NAME
hosts_access - ഹോസ്റ്റ് ആക്സസ് കൺട്രോൾ ഫയലുകളുടെ ഫോർമാറ്റ്
വിവരണം
ക്ലയന്റ് (ഹോസ്റ്റ് നാമം / വിലാസം, ഉപയോക്തൃ നാമം), സെർവർ (പ്രക്രിയ നാമം, ഹോസ്റ്റ് നാമം / വിലാസം) പാറ്റേണുകൾ അടിസ്ഥാനമാക്കിയുള്ള ലളിതമായ ആക്സസ് നിയന്ത്രണ ഭാഷയെ ഈ മാനുവൽ പേജ് വിവരിക്കുന്നു . ഉദാഹരണങ്ങൾ അവസാനം കൊടുക്കുന്നു. അസന്തുഷ്ടമായ വായനക്കാരൻ പെട്ടെന്നുള്ള ആമുഖംക്കായി EXAMPLES വിഭാഗത്തിലേക്ക് കടക്കുകയാണ് പ്രോത്സാഹിപ്പിക്കുന്നത്. ആക്സസ്സ് നിയന്ത്രണ ഭാഷയുടെ വിപുലീകരിച്ച പതിപ്പ് hosts_options (5) പ്രമാണത്തിൽ വിവരിച്ചിരിക്കുന്നു. -DROCESS_OPTIONS മായി നിർമ്മാണത്തിലൂടെ വിപുലീകരണങ്ങൾ പ്രോഗ്രാം ബിൽഡ് സമയത്തിൽ ഓൺ ചെയ്തിരിക്കുന്നു.
താഴെ പറയുന്ന എഴുത്ത്, ഡെമൺ ഒരു നെറ്റ്വർക്ക് ഡെമൺ പ്രക്രിയയുടെ പ്രക്രിയയുടെ പേരാണ്, ക്ലയന്റ് ഒരു ഹോസ്റ്റ് ആവശ്യപ്പെടുന്ന സേവനത്തിന്റെ പേരും കൂടാതെ / അല്ലെങ്കിൽ വിലാസവും. നെറ്റ്വർക്ക് ഡെമൺ പ്രക്രിയ നാമങ്ങൾ inetd കോൺഫിഗറേഷൻ ഫയലിൽ നൽകിയിരിക്കുന്നു.
കൺട്രോൾ ഫയലുകൾ ആക്സസ്സുചെയ്യുക
ആക്സസ് കൺട്രോൾ സോഫ്റ്റ്വെയർ രണ്ട് ഫയലുകൾ ഉപദേശം നൽകുന്നു. ആദ്യ മത്സരത്തിൽ തിരയൽ അവസാനിപ്പിക്കുന്നു.
/etc/hosts.allow ഫയലിൽ ഒരു (ഡെമൺ, ക്ലൈന്റ്) ജോടി എൻട്രിയ്ക്കു് പൊരുത്തപ്പെടുമ്പോൾ പ്രവേശനം അനുവദിയ്ക്കുന്നു .
അല്ലെങ്കിൽ, /etc/hosts.deny ഫയലിൽ ഒരു (ഡെമൺ, ക്ലൈന്റ്) ജോടി എൻട്രി പൊരുത്തപ്പെടുമ്പോൾ പ്രവേശനം നിഷേധിക്കപ്പെടും .
അല്ലെങ്കിൽ, പ്രവേശനം അനുവദിക്കും.
നിലവിലില്ലാത്ത ഒരു ആക്സസ് കൺട്രോൾ ഫയൽ ശൂന്യമായ ഫയലായി കണക്കാക്കും. ഇങ്ങനെ, ആക്സസ് കൺട്രോൾ ഫയലുകൾ നൽകാതെ ആക്സസ് കൺട്രോൾ ഓഫാക്കാവുന്നതാണ്.
നിയന്ത്രണ നിയന്ത്രണങ്ങൾ നടപ്പിലാക്കുക
ഓരോ ആക്സസ് കൺട്രോൾ ഫയലിലും പൂജ്യം അല്ലെങ്കിൽ കൂടുതൽ വരികൾ അടങ്ങിയിരിക്കുന്നു. ഈ വരകൾ പ്രത്യക്ഷത്തിൽ ക്രമീകരിച്ചിരിക്കുന്നു. ഒരു പൊരുത്തം കണ്ടെത്തുമ്പോൾ തിരയൽ അവസാനിക്കുന്നു.
ഒരു ബാക്ക്സ്ലാഷ് പ്രതീകം ഉപയോഗിക്കുമ്പോൾ ഒരു പുതിയ ലൈൻ പ്രതീകം അവഗണിക്കപ്പെടുന്നു. ദൈർഘ്യമേറിയ ലൈനുകൾ തകർക്കാൻ ഇത് സഹായിക്കുന്നു, അങ്ങനെ അവ എഡിറ്റുചെയ്യുന്നത് എളുപ്പമാണ്.
`# 'പ്രതീകം ഉപയോഗിച്ച് ആരംഭിക്കുന്ന ശൂന്യമായ ലൈനുകളോ വരികളോ അവഗണിക്കപ്പെടും. ഇത് വായനയും വൈറ്റ്സ്പെയ്സും തിരുകാൻ നിങ്ങളെ സഹായിക്കുന്നു, അങ്ങനെ പട്ടികകൾ വായിക്കാൻ എളുപ്പമാണ്.
മറ്റെല്ലാ വരികളും താഴെ പറയുന്ന ഫോർമാറ്റ് പാലിക്കണം: []]
ഡെമണ്_ലിസ്റ്റ്: client_list [: shell_command]
daemon_list എന്നത് ഒന്നോ അതിലധികമോ ഡെമൺ പ്രോസസ്സ് നാമങ്ങളുടെ (argv [0] മൂല്യങ്ങളുടെ) അല്ലെങ്കിൽ വൈൽഡ്കാർഡുകളുടെ പട്ടികയാണ് (താഴെ കാണുക).
ക്ലയന്റ് ഹോസ്റ്റ് നാമം അല്ലെങ്കിൽ വിലാസവുമായി പൊരുത്തപ്പെടുന്ന ഒന്നോ അതിൽ കൂടുതലോ ഹോസ്റ്റ് പേരുകൾ, ഹോസ്റ്റ് വിലാസങ്ങൾ, പാറ്റേണുകൾ അല്ലെങ്കിൽ വൈൽഡ്കാർഡുകൾ (താഴെ കാണുക) എന്നിവയുടെ ഒരു പട്ടികയാണ് ക്ലയന്റ്_ലിസ്റ്റ്.
ഡെമോൺ @ ഹോസ്റ്റ് , ഉപയോക്താവ് @ host എന്നിവയെപ്പറ്റിയുള്ള കൂടുതൽ സങ്കീർണ്ണമായ രൂപങ്ങൾ സെർവറിന്റെ എൻഡ്പോയിന്റ് പാറ്റേണുകളുടെയും ക്ലയന്റ് ഉപയോക്തൃനാമ ലുക്കപ്പുകളുടെയും വിഭാഗങ്ങളിൽ വിശദീകരിച്ചിരിക്കുന്നു.
ലിസ്റ്റ് ഘടകങ്ങൾ പാട്ടക്കങ്ങൾ കൂടാതെ / അല്ലെങ്കിൽ കോമാ ഉപയോഗിച്ച് വേർതിരിക്കേണ്ടതാണ്.
NIS (YP) netgroup ലുക്ക്അപ്പുകൾ ഒഴികെയുള്ളവ, എല്ലാ ആക്സസ് കൺട്രോൾ ചെക്കുകളും കേസിൽ ഉൾക്കൊള്ളിക്കുന്നില്ല.
പാറ്റേണുകൾ
പ്രവേശന നിയന്ത്രണ ഭാഷ ഇനിപ്പറയുന്ന പാറ്റേണുകൾ നടപ്പിലാക്കുന്നു:
`` കൊണ്ട് തുടങ്ങുന്ന ഒരു സ്ട്രിംഗ്. പ്രതീകം. അതിന്റെ പേരിന്റെ അവസാന ഘടകങ്ങൾ നിർദ്ദിഷ്ട പാറ്റേണയുമായി പൊരുത്തപ്പെടുന്നുവെങ്കിൽ ഒരു ഹോസ്റ്റ് നാമം പൊരുത്തപ്പെടുന്നു. ഉദാഹരണത്തിന്, `.tue.nl 'എന്ന പാറ്റേൺ ഹോസ്റ്റ് നാമം` wzv.win.tue.nl' മായി പൊരുത്തപ്പെടുന്നു.
`` കൊണ്ട് അവസാനിക്കുന്ന ഒരു സ്ട്രിംഗ്. പ്രതീകം. തന്നിരിക്കുന്ന സ്ട്രിംഗുമായി അതിന്റെ ആദ്യ അക്കം ഫീൽഡുകൾ പൊരുത്തപ്പെടുന്നുവെങ്കിൽ ഒരു ഹോസ്റ്റ് വിലാസം പൊരുത്തപ്പെടുന്നു. ഉദാഹരണത്തിന്, `131.155` എന്ന രീതി. (ഏതാണ്ട്) ഐൻഹോവൻ സർവകലാശാലാ നെറ്റ്വർക്കിൽ (131.155.xx) ഓരോ ഹോസ്റ്റിന്റെയും വിലാസവുമായി പൊരുത്തപ്പെടുന്നു.
`@ 'പ്രതീകത്തോടെ ആരംഭിക്കുന്ന ഒരു സ്ട്രിംഗ് ഒരു NIS (മുൻപ് YP) നെറ്റ്ഗ്രൂപ്പ് പേരായി പരിഗണിക്കും. നിശ്ചിത netgroup ന്റെ ഹോസ്റ്റ് അംഗമാണെങ്കിൽ ഹോസ്റ്റ് നാമം പൊരുത്തപ്പെടുന്നു. ഡെമൺ പ്രോസസ്സ് നാമങ്ങൾക്കു് അല്ലെങ്കിൽ ക്ലയന്റ് ഉപയോക്തൃനാമങ്ങൾക്കു് Netgroup പൊരുത്തങ്ങൾ പിന്തുണയ്ക്കുന്നില്ല.
`Nnnn / mmmm 'എന്ന ഫോം ഒരു' net / mask 'ജോഡിയായി വ്യാഖ്യാനിക്കുന്നു. വിലാസം, `മാസ്ക് 'എന്നീ ബിട്റ്വുകളും,' net 'ഉം തുല്യമാണെങ്കിൽ IPv4 ഹോസ്റ്റ് വിലാസം പൊരുത്തപ്പെടുന്നു. ഉദാഹരണത്തിന്, '131.155.73.255' എന്ന പരിധിയിലെ `131.155.72.0 'എന്ന പരിധിയിലെ എല്ലാ വിലാസങ്ങളും' 131.155.72.0/255.255.254.0 'എന്നതിന്റെ നെറ്റ് / മാസ്ക് പാറ്റേൺ ചേർക്കുന്നു.
ഫോം [n: n: n: n: n: n: n: n] / m 'എന്ന രൂപത്തിൽ ഒരു' net / prefixlen 'ജോടായി വ്യാഖ്യാനിക്കുന്നു. `പ്രിഫിക്സ്ലെൻ 'ബിറ്റ്` net' വിലാസത്തിന്റെ `പ്രിഫിക്സൺ 'ബിറ്റികൾക്ക് തുല്യമാണെങ്കിൽ IPv6 ഹോസ്റ്റ് വിലാസം പൊരുത്തപ്പെടുന്നു. ഉദാഹരണത്തിന്, പരിധിയിലുള്ള എല്ലാ വിലാസവും `3ffe: 505: 2: 1 ::] / 64 'എന്നതുമായി താരതമ്യം ചെയ്യുമ്പോൾ [3]: 3: 505: 2: 1 ::' 3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
`/ 'അക്ഷരം ആരംഭിക്കുന്ന ഒരു സ്ട്രിംഗ് ഫയൽ നാമമായി കണക്കാക്കപ്പെടും. പേരുള്ള ഫയലിൽ പറഞ്ഞിരിക്കുന്ന ഹോസ്റ്റിന്റെ പേര് അല്ലെങ്കിൽ വിലാസ പാറ്റേൺ പൊരുത്തപ്പെടുമ്പോൾ ഒരു ഹോസ്റ്റ് നാമം അല്ലെങ്കിൽ വിലാസം പൊരുത്തപ്പെടുന്നു. ഫയൽ ഫോർമാറ്റ് പൂജ്യം അല്ലെങ്കിൽ പൂജ്യം അല്ലെങ്കിൽ കൂടുതൽ ഹോസ്റ്റ് നാമമോ അല്ലെങ്കിൽ വൈറ്റ്സ്പെയ്സ് കൊണ്ട് വേർതിരിച്ച വിലാസ പാറ്റേണുകളോ പൂജ്യം അല്ലെങ്കിൽ കൂടുതൽ വരികൾ ആണ്. ഒരു ഫയൽ നാമം പാറ്റേൺ ഉപയോഗിക്കുന്നത് എവിടെയെങ്കിലും ഒരു ഹോസ്റ്റ് നാമമോ വിലാസമോ പാറ്റേണലോ ഉപയോഗിക്കാൻ കഴിയും.
വൈൽഡ്കാർഡുകൾ `* ','? ' ഹോസ്റ്റ്നെയിമുകളോ ഐപി വിലാസങ്ങളോ പൊരുത്തപ്പെടുത്തുന്നതിന് ഉപയോഗിക്കാം. പൊരുത്തപ്പെടുന്ന ഈ രീതി 'net / mask' പൊരുത്തപ്പെടുന്നതിനോടൊപ്പം, `. ' അല്ലെങ്കിൽ ' IP ' പൊരുത്തപ്പെടുന്ന അന്തിമ സംഖ്യ `. '
വാൽകാർഡ്സ്
സ്പഷ്ടമായ വൈൽഡ്കാർഡുകൾ ആക്സസ് നിയന്ത്രണ ഭാഷ പിന്തുണയ്ക്കുന്നു:
എല്ലാം
സാർവത്രിക വൈൽഡ്കാർഡ്, എപ്പോഴും പൊരുത്തപ്പെടുന്നു.
LOCAL
ഒരു ഡോട്ട് പ്രതീകം അടങ്ങിയിട്ടില്ലാത്ത ഏതെങ്കിലും ഹോസ്റ്റ് പൊരുത്തപ്പെടുന്നു.
അജ്ഞാതമാണ്
ഏത് പേരിന്റെയും പേര് അജ്ഞാതമാണ്, ഒപ്പം പേര് അല്ലെങ്കിൽ വിലാസം അറിയാത്ത ഏത് ഹോസ്റ്റുമായി പൊരുത്തപ്പെടുന്നു. ഈ പാറ്റേൺ ഉപയോഗിക്കേണ്ടതുണ്ട്: താത്കാലിക നാമ സെർവർ പ്രശ്നങ്ങൾ മൂലം ഹോസ്റ്റ് പേരുകൾ ലഭ്യമാകണമെന്നില്ല. സോഫ്റ്റ്വെയർ ഏതു തരം നെറ്റ്വർക്ക് ആണ് സംസാരിക്കുന്നതെന്ന് തിരിച്ചറിയാൻ കഴിയാത്തപ്പോൾ ഒരു നെറ്റ്വർക്ക് വിലാസം ലഭ്യമല്ല.
ശീർഷകം
പേരുകൾ അറിയപ്പെടുന്ന ഏതൊരു ഉപയോക്താവുമായി പൊരുത്തപ്പെടുന്നു, ഒപ്പം ഏത് പേരിലും ഹോസ്റ്റുമായും വിലാസത്തിലും അറിയപ്പെടുന്ന ഹോസ്റ്റുമായി പൊരുത്തപ്പെടുന്നു. ഈ പാറ്റേൺ ഉപയോഗിക്കേണ്ടതുണ്ട്: താത്കാലിക നാമ സെർവർ പ്രശ്നങ്ങൾ മൂലം ഹോസ്റ്റ് പേരുകൾ ലഭ്യമാകണമെന്നില്ല. സോഫ്റ്റ്വെയർ ഏതു തരം നെറ്റ്വർക്ക് ആണ് സംസാരിക്കുന്നതെന്ന് തിരിച്ചറിയാൻ കഴിയാത്തപ്പോൾ ഒരു നെറ്റ്വർക്ക് വിലാസം ലഭ്യമല്ല.
PARANOID
ഏതൊരു വിലാസവും അതിന്റെ വിലാസവുമായി പൊരുത്തപ്പെടുന്നില്ല ഏതൊരു ഹോസ്റ്റുമായി പൊരുത്തപ്പെടുന്നു. -DPARANOID (ഡിഫോൾട്ട് മോഡ്) ഉപയോഗിച്ചു് tcpd നിർമ്മിയ്ക്കുമ്പോൾ, അത്തരം ക്ലയന്റുകളിൽ നിന്നുള്ള പ്രവേശന നിയന്ത്രണ പട്ടികകൾ കാണുന്നതിനു് മുമ്പു് അതു് നീക്കം ചെയ്യുന്നു. അത്തരം അഭ്യർത്ഥനകളിൽ കൂടുതൽ നിയന്ത്രണം നിങ്ങൾക്ക് ആവശ്യമുള്ളപ്പോൾ -DPARANOID ഇല്ലാതെ ബിൽഡ് ചെയ്യുക.
ഓപ്പറേറ്റർമാർ
ഒഴിവാക്കുക
ഉദ്ദേശിക്കുന്ന ഉപയോഗം ഫോം ഇതാണ്: `list_1 EXCEPT list_2 '; ലിസ്റ്റ് ലിസ്റ്റ് പൊരുത്തപ്പെടുന്നില്ലെങ്കിൽ ലിസ്റ്റ് ലിസ്റ്റ് ചെയ്തവ ഒന്നും പൊരുത്തപ്പെടുന്നില്ല. EXCEPT ഓപ്പറേറ്റർ daemon_lists- ലും client_lists- ലും ഉപയോഗിക്കാം. EXCEPT ഓപ്പറേറ്റർ ഉള്പെടുത്താവുന്നതാണ്: നിയന്ത്രണാധികാരം ബ്രാക്കന്റെ ഉപയോഗം അനുവദിക്കുമെങ്കിൽ `EXCEPT b EXCEPT c '(a EXCEPT (b EXCEPT c)) എന്നതുമായി കൂട്ടിച്ചേർക്കും.
ആദ്യത്തെ-പൊരുത്തമുള്ള ആക്സസ്സ് കൺട്രോൾ റൂളില് ഒരു ഷെല് കമാന്ഡ് ഉണ്ടെങ്കില്, ആ കമാന്ഡ്% substitutions ന് വിധേയമാകുന്നു (അടുത്ത വിഭാഗം കാണുക). ഫലം ഇൻപുട്ട്, ഔട്ട്പുട്ട്, / dev / null എന്നിവയുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ഒരു / ബിൻ / ഷൈൽ ചൈൽഡ് പ്രോസസ് ഉപയോഗിച്ചാണ് ഫലം സംഭവിക്കുന്നത്. പൂർത്തിയാകുന്നതു് വരെ നിങ്ങൾ കാത്തിരിക്കേണ്ടതില്ലെങ്കിൽ, കമാൻഡിന്റെ അവസാനം `& 'വ്യക്തമാക്കുക.
ഷെൽ ആജ്ഞകൾ inetd എന്നതിന്റെ PATH സജ്ജീകരണത്തിൽ ആശ്രയിക്കരുത്. പകരം, അവർ പൂർണ്ണമായ പാഥ് പേരുകൾ ഉപയോഗിക്കേണ്ടതാണ്, അല്ലെങ്കിൽ അവർ വ്യക്തമാക്കുംവിധം PATH = തുടങ്ങണം.
Hosts_options (5) രേഖയിൽ ഒരു ഷെൽ കമാൻഡ് ഫീൽഡ് ഉപയോഗിച്ചു് ഒരു വ്യത്യസ്തമായ ഭാഷ വിവരിയ്ക്കുന്നു.
% EXPANSIONS
ഷെൽ ആജ്ഞകൾക്കുള്ളിൽ താഴെ പറയുന്നവ വ്യാപിപ്പിക്കേണ്ടതുണ്ട്:
% a (% A)
ക്ലയന്റ് (സെർവർ) ഹോസ്റ്റ് വിലാസം.
% c
ക്ലയന്റ് വിവരം: എത്ര വിവരങ്ങൾ ലഭ്യമായതിനെ അടിസ്ഥാനമാക്കി ഉപയോക്താവ് @ ഹോസ്റ്റ്, ഉപയോക്തൃ @ വിലാസം, ഒരു ഹോസ്റ്റ് നാമം അല്ലെങ്കിൽ ഒരു വിലാസം മാത്രം.
% d
ഡെമൺ പ്രോസസ് നാമം (argv [0] മൂല്യം).
% h (% H)
ക്ലയന്റ് (സെർവർ) ഹോസ്റ്റ് നാമം അല്ലെങ്കിൽ വിലാസം, ഹോസ്റ്റ് നാമം ലഭ്യമല്ലെങ്കിൽ.
% n (% N)
ക്ലയന്റ് (സെർവർ) ഹോസ്റ്റ് നാമം (അല്ലെങ്കിൽ "അജ്ഞാതം" അല്ലെങ്കിൽ "പാരാനൈഡ്").
% p
ഡെമൺ പ്രോസസ്സ് ഐഡി.
% s
സെർവർ വിവരം: ഡെമോൺ @ ഹോസ്റ്റ്, ഡെമൺ @ വിലാസം, അല്ലെങ്കിൽ ഒരു ഡെമൺ നാമം, എത്രമാത്രം വിവരം ലഭ്യമാണെന്നതിനെ ആശ്രയിച്ച്.
% u
ക്ലയന്റ് ഉപയോക്തൃ നാമം (അല്ലെങ്കിൽ "അജ്ഞാതം").
%%
ഒരൊറ്റ '%' പ്രതീകത്തിലേക്ക് വികസിപ്പിക്കുന്നു.
% Expansions ലെ പ്രതീകങ്ങൾ, ഷെല്ലുകളെ ആശയക്കുഴപ്പത്തിലാക്കാം, അണ്ടർസ്കോർകൾ പകരം വയ്ക്കും.
സെർവർ ENDPOINT PATTERNS
അവർ ബന്ധിപ്പിക്കുന്ന നെറ്റ്വർക്ക് വിലാസം ക്ലയന്റുകൾ വേർതിരിച്ച്, ഫോമിന്റെ പാറ്റേണുകൾ ഉപയോഗിക്കുക:
process_name @ host_pattern: client_list ...
വ്യത്യസ്ത ഇന്റർനെറ്റ് ഹോസ്റ്റ്നെയിമുകൾ ഉള്ള മെഷീൻ വ്യത്യസ്ത ഇന്റർനെറ്റ് വിലാസങ്ങൾ ഉള്ളപ്പോൾ പാറ്റേണുകൾ ഉപയോഗിക്കാവുന്നതാണ്. FTP, GOPHER അല്ലെങ്കിൽ WWW ആർക്കൈവുകൾക്ക് ഇന്റർനെറ്റ് ഓർഗനൈസേഷനുകൾ വാഗ്ദാനം ചെയ്യുന്നതിനായി സേവന ദാതാക്കൾക്ക് ഈ സംവിധാനം ഉപയോഗിക്കാൻ കഴിയും. Hosts_options (5) ഡോക്യുമെന്റിൽ `twist 'ഓപ്ഷൻ കൂടി കാണുക. ചില സിസ്റ്റങ്ങൾ (സോളാരികൾ, ഫ്രീബിഎസ്ഡി) ഒരു ഫിസിക്കൽ ഇന്റർഫേസിൽ ഒന്നിൽ കൂടുതൽ ഇന്റർനെറ്റ് വിലാസങ്ങൾ ഉണ്ടായിരിക്കാം; മറ്റ് സിസ്റ്റങ്ങളുമൊത്ത് നിങ്ങൾ സമർപ്പിത നെറ്റ്വർക്ക് വിലാസത്തിൽ താമസിക്കുന്ന SLIP അല്ലെങ്കിൽ PPP വ്യാജ ഇൻററ്ഫെയിസുകളിലേക്ക് മാറണം.
Host_pattern, same syntax നിയമങ്ങൾ client_list പശ്ചാത്തലത്തിൽ ഹോസ്റ്റ് പേരുകളും വിലാസങ്ങളും ആയി അനുസരിക്കുന്നു. സാധാരണയായി, കണക്ഷൻ ഓറിയന്റഡ് സേവനങ്ങളോടെ മാത്രമേ സെർവർ എൻഡ്പോയിന്റ് വിവരങ്ങൾ ലഭ്യമാകൂ.
CLIENT USERNAME LOOKUP
ക്ലയന്റ് ഹോസ്റ്റ് RFC 931 പ്രോട്ടോക്കോളോ അല്ലെങ്കിൽ അതിന്റെ പിന്തുടർച്ചക്കാരോ (TAP, IDENT, RFC 1413) പിന്തുണയ്ക്കുമ്പോൾ റാപ്പർ പ്രോഗ്രാമുകൾക്ക് ഒരു ബന്ധത്തിന്റെ ഉടമയെക്കുറിച്ചുള്ള അധിക വിവരങ്ങൾ വീണ്ടെടുക്കാനാകും. ക്ലയന്റ് ഉപയോക്തൃനാമ വിവരം ലഭ്യമാകുമ്പോൾ, ക്ലയന്റ് ഹോസ്റ്റ് നാമത്തോടൊപ്പം ലോഗ് ചെയ്തിരിക്കും, കൂടാതെ പാറ്റേണുകൾ പൊരുത്തപ്പെടുത്തുന്നതിന് ഇത് ഉപയോഗിക്കാം:
ഡെമണ്_ലിസ്റ്റ്: ... user_pattern @ host_pattern ...
ഡെമൺ റെപ്പെർട്ടറുകൾ കംപൈൽ സമയത്ത് പ്രവർത്തിപ്പിക്കാവുന്ന ഉപയോക്തൃനാമം (സ്വതവേ) അല്ലെങ്കിൽ ക്ലൈന്റ് ഹോസ്റ്റ് ചോദ്യം ചെയ്യുന്നതിനായി കംപൈൽ സമയത്ത് കോൺഫിഗർ ചെയ്യാവുന്നതാണ്. നിയന്ത്രിതാ ഉപയോക്തൃനാമം ലുക്കപ്പുകളുടെ കാര്യത്തിൽ, daemon_list , host_pattern പൊരുത്തം എന്നിവയ്ക്കു് മുകളിലുള്ള യുആർഎൽ ലുക്ക്അപ്പ് ഉപയോക്തൃനാമം ഉണ്ടാക്കുന്നതാണു്.
ഒരു ഉപയോക്താവിനു് പാറ്റേൺ ഡെമൺ പ്രോസസ് പാറ്റേണു് അതേ സിന്റാക്സ് തന്നെ, അതിനാൽ അതേ വൈൽഡ്കാർഡുകൾ പ്രയോഗിക്കുന്നു (netgroup അംഗത്വത്തെ പിന്തുണയ്ക്കുന്നില്ല). ഒരു ഉപയോക്തൃനാമം ലുക്കപ്പുകളുമായി കൈമാറ്റം ചെയ്യുവാൻ പാടില്ല.
ക്ലൈന്റ് ഉപയോക്തൃനാമ വിവരം അത് ആവശ്യമുള്ളപ്പോൾ വിശ്വസനീയമല്ല, അതായത് ക്ലൈന്റ് സിസ്റ്റം അപഹരിക്കപ്പെടുമ്പോൾ. സാധാരണയായി, ALL ഉം (UN) KNOWN ഉം മാത്രമാണ് ഉപയോക്തൃ നാമത്തിന്റെ പാറ്റേണുകൾ.
ഉപയോക്തൃനാമം ലുക്കപ്പ് ടിസിപി അടിസ്ഥാനമാക്കിയുള്ള സേവനങ്ങളോടെ മാത്രമേ സാധ്യമാകൂ, ക്ലയന്റ് ഹോസ്റ്റ് അനുയോജ്യമായ ഡെമൻ പ്രവർത്തിപ്പിക്കുമ്പോൾ മാത്രം; മറ്റെല്ലാ സാഹചര്യങ്ങളിലും ഫലം "അജ്ഞാതം" ആണ്.
അറിയപ്പെടുന്ന യുണിക്സ് കെർണൽ ബഗ് യൂസർവേപ്പ് ലുക്ക്അപ്പ് ഒരു ഫയർവാൾ തടഞ്ഞുമ്പോൾ സേവന നഷ്ടം ഉണ്ടാക്കുന്നു. റെസ്എംഇ റെട്രർ രേഖയിൽ നിങ്ങളുടെ കെർണലിന് ഈ ബഗ് ഉണ്ടോ എന്ന് കണ്ടുപിടിക്കാൻ ഒരു നടപടിക്രമങ്ങൾ വിവരിക്കുന്നു.
ഉപയോക്തൃനാമം ലുക്ക്അപ്പുകൾ UNIX അല്ലാത്ത ഉപയോക്താക്കൾക്ക് ശ്രദ്ധേയമായ കാലതാമസം ഉണ്ടാക്കാം. ഉപയോക്തൃനാമം ലുക്കപ്പ്സിന്റെ സ്ഥിര കാലാവധി 10 സെക്കൻഡ് ആണ്: സ്ലോ നെറ്റ്വർക്കുകൾ നേരിടാൻ വളരെ ചെറുതാണ്, എന്നാൽ PC ഉപയോക്താക്കളെ അലോസരപ്പെടുത്തുന്നത്ര മതിയാകും.
സെലക്ടീവ് ഉപയോക്തൃനാമം ലുക്കപ്പ് കഴിഞ്ഞ പ്രശ്നം പരിഹരിക്കാൻ കഴിയും. ഉദാഹരണത്തിന്, ഇതുപോലൊരു നിയമം:
ഡെമണ്_ലിസ്റ്റ്: @pcnetgroup ALL @ ALL
യൂസര്നെയിം ലുക്കപ്പ്സ് ചെയ്യാതെ pc netgroup ലെ അംഗങ്ങളുമായി ഒത്തു ചേര്ക്കും, എന്നാല് മറ്റ് എല്ലാ സിസ്റ്റങ്ങളുമായും ഉപയോക്തൃനാമങ്ങള് തെരയാവുന്നതാണ്.
ADDRESS SPOOFING ആക്രമണങ്ങളെ കണ്ടെത്തുന്നു
പല ടിസിപി / ഐപി ആക്ടിവിറ്റികളുടെ സീക്വൻസിൻറെ നമ്പർ ജനറേറ്ററിൽ ഒരു കുറവ് തട്ടിപ്പുകളെ വിശ്വസനീയമായ ഹോസ്റ്റുകൾക്ക് എളുപ്പത്തിൽ ആൾമാറാട്ടം നടത്താനും, അതിലൂടെ തകർക്കാനും അനുവദിക്കുന്നു, ഉദാഹരണത്തിന്, റിമോട്ട് ഷെൽ സേവനം. അത്തരത്തിലുള്ള മറ്റ് ഹോസ്റ്റ് വിലാസ തട്ടിപ്പ് ആക്രമണങ്ങൾ കണ്ടെത്തുന്നതിന് IDENT (RFC931 മുതലായവ) സേവനം ഉപയോഗപ്പെടുത്താം.
ക്ലയന്റ് അഭ്യർത്ഥന സ്വീകരിക്കുന്നതിനു മുമ്പ്, ക്ലയന്റ് എല്ലാ അഭ്യർത്ഥനയും അയച്ചിട്ടില്ലെന്ന് കണ്ടെത്തുന്നതിനായി IDENT സേവനം ഉപയോഗിക്കാൻ കഴിയും. ക്ലയന്റ് ഹോസ്റ്റ് IDENT സേവനം നൽകുമ്പോൾ, ഒരു നെഗറ്റീവ് ഐഡൻറിനുള്ള തിരയൽ ഫലം (ക്ലയിൻ മത്സരങ്ങൾ 'UNKNOWN @ ഹോസ്റ്റ്') ഹോസ്റ്റ് ഇരട്ട ആക്രമണത്തിന് ശക്തമായ തെളിവാണ്.
ഒരു പോസിറ്റീവ് ഐഡന്റിറ്റി ലുക്ക്അപ്പ് ഫലം (ക്യുൻഎൻ @ ഹോസ്റ്റ് ക്ലൈന്റ് പൊരുത്തപ്പെടുന്നു) വിശ്വാസ്യത കുറവാണ്. ക്ലയന്റ് കണക്ഷനും IDENT ലുക്കപ്പിനും ഇരയെ സ്പൂഫിംഗ് ചെയ്യുന്നതിനേക്കാളും വളരെ ബുദ്ധിമുട്ടാണെങ്കിലും, ഒരു ക്ലയന്റ് കണക്ഷനിൽ മാത്രം സ്പൂഫിംഗ് ചെയ്യുന്നതിനേക്കാൾ അത് വളരെ ബുദ്ധിമുട്ടാണ്. ക്ലയന്റ് ന്റെ ഐഡൻറിൻറെ സെർവർ കിടക്കുന്നതായിരിക്കാം.
കുറിപ്പ്: IDENT ലുക്ക്അപ്പുകൾ UDP സേവനങ്ങൾക്കൊപ്പം പ്രവർത്തിക്കില്ല.
EXAMPLES
വിവിധ തരത്തിലുള്ള ആക്സസ് കൺട്രോൾ പോളിസി ഏറ്റവും ചുരുങ്ങിയത് കൊണ്ട് ഫേസ് ബുക്കിന് വിധേയമാക്കാവുന്ന ഭാഷ വേഗതയാണ്. ഭാഷ രണ്ട് ആക്സസ് കണ്ട്രോൾ ടേബിളുകൾ ഉപയോഗിച്ചുവെങ്കിലും, പട്ടികകളിൽ ഒരെണ്ണം ചെറിയതോ അല്ലെങ്കിൽ ശൂന്യമോ ആണെങ്കിൽ ഏറ്റവും സാധാരണ പോളിസികൾ നടപ്പിലാക്കാൻ കഴിയും.
ചുവടെയുള്ള ഉദാഹരണങ്ങൾ വായിക്കുമ്പോൾ ഒരു പട്ടിക കണ്ടെത്തുന്നതുവരെ തിരയൽ ടേൺ അവസാനിക്കുന്നു, ആ പൊരുത്തക്കേടുകൾ ഒന്നും കണ്ടെത്തിയില്ലെങ്കിൽ പ്രവേശനം അനുവദിക്കപ്പെടും എന്ന് നിഷേധിക്കുന്ന പട്ടികയ്ക്ക് മുമ്പ് അനുവദനീയമായ പട്ടിക കണ്ടെത്തുന്നു.
ഉദാഹരണങ്ങൾ ഹോസ്റ്റ്, ഡൊമെയ്ൻ നാമങ്ങൾ ഉപയോഗിക്കുന്നു. താൽക്കാലിക നാമ സെർവർ ലുക്ക്അപ്പ് പരാജയങ്ങളുടെ ആഘാതം കുറയ്ക്കുന്നതിന് വിലാസങ്ങളും കൂടാതെ / അല്ലെങ്കിൽ നെറ്റ്വർക്ക് / നെറ്റ്മാസ്ക് വിവരങ്ങളും ഉൾപ്പെടെ മെച്ചപ്പെടുത്താനാകും.
ഏറ്റവുമധികം അടഞ്ഞത്
ഈ സാഹചര്യത്തിൽ, സ്ഥിരസ്ഥിതിയായി ആക്സസ് നിരസിച്ചു. സ്പഷ്ടമായ അംഗീകൃത ഹോസ്റ്റുകൾക്ക് പ്രവേശനം അനുവദനീയമാണ്.
നിസ്സാരമായ നിഷേധം ഫയലിനൊപ്പം സ്വതവേയുള്ള പോളിസി (പ്രവേശനമില്ല) നടപ്പിലാക്കുന്നു:
/etc/hosts.deny: എല്ലാം: എല്ലാം
അനുവദനീയമായ ഫയലിൽ എൻട്രികൾ മുഖേന ആക്സസ് അനുവദനീയമല്ലാത്തപക്ഷം, എല്ലാ ഹോസ്റ്റുകളിലേയും എല്ലാ സേവനങ്ങളും ഇത് നിരസിക്കുന്നു.
സ്പഷ്ടമായ അംഗീകൃത ഹോസ്റ്റുകൾ അനുവദിക്കുക ഫയലിലാണ് നൽകിയിരിക്കുന്നത്. ഉദാഹരണത്തിന്:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
എല്ലാം: .foobar.edu EXITPT terminalserver.foobar.edu
ലോക്കൽ ഡൊമെയിനിൽ ഹോസ്റ്റുകൾ (ഹോസ്റ്റിന്റെ പേരിൽ അല്ല. ') നിന്നും ചില_ netgroup netgroup ലെ അംഗങ്ങളിൽ നിന്നും ആദ്യ റൂൾ അനുവദിച്ചിരിക്കുന്നു. Terminalserver.foobar.edu ഒഴികെയുള്ള foobar.edu ഡൊമെയിനിലെ എല്ലാ ഹോസ്റ്റുകളിലെയും (മുൻപത്തെ വിവരണം ശ്രദ്ധിക്കുക) രണ്ടാമത്തെ നിയമത്തിന് അനുമതി നൽകുന്നു.
മിക്കവാറും തുറന്നു
ഇവിടെ, പ്രവേശനം സ്വതവേ നൽകിയിരിയ്ക്കുന്നു; സ്പഷ്ടമായി നിർദ്ദേശിച്ചിരിക്കുന്ന ഹോസ്റ്റുകൾ മാത്രമാണ് സേവനം നിരസിക്കുന്നത്.
സ്വപ്രേരിത പോളിസി (അനുവദിച്ചിട്ടുള്ള പ്രവേശനം) അനുവദനീയമായ ഫയൽ വീണ്ടും ഉണ്ടാക്കുന്നതിനാൽ അത് ഒഴിവാക്കാനാകും. സ്പഷ്ടമായ നോൺ-അംഗീകൃത ഹോസ്റ്റുകൾ നിഷേധ നേടുന്ന ഫയലിലാണ് ലിസ്റ്റ് ചെയ്യുന്നത്. ഉദാഹരണത്തിന്:
/etc/hosts.deny: ALL: some.host.name, .some.domain
മറ്റൊന്നുമല്ല
ആദ്യ നിയമം ചില ഹോസ്റ്റുകളും ഡൊമെയിനുകളും എല്ലാ സേവനങ്ങളും നിരസിക്കുന്നു; രണ്ടാമത്തെ ഭരണം ഇപ്പോഴും മറ്റ് ഹോസ്റ്റുകളേയും ഡൊമെയ്നുകളേയും വിരൽ അഭ്യർത്ഥനകൾ അനുവദിക്കുന്നു.
ബൂബി ട്രാപ്പ്സ്
അടുത്ത ഉദാഹരണം പ്രാദേശിക ഡൊമെയ്നിൽ ഹോസ്റ്റുകളിൽ നിന്നും tftp അഭ്യർത്ഥനകൾ അനുവദിക്കുന്നു (മുൻപത്തെ ഡോട്ട് ശ്രദ്ധിക്കുക). മറ്റേതൊരു ഹോസ്റ്റുകളുടേയും അഭ്യർത്ഥന നിരസിച്ചു. ആവശ്യപ്പെട്ട ഫയലിനുപകരം ഒരു വിരൽ അന്വേഷണം അധിഷ്ഠിത ഹോസ്റ്റിലേക്ക് അയയ്ക്കും. ഫലം സൂപ്പർ അയച്ചയാളി.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h root)Safe_finger കമാൻഡ് tcpd റാപ്പറിൽ ലഭ്യമാണു്, അനുയോജ്യമായ സ്ഥലത്തു് ഇൻസ്റ്റോൾ ചെയ്യേണ്ടതുണ്ടു്. റിമോട്ട് വിരൽ സെർവർ അയയ്ക്കുന്ന ഡാറ്റയിൽ നിന്ന് ഉണ്ടാകാവുന്ന കേടുപാടുകൾ ഇത് പരിമിതപ്പെടുത്തുന്നു. ഇത് സ്റ്റാൻഡേർഡ് വിരൽ കമാൻഡിനേക്കാൾ മെച്ചപ്പെട്ട സംരക്ഷണം നൽകുന്നു.
% H (ക്ലൈന്റ് ഹോസ്റ്റ്),% d (സർവീസ് നാമം) സീക്വൻസുകളുടെ വികാസം ഷെൽ കമാൻഡുകളിലെ വിഭാഗത്തിൽ വിവരിച്ചിട്ടുണ്ട്.
മുന്നറിയിപ്പ്: നിങ്ങളുടെ വിരൽ ഡെമൺ ബോബി-ട്രാപ്പ് ചെയ്യരുത്, ഇൻഫിനിറ്റ് വിരൽ ലൂപ്പുകളിൽ നിങ്ങൾ തയ്യാറാക്കിയിട്ടില്ലെങ്കിൽ.
നെറ്റ്വറ്ക്ക് ഫയർവോൾ സിസ്റ്റങ്ങളിൽ ഇതു് കൂടുതലായി നടപ്പിലാക്കാം. സാധാരണ നെറ്റ്വർക്ക് ഫയർവാൾ ബാഹ്യലോകത്തിന് പരിമിതമായ സേവന സേവനങ്ങൾ മാത്രമേ നൽകുന്നുള്ളൂ. മുകളിലുള്ള tftp ഉദാഹരണം പോലെ മറ്റ് എല്ലാ സേവനങ്ങളും "പിടികൂടാൻ" കഴിയും. ഫലം മികച്ച പ്രീ-മുന്നറിയിപ്പ് സംവിധാനമാണ്.
ഇതും കാണുക
tcpd (8) tcp / ip ഡെമൻ റാപ്പർ പ്രോഗ്രാം. tcpdchk (8), tcpdmatch (8), ടെസ്റ്റ് പ്രോഗ്രാമുകൾ.പ്രധാനപ്പെട്ടതു്: നിങ്ങളുടെ കംപ്യൂട്ടറിൽ എങ്ങനെയാണ് കമാൻഡ് ഉപയോഗിക്കേണ്ടത് എന്ന് കാണുവാൻ man command ( % man ) ഉപയോഗിക്കുക.