பெயர்
host_access - புரவலன் அணுகல் கட்டுப்பாட்டு கோப்புகளின் வடிவமைப்பு
விளக்கம்
இந்த கையேடு பக்கம் வாடிக்கையாளர் (புரவலன் பெயர் / முகவரி, பயனர் பெயர்) மற்றும் சேவையகம் (செயலாக்க பெயர், புரவலன் பெயர் / முகவரி) ஆகியவற்றை அடிப்படையாகக் கொண்ட எளிய அணுகல் கட்டுப்பாட்டு மொழியை விவரிக்கிறது . எடுத்துக்காட்டுகள் முடிவில் கொடுக்கப்படுகின்றன. பொறுமையற்ற வாசகர் ஒரு விரைவான அறிமுகத்திற்காக EXAMPLES பிரிவுக்குத் தவிர்க்க ஊக்குவிக்கப்படுகிறார். அணுகல் கட்டுப்பாட்டு மொழியை ஒரு நீட்டிக்கப்பட்ட பதிப்பு, hosts_options (5) ஆவணத்தில் விவரிக்கப்பட்டுள்ளது. -DROCESS_OPTIONS ஐ உருவாக்குவதன் மூலம் நீட்டிப்புகள் நிரல் உருவாக்கத்தில் இயக்கப்படுகின்றன.
பின்வரும் உரையில், டெமான் என்பது ஒரு பிணைய டெமான் செயல்முறையின் செயல்பாட்டின் பெயராகும், மற்றும் கிளையன் ஹோஸ்ட் வேண்டுகோள் சேவையின் பெயர் மற்றும் / அல்லது முகவரி. நெட்வொர்க் டீமான் செயலாக்க பெயர்கள் inetd கட்டமைப்பு கோப்பில் குறிப்பிடப்பட்டுள்ளன.
ACCESS கட்டுப்பாட்டு கோப்புகள்
அணுகல் கட்டுப்பாட்டு மென்பொருள் இரண்டு கோப்புகள் துணைபுரிகிறது. தேடல் முதல் போட்டியில் நிறுத்தப்படும்.
/etc/hosts.allow கோப்பில் ஒரு (டீமான், கிளையண்ட்) ஜோடி ஒரு உள்ளீட்டை பொருத்தும்போது அணுகல் வழங்கப்படும்.
இல்லையெனில், /etc/hosts.deny கோப்பில் உள்ள ஒரு (டீமான், கிளையண்ட்) ஜோடி ஒரு உள்ளீடு பொருந்தும் போது அணுகல் மறுக்கப்படும்.
இல்லையெனில், அணுகல் வழங்கப்படும்.
ஒரு இல்லாத கோப்பு அணுகல் கோப்பு ஒரு வெற்று கோப்பு போல கருதப்படுகிறது. எனவே அணுகல் கட்டுப்பாட்டு கோப்புகளை அணுகுவதன் மூலம் அணுகல் கட்டுப்பாடு முடக்கப்படும்.
ACCESS கட்டுப்பாட்டு விதிமுறைகள்
ஒவ்வொரு அணுகல் கட்டுப்பாட்டு கோப்பும் பூஜ்யம் அல்லது அதிக வரிகளை கொண்டிருக்கும். தோற்றத்தின் வரிசையில் இந்த வரிகள் செயலாக்கப்படுகின்றன. ஒரு போட்டியை காணும்போது தேடல் முடிவடைகிறது.
பின்ஸ்லாஷ் கதாபாத்திரத்தால் முன்னால் இருக்கும் போது ஒரு புதிய எழுத்துக்குறி புறக்கணிக்கப்படுகிறது. இது நீண்ட வரிகளை உடைக்க உங்களை அனுமதிக்கிறது, இதனால் அவை திருத்த எளிதாகும்.
'#' கதாபாத்திரத்துடன் தொடங்கும் வெற்று கோடுகள் அல்லது கோடுகள் புறக்கணிக்கப்படுகின்றன. அட்டவணைகள் எளிதாக வாசிக்கக்கூடிய வகையில் கருத்துகளையும் இடைவெளிகளையும் சேர்க்க இது அனுமதிக்கிறது.
அனைத்து மற்ற கோடுகள் பின்வரும் வடிவமைப்பை திருப்திப்படுத்த வேண்டும், []]
daemon_list: client_list [: shell_command]
daemon_list ஒன்று அல்லது அதற்கு மேற்பட்ட டீமான் செயல்முறை பெயர்களின் பட்டியல் (argv [0] மதிப்புகள்) அல்லது வைல்டு கார்டுகள் (கீழே காண்க).
client_list ஒன்று அல்லது அதற்கு மேற்பட்ட புரவலன் பெயர்கள், புரவலன் முகவரிகள், வடிவங்கள் அல்லது வைல்டு கார்டுகள் (கீழே பார்க்கவும்) கிளையன் ஹோஸ்ட் பெயர் அல்லது முகவரிக்கு பொருந்துமாறு இருக்கும்.
மேலும் சிக்கலான வடிவங்கள் டீமான் @ புரவலன் மற்றும் பயனர் @ ஹோஸ்ட் ஆகியவை முறையே சேவையக இறுதி முடிவு வடிவங்களில் மற்றும் வாடிக்கையாளர் பயனர்பெயர் பார்வைகளில் விளக்கப்பட்டுள்ளது.
பட்டியல் கூறுகள் வெற்றிடங்கள் மற்றும் / அல்லது காற்புள்ளிகளால் பிரிக்கப்பட வேண்டும்.
NIS (YP) netgroup lookups தவிர்த்து, அனைத்து அணுகல் கட்டுப்பாட்டு காசோலைகள் வழக்கு உணர்ச்சியற்றவை.
வடிவங்கள்
அணுகல் கட்டுப்பாட்டு மொழி பின்வரும் வடிவங்களை செயல்படுத்துகிறது:
ஒரு சரம் தொடங்குகிறது `. ' பாத்திரம். அதன் பெயர் கடைசி கூறுகள் குறிப்பிட்ட முறைக்கு பொருந்தும் என்றால் ஒரு புரவலன் பெயர் பொருந்தும். எடுத்துக்காட்டாக, `.tue.nl 'என்ற முறையை புரவலன் பெயர்` wzv.win.tue.nl' உடன் பொருத்துகிறது.
ஒரு சரம் முடிவடைகிறது `. ' பாத்திரம். கொடுக்கப்பட்ட சரத்துடன் அதன் முதல் எண் துறைகள் பொருத்தப்பட்டால், புரவலன் முகவரி பொருந்துகிறது. உதாரணமாக, `131.155 முறை. ' ஐன்ஹோவென் யுனிவர்சல் நெட்வொர்க் (131.155.xx) இல் உள்ள ஒவ்வொரு புரவலர் (கிட்டத்தட்ட) முகவரிக்கு பொருந்தும்.
ஒரு `@ 'பாத்திரம் தொடங்கும் ஒரு சரம் ஒரு NIS (முன்னர் YP) நெட்வொர்க் பெயராக கருதப்படுகிறது. குறிப்பிட்ட வலைப்பக்கத்தில் ஒரு புரவலன் உறுப்பினராக இருந்தால் புரவலன் பெயர் பொருந்துகிறது. டெமான் செயல்முறை பெயர்களுக்கு அல்லது க்ளையன்ட் பயனர் பெயர்களுக்கு நெட்வொர்க் போட்டிகள் ஆதரிக்கப்படவில்லை.
'Nnnn / mmmm' என்ற வடிவத்தின் வெளிப்பாடு `நிகர / முகமூடி 'ஜோடி எனப் பொருள்படும். பிட்வைஸ் மற்றும் முகவரி மற்றும் `முகமூடி 'ஆகியவற்றுக்கு சமமானதாக இருந்தால், ஒரு IPv4 புரவலன் முகவரி பொருந்தும். எடுத்துக்காட்டாக, '131.155.73.255' மூலம் '131.155.72.0' வரம்பில் ஒவ்வொரு முகவரிக்கும் நிகர / முகமூடி வகை `131.155.72.0/255.255.254.0 'பொருந்தும்.
வடிவம் [n: n: n: n: n: n: n: n: n] / m என்பது '[net] / prefixlen' ஜோடி என விளக்கம் அளிக்கப்படுகிறது. முகவரிக்கு 'prefixlen' பிட்களுக்கு `net 'என்ற' prefixlen 'பிட்கள் சமமாக இருந்தால் IPv6 புரவலன் முகவரி பொருந்தும். உதாரணமாக, [3ffe: 505: 2: 1 ::] / 64 '' வரம்பில் உள்ள ஒவ்வொரு முகவரியையும் பொருந்துமாறு '3ffe: 505: 2: 1 ::' 3ffe: 505: 2: 1: FFFF: FFFF: FFFF: FFFF '.
ஒரு `/ 'எழுத்துக்குறி தொடங்கும் சரம் ஒரு கோப்பு பெயராக கருதப்படுகிறது. பெயரிடப்பட்ட கோப்பில் பட்டியலிடப்பட்டுள்ள எந்த புரவலன் பெயரையோ அல்லது முகவரி முறையையோ பொருத்தினால் அது ஒரு புரவலன் பெயர் அல்லது முகவரி பொருந்தும். கோப்பு வடிவமைப்பு பூஜ்யம் அல்லது பிரிக்கப்பட்ட நெடுவரிசை அல்லது அதிக புரவலன் பெயர் அல்லது முகவரி வடிவங்களை இடைவெளிகளால் பிரிக்கப்படுகிறது. ஒரு கோப்பு பெயர் முறை பயன்படுத்தப்படலாம் எங்கு ஒரு ஹோஸ்ட் பெயர் அல்லது முகவரி முறை பயன்படுத்த முடியும்.
வைல்டு கார்டுகள் `* 'மற்றும்`?' ஹோஸ்ட் பெயர்கள் அல்லது ஐபி முகவரிகள் பொருத்த பயன்படுகிறது. 'நிகர / முகமூடி' பொருத்தம், ஹோஸ்ட்பெயர் பொருத்துதல் தொடங்குதல் '.' அல்லது ஐபி முகவரியை பொருத்துதல்.
வைல்டுகார்டுகளைப்
அணுகல் கட்டுப்பாட்டு மொழி வெளிப்படையான வைல்டுகளைக் ஆதரிக்கிறது:
அனைத்து
உலகளாவிய வைல்டு கார்டு, எப்போதும் பொருந்தும்.
உள்ளூர்
எந்த பெயரையும் ஒரு டாட் கதாபாத்திரம் கொண்டிருக்காத எந்த புரவணுவும் பொருந்துகிறது.
தெரியாத
பெயர் தெரியாத எந்த பயனருடனும் பொருந்துகிறது, பெயர் அல்லது முகவரி தெரியாத ஏதேனும் புரவலன் பொருந்துகிறது. இந்த முறையை கவனமாகப் பயன்படுத்த வேண்டும்: தற்காலிக பெயர் சர்வர் சிக்கல்கள் காரணமாக ஹோஸ்ட் பெயர்கள் கிடைக்காது. மென்பொருளை எந்த வகையான நெட்வொர்க்குடன் பேசுகிறீர்கள் என்று மென்பொருள் கண்டுபிடிக்க முடியாதபோது ஒரு நெட்வொர்க் முகவரி கிடைக்காது.
அறியப்பட்ட
யாருடைய பெயர் அறியப்பட்ட எந்த பயனருடனும் பொருந்துகிறது, பெயர் மற்றும் முகவரி அறியப்படும் எந்த புரவலுடனும் பொருந்துகிறது. இந்த முறையை கவனமாகப் பயன்படுத்த வேண்டும்: தற்காலிக பெயர் சர்வர் சிக்கல்கள் காரணமாக ஹோஸ்ட் பெயர்கள் கிடைக்காது. மென்பொருளை எந்த வகையான நெட்வொர்க்குடன் பேசுகிறீர்கள் என்று மென்பொருள் கண்டுபிடிக்க முடியாதபோது ஒரு நெட்வொர்க் முகவரி கிடைக்காது.
சித்தப்பிரமை
அதன் பெயர் பொருந்தவில்லை எந்த புரவலன் பொருந்தும். -DPARANOID (இயல்புநிலை பயன்முறை) உடன் tcpd கட்டப்பட்டிருக்கும் போது, அணுகல் கட்டுப்பாட்டு அட்டவணையை பார்க்கும் முன் இது போன்ற வாடிக்கையாளர்களின் கோரிக்கைகளை அது குறைக்கிறது. அத்தகைய கோரிக்கைகளில் அதிகமான கட்டுப்பாட்டை நீங்கள் விரும்பும்போது -DAMPANOID இல்லாமல் உருவாக்கவும்.
இயக்குநர்களுக்கு
இவை தவிர்த்து
நோக்கம் பயன்பாட்டின் வடிவம்: `list_1 EXCEPT list_2 '; பட்டியல் கட்டமைப்பிற்கு பொருந்தும் எதையும் பட்டியலிட்டு பொருந்தும் எதையும் பொருந்துகிறது. EXCEPT ஆபரேட்டர் daemon_lists மற்றும் client_lists இல் பயன்படுத்தப்படலாம். EXCEPT ஆபரேட்டரைக் கட்டுப்படுத்தலாம்: கட்டுப்பாட்டு மொழி அடைப்புகளின் பயன்பாட்டை அனுமதித்தால், `EXCEPT B EXCEPT c 'என்பது (' EXCEPT (B EXCEPT c)) 'என்று கூறுகிறது.
முதல்-பொருத்தப்பட்ட அணுகல் கட்டுப்பாட்டு விதி ஒரு ஷெல் கட்டளையைக் கொண்டிருந்தால், அந்த கட்டளை% பதிலீடுகளுக்கு உட்பட்டுள்ளது (அடுத்த பகுதியைப் பார்க்கவும்). இதன் விளைவாக ஒரு உள்ளீடு / பின் / ச குழந்தை செயல்முறை மூலம் நிலையான உள்ளீடு, வெளியீடு மற்றும் பிழை / dev / null உடன் இணைக்கப்படுகிறது. நீங்கள் முடிந்த வரை காத்திருக்க விரும்பவில்லை என்றால் கட்டளையின் முடிவில் `& 'என குறிப்பிடவும்.
ஷெல் கட்டளைகள் inetd இன் PATH அமைப்பை சார்ந்து இருக்கக்கூடாது. அதற்கு பதிலாக, அவர்கள் முழுமையான பாதை பெயர்களைப் பயன்படுத்த வேண்டும் அல்லது வெளிப்படையான பாத் = எந்த அறிக்கையுடன் தொடங்க வேண்டும்.
Hosts_options (5) ஆவணம் ஷெல் கட்டளை புலத்தை வேறுபட்ட மற்றும் பொருந்தாத வகையில் பயன்படுத்தும் மாற்று மொழியை விவரிக்கிறது.
% EXPANSIONS
ஷெல் கட்டளைகளில் பின்வரும் விரிவாக்கங்கள் கிடைக்கின்றன:
% a (% A)
கிளையண்ட் (சேவையகம்) புரவலன் முகவரி.
% கேட்ச்
வாடிக்கையாளர் தகவல்: பயனர் @ ஹோஸ்ட், பயனாளர் @ முகவரி, புரவலன் பெயர் அல்லது ஒரு முகவரி, எவ்வளவு தகவல்கள் கிடைக்கும் என்பதைப் பொறுத்து.
% ஈ
டீமான் செயல்முறை பெயர் (argv [0] மதிப்பு).
% h (% H)
புரவலன் பெயர் கிடைக்கவில்லை என்றால் கிளையண்ட் (சேவையகம்) புரவலன் பெயர் அல்லது முகவரி.
% n (% N)
வாடிக்கையாளர் (சேவையகம்) புரவலன் பெயர் (அல்லது "தெரியாத" அல்லது "பரனோனிட்").
% ப
டீமான் செயல் ஐடி.
% ங்கள்
சேவையக தகவல்கள்: டீமான் @ ஹோஸ்ட், டீமான் @ முகவரி, அல்லது ஒரு டீமான் பெயர், எத்தனை தகவல்கள் கிடைக்கின்றன என்பதைப் பொறுத்து.
% u இல்
கிளையன்ட் பயனர் பெயர் (அல்லது "தெரியாத").
%%
ஒரு '%' எழுத்துக்குறியை விரிவுபடுத்துகிறது.
% விரிவுபடுத்தலில் உள்ள எழுத்துகள் ஷெல் குழப்பத்தை ஏற்படுத்தக்கூடும், அவை அடிக்கோடிட்டுக் காட்டப்படுகின்றன.
SERVER ENDPOINT PATTERNS
அவர்கள் இணைக்கும் நெட்வொர்க் முகவரியின் வாடிக்கையாளர்களை வேறுபடுத்த, படிவத்தின் வடிவங்களைப் பயன்படுத்தவும்:
process_name @ host_pattern: client_list ...
இயந்திரம் வேறு இணைய ஹோஸ்டின்களுடன் வெவ்வேறு இணைய முகவரிகள் இருக்கும் போது இவை போன்ற வடிவங்களைப் பயன்படுத்தலாம். சேவை வழங்குநர்கள் FTP, GOPHER அல்லது WWW காப்பகங்களை இணைய நிறுவனங்களுடன் வழங்குவதற்கு இந்த வசதிகளை பயன்படுத்தலாம். Hosts_options (5) ஆவணத்தில் `திருப்பம் 'விருப்பத்தையும் காண்க. சில அமைப்புகள் (Solaris, FreeBSD) ஒரு உடல் இடைமுகத்தில் ஒன்றுக்கு மேற்பட்ட இணைய முகவரிகள் இருக்கலாம்; பிற கணினிகளுடன் நீங்கள் SLIP அல்லது PPP போலி இடைமுகங்களை ஒரு பிரத்யேக வலையமைப்பு இடத்தில் வாழ வேண்டும்.
Host_pattern client_list சூழலில் புரவலன் பெயர்களையும் முகவரிகளையும் ஒரே தொடரியல் விதிகள் ஏற்றுக்கொள்கிறது. வழக்கமாக, சேவையக இறுதி தகவல் மட்டுமே இணைப்பு சார்ந்த சேவைகள் மூலம் கிடைக்கும்.
CLIENT USERNAME LOOKUP
கிளையன் ஹோஸ்ட் RFC 931 நெறிமுறை அல்லது அதன் சந்ததியினருக்கு (TAP, IDENT, RFC 1413) துணைபுரிகிறது போது, கலப்பு நிரல்கள் இணைப்பின் உரிமையாளர் பற்றிய கூடுதல் தகவலை பெற முடியும். கிளையன்ட் பயனர்பெயர் தகவல், கிடைக்கப்பெறும் போது, கிளையன் ஹோஸ்ட் பெயருடன் சேர்ந்து உள்நுழைகிறது, மேலும் இதுபோன்ற வடிவங்களைப் பொருத்துவதற்குப் பயன்படுத்தலாம்:
daemon_list: ... user_pattern @ host_pattern ...
டீமான் ரேப்பர்கள் ஆட்சேபிக்கப்பட்ட நேரத்தில் ஆட்சென்சிக்கப்பட்ட பயனர்பெயர் பார்வைகளை (இயல்புநிலை) செய்ய அல்லது கிளையன் ஹோஸ்டை எப்போதுமே விசாரணை செய்ய முடியும். ஆட்சி வழிநடத்தப்பட்ட பயனர்பெயர் பார்வைகளின் விஷயத்தில், மேலே உள்ள ஆட்சி, பயனர்பெயர் பார்வைக்கு மட்டுமே daemon_list மற்றும் host_pattern போட்டியிடும் போது ஏற்படும்.
ஒரு பயனர் முறைமை ஒரு டீமென் செயல்முறை வடிவமாக அதே தொடரியல் உள்ளது, எனவே அதே வைல்டு கார்டுகள் (netgroup உறுப்பினர் ஆதரிக்கப்படவில்லை). என்றாலும், பயனர்பெயர் பார்வைகளுடன் ஒருவர் ஒருபோதும் கைவிடப்படக்கூடாது.
க்ளையன்ட் பயனாளர் பெயர் தகவல் தேவைப்படும் போது நம்பகமானதாக இருக்க முடியாது, அதாவது கிளையன் கணினியில் சமரசம் ஏற்பட்டால். பொதுவாக, அனைத்து மற்றும் (ஐ.நா.) தெரிந்த ஒரே பயனர் பெயர் வடிவங்கள் உள்ளன.
பயனாளர் பெயர்கள் TCP அடிப்படையிலான சேவைகளால் மட்டுமே சாத்தியம், மற்றும் வாடிக்கையாளர் புரவலன் ஒரு பொருத்தமான டீமான் இயக்கும் போது மட்டுமே; மற்ற எல்லா சந்தர்ப்பங்களிலும் விளைவாக "அறியப்படவில்லை".
பயனர்பெயர் பார்வைகளை ஒரு ஃபயர்வால் தடுக்கும் போது நன்கு அறியப்பட்ட யுனிக்ஸ் கர்னல் பிழை சேவை இழப்பை ஏற்படுத்தும். ரப்பர் README ஆவணம் உங்கள் கர்னல் இந்த பிழை இருந்தால் கண்டுபிடிக்க ஒரு செயல்முறை விவரிக்கிறது.
யுனிக்ஸ் அல்லாத பயனர்களுக்கு குறிப்பிடத்தக்க தாமதங்களை பயனர்பெயர் தோற்றங்கள் ஏற்படுத்தும். பயனர்பெயர் தோற்றங்களுக்கான இயல்புநிலை நேரம் 10 விநாடிகள்: மெதுவான நெட்வொர்க்குகளை சமாளிக்க மிகவும் குறுகியது, ஆனால் PC பயனர்களை எரிச்சலூட்டுவதற்கு போதுமானது.
தேர்ந்தெடுக்கப்பட்ட பயனர் பெயர் தோற்றங்கள் கடந்த சிக்கலைத் தணிக்க முடியும். உதாரணமாக, ஒரு விதி:
டீமான்_ பட்டியல்: @pcnetgroup ALL @ ALL
பயனர் பெயர் தேடல்களை செய்யாமல் பிசி நெட்வொர்க் உறுப்பினர்களுக்கு பொருந்தும், ஆனால் மற்ற அமைப்புகளுடன் பயனர் பெயரைக் காண்பிக்கும்.
ADDRESS ஸ்பூட்டிங் தாக்குதல்களை கண்டறிதல்
பல TCP / IP செயல்படுத்தல்களின் வரிசையாக்க எண் ஜெனரேட்டரில் ஒரு குறைபாடு ஊடுருவல்கள் நம்பகமான புரவிகளை எளிதில் பின்பற்றுவதற்கும், தொலைதூர ஷெல் சேவையினூடாக வழியமைப்பதற்கும் உதவுகிறது. அத்தகைய மற்றும் பிற புரவலன் முகவரி ஏமாற்றுவதற்கான தாக்குதல்களை கண்டறிவதற்கு IDENT (RFC931 போன்றவை) சேவை பயன்படுத்தப்படலாம்.
வாடிக்கையாளர் வேண்டுகோளை ஏற்றுக்கொள்வதற்கு முன்பு, வாடிக்கையாளர் கோரிக்கையை அனுப்பவில்லை என்பதை அறிய ரேடட் சேவையை பயன்படுத்தலாம். கிளையன் ஹோஸ்ட் IDENT சேவையை வழங்கும்போது, எதிர்மறை IDENT பார்வை விளைவு (வாடிக்கையாளர் 'UNKNOWN @ புரவலன்' உடன் பொருந்துகிறது) ஒரு புரவலன் ஸ்பூஃபிங் தாக்குதலின் வலுவான ஆதாரமாக உள்ளது.
ஒரு நேர்மறை IDENT பார்வை முடிவு (கிளையன்ட் கேன்டென் @ புரவலன் பொருந்தும்) குறைவாக நம்பகமானதாக உள்ளது. கிளையன் இணைப்பு மற்றும் IDENT பார்வை ஆகிய இரண்டையும் ஏமாற்றுவதற்கு ஊடுருவ முடியும். இது ஒரு வாடிக்கையாளர் இணைப்பை ஏமாற்றுவதை விட மிகவும் கடினமானது. இது வாடிக்கையாளர் IDENT சர்வர் பொய் என்று இருக்கலாம்.
குறிப்பு: IDENT தோற்றங்கள் UDP சேவைகளுடன் வேலை செய்யாது.
உதாரணங்கள்
பல்வேறு வகையான அணுகல் கட்டுப்பாட்டுக் கொள்கை குறைந்தபட்சம் வம்புடன் வெளிப்படுத்தப்படக்கூடியதாக இருக்கும் போது மொழி நெகிழ்வாகும். மொழி இரண்டு அணுகல் கட்டுப்பாட்டு அட்டவணைகள் பயன்படுத்துகிறது என்றாலும், மிக பொதுவான கொள்கைகள் அட்டவணைகள் ஒன்று அற்பமான அல்லது வெற்று இருப்பது செயல்படுத்தப்படும்.
கீழே உள்ள எடுத்துக்காட்டுகளைப் படிக்கும் போது, மறுப்பு அட்டவணையின்போது அனுமதிக்கப்படும் அட்டவணையை ஸ்கேன் செய்ய வேண்டும் என்பதை உணர்ந்து கொள்வது முக்கியம், ஒரு போட்டியை காணும்போது தேடல் முடிவடைகிறது, மேலும் எந்த தடையும் காணப்படவில்லை என்று அணுகல் வழங்கப்படுகிறது.
உதாரணங்கள் புரவலன் மற்றும் டொமைன் பெயர்களைப் பயன்படுத்துகின்றன. தற்காலிக பெயர் சேவையகத் தோற்றம் தோல்வியின் தாக்கத்தை குறைக்க முகவரி மற்றும் / அல்லது நெட்வொர்க் / நெட்மாஸ்க் தகவலைச் சேர்த்து மேம்படுத்தலாம்.
மிக நெருக்கமாக
இந்த வழக்கில், இயல்புநிலை அணுகல் மறுக்கப்படுகிறது. வெளிப்படையாக அங்கீகரிக்கப்பட்டுள்ள புரவலன்கள் மட்டுமே அனுமதிக்கப்படுகின்றன.
இயல்புநிலைக் கொள்கை (அணுகல் இல்லை) ஒரு அற்பமான மறுப்பு கோப்பில் செயல்படுத்தப்படுகிறது:
/etc/hosts.deny: எல்லா: எல்லா
இது அனைத்து கோப்புகளுக்கும் அனைத்து சேவையகங்களையும் நிராகரிக்கிறது, அனுமதி கோப்பில் உள்ளீடுகளின் அணுகல் அனுமதிக்கப்படாவிட்டால்.
வெளிப்படையாக அங்கீகரிக்கப்பட்டுள்ள புரவலன்கள் அனுமதி கோப்பில் பட்டியலிடப்பட்டுள்ளன. உதாரணத்திற்கு:
/etc/hosts.allow: ALL: LOCAL @ some_netgroup
ALL: .foobar.edu தவிர டெர்மினல்ஸர்வர்.ஃபோபார்.டு
முதல் விதி உள்ளூர் சேவையகத்தில் உள்ள ஹோஸ்ட்களின் அணுகல் (புரவலன் பெயரில் இல்லை.) மற்றும் சில_நெட் குழுமம் உறுப்பினர்களின் உறுப்பினர்களிடமிருந்து அனுமதிக்கிறது . இரண்டாவது விதி foobar.edu டொமைனில் உள்ள அனைத்து ஹோஸ்ட்களிலிருந்தும் அணுகலை அனுமதிக்கிறது (முன்னணி புள்ளிவை கவனிக்கவும்), டெர்மினல்ஸர்வர்.ஃபோபார்.தேடு தவிர.
மிகவும் திறக்கப்பட்டுள்ளது
இங்கே, அணுகல் முன்னிருப்பாக வழங்கப்படுகிறது; வெளிப்படையாக குறிப்பிடப்பட்ட புரவலன்கள் மட்டுமே சேவையை மறுக்கின்றன.
முன்னிருப்பு கொள்கை (அனுமதி வழங்கப்பட்டது) அனுமதிக்கும் கோப்பினை நீக்குகிறது, இதனால் அது தவிர்க்கப்படலாம். வெளிப்படையாக அங்கீகரிக்கப்படாத புரவலன்கள் மறுதலிப்பு கோப்பில் பட்டியலிடப்பட்டுள்ளன. உதாரணத்திற்கு:
/etc/hosts.deny: ALL: some.host.name, .some.domain
எல்லாவற்றுக்கும் விலகுதல்.இன்னும்.அம்மா.அம்மா.அம்மா.அம்மா.அம்மா
முதல் விதி சில புரவலன்கள் மற்றும் களங்களை எல்லா சேவைகளையும் மறுக்கிறது; இரண்டாவது விதி இன்னமும் பிற புரவலன்கள் மற்றும் களங்களில் இருந்து வேண்டல் கோரிக்கைகளை அனுமதிக்கிறது.
புத்தகம் TRAPS
அடுத்த உதாரணம் உள்ளூர் டொமைனில் உள்ள ஹோஸ்ட்டில் இருந்து tftp கோரிக்கைகளை அனுமதிக்கிறது (முன்னணி புள்ளி கவனிக்கவும்). வேறு எந்த ஹோஸ்ட்டின் கோரல்கள் மறுக்கப்படுகின்றன. கோரப்பட்ட கோப்பினைப் பொறுத்தவரை, ஒரு விரோத ஆய்வுக்கு ஆளான ஹோஸ்டுக்கு அனுப்பப்படுகிறது. இதன் விளைவாக superuser க்கு அனுப்பப்படும்.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h ரூட்) &Safe_finger கட்டளை tcpd போர்வையை கொண்டு வருகிறது மற்றும் பொருத்தமான இடத்தில் நிறுவப்பட வேண்டும். இது ரிமோட் விரல் சேவையகம் அனுப்பிய தரவுகளிலிருந்து சாத்தியமான சேதத்தை வரம்பிடுகிறது. இது தரமான விரல் கட்டளைகளை விட சிறந்த பாதுகாப்பு அளிக்கிறது.
% H (கிளையன் ஹோஸ்ட்) மற்றும்% d (சேவை பெயர்) வரிசைமுறைகளின் விரிவாக்கம் ஷெல் கட்டளைகளில் உள்ள பிரிவில் விவரிக்கப்பட்டுள்ளது.
எச்சரிக்கை: நீங்கள் முடிவிலா விரல் சுழற்சிகளுக்கு தயார் செய்யாவிட்டால், உங்கள் விரல் டீமனை மூடிவிடாதீர்கள்.
நெட்வொர்க் ஃபயர்வால் அமைப்புகளில் இந்த தந்திரம் இன்னும் செயல்படுத்தப்படலாம். வழக்கமான நெட்வொர்க் ஃபயர்வால் வெளி உலகிற்கு மட்டுப்படுத்தப்பட்ட சேவைகளை மட்டுமே வழங்குகிறது. மேலே உள்ள tftp எடுத்துக்காட்டு போலவே மற்ற எல்லா சேவைகளும் "முரட்டுத்தனமாக" இருக்கலாம். இதன் விளைவாக ஒரு சிறந்த ஆரம்ப எச்சரிக்கை அமைப்பு.
மேலும் காண்க
tcpd (8) tcp / ip டீமான் ரப்பர் நிகழ்ச்சி. tcpdchk (8), tcpdmatch (8), சோதனை நிரல்கள்.முக்கியமானது: உங்கள் குறிப்பிட்ட கணினியில் ஒரு கட்டளை எவ்வாறு பயன்படுத்தப்படுகிறது என்பதைப் பார்க்க, man கட்டளை ( % man ) ஐப் பயன்படுத்தவும்.