NAME
majeshi_access - muundo wa faili za kudhibiti ufikiaji wa mwenyeji
DESCRIPTION
Ukurasa huu wa mwongozo unaelezea lugha rahisi ya udhibiti wa upatikanaji unaozingatia mteja (jina la jeshi / anwani, jina la mtumiaji), na seva (jina la mchakato, jina la jeshi / anwani). Mifano hutolewa mwishoni. Msomaji mwenye subira anahimizwa kuruka kwenye sehemu ya EXAMPLES kwa kuanzishwa kwa haraka. Toleo la kupanua upatikanaji wa kupatikana linaelezewa kwenye hati ya majeshi_options (5). Upanuzi unageuka wakati wa kujenga programu kwa kujenga na -DPROCESS_OPTIONS.
Katika maandishi yafuatayo, daemon ni jina la mchakato wa mchakato wa daemon wa mtandao , na mteja ni jina na / au anwani ya huduma ya kuomba mwenyeji. Majina ya mchakato wa daemon ya mtandao huwekwa katika faili ya usanidi wa inetd.
FILE ZA UFUFUJI
Programu ya udhibiti wa upatikanaji inafuta mafaili mawili. Utafutaji unasimama kwenye mechi ya kwanza.
Ufikiaji utapewa wakati jozi (daemon, mteja) limeingia kwenye faili ya /etc/hosts.allow .
Vinginevyo, ufikiaji utakataliwa wakati jozi (daemon, mteja) inalingana na kuingiza kwenye faili ya /etc/hosts.deny .
Vinginevyo, ufikiaji utapewa.
Faili ya udhibiti wa upatikanaji haipatikani inatibiwa kama ni faili tupu. Hivyo, udhibiti wa upatikanaji unaweza kuzimwa kwa kutoa faili za kudhibiti upatikanaji.
Kanuni za Udhibiti wa Ufikiaji
Faili ya kudhibiti kila upatikanaji ina mistari ya zero au zaidi ya maandishi. Mstari huu hutengenezwa kwa utaratibu wa kuonekana. Utafutaji unakoma wakati mechi inapatikana.
Tabia mpya ya upya hupuuzwa ikiwa inatanguliwa na tabia ya kurudi nyuma. Hii inakuwezesha kuvunja mistari ndefu ili iwe rahisi kuhariri.
Mstari usio na mistari au mistari inayotokana na tabia ya `# 'inachunguzwa. Hii inakuwezesha kuingiza maoni na skitespace ili meza ziwe rahisi kusoma.
Mstari mwingine wote unapaswa kukidhi muundo uliofuata, vitu kati ya [] kuwa hiari:
daemon_list: client_list [: shell_command]
daemon_list ni orodha ya majina ya mchakato mmoja au zaidi ya daemon (maadili ya hoja [0] au wildcards (angalia chini).
mteja_list ni orodha ya majina moja au zaidi ya majeshi, anwani za mwenyeji, chati au wildcards (angalia hapa chini) ambayo itafanana dhidi ya jina la mwenyeji wa mteja au anwani.
Fomu nyingi zaidi daemon @ mwenyeji na mtumiaji @ mwenyeji huelezwa katika sehemu za mifumo ya mwisho ya seva na kwenye mteja wa mteja wa mteja, kwa mtiririko huo.
Orodha ya vipengee zinapaswa kutenganishwa na safu na / au vitambaa.
Kwa ubaguzi wa NIS (YP) wa netgroup lookups, hundi zote za udhibiti wa upatikanaji ni kesi isiyofaa.
PATTERNS
Lugha ya udhibiti wa upatikanaji hutumia mifumo ifuatayo:
Kamba inayoanza na '.' tabia. Jina la mwenyeji linalingana na vipengele vya mwisho vya jina lake vinavyolingana na muundo maalum. Kwa mfano, mfano `.tue.nl 'linalingana jina la mwenyeji` wzv.win.tue.nl'.
Kamba ambayo inaisha na '.' tabia. Anwani ya mwenyeji inafanana ikiwa mashamba yake ya kwanza ya simu yanafanana na kamba iliyotolewa. Kwa mfano, mfano `131.155. ' inafanana na anwani ya (karibu) kila mwenyeji kwenye mtandao wa Chuo Kikuu cha Eindhoven (131.155.xx).
Kamba ambayo huanza na `@ 'tabia inachukuliwa kama jina la NIS (zamani YP) jina la netgroup. Jina la jeshi linafanana kama ni mwanachama mwenyeji wa netgroup maalum. Mechi za Netgroup hazitumiki kwa majina ya mchakato wa daemon au majina ya watumiaji wa mteja.
Ufafanuzi wa fomu `nnnn / mmmm 'inafasiriwa kama jozi la' net / mask '. Anwani ya mwenyeji wa IPv4 inalingana na 'net' ni sawa na bitwise NA ya anwani na 'mask'. Kwa mfano, mfano wa net / mask `131.155.72.0/255.255.254.0 'inalinganisha kila anwani katika kiwango` 131.155.72.0' kupitia `131.155.73.255 '.
Ufafanuzi wa fomu `[n: n: n: n: n: n: n: n] / m 'inafasiriwa kama jozi` [net] / prefix prefix'. Anwani ya mwenyeji wa IPv6 inalingana na kama 'prefixlen' bits ya 'net' ni sawa na 'bima prefix' ya anwani. Kwa mfano, [net] / prefix prefix `[3ffe: 505: 2: 1 ::] / 64 'inalinganisha kila anwani katika upeo` 3ffe: 505: 2: 1 ::' kwa '3ffe: 505: 2: 1: fff: ffff: ffff: ffff '.
Kamba inayotokana na tabia ya `/ 'inachukuliwa kama jina la faili . Jina la jeshi au anwani inalinganishwa ikiwa inalingana na jina lolote la jeshi au muundo wa anwani iliyoorodheshwa kwenye faili iliyoitwa. Faili ya faili ni sifuri au mistari zaidi na jina la zero au zaidi ya jeshi au mwelekeo wa anwani uliotengwa na whitespace. Faili ya jina la faili inaweza kutumika mahali popote jina la jeshi au muundo wa anwani inaweza kutumika.
Wildcards `* 'na`?' inaweza kutumika kufanana na hostnames au anwani za IP . Njia hii ya kulinganisha haiwezi kutumika kwa kushirikiana na 'net / mask' vinavyolingana, jina la mwenyeji linalofanana na mwanzo na `. ' au anwani ya IP inalinganisha kuishia na `. '.
WILDCARDS
Lugha ya udhibiti wa upatikanaji inasaidia wildcards wazi:
WOTE
Wildcard ya ulimwengu wote, daima inafanana.
LOCAL
Inafanana na jeshi lolote ambalo jina lake hauna tabia ya dot.
Haijulikani
Inafanana na mtumiaji yeyote ambaye jina lake haijulikani, na hucheza mhusika yeyote ambaye jina lake au anwani haijulikani. Mfano huu unapaswa kutumiwa kwa utunzaji: majina ya mwenyeji huenda haipatikani kutokana na matatizo ya seva ya jina la muda. Anwani ya mtandao haipatikani wakati programu haiwezi kutambua aina ya mtandao unaozungumzia.
HAJILI
Inafanana na mtumiaji yeyote ambaye jina lake linajulikana, na linalingana na jeshi lolote ambalo jina na anwani hujulikana. Mfano huu unapaswa kutumiwa kwa utunzaji: majina ya mwenyeji huenda haipatikani kutokana na matatizo ya seva ya jina la muda. Anwani ya mtandao haipatikani wakati programu haiwezi kutambua aina ya mtandao unaozungumzia.
PARANOID
Inafanana na mwenyeji yeyote ambaye jina lake hailingani na anwani yake. Wakati tcpd imejengwa na -DPARANOID (mode default), inaacha maombi kutoka kwa wateja vile hata kabla ya kuangalia meza za udhibiti wa upatikanaji. Jenga bila -DPARANOID wakati unataka udhibiti zaidi juu ya maombi hayo.
OPERATORS
FUNA
Matumizi yaliyotarajiwa ni ya fomu: `orodha_1 EXCEPT orodha_2 '; hii hujenga kitu chochote ambacho kinafanana na orodha_1 isipokuwa inafanana na orodha_2 . Mtumiaji wa EXCEPT anaweza kutumiwa katika daemon_lists na katika orodha ya wateja. Mteja wa nje anaweza kuketi: kama lugha ya udhibiti ingeweza kuruhusu matumizi ya mabano, `kwa sababu b b kwa sababu c 'ingekuwa kama' (EXCEPT (b EXCEPT c)) '.
Ikiwa utawala wa kudhibiti ufikiaji wa kwanza una amri ya shell, amri hiyo inafanywa kwa substitutions% (angalia sehemu inayofuata). Matokeo hufanyika kwa mchakato wa mtoto / bin / sh na pembejeo ya kiwango, pato na kosa lililounganishwa na / dev / null . Taja `& 'mwisho wa amri ikiwa hutaki kusubiri mpaka imekamilika.
Amri ya Shell haipaswi kutegemea mazingira ya PATH ya inetd. Badala yake, wanapaswa kutumia majina ya njia kamili, au wanapaswa kuanza na PATH wazi = taarifa yoyote.
Majarida ya majeshi (5) yanaelezea lugha mbadala inayotumia uwanja wa amri ya shell katika namna tofauti na isiyokubaliana.
MAFUNZO
Ufafanuzi wafuatayo hupatikana ndani ya amri za shell:
% (% A)
Anwani ya mteja (seva).
% c
Maelezo ya Mteja: mtumiaji @ mwenyeji, mtumiaji @ anwani, jina la jeshi, au anwani tu, kulingana na habari gani inapatikana.
% d
Jina la mchakato wa daemon (thamani ya hoja [0].
% h (% H)
Jina la mteja (seva) jina au anwani, ikiwa jina la mwenyeji halipatikani.
% n (% N)
Jina la mteja (seva) jina la mwenyeji (au "haijulikani" au "paranoid").
% p
Idhini ya mchakato wa daemon.
% s
Maelezo ya wavuti: daemon @ mwenyeji, daemon @ anwani, au jina la daemon tu, kulingana na habari gani inapatikana.
% u
Jina la mtumiaji wa mteja (au "haijulikani").
%%
Nenea kwenye tabia moja `% '.
Washirika katika% ya kuongeza ambayo inaweza kuchanganya shell hubadilishwa na underscores.
SERVER ENDPOINT PATTERNS
Ili kutofautisha wateja na anwani ya mtandao wanayounganisha nayo, tumia ruwaza za fomu:
process_name @ host_pattern: mteja_list ...
Sampuli kama hizi zinaweza kutumika wakati mashine ina anwani tofauti za mtandao na hostnames tofauti za mtandao. Watoa huduma wanaweza kutumia kituo hiki kutoa hati za FTP, GOPHER au WWW na majina ya mtandao ambayo yanaweza hata kuwa ya mashirika tofauti. Tazama pia chaguo `kupotosha 'katika waraka_amaonyesho (5) hati. Mifumo fulani (Solaris, FreeBSD) inaweza kuwa na anwani zaidi ya moja ya mtandao kwenye interface moja ya kimwili; na mifumo mingine unaweza kuwa na mapumziko ya SLIP au PPP pseudo interfaces ambazo zinaishi katika nafasi ya anwani ya mtandao.
Mpangilio wa host_ huitii sheria sawa ya syntax kama majina na anwani katika jedwali la client_list. Kawaida, taarifa ya mwisho ya seva hupatikana tu kwa huduma za kuunganishwa.
MLINZI WA USERNAME AKUCHUKA
Wakati mwenyeji wa mteja anaunga mkono itifaki ya RFC 931 au mojawapo ya wazao wake (TAP, IDENT, RFC 1413) mipango ya kufuta inaweza kupata maelezo ya ziada kuhusu mmiliki wa uhusiano. Maelezo ya mtumiaji wa mtumiaji, wakati inapatikana, ameingia pamoja na jina la mwenyeji wa mteja, na inaweza kutumiwa kufanana na chati kama:
daemon_list: ... user_pattern @ host_pattern ...
Wrappers za daemon zinaweza kusanidiwa wakati wa kukusanya utawala unaotokana na utawala (default) au daima kuuliza mwenyeji wa mteja. Katika kesi ya lookups ya mtumiaji inayotokana na utawala, utawala hapo juu unasababisha jina la mtumiaji kutazama tu wakati wote wa daemon_list na mechi ya host_pattern .
Mfumo wa mtumiaji una syntax sawa na mfano wa mchakato wa daemon, hivyo msimu huo wa mwitu hutumika (uanachama wa netgroup hauna mkono). Moja haipaswi kuletwa na ufuatiliaji wa mtumiaji, hata hivyo.
Maelezo ya mtumiaji wa mteja haiwezi kuaminika wakati inahitajika zaidi, yaani, wakati mfumo wa mteja umeathiriwa. Kwa ujumla, ALL na (UN) wanajulikana ni njia pekee za jina la mtumiaji ambazo zina maana.
Machapisho ya jina la mtumiaji yanawezekana tu na huduma za msingi za TCP, na tu wakati mwenyeji wa mteja anaendesha daemon inayofaa; katika kesi nyingine zote matokeo ni "haijulikani".
Mgonjwa wa Kernel unaojulikana wa UNIX unaweza kusababisha upotevu wa huduma wakati lookups ya jina la mtumiaji imefungwa na firewall. Hati ya README ya wrapper inaelezea utaratibu wa kujua kama kernel yako ina mdudu huu.
Usanidi wa jina la mtumiaji unaweza kusababisha ucheleweshaji unaoonekana kwa watumiaji wasio UNIX. Kipindi cha muda cha kutosha kwa lookups ya mtumiaji ni sekunde 10: fupi sana ili kukabiliana na mitandao ya polepole, lakini muda mrefu wa kutosha kuwashawishi watumiaji wa PC.
Uteuzi wa mtumiaji wa kuchagua unaweza kupunguza tatizo la mwisho. Kwa mfano, sheria kama:
daemon_list: @pcnetgroup ALL @ ALL
ingefananisha wanachama wa netcroup ya pc bila kufanya lookups ya mtumiaji, lakini ingeweza kufanya lookups ya mtumiaji na mifumo mingine yote.
DETECTA ADDRESS KUTUMA MAFUNZO
Halafu katika jenereta ya nambari ya mlolongo wa utekelezaji wa TCP / IP nyingi inaruhusu waingizaji kutegesha kwa urahisi majeshi ya kuaminika na kuingia kupitia, kwa mfano, huduma ya kijijini. Huduma ya IDENT (RFC931 nk) inaweza kutumika kuchunguza mashambulizi ya spoofing kama hayo na mengine ya jeshi.
Kabla ya kukubali ombi la mteja, wrappers wanaweza kutumia huduma ya IDENT ili kujua kwamba mteja hakutuma ombi kabisa. Wakati mwenyeji wa mteja atatoa huduma ya IDENT, matokeo yasiyofaa ya kuingia kwa IDENT (mteja anayeshiriki `UNKNOWN @ mwenyeji ') ni ushahidi thabiti wa shambulio la uharibifu wa jeshi.
Matokeo mazuri ya kupatikana kwa IDENT (mteja anayeshiriki `KNOWN @ mwenyeji ') ni chini ya kuaminika. Inawezekana kwa intruder kuharibu uhusiano wote wa mteja na upatikanaji wa IDENT, ingawa kufanya hivyo ni vigumu sana kuliko kuharibu uhusiano tu wa mteja. Inaweza pia kuwa seva ya IDENT ya mteja ni uongo.
Kumbuka: IDENT lookups haifanyi kazi na huduma za UDP.
Mifano
Lugha ni rahisi kutosha kwamba sera tofauti za udhibiti wa upatikanaji zinaweza kuelezwa kwa kiwango cha chini. Ingawa lugha inatumia meza mbili za udhibiti wa upatikanaji, sera za kawaida zinaweza kutekelezwa na moja ya meza kuwa ndogo au hata tupu.
Unaposoma mifano hapa chini ni muhimu kutambua kwamba meza ya kuruhusu inafutwa kabla ya meza ya kukanusha, kwamba utafutaji unashika wakati mechi inapatikana, na upatikanaji huo unapatikana wakati hakuna mechi inapatikana.
Mifano hutumia majina na majina ya kikoa. Wanaweza kuboreshwa kwa kutumia anwani ya anwani na / au mtandao / netmask, ili kupunguza athari za kushindwa kwa muda wa seva ya jina la seva.
Imefungwa kote
Katika kesi hii, upatikanaji unakataliwa na default. Majeshi pekee yaliyoidhinishwa yanaruhusiwa kufikia.
Sera ya default (hakuna upatikanaji) inatekelezwa kwa faili ndogo ya kukanusha:
/etc/hosts.deny: ALL: ALL
Hii inakataa huduma zote kwa majeshi yote, isipokuwa kama inaruhusiwa upatikanaji na kuingizwa katika faili kuruhusu.
Majeshi yaliyoidhinishwa yaliorodheshwa kwenye faili ya kuruhusu. Kwa mfano:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
YOTE: .foobar.edu KUSA terminalserver.foobar.edu
Utawala wa kwanza unaruhusu upatikanaji kutoka kwa majeshi katika kikoa cha ndani (hakuna `. 'Jina la mwenyeji) na kutoka kwa wanachama wa net_group some_netgroup . Sheria ya pili inaruhusu upatikanaji kutoka kwa majeshi yote kwenye uwanja wa foobar.edu (tazama dot inayoongoza), isipokuwa terminalserver.foobar.edu .
Fungua kabisa
Hapa, ufikiaji hutolewa kwa default; majeshi maalum ya wazi ni huduma ya kukataliwa.
Sera ya default (upatikanaji uliotolewa) hufanya file kuruhusu redundant ili iweze kuondolewa. Majeshi ya wazi yasiyo ya mamlaka yameorodheshwa kwenye faili ya kukataa. Kwa mfano:
/etc/hosts.deny: ALL: some.host.name, .some.domain
WOTE KUSINI katika.fingerd: other.host.name, .other.domain
Utawala wa kwanza unakataa majeshi na domains huduma zote; sheria ya pili bado inaruhusu maombi ya kidole kutoka kwa majeshi mengine na domains.
BOOBY TRAPS
Mfano unaofuata unaruhusu maombi ya tftp kutoka kwa majeshi katika kikoa cha ndani (tazama dot inayoongoza). Maombi kutoka kwa majeshi mengine mengine yanakataliwa. Badala ya faili iliyoombwa, uchunguzi wa kidole unatumwa kwa mwenyeji mwenye hatia. Matokeo ni barua pepe kwa msimamizi.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ baadhi / wapi / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h mizizi) &Amri salama salama inakuja na wrapper ya tcpd na inapaswa kuwekwa mahali pafaa. Inapunguza uharibifu unaowezekana kutoka kwa data iliyotumwa na seva ya mbali ya kidole. Inatoa ulinzi bora kuliko amri ya kawaida ya kidole.
Upanuzi wa% h (mwenyeji wa mteja) na% d (jina la utumishi) unatajwa katika sehemu ya amri za shell.
Onyo: usiweke booby-mtego daemon yako ya kidole, isipokuwa kama umejiandaa kwa vitanzi vingi vya kidole.
Juu ya mifumo ya firewall ya mtandao hii hila inaweza kufanyika hata zaidi. Kawaida ya firewall ya mtandao hutoa seti ndogo ya huduma kwa ulimwengu wa nje. Huduma zingine zote zinaweza "kutumiwa" kama mfano wa juu wa tftp. Matokeo ni mfumo bora wa onyo wa mapema.
ANGALIA PIA
tcpd (8) tcp / ip daemon wrapper mpango. tcpdchk (8), tcpdmatch (8), mipango ya mtihani.Muhimu: Tumia amri ya mtu ( % mtu ) ili kuona jinsi amri hutumiwa kwenye kompyuta yako fulani.