Име
хостс_аццесс - формат управљачких датотека Линук управљачког приступа.
Опис
Ова страница са упутствима описује Линук као једноставан језик контроле приступа који се заснива на клијенту (име / адреса хоста, корисничко име) и шаблон (име процеса, име домаћина / адреса). Примери су дати на крају. Нестрпљиви читач је охрабрен да пређе у одељак Примери за брзо уводјење. Проширена верзија језика контроле приступа описана је у хостс_оптионс (5) документа. Екстензије се укључују у времену изградње програма тако што ћете га градити помоћу -ДПРОЦЕСС_ОПТИОНС.
У следећем тексту, даемон је назив процеса процеса процесора мреже, и клијент је име и / или адреса сервиса који тражи хост. Имена процесних мрежних мрежа су наведена у инетд конфигурационој датотеки.
Датотеке контроле приступа
Софтвер за контролу приступа консултује две датотеке. Претрага се зауставља на првом мечу.
Приступ ће бити одобрен када се (даемон, клијент) пар подудара с уносом у /етц/хостс.аллов филе.
У супротном, приступ ће бити одбијен када се (даемон, клијент) пар подудара с уносом у /етц/хостс.дени филе.
У супротном, приступ ће бити одобрен.
Непостојећа датотека контроле приступа третира се као да је празна датотека. Стога се контрола приступа може искључити не обезбеђујући датотеке за контролу приступа.
Правила контроле приступа
Свака датотека контроле приступа се састоји од нула или више линија текста. Ове линије се обрађују по редоследу појављивања. Тражење се завршава када се пронађе меч.
Нови знак се игнорише када му претходи знак са бацксласх-у. Ово вам дозвољава да раздвојите дуге линије како би их лакше уредили.
Празне линије или линије које почињу знаком "#" су игнорисане. Ово вам омогућава да уносите коментаре и размаке тако да се табеле лакше читају.
Све друге линије треба да задовоље следећи формат, ствари између су необавезне:
даемон_лист: цлиент_лист : схелл_цомманд
даемон_лист је листа једног или више процеса процеса имена (аргв 0 вредности) или џокер-ова (погледајте доле).
цлиент_лист је листа једног или више имена домаћина, адреса домаћина, обрасци или џокер картице (погледајте доле) који ће се упарити са називом или адресом клијента.
Сложенијим облицима даемон @ хост и усер @ хост објашњени су у одељцима на шаблонима крајњих тачака сервера и на корисничким именима корисника.
Елементи листе треба да буду раздвојени празним и / или зарезом.
Са изузетком претраживања нетгрупе НИС (ИП), све контроле контроле приступа нису осјетљиве на случај.
Паттернс
Језик контроле приступа примењује следеће шеме:
Низ који почиње са `. ' карактер. Име хоста одговара ако последње компоненте његовог имена одговарају подударном образцу. На пример, образац `.туе.нл 'одговара имену хоста` взв.вин.туе.нл'.
Низ који се завршава са `. ' карактер. Адреса хоста одговара ако се његова прва нумеричка поља подударају са датим низом. На пример, образац `131.155. ' одговара адреси (скоро) сваког домаћина на мрежи Еиндховен универзитета (131.155.к.к).
Низ који почиње са знаком "@" третира се као НИС (раније ИП) име нетгрупа. Име хоста одговара ако је члан домаћина одређене нетгрупе. Нетгроуп мечеви нису подржани за имена процеса процеса или за корисничка имена клијента.
Израз облике `н.н.н.н / м.м.м.м` се тумачи као пар` нет / маск`. Адреса хоста ИПв4 одговара ако је `нет 'једнака битној и адреси и' маски '. На пример, шаблон мреже / маске `131.155.72.0/255.255.254.0 'одговара свакој адреси у опсегу` 131.155.72.0' кроз '131.155.73.255'.
Израз форма `н: н: н: н: н: н: н: н / м 'се тумачи као пар' нет / префикслен '. Адреса ИПв6 хоста одговара ако су `префикслен 'битови` нет' једнаки префиксленим битовима адресе. На пример, шаблон нет / префикслен "3ффе: 505: 2: 1 :: / 64" одговара свакој адреси у опсегу `3ффе: 505: 2: 1 :: 'кроз` 3ффе: 505: 2: 1: фффф: фффф: фффф: фффф '.
Низ који почиње са `/ 'карактером третира се као име датотеке. Име или адреса хоста се подударају ако се подударају са било којим називом хоста или шеме адресе наведених у назначеној датотеки. Формат датотеке је нула или више линија са нултом или већим називом хоста или обрасцима адресе раздвојених простором. Шаблон имена датотека може се користити свуда где се може користити име хоста или образац адреса.
Шаблони `* 'и`? може се користити за подударање имена хостова или ИП адреса. Овај метод усклађивања не може се користити у комбинацији са "нет / маск" усклађењем, усклађењем имена хоста који почиње са `. ' или ИП адреса која се завршава са `. '.
Џемпери
Језик контроле приступа подржава експлицитне џокове, укључујући:
'СВЕ'
Универзална варијанта увек се подудара.
'ЛОКАЛНО'
Одговара било којем хосту чије име не садржи знак карактера.
'НЕПОЗНАТ'
Подудара се са било којим корисником чије је име непознато, и одговара сваком хосту чије име или адреса није позната. Овај образац треба користити са пажњом: имена домаћина могу бити недоступна због привремених проблема са сервером имена. Мрежна адреса неће бити доступна када софтвер не може да открије коју врсту мреже разговара.
'ЗНАЛИ'
Подудара се са било којим корисником чије је име познато, и одговара сваком хосту чије име и адреса су позната.Овај образац треба користити са пажњом: имена домаћина могу бити недоступна због привремених проблема са сервером имена. Мрежна адреса неће бити доступна када софтвер не може да открије коју врсту мреже разговара.
'ПАРАНОИД'
Одговара било којем хосту чије име не одговара његовој адреси. Када је тцпд изграђен са -ДПАРАНОИД (подразумевани режим), пада захтјеве таквих клијената чак и пре него што погледа табеле контроле приступа. Изградите без -ДПАРАНОИД када желите више контроле над таквим захтевима.
'ОПЕРАТОРИ'
'ОСИМ'
Предвиђена употреба је у облику: `лист_1 ЕКСЦЕПТ лист_2 '; овај конструкт одговара свему што одговара лист_1 осим ако се не поклапа лист_2 . Оператор ЕКСЦЕПТ се може користити у даемон_листс-у и клијентским листама. Оператор ЕКСЦЕПТ се може угнежити: ако контролни језик дозвољава кориштење заграда, 'ЕКСЦЕПТ б ЕКСЦЕПТ ц' би се парала као `(ЕКСЦЕПТ (б ЕКСЦЕПТ ц)) '.
Команде Схелл
Ако правило за контролу приступа са првим упаривањем садржи команду схелл, та команда је подвргнута% заменама (погледајте следећи одељак). Резултат извршава а / бин / сх детет процес са стандардним улазом, излазом и грешком повезаном са / дев / нулл . Наведите `& 'на крају команде терминала ако не желите да чекате док се не заврши.
Команде Схелл-а не би требало да се ослањају на подешавање ПАТХ-а инетд-а. Умјесто тога, требали би користити апсолутна имена путања, или би требали почети са експлицитном ПАТХ = било којом изјавом.
Тхе хостс_оптионс (5) описује алтернативни језик који користи командно поље схелл на другачији и некомпатибилан начин.
% Екпансионс
Следеће експанзије су доступне унутар команди схелл-а:
% а (% А) - Адреса клијента (сервера).
% ц - Информације о клијенту: корисник @ хост, корисничка адреса @, име домаћина или само адреса, у зависности од тога колико информација има.
% д - Име процесора даемон (вредност аргв 0).
%ХХ) - Име или адреса хоста клијента (сервера), ако име хоста није доступно.
% н (% Н) - Име клијента (сервера) хоста (или "непознато" или "параноидно").
% п - ИД процеса процеса.
% с - Информације о серверу: даемон @ хост, даемон @ адреса, или само име даемон, у зависности од тога колико је информација доступно.
% у - Корисничко име клијента (или "непознато").
%% - Проширује се на један знак "%".
Знакови у% проширења који могу збунити љуску заменити су подчртавајем.
Паттерни крајњих тачака сервера
Да би се клијентима разликовали од мрежне адресе са којом се повезују, користите обрасце формулара:
процесс_наме @ хост_паттерн: цлиент_лист …
Узорци попут ових могу се користити када машина има различите интернет адресе са различитим интернет хостнамесима. Пружаоци услуга могу користити овај објекат да понуди ФТП, ГОПХЕР или ВВВ архиве са интернетским именима која чак могу припадати различитим организацијама. Погледајте и опцију `твист 'у хостс_оптионс (5) документу. Неки системи (Соларис, ФрееБСД) могу имати више од једне интернет адресе на једном физичком интерфејсу; са другим системима, можда ћете морати да користите СЛИП или ППП псеудо интерфејсе који живе у наменском мрежном адресном простору.
Хост_паттерн подудара с истим синтаксним правилима као имена и адресе домаћина у контексту клијента. Обично су информације о крајњој тачки сервера доступне само са услугама усмереним ка везама.
Претраживање корисничког корисничког имена
Када клијентски хост подржава протокол РФЦ 931 или један од његових потомака (ТАП, ИДЕНТ, РФЦ 1413) програми омота могу преузети додатне информације о власнику везе. Информације о корисничком корисничком клијенту, када су доступне, пријављују се заједно са називом имена клијента и могу се користити за усклађивање образаца као што су:
даемон_лист: … усер_паттерн @ хост_паттерн …
Омот машине се могу конфигурисати у време компајлирања како би извршили претрагу корисничког имена на основу правила (подразумевано) или да увек испитају хост клијента. У случају претраживања корисничког имена на основу правила, горе наведено правило ће узроковати претрагу корисничког имена само када су обоје даемон_лист и хост_паттерн утакмица.
Кориснички образац има исту синтаксу као шаблон процесора даемон-а, тако да се примењују исти џокер-картице (чланство у нетгроуп-у није подржано). Међутим, не треба се однети са претрагом корисничког имена.
Информације о корисничком корисничком имену не могу бити поуздане када је то најпотребније, тј. Када је клијентски систем угрожен. У принципу, АЛЛ и (УН) КНОВН су једини шаблони корисничког имена који имају смисла.
Претраживање корисничког имена је могуће само са услугама заснованим на ТЦП-у, и само када клијентски хост ради одговарајући демон; у свим осталим случајевима резултат је "непознат".
Познати УНИКС кернел буг може довести до губитка услуге када блокирање имена корисника блокира заштитни зид. Документ РЕАДМЕ о овојници описује процедуру сазнања да ли ваш кернел има ту грешку.
Претраживање корисничког имена може узроковати приметна кашњења за кориснике који нису УНИКС. Подразумевано време за претрагу корисника је 10 секунди: прекратко је да се носи са спорим мрежама, али довољно дуго да иритира кориснике рачунара.
Селективни преглед корисничких имена може ублажити последњи проблем. На пример, правило попут:даемон_лист: @пцнетгроуп АЛЛ @ АЛЛ
би се подударала са члановима пц нетгроуп-а, а не врши претрагу корисничког имена, али ће извршити претрагу корисничког имена са свим другим системима. Маневар у генератору секвенцијалног броја многих ТЦП / ИП имплементација дозвољава интрудерима да једноставно представљају поуздане хостове и да се пробију преко, на примјер, услуге удаљеног љускера.Услуга ИДЕНТ (РФЦ931 итд.) Може се користити за откривање таквих и других напада преваривања адресе домаћина. Пре прихватања захтјева клијента, омотачи могу користити услугу ИДЕНТ да би сазнали да клијент уопште не шаље захтјев. Када клијентски хост обезбеди ИДЕНТ услугу, резултат негативног ИДЕНТ-а (клијент се подудара са 'УНКНОВН @ хостом') је снажан доказ о нападу напада хоста. Позитиван резултат претраге ИДЕНТ-а (клијент се подудара са "КНОВН @ хостом") је мање поуздан. Могуће је да уљезе ометају и клијентску везу и претрагу ИДЕНТ-а, иако је то много теже него превара само клијентске везе. Такође може бити да клијентов ИДЕНТ сервер лежи. Напомена: Претраге ИДЕНТ-а не раде са УДП услугама. Језик је довољно флексибилан да се различити типови политике контроле приступа могу изразити са минимумом шума. Иако језик користи две табеле контроле приступа, најчешће се могу имплементирати са једним од табела које су тривијалне или чак празне. Када читате примере испод, важно је схватити да је табела дозвољеног скенирања пре одбијања табеле, да се претраживање прекине када се пронађе усклађивање и тај приступ се одобрава када уопште није пронађено никакво подударање. Примери користе имена домаћина и домена. Могу се побољшати укључивањем адресе и / или мрежних / нетмаск информација како би се смањио утицај привремених грешака у претраживању имена сервера. У том случају, приступ је подразумевано одбијен. Само експлицитно овлашћени хостови су дозвољени приступ. Подразумевана политика (без приступа) се имплементира са тривијалном датотеком за одбијање: /етц/хостс.дени: АЛЛ: АЛЛ Ово негира све услуге свим домаћинима, осим ако им није дозвољен приступ ставкама у дозвољеној датотеки. Изричито овлашћени хостови наведени су у дозвољеној датотеци. На пример: /етц/хостс.аллов: АЛЛ: ЛОЦАЛ @соме_нетгроупАЛЛ: .фообар.еду ЕКСЦЕПТ терминалсервер.фообар.еду Прво правило дозвољава приступ од хостова у локалном домену (нема '.' У име домаћина) и од чланова соме_нетгроуп нетгроуп. Друго правило дозвољава приступ свим домаћинима у фообар.еду домена (примијетите главну тачку), са изузетком терминалсервер.фообар.еду . Овде, приступ се подразумевано одобрава; само су изричито наведени хостови одбијене услуге. Подразумевана политика (одобрени приступ) чини дозвољену датотеку вишка, тако да се може изоставити. Изричито неодобрени хостови наведени су у датотеки која одбија. На пример: /етц/хостс.дени: СВЕ: соме.хост.наме, .соме.домаинАЛЛ ЕКСЦЕПТ ин.фингерд: отхер.хост.наме, .отхер.домаин Прво правило негира неке домете и домене све услуге; друго правило још увек дозвољава прст од других домаћина и домена. Следећи примјер дозвољава тфтп захтјеве домаћина у локалном домену (примјетите главну тачку). Захтеви од било којег другог домаћина се одбијају. Уместо тражене датотеке, сонда за прсте се шаље неуспешном домаћину. Резултат се шаље надређеном. /етц/хостс.аллов: ин.тфтпд: ЛОЦАЛ, .ми.домаин/етц/хостс.дени:ин.тфтпд: АЛЛ: спавн (/ соме / вхере / сафе_фингер -л @% х | / уср / уцб / пошта -с% д-% х роот) &
Команда сафе_фингер долази са тцпд омотачем и треба га инсталирати на одговарајуће место. Ограничава могућа оштећења података које је послао сервер удаљеног прста. Омогућава бољу заштиту од стандардне команде прстију. Експанзија% х (клијент домаћина) и% д (име име) секвенци описана је у одељку о командама схелла. Упозорење: Немојте сисати свој демон прста, осим ако сте спремни за бесконачне петље. На системима мрежног заштитног зида овај трик може се пренети чак и даље. Типичан мрежни заштитни зид нуди ограничен скуп услуга за спољни свет. Све друге услуге могу се "заглушити" баш као и горе наведени пример тфтп. Резултат је одличан систем раног упозорења. тцпд (8) програм тцп / ип даемон омот.тцпдцхк (8), тцпдматцх (8), тест програми.
Важно: Користити човек команда ( % ман ) да видите како се на вашем рачунару користи команда. Детектовање нападних напада
Примери
Углавном затворено
Углавном отворен
Бооби Трапс
Такође видети
