ENW
hosts_access - fformat ffeiliau rheoli mynediad host
DISGRIFIAD
Mae'r dudalen hon yn disgrifio iaith rheoli mynediad syml sydd wedi'i seilio ar gleient (enw'r lleoliad / cyfeiriad, enw'r defnyddiwr), a phatrymau gweinydd (enw'r broses, enw'r gwesteiwr / cyfeiriad). Rhoddir enghreifftiau ar y diwedd. Anogir y darllenydd anweddus i sgipio i'r adran ENGHREIFFTIAU ar gyfer cyflwyniad cyflym. Disgrifir fersiwn estynedig o'r iaith rheoli mynediad yn nogfen hosts_options (5). Mae'r estyniadau'n cael eu troi ar amser adeiladu rhaglenni trwy adeiladu gyda -DPROCESS_OPTIONS.
Yn y testun canlynol, daemon yw enw proses proses daemon rhwydwaith , a chleient yw enw a / neu gyfeiriad gwasanaeth sy'n gwneud cais i westeiwr. Nodir enwau proses daemon y Rhwydwaith yn y ffeil cyfluniad inetd.
FILIAU RHEOLI MYNEDIAD
Mae'r meddalwedd rheoli mynediad yn ymgynghori â dau ffeil . Mae'r chwiliad yn dod i ben yn y gêm gyntaf.
Rhoddir mynediad pan fydd pâr (daemon, cleient) yn cyd-fynd â chofnod yn y ffeil /etc/hosts.allow .
Fel arall, bydd mynediad yn cael ei wrthod pan fydd pâr (daemon, cleient) yn cyfateb i ffeil /etc/hosts.deny .
Fel arall, rhoddir mynediad.
Mae ffeil rheoli mynediad nad yw'n bodoli yn cael ei drin fel pe bai'n ffeil wag. Felly, gellir dileu rheolaeth mynediad trwy ddarparu unrhyw ffeiliau rheoli mynediad.
RHEOLAU RHEOLI MYNEDIAD
Mae pob ffeil rheoli mynediad yn cynnwys sero neu ragor o linellau testun. Mae'r llinellau hyn yn cael eu prosesu yn nhrefn yr edrychiad. Mae'r chwiliad yn dod i ben pan ddarganfyddir gêm.
Anwybyddir cymeriad newydd newydd pan fo cymeriad cefn yn ei flaen. Mae hyn yn caniatáu ichi dorri llinellau hir fel eu bod yn haws i'w golygu.
Anwybyddir llinellau neu linellau gwag sy'n dechrau gyda chymeriad `# '. Mae hyn yn caniatáu i chi fewnosod sylwadau a gofod gwag fel bod y tablau yn haws i'w darllen.
Dylai'r holl linellau eraill fodloni'r fformat canlynol, mae pethau rhwng [] yn ddewisol:
daemon_list: client_list [: shell_command]
Mae daemon_list yn rhestr o un neu fwy o enwau proses daemon (gwerthoedd argv [0] neu gardiau gwyllt (gweler isod).
Mae client_list yn rhestr o un neu fwy o enwau cynnal, cyfeiriadau, patrymau neu gardiau gwyllt (gweler isod) a fydd yn cael eu cyfateb yn erbyn enw neu gyfeiriad y cleient.
Mae'r ffurflenni mwy cymhleth yn cael eu hesbonio daemon @ host a user @ host yn yr adrannau ar batrymau pen pen y gweinydd ac ar edrychiadau defnyddiwr cleientiaid, yn y drefn honno.
Dylid gwahanu elfennau rhestru gan fannau a / neu comas.
Ac eithrio edrychiadau netgroup NIS (YP), mae'r holl wiriadau rheoli mynediad yn ansensitif.
PATTERNAU
Mae'r iaith rheoli mynediad yn gweithredu'r patrymau canlynol:
Llinyn sy'n dechrau gyda `. ' cymeriad. Mae enw host yn cael ei gyfateb os bydd cydrannau olaf ei enw yn cyd-fynd â'r patrwm penodedig. Er enghraifft, mae'r patrwm `.tue.nl 'yn cydweddu â'r enw gwesteiwr` wzv.win.tue.nl'.
Llinyn sy'n dod i ben gyda `. ' cymeriad. Cyfatebir cyfeiriad gwesteiwr os yw ei gaeau rhifol cyntaf yn cyfateb i'r llinyn a roddir. Er enghraifft, mae'r patrwm `131.155. ' yn cyfateb â chyfeiriad (bron) pob gwesteiwr ar rwydwaith Prifysgol Eindhoven (131.155.xx).
Mae llinyn sy'n dechrau gyda chymeriad `@ 'yn cael ei drin fel enw net (NIS gynt YP). Mae enw host yn cael ei gyfateb os yw'n aelod llety o'r grw p net penodol. Nid yw gemau netgroup yn cael eu cefnogi ar gyfer enwau prosesau daemon neu ar gyfer enwau defnyddwyr cleientiaid.
Mae mynegiant o'r ffurflen `nnnn / mmmm 'yn cael ei ddehongli fel pâr` net / mask'. Mae cyfeiriad gwesteiwr IPv4 yn cael ei gyfateb os yw 'net' yn hafal i AC bitwise y cyfeiriad a'r `masg '. Er enghraifft, mae'r patrwm net / mwg `131.155.72.0/255.255.254.0 'yn cyfateb i bob cyfeiriad yn yr ystod` 131.155.72.0' trwy `131.155.73.255 '.
Mae mynegiant o'r ffurflen `[n: n: n: n: n: n: n: n] / m 'wedi'i ddehongli fel pâr` [net] / prefixlen'. Mae cyfeiriad host IPv6 yn cyfateb os yw darnau `prefixlen 'o` net' yn hafal i'r darnau `prefixlen 'o'r cyfeiriad. Er enghraifft, mae'r patrwm [net] / prefixlen `[3ffe: 505: 2: 1 ::] / 64 'yn cyfateb i bob cyfeiriad yn yr ystod` 3ffe: 505: 2: 1 ::' through `3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
Mae llinyn sy'n dechrau gyda chymeriad `/ 'yn cael ei drin fel enw ffeil . Mae enw neu gyfeiriad host yn cael ei gyfateb os yw'n cyfateb i unrhyw enw host neu batrwm cyfeiriad a restrir yn y ffeil a enwir. Mae'r fformat ffeil yn sero neu ragor o linellau gyda niferoedd neu fwy o enwau gwesteiwr neu batrymau cyfeiriad wedi'u gwahanu gan gofod gwag. Gellir defnyddio patrwm enw ffeiliau mewn unrhyw le y gellir defnyddio enw host neu batrwm cyfeiriad.
Wildcards `* 'a`?' Gellir ei ddefnyddio i gyfateb enwau cynnal neu gyfeiriadau IP . Ni ellir defnyddio'r dull hwn o gydweddu ar y cyd â `nyth / masg 'cyfatebol, enw gwesteiwr sy'n cydweddu â`.' neu gyfeiriad cyfatebol IP yn dod i ben gyda `. '.
CARTREFI WILD
Mae'r iaith rheoli mynediad yn cefnogi gardiau gwyllt penodol:
I GYD
Mae'r cerdyn gwyllt cyffredinol, bob amser yn cyfateb.
LLEOL
Yn cydweddu unrhyw host nad yw ei enw yn cynnwys dot dot.
DYCHWELYD
Yn cydweddu unrhyw ddefnyddiwr y mae ei enw yn anhysbys, ac yn cyfateb i unrhyw westeiwr nad yw ei enw na'i gyfeiriad yn hysbys. Dylai'r patrwm hwn gael ei ddefnyddio gyda gofal: efallai na fydd enwau cynnal ar gael oherwydd problemau gweinydd enwau dros dro. Ni fydd cyfeiriad rhwydwaith ar gael pan na all y meddalwedd nodi pa fath o rwydwaith y mae'n ei siarad.
GAN DDYDDIAD
Yn cydweddu unrhyw ddefnyddiwr y mae ei enw yn hysbys, ac yn cyfateb i unrhyw westeiwr y mae ei enw a'i gyfeiriad yn hysbys. Dylai'r patrwm hwn gael ei ddefnyddio gyda gofal: efallai na fydd enwau cynnal ar gael oherwydd problemau gweinydd enwau dros dro. Ni fydd cyfeiriad rhwydwaith ar gael pan na all y meddalwedd nodi pa fath o rwydwaith y mae'n ei siarad.
PARANOID
Yn cydweddu unrhyw westeiwr nad yw ei enw yn cyfateb â'i gyfeiriad. Pan gaiff tcpd ei hadeiladu gyda -DPARANOID (modd diofyn), mae'n gostwng ceisiadau gan gleientiaid o'r fath hyd yn oed cyn edrych ar y tablau rheoli mynediad. Adeiladu heb-BYDDWCH pan fyddwch am gael mwy o reolaeth dros geisiadau o'r fath.
GWEITHREDWYR
EITHRIO
Mae'r defnydd bwriedig o'r ffurflen: `list_1 EITHRIAD rhestr_2 '; mae'r adeilad hwn yn cyfateb i unrhyw beth sy'n cyd - fynd rhestr_1 oni bai ei bod yn cyfateb â rhestr_2 . Gellir defnyddio'r gweithredydd EXCEPT mewn daemon_lists ac yn client_lists. Gall y gweithredwr EXCEPT gael ei nythu: pe byddai'r iaith reolaeth yn caniatáu defnyddio braenau, `EITHRIAD b EITHRIED c 'byddai'n parseio fel` (EITHRIAD (b EITHRIED c))'.
Os yw'r rheol rheoli mynediad cyfatebol cyntaf yn cynnwys gorchymyn cregyn, mae'r gorchymyn hwnnw'n destun% dirprwyon (gweler yr adran nesaf). Mae'r canlyniad yn cael ei weithredu gan broses plentyn / bin / sh gyda mewnbwn, allbwn safonol a gwall sy'n gysylltiedig â / dev / null . Nodwch `& 'ar ddiwedd y gorchymyn os nad ydych am aros nes ei fod wedi'i gwblhau.
Ni ddylai gorchmynion Shell ddibynnu ar leoliad PATH yr inetd. Yn lle hynny, dylent ddefnyddio enwau llwybr llwyr, neu dylent ddechrau gyda datganiad PATH = beth bynnag fo.
Mae'r ddogfen hosts_options (5) yn disgrifio iaith arall sy'n defnyddio'r maes gorchymyn cregyn mewn ffordd wahanol ac anghydnaws.
% EXPANSIONS
Mae'r ehangiadau canlynol ar gael o fewn gorchmynion cregyn:
% a (% A)
Cyfeiriad y gwesteiwr (gweinyddwr).
% c
Gwybodaeth i gleientiaid: defnyddiwr @ host, defnyddiwr @ cyfeiriad, enw cynnal, neu gyfeiriad yn unig, gan ddibynnu ar faint o wybodaeth sydd ar gael.
% d
Enw'r broses daemon (gwerth argv [0]).
% h (% H)
Enw neu gyfeiriad y gweinydd cleient (gweinyddwr), os nad yw'r enw cynnalwr ar gael.
% n (% N)
Enw gwesteiwr y cleient (gweinyddwr) (neu "anhysbys" neu "paranoid").
% p
Y broses daemon id.
% s
Gwybodaeth gweinydd: daemon @ host, cyfeiriad daemon, neu dim ond enw daemon, yn dibynnu ar faint o wybodaeth sydd ar gael.
% u
Enw'r defnyddiwr cleient (neu "anhysbys").
%%
Ehangu i un cymeriad `% '.
Caiff nodweddion yn% ehangiadau a allai ddrysu'r cregyn eu disodli gan danlinelliadau.
PATTERNAU ARCHWILIO GWASANAETHOL
Er mwyn gwahaniaethu â chleientiaid gan y cyfeiriad rhwydwaith y maent yn cysylltu â nhw, defnyddiwch batrymau'r ffurflen:
process_name @ host_pattern: client_list ...
Gellir defnyddio patrymau fel y rhain pan fydd gan y peiriant gyfeiriadau rhyngrwyd gwahanol â gwahanol enwebyddion cynnal rhyngrwyd. Gall darparwyr gwasanaeth ddefnyddio'r cyfleuster hwn i gynnig archifau FTP, GOPHER neu WWW gydag enwau rhyngrwyd a allai hyd yn oed yn perthyn i wahanol sefydliadau. Gweler hefyd yr opsiwn `twist 'yn y ddogfen hosts_options (5). Gall rhai systemau (Solaris, FreeBSD) gael mwy nag un cyfeiriad rhyngrwyd ar un rhyngwyneb ffisegol; gyda systemau eraill efallai y bydd yn rhaid i chi gyrchfannau rhyngweithiol SLIP neu PPP sy'n byw mewn gofod rhwydweithio penodol.
Mae'r host_pattern yn ategu'r un rheolau cystrawen fel enwau a chyfeiriadau cynnal yng nghyd-destun client_list. Fel rheol, mae gwybodaeth endpoint gweinyddwr ar gael yn unig gyda gwasanaethau sy'n gysylltiedig â chysylltiad.
LOOKUP CLEIENTIAID USERNAME
Pan fydd y gwesteiwr yn cynnal protocol RFC 931 neu un o'i ddisgynyddion (TAP, IDENT, RFC 1413) gall y rhaglenni lapio adennill gwybodaeth ychwanegol am berchennog cysylltiad. Mae gwybodaeth defnyddiwr cleientiaid, pan fydd ar gael, wedi'i logio gyda'i gilydd gydag enw cynnal y cleient, a gellir ei ddefnyddio i gyfateb patrymau fel:
daemon_list: ... user_pattern @ host_pattern ...
Gellir ffurfweddu'r lapiau daemon wrth lunio amser i berfformio edrychiadau enw defnyddiwr sy'n cael eu gyrru gan reol (rhagosodedig) neu i holi'r gwesteiwr. Yn achos chwilio defnyddiwr a reolir gan reol, byddai'r rheol uchod yn achosi defnyddiwr defnyddiwr yn unig pan fydd y daemon_list a'r host_pattern yn cydweddu.
Mae patrwm defnyddiwr yr un fath â chystrawen fel patrwm proses daemon, felly mae'r un gardiau gwyllt yn berthnasol (nid yw aelodaeth netgroup yn cael ei gefnogi). Fodd bynnag, ni ddylech gael gwared â chwiliadau enw defnyddiwr.
Ni ellir ymddiried yn wybodaeth enw defnyddiwr y cleient pan fo'i angen fwyaf, hy pan fo system y cleient wedi cael ei gyfaddawdu. Yn gyffredinol, POB a (UN) SYLWOD yw'r unig batrymau enw defnyddiwr sy'n gwneud synnwyr.
Mae edrychiadau enw defnyddiwr yn bosibl gyda gwasanaethau TCP yn unig, a dim ond pan fydd y cleient yn cynnal daemon addas; ym mhob achos arall mae'r canlyniad yn "anhysbys".
Gall namyn cnewyllyn UNIX adnabyddus achosi colli gwasanaeth pan fo edrychwr defnyddiwr yn cael ei atal gan wal dân. Mae'r ddogfen README lapio yn disgrifio gweithdrefn i ganfod a oes gan eich cnewyllyn y byl hwn.
Gall edrychiadau enw defnyddiwr achosi oedi amlwg i ddefnyddwyr nad ydynt yn UNIX. Mae'r amserlen rhagosodedig ar gyfer chwilio am ddefnyddiwr yn 10 eiliad: rhy fyr i ymdopi â rhwydweithiau araf, ond yn ddigon hir i anafu defnyddwyr PC.
Gall edrychiadau defnyddiwr dewisol leddfu'r broblem ddiwethaf. Er enghraifft, mae rheol fel:
daemon_list: @pcnetgroup ALL @ ALL
yn cyd-fynd ag aelodau'r pc net heb wneud defnyddiwr defnyddiwr, ond byddai'n perfformio edrychiadau defnyddiwr defnyddiwr gyda'r holl systemau eraill.
DIOGELU CYFEIRIAD GORCHYMYNAU SPOOFING
Mae diffygiad yn y generadur rhif dilyniant o lawer o weithrediadau TCP / IP yn caniatáu i ymosodwyr anwybyddu'n hawdd y lluoedd sy'n ymddiried ynddynt ac i dorri i mewn, er enghraifft, y gwasanaeth cragen anghysbell. Gellir defnyddio'r gwasanaeth IDENT (RFC931 ac ati) i ganfod ymosodiadau o'r fath a llety gwesteiwr eraill.
Cyn derbyn cais cleient, gall y deunydd lapio ddefnyddio'r gwasanaeth IDENT i ganfod nad yw'r cleient wedi anfon y cais o gwbl. Pan fydd y gweinydd cleient yn darparu gwasanaeth IDENT, mae canlyniad edrychiad negyddol gan IDENT (mae'r cleient yn cydweddu â `UNKNOWN @ host ') yn dystiolaeth gref o ymosodiad llestri.
Mae canlyniad edrychiad positif cadarnhaol (mae'r cleient yn cydweddu `KNOWN @ host ') yn llai dibynadwy. Mae'n bosib i intrudwr ysgwyddo'r cysylltiad â chleientiaid a'r edrychiad IDENT, er bod gwneud hynny yn llawer anoddach na chysylltiad cleient yn unig. Efallai hefyd fod gweinydd IDENT y cleient yn gorwedd.
Sylwer: Nid yw edrychiadau IDENT yn gweithio gyda gwasanaethau CDU.
ENGHREIFFTIAU
Mae'r iaith yn ddigon hyblyg y gellir mynegi gwahanol fathau o bolisi rheoli mynediad gydag isafswm o ffwd. Er bod yr iaith yn defnyddio dau dabl rheoli mynediad, gellir gweithredu'r polisïau mwyaf cyffredin gydag un o'r tablau yn ddibwys neu hyd yn oed yn wag.
Wrth ddarllen yr enghreifftiau isod mae'n bwysig sylweddoli bod y tabl caniatâd yn cael ei sganio cyn y tabl gwadu, bod y chwiliad yn dod i ben pan ddarganfyddir gêm, a chaniateir mynediad pan na ddarganfyddir unrhyw gyfateb o gwbl.
Mae'r enghreifftiau yn defnyddio enwau cynnal a phwyntiau. Gellir eu gwella trwy gynnwys cyfeiriad a / neu wybodaeth rhwydwaith / netmask, i leihau effaith methiannau chwilio am weinyddwr dros dro.
YN CAEL YN GOSOD
Yn yr achos hwn, gwrthodir mynediad yn ddiofyn. Dim ond mynychwyr a awdurdodwyd yn benodol sy'n cael mynediad i ganiatâd.
Mae'r polisi diofyn (dim mynediad) yn cael ei weithredu gyda ffeil gwadu dibwys:
/etc/hosts.deny: POB: HOLL
Mae hyn yn gwadu'r holl wasanaeth i bob gweithiwr, oni bai eu bod yn cael mynediad caniataol trwy gofnodion yn y ffeil caniatáu.
Rhestrir y lluoedd a awdurdodwyd yn benodol yn y ffeil caniatáu. Er enghraifft:
/etc/hosts.allow: POB: LLEOL @some_netgroup
POB: .foobar.edu EITHRIAD terfynalserver.foobar.edu
Mae'r rheol gyntaf yn caniatáu mynediad oddi wrth y lluoedd yn y parth lleol (dim `. 'Yn yr enw gwesteiwr) ac oddi wrth aelodau'r grw p group some_netgroup. Mae'r ail reol yn caniatáu mynediad oddi wrth yr holl hosts yn y parth foobar.edu (rhowch wybod ar y dot blaenllaw), ac eithrio termalserver.foobar.edu .
AGORED YN GYNTAF
Yma, rhoddir mynediad yn ddiofyn; dim ond gwesteion penodedig sy'n cael eu gwrthod yn cael eu gwrthod.
Mae'r polisi diofyn (mynediad a roddwyd) yn gwneud y ffeil caniatáu yn ddileu fel y gellir ei hepgor. Mae'r lluoedd sydd heb eu hawdurdodi yn benodol wedi'u rhestru yn y ffeil gwadu. Er enghraifft:
/etc/hosts.deny: POB: some.host.name, .some.domain
POB EITHRIAD in.fingerd: other.host.name, .other.domain
Mae'r rheol gyntaf yn gwadu rhai o'r lluoedd sy'n cynnal a chadw'r holl wasanaethau; mae'r ail reol yn dal i ganiatáu ceisiadau bys oddi wrth westeion a meysydd eraill.
TRAPS BOOBY
Mae'r enghraifft nesaf yn caniatáu ceisiadau tftp gan hosts yn y parth lleol (rhowch sylw ar y dot blaenllaw). Gwrthodir ceisiadau gan unrhyw un arall. Yn lle'r ffeil y gofynnwyd amdano, anfonir cyw iâr at y gwesteiwr troseddol. Mae'r canlyniad yn cael ei bostio at yr uwchfeddwr.
/etc/hosts.allow:
in.tftpd: LLEOL, .my.domain /etc/hosts.deny: in.tftpd: HOLL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h root) &Daw'r gorchymyn safe_finger gyda'r gwrapwr tcpd a dylid ei osod mewn man addas. Mae'n cyfyngu'r niwed posibl o ddata a anfonir gan y gweinydd bysedd anghysbell. Mae'n rhoi gwell amddiffyniad na'r gorchymyn bysedd safonol.
Disgrifir ymestyn y% h (host client) a% d (enw'r gwasanaeth) yn yr adran ar orchmynion cregyn.
Rhybudd: peidiwch â booby-trap eich demon bys, oni bai eich bod yn barod ar gyfer dolenni bysedd anfeidrol.
Ar systemau rhwydwaith tân rhwydwaith gellir gario'r gylch hwn hyd yn oed ymhellach. Dim ond cyfyngedig gyfyngedig o wasanaethau sy'n darparu'r wal allanol yn y byd allanol yn unig. Gall pob gwasanaeth arall gael ei "fwg" fel yr enghraifft tftp uchod. Mae'r canlyniad yn system ragorol o rybudd cynnar.
GWELD HEFYD
tcpd (8) rhaglen gwpio daemon tcp / ip. tcpdchk (8), tcpdmatch (8), rhaglenni prawf.Pwysig: Defnyddiwch y gorchymyn dyn ( % man ) i weld sut mae gorchymyn yn cael ei ddefnyddio ar eich cyfrifiadur penodol.