NAME
hosts_access - format tina host file kontrol aksés
gambaran
Kaca manual Ieu ngajelaskeun basa basajan kontrol aksés anu dumasar kana klien (ngaran host / alamat, ngaran pamaké), sarta server (ngaran prosés, ngaran host / alamat) pola. Conto anu dibikeun dina tungtungna. The maca ngabaran keur wanti mun skip ka bagian conto pikeun gancang bubuka .An Vérsi ngalegaan tina basa kontrol aksés digambarkeun dina hosts_options (5) dokumen. The ekstensi nu diaktipkeun dina waktos program ngawangun ku gedong jeung -DPROCESS_OPTIONS.
Dina téks di handap, daemon nyaeta nami prosesna tina hiji prosés daemon jaringan , sarta klien nyaeta nami jeung / atawa alamat di layanan host requesting. Network ngaran prosés daemon nu dieusian di file konfigurasi inetd.
ACCESS kontrol file
Sofwer kontrol aksés consults dua file . pilarian eureun di cocok munggaran.
Aksés bakal dibales lamun (daemon, klien) pasangan cocog entri dina file /etc/hosts.allow.
Upami teu kitu, aksés bakal nampik lamun (daemon, klien) pasangan cocog entri dina file /etc/hosts.deny.
Upami teu kitu, aksés bakal dibales.
A non-aya file kontrol aksés anu diolah sakumaha lamun éta hiji file kosong. Ku kituna, kontrol aksés bisa dipareuman ku cara méré euweuh file kontrol aksés.
Aturan ACCESS kontrol
Tiap file kontrol aksés ngawengku enol atawa leuwih garis tina téks. garis ieu téh diolah dina urutan pintonan. Pilarian terminates lamun cocok keur kapanggih.
Hiji karakter newline ieu dipaliré keur dimimitian ku karakter backslash. Ieu idin anjeun megatkeun nepi garis panjang ambéh maranéhanana anu gampang pikeun ngédit.
garis kosong atanapi garis anu dimimitian ku `# 'karakter nu teu dipalire. Ieu idin anjeun ngalebetkeun komentar na whitespace supados tabel anu gampang maca.
Kabéh garis séjén kedah nyugemakeun nu format di handap ieu, hal antara [] mahluk pilihan:
daemon_list: client_list [: shell_command]
daemon_list mangrupakeun daptar salah sahiji atawa leuwih ngaran prosés daemon (argv [0] nilai) atanapi wildcards (tempo di handap).
client_list mangrupakeun daptar ngaran salah sahiji atawa leuwih host, alamat host, pola atawa wildcards (tempo di handap) anu bakal loyog ngalawan nami klien host atawa alamat.
Bentuk daemon @ host na pamaké @ host leuwih kompleks anu dipedar di bagian on pola titik server na on lookups klien landihan masing-masing.
elemen Daptar kudu dipisahkeun ku blanks jeung / atawa koma.
Iwal Nis (YP) lookups netgroup, sadaya cék kontrol aksés anu hal merhatikeun.
pola
Bahasa kontrol aksés implements nu pola handap:
Hiji senar anu dimimitian ku `. ' karakter. Hiji ngaran host anu loyog lamun komponén panungtungan tina ngaranna cocog pola dieusian. Contona, dina pola `.tue.nl 'cocog nami host` wzv.win.tue.nl'.
Hiji senar anu ditungtungan make `. ' karakter. A alamat host anu loyog lamun huma numerik kahijina cocog string dibikeun. Contona, pola nu `131,155. ' cocog alamat tina (ampir) unggal host dina jaringan Eindhoven Universitas (131.155.xx).
Hiji senar anu dimimitian kalawan `@ 'karakter anu diolah sakumaha hiji Nis (baheulana YP) Ngaran netgroup. Hiji ngaran host anu loyog lamun eta mangrupakeun anggota host tina netgroup dieusian. Netgroup patandingan teu dirojong pikeun ngaran prosés daemon atawa keur ngaran klien pamaké.
Hiji ungkapan anu formulir `nnnn / mmmm 'ieu diinterpretasi salaku` net / topeng' pasangan. Alamatna host IPv4 geus loyog lamun `net 'sarua jeung bitwise nu AND sahiji alamatna jeung` topeng'. Contona, dina net / topeng pola `131.155.72.0/255.255.254.0 'cocog unggal alamatna dina rentang` 131.155.72.0' ngaliwatan `131.155.73.255 '.
Hiji ungkapan anu formulir `[n: n: n: n: n: n: n: n] / m 'anu diinterpretasi salaku` / prefixlen [net]' pasangan. Alamatna host IPv6 geus loyog lamun `prefixlen 'bit sahiji` net' sarua jeung `prefixlen 'bit sahiji alamat. Contona, dina [net] / pola prefixlen `[3ffe: 505: 2: 1 ::] / 64 'cocog unggal alamatna dina rentang` 3ffe: 505: 2: 1 ::' ngaliwatan `3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
Hiji senar anu dimimitian ku `karakter / 'geus diperlakukeun salaku ngaran koropakna . Hiji ngaran host atawa alamat ieu loyog lamun eta cocog ngaran host atawa alamat pola naon didaptarkeun dina file ngaranna. The format file nyaeta nol atawa leuwih garis kalawan enol atawa leuwih ngaran host atawa alamat pola dipisahkeun ku whitespace. Hiji pola ngaran file bisa dipaké mana ngaran host atanapi pola alamatna bisa dipaké.
Wildcards `* 'sarta`?' bisa dipaké pikeun cocog hostnames atawa alamat IP . Metoda ieu cocog henteu bisa dipaké ditéang jeung `net / topeng 'cocog, hostname cocog dimimitian ku`.' atanapi IP alamat cocog tungtung `. '.
WILDCARDS
Bahasa kontrol aksés ngarojong wildcards eksplisit:
ALL
The bonus universal, salawasna cocog.
lokal
Cocog host sagala anu ngaran henteu ngandung hiji titik karakter.
TEU DIPIKANYAHO
Cocog sagala pamaké anu ngaran geus kanyahoan, sarta cocog host sagala anu ngaran atawa alamat anu can kanyahoan. pola kieu kudu dipake kalayan perawatan: Ngaran host bisa jadi sadia alatan masalah ngaran server samentara. A alamat jaringan bakal sadia mun software nu teu bisa angka kaluar naon jinis jaringan eta diajak ngobrol.
DIPIKANYAHO
Cocog sagala pamaké anu ngaran geus dipikawanoh, sarta cocog host sagala anu ngaran jeung alamat nu dipikawanoh. pola kieu kudu dipake kalayan perawatan: Ngaran host bisa jadi sadia alatan masalah ngaran server samentara. A alamat jaringan bakal sadia mun software nu teu bisa angka kaluar naon jinis jaringan eta diajak ngobrol.
paranoid
Cocog host sagala anu ngaran teu cocog alamat na. Nalika tcpd ieu diwangun ku -DPARANOID (mode standar), eta pakait requests ti klien sapertos malah saméméh pilari di tabel kontrol aksés. Ngawangun tanpa -DPARANOID nalika rék kadali leuwih leuwih requests misalna.
operator
kajabi
Dimaksudkeun pamakéan nyaeta bentuk: `list_1 iwal list_2 '; nyusunna ieu cocog sagala hal anu cocog list_1 iwal eta cocog list_2. Operator iwal bisa dipaké dina daemon_lists na di client_lists. Operator iwal bisa nested: lamun bahasa kontrol bakal diturutan pamakéan kurung, `hiji Iwal b iwal c 'bakal parse sakumaha` (a iwal (b iwal c))'.
Mun aturan kontrol aksés mimitina-loyog ngandung paréntah cangkang, paréntah nu ieu subjected mun% panggantian (tingali bagian hareup). Hasilna ieu dibales ku prosés anak / bin / sh ku input baku, output sarta kasalahan dihubungkeun jeung / dev / hypothesis. Sebutkeun hiji `& 'di ahir sorana lamun teu hayang antosan nepika geus réngsé.
Paréntah cangkang kudu ngandelkeun setting jalur tina inetd kana. Gantina, aranjeunna kedah nganggo ngaran jalur mutlak, atawa maranéhna kudu dimimitian ku hiji jalur eksplisit = pernyataan naon.
The hosts_options (5) dokumen ngajelaskeun hiji basa alternatif anu ngagunakeun widang paréntah cangkang dina cara béda jeung sauyunan.
EXPANSIONS%
The expansions di handap ieu sadia dina Paréntah cangkang:
% A (% A)
The klien (server) host alamatna.
% c
Inpo klien: pamaké @ host, pamaké alamat @, ngaran host, atawa ngan alamatna, gumantung kana sabaraha informasi anu aya.
% d
Ngaran prosés daemon (argv [0] nilai).
% H (% H)
The klien (server) Ngaran host atanapi alamat, upami nami host anu sadia.
% N (% N)
The klien (server) Ngaran host (atawa "kanyahoan" atawa "paranoid").
% p
Prosés daemon id.
% s
Inpo server: daemon @ host, daemon alamat @, atawa ngan ngaran daemon, gumantung kana sabaraha informasi anu aya.
% u
Ngaran klien pamaké (atawa "kanyahoan").
%%
Expands ka% 'karakter tunggal `.
Karakter dina% expansions nu bisa galau cangkang nu diganti ku underscores.
Pola server titik
Dina raraga keur ngabedakeun klien ku alamat jaringan anu sipatna nyambung ka, pola pamakéan bentuk:
process_name @ host_pattern: client_list ...
Pola kawas ieu bisa dipaké lamun mesin miboga alamat internét béda kalayan hostnames internét béda. panyadia ladenan tiasa nganggo fasilitas ieu nawiskeun ftp, GOPHER atanapi WWW arsip jeung ngaran internét nu malah mungkin milik organisasi béda. Tempo oge `pulas 'pilihan dina hosts_options (5) dokumen. Sababaraha sistem (Solaris, FreeBSD) tiasa gaduh leuwih ti hiji alamat internét dina hiji panganteur fisik; kalawan sistem lianna anjeun kudu Resort ka dieunakeun atawa PPP pseudo interfaces nu hirup di hiji rohangan alamat jaringan dedicated.
host_pattern nu luyu aturan rumpaka sarua ngaran host jeung alamat dina konteks client_list. Biasana, server titik informasi anu sadia ngan ku jasa sambungan-berorientasi.
Klien landihan LOOKUP
Sabot host klien ngarojong protokol RFC 931 atanapi salah sahiji turunan na (ketok, IDENT, RFC 1413) nu program wrapper bisa meunangkeun informasi tambahan ngeunaan boga sambungan a. Inpo landihan klien, nalika aya, geus asup bareng jeung klien ngaran host, sarta bisa dipaké pikeun cocog pola kawas:
daemon_list: ... user_pattern @ host_pattern ...
The wrappers daemon bisa ngonpigurasi dina waktos compile nedunan lookups landihan aturan-disetir (standar) atawa salawasna tanya ka host klien. Dina kasus lookups landihan aturan-disetir, aturan di luhur bakal ngakibatkeun landihan lookup ukur nalika duanana nu daemon_list sarta cocok host_pattern.
Hiji pola pamaké boga rumpaka sarua salaku pola prosés daemon, sahingga wildcards sarua nerapkeun (kaanggotaan netgroup teu dirojong). Hiji kedah teu meunang dibawa jauh ku lookups landihan, sanajan.
Informasi klien landihan teu bisa dipercaya keur diperlukeun paling, nyaéta nalika sistem klien geus compromised. Sacara umum, ALL na (UN) dipikawanoh téh hijina pola ngaran pamaké nu make akal pikiran.
Ngaran pamaké lookups anu mungkin ngan ku ladénan basis-TCP, sarta ukur nalika host klien ngalir hiji daemon cocok; dina sakabeh kasus lianna hasilna mangrupa "kanyahoan".
A well-dipikawanoh UNIX kernel bug bisa ngakibatkeun leungitna jasa lamun lookups landihan anu diblokir ku firewall a. Dokumén wrapper README ngajelaskeun prosedur pikeun manggihan lamun kernel anjeun boga bug ieu.
Ngaran pamaké lookups bisa ngakibatkeun Nepi noticeable pikeun pamaké non-UNIX. The seep standar pikeun lookups landihan nyaéta 10 detik: teuing pondok Cope jeung Jaringan slow, tapi cukup lila pikeun ngairitasi pamaké PC.
lookups landihan selektif bisa alleviate masalah panungtungan. Contona, aturan kawas:
daemon_list: @pcnetgroup ALL @ ALL
bakal cocog anggota netgroup pc tanpa ngalakonan lookups landihan, tapi bakal ngalakonan lookups landihan kalawan sakabeh sistem lianna.
Detecting ADDRESS serangan SPOOFING
A cacad dina jumlah runtuyan generator loba implementations TCP / IP ngamungkinkeun intruders mun gampang impersonate sarwa dipercaya sarta megatkeun di via, contona, ladenan cangkang jauh. The IDENT (RFC931 jrrd) jasa bisa dipaké pikeun ngadeteksi serangan spoofing alamat host sapertos na séjén.
Sateuacan narima hiji pamundut klien, anu wrappers tiasa nganggo ladénan IDENT pikeun manggihan yén klien nu teu ngirimkeun menta pisan. Sabot host klien nyadiakeun layanan IDENT, hasil IDENT lookup négatip (klien nu cocog `kanyahoan @ host ') bukti kuat serangan host spoofing.
Hiji hasil IDENT lookup positif (klien nu cocog `dipikawanoh @ host ') nyaéta kirang dipercaya. Ieu mungkin pikeun hiji jelema nu ngacow mun spoof duanana sambungan klien tur IDENT nu lookup, sanajan ngalakukeun kitu téh loba harder ti spoofing ngan sambungan klien. Ogé bisa jadi éta server IDENT nu klien urang geus bohong.
Catetan: lookups IDENT ulah digawekeun ku jasa UDP.
conto
basa téh fléksibel cukup nu tipena béda kawijakan kontrol aksés bisa ditembongkeun ku minimum fuss. Sanajan basa ngagunakeun dua tabel kontrol aksés, anu kawijakan paling umum bisa dilaksanakeun kalayan salah sahiji tabel keur trivial atawa malah kosong.
Lamun maca conto dihandap hal anu penting pikeun nyadar yén dina ngawenangkeun tabel ieu discan méméh mungkir méja, éta teangan terminates lamun cocok keur kapanggih, sareng aksés anu teges nalika henteu cocok ieu kapanggih dina sagala.
Conto migunakeun ngaran host na domain. Éta bisa ningkat ku kaasup alamat jeung / atawa jaringan / informasi netmask, pikeun ngurangan dampak ngaran samentara gagal server lookup.
lolobana Ditutup
Dina hal ieu, aksés anu nampik sacara standar. Ngan sarwa eksplisit otorisasi anu diijinkeun aksés.
Kawijakan standar (teu aksés) anu dilaksanakeun ku file mungkir trivial:
/etc/hosts.deny: ALL: ALL
Ieu denies kabeh jasa ka sadaya sarwa, iwal aranjeunna diijinkeun aksés ku ganda dina ngawenangkeun file.
The sarwa eksplisit otorisasi dibéréndélkeun di ngawenangkeun file. Salaku conto:
/etc/hosts.allow: ALL: @some_netgroup Lokal
ALL: .foobar.edu iwal terminalserver.foobar.edu
Aturan kahiji idin aksés ti sarwa dina domain lokal (teu `. 'Dina nami host) jeung ti anggota netgroup some_netgroup. Aturan kadua idin aksés ti sarwa dina domain foobar.edu (perhatikeun ngarah titik), iwal terminalserver.foobar.edu.
lolobana OPEN
Di dieu, aksés keur dibales sacara standar; ngan sarwa eksplisit dieusian anu nampik jasa.
Kawijakan standar (aksés dibales) ngajadikeun ngawenangkeun file kaleuleuwihan meh bisa disingkahkeun. The sarwa eksplisit non-otorisasi dibéréndélkeun di mungkir file. Salaku conto:
/etc/hosts.deny: ALL: some.host.name, .some.domain
Kabéh kajaba in.fingerd: other.host.name, .other.domain
Aturan kahiji denies sababaraha sarwa jeung domain sagala jasa; aturan kadua masih idin requests ramo tina sarwa sejen tur domain.
sarap BOOBY
Conto hareup idin requests tftp tina sarwa dina domain lokal (perhatikeun ngarah titik). Requests tina sagala sarwa séjén nu nampik. Gantina tina file dipénta, a usik ramo geus dikirim ka host offending. hasilna ieu mailed mun superuser nu.
/etc/hosts.allow:
in.tftpd: lokal, /etc/hosts.deny .my.domain: in.tftpd: ALL: spawn (/ sabagian / tempat / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h root) &Paréntah safe_finger asalna jeung wrapper tcpd sarta kudu dipasang dina tempat merenah. Éta watesan mungkin karuksakan tina data nu dikirim ku server ramo jauh. Méré panyalindungan hadé ti paréntah ramo baku.
Perluasan tina% h (klien host) jeung% d (ngaran jasa) urutan digambarkeun dina bagian on Paréntah cangkang.
Perhatosan: ulah booby-bubu daemon ramo, iwal anjeun disiapkeun keur puteran ramo wates.
Dina sistem firewall jaringan trik ieu bisa dibawa sanajan salajengna. The firewall jaringan has ukur nyadiakeun set kawates jasa ka dunya luar. Kabéh jasa lianna bisa "bugged" kawas conto tftp luhur. hasilna mangrupa sistem mimiti-warning alus teuing.
Baca ogé
tcpd (8) program TCP / IP daemon wrapper. tcpdchk (8), tcpdmatch (8), program uji.Nu penting: Paké paréntah lalaki (% lalaki) ningali kumaha paréntah nu dipaké dina komputer husus Anjeun.