Hosts.allow - Linux Command - Unix Command

NGALAN

host_access - format sa mga file sa pag-access sa access sa host

DESCRIPTION

Kini nga panid nga panid naghubit sa usa ka simple nga pinulongan nga kontrol sa pinulongan nga gibase sa kliyente (pangalan sa tagbalay / address, ngalan sa user), ug server (proseso sa ngalan, pangalan sa tagbalay / address) nga mga sumbanan. Ang mga ehemplo gihatag sa katapusan. Ang walay pasensya nga magbabasa giawhag sa paglaktaw ngadto sa seksyon sa EXAMPLES alang sa usa ka dali nga pasiuna .Ang usa ka taas nga bersyon sa access language nga pinulongan gihulagway sa host_options (5) nga dokumento. Ang mga ekstensiyon gibuksan sa oras sa pagtukod sa programa pinaagi sa pagtukod sa -DPROCESS_OPTIONS.

Sa mosunod nga teksto, ang daemon mao ang proseso nga ngalan sa usa ka proseso sa daemon sa network , ug ang kliyente mao ang ngalan ug / o adres sa usa ka serbisyo nga naghangyo sa panon. Ang mga ngalan sa proseso sa paghimo sa network nga mga espisipiko gitino sa inetd configuration file.

MGA KONSEHO NGA MGA PAMILYA

Ang access control software nagkonsulta sa duha ka mga file . Ang pagpangita mohunong sa unang duwa.

Ang access ihatag kon ang usa ka (daemon, client) nga pares magtugma sa usa ka entry sa /etc/hosts.allow file.

Kay kon dili, ang pag-access ipanghimakak kung ang usa ka (daemon, kliyente) nga paris magtugma sa usa ka entry sa /etc/hosts.deny file.

Kay kon dili, ang access pagahatagan.

Ang wala ma-us aka access control file gitagad ingon nga kini usa ka walay sulod nga file. Busa, ang pagkontrol sa pag-access ma-turn off pinaagi sa dili paghatag og mga file sa pagkontrol sa access.

MGA KONTROL NGA MGA KONTROL

Ang matag access control file naglangkob sa zero o labaw pa nga linya sa teksto. Kini nga mga linya giproseso agig dagway. Ang pagsusi natapos sa diha nga ang usa ka match nga makita.

Ang usa ka bag-ong linya nga kinaiya wala panumbalinga kung kini gisundan sa usa ka backslash nga kinaiya. Kini nagtugot kanimo sa pagbungkag sa taas nga mga linya aron mas sayon ​​ang pag-edit.

Ang mga blangko nga mga linya o mga linya nga nagsugod sa `# 'nga karakter wala panumbalinga. Kini nagtugot kanimo sa pagsal-ot og mga komentaryo ug mga puti aron ang mga talaan mas sayon ​​basahon.

Ang tanan nga laing mga linya kinahanglan magtagbaw sa mosunod nga pormat, mga butang tali sa [] nga opsyonal:

daemon_list: client_list [: shell_command]

Ang daemon_list usa ka listahan sa usa o labaw pa nga mga pangalan sa proseso sa daemon (argv [0] nga mga bili) o mga wildcard (tan-awa sa ubos).

Ang client_list usa ka lista sa usa o labaw pa nga mga pangalan sa host, mga address sa tag-iya, mga sumbanan o mga wildcard (tan-awa sa ubos) nga ipaangay sa ngalan sa tag-iya o address sa kliyente.

Ang mas komplikado nga mga porma nga daemon @ host ug user @ host gipatin-aw sa mga seksyon sa mga endpoint sa mga endpoint sa server ug sa pagpangita sa username username, matag usa.

Ilista ang mga elemento kinahanglan ibulag sa mga blangko ug / o mga koma.

Gawas gawas sa NIS (YP) nga pagpangita sa netgroup, ang tanan nga mga tseke sa access control mga kaso nga insensitive.

MGA PATTERNS

Ang pinulongan nga access control nagpatuman sa mosunod nga mga sumbanan:

Usa ka pisi nga nagsugod sa `. ' kinaiya. Ang usa ka ngalan sa host nga giparis kon ang katapusang mga sangkap sa ngalan niini motakdo sa gipiho nga sumbanan. Pananglitan, ang sumbanan nga '.tue.nl' nagatumbok sa ngalan sa host nga `wzv.win.tue.nl '.

Usa ka hugpong nga natapos sa `. ' kinaiya. Ang usa ka address sa host nga gipares kon ang una nga numeric nga mga laray niini sama sa hugpong. Pananglitan, ang sumbanan `131.155. ' nagtumbok sa address sa (hapit) sa matag panon sa Eindhoven University network (131.155.xx).

Ang usa ka hugpong nga nagsugod sa `@ 'nga karakter gitagad isip NIS (kanhi YP) netgroup name. Ang usa ka ngalan sa host nga katugbang kon kini usa ka sakop nga sakop sa gitakda nga netgroup. Ang mga dungan sa netgroup wala gisuportahan alang sa mga ngalan sa proseso sa paghimo'g demonyo o alang sa mga ngalan sa mga kliyente sa kliyente

Ang usa ka ekspresyon sa porma nga `nnnn / mmmm 'gihubad ingon nga` net / mask' nga paris. Ang usa ka address sa IPv4 host gitumbok kung ang `net 'parehas sa bitwise AND sa address ug sa' mask '. Pananglitan, ang sumbanan sa net / mask `131.155.72.0/255.255.254.0 'magkahulogan sa matag address nga anaa sa hanay nga` 131.155.72.0' latas `131.155.73.255 '.

Ang usa ka ekspresyon sa porma nga `[n: n: n] / m 'gihubad nga usa ka parisan sa` [net] / prefixlen. Ang usa ka adres sa IPv6 nga tagbalay matukma kon ang `prefixlen 'nga mga tipik sa` net' parehas sa `prefixlen 'mga tipik sa adres. Pananglitan, ang [net] / prefixlen pattern `[3ffe: 505: 2: 1 ::] / 64 'magtugma sa matag adres sa range` 3ffe: 505: 2: 1 ::' sa `3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.

Ang usa ka hilisgutan nga nagsugod sa usa ka `/ 'nga karakter giisip isip usa ka pangalan sa file . Ang usa ka pangalan o address sa host nga gipares kon kini adunay katumbas sa bisan unsang host name o pattern sa address nga gilista sa ginganlan nga file. Ang format sa file mao ang zero o labaw pa nga mga linya nga may zero o dugang nga pangalan sa host o address nga mga sumbanan nga gibulag sa whitespace. Ang usa ka sumbanan sa ngalan sa ngalan mahimong gamiton bisan asa ang usa ka ngalan sa host o sulatan nga sulud nga magamit.

Wildcards `* 'ug`?' mahimong magamit sa pagpares sa mga tag-iya o mga adres sa IP . Kini nga pamaagi sa pagparis dili mahimong gamiton uban sa pagtutok sa 'net / mask', pagtutugma sa pinangalan nga nagsugod sa `. ' o IP address matching nga nagtapos sa `. '.

WILDCARDS

Ang pinulongang kontrol sa pinulongan nagsuporta sa tin-aw nga mga wildcard:

TANAN

Ang unibersal nga wildcard, kanunay nga magkaparis.

LOKAL

Makapamatud-an sa bisan kinsa nga panon nga kansang ngalan walay sulod nga kinaiya.

WALA MAILHI

Makapamatud-an sa bisan kinsa nga tigpangita nga wala mailhi ang ngalan, ug ang mga katumbas sa bisan unsang panon nga wala mahibaloi ang iyang ngalan o adres Kini nga sumbanan kinahanglan nga gamiton uban ang pag-atiman: ang mga pangalan sa host mahimong dili magamit tungod sa temporaryo nga mga problema sa ngalan sa server. Ang usa ka address sa network mahimong dili magamit kon ang software dili mahibal-an kung unsa nga klase sa network ang nakigsulti niini.

GILA

Makig-uyon sa bisan kinsa nga tigpangita nga nahibal-an ang ngalan, ug motakdo sa bisan unsang tagbalay kansang ngalan ug adres nailhan. Kini nga sumbanan kinahanglan nga gamiton uban ang pag-atiman: ang mga pangalan sa host mahimong dili magamit tungod sa temporaryo nga mga problema sa ngalan sa server. Ang usa ka address sa network mahimong dili magamit kon ang software dili mahibal-an kung unsa nga klase sa network ang nakigsulti niini.

PARANOID

Makapamatud-an sa bisan kinsa nga tagbalay kansang ngalan dili motukma sa iyang adres. Sa diha nga ang tcpd gitukod uban sa -DPARANOID (default mode), kini nagpatulo sa mga hangyo gikan sa maong mga kliyente bisan pa sa pagtan-aw sa access control mga lamesa. Pagtukod nga wala -PANGANDANGAN kung gusto nimo ang dugang kontrol sa mga hangyo.

MGA OPERATORS

Gawas

Ang gitumong paggamit mao ang porma: `list_1 EXCEPT list_2 '; kini nagtukod og mga butang nga magkapareha sa listahan_1 gawas kon kini nahiuyon sa list_2 . Ang EXCEPT operator mahimong gamiton sa daemon_lists ug sa client_lists. Ang EXCEPT operator mahimo nga magsul-ob: kung ang pinugngan nga pinulongan magatugot sa paggamit sa parentheses, `usa ka KALIBUTAN b EXCEPT c 'mag-parse ingon` (usa ka KINASYON (b EXCEPT c))'.

SHELL COMMANDS

Kon ang una nga pagkaparehistro nga pagkontrol sa pagkontrol sa kontrol naglangkob sa usa ka command shell, ang maong sugo gipailalom sa mga% substitutions (tan-awa ang sunod nga seksyon). Ang resulta gipatuman sa usa ka / bin / sh bata nga proseso nga adunay standard input, output ug error nga konektado sa / dev / null . Tinoa ang usa ka `& 'sa katapusan sa sugo kon dili nimo gusto nga maghulat hangtud mahuman kini.

Ang mga mando sa Shell dili angay nga magsalig sa PATH setting sa inetd. Hinunoa, sila kinahanglan nga mogamit sa hingpit nga mga ngalan sa dalan, o sila magsugod sa usa ka klaro nga PATH = bisan unsa nga pamahayag.

Ang hosts_options (5) nga dokumento naghulagway sa usa ka alternatibong pinulongan nga naggamit sa field sa command shell sa usa ka lahi ug dili magkauyon nga paagi.

% EXPANSIONS

Ang mosunod nga mga ekspansyon anaa sulod sulod sa mga command shell:

% a (% A)

Ang tagbalay (server) nga address sa host .

% c

Ang impormasyon sa kliyente: user @ host, user @ address, usa ka pangalan sa host, o usa lamang ka address, depende kung unsa ka daghang impormasyon ang anaa.

% d

Ang ngalan sa proseso sa daemon (argv [0] nga bili).

% h (% H)

Ang kliyente (server) nga ngalan o address sa kliyente, kon ang pangalan sa host dili magamit.

% n (% N)

Ang kliyente (server) host nga ngalan (o "dili mahibal-an" o "paranoid").

% p

Ang proseso sa daemon id.

% s

Impormasyon sa server: daemon @ host, daemon @ address, o usa lamang ka ngalan nga daemon, depende kon pila ka impormasyon ang anaa.

% u

Ang ngalan sa gumagamit sa kliyente (o "dili mahibal-an").

%%

Nagpalapad sa usa ka karakter nga `% '.

Ang mga karakter sa% expansions nga mahimong malibre sa kabhang gipulihan sa mga underscore.

MGA TIN-EDYER SA SERVER

Aron mailhan ang mga kliyente pinaagi sa address sa network nga ilang gikonektar, gamita ang mga porma sa porma:

process_name @ host_pattern: client_list ...

Ang mga pattern nga sama niini mahimong gamiton sa diha nga ang makina adunay lainlaing mga adres sa internet nga adunay lainlaing mga host sa internet. Ang mga service provider mahimong mogamit niini nga pasilidad aron sa paghalad sa mga FTP, GOPHER o WWW nga mga archive nga adunay internet nga mga pangalan nga mahimo gani nga sakop sa nagkalain-laing mga organisasyon. Tan-awa usab ang kapilian sa 'twist' sa hosts_options (5) nga dokumento. Ang ubang mga sistema (Solaris, FreeBSD) mahimong adunay labaw sa usa ka internet address sa usa ka pisikal nga interface; uban sa ubang mga sistema nga kinahanglan nimo nga gamiton sa SLIP o PPP pseudo nga interface nga nagpuyo sa usa ka gipahinungod nga network address space.

Ang host_pattern nagsunod sa parehas nga mga lagda sa syntax isip mga host name ug address sa client_list nga konteksto. Kasagaran, ang impormasyon sa endpoint sa server anaa lamang sa mga serbisyo nga nakabase sa koneksyon.

CLIENT USERNAME LOOKUP

Sa diha nga ang panon sa mga kliyente nagsuporta sa RFC 931 protocol o usa sa iyang mga kaliwat (TAP, IDENT, RFC 1413) ang mga programa sa wrapper makadawat sa dugang nga kasayuran mahitungod sa tag-iya sa koneksyon. Ang kasayuran sa username sa pag-usisa, kon anaa, ma-log uban ang pangalan sa host sa panon, ug mahimong magamit aron sa pagpares sa mga sumbanan sama sa:

daemon_list: ... user_pattern @ host_pattern ...

Ang mga wrapper sa daemon mahimong ma-configure sa panahon sa pag-compile aron ipahigayon ang pagpangita sa mga username nga gipangita sa lagda (default) o kanunay nga pagsukitsukit sa host sa kliyente. Sa kaso sa pagpangita sa username nga gipangita sa lagda, ang nahisgutan nga lagda makahimo sa username nga makita lamang kung ang daemon_list ug ang host_pattern match.

Ang usa ka sumbanan sa tiggamit adunay susama nga syntax isip usa ka sulud sa proseso sa daemon, mao nga ang gipaapil nga pareho nga mga wildcard (dili sakop sa netgroup membership). Ang usa kinahanglan dili madala sa pagpangita sa username, bisan pa.

Ang kasayuran sa pag-usisa sa mga kliyente dili masaligan kon gikinahanglan kaayo, ie kung ang sistema sa kliyente nagkompromiso. Sa kinatibuk-an, ang TANAN ug (UN) KINAHANGLAN mao lamang ang sumbanan sa paggamit sa ngalan nga makatarunganon.

Ang pag-usisa sa pag-usisa mahimong mahimo lamang sa mga serbisyo nga gipasukad sa TCP, ug kon ang tag-iya sa kliyente adunay usa ka angay nga daemon; Sa tanan nga ubang mga kaso ang resulta "wala mahibal-i".

Ang usa ka ilado nga UNIX nga kernel bug mahimong hinungdan sa pagkawala sa pag-alagad sa dihang ang pagpangita sa username ang gibabagan sa usa ka firewall. Ang wrapper nga README nga dokumento naghulagway sa pamaagi aron mahibal-an kung ang imong kernel adunay kini nga bug.

Ang pag-usisa sa username mahimo nga hinungdan sa makitang mga pagka-antala alang sa dili mga gumagamit nga UNIX. Ang default nga timeout alang sa lookup sa username mao ang 10 segundos: mubo kaayo sa pagsagubang sa mga hinay nga mga network, apan igo ang gidugayon aron makalagot sa mga tiggamit sa PC.

Ang gipangita nga pagpili sa username mahimong makahupay sa katapusan nga problema. Pananglitan, usa ka lagda nga sama sa:


daemon_list: @pcnetgroup ALL @ ALL

nga motakdo sa mga sakop sa pc netgroup nga wala'y ginapangita nga us aka username, apan maghimo sa username nga pagpangita sa username sa uban pang mga sistema.

PAGPATUMAN SA ADDRESS PAGPATUMAN SA MGA ATTACKS

Ang usa ka sayup sa sequence number generator sa daghang pagpatuman sa TCP / IP nagtugot sa mga intruder nga dali nga magpasundayag sa mga kasaligang tagbalay ug sa pagsulod pinaagi sa, sama pananglit, ang hilit nga serbisyo sa kabhang. Ang pag-alagad sa IDENT (RFC931 etc.) mahimong gamiton aron makit-an ang ingon ug uban pang mga host address nga mga pag-atake sa pag-espiya.

Sa dili pa modawat sa hangyo sa usa ka kliyente, ang mga wrapper makagamit sa serbisyo sa IDENT aron mahibal-an nga ang kliyente wala magpadala sa hangyo. Sa diha nga ang host sa kliyente naghatag og IDENT service, usa ka negatibo nga resulta sa pagpangita sa IDENT (ang kliyente nagkapareha sa `UNKNOWN @ host ') mao ang lig-on nga ebidensya sa host spoofing attack.

Ang resulta sa resulta sa positibo nga IDENT (ang kliyente nagkapareha sa 'KNOWN @ host') dili kaayo kasaligan. Posible nga ang usa ka manlalaban sa pagsalikway sa koneksyon sa kliyente ug sa pagpangita sa IDENT, bisan pa ang paghimo niini mas lisud kay sa paglimbong sa usa ka koneksyon sa kliyente. Kini mahimo usab nga ang IDENT server sa kliyente namakak.

Mubo nga sulat: Ang pagpangita sa IDENT wala magtrabaho kauban sa mga serbisyo sa UDP.

MGA Ehemplo

Ang pinulongan adunay igo nga madugangan nga ang lainlaing mga matang sa access control policy mahimo nga ipahayag uban sa usa ka minimum nga kasamok. Bisan tuod ang pinulongan naggamit sa duha ka mga lamesa sa pagkontrol sa pag-access, ang labing komon nga mga polisiya mahimo nga ipatuman uban sa usa sa mga lamesa nga dili gamay o walay sulod.

Sa diha nga ang pagbasa sa mga panig-ingnan sa ubos kini mahinungdanon sa pagkaamgo nga ang pagtugot sa lamesa ma-scan sa dili pa ang lehitimong lamesa, nga ang pagsiksik mohunong sa dihang ang usa ka kaparis makit-an, ug ang pag-access itugot kung wala'y kaparis.

Ang mga pananglitan naggamit sa mga ngalan sa panon ug domain. Mahimo kini mapauswag pinaagi sa paglakip sa address ug / o network / netmask nga impormasyon, aron mapakunhod ang epekto sa mga kasaypanan sa pagpangita sa temporaryo nga pangalan sa server.

NAGLAUM GAYOD

Niini nga kaso, ang access gipanghimakak pinaagi sa default. Ang tinud-anay lang nga awtorisado nga mga panon gitugutan nga maka-access.

Ang default nga palisiya (walay access) gipatuman uban sa usa ka gamay nga deny file:

/etc/hosts.deny: TANAN: TANAN

Kini nagpanghimakak sa tanan nga pag-alagad sa tanan nga mga panon, gawas kon kini gitugutan nga ma-access pinaagi sa mga entry sa allow file.

Ang tin-aw nga awtorisado nga mga panon gilista sa allow file. Pananglitan:

/etc/hosts.allow: TANAN: LOCAL @some_netgroup
TANAN: .foobar.edu EXCEPT terminalserver.foobar.edu

Ang unang lagda nagtugot sa access gikan sa panon sa lokal nga domain (walay `. 'Sa host name) ug gikan sa mga miyembro sa some_netgroup netgroup. Ang ikaduha nga lagda nagtugot sa access gikan sa tanan nga panon sa domain foobar.edu (matikdi ang nag-unang dot), gawas sa terminalserver.foobar.edu .

KINABUHI NAGPABILIN

Dinhi, ang pag-access gihatag nga dili pormal; ang tin-aw lamang nga tinud-anay nga mga panon wala mag-alagad.

Ang default nga palisiya (access nga gihatag) naghimo sa pagtugot sa file nga wala'y kaluoy aron kini mahimong ilakip. Ang tin-aw nga dili awtorisadong mga panon gilista sa deny file. Pananglitan:

/etc/hosts.deny: TANAN: some.host.name, .some.domain
TANAN KINABUHI in.fingerd: other.host.name, .other.domain

Ang una nga lagda nanghimakak sa pipila nga mga panon ug mga kabilin sa tanang serbisyo; ang ikaduha nga lagda sa gihapon nagtugot sa mga hangyo sa tudlo gikan sa laing mga panon ug mga kabilin.

BOOBY TRAPS

Ang sunod nga pananglitan nagtugot sa mga hangyo sa tftp gikan sa mga tagbalay sa lokal nga domain (matikdi ang nag-unang dot). Ang mga hangyo gikan sa bisan unsang laing mga panon nga gipanghimakak. Imbis sa gihangyo nga file, ang usa ka tudlo sa tudlo gipadala ngadto sa nakasala nga panon. Ang resulta gipadala ngadto sa superuser.

/etc/hosts.allow:

in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h gamut) &

Ang command sa safe_finger nagagikan sa tcpd wrapper ug kinahanglang i-install sa usa ka angay nga dapit. Naglimite kini sa posible nga kadaot gikan sa mga datos nga gipadala sa hilit nga tudlo sa tudlo. Naghatag kini og mas maayo nga proteksyon kay sa standard command command.

Ang pagpalapad sa% h (host sa kliyente) ug% d (serbisyo sa ngalan) nga pagkasunod gihulagway sa seksyon sa mga command shell.

Pahimangno: ayawg booby-trap ang imong tudlo nga demonyo, gawas kon andam ka alang sa walay katapusan nga mga tudlo sa tudlo.

Sa network firewall systems kini nga lansis mahimo nga gidala pa sa dugang pa. Ang tipikal nga network firewall lamang naghatag og limitado nga mga serbisyo sa kalibutan sa gawas. Ang tanan nga uban pang mga serbisyo mahimo nga "bugged" sama sa gihulagway nga tftp sa ibabaw. Ang resulta usa ka maayo kaayo nga sayo nga pasidaan nga sistema.

TAN-AWA USAB

tcpd (8) tcp / ip daemon wrap program. tcpdchk (8), tcpdmatch (8), mga programa sa pagsulay.

Importante: Gamita ang tawo nga sugo ( % man ) aron makita kung giunsa ang usa ka sugo nga gigamit sa imong partikular nga computer.