NAME
hosts_access - кабыл алуучу мүмкүндүк алууну башкаруу материалдарын формат
DESCRIPTION
Бул окуу куралы барак сүрөттөгөн кардардын негизделген жөнөкөй мүмкүндүк алууну башкаруу тилин (кабыл алуучу аты / дареги, колдонуучунун аты) жана Server (кайра аталышын, кабыл алуучу аты / дареги) ченемдүүлүктөрү. Мисалы, аягында берилет. Чыдамсыздык окурман тез үчүн мисалы бөлүмгө өткөрүп берүү үчүн кубаттоого алынат киргизүү мүмкүндүк алууну башкаруу тилинде берилген чыгаруу .Бир сүрөттөлгөн hosts_options (5) Документти көрүү. узартууну -DPROCESS_OPTIONS менен куруп программа учурда иштеп турган.
Төмөнкү текстте, Daemon бир жараяны аты тармак Daemon жүрүшүндө , ошондой эле кардардын аты-жөнү жана / же алуучу сурап кызмат дареги болуп саналат. Network Daemon жараяны аттары inetd тарам делосуна көрсөтүлгөн.
Мүмкүндүк алууну башкаруу FILES
Мүмкүндүк алууну башкаруу программа эки кайрылгандар материалдары . издөө биринчи матчында токтойт.
Бир (Daemon, кардар) жуп /etc/hosts.allow делосуна кириши дал келгенде гана мүмкүндүк алышат.
Болбосо, жеткиликтүүлүктү (Daemon, кардар) жуп /etc/hosts.deny делосуна кириши дал келгенде андан баш тартам.
Болбосо, мүмкүнчүлүгү берилет.
Бир эмес коздой контролдук бош билэ болсо чегерилет. Ошентип, мүмкүндүк алууну башкаруу эч кандай мүмкүндүк алууну башкаруу материалдары менен камсыз кылуу аркылуу өчүрүп коюуга мүмкүн.
Мүмкүндүк алууну башкаруу ЭРЕЖЕЛЕРИ
Ар бир мүмкүндүк алууну башкаруу билэ тексттин нөлгө барабар же андан көп линияларын турат. Бул сызыктар пайда тартибинде каралат. Эгер дал, издөө токтотулат.
ал слэш мүнөздөгү башталат Бир NEWLINE мүнөзү эске алынбайт. Себеби, алар түзөтүү үчүн кыйын экенин ушунчалык узун саптары талкалоо үчүн уруксат берет.
а `# 'белгиси менен башталат бош саптар же саптары эске алынбайт. Бул стол окуганга жардам берет, ошондуктан сын-пикирлерди жана Художник киргизүү үчүн уруксат берет.
Бардык башка багыттар төмөнкүдөй түзүлүшү канааттандыруу керек, [] милдеттүү болуп ортосундагы нерселер:
daemon_list: client_list [: shell_command]
daemon_list бир же бир нече Daemon жараяны аталыштар (argv [0] маанилер) же Атайын (төмөндө кара) тизмеси.
client_list бир же бир нече алуучу аталыштары, кабыл алуучу даректери, кардар алуучу атынын же дарегинин туура болот (төмөндө кара) үлгүлөрүнүн же Атайын тизмеси.
Кыйла татаал түрлөрү Daemon @ кабыл алуучу жана пайдалануучу @ кабыл тиешелүүлүгүнө жараша, Server аяккы схемалары жана кардардын аты Lookups боюнча бөлүмдөрдө баяндалган.
Тизме элементтер бланк жана / же үтүр менен бөлүнүп жазылышы керек.
NIS (YP) netgroup Lookups кошпогондо, бардык мүмкүндүк алууну башкаруу чектер сезбей иши болуп саналат.
PATTERNS
мүмкүндүк алууну башкаруу тили төмөнкү моделдерин ишке ашырат:
а `менен башталат бир сап. мүнөзү. анын ысмын акыркы компоненттери көрсөтүлгөн үлгүгө дал келсе, кабыл алуучу аты дал келет. Мисалы, үлгү `.tue.nl" кабыл алуучу аты `wzv.win.tue.nl дал".
а `менен аяктайт бир сап. мүнөзү. биринчи сан талаалары берген жипти дал келсе, кабыл алуучу дарек туура. Мисалы, үлгү 131.155 `. (Дээрлик) Роттердам University тармагына (131.155.xx) ар бир аскер дареги менен дал.
бир `@ 'белгиси менен башталат Бир сап бир NIS (мурунку YP) netgroup аты катары каралган. ал көрсөтүлгөн netgroup бир алуучу мүчөсү болсо, кабыл алуучу аты дал келет. Netgroup дан Daemon жараяны аталыштары же кардар колдонуучу аттары үчүн колдоого алынбайт.
түрүндө `ňňŋŋ / АААА бир сөз жуп бир` таза / маска деп да которулат. An IPv4 алуучу дареги `таза" дареги Бинардык жана `маска барабар" болсо, дал келет. Мисалы, таза / маска үлгү `131.155.72.0/255.255.254.0" алкакта ар дарегине дал `131.155.72.0 '` 131.155.73.255 "аркылуу.
түрүндө `айгинелейт [н: N: N: N: N: N: N: N /] м жуп бир` [таза] / prefixlen деп да которулат. An IPv6 алуучу дареги `prefixlen '` таза болгону биртике "дареги` prefixlen "бит барабар болсо, дал келет. Мисалы, [таза] / prefixlen үлгү `[3ffe: 505: 2: 1 ::] / 64" диапазону `3ffe ар дарегине дал: 505: 2: 1 :: '` 3ffe аркылуу: 505: 2: 1: дебей: дебей: дебей: дебей ".
А `/ 'белгиси менен башталат Бир сап катары мамиле билэ атын . А алуучу аты же дареги, ал деген делосуна келтирилген кайсы болбосун алуучу аты же дареги үлгүгө дал келсе, дал келет. тизмелер Whitespace менен бөлүнгөн нөлгө барабар же андан кабыл алуучу аты же дареги чиймелер менен нөл же бир нече багыттар болуп саналат. Билэ аты үлгү каалаган кабыл алуучу аты же дареги үлгүсү колдонууга болот колдонсо болот.
Атайын `*" жана `?" HOSTNAMES же дал келтире аласыз IP даректерин . дал ушул ыкма `таза / маска менен бирге колдонулушу мүмкүн эмес" дал келүүсү, түйүндүн дал `менен башталат. же IP дарек салыштыруу солум `.".
Атайын
мүмкүндүк алууну башкаруу тил ачык Атайын колдойт:
ALL
жалпы базалык, ар дайым дал келет.
ЖЕРГИЛИКТҮҮ
Анын аты-жөнү бир чекит мүнөзүн камтыган эмес, кандайдыр бир аскери Матчи.
БЕЛГИСИЗ
Анын аты-жөнү белгисиз бир колдонуучуга Матчи, жана анын аты же дареги белгисиз кандайдыр бир аскери дал келет. Бул үлгү этияттык менен колдонуу керек: алуучу аттары улам убактылуу аты Server көйгөйлөрүн жеткиликсиз болушу мүмкүн. программа менен сүйлөшүп тармакка кандай түрү таба албайт, Бир тармактык дареги жеткиликсиз болот.
ТАБЫЛЫШЫ
Анын аты-жөнү белгилүү бир колдонуучуга Матчи, жана анын аты-жөнү жана дареги белгилүү болгон бардык аскерлери менен дал келет. Бул үлгү этияттык менен колдонуу керек: алуучу аттары улам убактылуу аты Server көйгөйлөрүн жеткиликсиз болушу мүмкүн. программа менен сүйлөшүп тармакка кандай түрү таба албайт, Бир тармактык дареги жеткиликсиз болот.
Paranoid
аты-жөнү, анын дарегин дал келбейт бардык аскерлерин Матчи. tcpd -DPARANOID (демейки режими) менен курулат, ал да мүмкүндүк алууну башкаруу столдор карап чейин мындай кардарлардан суроо төмөндөйт. Ушундай суроо көзөмөлдөө келгенде -DPARANOID жок Build.
Байланыш операторлоруна
БАШКА
Атайылап пайдалануу түрүндө болот: `list_2 БАШКА list_1 '; Бул курган бул list_2 дал каралбаса list_1 дал нерсе туура. БАШКА оператор daemon_lists жана client_lists колдонулушу мүмкүн. БАШКА оператору уялашты болот: контролдук тили кашаанын, `ш БАШКА б башка '` (башка (C БАШКА б)) катары талдай турган "пайдаланууга уруксат бере турган болсо.
биринчи келген мүмкүндүк алууну башкаруу бийлиги бир номиналдык буйрук бар болсо, ал буйрук (кийинки бөлүктү карагыла)% алмаштыруу дуушар болот. Натыйжасы / иштеп чыгуучунун / нөл байланыштуу стандартты киргизүү, чыгаруу жана ката менен / бин / Sh бала ыкма менен жүргүзүлөт. бир `& 'буйругу аягында көрсөтүү болсо, эмне жок, аны аягына чейин күтүп келет.
Shell буйруктары inetd жолу жөндөө таянышыбыз керек эмеспи. Анын ордуна, алар абсолюттук жол аталыштарын пайдалануу, же ачык КЕЛЕЧЕК = кандай билдирүү менен башталат керек.
Hosts_options (5) Документти көрүү башка жана туура келбеген жол менен номиналдык буйрук талаасын колдонгон башка тилде жазылган.
% аймактарды
төмөнкү Голдман номиналдык буйруктарына ичинде жеткиликтүү:
% Менен (% A)
Керектөөчү (Server) кабыл алуучу дареги.
% с
Кардар жөнүндө маалымат: билан @ санакка кирген колдонуучу @ дареги, кабыл алуучу аты, же жөн гана бир дареги, канча маалымат жараша болот.
% D
Daemon жараяны аталышы (argv [0] балл).
% Ч (% H)
керектөөчү (Server) кабыл алуучу аты болсо, кабыл алуучу аты же дареги жеткиликтүү эмес.
% N (% N)
керектөөчү (Server) кабыл алуучу (же "белгисиз" же "паранойялык").
% б
Daemon жараяны ID.
% S
Server маалымат: Daemon @ санакка Daemon @ дареги, же болбосо жөн гана Daemon аты-жөнү, кандай жараша көп маалымат бар.
% у
керектөөчүнүн колдонуучунун аты (же "белгисиз").
%%
бир `% 'белгиси менен ачат.
кыртышын алмаштырышат% арттырууга каармандарды баса менен алмаштырып жатышат.
SERVER чекити PATTERNS
Алар түрүнө, бюллетендерди пайдалануу менен байланышууга тармак дареги боюнча кардарларды айырмалоо максатында:
process_name @ host_pattern: client_list ...
Ушул сыяктуу Patterns машина ар кандай интернет HOSTNAMES менен ар түрдүү интернет даректери бар болгондо колдонсо болот. Кызмат көрсөтүүчүлөр, ал тургай ар кайсы уюмдарга таандык болушу мүмкүн интернет аттарын FTP, Gopher же WWW Archives сунуш бул базаны пайдалана алышат. Карагыла да `тамашасы" параметрин hosts_options (5) документ. Кээ бир система (Solaris, FreeBSD) бир физикалык иштей бир интернет дарегине көп болушу мүмкүн; башка системалар менен сен байкабай же атайын тармактык дареги мейкиндикте реалдуу жашап МЖӨ жасалма кошки кайрылууга аргасыз болушу мүмкүн.
host_pattern client_list контекстинде алуучу аталыштары жана даректери, ошондой эле синтаксистик эрежелерге баш ийет. Адатта, Server чекити маалымат гана байланыш багытталган кызматтар менен таанышууга болот.
КАРДАР USERNAME издөө
керектөөчүнүн кабыл алуучу RFC 931 протокол же анын урпактарынын бири (TAP, IDENT, RFC 1413) колдойт качан бандеролдо программалар байланыштуу ээси тууралуу кошумча маалымат алуу мүмкүн. Кардардын аты маалымат, жеткиликтүү, кардар алуучу аты менен чогуу кирип жатат, жана башка ушу сыяктуу үлгүлөргө дал үчүн пайдаланылышы мүмкүн:
daemon_list: ... user_pattern @ host_pattern ...
Daemon Wrappers ченем кууп колдонуучунун Lookups аткаруу (демейки) же ар дайым кардардын аскерлерин суракка компилештирүү убакта өзгөрүүлөр болот. Эреже-куулуп колдонуучунун Lookups учурда, жогоруда айтылган эреже аты издөөнү гана daemon_list жана host_pattern матч да себеп болот.
Колдонуучу үлгү бир Daemon жараяны үлгү эле синтаксисин бар, ошондой эле Атайын (netgroup мүчө колдоого алынган эмес) колдонулат. Бир да, колдонуучунун Lookups менен алып кетиши керек.
бул абдан зарыл болгондо кардардын аты маалымат ишенимдүү болбойт, кардар системасы бузулгандыгын кийин, башкача айтканда. Жалпысынан алганда, жана (БУУнун) белгилүү мааниде гана колдонуучунун аты ченемдүүлүктөрү бар.
Кирүү Lookups гана TCP негизделген кызматтар менен мүмкүн болгон, ал эми бир гана кардар алуучу ылайыктуу Daemon аяктаганда; бардык башка учурларда натыйжасы "белгисиз" болуп саналат.
колдонуучунун аты Lookups бир тармактык менен тосуп жатканда белгилүү UNIX өзөк мүчүлүштүктөрдү кызматынын зыян алып келиши мүмкүн. бандеролдо README документ сиздин ядро бул ката болсо, билиш үчүн бир жол-жобосун түшүндүрөт.
Кирүү Lookups эмес UNIX колдонуучулар үчүн байкаларлык кечигүүлөр болушу мүмкүн. колдонуучунун аты Lookups үчүн демейки күтүү 10 секунда: жай тармактары менен күрөшүүдө өтө эле кыска, бирок PC колдонуучулар менен кыжырдантышы жетиштүү.
Тандалма колдонуучунун Lookups акыркы проблеманы чечүүгө болот. Мисалы, бир эреже сыяктуу:
daemon_list: @pcnetgroup БҮТ БААРЫ @
колдонуучунун аты Lookups кылып туруп, даана netgroup мүчөлөрүн дал келет, ал эми бардык башка системалар менен аты Lookups кылган.
Табылыш ADDRESS тымызын КОЛ
көп TCP / IP ишке катар саны генератор бир кемчилик Кирип жонокой ишенимдүү кошуундарын катарында, мисалы, аркылуу бузууга мүмкүндүк берет, алыскы номиналдык кызматы. IDENT (RFC931 ж.б.) кызматы жана башка кабыл алуучу дареги бурмалоо салууларды аныктоо үчүн пайдаланылышы мүмкүн.
кардар өтүнүчүн кабыл чейин Wrappers кардар бардык өтүнүчүн жиберген жок экенин билүү үчүн IDENT кызматын колдоно аласыз. керектөөчүнүн кабыл алуучу IDENT кызмат бергенде, терс IDENT издөө натыйжасын (кардар `БЕЛГИСИЗ @ кошуунун" дал) кабыл алуучу бурмалоо кол күчтүү бир далил.
А оң IDENT издөө натыйжасы (кардар `БИЛСЕ @ кошуунун" дал) анча ишенимдүү эмес. Ошентип бир кардар байланыш тымызын алда канча кыйын болсо да, зыян, кардар байланыштарын IDENT издөөнү да Борат үчүн мүмкүн эмес. Ал ошондой эле кардардын IDENT Server калп айтып жатат деп болушу мүмкүн.
Эскертүү: IDENT Lookups UDP кызмат менен иштебейт.
мисалы
тил мүмкүндүк алууну башкаруу саясатынын ар кандай түрлөрү алышуусу минимум менен көрсөтүлүшү мүмкүн деген жетиштүү ийкемдүү болот. тили эки мүмкүндүк алууну башкаруу үстөлдөрүн колдонот да, жалпы саясат столдор бир майда же бош болуу менен ишке ашырылышы мүмкүн.
жок матч бардык табылганда төмөнкү мисалдарды окуп ал стол жол экенин түшүнүшү абдан маанилүү дасторконго баш алдында сканерден болгондо, издөө Эгер дал качан токтотот да, ал мүмкүндүк берилет.
мисалдар кабыл алуучу жана домендик аталыштарын пайдаланышат. Алар убактылуу аты Server издөө каталарын таасирин азайтуу, анын ичинде дарегин жана / же тармакка / ырастап маалымат аркылуу жакшыртса болот.
негизинен ЖАБЫК
Бул учурда, мүмкүнчүлүгү демейки тарабынан тыюу салынган. Гана ачык ыйгарым өтүүдө кирүүгө уруксат берилген.
демейки саясаты (эч кандай мүмкүндүк алуу) маанисиз баш делосуна менен ишке ашырылат:
/etc/hosts.deny: ALL: ALL
Бул алар делосуна жол жазуу аркылуу кирүүгө уруксат берилген каралбаса, бардык асман аскерлеринин бардык кызмат четке какты.
ачык ыйгарым өтүүдө делосуна уруксат берилген. Мисалы:
/etc/hosts.allow: ALL: ЖЕРГИЛИКТҮҮ @some_netgroup
ALL: .foobar.edu БАШКА terminalserver.foobar.edu
Биринчи эреже жергиликтүү доменде Себайот келген жок ( `. Алуучу атынан) жана some_netgroup netgroup мүчөлөрүнүн мүмкүнчүлүгүн берет. Экинчи эреже foobar.edu домендин бардык Себайот чейин кирүүгө жол (жетектөөчү чекитти байкаган), terminalserver.foobar.edu кошпогондо.
негизинен OPEN
Бул жерде, мүмкүнчүлүгү демейки боюнча берилет; гана ачык көрсөтүлгөн өтүүдө кызмат баш тарткан болот.
демейки саясаты (кирүүгө) аны капарга албай коюуга болбойт, ошондуктан билэ ашыкча жол берет. ачык эмес ыйгарым укуктуу өтүүдө делосуна баш саналып өтөт. Мисалы:
/etc/hosts.deny: ALL: some.host.name, .some.domain
ALL in.fingerd БАШКА: other.host.name, .other.domain
Биринчи эреже кээ бир кошуундары четке кагып, бардык кызматтарды домендердин; Экинчи эреже дагы башка аскерлеринин жана домендердин тартып манжалары суроо берет.
тузактардан
кийинки мисал жергиликтүү доменде Себайот тартып tftp суроо-талаптарды (жетектөөчү чекитти байкаган) мүмкүндүк берет. башка Себайот талаптары танып жатышат. Анын ордуна суралган берилген, бир колу иликтөө бузган аскер жөнөтүлөт. натыйжасы Superuser жөнөтүп жатат.
/etc/hosts.allow:
in.tftpd: Жергиликтүү, .my.domain /etc/hosts.deny: in.tftpd: ALL: икринка (/ айрым / / safe_finger -l @% ч | \ / окудум / UCB / почта сатылышы% D-% ч тамыры) &safe_finger буйрук tcpd жабуу менен келип, ылайыктуу жерге орнотулушу керек. Бул алыскы манжа тейлөө аркылуу жиберилген маалыматтар мүмкүн болуучу зыянды чектейт. Бул стандарттык манжа буйругу караганда жакшыраак коргоону берет.
% H (кардар алуучу) жана% D (кызмат аталышы) тизмектеринин экспансиясы кабыгы осуятын бөлүгүндө сүрөттөлгөн.
Эскертүү: чексиз күчү илмектерге үчүн даяр болбосок, Багдатта тузак манжанын демонду жок.
тармакты системалары боюнча мындай ыкма дагы да жүргүзүлүшү мүмкүн. типтүү тармакты гана сырткы дүйнө үчүн кызмат чектелген топтомун камсыз кылат. Бардык башка кызматтар "лирика" болот эле жогоруда tftp мисалы сыяктуу. Жыйынтыгында мыкты эрте эскертүү системасы болуп саналат.
Кара
tcpd (8) тарабынан TCP / IP Daemon бандеролдо программасы. tcpdchk (8), tcpdmatch (8), сыноо программалары.Маанилүү иш: буйруктар, атап айтканда ЭЭМ колдонулуп келе жатканын көрүп, бир киши (% адам) колдонуу.