NAME
hosts_access - furmatu di schedari di cuntrollu di accessu d'accessore
DESCRIPTION
Sta pàgina di manual si descrieranu un linguaggiu de cuntattu d'accessu simplici chì si basa in clientu (nomu / indirizzu di l'aminciariu, nome d'utilizatore), è servitore (nome di prattice, nomu / indirizzu). Esemplate sò datu à fine. U lettore impatente hè animatu à saltà à a sezione EXEMPLES per una intro base.
Una versione più larga di u lingua di u cuntrollu di accessu hè spressione in u cartulare_options (5) documentu. E l'estensioni sò attivati nantu à u tempu di creazione di u prugramma, custruendu cù -DPROCESS_OPTIONS.
In u testu in seguente, u daemon hè u nome di u prucessu di un prucessu di dimarcatu di a rete , u cliente hè u nome è / o l'indirizzu di un servitore chjamante accugliente. U nòmudu di u prucessu di u dem Unziu sò specificate in u schedariu di cunfigurazione inetd.
ACCESS CONTROL FILES
U software di cuntrollu di accessu cunsegna dui file . A ricerca si ferma à a prima partita:
*
A accetta serà ottenuta quandu un (demone daemon, client) parighja una sana in u /etc/hosts.allow file.
*
In ochju, l'accessu serà denunfittu chjamatu un ( demone daemon , client) paru una sana in u /etc/hosts.deny file.
*
Inutili, accessu sarà garantitu.
Un schedariu di cuntrollu di accessu esistenti ùn hè trattu comu si era un schedariu vacanti . Cusì, u cuntrollu di accessu pò esse offu senza accadutu micca un access control file .
REGI DI CONTROL D'ACCESSu
Ogni cuntenenu di cuntrollu di accessu compone di cero o più fili di testu. Questi filamenti sò trattati in modu di l'aspettu. A ricerca finisci quandu un match is found.
*
Un caratteru novu hè ignoratu quandu hè stata di precedente da un caratteru sparsliugate. Questu permette di scumparà e filati longi per ch'ellu sianu più faciuli di edità.
*
Lini in biancu o linii chì cumincianu cù un caractèru "#" sò ignorati. Questu permette di inserisce comments and whitespace per chì e tavule sò più fàciule di leghje.
*
Tutti l'altri linii anu bisognu à u formatu seguente, e cose chì si trovanu [] hè facultativu:
daemon_list: client_list [: shell_command]
daemon_list hè una lista di unu o più dimarchi di prucessu dimostratu (argv [0] values) o comodines (vede below).
client_list hè una lista di unu o più nomi di l'ostili, indirizzu di l'ochju, mudelli o comodensi (vede sottu) chì saranu parmettini in contru u nome o l'indirizzu di u cliente.
A forma di cumpagnia più complexa daemon @ host e user @ host sò spiegati in e rùbbriche nantu à i patti di endpoint di u sirviziu è in u cliente di u nome di nome di ricerca, rispettivament.
L'elementi di lista deve esse separati da spazii è / o cumuli.
Nisuna eccezzioni di e NIS (YP) ricerca di u netgruppu, tutte e cuntrolli di cuntrolli di accessu sò case insensibile.
PATRONI
A lingua di cuntrollu di accessu ponu implementà i seguenti patti:
*
Una stringa chì accuminta cù una "." caratteru. Un altru nome hè cumprendit se l'ultimi cumpunenti di u so nomu coincide cù u patchitu especificatu. Per esempiu, u patronu `.tue.nl 'coincide cù u chjamante ospitandore' wzv.win.tue.nl '.
*
Una stringa chì finiscinu cù un `. ' caratteru. L'indirizzu di l'ospitu hè assuciatu cù i so primi cunfini numerii incù a chjave. Per esempiu, u patronu di "131.155". currisponde à l'indirizzu di (quasi) ogni ospitante in u network di l'Università Eindhoven (131.155.xx).
*
Una stringa chì inizià cù un cumentu @ @ hè trattatu da u nome NGS (antica YP) di u netgroup. Un nome d'amputatu si cumpatta si hè un membru di u cumandante di u netgroup especificatu. U Gruppu di Netgruppu ùn sò micca supportatu per nomi di prucessu dimostratu o per i nomi di clientella.
*
L'espressione di a forma "nnnn / mmmm" hè interpretata cum'è un parere di "netti / mask". Un indirizzu di l'addevu IPv4 hè cumparatu se «net» hè uguali à u bituminoso di l'indirizzu è a 'maskra'. Per esempiu, u patrone di nettu / maschere '13.15.72.02/255.255.254.0 'coincide cù ogni indirizzu in u classicu' 131.155.72.0 'per «131.155.73.255».
*
Una espressione di a forma '[n: n: n: n: n: n: n: n] / m' hè interpretatu cum'è par parò [net] / prefixlen '. Un indirizzu di l'adresse IPv6 hè cumparatu se 'prefixlen' bits di 'net' hè uguali à l'intricatu 'prefixlen' di l'indirizzu. Per esempiu, u patru [net] / prefixlen pattern '[3ffe: 505: 2: 1 ::] / 64' coincide cù ogni indirizzu in u rigistru '3ffe: 505: 2: 1 ::' through `3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
*
Una stringa chì principia cù un '/' caractèr hè trattu da un nome di scrittore. Un nome o l'indirizzu di l'amputatu hà cumparatu se fate cù qualsìasi nomu o indirizzu di indirizzu di listinu in u schedariu chjamatu. U furmatu di furmatu hè chjucu o più di ligne cù chjucu o più nome di l'ochju o mudelli d'indirizzu siparati da u spaziu biancu. Un patronu di schedariu di u nome pò esse usatu in un locu o un patronu di indirizzu pò esse usatu.
*
Cunsaglie `* 'è"? " pò esse usatu per fassi cù l'alunni o l'indirizzu IP. Stu metudu di currispundenza pò esse usatu in cungiunzione cù "net / mask 'matching, hostname cumpagnante cumincendu da". " o l'indirizzu IP currispondente cun '.'.
SILVICULTURA
A lingua di cuntrollu di accessu accòcrate cunnessi explicitu:
TUTTI
U cunzidimentu universale, sempre cunnessione.
LOCAL
Partita qualchese alcunu chì u nome ùn ùn cuntene un caratteru di punti.
UNKNOWN
Partita à qualsiasi alcunu chjamatu u so nome scunnisciutu, è assuciate un ospitale chì u nome è l' indirizzu sò ignorati. Stu patronu si deve esse usate cù cura: i nomi di l'ostende ùn anu micca dispunibili bisognu di u prublema di u servore tempurane. Un indirizzu di rete ùn serà micca dispunibbili quandu u software ùn pò micca esse cumpresa cù u tipu di reticciu chì parla.
POPULU CORSU
Partita à qualsiasi usu chì u so nomu hè cunnisciutu, è hà datu un ospitanu chì u nome è l' indirizzu sò cunnisciuti. Stu patronu si deve esse usate cù cura: i nomi di l'ostende ùn anu micca dispunibili bisognu di u prublema di u servore tempurane. Un indirizzu di rete ùn serà micca dispunibbili quandu u software ùn pò micca esse cumpresa cù u tipu di reticciu chì parla.
PARANOID
Partita qualchese alcunu chì u nome ùn hà micca cunnessu cù a so indirizzu. Quandu tcpd hè custruitu cû -DPARANOID (modu predeterminatu), prende pedimenti di i clienti, ancu prima di vultà in e tàvule di cuntrolli di accessu. Custruisce senza -DPARANOID quandu vulete più cuntrollu di equestri dumande.
OPERATURI
EXCEPT
Adupratu usu hè di a forma: `list_1 EXCEPT list_2 '; questu custruisce cù qualsse parolle chì face list_1 à menu chì ùn parmette a lista_2 . L'operatore EXCEPT pò esse usatu in daemon_lists è in client_lists. L'operatore EXCEPT pò esse imbastatu: se a lingua di cuntrollu permettenu l'usu di parèntesi, "EXCEPTE b EXCEPTE c 'parse com' (a EXCEPT (b EXCEPT c)) '.
SHELL COMMANDS
Se a regula di cuntrollu di accessu primu accessu cuntene un cunghjettu di marcu, l' ordine hè suggetatu à% sustituzioni (vede a versione dopu). U risultatu hè eseguitu da un procliu / bin / sh child with standard input, output and error connected to / dev / null . Specifique un `& 'à a fine di u cumandimu sè ùn vi vulete aspittà quellu chì hà cumpletu.
Ogni ordine di scàccia ùn deve puderà micca stallà a cunversione PATH di l'inetd. Invece, avè averà utilizà i nomi di i camini assoluti, o duveranu cumu cun una pratica esplicita = qualsìsima partenza.
L' òspite_optione (5) documentu descrizanu una lingua alternativa chì usa u duminiu di cumanda di cunnessione in un modu distintu è incompatibile.
% EXPANSIONS
E l'expansioni seguenti sò dispunibule sottu l'òrdine di cuncorsu:
% a (% A)
U indirizzu di u cliente (servore).
% c
L'infurmazione di u clienti: l'utilizadoru @archu, l'indirizzu @ indirizzu, un nome d'amandula, o solu un indirizzu, secondu cumu quantu infurmazione hè dispunibule.
% d
U nome di u nome di dimostratu (argv [0] value).
% h (% H)
U cliente (server) host name o indirizzu, se u nomu di l'ostenditore ùn si dispunibile.
% n (% N)
U cliente (server) host name (o "unknown" o "paranoic").
% p
U prucessu di dimura.
% s
L'infurmazione di u sirviziu: daemon @ host, daemon @ adresse, o solu un nome di u deminuu, secondu cumu quantu infurmazione hè dispunibule.
% u
U nome d 'usu cliente (o "Inconnu").
%%
Esplendie per un caratteru unicu "%".
E persone in% espansioni chì ponu cunfundassi l'intarsa sò sustituiti da i marcati.
PATRENTI TERMO DI SERVER ENDPOINT
Per distinguish clientelli da l'indirizzu di a rete chì si cunnuccaranu, usanu mudelli di a forma:
process_name @ host_pattern: client_list ...
E patroni chì si pò esse usatu quandu a machina hà parechje indirizzu di l'internet cù i diversi casati d'Internet. I prublemi di serviziu pò utilizà sti facilità per offerta FTP, GOPHER o archivi WWW cù nomi d'internet chì pò ancu esse di diverse organizzazioni. Vede ancu l'opzione "twist" in l' òspite_options (5) documentu. Alcune i sistemi (Solaris, FreeBSD) pò avè più d'una indirizzu internet in una una interfette fisica; cù altri sistemi poch'elli avete a ricuperà à SLIP o pseudo interfaces pseudo chì viranu in una spaziu di indirizzu di una rede dedicata.
L'ostinente_pattern obeys the same syntax rules as names and addresses in a client_list context. U solitu, l'infurmazione di u endpoint di u servitore sò dispunibili solu cù servizii di cunnessione orientali
U CUNDIZENTU DOMANDA DOMANDO
Quandu u clientcu hè accettatu u protoccu RFC 931 o unu di i so discendenti (TAP, IDENT, RFC 1413), i schedari di stampa puderà ricuperà infurmazioni addiziunà nantu à u patrone di una cunnessione. L'infurmazione di u nome di u cliente hè dispunibule cunnessu cù u nomu di u cliente, è pò esse usatu per incontru i patroni cum'è:
daemon_list: ... user_pattern @ host_pattern ...
U dumperu di u deminuu ponu esse cunfigurati à compilà u tempu per fà i prughjetti di u nome d'utilizatore di regula (predeterminatu) o per interrogate sempre u vostru òspite cliente. In u casu di e ricerche di nome d'utilizatore di regula, a regula di u soprappettu seria propriu nome di nome di ricerca solu quant'è a dumanda di dumandata è a disputa à l' ostinenza .
Un patronu di u usu hè a stissa sintassi cum'è un patronu di u prucessu di u deminuu, perchè i stessi caleghjuli s'apprisabimanu (a ricerca di u netgroup ùn hè micca supporta). Unu ùn deve esse purtatu cun questu persunalizatu, ancu.
*
U cliente ùn hè micca fiduciale in una infurmazione di u nome di usu di u nome di u usu quandu hè più necessariu, vale à dì quandu u sistema di cliente hè stata compromessa. In generale, TUTTI è CUNZUNANTI (UN) CUNZANIN sò l'unichi mudelli di nomu d'utilizatore chì sò sensu.
*
Un certi persunalizati hè pussibile solu cù servizii per TCP, è solu quandu u cliente cumule ghjunta un demonimu adattatu; in tutti l'altri casi u risultatu hè "ignotu".
*
Un bug di UNIX di cunnisciutu famosu pò causà perdita di serviziu chì u duminiu di username hè stata bluccata da un firewall. U cartulare README documenta si detalla un procedimentu per sapè se u vostru kernel tenu stu bug.
*
Cumbugliu d'utilizatori pò causà ritardi notevoli per i clienti non-UNIX. U predefinitu automaticamente di u nome di nome di ricerca hè di 10 segundos: troppu curta per trattà cù rete lento, ma duru assai di rindiri l'usu di PC.
Brogueri selettivi di u nome di usu pò pudè allistà l'ultimu problema. Per esempiu, una regula cum'è:
daemon_list: @pcnetgroup ALL @ ALL
cunghjuntanu i membri di u netgroup pc senza fà username, certeva dumandà u nome di ricerca cù tutti l'altri sistemi.
DETECTRUZZI DI INDIRIZU INTACKS SPOOFING
Un difettu in u numariu numerariu di numeru di numerosi implementazioni TCP / IP permette à l'intrudu per pudè smariscerà in l'usi di fiducia è per fallu in via, per esempiu, u serviziu di cunnessione remota. U serviziu di l'IDENT (RFC931 etc.) ponu esse usatu per dette tali attache è l'altru attaccamentu attaccati spoof.
Prima di avè l'accittà di una dumanda di client, l'imbusca ponu utilizà u serviziu IDENT per sapè chì u cliente ùn mandò micca a dumanda. Quandu u centru clientale prublemi à u serviziu IDENT, un risultatu negativu di l'IDENT (u clientu coincide cù 'UNKNOWN @ host') hè una prova forte di un attaccamentu spoof.
Un risultatu di preghjudiziu di IDENT (u clientu coincide cù «Knappier @ host») hè menu fiducible. Hè pussibule per un intrudu per spoofeisu a cunnessione di u cliente è a ricerca d'IDENT, ma ancu avà fattu assai più difficili chì spoofing solu una cunnessione cliente. Pò esse ancu chì u servitore di IDENT di u cliente si stende.
Nota: i ricerche di IDENT ùn sò micca travagliate cù servizii UDP.
EXAMPLES
A lingua hè abbastanza bè chì i tipi di pulitica di cuntrollu di accessu pò esse espressi cù un minimu fuss. Ancu s'ellu a lingua usa dui settimani di cuntrollu di accessu, e pulitichi più cumuni ponu esse implementati cù una di e tàvule trivia o ancu vacanti.
Quandu lighjite l'esempii quì sottu ci hè impurtante per esce di ciò chì a schema di permette di scanita prima di a tavula nè micca, chì a ricerca finisci quandu un match hè truvatu, è questu accessu hè attribuitu quandu ùn hè micca truvatu nisun match.
L'esempii usanu numeri d'amputatori è di duminiu. Puderanu esse migliuratu cù l'indirizzu è / o a reta di a reta / maschera, per riduce l'impattu di u servitore timore tempore in fallenza di ricerca.
PUGLIAMENTE CERRADO
In questu casu, l'accessu hè dichjaratu da u situ. Solu l'accessi esplediti autorizzati anu accessu permessu.
A pulitica predeterminada (nimu accessu) hè implementatu cù un schedariu nimicu triviale:
/etc/hosts.deny: ALL: ALL
Cusì scrive u serviziu à tutti l'anziani, salvu micca accessu permessu per l'intrattenimentu in u schedariu di permette.
I ospiti esse accettati explicitamente sò listate in u schedariu permettenu. Per esempiu:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
TUTTI: .foobar.edu EXCEPT terminalserver.foobar.edu
A prima regula permette l'accessu da l'anziani in u duminiu domanu (nimu '.' In u nomu di l' ostenditu ) è da i membri di u gruppu some_netgroup netgroup. A seconda regula permette l'accessu da tutti l'anziani in u duminiu foobar.edu (avè l'impurtante puntale), per esse di a terminalserver.foobar.edu .
Oghje in più
Eccu, l'accessu hè garantitu da automaticamente; solu esse cagiunati spiccifiamenti sò ricusati u serviziu.
A pulitica predeterminata (access granted) fa cumprendi u permessu dispunibule rossu per ch'ellu ùn pò esse omessi. I ospiti esplicitamenti micca autorizzati sò numendu in u file deny. Per esempiu:
/etc/hosts.deny: ALL: some.host.name, .some.domain
ALL EXCEPT in.fingerd: other.host.name, .other.domain
U primu regnu dispune parechji alcusà è duminii tutti i servizii; a seconda regula ancu permette à dumanda di dumanda da l'altri hoste è domini.
TRAPS BOOBY
U vechje esempiu permette à e dumande tftp da l'anziani in u duminiu domanu (avviżu u puntu punenti). A dumanda di qualchì altru hoste sò denegati. Invece di u schedariu dumandatu, una sonda di u dete hè mandata à u corpu offending. U risultatu hè mandatu per u superusuariu.
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail -s% d-% h root) &U cumandante sicuru di u cumandariu venenu cù u cartulare tcpd è si deve esse installatu in un postu adattatu. Limita cun dannu possibbili di e dati enviati da u servitore remake remake. Hè una megliu prutezzione chì u cumandamentu standard di u dete.
L'espansione di u% h (client) è di dati% d (serviziu di serviziu) hè spjegatu in a sezione nantu à i cumandus di casu.
Avvisu: ùn pasculacciate-trapete u so dete da u dete, finu à chì ùn hè priparatu per i lochi infinitu.
In u sistemu di u parche di u reticciu di u sistemu di u sirvule pò esse portatu più. U reticciu tipugale tipugale hè solu furnisce un setu limitatu di servizii di serviziu à u mondu esternu. Tutti l'altri servizii pò esse "bugged" cum'è l'esempiu di tftp supra. U risultatu hè un sistema excelu d'avvistimentu anticipatu.
Impurtante: Utilizà l'ordine di u manu ( % man ) per vede cumu u cumandimu hè usatu in u vostru urdinatore particulari.
Articuli Related