НАМЕ
хостс_аццесс - формат датотека за контролу приступа домаћину
ОПИС
Ова страница са упутствима описује једноставан језик контроле приступа који се заснива на клијенту (име / адреса домаћина, корисничко име) и шаблон (име процеса, име домаћина / адреса). Примери су дати на крају. Нестрпљиви читач је подстакнут да пређе у одељак ЕКСАМПЛЕС за брзу представу . Продужена верзија језика контроле приступа је описана у документу хостс_оптионс (5). Екстензије се укључују у времену изградње програма тако што ћете га градити помоћу -ДПРОЦЕСС_ОПТИОНС.
У следећем тексту, даемон је назив процеса процеса процесора мреже , а клијент је име и / или адреса сервиса која захтева хост. Имена процесних мрежних мрежа су наведена у инетд конфигурационој датотеки.
ДАТОТЕКА КОНТРОЛЕ ПРИСТУПА
Софтвер за контролу приступа консултује две датотеке . Претрага се зауставља на првом мечу.
Приступ ће бити одобрен када се (даемон, клијент) пар подудара с уносом у /етц/хостс.аллов датотеку.
У супротном, приступ ће бити одбијен када се (даемон, клијент) пар подудара са уносом у /етц/хостс.дени датотеку.
У супротном, приступ ће бити одобрен.
Непостојећа датотека контроле приступа третира се као да је празна датотека. Стога се контрола приступа може искључити не обезбеђујући датотеке за контролу приступа.
ПРАВИЛА КОНТРОЛЕ ПРИСТУПА
Свака датотека контроле приступа се састоји од нула или више линија текста. Ове линије се обрађују по редоследу појављивања. Тражење се завршава када се пронађе меч.
Нови знак се игнорише када му претходи знак са бацксласх-у. Ово вам дозвољава да раздвојите дуге линије како би их лакше уредили.
Празне линије или линије које почињу знаком "#" су игнорисане. Ово вам омогућава да уносите коментаре и размаке тако да се табеле лакше читају.
Све друге линије треба да задовоље следећи формат, ствари између [] су необавезне:
даемон_лист: цлиент_лист [: схелл_цомманд]
даемон_лист је листа једног или више процеса процеса демона (аргв [0] вредности) или џокер-ова (погледајте доле).
цлиент_лист је листа једног или више имена домаћина, адреса домаћина, обрасци или џокер картице (погледајте доле) који ће се упарити са називом или адресом клијента.
Сложенији облици даемон @ хост и усер @ хост објашњени су у одељцима на шаблонима крајњих тачака сервера и на корисничким лоокуповима корисника, респективно.
Елементи листе треба да буду раздвојени празним и / или зарезом.
Са изузетком претраживања нетгрупе НИС (ИП), све контроле контроле приступа нису осјетљиве на случај.
ПАТТЕРНС
Језик контроле приступа примењује следеће шеме:
Низ који почиње са `. ' карактер. Име хоста одговара ако последње компоненте његовог имена одговарају подударном образцу. На пример, образац `.туе.нл 'одговара имену хоста` взв.вин.туе.нл'.
Низ који се завршава са `. ' карактер. Адреса хоста одговара ако се његова прва нумеричка поља подударају са датим низом. На пример, образац `131.155. ' одговара адреси (скоро) сваког домаћина на мрежи Еиндховен универзитета (131.155.кк).
Низ који почиње са знаком "@" третира се као НИС (раније ИП) име нетгрупа. Име хоста одговара ако је члан домаћина одређене нетгрупе. Нетгроуп мечеви нису подржани за имена процеса процеса или за корисничка имена клијента.
Израз форма `нннн / мммм` се тумачи као пар` нет / маске`. Адреса хоста ИПв4 одговара ако је `нет 'једнака битној и адреси и' маски '. На пример, шаблон мреже / маске `131.155.72.0/255.255.254.0 'одговара свакој адреси у опсегу` 131.155.72.0' кроз '131.155.73.255'.
Израз форма `[н: н: н: н: н: н: н: н] / м 'се тумачи као пар' [нет] / префикслен '. Адреса ИПв6 хоста одговара ако су `префикслен 'битови` нет' једнаки префиксленим битовима адресе. На пример, шаблон [нет] / префикслен "[3ффе: 505: 2: 1 ::] / 64" одговара свакој адреси у опсегу `3ффе: 505: 2: 1 :: 'кроз` 3ффе: 505: 2: 1: фффф: фффф: фффф: фффф '.
Низ који почиње са `/ 'карактером третира се као име датотеке . Име или адреса хоста се подударају ако се подударају са било којим називом хоста или шеме адресе наведених у назначеној датотеки. Формат датотеке је нула или више линија са нултом или већим називом хоста или обрасцима адресе раздвојених простором. Шаблон имена датотека може се користити свуда где се може користити име хоста или образац адреса.
Шаблони `* 'и`? може се користити за подударање имена хостова или ИП адреса . Овај метод усклађивања не може се користити у комбинацији са "нет / маск" усклађењем, усклађењем имена хоста који почиње са `. ' или ИП адреса која се завршава са `. '.
ВИЛДЦАРДС
Језик контроле приступа подржава експлицитне џокове:
СВЕ
Универзална варијанта увек се подудара.
ЛОЦАЛ
Одговара било којем хосту чије име не садржи знак карактера.
НЕПОЗНАТ
Одговара било којем кориснику чије је име непознато, и одговара било којем хосту чије име или адреса нису познате. Овај образац треба користити са пажњом: имена домаћина могу бити недоступна због привремених проблема са сервером имена. Мрежна адреса неће бити доступна када софтвер не може да открије коју врсту мреже разговара.
ЗНАМ
Подудара се са било којим корисником чије је име познато, и одговара сваком хосту чије име и адреса су познати. Овај образац треба користити са пажњом: имена домаћина могу бити недоступна због привремених проблема са сервером имена. Мрежна адреса неће бити доступна када софтвер не може да открије коју врсту мреже разговара.
ПАРАНОИД
Одговара било којем хосту чије име не одговара његовој адреси. Када је тцпд изграђен са -ДПАРАНОИД (подразумевани режим), пада захтјеве таквих клијената чак и пре него што погледа табеле контроле приступа. Изградите без -ДПАРАНОИД када желите више контроле над таквим захтевима.
ОПЕРАТОРИ
ОСИМ
Предвиђена употреба је у облику: `лист_1 ЕКСЦЕПТ лист_2 '; овај конструкт одговара свему што одговара листи_1 осим ако се не поклапа лист_2 . Оператор ЕКСЦЕПТ се може користити у даемон_листс-у и клијентским листама. Оператор ЕКСЦЕПТ се може угнежити: ако контролни језик дозвољава кориштење заграда, 'ЕКСЦЕПТ б ЕКСЦЕПТ ц' би се парала као `(ЕКСЦЕПТ (б ЕКСЦЕПТ ц)) '.
Ако правило за контролу приступа са првим упаривањем садржи команду схелл, та команда је подвргнута% заменама (погледајте следећи одељак). Резултат се извршава помоћу / бин / сх дететовог процеса са стандардним улазом, излазом и грешком повезаном на / дев / нулл . Наведите `& 'на крају команде ако не желите чекати док се не заврши.
Команде Схелл-а не би требало да се ослањају на подешавање ПАТХ-а инетд-а. Умјесто тога, требали би користити апсолутна имена путања, или би требали почети са експлицитном ПАТХ = било којом изјавом.
Документ хостс_оптионс (5) описује алтернативни језик који користи командно поље схелл на другачији и некомпатибилан начин.
% ЕКСПАНСИОНС
Следеће експанзије су доступне унутар команди схелл-а:
% а (% А)
Адреса клијента (сервера).
% ц
Информације о клијенту: корисник @ хост, корисничка адреса @, име домаћина или само адреса, у зависности од тога колико је информација на располагању.
% д
Назив процеса процеса (аргв [0]).
%ХХ)
Име или адреса хоста клијента (сервера), ако је име хоста недоступно.
% н (% Н)
Име клијента (сервера) хоста (или "непознато" или "параноидно").
% п
Ид процеса процеса.
% с
Информације о серверу: даемон @ хост, даемон @ адреса, или само име демона, у зависности од тога колико је информација доступно.
% у
Корисничко име клијента (или "непознато").
%%
Проширује се на један знак "%".
Знакови у% проширења који могу збунити љуску заменити су подчртавајем.
СЕРВЕР ЕНДПОИНТ ПАТТЕРНС
Да би се клијентима разликовали од мрежне адресе са којом се повезују, користите обрасце формулара:
процесс_наме @ хост_паттерн: цлиент_лист ...
Узорци попут ових могу се користити када машина има различите интернет адресе са различитим интернет хостнамесима. Пружаоци услуга могу користити овај објекат да понуди ФТП, ГОПХЕР или ВВВ архиве са интернетским именима која чак могу припадати различитим организацијама. Погледајте и опцију `твист 'у хостс_оптионс (5) документу. Неки системи (Соларис, ФрееБСД) могу имати више од једне интернет адресе на једном физичком интерфејсу; са другим системима, можда ћете морати да користите СЛИП или ППП псеудо интерфејсе који живе у наменском мрежном адресном простору.
Хост_паттерн подудара с истим синтаксним правилима као имена и адресе домаћина у контексту клијента. Обично су информације о крајњој тачки сервера доступне само са услугама усмереним ка везама.
КЛИЈЕНТ УСЕРНАМЕ ЛООКУП
Када клијентски хост подржава протокол РФЦ 931 или један од његових потомака (ТАП, ИДЕНТ, РФЦ 1413) програми омота могу преузети додатне информације о власнику везе. Информације о корисничком корисничком клијенту, када су доступне, пријављују се заједно са називом имена клијента и могу се користити за усклађивање образаца као што су:
даемон_лист: ... усер_паттерн @ хост_паттерн ...
Омот машине се могу конфигурисати у време компајлирања како би извршили претрагу корисничког имена на основу правила (подразумевано) или да увек испитају хост клијента. У случају претраживања корисничког имена на основу правила, горе наведено правило ће узроковати претрагу корисничког имена само када су и даемон_лист и хост_паттерн меч.
Кориснички образац има исту синтаксу као шаблон процесора даемон-а, тако да се примењују исти џокер-картице (чланство у нетгроуп-у није подржано). Међутим, не треба се однети са претрагом корисничког имена.
Информације о корисничком корисничком имену не могу бити поуздане када је то најпотребније, односно када је клијентски систем угрожен. У принципу, АЛЛ и (УН) КНОВН су једини шаблони корисничког имена који имају смисла.
Претраживање корисничког имена је могуће само са услугама заснованим на ТЦП-у, и само када клијентски хост ради одговарајући демон; у свим осталим случајевима резултат је "непознат".
Познати УНИКС кернел буг може довести до губитка услуге када блокирање имена корисника блокира заштитни зид. Документ РЕАДМЕ о овојници описује процедуру сазнања да ли ваш кернел има ту грешку.
Претраживање корисничког имена може узроковати приметна кашњења за кориснике који нису УНИКС. Подразумевано време за претрагу корисника је 10 секунди: прекратко је да се носи са спорим мрежама, али довољно дуго да иритира кориснике рачунара.
Селективни преглед корисничких имена може ублажити последњи проблем. На пример, правило попут:
даемон_лист: @пцнетгроуп АЛЛ @ АЛЛ
би се подударала са члановима пц нетгроуп-а, а не врши претрагу корисничког имена, али ће извршити претрагу корисничког имена са свим другим системима.
ОДРЕЂИВАЊЕ АДРЕСА СПОФИРИНГ АТТАЦКС
Маневар у генератору секвенцијалног броја многих ТЦП / ИП имплементација дозвољава интрудерима да једноставно представљају поуздане хостове и да се пробију преко, на примјер, услуге удаљеног љускера. Услуга ИДЕНТ (РФЦ931 итд.) Може се користити за откривање таквих и других напада преваривања адресе домаћина.
Пре прихватања захтјева клијента, омотачи могу користити услугу ИДЕНТ да би сазнали да клијент уопште не шаље захтјев. Када клијентски хост обезбеди ИДЕНТ услугу, резултат негативног ИДЕНТ-а (клијент се подудара са 'УНКНОВН @ хостом') је снажан доказ о нападу напада хоста.
Позитиван резултат претраге ИДЕНТ-а (клијент се подудара са "КНОВН @ хостом") је мање поуздан. Могуће је да уљезе ометају и клијентску везу и претрагу ИДЕНТ-а, иако је то много теже него превара само клијентске везе. Такође може бити да клијентов ИДЕНТ сервер лежи.
Напомена: Претраге ИДЕНТ-а не раде са УДП услугама.
ПРИМЕРИ
Језик је довољно флексибилан да се различити типови политике контроле приступа могу изразити са минимумом шума. Иако језик користи две табеле контроле приступа, најчешће се могу имплементирати са једним од табела које су тривијалне или чак празне.
Када читате примере испод, важно је схватити да је табела дозвољеног скенирања пре одбијања табеле, да се претраживање прекине када се пронађе усклађивање и тај приступ се одобрава када уопште није пронађено никакво подударање.
Примери користе имена домаћина и домена. Могу се побољшати укључивањем адресе и / или мрежних / нетмаск информација како би се смањио утицај привремених грешака у претраживању имена сервера.
МОСТЛИ ЦЛОСЕД
У том случају, приступ је подразумевано одбијен. Само експлицитно овлашћени хостови су дозвољени приступ.
Подразумевана политика (без приступа) се имплементира са тривијалном датотеком за одбијање:
/етц/хостс.дени: АЛЛ: АЛЛ
Ово негира све услуге свим домаћинима, осим ако им није дозвољен приступ ставкама у дозвољеној датотеки.
Изричито овлашћени хостови наведени су у дозвољеној датотеци. На пример:
/етц/хостс.аллов: АЛЛ: ЛОЦАЛ @соме_нетгроуп
АЛЛ: .фообар.еду ЕКСЦЕПТ терминалсервер.фообар.еду
Прво правило дозвољава приступ од хостова у локалном домену (нема ` .` у име хоста) и од чланова неке нетнет групе соме_нетгроуп . Друго правило дозвољава приступ од свих хостова у домену фообар.еду (примијетите главну тачку), са изузетком терминалсервер.фообар.еду .
МОСТЛИ ОПЕН
Овде, приступ се подразумевано одобрава; само су изричито наведени хостови одбијене услуге.
Подразумевана политика (одобрени приступ) чини дозвољену датотеку вишка, тако да се може изоставити. Изричито неодобрени хостови наведени су у датотеки која одбија. На пример:
/етц/хостс.дени: СВЕ: соме.хост.наме, .соме.домаин
АЛЛ ЕКСЦЕПТ ин.фингерд: отхер.хост.наме, .отхер.домаин
Прво правило негира неке домете и домене све услуге; друго правило још увек дозвољава прст од других домаћина и домена.
БООБИ ТРАПС
Следећи примјер дозвољава тфтп захтјеве домаћина у локалном домену (примјетите главну тачку). Захтеви од било којег другог домаћина се одбијају. Уместо тражене датотеке, сонда за прсте се шаље неуспешном домаћину. Резултат се шаље надређеном.
/етц/хостс.аллов:
ин.тфтпд: ЛОЦАЛ, .ми.домаин /етц/хостс.дени: ин.тфтпд: АЛЛ: спавн (/ соме / вхере / сафе_фингер -л @% х | \ / уср / уцб / маил -с% д-% х роот) &Команда сафе_фингер долази са тцпд омотачем и треба га инсталирати на одговарајуће место. Ограничава могућа оштећења података које је послао сервер удаљеног прста. Омогућава бољу заштиту од стандардне команде прстију.
Експанзија% х (клијент домаћина) и% д (име име) секвенци описана је у одељку о командама схелла.
Упозорење: немојте да замућите свој демон прста, осим ако сте спремни за бесконачне петље.
На системима мрежног заштитног зида овај трик може се пренети чак и даље. Типичан мрежни заштитни зид нуди ограничен скуп услуга за спољни свет. Све друге услуге могу се "заглушити" баш као и горе наведени пример тфтп. Резултат је одличан систем раног упозорења.
ТАКОЂЕ ВИДЕТИ
тцпд (8) програм тцп / ип даемон омот. тцпдцхк (8), тцпдматцх (8), тест програми.Важно: Користите команду човјека ( % човјек ) да бисте видели како се на вашем рачунару користи команда.