က NAME
hosts_access - အိမ်ရှင် access ကိုထိန်းချုပ်ဖိုငျမြား၏ပုံစံ
DESCRIPTION
ဤသည်ကို manual စာမျက်နှာကို client (host name ကို / လိပ်စာ, အသုံးပြုသူအမည်) ပေါ်တွင်အခြေခံကြောင်းရိုးရှင်းတဲ့ access ကိုထိန်းချုပ်ဘာသာစကားဖော်ပြထားတယ်နှင့် server ကို (process ကိုအမည်, အိမ်ရှင်အမည် / လိပ်စာ) ပုံစံများ။ ဥပမာအဆုံးမှာပေးအပ်ထားတယ်။ အဆိုပါစိတ်မရှည်စာဖတ်သူကိုတစ်ဦးအမြန်မိတ်ဆက်စကားများအတွက်နမူနာအပိုင်းကိုကျော်သွားမှအားပေးအားမြှောက်ဖြစ်ပါတယ်။
အဆိုပါ access ကိုထိန်းချုပ်ဘာသာစကားတစ်ခုတိုးချဲ့ဗားရှင်းထဲမှာဖော်ပြထားတာဖြစ်ပါတယ် hosts_options (5) စာရွက်စာတမ်း။ အဆိုပါ extension များ -DPROCESS_OPTIONS နှင့်အတူတည်ဆောက်ခြင်းအားဖြင့်ပရိုဂရမ်တစ်ခုတည်ဆောက်အချိန်တွင်ဖွင်နေကြသည်။
အောက်ပါစာသားထဲမှာ, daemons တစ်ဦး၏ဖြစ်စဉ်နာမည်ဖြစ်ပါတယ် ကွန်ယက်ကို daemons process ကိုနှင့် client ကိုအမည်နှင့် / သို့မဟုတ်ဝန်ဆောင်မှုတောင်းခံနေတဲ့အိမ်ရှင်၏လိပ်စာဖြစ်ပါတယ်။ Network မှ daemons process ကိုအမည် inetd configuration ဖိုင်ထဲမှာသတ်မှတ်ပေးပါသည်။
Access Control FILES
အဆိုပါ access ကိုထိန်းချုပ်ဆော့ဖျဝဲနှစ်ခုဆှေးနှေး ဖိုင်များကို ။ ရှာဖွေရေးပထမဦးဆုံးပွဲစဉ်မှာရပ်:
*
တစ်ဦး (daemons, client ကို) pair တစုံဟာ /etc/hosts.allow ဖိုင်ထဲမှာတစ်ခု entry ကိုကိုက်ညီသည့်အခါ Access ကိုခွင့်ပြုလိမ့်မည်။
*
တစ်ဦး (အခါ, ဒီလိုမှမဟုတ်ရင် access ကိုငြင်းပယ်ပါလိမ့်မည် daemons , client ကို) pair တစုံဟာ /etc/hosts.deny ဖိုင်ထဲမှာတစ်ခု entry ကိုတိုက်စစ်ပါတယ်။
*
ဒီလိုမှမဟုတ်ရင် access ကိုခွင့်ပြုလိမ့်မည်။
ဒါကြောင့်တစ်ဦးအချည်းနှီးသောဖြစ်လျှင်အဖြစ်တစ်ဦးက Non-တည်ဆဲ access ကိုထိန်းချုပ် file ကိုကုသ ဖိုင်ကို။ ထို့ကြောင့်လက်လှမ်းထိန်းချုပ်မှုမရှိ, access ကိုထိန်းချုပ်ပေးသဖြင့်ပိတ်ထားနိုင်ပါတယ် ဖိုင်များကို ။
Access Control ဥပဒေသများ
တစ်ခုချင်းစီကို access ကိုထိန်းချုပ်ဖိုင်စာသားသုညသို့မဟုတ်ထိုထက်ပိုလိုင်းများပါဝင်ပါသည်။ ဤရွေ့ကားလိုင်းများအသွင်အပြင်၏နိုင်ရန်အတွက်လုပ်ငန်းများ၌နေကြသည်။ ကိုက်ညီမှုတွေ့ရှိရသောအခါအဆိုပါရှာဖွေရေးအဆုံးသတ်။
*
ကဘယ်ဘက်မျဉ်းစောင်းဇာတ်ကောင်များကရှေ့ပြေးအခါတစ်ဦးက NEWLINE ဇာတ်ကောင်လျစ်လျူရှုနေပါတယ်။ ဤသည်ကိုသူတို့တည်းဖြတ်ရန်ပိုမိုလွယ်ကူဖြစ်ကြောင်းဤမျှကာလပတ်လုံးလိုင်းများတက်ကိုချိုးဖျက်ဖို့သငျသညျခွင့်ပြုထားသည်။
*
တစ်ဦး `# '' ဇာတ်ကောင်နဲ့စတင်ကြောင်း blank လိုင်းများသို့မဟုတ်လိုင်းများလျစ်လျူရှုနေကြပါတယ်။ ဒါကကျောက်ပြားကိုဖတ်ရှုဖို့ပိုမိုလွယ်ကူဖြစ်ကြောင်းသို့မှသာမှတ်ချက်များနှင့်ကြားနေရာလွတ်ထည့်သွင်းရန်သင့်အားခွင့်ပြုထားသည်။
*
အားလုံးသည်အခြားလိုင်းများ, [] optional ကိုဖြစ်ခြင်းတို့အကြားအမှုအရာသည်အောက်ပါ format နဲ့ကျေနပ်သင့်တယ်:
daemon_list: client_list [: shell_command]
daemon_list တဦးတည်းသို့မဟုတ်ထိုထက်ပို daemons process ကိုအမည်များ (argv [0] တန်ဖိုးများ) သို့မဟုတ်သံခိတ် (အောက်တွင်ကြည့်ပါ) ၏စာရင်းတစ်ခုဖြစ်ပါတယ်။
client_list တစ်ဦးသို့မဟုတ်ထိုထက်ပိုသောစာရင်းတစ်ခုဖြစ်ပါတယ် အိမ်ရှင် အမည်များ, အိမ်ရှင်လိပ်စာများ, ပုံစံများသို့မဟုတ်သံခိတ် (အောက်တွင်ကြည့်ပါ) client ကိုအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာဆန့်ကျင်ကိုက်ညီပါလိမ့်မည်ဖြစ်သည်။
အဆိုပါပိုမိုရှုပ်ထွေးပုံစံများ daemons @ အိမ်ရှင်နှင့်အသုံးပြုသူ @ အိမ်ရှင်အသီးသီး server ကိုအဆုံးမှတ်ပုံစံများပေါ်နှင့် client ကိုအသုံးပြုသူအမည် lookups များကိုလည်းအပေါ်ကဏ္ဍများကိုရှင်းပြနေကြပါတယ်။
စာရင်း element တွေကိုကွက်လပ်နှင့် / သို့မဟုတ်ကော်မာကွဲကွာရပါမည်။
NIS (YP) netgroup lookups များကိုလည်း၏ချွင်းချက်နှင့်အတူ, အားလုံးဝင်ရောက်ခွင့်ကိုထိန်းချုပ်စစ်ဆေးမှုများအမှုအာရုံမခံစားနိုင်သောဖြစ်ကြသည်။
ပုံစံများ
အဆိုပါ access ကိုထိန်းချုပ်ဘာသာစကားအောက်ပါပုံစံများအကောင်အထည်ဖော်ဆောင်ရွက်နေသော:
*
တစ်ဦး `နဲ့အတူစတင်ကြောင်းတစ်ဦးက string ကို။ ' ဇာတ်ကောင်။ ၎င်း၏အမည်ကို၏နောက်ဆုံးအစိတ်အပိုင်းများကိုသတ်မှတ်ထားသောပုံစံကိုက်ညီလျှင်တစ်ဦးက host name ကိုလိုက်ဖက်သည်။ ဥပမာ, ပုံစံ `.tue.nl ''` wzv.win.tue.nl ဟာ host name ကိုကိုက်ညီ '' ။
*
တစ်ဦး `နဲ့အတူကုန်ဆုံးသော string ကို။ ' ဇာတ်ကောင်။ သူ့ရဲ့ပထမဦးဆုံးဂဏန်းလယ်ကွင်းပေးထားသော string ကိုကိုက်ညီပါလျှင်တစ်ဦးကအိမ်ရှင်လိပ်စာကိုက်ညီနေသည်။ ဥပမာ, ပုံစံ 131,155 `။ ' အဆိုပါ Eindhoven တက္ကသိုလ်ကွန်ယက်ပေါ်တွင် (နီးပါး) တိုင်းအိမ်ရှင် (131.155.xx) ၏လိပ်စာကိုက်ညီ။
*
တစ်ဦး `@ '' ဇာတ်ကောင်အမည်ဖြင့် netgroup တစ်ခု NIS (ယခင် YP) အဖြစ်ကုသနှင့်အတူစတင်ကြောင်းတစ်ဦးက string ကို။ ဒါကြောင့်သတ်မှတ်ထားသော netgroup တစ်အိမ်ရှင်အဖွဲ့ဝင်တစ်ဦးလျှင်တစ်ဦးက host name ကိုလိုက်ဖက်သည်။ Netgroup ပွဲ daemons process ကိုအမည်များသို့မဟုတ် client ကိုအသုံးပြုသူအမည်များဘို့ထောက်ခံကြသည်မဟုတ်။
*
တစ်ဦးပုံစံများ၏စကားရပ် `nnnn / mmmm pair တစုံ '' တစ်ဦး` အသားတင် / mask အဖြစ်အဓိပ္ပာယ်ကောက်ယူတာဖြစ်ပါတယ် '' ။ `အသားတင်က 'bitwise ဖို့နှင့်လိပ်စာနဲ့` မျက်နှာဖုံး၏ညီမျှသည်' 'ပါလျှင်တစ်ဦးမှာ IPv4 အိမ်ရှင်လိပ်စာကိုက်ညီနေသည်။ ဥပမာအားဖြင့်, ပိုက်ကွန် / မျက်နှာဖုံးပုံစံ `131.155.72.0/255.255.254.0 '' 131.155.73.255` မှတဆင့် 'ဆိုတဲ့အကွာအဝေး `131.155.72.0 ၌ရှိသောလိပ်စာကိုက်ညီ' '။
*
ပုံစံတစ်ခုစကားရပ် `[ဎ: ဎ: ဎ: ဎ: ဎ: ဎ: ဎ: n] / မီတာ pair တစုံ '' တစ်ဦး` [ပိုက်ကွန်ကို] / prefixlen အဖြစ်အဓိပ္ပာယ်ကောက်ယူတာဖြစ်ပါတယ် '' ။ တစ်ဦး IPv6 host ကိုလိပ်စာ `prefixlen '' အသားတင်` ၏ bits သည် '' ဆိုပါကကိုက်ညီသောလိပ်စာ၏ `prefixlen '' bits သည်နှင့်ညီမျှသည်။ ဥပမာ, [ပိုက်ကွန်ကို] / prefixlen ပုံစံ `[3ffe: 505: 2: 1 ::] 3ffe` မှတစ်ဆင့် / 64 ': 2:: 505 1 :: အကွာအဝေး `3ffe ၌ရှိသောလိပ်စာကိုက်ညီ': 2: 505: 1: ffff: ffff: ffff: ffff '' ။
*
တစ်ဦး `/ 'ဇာတ်ကောင်နှင့်အတူစတင်ကြောင်းတစ်ဦးက string ကိုဖိုင်တစ်ဖိုင် name ကိုအဖြစ်ကုသနေပါတယ်။ ကအမည်ရှိသောဖိုင်ထဲမှာစာရင်းမဆိုအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာပုံစံကိုက်ညီလျှင်တစ်ဦးကအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာကိုက်ညီနေသည်။ ဖိုင် format နဲ့ကြားနေရာလွတ်များကကွဲကွာသုညသို့မဟုတ်ထိုထက်ပိုအိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာပုံစံများနှင့်အတူသုညသို့မဟုတ်ထိုထက်ပိုလိုင်းများဖြစ်ပါတယ်။ တစ်ဦးကဖိုင် name ကိုပုံစံဟာ host အမည်သို့မဟုတ်လိပ်စာပုံစံကိုအသုံးပြုနိုင်ပါတယ်ဘယ်နေရာမှာမဆိုသုံးနိုင်တယ်။
*
သံခိတ် `* 'နှင့်`?' hostnames သို့မဟုတ် IP လိပ်စာများကိုက်ညီစေရန်အသုံးပြုနိုင်ပါသည်။ ကိုက်ညီခြင်း၏ဤနည်းလမ်းကို `အသားတင် / မျက်နှာဖုံးနှင့် တွဲဖက်. သုံးမရနိုင်ပါ '' ကိုက်ညီခြင်း,` နဲ့အတူစတင် hostname ကိုက်ညီခြင်း။ ' သို့မဟုတ် `အတူ။ '' အဆုံးသတ်အိုင်ပီလိပ်စာကိုက်ညီခြင်း။
သံခိတ်
အဆိုပါ access ကိုထိန်းချုပ်ဘာသာစကားရှင်းလင်းပြတ်သားစွာသံခိတ်ထောက်ခံပါတယ်:
အားလုံး
အဆိုပါကမ္ဘာလုံးဆိုင်ရာသံခိတ်အမြဲတိုက်ပါတယ်။
ပြည်တွင်း
အဘယ်သူ၏နာမကိုအမှီက dot ဇာတ်ကောင်ဆံ့မခံပါဘူးဆိုအိမ်ရှင်တိုက်စစ်ပါတယ်။
မသိသော
အဘယ်သူ၏နာမကိုအမှီမသိနိုင်ပါဘူးကိုမဆိုအသုံးပြုသူကိုက်ညီမှုများနှင့်အဘယ်သူ၏အမည်သို့မဟုတ်လိပ်စာမသိသောများမှာမည်သည့်အိမ်ရှင်တိုက်စစ်ပါတယ်။ ဒီပုံစံစောင့်ရှောက်မှုနှင့်အတူအသုံးပြုသင့်: အိမ်ရှင်အမည်များကိုယာယီအမည်ဖြင့်ဆာဗာကိုပြဿနာတွေကြောင့်မလုပ်ဆောင်နိုင်သေးပါဖြစ်နိုင်ပါသည်။ ဆော့ဖ်ဝဲကပြောနေတာဖြစ်ပါတယ်ကွန်ယက်၏အဘယ်အရာကို type ကိုထွက်တွက်ဆလို့မရပါဘူးသည့်အခါတစ်ဦးကကွန်ယက်ကိုလိပ်စာကိုမရရှိနိုင်ပါလိမ့်မည်။
ကွားသိ
အဘယ်သူ၏နာမကိုသိနှင့်သူ၏အမည်နှင့်လိပ်စာလူသိများကြသည်ဆိုအိမ်ရှင်ကိုက်ညီနေသည်ဆိုအသုံးပြုသူတိုက်စစ်ပါတယ်။ ဒီပုံစံစောင့်ရှောက်မှုနှင့်အတူအသုံးပြုသင့်: အိမ်ရှင်အမည်များကိုယာယီအမည်ဖြင့်ဆာဗာကိုပြဿနာတွေကြောင့်မလုပ်ဆောင်နိုင်သေးပါဖြစ်နိုင်ပါသည်။ ဆော့ဖ်ဝဲကပြောနေတာဖြစ်ပါတယ်ကွန်ယက်၏အဘယ်အရာကို type ကိုထွက်တွက်ဆလို့မရပါဘူးသည့်အခါတစ်ဦးကကွန်ယက်ကိုလိပ်စာကိုမရရှိနိုင်ပါလိမ့်မည်။
အကြောက်လွန်ရောဂါ
အဘယ်သူ၏နာမကိုအမှီသူ့ရဲ့လိပ်စာမကိုက်ညီဆိုအိမ်ရှင်တိုက်စစ်ပါတယ်။ tcpd -DPARANOID (က default mode ကို) ဖြင့်တည်ဆောက်သောအခါ, ပင် access ကိုထိန်းချုပ်စားပွဲမှာရှာဖွေနေမတိုင်မီထိုကဲ့သို့သော client များအနေဖြင့်တောင်းဆိုမှုများကိုပြန်လည်ရုပ်သိမ်းသွားခဲ့သည်။ သငျသညျထိုကဲ့သို့သောတောင်းဆိုမှုများကိုပိုပြီးထိန်းချုပ်လိုတဲ့အခါ -DPARANOID မပါဘဲ Build ။
အော်ပရေတာ
မှတပါး
ရည်ရွယ်အသုံးပြုမှုပုံစံ၏ဖြစ်ပါသည်: list_2 မှလွဲ. `list_1 '; ဒီဆောက်လုပ်ရေးကြောင့် list_2 ကိုက်ညီမှုမရှိပါက list_1 ကိုက်ညီမှုဘာမှတိုက်စစ်ပါတယ်။ ချွင်းချက်အော်ပရေတာ daemon_lists နှင့် client_lists များတွင်အသုံးပြုနိုင်ပါသည်။ အော်ပရေတာကလွဲလို့အသိုက်ခံရနိုင်သည်ထိန်းချုပ်မှုဘာသာစကား `c ကိုခြွင်းချက်ခ မှလွဲ. တစ်ဦး ''` (ဂခြွင်းချက် (ခ) ခြွင်းချက်တစ်ခု) အဖြစ်ခွဲခြားစိတ်ဖြာမှုမယ်လို့ 'ကွင်း၏အသုံးပြုမှုကိုခွင့်ပြုမယ်ဆိုရင်။
SHELL command
ပထမဦးဆုံး-လိုက်ဖက် access ကိုထိန်းချုပ်မှုစည်းမျဉ်းတစ် shell ကို command ကိုပါရှိသည်ဆိုရင်, command ကို % အစားထိုး (လာမယ့်အပိုင်းကိုကြည့်ပါ) အကြောင်းမဲ့ဖြစ်ပါတယ်။ အဆိုပါရလဒ် / dev / null နဲ့ချိတ်ဆက်စံ input ကို, ထုတ်လုပ်မှုနှင့်အမှားနှင့်အတူတစ်ဦး / bin / sh ကလေးကဖြစ်စဉ်ကိုကွပ်မျက်သည်။ သင်ကပြီးစီးခဲ့ပါသည်သည်အထိစောင့်ဆိုင်းရန်မလိုကြပါလျှင်အမိန့်ရဲ့အဆုံးမှာတစ်ဦး `& '' Specify ။
Shell ကထို inetd ၏ PATH setting ကိုအပေါ်အားကိုးမနေသင့်အားပညတ်တော်မူ၏။ အဲဒီအစား, သူတို့အကြွင်းမဲ့အာဏာလမ်းကြောင်းအမည်များကိုအသုံးပြုသင့်ပါတယ်, ဒါမှမဟုတ်သူတို့ = သမျှကြေညာချက်တစ်ရပ်ရှင်းလင်းပြတ်သားစွာ PATH နဲ့စတင်သင့်ပါတယ်။
အဆိုပါ hosts_options (5) စာရွက်စာတမ်းတစ်ဦးကွဲပြားခြားနားခြင်းနှင့်ကိုက်ညီမှုမရှိသောလမ်းအတွက် shell ကို command ကိုလယ်ကွင်းတစ်ခုကိုတစ်ခုကအခြားရွေးချယ်စရာဘာသာစကားဖော်ပြသည်။
% ချဲ့ထွင်မှု
အောက်ပါချဲ့ထွင် shell ကိုပညတ်တော်တို့ကိုအတွင်းရရှိနိုင်ပါသည်:
% ဟာ (% က)
အဆိုပါ client ကို (ဆာဗာ) အိမ်ရှင်လိပ်စာ။
% c ကို
client သတင်းအချက်အလက်: အသုံးပြုသူ @ အိမ်ရှင်, အသုံးပြုသူ @ လိပ်စာ, ဟာ host name ကို, ဒါမှမဟုတ်ကိုယ့်လိပ်စာ, ရရှိနိုင်ပါသည်ဘယ်လောက်သတင်းအချက်အလက်ပေါ် မူတည်. ။
% ဃ
အဆိုပါ daemons process ကိုအမည်အား (argv [0] တန်ဖိုးကို) ။
%HH)
အဆိုပါ client ကို (ဆာဗာ) အိမ်ရှင်အမည်သို့မဟုတ်လိပ်စာ, host name ကိုမရရှိနိုင်သေးပါလျှင်။
% ဎ (% N) တို့
အဆိုပါ client ကို (ဆာဗာ) host name ကို (သို့မဟုတ် "အမည်မသိ" သို့မဟုတ် "အကြောက်လွန်ရောဂါ") ။
% p
အဆိုပါ daemons process ကိုအိုင်ဒီ။
ကို% s
ဆာဗာသတင်းအချက်အလက်: ရရှိနိုင်ပါသည်ဘယ်လောက်သတင်းအချက်အလက်ပေါ် မူတည်. daemons @ အိမ်ရှင်, daemons @ လိပ်စာ, သို့မဟုတ်ရုံ daemons အမည်, ။
% ဦး
အဆိုပါ client ကို user name ကို (သို့မဟုတ် "အမည်မသိ") ။
%%
တစ်ခုတည်း `% '' ဇာတ်ကောင်မှတိုးချဲ့။
shell ကိုရှုပ်ထွေးစေခြင်းငှါ% ချဲ့ထွင်အတွက် characters underscores ဖြင့်အစားထိုးနေကြပါတယ်။
ဆာဗာ Endpoints ပုံစံများ
သူတို့ချိတ်ဆက်ကွန်ယက်လိပ်စာ, ပုံစံအသုံးပြုမှုပုံစံများအားဖြင့် client များခွဲခြားနိုင်ရန်အတွက်:
process_name @ host_pattern: client_list ...
စက်ကွဲပြားခြားနားသောအင်တာနက် hostnames နှင့်အတူကွဲပြားခြားနားသောအင်တာနက်လိပ်စာများရှိပါတယ်သည့်အခါဤကဲ့သို့သောပုံစံများကိုအသုံးပြုနိုင်ပါတယ်။ ဝန်ဆောင်မှုပေးပင်ကွဲပြားခြားနားသောအဖွဲ့အစည်းများပိုင်စေခြင်းငှါအင်တာနက်အမည်များနှင့်အတူ FTP, Gopher သို့မဟုတ် WWW မော်ကွန်းတိုက်ပူဇော်ဖို့ဒီစက်ရုံကိုသုံးနိုင်သည်။ ယင်းအတွက် `လှည့်ကွက် '' option ကိုလည်းကြည့်ရှုပါ hosts_options (5) စာရွက်စာတမ်း။ တချို့ကစနစ်များ (Solaris, FreeBSD) တဦးတည်းရုပ်ပိုင်းဆိုင်ရာ interface ပေါ်မှာတစ်ဦးထက်ပိုအင်တာနက်လိပ်စာရှိနိုင်ပါသည်; အခြားစနစ်များနှင့်အတူသင်တစ်ဦးဆက်ကပ်အပ်နှံကွန်ယက်ကိုလိပ်စာအာကာသမှာနေထိုင်ကြောင်းကြားဖြတ် interfaces ချော်သို့မဟုတ် PPP ပါတီနှုနျးဖို့ရှိသည်လိမ့်မည်။
အဆိုပါ host_pattern client_list အခြေအနေတွင်အိမ်ရှင်အမည်များနှင့်လိပ်စာများကဲ့သို့တူညီသော syntax စည်းမျဉ်းစည်းကမ်းတွေကိုနာခံ။ အများအားဖြင့်, server ကိုအဆုံးမှတ်သတင်းအချက်အလက်သာကွန်နက်ရှင်-oriented န်ဆောင်မှုများနှင့်အတူရရှိနိုင်ပါသည်။
အမှုသည်၏ USERNAME lookup
client ကိုအိမ်ရှင်ဟာကို RFC 931 protocol ကိုသို့မဟုတ်ယင်း၏သားစဉ်မြေးဆက်ထဲကတစ်ခု (TAP, Identity, ကို RFC 1413) ကိုအထောက်အပံ့ပေးနိုင်ပါတယ်အခါ wrapper အစီအစဉ်များချိတ်ဆက်မှု၏ပိုင်ရှင်နှင့် ပတ်သက်. နောက်ထပ်သတင်းအချက်အလက်များရယူနိုငျပါသညျ။ client အသုံးပြုသူအမည်သတင်းအချက်အလက်အခါမရရှိနိုင်, client ကို host name ကိုအတူ logged သည်, တူသောပုံစံများကိုက်ညီစေရန်အသုံးပြုနိုင်ပါတယ်:
daemon_list: ... user_pattern @ host_pattern ...
အဆိုပါ daemons ထုပ်စည်းမျဉ်း-မောင်းနှင်အသုံးပြုသူအမည် lookups များကိုလည်း (ပုံသေ) ဖျော်ဖြေဖို့ဒါမှမဟုတ်အမြဲတမ်း client ကိုအိမ်ရှင်မွေးမွနျးဖို့ compile လုပ်ခြင်းအချိန်တွင် configured နိုင်ပါသည်။ စည်းမျဉ်း-မောင်းနှင်အသုံးပြုသူအမည် lookups များကိုလည်း၏ဖြစ်ရပ်မှာတော့အထက်ပါစည်းမျဉ်းများကိုသာအခါ daemon_list နှင့် host_pattern ပွဲစဉ်နှစ်ဦးစလုံးအသုံးပြုသူအမည် lookup ပြုလုပ်နေဖြစ်ပေါ်စေလိမ့်မယ်။
အသုံးပြုသူတစ်ဦးပုံစံတစ် daemons process ကိုပုံစံကဲ့သို့တူညီသော syntax ရှိပါတယ်, ဒါကြောင့်တူညီတဲ့သံခိတ် (netgroup အဖွဲ့ဝင်အဖြစ်ပံ့ပိုးပေးမထားပါ) သက်ဆိုင်ပါသည်။ တဦးတည်းသော်လည်း, အသုံးပြုသူအမည် lookups များကိုလည်းနှင့်အတူပါသွားသောသူရသငျ့ဘူး။
*
အလွန်လိုအပ်သည့်အခါ client ကိုအသုံးပြုသူအမည်အချက်အလက်များကို client ကိုစနစ်ဟာအားလျော့ထားပြီးဆိုလိုသည်မှာအခါ, ယုံကြည်စိတ်ချရနိုင်မှာမဟုတ်ဘူး။ ယေဘုယျအားဖြင့်သိအားလုံးနှင့် (ကုလသမဂ္ဂ) အသိပါစေကြောင်းတည်းသော user name ကိုပုံစံများဖြစ်ကြသည်။
*
username lookups သာသည် TCP-based ဝန်ဆောင်မှုများဖြစ်နိုင်သောဖြစ်ကြသည်ကို၎င်း, client ကိုအိမ်ရှင်တစ်ဦးသင့်လျော်သော daemons ပြေးသာအခါ, ရှိသမျှသည်အခြားသောကိစ္စများတွင်ရလဒ် "အမည်မသိ" ဖြစ်ပါတယ်။
*
အသုံးပြုသူအမည် lookups များကိုလည်းတစ်ဦး firewall ကပိတ်ဆို့သည့်အခါတစ်ဦးကလူသိများတဲ့ UNIX တွင် kernel ကို bug ကိုဝန်ဆောင်မှု၏ဆုံးရှုံးမှုကိုဖြစ်ပေါ်စေနိုင်ပါတယ်။ အဆိုပါ wrapper README စာရွက်စာတမ်းသင့်ရဲ့ kernel ကိုဒီ bug ကိုရှိပါတယ်လျှင်ထွက်ရှာရန်လုပ်ထုံးလုပ်နည်းဖော်ပြသည်။
*
username lookups များကိုလည်း Non-UNIX တွင်အသုံးပြုသူများအတွက်သိသာနှောင့်နှေးစေလိမ့်မည်။ နှေးကွေးသောကွန်ယက်များနှင့်အတူရင်ဆိုင်ဖြေရှင်းနိုင်ဟာသိပ်တိုတောင်းပါတယ်, ဒါပေမယ့်တာရှည်အလုံအလောက် PC ကိုအသုံးပြုသူများကစိတ်ဆိုးဖို့: အသုံးပြုသူအမည် lookups များကိုလည်းများအတွက် default အနေနဲ့အချိန်ကုန် 10 စက္ကန့်ဖြစ်ပါတယ်။
ရွေးချယ်အသုံးပြုသူအမည် lookups များကိုလည်းပြီးခဲ့သည့်ပြဿနာသက်သာစေနိုင်ကြောင်းနိုင်ပါတယ်။ ဥပမာကဲ့သို့စည်းကမ်း:
daemon_list: @pcnetgroup အားလုံး @ အားလုံး
အသုံးပြုသူအမည် lookups များကိုလည်းလုပ်နေစရာမလိုဘဲ pc netgroup အဖွဲ့ဝင်များကိုက်ညီလိမ့်မည်ဟု, ဒါပေမယ့်အားလုံးအခြားစနစ်များနှင့်အတူအသုံးပြုသူအမည် lookups များကိုလည်းလုပ်ဆောင်လိမ့်မည်။
ADDRESS ကို spoofing တိုကျခိုကျဖော်ထုတ်မယ်
အမြားအပွားကို TCP / IP ကို Implementation ကို၏ sequence ကိုအရေအတွက်ကမီးစက်အတွက်တစ်ဦးကအားနည်းချက်ဥပမာ, ကျူးကျော်သူတွေကအလွယ်တကူယုံကြည်စိတ်ချရသောကောင်းကင်ဗိုလ်ခြေအရှင်အယောင်ဆောင်ဖို့နဲ့ကနေတစ်ဆင့်အတွင်းကိုချိုးဖျက်ဖို့ဝေးလံခေါင်ဖျား shell ကိုဝန်ဆောင်မှုခွင့်ပြုပါတယ်။ အဆိုပါ Identity (RFC931 etc) ဝန်ဆောင်မှုထိုကဲ့သို့သောနှင့်အခြားအိမ်ရှင်လိပ်စာလှည့်စားမှုတိုက်ခိုက်မှု detect ဖို့အသုံးပြုနိုင်ပါသည်။
တစ်ဦးကို client တောင်းဆိုမှုကိုလက်ခံခြင်းမီထုပ် client ကိုမှာအားလုံးတောင်းဆိုချက်ကိုမပို့ခဲ့ပါကြောင်းရှာဖွေဖို့အတွက် Identity ဝန်ဆောင်မှုကိုသုံးနိုင်သည်။ client ကိုအိမ်ရှင် Identity ဝန်ဆောင်မှုထောက်ပံ့ပေးသည့်အခါ, တစ်ဦးအနုတ်လက္ခဏာ identity lookup ပြုလုပ်နေရလဒ် (ထို client ကိုအိမ်ရှင် @ `မသိသော '' ကိုက်ညီ) ဟာ host လှည့်စားမှုတိုက်ခိုက်မှု၏ခိုင်မာတဲ့သက်သေအထောက်အထားဖြစ်ပါတယ်။
တစ်ဦးကအပြုသဘော Identity lookup ပြုလုပ်နေရလဒ် (ထို client ကို `သိ @ အိမ်ရှင် '' ကိုက်ညီ) လျော့နည်းယုံကြည်စိတ်ချဖြစ်ပါတယ်။ တစ်ခုကျူးကျော်နေ client ကွန်နက်ရှင်နှင့် Identity lookup ပြုလုပ်နေနှစ်ဦးစလုံးကိုလှည်ရန်အဘို့အဒါလုပ်နေရုံ client ကိုကွန်နက်ရှင် spoofing ထက်အများကြီးပိုခက်ပေမယ့်ဒါဟာဖြစ်နိုင်ပါသည်။ ဒါဟာအစကို client ရဲ့ Identity server ကိုမုသာစကားကိုကြောင်းဖြစ်နိုင်သည်။
မှတ်ချက်: Identity lookups များကိုလည်း UDP ကိုန်ဆောင်မှုများနှင့်အတူအလုပ်လုပ်ကြပါဘူး။
ဥပမာများ
ဘာသာစကားကို access ကိုထိန်းချုပ်မှုမူဝါဒ၏ကွဲပြားခြားနားသောအမျိုးအစားများကိုပျော့သွားတာကို၏နိမ့်ဆုံးနှင့်အတူထုတ်ဖော်ပြောဆိုနိုင်အလုံအလောက်ပြောင်းလွယ်ပြင်လွယ်သည်။ ဘာသာစကားနှစ်ခု access ကိုထိန်းချုပ်စားပွဲကိုအသုံးပြုသော်လည်း, အသုံးအများဆုံးမူဝါဒများအသေးအဖွဲသို့မဟုတ်ပင်အချည်းနှီးဖြစ်ခြင်းကျောက်ပြားတစ်ဦးနှင့်အတူအကောင်အထည်ဖော်နိုင်ပါသည်။
ဒါကြောင့်အောက်ကဥပမာကိုဖတ်ရှုအခါခွင့်ပြုစားပွဲရှာဖွေရေးကိုက်ညီမှုတွေ့ရှိရသောအခါအဆုံးသတ်နှင့်မယှဉ်မှာအားလုံးကိုတွေ့သောအခါကြောင်း access ကိုခွင့်ပြုခဲ့ကြောင်း, အငွငျးပယျစားပွဲမတိုင်မီ scan ဖတ်ကြောင်းနားလည်သဘောပေါက်ရန်အရေးကြီးပါသည်။
ဥပမာအိမ်ရှင်နှင့်ဒိုမိန်းအမည်များကိုအသုံးပြုပါ။ သူတို့ကယာယီအမည်ဖြင့်ဆာဗာကို lookup ပြုလုပ်နေဆုံးရှုံးမှု၏အကျိုးသက်ရောက်မှုကိုလျှော့ချဖို့, လိပ်စာနှင့် / သို့မဟုတ်ကွန်ရက် / netmask သတင်းအချက်အလက်အပါအဝင်ခြင်းဖြင့်တိုးတက်နိုင်ပါတယ်။
အများအားဖြင့်အပိတ်
ဤကိစ္စတွင်ခုနှစ်, access ကို default အနေဖြင့်ငြင်းဆိုသည်။ သာအတိအလင်းခွင့်အာဏာကောင်းကင်ဗိုလ်ခြေအရှင် access ကိုခွင့်ပြုထားပါသည်။
အဆိုပါ default အနေနဲ့မူဝါဒ (အဘယ်သူမျှမ access ကို) တစ်ဦးအသေးအဖွဲငြင်းပယ်ဖိုင်နှင့်အတူအကောင်အထည်ဖော်:
/etc/hosts.deny: အားလုံး: အားလုံး
သူတို့ကခွင့်ပြုဖိုင်ထဲမှာ entry တွေကြောင့် access ကိုခွင့်ပြုထားပါသည်မဟုတ်လျှင်ဒီအားလုံးကောင်းကင်ဗိုလ်ခြေအရှင်အားလုံးကိုဝန်ဆောင်မှုငြင်းပယ်ထားပါတယ်။
အဆိုပါအတိအလင်းခွင့်အာဏာကောင်းကင်ဗိုလ်ခြေအရှင်အဆိုပါခွင့်ပြုပါဖိုင်ထဲမှာစာရင်းသွင်းဖော်ပြထားပါသည်။ ဥပမာ:
/etc/hosts.allow: အားလုံး: ပြည်တွင်း @some_netgroup
အားလုံး: .foobar.edu terminalserver.foobar.edu မှလွဲ.
ပထမဦးဆုံးအစည်းမျဉ်း (အိမ်ရှင်နာမ၌ '။ အဘယ်သူမျှမ `) ဒေသခံဒိုမိန်းအတွက်ကောင်းကင်ဗိုလ်ခြေအရှင်ထံမှ access ကိုခွင့်ပြုထားနှင့် some_netgroup netgroup အဖွဲ့ဝင်များမှ။ ဒုတိယစည်းမျဉ်း terminalserver.foobar.edu ၏ချွင်းချက်နှင့်အတူ foobar.edu ဒိုမိန်းအားလုံးကိုကောင်းကင်ဗိုလ်ခြေအရှင် (ထိုဦးဆောင် dot သတိထားမိ), ကနေ access ကိုခွင့်ပြုထားသည်။
အများအားဖြင့်ဖွင့်
ဤတွင်, access ကို default အနေဖြင့်ခွင့်ပြုသဖြင့်, သာအတိအလင်းသတ်မှတ်ထားကောင်းကင်ဗိုလ်ခြေအရှင်ဝန်ဆောင်မှုငြင်းဆန်ခဲ့သည်နေကြသည်။
ဒါကြောင့်ချန်လှပ်ခံရနိုင်အောင်ကို default မူဝါဒ (access ကိုခွင့်ပြု) ကိုခွင့်ပြုပါဖိုင်မလိုအပ်တဲ့စေသည်။ အဆိုပါအတိအလင်း Non-အခွင့်အာဏာကောင်းကင်ဗိုလ်ခြေအရှင်အဆိုပါငြင်းပယ်ဖိုင်ထဲတွင်ဖော်ပြထားသောနေကြသည်။ ဥပမာ:
/etc/hosts.deny: အားလုံး: some.host.name, .some.domain
other.host.name, .other.domain: အားလုံး in.fingerd မှလွဲ.
ပထမဦးဆုံးအစည်းမျဉ်းအချို့ကောင်းကင်ဗိုလ်ခြေအရှင်နှင့် domains များအားလုံးန်ဆောင်မှုငြင်းပယ်; ဒုတိယစည်းမျဉ်းနေဆဲသည်အခြားကောင်းကင်ဗိုလ်ခြေအရှင်နှင့် domains များအနေဖြင့်လက်ချောင်းတောင်းဆိုမှုများကိုခွင့်ပြုထားသည်။
BOOBY ထောင်ချောက်
နောက်တစ်နေ့ဥပမာအားဒေသခံဒိုမိန်းအတွက်ကောင်းကင်ဗိုလ်ခြေအရှင်ထံမှ tftp တောင်းဆိုမှုများကို (ထိုဦးဆောင် dot သတိထားမိ) ခွင့်ပြုထားသည်။ အခြားမည်သည့်ကောင်းကင်ဗိုလ်ခြေအရှင်ထံမှတောင်းဆိုမှုများကိုငြင်းပယ်နေကြသည်။ အဲဒီအစားတောင်းဆိုထားသောဖိုင်တစ်ဦးလက်ချောင်းစုံစမ်းစစ်ဆေးဖောက်ပြန်တဲ့အိမ်ရှင်ထံသို့စေလွှတ်သည်။ အဆိုပါရလဒ် SuperUser မှပို့သည်။
/etc/hosts.allow:
in.tftpd: ပြည်တွင်း, .my.domain /etc/hosts.deny: in.tftpd: အားလုံး: spawn (/ အခြို့သော / အဘယ်မှာရှိ / safe_finger -l @% ဇ | \ / usr / ucb / မေးလ် -s% d-% ဇအမြစ်) &အဆိုပါ safe_finger command ကတော့ tcpd wrapper နှင့်တကွကြွလာကာသင့်လျော်သောနေရာအရပ်တွင်တပ်ဆင်ရပါမည်။ ဒါဟာဝေးလံခေါင်ဖျားကိုလက်ညှိုးဆာဗာကိုစလှေတျဒေတာကနေဖြစ်နိုင်သမျှအပျက်အစီးကန့်သတ်။ ဒါဟာစံလက်ညှိုးကို command ကိုထက်ပိုကောင်းတဲ့ကာကွယ်စောင့်ရှောက်ပေးသည်။
ထို% ဇ (client ကိုအိမ်ရှင်) ၏ချဲ့ထွင်ခြင်းနှင့်% ဃ (ဝန်ဆောင်မှုအမည်) ပာ shell ကိုပညတ်တော်တို့ကိုပေါ်တွင်အပိုင်းများတွင်ဖော်ပြထားသည်။
သတိပေးချက်: booby-ထောင်ချောက်ပါဘူးသင့်ရဲ့လက်ချောင်း daemons, သငျသညျအဆုံးမဲ့လက်ညှိုးကိုကွင်းအဘို့ပြင်ဆင်နေကြသည်မဟုတ်လျှင်။
ကွန်ယက်ကို firewall ကစနစ်တွေတွင်ဒီလှည့်ကွက်ပင်ထပ်မံသယ်ဆောင်နိုင်ပါတယ်။ အဆိုပါပုံမှန်ကွန်ယက်ကို firewall ကသာပြင်ကမ္ဘာကိုန်ဆောင်မှုများ၏ကန့်သတ်ထားပေးပါသည်။ အားလုံးအခြားဝန်ဆောင်မှုများရုံအထက်တွင် tftp ဥပမာကဲ့သို့ "bugged" နိုင်ပါသည်။ အဆိုပါရလဒ်အကောင်းဆုံးကြိုတင်သတိပေးစနစ်ဖြစ်သည်။
အရေးကြီး: command တစ်ခုကိုသင်၏အထူးသဖြင့်ကွန်ပျူတာပေါ်တွင်အသုံးပြုသည်ကိုမည်သို့ကြည့်ဖို့လူကို command ကို (% သည်လူ) ကိုသုံးပါ။
Related ဆောင်းပါးများ