ISEM
hosts_access - format tal-fajls ta 'kontroll ta' aċċess ospitanti
DESKRIZZJONI
Din il-paġna manwali tiddeskrivi lingwa ta 'kontroll ta' aċċess sempliċi li hija bbażata fuq il-klijent (isem / indirizz tal-ospitant, isem tal-utent), u server (isem tal-proċess, isem / indirizz tal-ospitant). Eżempji huma mogħtija fl-aħħar. Il-qarrej impatienti huwa mħeġġeġ biex jaqbeż it-taqsima EŻEMPJI għal introduzzjoni malajr. Verżjoni estiża tal-lingwa tal-kontroll ta 'l-aċċess hija deskritta fid- dokument hosts_options (5). L-estensjonijiet jinxtraw fil-ħin tal-bini tal-programm billi tinbena bi -DPROCESS_OPTIONS.
Fit-test li ġej, id- daemon huwa l-isem tal-proċess ta 'proċess tad- daemon tan - netwerk , u l- klijent huwa l-isem u / jew l-indirizz ta' servizz li qed jitolbu ospitanti. L-ismijiet tal-proċess tad-daemon tan-Netwerk huma speċifikati fil-fajl ta 'konfigurazzjoni inetd.
FAĊILI TA 'KONTROLL TA' AĊĊESS
Is-softwer tal-kontroll ta 'l-aċċess jikkonsulta żewġ fajls . It-tfittxija tieqaf fl-ewwel partita.
L-aċċess jingħata meta par (daemon, client) jaqbel ma 'dħul fil-fajl /etc/hosts.allow .
Inkella, l-aċċess jiġi miċħud meta par (daemon, client) jaqbel mad-dħul fil-fajl /etc/hosts.deny .
Inkella, l-aċċess jingħata.
Fajl ta 'kontroll ta' aċċess mhux eżistenti huwa ttrattat daqs li kieku kien fajl vojt. B'hekk, il-kontroll ta 'l-aċċess jista' jintefa billi ma jkunx hemm fajls ta 'kontroll ta' l-aċċess.
REGOLI TA 'KONTROLL TA' AĊĊESS
Kull fajl ta 'kontroll ta' aċċess jikkonsisti f'żewġ ittri jew aktar. Dawn il-linji huma pproċessati skond l-ordni ta 'dehra. It-tfittxija tispiċċa meta tinstab taqbila.
Karattru ġdid jiġi injorat meta jkun ippreċedut minn karattru backslash. Dan jippermettilek tkisser il-linji twal biex ikunu aktar faċli biex jeditjaw.
Linji vojta jew linji li jibdew bil-karattru `# 'huma injorati. Dan jippermettilek li ddaħħal il-kummenti u l-ispazju fuq il-baħar sabiex it-tabelli jkunu aktar faċli biex jinqraw.
Il-linji l-oħra kollha għandhom jissodisfaw il-format li ġej, l-affarijiet bejn [] huma fakultattivi:
daemon_list: client_list [: shell_command]
daemon_list hija lista ta 'ismijiet tal-proċess tad-daemon wieħed jew aktar (argv [0] values) jew wildcards (ara hawn taħt).
client_list hija lista ta 'ismijiet ospitanti wieħed jew aktar, indirizzi ospitanti, mudelli jew wildcards (ara hawn taħt) li se jitqabblu ma' l-isem jew l-indirizz tal-ospitant tal-klijent.
Il-formoli aktar kumplessi daemon @ host u user @ host huma spjegati fit-taqsimiet dwar il-mudelli tal-endpoints tas-server u fir-lookups tal-username tal-klijent, rispettivament.
L-elementi tal-lista għandhom ikunu separati minn blanks u / jew virgoli.
Bl-eċċezzjoni ta 'lookups tal-grupp ta' NIS (YP), il-kontrolli kollha ta 'kontroll ta' aċċess huma insensittivi għal każijiet.
MUDELLI
Il-lingwa tal-kontroll ta 'l-aċċess timplimenta dawn il-mudelli:
String li tibda b ''. karattru. L-isem tal-ospitanti huwa mqabbel jekk l-aħħar komponenti tal-isem tiegħu jaqblu mal-mudell speċifikat. Pereżempju, id-disinn ".tue.nl" jaqbel mal-isem tal-ospitant 'wzv.win.tue.nl'.
String li tispiċċa b ''. karattru. L-indirizz ospitanti huwa mqabbel jekk l-ewwel oqsma numeriċi jaqblu mal-sekwenza mogħtija. Pereżempju, id-disinn '131.155.' jaqbel mal-indirizz ta '(kważi) kull ospitant fin-netwerk tal-Università ta' Eindhoven (131.155.xx).
String li tibda b'karattat `@ 'hija ttrattata bħala isem ta' netgroup NIS (qabel YP). L-isem tal-host jingħaqad jekk ikun membru ospitanti tat-netgroup speċifikat. Il-logħbiet tal-Netgroup mhumiex appoġġjati għall-ismijiet tal-proċess tad-daemon jew għall-ismijiet tal-utent tal-klijent.
Espressjoni tal-formola "nnnn / mmmm" hija interpretata bħala par ta ''net / maskra'. L-indirizz tal-ospitant tal-IPv4 huwa mqabbel jekk 'net' huwa ugwali għall-bit bitħa U tal-indirizz u 'maskra'. Pereżempju, ix-xibka / mudell tal-maskra '131.155.72.0/255.255.254.0' jaqbel ma 'kull indirizz fil-medda' 131.155.72.0 'permezz' 131.155.73.255 '.
Espressjoni tal-formola '[n: n: n: n: n: n: n: n] / m' hija interpretata bħala par ta '' [net] / prefixlen '. L-indirizz ta 'l-indirizz ta' l-IPv6 huwa mqabbel jekk il-bits "prefixlen" ta '"net" huma daqs il-bits "prefixlen" ta' l-indirizz. Pereżempju, id-disinn [net] / prefixlen '[3ffe: 505: 2: 1 ::] / 64' jaqbel ma 'kull indirizz fil-medda' 3ffe: 505: 2: 1 :: 'permezz' 3ffe: 505: 2: 1: ffff: ffff: ffff: ffff ".
String li tibda bil-karattru `/ 'hija trattata bħala isem tal-fajl . L-isem jew l-indirizz tal-ospitanti huwa mqabbel jekk jaqbel ma 'kwalunkwe isem tal-ospitant jew mudell tal-indirizz elenkat fil-fajl imsemmi. Il-format tal-fajl huwa żero jew aktar b'żero jew aktar isem tal-ospitanti jew mudelli ta 'indirizz separati minn spazju fuq il-kulur. Disinn ta 'isem ta' fajl jista 'jintuża kullimkien isem ta' l-ospitant jew mudell ta 'l-indirizz jista' jintuża.
Il-kards selvaġġi `* 'u'? ' Tista 'tintuża biex tqabbel hostnames jew indirizzi IP . Dan il-metodu ta 'tlaqqigħ ma jistax jintuża flimkien ma' tqabbil `net / maskra ', l-isem tas-sît li jaqbel li jibda minn'. ' jew l -indirizz tal-IP li jispiċċa ma ''. '.
WILDCARDS
Il-lingwa tal-kontroll ta 'l-aċċess tappoġġa wildcards espliċiti:
ALL
Il-wildcard universali, dejjem jaqbel.
LOCAL
Jaqbat ma 'kwalunkwe ospitant li ismu ma fihx karattru dot.
MHUX MAGĦRUF
Jaqbel ma 'kwalunkwe utent li ismu ma jkunx magħruf, u jaqbel ma' kull ospitant li ismu jew l- indirizz tiegħu mhumiex magħrufa. Dan il-mudell għandu jintuża b'attenzjoni: l-ismijiet tal-ospitanti jistgħu ma jkunux disponibbli minħabba l-problemi temporanji tas-server tal-isem. L-indirizz tan-netwerk ma jkunx disponibbli meta s-softwer ma jkunx jista 'jsib x'tip ta' netwerk qed jitkellem.
MAGĦRUFA
Jaqbel ma 'kwalunkwe utent li ismu huwa magħruf, u jaqbel ma' kull ospitant li l-isem u l- indirizz tiegħu huma magħrufa. Dan il-mudell għandu jintuża b'attenzjoni: l-ismijiet tal-ospitanti jistgħu ma jkunux disponibbli minħabba l-problemi temporanji tas-server tal-isem. L-indirizz tan-netwerk ma jkunx disponibbli meta s-softwer ma jkunx jista 'jsib x'tip ta' netwerk qed jitkellem.
PARANOID
Jaqbat ma 'kwalunkwe ospitant li isimha ma jaqbilx ma' l-indirizz tiegħu. Meta tcpd jinbena b'DPARANOID (modalità default), it-talbiet minn dawk il-klijenti jonqos anke qabel ma jħares lejn it-tabelli tal-kontroll ta 'l-aċċess. Ibni mingħajr -DPARANOID meta trid aktar kontroll fuq dawn it-talbiet.
OPERATURI
EĊĊETTI
Użu maħsub huwa tal-forma: 'list_1 EXCEPT list_2'; din il-kostruzzjoni tikkonforma ma 'kull ħaġa li taqbel ma' list_1 sakemm ma taqbilx ma ' list_2 . L-operatur EXCEPT jista 'jintuża fir-listi tad-daemon_lists u fil-listi tal-klijent_. L-operatur EXCEPT jista 'jiġi nested: jekk il-lingwa ta' kontroll tippermetti l-użu ta 'parentesi,' a EXCEPT b EXCEPT c 'tkun parse bħala' (a EXCEPT (b EXCEPT c)) '.
Jekk ir-regola ta 'kontroll ta' aċċess imqabbla l-ewwel fiha kmand tal-qoxra, dak il-kmand huwa soġġett għal% sostituzzjonijiet (ara sezzjoni li jmiss). Ir-riżultat huwa eżegwit minn proċess ta 'tifel / bin / sh b'input standard, output u żball imqabbad ma' / dev / null . Speċifika "&" fl-aħħar tal-kmand jekk ma tridx tistenna sakemm tkun tlestiet.
Il-kmandijiet ta 'Shell m'għandhomx jiddependu fuq l-issettjar PATH tal-inetd. Minflok, għandhom jużaw ismijiet ta 'mogħdijiet assoluti, jew għandhom jibdew bi PATH espliċita = kwalunkwe dikjarazzjoni.
Id- dokument hosts_options (5) jiddeskrivi lingwa alternattiva li tuża l-field tal-kmand tal-qoxra b'mod differenti u inkompatibbli.
% TISFIJIET
L-espansjonijiet li ġejjin huma disponibbli fil-kmand tal-qoxra:
% a (% A)
L-indirizz ospitanti tal- klijent (server).
% c
Informazzjoni tal-klijent: user @ host, user @ address, isem tal-ospitanti, jew sempliċement indirizz, skont kemm hemm informazzjoni disponibbli.
% d
L-isem tal-proċess tad-daemon (valur argv [0]).
% h (% H)
L-isem jew l-indirizz ospitanti (server) tal-klijent, jekk l-isem ospitanti ma jkunx disponibbli.
% n (% N)
L-isem tal-ospitant (server) tal-klijent (jew "mhux magħruf" jew "paranojde").
% p
L-id tal-proċess tad-daemon.
% s
Informazzjoni dwar is-server: daemon @ host, daemon @ address, jew sempliċement isem tad-daemon, skond kemm hemm informazzjoni disponibbli.
% u
L-isem tal-utent tal-klijent (jew "mhux magħruf").
%%
Jespandi għal karattru wieħed '%'.
Il-karattri f '% espansjonijiet li jistgħu jħawwdu l-qoxra huma sostitwiti b'enfasi qosra.
MUDELLI TA 'L-ENDPOINT SERVER
Sabiex tiddistingwi l-klijenti mill-indirizz tan-netwerk li huma jgħaqqdu ma ', uża mudelli tal-formola:
process_name @ host_pattern: client_list ...
Disinji bħal dawn jistgħu jintużaw meta l-magna jkollha indirizzi ta 'l-internet differenti b'indires ta' l-internet differenti. Il-fornituri tas-servizz jistgħu jużaw din il-faċilità biex joffru fajls FTP, GOPHER jew WWW b'net names tal-internet li jistgħu saħansitra jappartjenu lil organizzazzjonijiet differenti. Ara wkoll l-għażla 'twist' fid- dokument hosts_options (5). Xi sistemi (Solaris, FreeBSD) jista 'jkollhom aktar minn indirizz tal-internet wieħed fuq interface fiżiku wieħed; ma 'sistemi oħra jista' jkollok bżonn tirrikorri għal interfejsis pseudo-SLIP jew PPP li jgħixu f'arranġament iddedikat għall-indirizz tan-netwerk.
L-host_pattern jobdi l-istess regoli ta 'sintassi bħal ismijiet u indirizzi tal-ospitanti fil-kuntest ta' client_list. Normalment, l-informazzjoni dwar l-endpoint tas-server hija disponibbli biss b'servizzi orjentati lejn il-konnessjoni.
IL-KLIJENT U L-ĦARSA TAS-SUĠĠETT
Meta l-host tal-klijent jappoġġa l-protokoll RFC 931 jew wieħed mid-dixxendenti tiegħu (TAP, IDENT, RFC 1413) il-programmi tal-ippakkjar jistgħu jiksbu informazzjoni addizzjonali dwar is-sid ta 'konnessjoni. L-informazzjoni tal-username tal-klijent, meta disponibbli, hija rreġistrata flimkien mal-isem tal-klijent, u tista 'tintuża biex tqabbel mudelli bħal:
daemon_list: ... user_pattern @ host_pattern ...
It-tgeżwir tad-daemon jista 'jiġi kkonfigurat meta jinġabar iż-żmien biex iwettqu tfittxijiet ta' username immexxija mir-regoli (default) jew biex dejjem jinterrogaw lill-klijent ospitanti. Fil-każ ta 'lookups ta' username immexxija mir-regoli, ir-regola ta 'hawn fuq tikkawża l-username lookup biss meta ż-żewġ daemon_list u l- host_pattern jaqblu.
Disinn ta 'l-utent għandu l-istess sintassi bħal mudell ta' proċess tad-daemon, għalhekk japplikaw l-istess wildcards (is-sħubija netgroup mhix appoġġjata). Wieħed m'għandux jeħles ma 'lookups ta' username, għalkemm.
L-informazzjoni dwar il-username tal-klijent ma tistax tiġi fdata meta tkun meħtieġa l-aktar, jiġifieri meta s-sistema tal-klijent tkun ġiet kompromessa. B'mod ġenerali, ALL u (UN) huma magħrufa l-uniċi mudelli tal-isem tal-utent li jagħmlu sens.
It-tfittxijiet tal-username huma possibbli biss b'sistemi bbażati fuq TCP, u biss meta l-host tal-klijent iwettaq daemon adattat; fil-każijiet l-oħra kollha r-riżultat huwa "mhux magħruf".
Mument magħruf ta 'UNIX kernel jista' jikkawża telf ta 'servizz meta l-investigazzjonijiet tal-username jiġu mblukkati minn firewall. Id-dokument ta 'l-ippakkjar README jiddeskrivi proċedura biex issir taf jekk il-kernel tiegħek għandux dan il-bug.
L-investigazzjonijiet tal-username jistgħu jikkawżaw dewmien notevoli għal utenti mhux UNIX. Il-ħin ta 'skadenza awtomatiku għall-ħruq ta' username huwa ta '10 sekondi: qasir wisq biex ilaħħaq ma' netwerks bil-mod, iżda twil biżżejjed biex jirrita l-utenti tal-PC.
Sejbiet ta 'username selettivi jistgħu itaffu l-aħħar problema. Pereżempju, regola bħal:
daemon_list: @pcnetgroup ALL @ ALL
Tqabbil mal-membri tal-pc netgroup mingħajr ma tagħmel verifiki tal-username, iżda twettaq lookups tal-username mas-sistemi l-oħra kollha.
DETENT TA 'INDIRIZZ ATTACKS TA' SPOOFING
Fajl fin-numru tas-sekwenza ġeneratur ta 'bosta implimentazzjonijiet TCP / IP jippermetti lill-intruż li faċilment jimmaterjalizzaw ospiti affidabbli u biex jinkiser permezz ta', per eżempju, is-servizz tal-qoxra mill-bogħod. Is-servizz IDENT (RFC931 eċċ.) Jista 'jintuża biex jiskopri attakki bħal dawn u attakki ta' spoofing ta 'indirizz ieħor.
Qabel ma taċċetta talba tal-klijent, it-tgeżwir jista 'juża s-servizz IDENT biex isib li l-klijent ma bagħatx it-talba. Meta l-host tal-klijent jipprovdi servizz IDENT, riżultat negattiv ta 'l-IDENT (il-klijent jaqbel ma' 'UNKNOWN @ host') huwa evidenza qawwija ta 'attakk ta' spoofing ospitanti.
Riżultat pożittiv ta 'l-IDENT (il-klijent jaqbel "KNOWN @ host") huwa inqas affidabbli. Huwa possibbli għal intruder li jqajjem kemm il-konnessjoni tal-klijent kif ukoll it-tiftix IDENT, għalkemm tagħmel hekk hija ħafna iktar diffiċli milli spoofing biss konnessjoni mal-klijent. Jista 'jkun ukoll li s-server IDENT tal-klijent ikun mizjud.
Nota: Investigazzjonijiet IDENT ma jaħdmux ma 'servizzi UDP.
EŻEMPJI
Il-lingwa hija flessibbli biżżejjed li tipi differenti ta 'politika ta' kontroll ta 'aċċess jistgħu jiġu espressi b'minimu ta' ħjiel. Għalkemm il-lingwa tuża żewġ tabelli ta 'kontroll ta' aċċess, l-iktar politiki komuni jistgħu jiġu implimentati b'waħda mit-tabelli trivjali jew saħansitra vojta.
Meta taqra l-eżempji ta 'hawn taħt huwa importanti li tirrealizza li t-tabella tal-permessi tiġi skannjata qabel it-tabella li tikkontesta, li t-tfittxija tispiċċa meta tinstab taqbila, u dak l-aċċess jingħata meta ma tinstab l-ebda taqbila.
L-eżempji jużaw l-ismijiet ospitanti u tad-dominju. Jistgħu jittejbu bl-inklużjoni ta 'informazzjoni indirizzata u / jew netwerk / netmask, biex jitnaqqas l-impatt ta' fallimenti tat-tfittxija ta 'servers tas-server ta' l-isem temporanju.
AKTAR MIŻMUMA
F'dan il-każ, l-aċċess jiġi miċħud awtomatikament. Huma biss l-ospiti awtorizzati espliċitament li huma permessi.
Il-politika ta 'inadempjenza (l-ebda aċċess) hija implimentata b'fajl ta' ċaħda trivjali:
/etc/hosts.deny: ALL: ALL
Dan jiċħad is-servizz kollu lill-ospiti kollha, sakemm ma jkunux permessi aċċess minn entrati fil-fajl permess.
L-ospiti awtorizzati espliċitament huma elenkati fil-fajl tal-permess. Pereżempju:
/etc/hosts.allow: ALL: LOKALI @some_netgroup
KOLLHA: .foobar.edu EXCEPT terminalserver.foobar.edu
L-ewwel regola tippermetti aċċess minn hosts fil-qasam lokali (l-ebda "." Fl-isem ospitanti) u minn membri tal-grupp ta ' network xi_net. It-tieni regola tippermetti aċċess mill-ospiti kollha fil-qasam foobar.edu (avviż tad-dot ewlieni), bl-eċċezzjoni ta ' terminalserver.foobar.edu .
AKTAR MIFTUĦA
Hawnhekk, l-aċċess jingħata n-nuqqas; hosts speċifikati espliċitament biss huma miċħuda.
Il-politika ta 'inadempjenza (l-aċċess mogħti) tagħmel il-permess redundant sabiex tkun tista' titħalla barra. L-ospiti espliċitament mhux awtorizzati huma elenkati fil-fajl ta 'ċaħda. Pereżempju:
/etc/hosts.deny: ALL: some.host.name, .some.domain
ALL EXCEPT in.fingerd: ieħor.host.name ,.other.domain
L-ewwel regola tiċħad xi hosts u tiddomina s-servizzi kollha; it-tieni regola xorta tippermetti t-talbiet tas-saba 'minn hosts u oqsma oħra.
TRAPS BOOBY
L-eżempju li jmiss jippermetti t-talbiet ta 'tftp minn hosts fil-qasam lokali (avviż tad-dot ewlieni). It-talbiet minn kwalunkwe hosts oħra huma miċħuda. Minflok il-fajl mitlub, tintbagħat sonda tas-saba 'lill-ospitanti li qed toffendi. Ir-riżultat jintbagħat lis-superuser.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ xi / where / safe_finger -l @% h | usr / ucb / mail -s% d-% h root) &Il-kmand saf_finger jiġi ma 'l-ippakkjar tcpd u għandu jiġi installat f'post addattat. Jillimita l-ħsara possibbli minn dejta mibgħuta mis-server remot tas-saba '. Tagħti protezzjoni aħjar mill-kmand tas-saba 'standard.
L-espansjoni tas-sekwenzi% h (client host) u% d (isem tas-servizz) hija deskritta fit-taqsima dwar il-kmandi tal-qoxra.
Twissija: ma tgħaqqadx il-daemon tas-swaba 'tiegħek, sakemm ma tkunx ippreparat għal linji tas-swaba' infiniti.
Fuq is-sistemi ta 'firewall tan-netwerk dan it-trick jista' jsir aktar 'il quddiem. Il-firewall tipiku tan-netwerk jipprovdi biss sett limitat ta 'servizzi għad-dinja ta' barra. Is-servizzi l-oħra kollha jistgħu jkunu "żbaljati" bħall-eżempju tftp ta 'hawn fuq. Ir-riżultat huwa sistema eċċellenti ta 'twissija bikrija.
ARA UKOLL
tcpd (8) tcp / ip daemon packing program. tcpdchk (8), tcpdmatch (8), programmi tat-test.Importanti: Uża l-kmand tal- bniedem ( % raġel ) biex tara kif tintuża kmand fuq il-kompjuter partikolari tiegħek.