala). Emaitza bat / bin / sh haurraren prozesuarekin exekutatzen da, sarrera / irteera estandarrarekin eta errorearekin / dev / nullarekin konektatuta. Zehaztu '&' komandoaren amaieran, amaitu arte itxaron nahi ez baduzu.
Shell komandoek ez dute inetd PATHren ezarpenean fidatu. Horren ordez, bide izen absolutuak erabili beharko lirateke edo PATH = edozein adierazpenarekin hasi beharko lukete.
Ostalari_optzioak (5) dokumentuak shell ordenaren eremua modu ezberdin eta bateraezina erabiltzen duen beste hizkuntza bat deskribatzen du.
EXPANSIONS
Hurrengo hedapenak shell komandoetan erabilgarri daude:
% a (% A)
Bezeroa (zerbitzaria) ostalariaren helbidea.
% c
Bezeroaren informazioa: erabiltzailea @ ostalaria, erabiltzailea @ helbidea, ostalari izena edo helbide bat, zenbat informazio dago erabilgarri.
% d
Demagun prozesuaren izena (argv [0] balioa).
% h (% H)
Bezeroa (zerbitzaria) ostalariaren izena edo helbidea, ostalariaren izena ez dago erabilgarri.
% n (% N)
Bezeroa (zerbitzaria) ostalariaren izena (edo "ezezaguna" edo "paranoidea").
% p
Daemon prozesua id.
% s
Zerbitzariaren informazioa: deabru @ ostalaria, deabru @ helbidera edo deabruaren izena bakarrik, zenbat informazio dago erabilgarri.
% u
Bezeroaren erabiltzaile izena (edo "ezezaguna").
%%
Zabaldu '%' karaktere bakarrarekin.
Karaktereak nahastu ditzakeen% expansions karaktere azpimarrak ordezkatzen ditu.
SERRANO ENDPOINT PATRONES
Bezeroak konektatzen dituzten sarearen helbidea bereizteko, inprimakiaren ereduak erabili:
process_name @ host_pattern: client_list ...
Horrelako ereduak makina Internet helbide desberdinekin interneteko ostalari ezberdinekin dituenean erabil daiteke. Zerbitzu-hornitzaileek FTP, GOPHER edo WWW artxiboak eskaintzeko erabil ditzakete instalazioak, erakunde desberdinetakoak izan daitezkeen Interneteko izenekin ere. Ikusi ere 'twist' aukera hosts_options (5) dokumentuan. Sistema batzuek (Solaris, FreeBSD) Interneteko helbide bat baino gehiago izan ditzakete interfaze fisiko batean; beste sistema batzuekin SLIP edo PPP pseudo interfazeak sarbide sare espazio dedikatu batean bizi ahal izango dituzu.
Host_pattern-ek ostalariaren izenak eta helbideak bezalako sintaxi-arau berak betetzen ditu client_list context-en. Normalean, zerbitzariaren amaierako informazioa konexio bideratutako zerbitzuekin bakarrik dago eskuragarri.
CLIENTE USERNAME LOOKUP
Bezero-ostalariak RFC 931 protokoloa edo haren ondorengo bat onartzen duenean (TAP, IDENT, RFC 1413) bilgarrien programek konexio baten jabeari buruzko informazio gehigarria berreskuratu dezakete. Bezeroaren erabiltzaile-izena, erabilgarri dagoenean, bezeroaren ostalari-izenarekin batera erregistratuta dago eta ereduekin bat etorriko da:
daemon_list: ... user_pattern @ host_pattern ...
Daemon-en itzulgarriak konfiguratu daitezke konpilazio-denboran, arau-gidatutako erabiltzaile-izenen bilaketak egiteko (lehenetsia) edo beti bezeroaren ostalaria galdetzeko. Arau-gidatutako erabiltzaile-izenaren bilaketak egiteko, aurreko araua erabiltzaile-izenaren bilaketak eragingo luke, bai daemon_list bai host_pattern partekatzeko .
Erabiltzailearen ereduak deabru prozesuaren eredua bezalako sintaxia bera du, beraz, komodinak ere aplikatzen dira (netgroup membership ez da onartzen). Ez da ihes egin behar erabiltzaile izenbideren bidez.
*
Bezeroaren erabiltzaile-izena informazioa ezin da konfiantzarik egin behar gehienetan beharrezkoa den kasuetan, hau da, bezero-sistema arriskuan egon denean. Oro har, ALL eta (ONU) KNOWN dira zentzuzkoak diren erabiltzaile izenen ereduak.
*
Erabiltzaileen bilaketak posibleak dira soilik TCP-rekin oinarritutako zerbitzuak, eta soilik bezero ostalaria deabru egokia exekutatzen denean; Beste kasu guztietan, emaitza "ezezaguna" da.
*
UNIX kernelaren errore ezagun batek zerbitzua galtzea eragin dezake erabiltzaile-izenen bilaketak suebaki batek blokeatzen duenean. README dokumentuaren biltegiak zure kernelek akats hau duela jakiteko prozedura bat deskribatzen du.
*
Erabiltzaile-izenen bilaketak atzerapen nabariak eragin ditzake ez diren UNIX erabiltzaileentzat. Erabiltzaile-izenen bilaketak denbora-muga lehenetsia 10 segundotan da: oso laburra da sare motelekin aurre egiteko, baina nahikoa denbora PC erabiltzaileei narritagarriak.
Aukerazko erabiltzaile-izenen bilaketak azken arazoa arintzeko aukera ematen du. Adibidez, arau bat bezala:
daemon_list: @pcnetgroup ALL ALL
Pc netgroupeko kideekin bat etorriko litzateke erabiltzaile-izenaren bilaketak egin gabe, baina erabiltzaile-izenbideraketak beste sistema guztiekin burutuko lituzke.
IDENTIFIKAZIOA IZANGO DITUZTEN AKTA
TCP / IP inplementazio askoren sekuentziaren zenbakiaren akatsak akatsak erraztu egiten ditu ostalari fidagarriak eta, adibidez, urruneko shell zerbitzuaren bidez apurtu ahal izateko. IDENT (RFC931 eta abar) zerbitzua beste ostalariaren helbideen aurkako erasoak antzemateko erabiltzen da.
Bezeroen eskaera onartu baino lehen, kutxek IDENT zerbitzua erabil dezakete bezeroak eskaera ez bidali. Bezero-ostalariak IDENT zerbitzua ematen duenean, negatibo IDENTZAKO bilaketa emaitza (bezeroa UNKNOWN @ ostalariarekin bat datorrenean) ostalariaren aurkako erasoak jasaten dituen froga sendo bat da.
IDENTIFIKAZIO bilaketa emaitza positiboa (bezeroak 'KNOWN @ host' parekatzen du) gutxiago fidagarria da. Agian bezeroaren konexioari eta IDENT bilaketaari buruzko spoof bat ere baztertuko lioke, baina, hala ere, bezeroaren konexioarekin bakarrik kezkatu baino askoz ere zailagoa da. Agian bezeroaren IDENT zerbitzaria etzanda egon daiteke.
Oharra: IDENT bilaketak ez dituzte UDP zerbitzuekin funtzionatzen.
EXAMPLES
Hizkuntza nahikoa malgua da sarbide-kontrolerako politika ezberdinek nahaspila gutxirekin adieraztea. Hizkuntzak bi sarbide kontrol taulak erabiltzen dituen arren, politikarik arruntenak inplementatu daitezke tarterik gabeko edo hutsik dagoen taulen batekin.
Beheko adibideak irakurtzean, garrantzitsua da mahaiaren aurretik baimendutako taulan eskaneatzen dela konturatzea, bat datorren bilaketa bat amaitzen denean bilaketa hori ematen denean eta loturarik ez dagoenean.
Adibideak ostalari eta domeinu izenak erabiltzen dituzte. Helburu eta / edo sarearen / sareen informazioa barne hartuta hobetu daiteke, aldi baterako zerbitzariaren bilaketa hutsegiteen eragina murrizteko.
BETIKO ITXITA
Kasu honetan sarbidea ukatuta dago lehenespenez. Esplizituki baimendutako ostalariak baimenduta daude soilik.
Politika lehenetsia (sarbidea ez) ezezaguna den fitxategi batera inplementatzen da:
/etc/hosts.deny: ALL: ALL
Honek ostalari guztientzako zerbitzu guztiak ukatzen ditu, baimendutako sarrerek sarrerako baimena ematen ez badute.
Esplizituki baimendutako ostalariak baimendutako fitxategian zerrendatzen dira. Adibidez:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
Lehenengo arauek tokiko domeinuko ostalarien sarbidea baimentzen dute (ez dago `. 'Ostalariaren izenean) eta some_netgroup netgroup- eko kideek. Bigarren araua foobar.edu domeinuko ostalari guztien sarbidea ahalbidetzen du (nabarituko puntua), terminalserver.foobar.edu izan ezik.
BETELAKO ABESUA
Hemen sarbide lehenespenez ematen da; esate baterako esplizituki zehaztutako ostalariak zerbitzua ukatzen zaie.
Politika lehenetsia (emandako sarbidea) baimentzeko fitxategia erredundantea da, beraz, ezeztatu egin daiteke. Esplizituki baimendu gabeko ostalariak ezeztatutako fitxategian agertzen dira. Adibidez:
/etc/hosts.deny: ALL: some.host.name, .some.domain
ALL EXCEPT in.fingerd: other.host.name, .other.domain
Lehenengo araua zerbitzuak guztiak ostalari eta domeinu guztiak ukatzen ditu; Bigarren araua beste ostalari eta domeinu batzuetako hatz-eskaerak ere onartzen ditu.
BOOBY TRAPS
Hurrengo adibidean tokiko domeinuko ostalarien tftp eskaerak baieztatzen dira (nabarituko puntua). Beste ostalarietatik egindako eskaerak ukatu egin dira. Eskatutako fitxategiaren ordez, hatz-zunda bidaltzen duen ostalarira bidaltzen da. Emaitza supermerkatuari bidaliko zaio.
/etc/hosts.allow:
in.tftpd: LOCAL, mymydomain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h erro) &Safe_finger komandoa tcpd bilgarriarekin dator eta leku egokian instalatu behar da. Ahalik eta urruneko hatz zerbitzariak bidalitako datuen kalteak mugatzen ditu. Hatz agindu estandarra baino babes hobea ematen du.
% H (bezero ostalariaren) eta% d (zerbitzuen izena) sekuentziak hedapena shell komandoen atalean deskribatzen da.
Abisua: ez ezazu booby-hatza deabruarekin tranpakatu, hatz infinituentzako begiztak prestatuta egon ezean.
Sareko suhiltzaileen sistemetan trikimailu hori are gehiago egin daiteke. Sareko suebaki tipikoek kanpoko munduarentzako zerbitzu multzo mugatua eskaintzen dute. Beste zerbitzu guztiek "bugged" izan dezakete tftp adibidez. Emaitza alerta goiztiarreko sistema bikaina da.
Garrantzitsua: erabili man komandoa ( % man ) komando bat nola erabiltzen den zure ordenagailuan.
Lotutako artikuluak