NAME
hosts_access - హోస్ట్ యాక్సెస్ కంట్రోల్ ఫైళ్ళ ఫార్మాట్
వివరణ
ఈ మాన్యువల్ పేజీ క్లయింట్ (హోస్ట్ పేరు / చిరునామా, యూజర్ నేమ్) మరియు సర్వర్ (ప్రాసెస్ పేరు, హోస్ట్ పేరు / చిరునామా) నమూనాలపై ఆధారపడిన సాధారణ ప్రాప్యత నియంత్రణ భాషని వివరిస్తుంది. ఉదాహరణలు ముగింపులో ఇవ్వబడతాయి. సహనం లేని రీడర్ ఒక శీఘ్ర పరిచయం కోసం EXAMPLES విభాగానికి దాటవేయడానికి ప్రోత్సహించబడింది .ప్రసార నియంత్రణ భాష యొక్క విస్తరించిన సంస్కరణను hosts_options (5) పత్రంలో వివరించారు. పొడిగింపులు ప్రోగ్రామ్ బిల్డ్ సమయంలో -DPROCESS_OPTIONS తో నిర్మించడం ద్వారా ప్రారంభించబడ్డాయి.
కింది వచనంలో, డెమోన్ అనునది నెట్వర్కు డెమోన్ ప్రోసెస్ యొక్క నామము, మరియు క్లయింట్ అనేది హోస్ట్ అభ్యర్థి సేవ యొక్క పేరు మరియు / లేదా చిరునామా. Inetd ఆకృతీకరణ ఫైలునందు నెట్వర్కు డెమోన్ ప్రాసెస్ పేర్లు తెలుపబడును.
ACCESS నియంత్రణ ఫైళ్లు
యాక్సెస్ కంట్రోల్ సాఫ్ట్వేర్ రెండు ఫైళ్లను సలహా ఇస్తుంది. శోధన మొదటి మ్యాచ్లో ఆగుతుంది.
/etc/hosts.allow ఫైలునందు (డెమోన్, క్లైంట్) జత ప్రవేశము ఉన్నప్పుడు యాక్సెస్ మంజూరు చేయబడుతుంది.
లేకపోతే, ఒక (డెమోన్, క్లయింట్) జత /etc/hosts.deny ఫైలునందు ప్రవేశపెడుతున్నప్పుడు యాక్సెస్ తిరస్కరించబడుతుంది.
లేకపోతే, యాక్సెస్ మంజూరు చేయబడుతుంది.
ఖాళీగా ఉన్న యాక్సెస్ నియంత్రణ ఫైల్ను అది ఖాళీగా ఉన్నట్లుగా పరిగణించబడుతుంది. అందువల్ల యాక్సెస్ కంట్రోల్ ఫైళ్లను అందించకుండా యాక్సెస్ నియంత్రణను నిలిపివేయవచ్చు.
నియంత్రణ నియమాలను ప్రాప్యత చేయండి
ప్రతి ప్రాప్యత నియంత్రణ ఫైల్ సున్నా లేదా ఎక్కువ పంక్తులు కలిగి ఉంటుంది. ఈ పంక్తులు కనిపించే క్రమంలో ప్రాసెస్ చేయబడతాయి. మ్యాచ్ కనుగొనబడినప్పుడు శోధన ముగుస్తుంది.
బాక్ స్లాష్ పాత్ర ద్వారా ముందుగా ఉన్నప్పుడు కొత్త అక్షరం నిర్లక్ష్యం చేయబడుతుంది. ఇవి పొడవాటి పంక్తులను విచ్ఛిన్నం చేయడానికి మీకు వీలు కల్పిస్తాయి, తద్వారా వారు సులభంగా సవరించవచ్చు.
`# 'అక్షరంతో మొదలయ్యే ఖాళీ పంక్తులు లేదా పంక్తులు విస్మరించబడతాయి. ఈ వ్యాఖ్యానాలు మరియు తెల్లని ప్రదేశాలలో చేర్చడానికి పట్టికలు చదవడానికి సులువుగా ఉండటానికి ఇది మిమ్మల్ని అనుమతిస్తుంది.
మిగిలిన అన్ని పంక్తులు కింది ఆకృతిని సంతృప్తి పరచాలి, []]
daemon_list: client_list [: shell_command]
daemon_list ఒకటి లేదా అంతకంటే ఎక్కువ డెమోన్ ప్రాసెస్ పేర్ల జాబితా (argv [0] విలువలు) లేదా వైల్డ్కార్డ్లు (క్రింద చూడండి).
client_list ఒకటి లేదా అంతకన్నా ఎక్కువ హోస్ట్ పేర్లు, హోస్ట్ అడ్రెస్లు, నమూనాలు లేదా వైల్డ్కార్డ్లు (క్రింద చూడండి) యొక్క జాబితా క్లయింట్ హోస్ట్ పేరు లేదా చిరునామాకు సరిపోలవుతుంది.
డెమోన్ @ హోస్ట్ మరియు యూజర్ @ హోస్ట్ వంటి క్లిష్టమైన రూపాలు వరుసగా సర్వర్ అంత్యపదార్ధాలపై మరియు క్లయింట్ యూజర్పేర్ లుక్అప్లలో విభాగాలలో వివరించబడ్డాయి.
జాబితా మూలకాలు ఖాళీలు మరియు / లేదా కామాలతో వేరు చేయాలి.
NIS (YP) నెట్గ్రూప్ లుక్అప్లు మినహా, అన్ని యాక్సెస్ కంట్రోల్ తనిఖీలు కేస్ ఇన్సెన్సిటివ్గా ఉంటాయి.
నమూనాలను
యాక్సెస్ కంట్రోల్ భాష కింది విధానాలను అమలు చేస్తుంది:
`` తో ప్రారంభమయ్యే ఒక స్ట్రింగ్. పాత్ర. పేర్కొన్న నమూనాతో దాని పేరు యొక్క చివరి భాగాలు సరిపోలితే హోస్ట్ పేరు సరిపోతుంది. ఉదాహరణకు, `.tue.nl 'నమూనా హోస్ట్ పేరు` wzv.win.tue.nl' తో సరిపోతుంది.
`` తో ముగుస్తుంది. పాత్ర. ఇచ్చిన స్ట్రింగ్తో మొదటి నంబర్ ఫీల్డ్లు సరిపోలితే హోస్ట్ చిరునామా సరిపోతుంది. ఉదాహరణకు, '131.155 నమూనా.' ఐండ్హోవెన్ యూనివర్సిటీ నెట్వర్క్ (131.155.xx) లో ప్రతి హోస్ట్ (దాదాపు) యొక్క చిరునామాను సరిపోతుంది.
`@ 'అక్షరంతో ప్రారంభమయ్యే స్ట్రింగ్ ఒక NIS (గతంలో YP) నెట్గ్రూప్ పేరుగా పరిగణించబడుతుంది. పేర్కొన్న నెట్గ్రూప్ యొక్క అతిధేయ సభ్యుడు అయితే హోస్ట్ పేరు సరిపోతుంది. డీమన్ ప్రాసెస్ పేర్ల కొరకు లేదా క్లయింట్ వినియోగదారు పేర్ల కొరకు నెట్ഗ്രక్ సరిపోలికలకు మద్దతు లేదు.
రూపం `nnnn / mmmm 'యొక్క వ్యక్తీకరణ` నికర / ముసుగు' జతగా భావించబడుతుంది. `నికర 'బిట్వైజ్ మరియు అడ్రస్ మరియు` ముసుగు' కు సమానంగా ఉంటే IPv4 హోస్ట్ చిరునామా సరిపోతుంది. ఉదాహరణకు, '131.155.73.255' ద్వారా '131.155.72.0' శ్రేణిలోని ప్రతి అడ్రసును '131.155.72.0/255.255.254.0' నెట్ / మాస్క్ నమూనా సరిపోతుంది.
రూపం యొక్క వ్యక్తీకరణ `n [n: n: n: n: n: n] / m 'అనేది` [net] / prefixlen' జతగా భావించబడుతుంది. `నికర 'యొక్క' prefixlen 'బిట్స్ చిరునామా యొక్క` prefixlen' బిట్స్కు సమానం అయితే IPv6 హోస్ట్ చిరునామా సరిపోతుంది. ఉదాహరణకు, [3ffe: 505: 2: 1 ::] / 64 'పరిధిలోని ప్రతి చిరునామాకు సరిపోలడంతో [3ffe: 505: 2: 1 ::' 3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
ఒక `/ 'అక్షరంతో ప్రారంభమయ్యే స్ట్రింగ్ ఒక ఫైల్ పేరుగా పరిగణించబడుతుంది . హోస్ట్ పేరు లేదా చిరునామా పేరుతో ఏదైనా హోస్ట్ పేరు లేదా చిరునామా నమూనాతో సరిపోలినట్లయితే సరిపోతుంది. ఫైల్ ఫార్మాట్ సున్నా లేదా మరిన్ని పంక్తులు సున్నా లేదా మరింత హోస్ట్ పేరు లేదా చిరునామా నమూనాలు తెల్లని వేరు వేరు. ఎక్కడైనా ఒక హోస్ట్ పేరు లేదా చిరునామా నమూనాను ఉపయోగించవచ్చు ఒక ఫైల్ పేరు నమూనా ఉపయోగించవచ్చు.
వైల్డ్కార్డ్లు `* 'మరియు`?' హోస్ట్ నామాలను లేదా IP చిరునామాలకు సరిపోలడానికి వాడవచ్చు. సరిపోలే ఈ పద్ధతి `నికర / మాస్క్ 'మ్యాచింగ్, హోస్ట్పేన్ మ్యాచింగ్ తో మొదలవుతుంది. లేదా IP చిరునామా సరిపోలే `.
వైల్డ్
ప్రాప్యత నియంత్రణ భాష స్పష్టమైన వైల్డ్కార్డ్లను మద్దతిస్తుంది:
ALL
సార్వత్రిక వైల్డ్కార్డ్, ఎల్లప్పుడూ సరిపోతుంది.
LOCAL
ఏ హోస్ట్ పేరుతో డాట్ పాత్రను కలిగి లేదు.
తెలియదు
ఎవరి పేరు తెలియదు అనేదానితో సరిపోలుతుంది మరియు పేరు లేదా చిరునామా తెలియని ఏ హోస్ట్ను అయినా సరిపోతుంది. ఈ విధానాన్ని జాగ్రత్తగా ఉపయోగించాలి: తాత్కాలిక పేరు సర్వర్ సమస్యల కారణంగా హోస్ట్ పేర్లు అందుబాటులో ఉండకపోవచ్చు. ఇది ఏ రకమైన నెట్వర్కుతో మాట్లాడుతుందో సాఫ్ట్వేర్ గుర్తించలేకపోయినప్పుడు ఒక నెట్వర్క్ చిరునామా అందుబాటులో ఉండదు.
తెలుస్తు
పేరును ఏ యూజర్ పేరుతో అయినా సరిపోలుతుంది మరియు పేరు మరియు చిరునామా తెలిసిన ఏ హోస్ట్ను అయినా సరిపోతుంది. ఈ విధానాన్ని జాగ్రత్తగా ఉపయోగించాలి: తాత్కాలిక పేరు సర్వర్ సమస్యల కారణంగా హోస్ట్ పేర్లు అందుబాటులో ఉండకపోవచ్చు. ఇది ఏ రకమైన నెట్వర్కుతో మాట్లాడుతుందో సాఫ్ట్వేర్ గుర్తించలేకపోయినప్పుడు ఒక నెట్వర్క్ చిరునామా అందుబాటులో ఉండదు.
పారనాయిడ్
దీని పేరు సరిపోలని ఏ హోస్ట్ను అయినా సరిపోతుంది. -DPARANOID (డిఫాల్ట్ మోడ్) తో tcpd నిర్మితమైనప్పుడు, అటువంటి ఖాతాదారుల నుండి యాక్సెస్ నియంత్రణ పట్టికలు చూసే ముందు అభ్యర్థనలను అది తగ్గిస్తుంది. అటువంటి అభ్యర్ధనలపై మరింత నియంత్రణ కావాలంటే -DPARANOID లేని బిల్డ్.
ఆపరేటర్స్
తప్ప
ఉద్దేశించిన ఉపయోగం రూపం యొక్క: 'list_1 EXCEPT list_2'; ఈ నిర్మాణం జాబితాకు సరిపోలితే జాబితాకు సరిపోలితే ఏదైనా సరిపోలుస్తుంది . EXCEPT ఆపరేటర్ daemon_lists మరియు client_lists లో ఉపయోగించవచ్చు. EXCEPT ఆపరేటర్ను సమూహపరచవచ్చు: నియంత్రణ భాషను కుండలీకరణాల వినియోగాన్ని అనుమతిస్తే, `EXCEPT B EXCEPT c 'అనేది (EXCEPT (B EXCEPT c))' అని పార్స్ చేస్తుంది.
మొదటి-సరిపోలిన యాక్సెస్ నియంత్రణ నియమం షెల్ ఆదేశం కలిగివుంటే, ఆ ఆదేశం% ప్రత్యామ్నాయాలకు లోబడి ఉంటుంది (తదుపరి విభాగాన్ని చూడండి). ఫలితంగా ప్రామాణిక ఇన్పుట్, అవుట్పుట్ మరియు లోపం / dev / null కు కనెక్ట్ చేయబడిన ఒక / బిన్ / ష చైల్డ్ ప్రాసెస్ ద్వారా అమలు చేయబడుతుంది. అది ముగిసినంత వరకు వేచి ఉండకూడదనుకుంటే ఆదేశానికి చివరిలో `& 'ను పేర్కొనండి.
షెల్ ఆదేశాలను inetd యొక్క PATH సెట్టింగుపై ఆధారపడకూడదు. బదులుగా, వారు సంపూర్ణ మార్గం పేర్లను వాడాలి, లేదా వారు తప్పక స్పష్టమైన PATH = ఏ ప్రకటనతో ప్రారంభించాలి.
Hosts_options (5) పత్రం షెల్ ఆదేశ ఫీల్డ్ను విభిన్న మరియు అసంగతమైన విధంగా ఉపయోగించుకునే ప్రత్యామ్నాయ భాషను వివరిస్తుంది.
% EXPANSIONS
క్రింది విస్తరణలు షెల్ ఆదేశాలలో అందుబాటులో ఉన్నాయి:
% a (% A)
క్లయింట్ (సర్వర్) హోస్ట్ చిరునామా.
% సి
క్లయింట్ సమాచారం: యూజర్ @ హోస్ట్, వినియోగదారు @ చిరునామా, హోస్ట్ పేరు లేదా కేవలం చిరునామా, ఎంత సమాచారం అందుబాటులో ఉంటుంది అనేదానిపై ఆధారపడి ఉంటుంది.
% d
డెమోన్ ప్రాసెస్ పేరు (argv [0] విలువ).
% h (% H)
హోస్ట్ పేరు అందుబాటులో లేకపోతే క్లయింట్ (సర్వర్) హోస్ట్ పేరు లేదా చిరునామా.
% n (% N)
క్లయింట్ (సర్వర్) హోస్ట్ పేరు (లేదా "తెలియని" లేదా "పారనాయిడ్").
% p
డెమోన్ ప్రాసెస్ ఐడి.
% s
సర్వర్ సమాచారం: డెమోన్ @ హోస్ట్, డీమన్ @ చిరునామా, లేదా ఒక డెమోన్ పేరు, ఎంత సమాచారం అందుబాటులో ఉంటుందో.
% u
క్లయింట్ వినియోగదారు పేరు (లేదా "తెలియదు").
%%
ఒకే `% 'అక్షరానికి విస్తరించింది.
% విస్తరణలో అక్షరాలను షెల్ను కంగారు పెట్టడం అండర్స్కోర్స్ ద్వారా భర్తీ చేయబడుతుంది.
SERVER ENDPOINT PATTERNS
వారు కనెక్ట్ చేసే నెట్వర్క్ చిరునామా ద్వారా ఖాతాదారులను గుర్తించడానికి, రూపం యొక్క నమూనాలను ఉపయోగించండి:
process_name @ host_pattern: client_list ...
యంత్రం వేర్వేరు ఇంటర్నెట్ హోస్ట్ నామాలతో వేర్వేరు ఇంటర్నెట్ చిరునామాలను కలిగి ఉన్నప్పుడు ఈ పద్ధతులు ఉపయోగించవచ్చు. సర్వీసు ప్రొవైడర్లు FTP, GOPHER లేదా WWW ఆర్కైవ్లను ఇంటర్నెట్ సంస్థలతో అందివ్వటానికి ఈ సదుపాయాన్ని ఉపయోగించుకోవచ్చు, ఇవి వివిధ సంస్థలకు చెందినవి కావచ్చు. Hosts_options (5) పత్రంలో 'ట్విస్ట్' ఎంపిక కూడా చూడండి. కొన్ని వ్యవస్థలు (సోలారిస్, ఫ్రీబిఎస్డి) ఒక భౌతిక ఇంటర్ఫేస్లో ఒకటి కంటే ఎక్కువ ఇంటర్నెట్ చిరునామాను కలిగి ఉంటాయి; ఇతర వ్యవస్థలతో మీరు ప్రత్యేకమైన నెట్వర్క్ అడ్రస్ స్థలంలో నివసించే SLIP లేదా PPP సూడో ఇంటర్ఫేస్లను ఆశ్రయించాల్సి ఉంటుంది.
Host_pattern అదే సింటాక్స్ నియమాలను client_list సందర్భంలో హోస్ట్ పేర్లు మరియు చిరునామాలకు విధేయుడవుతుంది. సాధారణంగా, సర్వర్ ముగింపు పాయింట్ సమాచారం కనెక్షన్ ఆధారిత సేవలతో మాత్రమే అందుబాటులో ఉంటుంది.
CLIENT USERNAME LOOKUP
క్లయింట్ హోస్ట్ RFC 931 ప్రోటోకాల్ లేదా దాని వారసుల్లో ఒకదానిని (TAP, IDENT, RFC 1413) మద్దతిస్తే, రేపర్ కార్యక్రమాలు కనెక్షన్ యొక్క యజమాని గురించి అదనపు సమాచారాన్ని తిరిగి పొందగలవు. క్లయింట్ వినియోగదారు పేరు సమాచారం, అందుబాటులో ఉన్నప్పుడు, క్లయింట్ హోస్ట్ పేరుతో కలిసి లాగ్ చేయబడి ఉంటుంది మరియు ఇది వంటి నమూనాలను సరిపోల్చడానికి ఉపయోగించవచ్చు:
daemon_list: ... user_pattern @ host_pattern ...
నియమం-నడిచే వాడుకరిపేరు లుక్అప్లు (డిఫాల్ట్) లేదా కస్టమర్ హోస్ట్ను ప్రశ్నించడానికి డమ్మీ రేపర్లు కంపైల్ సమయంలో కన్ఫిగర్ చేయవచ్చు. నియమం-నడిచే వాడుకరిపేరు లుక్అప్లలో, పై నియమం వాడుకరిపేరు శోధనను మాత్రమే చేస్తుంది, అయితే డెమోన్_లిస్ట్ మరియు హోస్ట్_ప్యాటెర్న్ మ్యాచ్ రెండూ.
ఒక వినియోగదారు నమూనాను డెమోన్ విధానం వలె ఒకే సింటాక్స్ కలిగి ఉంటుంది, అందువల్ల అదే వైల్డ్కార్డ్లు వర్తించబడతాయి (నెట్గ్రూప్ సభ్యత్వానికి మద్దతు లేదు). అయినప్పటికీ, వాడుకరిపేరు లుక్అప్లతో దూరంగా ఉండకూడదు.
క్లయింట్ వ్యవస్థ రాజీపడినప్పుడు, క్లయింట్ వినియోగదారు పేరు సమాచారాన్ని చాలా అవసరమైనప్పుడు విశ్వసించలేము. సాధారణంగా, ALL మరియు (UN) NNN మాత్రమే అర్ధవంతం చేసే వినియోగదారు పేరు నమూనాలు.
యూజర్పేర్ లుక్అప్లు మాత్రమే TCP- ఆధారిత సేవలతో సాధ్యమే, క్లయింట్ హోస్ట్ సరైన డీమన్ను నడుపుతున్నప్పుడు మాత్రమే; అన్ని ఇతర సందర్భాలలో ఫలితంగా "తెలియదు".
వాడుకరిపేరు లుక్అప్ లు ఫైర్వాల్ చేత నిరోధించబడినప్పుడు బాగా తెలిసిన UNIX కెర్నల్ దోషం సేవ యొక్క నష్టాన్ని కలిగిస్తుంది. రేపర్ README డాక్యుమెంట్ మీ కెర్నల్కు ఈ దోషం ఉంటే తెలుసుకునే విధానాన్ని వివరిస్తుంది.
యూజర్ పేరు లు UNIX కాని వినియోగదారులకు గుర్తించదగిన ఆలస్యంకు కారణం కావచ్చు. యూజర్పేర్ లుక్అప్ ల కోసం డిఫాల్ట్ గడువు సమయం 10 సెకన్లు: నెమ్మదిగా నెట్వర్క్లను భరించటానికి చాలా తక్కువ సమయం, కానీ PC వినియోగదారులను చికాకుపర్చడానికి తగినంత సమయం పడుతుంది.
ఎంచుకున్న వాడుకరిపేరు లుక్అప్లు చివరి సమస్యను తగ్గించగలవు. ఉదాహరణకు, ఇలాంటి నియమం:
డెమోన్_స్లిస్ట్: @pcnetgroup ALL @ ALL
యూజర్పేర్ లుక్అప్లు చేయకుండా PC ల నెట్గ్రూప్ యొక్క సభ్యులతో సరిపోలుతుంది, కానీ అన్ని ఇతర సిస్టమ్లతో వినియోగదారు పేరును చూసేలా చేస్తుంది.
ADDRESS SPOOFING అటాక్స్ను నిర్ధారించడం
అనేక TCP / IP అమలు యొక్క సన్నివేశం సంఖ్య జెనరేటర్ లో దోషం చొరబాటుదారులకు సులభంగా విశ్వసనీయ ఆతిధ్యాలను అనుకరించడానికి మరియు ఉదాహరణకు, రిమోట్ షెల్ సేవ ద్వారా ప్రవేశించడానికి అనుమతిస్తుంది. ఇటువంటి మరియు ఇతర హోస్ట్ అడ్రెస్ స్పూఫింగ్ దాడులను గుర్తించడానికి IDENT (RFC931 మొదలైనవి) సేవను ఉపయోగించవచ్చు.
క్లయింట్ అభ్యర్థనను ఆమోదించడానికి ముందు, క్లయింట్ అభ్యర్థనను అన్నింటినీ పంపించలేదని గుర్తించడానికి IDR సేవను ఉపయోగించవచ్చు. క్లయింట్ హోస్ట్ IDENT సేవను అందించినప్పుడు, ప్రతికూల IDENT లుక్అప్ ఫలితం (క్లయింట్ సరిపోతుంది 'UNKNOWN @ హోస్ట్') హోస్ట్ స్పూఫింగ్ దాడికి బలమైన సాక్ష్యం.
అనుకూల IDENT లుక్అప్ ఫలితం (క్లయింట్ సరిపోతుంది 'KNOWN @ హోస్ట్') తక్కువ నమ్మదగినది. క్లయింట్ కనెక్షన్ మరియు IDENT లుక్అప్ రెండింటినీ గూఢచారి చేయడానికి ఇది అక్రమంగా ఉంటుంది, అయితే ఇలా చేయడం వలన కస్టమర్ కనెక్షన్కు స్పూఫింగ్ కంటే చాలా కష్టతరమైనది. ఇది కూడా క్లయింట్ యొక్క IDENT సర్వర్ అబద్ధం కావచ్చు.
గమనిక: IDENT లుక్అప్లు UDP సేవలతో పనిచేయవు.
ఉదాహరణలు
భాష వివిధ రకాల యాక్సెస్ కంట్రోల్ పాలసీని తక్కువగా ఫస్తో వ్యక్తీకరించగలదు. భాష రెండు యాక్సెస్ కంట్రోల్ టేబుల్స్ ఉపయోగిస్తున్నప్పటికీ, సామాన్యమైన విధానాలు పట్టికలలో ఒకటి చిన్నవిషయం లేదా ఖాళీగా ఉండటంతో అమలు చేయబడతాయి.
క్రింద ఉన్న ఉదాహరణలను చదివేటప్పుడు, తిరస్కరించు పట్టికకు ముందు అనుమతి పట్టిక స్కాన్ చేయబడిందని గ్రహించడం చాలా ముఖ్యం, ఒక మ్యాచ్ కనుగొనబడినప్పుడు శోధన ముగుస్తుంది, మరియు ఎటువంటి పోలిక లేనప్పుడు యాక్సెస్ ఇవ్వబడుతుంది.
ఉదాహరణలు హోస్ట్ మరియు డొమైన్ పేర్లను ఉపయోగిస్తాయి. తాత్కాలిక పేరు సర్వర్ లుక్అప్ వైఫల్యాల ప్రభావాన్ని తగ్గించడానికి చిరునామా మరియు / లేదా నెట్వర్క్ / నెట్మాస్క్ సమాచారంతో సహా వీటిని మెరుగుపరచవచ్చు.
పూర్తిగా మూసివేయబడింది
ఈ సందర్భంలో, ప్రాప్యత డిఫాల్ట్గా తిరస్కరించబడుతుంది. స్పష్టంగా అధీకృత హోస్ట్లు మాత్రమే యాక్సెస్ అనుమతి.
అప్రమేయ విధానము (ప్రాప్యత లేదు) ఒక చిన్నవిషయం తిరస్కరించిన ఫైలుతో అమలు చేయబడును:
/etc/hosts.deny: ALL: ALL
అనుమతించే ఫైల్లో ఎంట్రీలు యాక్సెస్ అనుమతి తప్ప, ఇది అన్ని హోస్ట్లకు అన్ని సేవ తిరస్కరించింది.
స్పష్టంగా అధీకృత హోస్ట్లు అనుమతి ఫైల్లో ఇవ్వబడ్డాయి. ఉదాహరణకి:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
ALL: .foobar.edu మినహా టెర్మినల్సర్వర్. Foobar.edu
స్థానిక నియమావళిలో హోస్ట్ల నుండి (మొదటి పేరు హోస్ట్ పేరులో లేదు.) మరియు some_netgroup నెట్గ్రూప్ యొక్క సభ్యులు నుండి మొదటి నిబంధన అనుమతి ఇస్తుంది. రెండవ నియమం foobar.edu డొమైన్లోని అన్ని అతిధేయల నుండి (ప్రముఖ డాట్ను గమనించండి), టెర్మినల్సర్వర్టర్ .foobar.edu మినహా మిగిలిన అనుమతినిస్తుంది .
పూర్తిగా తెరవబడింది
ఇక్కడ, యాక్సెస్ అప్రమేయంగా మంజూరు చేయబడుతుంది; ప్రత్యేకంగా పేర్కొన్న హోస్ట్లు మాత్రమే సేవను తిరస్కరించాయి.
డిఫాల్ట్ విధానం (యాక్సెస్ మంజూరు) అనుమతిస్తుంది అనుమతించే ఫైలు పునరావృత తద్వారా అది విస్మరించవచ్చు. స్పష్టంగా అధీకృత హోస్ట్లు తిరస్కరించిన ఫైల్లో జాబితా చేయబడ్డాయి. ఉదాహరణకి:
/etc/hosts.deny: ALL: some.host.name, .some.domain
అన్నింటికీ మినహాయించండి: other.host.name, .other.domain
మొదటి నియమం కొన్ని హోస్ట్లను మరియు అన్ని సేవల డొమైన్లను తిరస్కరించింది; రెండవ నియమం ఇప్పటికీ ఇతర హోస్ట్లు మరియు డొమైన్ల నుండి వేలు అభ్యర్థనలను అనుమతిస్తోంది.
బూబీ ట్రిప్స్
తదుపరి ఉదాహరణ స్థానిక డొమైన్లో అతిధేయ నుండి tftp అభ్యర్ధనలు అనుమతిస్తాయి (ప్రముఖ డాట్ను గమనించండి). ఇతర హోస్ట్ల నుండి అభ్యర్థనలు తిరస్కరించబడ్డాయి. అభ్యర్ధించిన ఫైల్కు బదులుగా, వేలిపులు దర్యాప్తు దాడులకు హాజరుకాబడతాయి. ఫలితం సూపర్యూజర్కు మెయిల్ చేయబడుతుంది.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h రూట్) &సురక్షిత_ఫింగర్ ఆదేశం tcpd రేపర్తో వస్తుంది మరియు సరైన స్థలంలో ఇన్స్టాల్ చేయాలి. ఇది రిమోట్ వేలిముద్ర సర్వర్ పంపిన డేటా నుండి సాధ్యం నష్టం పరిమితం. ప్రామాణిక వేలు కమాండ్ కంటే మెరుగైన భద్రతను ఇస్తుంది.
% H (క్లయింట్ హోస్ట్) మరియు% d (సేవ పేరు) శ్రేణుల విస్తరణ షెల్ ఆదేశాలలోని విభాగంలో వివరించబడింది.
హెచ్చరిక: మీరు అనంత వేలు ఉచ్చులు కోసం తయారు చేయకపోతే, మీ వేలు డీమన్ని మోసగించవద్దు.
నెట్వర్క్ ఫైర్వాల్ సిస్టమ్స్లో ఈ ట్రిక్ మరింతగా నిర్వహించబడుతుంది. విలక్షణ నెట్వర్క్ ఫైర్వాల్ బయటి ప్రపంచంతో మాత్రమే పరిమిత సేవా సేవలను అందిస్తుంది. అన్ని ఇతర సేవలు పైన ఉన్న tftp ఉదాహరణ లాగానే "bugged" చేయవచ్చు. ఫలితంగా అద్భుతమైన ప్రారంభ-హెచ్చరిక వ్యవస్థ.
ఇది కూడ చూడు
tcpd (8) tcp / ip డెమోన్ రేపర్ ప్రోగ్రామ్. tcpdchk (8), tcpdmatch (8), పరీక్షా కార్యక్రమాలు.ముఖ్యమైనది: మీ కంప్యుటర్లో కమాండ్ ఎలా ఉపయోగించబడుతుందో చూడుటకు man command ( % man ) ఉపయోగించండి.