က NAME
hosts_access - အိမ်ရှင် access ကိုထိန်းချုပ်ဖိုငျမြား၏ပုံစံ
DESCRIPTION
ဤသည်ကို manual စာမျက်နှာ ဖော်ပြထားတယ် client ကို (host name ကို / လိပ်စာ, အသုံးပြုသူအမည်) ပေါ်တွင်အခြေခံကြောင်းရိုးရှင်းတဲ့ access ကိုထိန်းချုပ်ဘာသာစကားနှင့် server ကို (process ကိုအမည်, အိမ်ရှင်အမည် / လိပ်စာ) ပုံစံများ။ ဥပမာအဆုံးမှာပေးအပ်ထားတယ်။ အဆိုပါစိတ်မရှည်စာဖတ်သူကိုတစ်ဦးအမြန်အဘို့ဥပမာများအပိုင်းကိုကျော်သွားမှအားပေးအားမြှောက်ဖြစ်ပါတယ် မိတ်ဆက်စကား အဆိုပါ access ကိုထိန်းချုပ်ဘာသာစကား၏တိုးချဲ့ဗားရှင်း .An ထဲမှာဖော်ပြထားတာဖြစ်ပါတယ် hosts_options (5) စာရွက်စာတမ်း။ အဆိုပါ extension များ -DPROCESS_OPTIONS နှင့်အတူတည်ဆောက်ခြင်းအားဖြင့်ပရိုဂရမ်တစ်ခုတည်ဆောက်အချိန်တွင်ဖွင်နေကြသည်။
အောက်ပါစာသားထဲမှာ, daemons တစ်ဦး၏ဖြစ်စဉ်နာမည်ဖြစ်ပါတယ် ကွန်ယက်ကို daemons process ကို နှင့် client ကိုအမည်နှင့် / သို့မဟုတ်ဝန်ဆောင်မှုတောင်းခံနေတဲ့အိမ်ရှင်၏လိပ်စာဖြစ်ပါတယ်။ Network မှ daemons process ကိုအမည် inetd configuration ဖိုင်ထဲမှာသတ်မှတ်ပေးပါသည်။
Access Control FILES
အဆိုပါ access ကိုထိန်းချုပ်ဆော့ဖျဝဲနှစ်ခုဆှေးနှေး ဖိုင်များကို ။ ရှာဖွေရေးပထမဦးဆုံးပွဲစဉ်မှာရပ်လိုက်နိုင်သည်။
တစ်ဦး (daemons, client ကို) pair တစုံဟာ /etc/hosts.allow ဖိုင်ထဲမှာတစ်ခု entry ကိုကိုက်ညီသည့်အခါ Access ကိုခွင့်ပြုလိမ့်မည်။
တစ်ဦး (daemons, client ကို) pair တစုံဟာ /etc/hosts.deny ဖိုင်ထဲမှာတစ်ခု entry ကိုကိုက်ညီသည့်အခါဒီလိုမှမဟုတ်ရင် access ကိုငြင်းပယ်လိမ့်မည်။
ဒီလိုမှမဟုတ်ရင် access ကိုခွင့်ပြုလိမ့်မည်။
ဒါကြောင့်တစ်ဦးအချည်းနှီးသောဖိုင်ကိုဖြစ်လျှင်အဖြစ်တစ်ဦးက Non-တည်ဆဲ access ကိုထိန်းချုပ် file ကိုကုသနိုင်သည်။ ထို့ကြောင့်လက်လှမ်းထိန်းချုပ်မှုမရှိ, access ကိုထိန်းချုပ်ဖိုငျမြားကိုပေးခြင်းဖြင့်ပိတ်ထားနိုင်ပါတယ်။
Access Control ဥပဒေသများ
တစ်ခုချင်းစီကို access ကိုထိန်းချုပ်ဖိုင်စာသားသုညသို့မဟုတ်ထိုထက်ပိုလိုင်းများပါဝင်ပါသည်။ ဤရွေ့ကားလိုင်းများအသွင်အပြင်၏နိုင်ရန်အတွက်လုပ်ငန်းများ၌နေကြသည်။ ကိုက်ညီမှုတွေ့ရှိရသောအခါအဆိုပါရှာဖွေရေးအဆုံးသတ်။
ကဘယ်ဘက်မျဉ်းစောင်းဇာတ်ကောင်များကရှေ့ပြေးအခါတစ်ဦးက NEWLINE ဇာတ်ကောင်လျစ်လျူရှုနေပါတယ်။ ဤသည်ကိုသူတို့တည်းဖြတ်ရန်ပိုမိုလွယ်ကူဖြစ်ကြောင်းဤမျှကာလပတ်လုံးလိုင်းများတက်ကိုချိုးဖျက်ဖို့သငျသညျခွင့်ပြုထားသည်။
တစ်ဦး `# '' ဇာတ်ကောင်နဲ့စတင်ကြောင်း blank လိုင်းများသို့မဟုတ်လိုင်းများလျစ်လျူရှုနေကြပါတယ်။ ဒါကကျောက်ပြားကိုဖတ်ရှုဖို့ပိုမိုလွယ်ကူဖြစ်ကြောင်းသို့မှသာမှတ်ချက်များနှင့်ကြားနေရာလွတ်ထည့်သွင်းရန်သင့်အားခွင့်ပြုထားသည်။
အားလုံးသည်အခြားလိုင်းများ, [] optional ကိုဖြစ်ခြင်းတို့အကြားအမှုအရာသည်အောက်ပါ format နဲ့ကျေနပ်သင့်တယ်:
daemon_list: client_list [: shell_command]
daemon_list တဦးတည်းသို့မဟုတ်ထိုထက်ပို daemons process ကိုအမည်များ (argv [0] တန်ဖိုးများ) သို့မဟုတ်သံခိတ် (အောက်တွင်ကြည့်ပါ) ၏စာရင်းတစ်ခုဖြစ်ပါတယ်။
client_list တဦးတည်းသို့မဟုတ်ထိုထက်ပိုအိမ်ရှင်အမည်များ, အိမ်ရှင်လိပ်စာများ, ပုံစံများသို့မဟုတ်သံခိတ်တစ်စာရင်းဖြစ်သည် (အောက်တွင်ကြည့်ပါ) client ကိုအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာဆန့်ကျင်ကိုက်ညီပါလိမ့်မည်ဖြစ်သည်။
အဆိုပါပိုမိုရှုပ်ထွေးပုံစံများ daemons @ အိမ်ရှင်နှင့်အသုံးပြုသူ @ အိမ်ရှင်အသီးသီး server ကိုအဆုံးမှတ်ပုံစံများပေါ်နှင့် client ကိုအသုံးပြုသူအမည် lookups များကိုလည်းအပေါ်ကဏ္ဍများကိုရှင်းပြနေကြပါတယ်။
စာရင်း element တွေကိုကွက်လပ်နှင့် / သို့မဟုတ်ကော်မာကွဲကွာရပါမည်။
NIS (YP) netgroup lookups များကိုလည်း၏ချွင်းချက်နှင့်အတူ, အားလုံးဝင်ရောက်ခွင့်ကိုထိန်းချုပ်စစ်ဆေးမှုများအမှုအာရုံမခံစားနိုင်သောဖြစ်ကြသည်။
ပုံစံများ
အဆိုပါ access ကိုထိန်းချုပ်ဘာသာစကားအောက်ပါပုံစံများအကောင်အထည်ဖော်ဆောင်ရွက်နေသော:
တစ်ဦး `နဲ့အတူစတင်ကြောင်းတစ်ဦးက string ကို။ ' ဇာတ်ကောင်။ ၎င်း၏အမည်ကို၏နောက်ဆုံးအစိတ်အပိုင်းများကိုသတ်မှတ်ထားသောပုံစံကိုက်ညီလျှင်တစ်ဦးက host name ကိုလိုက်ဖက်သည်။ ဥပမာ, ပုံစံ `.tue.nl ''` wzv.win.tue.nl ဟာ host name ကိုကိုက်ညီ '' ။
တစ်ဦး `နဲ့အတူကုန်ဆုံးသော string ကို။ ' ဇာတ်ကောင်။ သူ့ရဲ့ပထမဦးဆုံးဂဏန်းလယ်ကွင်းပေးထားသော string ကိုကိုက်ညီပါလျှင်တစ်ဦးကအိမ်ရှင်လိပ်စာကိုက်ညီနေသည်။ ဥပမာ, ပုံစံ 131,155 `။ ' အဆိုပါ Eindhoven တက္ကသိုလ်ကွန်ယက်ပေါ်တွင် (နီးပါး) တိုင်းအိမ်ရှင် (131.155.xx) ၏လိပ်စာကိုက်ညီ။
တစ်ဦး `@ '' ဇာတ်ကောင်အမည်ဖြင့် netgroup တစ်ခု NIS (ယခင် YP) အဖြစ်ကုသနှင့်အတူစတင်ကြောင်းတစ်ဦးက string ကို။ ဒါကြောင့်သတ်မှတ်ထားသော netgroup တစ်အိမ်ရှင်အဖွဲ့ဝင်တစ်ဦးလျှင်တစ်ဦးက host name ကိုလိုက်ဖက်သည်။ Netgroup ပွဲ daemons process ကိုအမည်များသို့မဟုတ် client ကိုအသုံးပြုသူအမည်များဘို့ထောက်ခံကြသည်မဟုတ်။
တစ်ဦးပုံစံများ၏စကားရပ် `nnnn / mmmm pair တစုံ '' တစ်ဦး` အသားတင် / mask အဖြစ်အဓိပ္ပာယ်ကောက်ယူတာဖြစ်ပါတယ် '' ။ `အသားတင်က 'bitwise ဖို့နှင့်လိပ်စာနဲ့` မျက်နှာဖုံး၏ညီမျှသည်' 'ပါလျှင်တစ်ဦးမှာ IPv4 အိမ်ရှင်လိပ်စာကိုက်ညီနေသည်။ ဥပမာအားဖြင့်, ပိုက်ကွန် / မျက်နှာဖုံးပုံစံ `131.155.72.0/255.255.254.0 '' 131.155.73.255` မှတဆင့် 'ဆိုတဲ့အကွာအဝေး `131.155.72.0 ၌ရှိသောလိပ်စာကိုက်ညီ' '။
ပုံစံတစ်ခုစကားရပ် `[ဎ: ဎ: ဎ: ဎ: ဎ: ဎ: ဎ: n] / မီတာ pair တစုံ '' တစ်ဦး` [ပိုက်ကွန်ကို] / prefixlen အဖြစ်အဓိပ္ပာယ်ကောက်ယူတာဖြစ်ပါတယ် '' ။ တစ်ဦး IPv6 host ကိုလိပ်စာ `prefixlen '' အသားတင်` ၏ bits သည် '' ဆိုပါကကိုက်ညီသောလိပ်စာ၏ `prefixlen '' bits သည်နှင့်ညီမျှသည်။ ဥပမာ, [ပိုက်ကွန်ကို] / prefixlen ပုံစံ `[3ffe: 505: 2: 1 ::] 3ffe` မှတစ်ဆင့် / 64 ': 2:: 505 1 :: အကွာအဝေး `3ffe ၌ရှိသောလိပ်စာကိုက်ညီ': 2: 505: 1: ffff: ffff: ffff: ffff '' ။
တစ်ဦး `/ 'ဇာတ်ကောင်နှင့်အတူစတင်ကြောင်းတစ်ဦးက string ကိုတစ်ဦးအဖြစ်ကုသ ဖိုင် name ကို ။ ကအမည်ရှိသောဖိုင်ထဲမှာစာရင်းမဆိုအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာပုံစံကိုက်ညီလျှင်တစ်ဦးကအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာကိုက်ညီနေသည်။ ဖိုင် format နဲ့ကြားနေရာလွတ်များကကွဲကွာသုညသို့မဟုတ်ထိုထက်ပိုအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာပုံစံများနှင့်အတူသုညသို့မဟုတ်ထိုထက်ပိုလိုင်းများဖြစ်ပါတယ်။ တစ်ဦးကဖိုင် name ကိုပုံစံဟာ host အမည်သို့မဟုတ်လိပ်စာပုံစံကိုအသုံးပြုနိုင်ပါတယ်ဘယ်နေရာမှာမဆိုသုံးနိုင်တယ်။
သံခိတ် `* 'နှင့်`?' hostnames သို့မဟုတ်ကိုက်ညီစေရန်အသုံးပြုနိုင်ပါတယ် IP လိပ်စာများ ။ ကိုက်ညီခြင်း၏ဤနည်းလမ်းကို `အသားတင် / မျက်နှာဖုံးနှင့် တွဲဖက်. သုံးမရနိုင်ပါ '' ကိုက်ညီခြင်း,` နဲ့အတူစတင် hostname ကိုက်ညီခြင်း။ ' သို့မဟုတ် IP လိပ်စာ `အတူ။ '' အဆုံးသတ်ကိုက်ညီခြင်း။
သံခိတ်
အဆိုပါ access ကိုထိန်းချုပ်ဘာသာစကားရှင်းလင်းပြတ်သားစွာသံခိတ်ထောက်ခံပါတယ်:
အားလုံး
အဆိုပါကမ္ဘာလုံးဆိုင်ရာသံခိတ်အမြဲတိုက်ပါတယ်။
ပြည်တွင်း
အဘယ်သူ၏နာမကိုအမှီက dot ဇာတ်ကောင်ဆံ့မခံပါဘူးဆိုအိမ်ရှင်တိုက်စစ်ပါတယ်။
မသိသော
အဘယ်သူ၏နာမကိုအမှီမသိနိုင်ပါဘူးကိုမဆိုအသုံးပြုသူကိုက်ညီမှုများနှင့်အဘယ်သူ၏အမည်သို့မဟုတ်လိပ်စာမသိသောများမှာမည်သည့်အိမ်ရှင်တိုက်စစ်ပါတယ်။ ဒီပုံစံစောင့်ရှောက်မှုနှင့်အတူအသုံးပြုသင့်: အိမ်ရှင်အမည်များကိုယာယီအမည်ဖြင့်ဆာဗာကိုပြဿနာတွေကြောင့်မလုပ်ဆောင်နိုင်သေးပါဖြစ်နိုင်ပါသည်။ ဆော့ဖ်ဝဲကပြောနေတာဖြစ်ပါတယ်ကွန်ယက်၏အဘယ်အရာကို type ကိုထွက်တွက်ဆလို့မရပါဘူးသည့်အခါတစ်ဦးကကွန်ယက်ကိုလိပ်စာကိုမရရှိနိုင်ပါလိမ့်မည်။
ကွားသိ
အဘယ်သူ၏နာမကိုသိနှင့်သူ၏အမည်နှင့်လိပ်စာလူသိများကြသည်ဆိုအိမ်ရှင်ကိုက်ညီနေသည်ဆိုအသုံးပြုသူတိုက်စစ်ပါတယ်။ ဒီပုံစံစောင့်ရှောက်မှုနှင့်အတူအသုံးပြုသင့်: အိမ်ရှင်အမည်များကိုယာယီအမည်ဖြင့်ဆာဗာကိုပြဿနာတွေကြောင့်မလုပ်ဆောင်နိုင်သေးပါဖြစ်နိုင်ပါသည်။ ဆော့ဖ်ဝဲကပြောနေတာဖြစ်ပါတယ်ကွန်ယက်၏အဘယ်အရာကို type ကိုထွက်တွက်ဆလို့မရပါဘူးသည့်အခါတစ်ဦးကကွန်ယက်ကိုလိပ်စာကိုမရရှိနိုင်ပါလိမ့်မည်။
အကြောက်လွန်ရောဂါ
အဘယ်သူ၏နာမကိုအမှီသူ့ရဲ့လိပ်စာမကိုက်ညီဆိုအိမ်ရှင်တိုက်စစ်ပါတယ်။ tcpd -DPARANOID (က default mode ကို) ဖြင့်တည်ဆောက်သောအခါ, ပင် access ကိုထိန်းချုပ်စားပွဲမှာရှာဖွေနေမတိုင်မီထိုကဲ့သို့သော client များအနေဖြင့်တောင်းဆိုမှုများကိုပြန်လည်ရုပ်သိမ်းသွားခဲ့သည်။ သငျသညျထိုကဲ့သို့သောတောင်းဆိုမှုများကိုပိုပြီးထိန်းချုပ်လိုတဲ့အခါ -DPARANOID မပါဘဲ Build ။
အော်ပရေတာ
မှတပါး
ရည်ရွယ်အသုံးပြုမှုပုံစံ၏ဖြစ်ပါသည်: list_2 မှလွဲ. `list_1 '; ဒီဆောက်လုပ်ရေးကြောင့် list_2 ကိုက်ညီမှုမရှိပါက list_1 ကိုက်ညီမှုဘာမှတိုက်စစ်ပါတယ်။ ချွင်းချက်အော်ပရေတာ daemon_lists နှင့် client_lists များတွင်အသုံးပြုနိုင်ပါသည်။ အော်ပရေတာကလွဲလို့အသိုက်ခံရနိုင်သည်ထိန်းချုပ်မှုဘာသာစကား `c ကိုခြွင်းချက်ခ မှလွဲ. တစ်ဦး ''` (ဂခြွင်းချက် (ခ) ခြွင်းချက်တစ်ခု) အဖြစ်ခွဲခြားစိတ်ဖြာမှုမယ်လို့ 'ကွင်း၏အသုံးပြုမှုကိုခွင့်ပြုမယ်ဆိုရင်။
ပထမဦးဆုံး-လိုက်ဖက် access ကိုထိန်းချုပ်မှုစည်းမျဉ်းတစ် shell ကို command ကိုပါရှိသည်လျှင်ထို command% အစားထိုး (လာမယ့်အပိုင်းကိုကြည့်ပါ) အကြောင်းမဲ့ဖြစ်ပါတယ်။ အဆိုပါရလဒ် / dev / null နဲ့ချိတ်ဆက်စံ input ကို, ထုတ်လုပ်မှုနှင့်အမှားနှင့်အတူတစ်ဦး / bin / sh ကလေးကဖြစ်စဉ်ကိုကွပ်မျက်သည်။ သင်ကပြီးစီးခဲ့ပါသည်သည်အထိစောင့်ဆိုင်းရန်မလိုကြပါလျှင်အမိန့်ရဲ့အဆုံးမှာတစ်ဦး `& '' Specify ။
Shell ကပညတ်တော်မူ၏ အဆိုပါ inetd ၏ PATH setting ကိုအားမကိုးသင့်ပါတယ်။ အဲဒီအစား, သူတို့အကြွင်းမဲ့အာဏာလမ်းကြောင်းအမည်များကိုအသုံးပြုသင့်ပါတယ်, ဒါမှမဟုတ်သူတို့ = သမျှကြေညာချက်တစ်ရပ်ရှင်းလင်းပြတ်သားစွာ PATH နဲ့စတင်သင့်ပါတယ်။
အဆိုပါ hosts_options (5) စာရွက်စာတမ်းတစ်ဦးကွဲပြားခြားနားခြင်းနှင့်ကိုက်ညီမှုမရှိသောလမ်းအတွက် shell ကို command ကိုလယ်ကွင်းတစ်ခုကိုတစ်ခုကအခြားရွေးချယ်စရာဘာသာစကားဖော်ပြသည်။
% ချဲ့ထွင်မှု
အောက်ပါချဲ့ထွင် shell ကိုပညတ်တော်တို့ကိုအတွင်းရရှိနိုင်ပါသည်:
% ဟာ (% က)
အဆိုပါ client ကို (ဆာဗာ) အိမ်ရှင် လိပ်စာ။
% c ကို
client သတင်းအချက်အလက်: အသုံးပြုသူ @ အိမ်ရှင်, အသုံးပြုသူ @ လိပ်စာ, ဟာ host name ကို, ဒါမှမဟုတ်ကိုယ့်လိပ်စာ, ရရှိနိုင်ပါသည်ဘယ်လောက်သတင်းအချက်အလက်ပေါ် မူတည်. ။
% ဃ
အဆိုပါ daemons process ကိုအမည်အား (argv [0] တန်ဖိုးကို) ။
%HH)
အဆိုပါ client ကို (ဆာဗာ) အိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာ, host name ကိုမရရှိနိုင်သေးပါလျှင်။
% ဎ (% N) တို့
အဆိုပါ client ကို (ဆာဗာ) host name ကို (သို့မဟုတ် "အမည်မသိ" သို့မဟုတ် "အကြောက်လွန်ရောဂါ") ။
% p
အဆိုပါ daemons process ကိုအိုင်ဒီ။
ကို% s
ဆာဗာသတင်းအချက်အလက်: ရရှိနိုင်ပါသည်ဘယ်လောက်သတင်းအချက်အလက်ပေါ် မူတည်. daemons @ အိမ်ရှင်, daemons @ လိပ်စာ, သို့မဟုတ်ရုံ daemons အမည်, ။
% ဦး
အဆိုပါ client ကို user name ကို (သို့မဟုတ် "အမည်မသိ") ။
%%
တစ်ခုတည်း `% '' ဇာတ်ကောင်မှတိုးချဲ့။
shell ကိုရှုပ်ထွေးစေခြင်းငှါ% ချဲ့ထွင်အတွက် characters underscores ဖြင့်အစားထိုးနေကြပါတယ်။
ဆာဗာ Endpoints ပုံစံများ
သူတို့ချိတ်ဆက်ကွန်ယက်လိပ်စာ, ပုံစံအသုံးပြုမှုပုံစံများအားဖြင့် client များခွဲခြားနိုင်ရန်အတွက်:
process_name @ host_pattern: client_list ...
စက်ကွဲပြားခြားနားသောအင်တာနက် hostnames နှင့်အတူကွဲပြားခြားနားသောအင်တာနက်လိပ်စာများရှိပါတယ်သည့်အခါဤကဲ့သို့သောပုံစံများကိုအသုံးပြုနိုင်ပါတယ်။ ဝန်ဆောင်မှုပေးပင်ကွဲပြားခြားနားသောအဖွဲ့အစည်းများပိုင်စေခြင်းငှါအင်တာနက်အမည်များနှင့်အတူ FTP, Gopher သို့မဟုတ် WWW မော်ကွန်းတိုက်ပူဇော်ဖို့ဒီစက်ရုံကိုသုံးနိုင်သည်။ ယင်းအတွက် `လှည့်ကွက် '' option ကိုလည်းကြည့်ရှုပါ hosts_options (5) စာရွက်စာတမ်း။ တချို့ကစနစ်များ (Solaris, FreeBSD) တဦးတည်းရုပ်ပိုင်းဆိုင်ရာ interface ပေါ်မှာတစ်ဦးထက်ပိုအင်တာနက်လိပ်စာရှိနိုင်ပါသည်; အခြားစနစ်များနှင့်အတူသင်တစ်ဦးဆက်ကပ်အပ်နှံကွန်ယက်ကိုလိပ်စာအာကာသမှာနေထိုင်ကြောင်းကြားဖြတ် interfaces ချော်သို့မဟုတ် PPP ပါတီနှုနျးဖို့ရှိသည်လိမ့်မည်။
အဆိုပါ host_pattern client_list အခြေအနေတွင်အိမ်ရှင်အမည်များနှင့်လိပ်စာများကဲ့သို့တူညီသော syntax စည်းမျဉ်းစည်းကမ်းတွေကိုနာခံ။ အများအားဖြင့်, server ကိုအဆုံးမှတ်သတင်းအချက်အလက်သာကွန်နက်ရှင်-oriented န်ဆောင်မှုများနှင့်အတူရရှိနိုင်ပါသည်။
အမှုသည်၏ USERNAME lookup
client ကိုအိမ်ရှင်ဟာကို RFC 931 protocol ကိုသို့မဟုတ်ယင်း၏သားစဉ်မြေးဆက်ထဲကတစ်ခု (TAP, Identity, ကို RFC 1413) ကိုအထောက်အပံ့ပေးနိုင်ပါတယ်အခါ wrapper အစီအစဉ်များချိတ်ဆက်မှု၏ပိုင်ရှင်နှင့် ပတ်သက်. နောက်ထပ်သတင်းအချက်အလက်များရယူနိုငျပါသညျ။ client အသုံးပြုသူအမည်သတင်းအချက်အလက်အခါမရရှိနိုင်, client ကို host name ကိုအတူ logged သည်, တူသောပုံစံများကိုက်ညီစေရန်အသုံးပြုနိုင်ပါတယ်:
daemon_list: ... user_pattern @ host_pattern ...
အဆိုပါ daemons ထုပ်စည်းမျဉ်း-မောင်းနှင်အသုံးပြုသူအမည် lookups များကိုလည်း (ပုံသေ) ဖျော်ဖြေဖို့ဒါမှမဟုတ်အမြဲတမ်း client ကိုအိမ်ရှင်မွေးမွနျးဖို့ compile လုပ်ခြင်းအချိန်တွင် configured နိုင်ပါသည်။ စည်းမျဉ်း-မောင်းနှင်အသုံးပြုသူအမည် lookups များကိုလည်း၏ဖြစ်ရပ်မှာတော့အထက်ပါစည်းမျဉ်းများကိုသာအခါ daemon_list နှင့် host_pattern ပွဲစဉ်နှစ်ဦးစလုံးအသုံးပြုသူအမည် lookup ပြုလုပ်နေဖြစ်ပေါ်စေလိမ့်မယ်။
အသုံးပြုသူတစ်ဦးပုံစံတစ် daemons process ကိုပုံစံကဲ့သို့တူညီသော syntax ရှိပါတယ်, ဒါကြောင့်တူညီတဲ့သံခိတ် (netgroup အဖွဲ့ဝင်အဖြစ်ပံ့ပိုးပေးမထားပါ) သက်ဆိုင်ပါသည်။ တဦးတည်းသော်လည်း, အသုံးပြုသူအမည် lookups များကိုလည်းနှင့်အတူပါသွားသောသူရသငျ့ဘူး။
အလွန်လိုအပ်သည့်အခါ client ကိုအသုံးပြုသူအမည်အချက်အလက်များကို client ကိုစနစ်ဟာအားလျော့ထားပြီးဆိုလိုသည်မှာအခါ, ယုံကြည်စိတ်ချရနိုင်မှာမဟုတ်ဘူး။ ယေဘုယျအားဖြင့်သိအားလုံးနှင့် (ကုလသမဂ္ဂ) အသိပါစေကြောင်းတည်းသော user name ကိုပုံစံများဖြစ်ကြသည်။
username lookups သာသည် TCP-based ဝန်ဆောင်မှုများဖြစ်နိုင်သောဖြစ်ကြသည်ကို၎င်း, client ကိုအိမ်ရှင်တစ်ဦးသင့်လျော်သော daemons ပြေးသာအခါ, ရှိသမျှသည်အခြားသောကိစ္စများတွင်ရလဒ် "အမည်မသိ" ဖြစ်ပါတယ်။
အသုံးပြုသူအမည် lookups များကိုလည်းတစ်ဦး firewall ကပိတ်ဆို့သည့်အခါတစ်ဦးကလူသိများတဲ့ UNIX တွင် kernel ကို bug ကိုဝန်ဆောင်မှု၏ဆုံးရှုံးမှုကိုဖြစ်ပေါ်စေနိုင်ပါတယ်။ အဆိုပါ wrapper README စာရွက်စာတမ်းသင့်ရဲ့ kernel ကိုဒီ bug ကိုရှိပါတယ်လျှင်ထွက်ရှာရန်လုပ်ထုံးလုပ်နည်းဖော်ပြသည်။
username lookups များကိုလည်း Non-UNIX တွင်အသုံးပြုသူများအတွက်သိသာနှောင့်နှေးစေလိမ့်မည်။ နှေးကွေးသောကွန်ယက်များနှင့်အတူရင်ဆိုင်ဖြေရှင်းနိုင်ဟာသိပ်တိုတောင်းပါတယ်, ဒါပေမယ့်တာရှည်အလုံအလောက် PC ကိုအသုံးပြုသူများကစိတ်ဆိုးဖို့: အသုံးပြုသူအမည် lookups များကိုလည်းများအတွက် default အနေနဲ့အချိန်ကုန် 10 စက္ကန့်ဖြစ်ပါတယ်။
ရွေးချယ်အသုံးပြုသူအမည် lookups များကိုလည်းပြီးခဲ့သည့်ပြဿနာသက်သာစေနိုင်ကြောင်းနိုင်ပါတယ်။ ဥပမာကဲ့သို့စည်းကမ်း:
daemon_list: @pcnetgroup အားလုံး @ အားလုံး
အသုံးပြုသူအမည် lookups များကိုလည်းလုပ်နေစရာမလိုဘဲ pc netgroup အဖွဲ့ဝင်များကိုက်ညီလိမ့်မည်ဟု, ဒါပေမယ့်အားလုံးအခြားစနစ်များနှင့်အတူအသုံးပြုသူအမည် lookups များကိုလည်းလုပ်ဆောင်လိမ့်မည်။
ADDRESS ကို spoofing တိုကျခိုကျဖော်ထုတ်မယ်
အမြားအပွားကို TCP / IP ကို Implementation ကို၏ sequence ကိုအရေအတွက်ကမီးစက်အတွက်တစ်ဦးကအားနည်းချက်ဥပမာ, ကျူးကျော်သူတွေကအလွယ်တကူယုံကြည်စိတ်ချရသောကောင်းကင်ဗိုလ်ခြေအရှင်အယောင်ဆောင်ဖို့နဲ့ကနေတစ်ဆင့်အတွင်းကိုချိုးဖျက်ဖို့ဝေးလံခေါင်ဖျား shell ကိုဝန်ဆောင်မှုခွင့်ပြုပါတယ်။ အဆိုပါ Identity (RFC931 etc) ဝန်ဆောင်မှုထိုကဲ့သို့သောနှင့်အခြားအိမ်ရှင်လိပ်စာလှည့်စားမှုတိုက်ခိုက်မှု detect ဖို့အသုံးပြုနိုင်ပါသည်။
တစ်ဦးကို client တောင်းဆိုမှုကိုလက်ခံခြင်းမီထုပ် client ကိုမှာအားလုံးတောင်းဆိုချက်ကိုမပို့ခဲ့ပါကြောင်းရှာဖွေဖို့အတွက် Identity ဝန်ဆောင်မှုကိုသုံးနိုင်သည်။ client ကိုအိမ်ရှင် Identity ဝန်ဆောင်မှုထောက်ပံ့ပေးသည့်အခါ, တစ်ဦးအနုတ်လက္ခဏာ identity lookup ပြုလုပ်နေရလဒ် (ထို client ကိုအိမ်ရှင် @ `မသိသော '' ကိုက်ညီ) ဟာ host လှည့်စားမှုတိုက်ခိုက်မှု၏ခိုင်မာတဲ့သက်သေအထောက်အထားဖြစ်ပါတယ်။
တစ်ဦးကအပြုသဘော Identity lookup ပြုလုပ်နေရလဒ် (ထို client ကို `သိ @ အိမ်ရှင် '' ကိုက်ညီ) လျော့နည်းယုံကြည်စိတ်ချဖြစ်ပါတယ်။ တစ်ခုကျူးကျော်နေ client ကွန်နက်ရှင်နှင့် Identity lookup ပြုလုပ်နေနှစ်ဦးစလုံးကိုလှည်ရန်အဘို့အဒါလုပ်နေရုံ client ကိုကွန်နက်ရှင် spoofing ထက်အများကြီးပိုခက်ပေမယ့်ဒါဟာဖြစ်နိုင်ပါသည်။ ဒါဟာအစကို client ရဲ့ Identity server ကိုမုသာစကားကိုကြောင်းဖြစ်နိုင်သည်။
မှတ်ချက်: Identity lookups များကိုလည်း UDP ကိုန်ဆောင်မှုများနှင့်အတူအလုပ်လုပ်ကြပါဘူး။
ဥပမာများ
ဘာသာစကားကို access ကိုထိန်းချုပ်မှုမူဝါဒ၏ကွဲပြားခြားနားသောအမျိုးအစားများကိုပျော့သွားတာကို၏နိမ့်ဆုံးနှင့်အတူထုတ်ဖော်ပြောဆိုနိုင်အလုံအလောက်ပြောင်းလွယ်ပြင်လွယ်သည်။ ဘာသာစကားနှစ်ခု access ကိုထိန်းချုပ်စားပွဲကိုအသုံးပြုသော်လည်း, အသုံးအများဆုံးမူဝါဒများအသေးအဖွဲသို့မဟုတ်ပင်အချည်းနှီးဖြစ်ခြင်းကျောက်ပြားတစ်ဦးနှင့်အတူအကောင်အထည်ဖော်နိုင်ပါသည်။
ဒါကြောင့်အောက်ကဥပမာကိုဖတ်ရှုအခါခွင့်ပြုစားပွဲရှာဖွေရေးကိုက်ညီမှုတွေ့ရှိရသောအခါအဆုံးသတ်နှင့်မယှဉ်မှာအားလုံးကိုတွေ့သောအခါကြောင်း access ကိုခွင့်ပြုခဲ့ကြောင်း, အငွငျးပယျစားပွဲမတိုင်မီ scan ဖတ်ကြောင်းနားလည်သဘောပေါက်ရန်အရေးကြီးပါသည်။
ဥပမာအိမ်ရှင်နှင့်ဒိုမိန်းအမည်များကိုအသုံးပြုပါ။ သူတို့ကယာယီအမည်ဖြင့်ဆာဗာကို lookup ပြုလုပ်နေဆုံးရှုံးမှု၏အကျိုးသက်ရောက်မှုကိုလျှော့ချဖို့, လိပ်စာနှင့် / သို့မဟုတ်ကွန်ရက် / netmask သတင်းအချက်အလက်အပါအဝင်ခြင်းဖြင့်တိုးတက်နိုင်ပါတယ်။
အများအားဖြင့်အပိတ်
ဤကိစ္စတွင်ခုနှစ်, access ကို default အနေဖြင့်ငြင်းဆိုသည်။ သာအတိအလင်းခွင့်အာဏာကောင်းကင်ဗိုလ်ခြေအရှင် access ကိုခွင့်ပြုထားပါသည်။
အဆိုပါ default အနေနဲ့မူဝါဒ (အဘယ်သူမျှမ access ကို) တစ်ဦးအသေးအဖွဲငြင်းပယ်ဖိုင်နှင့်အတူအကောင်အထည်ဖော်:
/etc/hosts.deny: အားလုံး: အားလုံး
သူတို့ကခွင့်ပြုဖိုင်ထဲမှာ entry တွေကြောင့် access ကိုခွင့်ပြုထားပါသည်မဟုတ်လျှင်ဒီအားလုံးကောင်းကင်ဗိုလ်ခြေအရှင်အားလုံးကိုဝန်ဆောင်မှုငြင်းပယ်ထားပါတယ်။
အဆိုပါအတိအလင်းခွင့်အာဏာကောင်းကင်ဗိုလ်ခြေအရှင်အဆိုပါခွင့်ပြုပါဖိုင်ထဲမှာစာရင်းသွင်းဖော်ပြထားပါသည်။ ဥပမာ:
/etc/hosts.allow: အားလုံး: ပြည်တွင်း @some_netgroup
အားလုံး: .foobar.edu terminalserver.foobar.edu မှလွဲ.
ပထမဦးဆုံးအစည်းမျဉ်း (အိမ်ရှင်နာမ၌ '။ အဘယ်သူမျှမ `) ဒေသခံဒိုမိန်းအတွက်ကောင်းကင်ဗိုလ်ခြေအရှင်ထံမှ access ကိုခွင့်ပြုထားနှင့် some_netgroup netgroup အဖွဲ့ဝင်များမှ။ ဒုတိယစည်းမျဉ်း terminalserver.foobar.edu ၏ချွင်းချက်နှင့်အတူ foobar.edu ဒိုမိန်းအားလုံးကိုကောင်းကင်ဗိုလ်ခြေအရှင် (ထိုဦးဆောင် dot သတိထားမိ), ကနေ access ကိုခွင့်ပြုထားသည်။
အများအားဖြင့်ဖွင့်
ဤတွင်, access ကို default အနေဖြင့်ခွင့်ပြုသဖြင့်, သာအတိအလင်းသတ်မှတ်ထားကောင်းကင်ဗိုလ်ခြေအရှင်ဝန်ဆောင်မှုငြင်းဆန်ခဲ့သည်နေကြသည်။
ဒါကြောင့်ချန်လှပ်ခံရနိုင်အောင်ကို default မူဝါဒ (access ကိုခွင့်ပြု) ကိုခွင့်ပြုပါဖိုင်မလိုအပ်တဲ့စေသည်။ အဆိုပါအတိအလင်း Non-အခွင့်အာဏာကောင်းကင်ဗိုလ်ခြေအရှင်အဆိုပါငြင်းပယ်ဖိုင်ထဲတွင်ဖော်ပြထားသောနေကြသည်။ ဥပမာ:
/etc/hosts.deny: အားလုံး: some.host.name, .some.domain
other.host.name, .other.domain: အားလုံး in.fingerd မှလွဲ.
ပထမဦးဆုံးအစည်းမျဉ်းအချို့ကောင်းကင်ဗိုလ်ခြေအရှင်နှင့် domains များအားလုံးန်ဆောင်မှုငြင်းပယ်; ဒုတိယစည်းမျဉ်းနေဆဲသည်အခြားကောင်းကင်ဗိုလ်ခြေအရှင်နှင့် domains များအနေဖြင့်လက်ချောင်းတောင်းဆိုမှုများကိုခွင့်ပြုထားသည်။
BOOBY ထောင်ချောက်
နောက်တစ်နေ့ဥပမာအားဒေသခံဒိုမိန်းအတွက်ကောင်းကင်ဗိုလ်ခြေအရှင်ထံမှ tftp တောင်းဆိုမှုများကို (ထိုဦးဆောင် dot သတိထားမိ) ခွင့်ပြုထားသည်။ အခြားမည်သည့်ကောင်းကင်ဗိုလ်ခြေအရှင်ထံမှတောင်းဆိုမှုများကိုငြင်းပယ်နေကြသည်။ အဲဒီအစားတောင်းဆိုထားသောဖိုင်တစ်ဦးလက်ချောင်းစုံစမ်းစစ်ဆေးဖောက်ပြန်တဲ့အိမ်ရှင်ထံသို့စေလွှတ်သည်။ အဆိုပါရလဒ် SuperUser မှပို့သည်။
/etc/hosts.allow:
in.tftpd: ပြည်တွင်း, .my.domain /etc/hosts.deny: in.tftpd: အားလုံး: spawn (/ အခြို့သော / အဘယ်မှာရှိ / safe_finger -l @% ဇ | \ / usr / ucb / မေးလ် -s% d-% ဇအမြစ်) &အဆိုပါ safe_finger command ကတော့ tcpd wrapper နှင့်တကွကြွလာကာသင့်လျော်သောနေရာအရပ်တွင်တပ်ဆင်ရပါမည်။ ဒါဟာဝေးလံခေါင်ဖျားကိုလက်ညှိုးဆာဗာကိုစလှေတျဒေတာကနေဖြစ်နိုင်သမျှအပျက်အစီးကန့်သတ်။ ဒါဟာစံလက်ညှိုးကို command ကိုထက်ပိုကောင်းတဲ့ကာကွယ်စောင့်ရှောက်ပေးသည်။
ထို% ဇ (client ကိုအိမ်ရှင်) ၏ချဲ့ထွင်ခြင်းနှင့်% ဃ (ဝန်ဆောင်မှုအမည်) ပာ shell ကိုပညတ်တော်တို့ကိုပေါ်တွင်အပိုင်းများတွင်ဖော်ပြထားသည်။
သတိပေးချက်: booby-ထောင်ချောက်ပါဘူးသင့်ရဲ့လက်ချောင်း daemons, သငျသညျအဆုံးမဲ့လက်ညှိုးကိုကွင်းအဘို့ပြင်ဆင်နေကြသည်မဟုတ်လျှင်။
ကွန်ယက်ကို firewall ကစနစ်တွေတွင်ဒီလှည့်ကွက်ပင်ထပ်မံသယ်ဆောင်နိုင်ပါတယ်။ အဆိုပါပုံမှန်ကွန်ယက်ကို firewall ကသာပြင်ကမ္ဘာကိုန်ဆောင်မှုများ၏ကန့်သတ်ထားပေးပါသည်။ အားလုံးအခြားဝန်ဆောင်မှုများရုံအထက်တွင် tftp ဥပမာကဲ့သို့ "bugged" နိုင်ပါသည်။ အဆိုပါရလဒ်အကောင်းဆုံးကြိုတင်သတိပေးစနစ်ဖြစ်သည်။
လည်းဖတ်ကြည့်ပါ
tcpd (8) TCP / IP daemons wrapper ပရိုဂရမ်ဖြစ်ပါတယ်။ tcpdchk (8), tcpdmatch (8), စမ်းသပ်မှုအစီအစဉ်များ။အရေးကြီး: command တစ်ခုကိုသင်၏အထူးသဖြင့်ကွန်ပျူတာပေါ်တွင်အသုံးပြုသည်ကိုမည်သို့ကြည့်ဖို့လူကို command ကို (% သည်လူ) ကိုသုံးပါ။