Hosts.allow - லினக்ஸ் கட்டளை

பெயர்

host_access - புரவலன் அணுகல் முறைமை லினக்ஸ் கட்டுப்பாட்டு கோப்புகள்.

விளக்கம்

இந்த கையேடு பக்கம் கிளையண்ட் (புரவலன் பெயர் / முகவரி, பயனர் பெயர்) மற்றும் சேவையகம் (செயல்முறை பெயர், புரவலன் பெயர் / முகவரி) வடிவங்களின் அடிப்படையில் எளிய அணுகல் கட்டுப்பாட்டு மொழியை லினக்ஸ் விவரிக்கிறது. எடுத்துக்காட்டுகள் முடிவில் கொடுக்கப்படுகின்றன. பொறுமையற்ற வாசகர் ஒரு விரைவு அறிமுகத்திற்கான எடுத்துக்காட்டு பிரிவிற்குத் தவிர்க்க ஊக்குவிக்கப்படுகிறார். அணுகல் கட்டுப்பாட்டு மொழியின் நீட்டிக்கப்பட்ட பதிப்பு விவரிக்கப்பட்டுள்ளது hosts_options (5) ஆவணம். -DROCESS_OPTIONS ஐ உருவாக்குவதன் மூலம் நீட்டிப்புகள் நிரல் உருவாக்கத்தில் இயக்கப்படுகின்றன.

பின்வரும் உரையில், டேமன் ஒரு பிணைய டெமான் செயல்முறை செயல்முறை பெயர், மற்றும் வாடிக்கையாளர் ஒரு ஹோஸ்ட் கோரிக்கை சேவையின் பெயர் மற்றும் / அல்லது முகவரி. நெட்வொர்க் டீமான் செயலாக்க பெயர்கள் inetd கட்டமைப்பு கோப்பில் குறிப்பிடப்பட்டுள்ளன.

அணுகல் கட்டுப்பாட்டு கோப்புகள்

அணுகல் கட்டுப்பாட்டு மென்பொருள் இரண்டு கோப்புகள் துணைபுரிகிறது. தேடல் முதல் போட்டியில் நிறுத்தப்படும்.

ஒரு (டீமான், க்ளையன்ட்) ஜோடி உள்ளீடு உள்ளிடும்போது அணுகல் வழங்கப்படும் /etc/hosts.allow கோப்பு.

இல்லையென்றால், ஒரு (டீமான், கிளையன்) ஜோடி ஒரு நுழைவுடன் பொருந்தும் போது அணுகல் மறுக்கப்படும் /etc/hosts.deny கோப்பு.

இல்லையெனில், அணுகல் வழங்கப்படும்.

ஒரு இல்லாத கோப்பு அணுகல் கோப்பு ஒரு வெற்று கோப்பு போல கருதப்படுகிறது. எனவே அணுகல் கட்டுப்பாட்டு கோப்புகளை அணுகுவதன் மூலம் அணுகல் கட்டுப்பாடு முடக்கப்படும்.

அணுகல் கட்டுப்பாடு விதிகள்

ஒவ்வொரு அணுகல் கட்டுப்பாட்டு கோப்பும் பூஜ்யம் அல்லது அதிக வரிகளை கொண்டிருக்கும். தோற்றத்தின் வரிசையில் இந்த வரிகள் செயலாக்கப்படுகின்றன. ஒரு போட்டியை காணும்போது தேடல் முடிவடைகிறது.

பின்ஸ்லாஷ் கதாபாத்திரத்தால் முன்னால் இருக்கும் போது ஒரு புதிய எழுத்துக்குறி புறக்கணிக்கப்படுகிறது. இது நீண்ட வரிகளை உடைக்க உங்களை அனுமதிக்கிறது, இதனால் அவை திருத்த எளிதாகும்.

'#' கதாபாத்திரத்துடன் தொடங்கும் வெற்று கோடுகள் அல்லது கோடுகள் புறக்கணிக்கப்படுகின்றன. அட்டவணைகள் எளிதாக வாசிக்கக்கூடிய வகையில் கருத்துகளையும் இடைவெளிகளையும் சேர்க்க இது அனுமதிக்கிறது.

அனைத்து மற்ற கோடுகள் பின்வரும் வடிவமைப்பை திருப்திப்படுத்த வேண்டும்,

daemon_list: client_list : shell_command

daemon_list ஒன்று அல்லது அதற்கு மேற்பட்ட டீமான செயல்முறை பெயர்கள் (argv 0 மதிப்புகளின் பட்டியல்) அல்லது வைல்டு கார்டுகள் (கீழே காண்க).

client_list கிளையன் ஹோஸ்ட் பெயர் அல்லது முகவரிக்கு எதிராக ஒன்று அல்லது அதற்கு மேற்பட்ட புரவலன் பெயர்கள், புரவலன் முகவரிகள், வடிவங்கள் அல்லது வைல்டு கார்டுகள் (கீழே பார்க்கவும்) ஒரு பட்டியல்.

மிகவும் சிக்கலான வடிவங்கள் டேமன் @ ஹோஸ்ட் மற்றும் பயனர் @ ஹோஸ்ட் சர்வர் முடிவடையும் முறைகள் மற்றும் கிளையன் பயனர்பெயர் பார்வைகளில் பிரிவுகளில் விளக்கப்பட்டுள்ளது.

பட்டியல் கூறுகள் வெற்றிடங்கள் மற்றும் / அல்லது காற்புள்ளிகளால் பிரிக்கப்பட வேண்டும்.

NIS (YP) netgroup lookups தவிர்த்து, அனைத்து அணுகல் கட்டுப்பாட்டு காசோலைகள் வழக்கு உணர்ச்சியற்றவை.

வடிவங்கள்

அணுகல் கட்டுப்பாட்டு மொழி பின்வரும் வடிவங்களை செயல்படுத்துகிறது:

ஒரு சரம் தொடங்குகிறது `. ' பாத்திரம். அதன் பெயர் கடைசி கூறுகள் குறிப்பிட்ட முறைக்கு பொருந்தும் என்றால் ஒரு புரவலன் பெயர் பொருந்தும். எடுத்துக்காட்டாக, `.tue.nl 'என்ற முறையை புரவலன் பெயர்` wzv.win.tue.nl' உடன் பொருத்துகிறது.

ஒரு சரம் முடிவடைகிறது `. ' பாத்திரம். கொடுக்கப்பட்ட சரத்துடன் அதன் முதல் எண் துறைகள் பொருத்தப்பட்டால், புரவலன் முகவரி பொருந்துகிறது. உதாரணமாக, `131.155 முறை. ' ஐன்ஹோவென் யுனிவர்சல் நெட்வொர்க் (131.155.x.x) இல் உள்ள ஒவ்வொரு புரவலர் (கிட்டத்தட்ட) முகவரிக்கு பொருந்தும்.

ஒரு `@ 'பாத்திரம் தொடங்கும் ஒரு சரம் ஒரு NIS (முன்னர் YP) நெட்வொர்க் பெயராக கருதப்படுகிறது. குறிப்பிட்ட வலைப்பக்கத்தில் ஒரு புரவலன் உறுப்பினராக இருந்தால் புரவலன் பெயர் பொருந்துகிறது. டெமான் செயல்முறை பெயர்களுக்கு அல்லது க்ளையன்ட் பயனர் பெயர்களுக்கு நெட்வொர்க் போட்டிகள் ஆதரிக்கப்படவில்லை.

வடிவம் `n.n.n.n.n / m.m.m.m 'என்ற ஒரு வெளிப்பாடு` நிகர / முகமூடி' ஜோடி எனப் பொருள்படும். பிட்வைஸ் மற்றும் முகவரி மற்றும் `முகமூடி 'ஆகியவற்றுக்கு சமமானதாக இருந்தால், ஒரு IPv4 புரவலன் முகவரி பொருந்தும். எடுத்துக்காட்டாக, '131.155.73.255' மூலம் '131.155.72.0' வரம்பில் ஒவ்வொரு முகவரிக்கும் நிகர / முகமூடி வகை `131.155.72.0/255.255.254.0 'பொருந்தும்.

வடிவம் n: n: n: n: n: n: n: n: n / m என்பது 'net / prefixlen' ஜோடி என விளக்கம் அளிக்கப்படுகிறது. முகவரிக்கு 'prefixlen' பிட்களுக்கு `net 'என்ற' prefixlen 'பிட்கள் சமமாக இருந்தால் IPv6 புரவலன் முகவரி பொருந்தும். உதாரணமாக, 3ffe: 505: 2: 1 :: / 64 '' வரம்பில் உள்ள ஒவ்வொரு முகவரியையும் பொருந்துமாறு '3ffe: 505: 2: 1 ::' 3ffe: 505: 2: 1: FFFF: FFFF: FFFF: FFFF '.

ஒரு `/ 'எழுத்துக்குறி தொடங்கும் சரம் ஒரு கோப்பு பெயராக கருதப்படுகிறது. பெயரிடப்பட்ட கோப்பில் பட்டியலிடப்பட்டுள்ள எந்த புரவலன் பெயரையோ அல்லது முகவரி முறையையோ பொருத்தினால் அது ஒரு புரவலன் பெயர் அல்லது முகவரி பொருந்தும். கோப்பு வடிவமைப்பு பூஜ்யம் அல்லது பிரிக்கப்பட்ட நெடுவரிசை அல்லது அதிக புரவலன் பெயர் அல்லது முகவரி வடிவங்களை இடைவெளிகளால் பிரிக்கப்படுகிறது. ஒரு கோப்பு பெயர் முறை பயன்படுத்தப்படலாம் எங்கு ஒரு ஹோஸ்ட் பெயர் அல்லது முகவரி முறை பயன்படுத்த முடியும்.

வைல்டு கார்டுகள் `* 'மற்றும்`?' ஹோஸ்ட் பெயர்கள் அல்லது ஐபி முகவரிகள் பொருத்த பயன்படுகிறது. 'நிகர / முகமூடி' பொருத்தம், ஹோஸ்ட்பெயர் பொருத்துதல் தொடங்குதல் '.' அல்லது ஐபி முகவரியை பொருத்துதல்.

வைல்டுகார்டுகள்

அணுகல் கட்டுப்பாட்டு மொழி உட்பட வெளிப்படையான வைல்டுக்டுகளை ஆதரிக்கிறது:

'அனைத்து'

உலகளாவிய வைல்டு கார்டு, எப்போதும் பொருந்தும்.

'உள்ளூர்'

எந்த பெயரையும் ஒரு டாட் கதாபாத்திரம் கொண்டிருக்காத எந்த புரவணுவும் பொருந்துகிறது.

'தெரியாத'

யாருடைய பெயர் தெரியாத எந்த பயனருடனும் பொருந்துகிறது, அதன் பெயர் எந்த புரவலன் பொருந்தும் அல்லது முகவரி தெரியவில்லை. இந்த முறையை கவனமாகப் பயன்படுத்த வேண்டும்: தற்காலிக பெயர் சர்வர் சிக்கல்கள் காரணமாக ஹோஸ்ட் பெயர்கள் கிடைக்காது. மென்பொருளை எந்த வகையான நெட்வொர்க்குடன் பேசுகிறீர்கள் என்று மென்பொருள் கண்டுபிடிக்க முடியாதபோது ஒரு நெட்வொர்க் முகவரி கிடைக்காது.

'தெரியப்படுத்தப்பட்டது'

யாருடைய பெயர் அறியப்பட்ட எந்த பயனருடனும் பொருந்துகிறது, அதன் பெயர் எந்த புரவலன் பொருந்தும் மற்றும் முகவரி அறியப்படுகிறது.இந்த முறையை கவனமாகப் பயன்படுத்த வேண்டும்: தற்காலிக பெயர் சர்வர் சிக்கல்கள் காரணமாக ஹோஸ்ட் பெயர்கள் கிடைக்காது. மென்பொருளை எந்த வகையான நெட்வொர்க்குடன் பேசுகிறீர்கள் என்று மென்பொருள் கண்டுபிடிக்க முடியாதபோது ஒரு நெட்வொர்க் முகவரி கிடைக்காது.

'பரனோய்டா'

அதன் பெயர் பொருந்தவில்லை எந்த புரவலன் பொருந்தும். -DPARANOID (இயல்புநிலை பயன்முறை) உடன் tcpd கட்டப்பட்டிருக்கும் போது, ​​அணுகல் கட்டுப்பாட்டு அட்டவணையை பார்க்கும் முன் இது போன்ற வாடிக்கையாளர்களின் கோரிக்கைகளை அது குறைக்கிறது. அத்தகைய கோரிக்கைகளில் அதிகமான கட்டுப்பாட்டை நீங்கள் விரும்பும்போது -DAMPANOID இல்லாமல் உருவாக்கவும்.

'ஆபரேட்டர்கள்'

'தவிர'

நோக்கம் பயன்பாட்டின் வடிவம்: `list_1 EXCEPT list_2 '; இந்த கட்டடம் பொருந்தும் என்று எதையும் பொருந்துகிறது list_1 அது பொருந்தும் வரை list_2 . EXCEPT ஆபரேட்டர் daemon_lists மற்றும் client_lists இல் பயன்படுத்தப்படலாம். EXCEPT ஆபரேட்டரைக் கட்டுப்படுத்தலாம்: கட்டுப்பாட்டு மொழி அடைப்புகளின் பயன்பாட்டை அனுமதித்தால், `EXCEPT B EXCEPT c 'என்பது (' EXCEPT (B EXCEPT c)) 'என்று கூறுகிறது.

ஷெல் கட்டளைகள்

முதல்-பொருத்தப்பட்ட அணுகல் கட்டுப்பாட்டு விதி ஒரு ஷெல் கட்டளையைக் கொண்டிருந்தால், அந்த கட்டளை% பதிலீடுகளுக்கு உட்பட்டுள்ளது (அடுத்த பகுதியைப் பார்க்கவும்). இதன் விளைவாக ஒரு செயல்படுத்தப்படுகிறது / பின் / SH தரமான உள்ளீடு, வெளியீடு மற்றும் பிழை இணைக்கப்பட்ட குழந்தை செயல்முறை / தேவ் / பூஜ்ய . முடிவடையும் வரை நீங்கள் காத்திருக்க விரும்பவில்லை என்றால் முனையத்தின் கட்டளையின் இறுதியில் `& 'என குறிப்பிடவும்.

ஷெல் கட்டளைகள் inetd இன் PATH அமைப்பை சார்ந்து இருக்கக்கூடாது. அதற்கு பதிலாக, அவர்கள் முழுமையான பாதை பெயர்களைப் பயன்படுத்த வேண்டும் அல்லது வெளிப்படையான பாத் = எந்த அறிக்கையுடன் தொடங்க வேண்டும்.

தி hosts_options (5) ஆவணம் ஷெல் கட்டளை புலத்தை வேறுபட்ட மற்றும் பொருந்தாத வகையில் பயன்படுத்துகின்ற மாற்று மொழியை விவரிக்கிறது.

% விரிவாக்கம்

ஷெல் கட்டளைகளில் பின்வரும் விரிவாக்கங்கள் கிடைக்கின்றன:

% a (% A) - வாடிக்கையாளர் (சேவையகம்) புரவலன் முகவரி.

% கேட்ச் - வாடிக்கையாளர் தகவல்: தகவல் @ ஹோஸ்ட், பயனாளர் @ முகவரி, புரவலன் பெயர், அல்லது ஒரு முகவரி, எத்தனை தகவல் கிடைக்கும் என்பதைப் பொறுத்து.

% ஈ - டீமான் செயல்முறை பெயர் (argv 0 மதிப்பு).

% h (% H) - புரவலன் பெயர் கிடைக்கவில்லை என்றால் கிளையண்ட் (சேவையகம்) புரவலன் பெயர் அல்லது முகவரி.

% n (% N) - வாடிக்கையாளர் (சேவையகம்) புரவலன் பெயர் (அல்லது "தெரியாத" அல்லது "பரனோனிட்").

% ப - டீமான் செயல் ஐடி.

% ங்கள் - சேவையகம் தகவல்: டீமான் @ ஹோஸ்ட், டீமான் @ முகவரி, அல்லது ஒரு டீமான் பெயர், எத்தனை தகவல்கள் கிடைக்கும் என்பதைப் பொறுத்து.

% u இல் - வாடிக்கையாளர் பயனர் பெயர் (அல்லது "தெரியாத").

%% - ஒரு '%' தன்மையை விரிவுபடுத்துகிறது.

% விரிவுபடுத்தலில் உள்ள எழுத்துகள் ஷெல் குழப்பத்தை ஏற்படுத்தக்கூடும், அவை அடிக்கோடிட்டுக் காட்டப்படுகின்றன.

சேவையக முடிவுநிலை வடிவங்கள்

அவர்கள் இணைக்கும் நெட்வொர்க் முகவரியின் வாடிக்கையாளர்களை வேறுபடுத்த, படிவத்தின் வடிவங்களைப் பயன்படுத்தவும்:

process_name @ host_pattern: client_list …

இயந்திரம் வேறு இணைய ஹோஸ்டின்களுடன் வெவ்வேறு இணைய முகவரிகள் இருக்கும் போது இவை போன்ற வடிவங்களைப் பயன்படுத்தலாம். சேவை வழங்குநர்கள் FTP, GOPHER அல்லது WWW காப்பகங்களை இணைய நிறுவனங்களுடன் வழங்குவதற்கு இந்த வசதிகளை பயன்படுத்தலாம். Hosts_options (5) ஆவணத்தில் `திருப்பம் 'விருப்பத்தையும் காண்க. சில அமைப்புகள் (Solaris, FreeBSD) ஒரு உடல் இடைமுகத்தில் ஒன்றுக்கு மேற்பட்ட இணைய முகவரிகள் இருக்கலாம்; பிற கணினிகளுடன் நீங்கள் SLIP அல்லது PPP போலி இடைமுகங்களை ஒரு பிரத்யேக வலையமைப்பு இடத்தில் வாழ வேண்டும்.

Host_pattern client_list சூழலில் புரவலன் பெயர்களையும் முகவரிகளையும் ஒரே தொடரியல் விதிகள் ஏற்றுக்கொள்கிறது. வழக்கமாக, சேவையக இறுதி தகவல் மட்டுமே இணைப்பு சார்ந்த சேவைகள் மூலம் கிடைக்கும்.

கிளையண்ட் பயனர்பெயர் பார்வை

கிளையன் ஹோஸ்ட் RFC 931 நெறிமுறை அல்லது அதன் சந்ததியினருக்கு (TAP, IDENT, RFC 1413) துணைபுரிகிறது போது, ​​கலப்பு நிரல்கள் இணைப்பின் உரிமையாளர் பற்றிய கூடுதல் தகவலை பெற முடியும். கிளையன்ட் பயனர்பெயர் தகவல், கிடைக்கப்பெறும் போது, ​​கிளையன் ஹோஸ்ட் பெயருடன் சேர்ந்து உள்நுழைகிறது, மேலும் இதுபோன்ற வடிவங்களைப் பொருத்துவதற்குப் பயன்படுத்தலாம்:

daemon_list: … user_pattern @ host_pattern …

டீமான் ரேப்பர்கள் ஆட்சேபிக்கப்பட்ட நேரத்தில் ஆட்சென்சிக்கப்பட்ட பயனர்பெயர் பார்வைகளை (இயல்புநிலை) செய்ய அல்லது கிளையன் ஹோஸ்டை எப்போதுமே விசாரணை செய்ய முடியும். ஆட்சி வழிநடத்தப்பட்ட பயனர்பெயர் பார்வைகளின் விஷயத்தில், மேற்படி விதியை பயனர்பெயர் பார்வைக்கு மட்டுமே செய்யும் daemon_list மற்றும் இந்த host_pattern போட்டி.

ஒரு பயனர் முறைமை ஒரு டீமென் செயல்முறை வடிவமாக அதே தொடரியல் உள்ளது, எனவே அதே வைல்டு கார்டுகள் (netgroup உறுப்பினர் ஆதரிக்கப்படவில்லை). என்றாலும், பயனர்பெயர் பார்வைகளுடன் ஒருவர் ஒருபோதும் கைவிடப்படக்கூடாது.

கிளையன்ட் பயனீட்டாளர் தகவல் மிகவும் தேவைப்படும் போது நம்பகமானதாக இருக்க முடியாது, அதாவது கிளையன் கணினியில் சமரசம் ஏற்பட்டால். பொதுவாக, அனைத்து மற்றும் (ஐ.நா.) தெரிந்த ஒரே பயனர் பெயர் வடிவங்கள் உள்ளன.

பயனாளர் பெயர்கள் TCP அடிப்படையிலான சேவைகளால் மட்டுமே சாத்தியம், மற்றும் வாடிக்கையாளர் புரவலன் ஒரு பொருத்தமான டீமான் இயக்கும் போது மட்டுமே; மற்ற எல்லா நிகழ்வுகளிலும் "தெரியவில்லை."

பயனர்பெயர் பார்வைகளை ஒரு ஃபயர்வால் தடுக்கும் போது நன்கு அறியப்பட்ட யுனிக்ஸ் கர்னல் பிழை சேவை இழப்பை ஏற்படுத்தும். ரப்பர் README ஆவணம் உங்கள் கர்னல் இந்த பிழை இருந்தால் கண்டுபிடிக்க ஒரு செயல்முறை விவரிக்கிறது.

யுனிக்ஸ் அல்லாத பயனர்களுக்கு குறிப்பிடத்தக்க தாமதங்களை பயனர்பெயர் தோற்றங்கள் ஏற்படுத்தும். பயனர்பெயர் தோற்றங்களுக்கான இயல்புநிலை நேரம் 10 விநாடிகள்: மெதுவான நெட்வொர்க்குகளை சமாளிக்க மிகவும் குறுகியது, ஆனால் PC பயனர்களை எரிச்சலூட்டுவதற்கு போதுமானது.

தேர்ந்தெடுக்கப்பட்ட பயனர் பெயர் தோற்றங்கள் கடந்த சிக்கலைத் தணிக்க முடியும். உதாரணமாக, ஒரு விதி:டீமான்_ பட்டியல்: @pcnetgroup ALL @ ALL

பயனர் பெயர் தேடல்களை செய்யாமல் பிசி நெட்வொர்க் உறுப்பினர்களுக்கு பொருந்தும், ஆனால் மற்ற அமைப்புகளுடன் பயனர் பெயரைக் காண்பிக்கும்.

முகவரி கண்டறிதல் தாக்குதல்களை கண்டறிதல்

பல TCP / IP செயல்படுத்தல்களின் வரிசையாக்க எண் ஜெனரேட்டரில் ஒரு குறைபாடு ஊடுருவல்கள் நம்பகமான புரவிகளை எளிதில் பின்பற்றுவதற்கும், தொலைதூர ஷெல் சேவையினூடாக வழியமைப்பதற்கும் உதவுகிறது.அத்தகைய மற்றும் பிற புரவலன் முகவரி ஏமாற்றுவதற்கான தாக்குதல்களை கண்டறிவதற்கு IDENT (RFC931 போன்றவை) சேவை பயன்படுத்தப்படலாம்.

வாடிக்கையாளர் வேண்டுகோளை ஏற்றுக்கொள்வதற்கு முன்பு, வாடிக்கையாளர் கோரிக்கையை அனுப்பவில்லை என்பதை அறிய ரேடட் சேவையை பயன்படுத்தலாம். கிளையன் ஹோஸ்ட் IDENT சேவையை வழங்கும்போது, ​​எதிர்மறை IDENT பார்வை விளைவு (வாடிக்கையாளர் 'UNKNOWN @ புரவலன்' உடன் பொருந்துகிறது) ஒரு புரவலன் ஸ்பூஃபிங் தாக்குதலின் வலுவான ஆதாரமாக உள்ளது.

ஒரு நேர்மறை IDENT பார்வை முடிவு (கிளையன்ட் கேன்டென் @ புரவலன் பொருந்தும்) குறைவாக நம்பகமானதாக உள்ளது. கிளையன் இணைப்பு மற்றும் IDENT பார்வை ஆகிய இரண்டையும் ஏமாற்றுவதற்கு ஊடுருவ முடியும். இது ஒரு வாடிக்கையாளர் இணைப்பை ஏமாற்றுவதை விட மிகவும் கடினமானது. இது வாடிக்கையாளர் IDENT சர்வர் பொய் என்று இருக்கலாம்.

குறிப்பு: IDENT தோற்றங்கள் UDP சேவைகளுடன் வேலை செய்யாது.

எடுத்துக்காட்டுகள்

பல்வேறு வகையான அணுகல் கட்டுப்பாட்டுக் கொள்கை குறைந்தபட்சம் வம்புடன் வெளிப்படுத்தப்படக்கூடியதாக இருக்கும் போது மொழி நெகிழ்வாகும். மொழி இரண்டு அணுகல் கட்டுப்பாட்டு அட்டவணைகள் பயன்படுத்துகிறது என்றாலும், மிக பொதுவான கொள்கைகள் அட்டவணைகள் ஒன்று அற்பமான அல்லது வெற்று இருப்பது செயல்படுத்தப்படும்.

கீழே உள்ள எடுத்துக்காட்டுகளைப் படிக்கும் போது, ​​மறுப்பு அட்டவணையின்போது அனுமதிக்கப்படும் அட்டவணையை ஸ்கேன் செய்ய வேண்டும் என்பதை உணர்ந்து கொள்வது முக்கியம், ஒரு போட்டியை காணும்போது தேடல் முடிவடைகிறது, மேலும் எந்த தடையும் காணப்படவில்லை என்று அணுகல் வழங்கப்படுகிறது.

உதாரணங்கள் புரவலன் மற்றும் டொமைன் பெயர்களைப் பயன்படுத்துகின்றன. தற்காலிக பெயர் சேவையகத் தோற்றம் தோல்வியின் தாக்கத்தை குறைக்க முகவரி மற்றும் / அல்லது நெட்வொர்க் / நெட்மாஸ்க் தகவலைச் சேர்த்து மேம்படுத்தலாம்.

பெரும்பாலும் மூடப்பட்டது

இந்த வழக்கில், இயல்புநிலை அணுகல் மறுக்கப்படுகிறது. வெளிப்படையாக அங்கீகரிக்கப்பட்டுள்ள புரவலன்கள் மட்டுமே அனுமதிக்கப்படுகின்றன.

இயல்புநிலைக் கொள்கை (அணுகல் இல்லை) ஒரு அற்பமான மறுப்பு கோப்பில் செயல்படுத்தப்படுகிறது:

/etc/hosts.deny: எல்லா: எல்லா

இது அனைத்து கோப்புகளுக்கும் அனைத்து சேவையகங்களையும் நிராகரிக்கிறது, அனுமதி கோப்பில் உள்ளீடுகளின் அணுகல் அனுமதிக்கப்படாவிட்டால்.

வெளிப்படையாக அங்கீகரிக்கப்பட்டுள்ள புரவலன்கள் அனுமதி கோப்பில் பட்டியலிடப்பட்டுள்ளன. உதாரணத்திற்கு:

/etc/hosts.allow: ALL: LOCAL @ some_netgroupALL: .foobar.edu தவிர டெர்மினல்ஸர்வர்.ஃபோபார்.டு

முதல் விதி உள்ளூர் சேவையகத்தில் உள்ள ஹோஸ்ட்களிலிருந்து அணுகல் அனுமதிக்கிறது (புரவலன் பெயரில் இல்லை. ') மற்றும் உறுப்பினர்களிடமிருந்து some_netgroup netgroup. இரண்டாவது விதி, அனைத்து சேனல்களிலிருந்தும் அணுகலை அனுமதிக்கிறது foobar.edu டொமைன் (முன்னணி புள்ளி கவனிக்கவும்), தவிர terminalserver.foobar.edu .

பெரும்பாலும் ஓபன்

இங்கே, அணுகல் முன்னிருப்பாக வழங்கப்படுகிறது; வெளிப்படையாக குறிப்பிடப்பட்ட புரவலன்கள் மட்டுமே சேவையை மறுக்கின்றன.

முன்னிருப்பு கொள்கை (அனுமதி வழங்கப்பட்டது) அனுமதிக்கும் கோப்பினை நீக்குகிறது, இதனால் அது தவிர்க்கப்படலாம். வெளிப்படையாக அங்கீகரிக்கப்படாத புரவலன்கள் மறுதலிப்பு கோப்பில் பட்டியலிடப்பட்டுள்ளன. உதாரணத்திற்கு:

/etc/hosts.deny: ALL: some.host.name, .some.domainஎல்லாவற்றுக்கும் விலகுதல்.இன்னும்.அம்மா.அம்மா.அம்மா.அம்மா.அம்மா

முதல் விதி சில புரவலன்கள் மற்றும் களங்களை எல்லா சேவைகளையும் மறுக்கிறது; இரண்டாவது விதி இன்னமும் பிற புரவலன்கள் மற்றும் களங்களில் இருந்து வேண்டல் கோரிக்கைகளை அனுமதிக்கிறது.

பாயி டிராப்ட்ஸ்

அடுத்த உதாரணம் உள்ளூர் டொமைனில் உள்ள ஹோஸ்ட்டில் இருந்து tftp கோரிக்கைகளை அனுமதிக்கிறது (முன்னணி புள்ளி கவனிக்கவும்). வேறு எந்த ஹோஸ்ட்டின் கோரல்கள் மறுக்கப்படுகின்றன. கோரப்பட்ட கோப்பினைப் பொறுத்தவரை, ஒரு விரோத ஆய்வுக்கு ஆளான ஹோஸ்டுக்கு அனுப்பப்படுகிறது. இதன் விளைவாக superuser க்கு அனுப்பப்படும்.

/etc/hosts.allow:

in.tftpd: LOCAL, .my.domain/etc/hosts.deny:in.tftpd: ALL: spawn (/ some / where / safe_finger -l @% h | / usr / ucb / mail -s% d-% h வேர்) &

Safe_finger கட்டளை tcpd போர்வையை கொண்டு வருகிறது மற்றும் பொருத்தமான இடத்தில் நிறுவப்பட வேண்டும். இது ரிமோட் விரல் சேவையகம் அனுப்பிய தரவுகளிலிருந்து சாத்தியமான சேதத்தை வரம்பிடுகிறது. இது தரமான விரல் கட்டளைகளை விட சிறந்த பாதுகாப்பு அளிக்கிறது.

% H (கிளையன் ஹோஸ்ட்) மற்றும்% d (சேவை பெயர்) வரிசைமுறைகளின் விரிவாக்கம் ஷெல் கட்டளைகளில் உள்ள பிரிவில் விவரிக்கப்பட்டுள்ளது.

எச்சரிக்கை: நீங்கள் முடிவிலா விரல் சுழற்சிகளுக்கு தயார் செய்யாவிட்டாலன்றி, உங்கள் விரல் டீமனை மூடிவிடாதீர்கள்.

நெட்வொர்க் ஃபயர்வால் அமைப்புகளில் இந்த தந்திரம் இன்னும் செயல்படுத்தப்படலாம். வழக்கமான நெட்வொர்க் ஃபயர்வால் வெளி உலகிற்கு மட்டுப்படுத்தப்பட்ட சேவைகளை மட்டுமே வழங்குகிறது. மேலே உள்ள tftp எடுத்துக்காட்டு போலவே மற்ற எல்லா சேவைகளும் "முரட்டுத்தனமாக" இருக்கலாம். இதன் விளைவாக ஒரு சிறந்த ஆரம்ப எச்சரிக்கை அமைப்பு.

மேலும் காண்க

tcpd (8) tcp / ip டீமான் ரப்பர் நிகழ்ச்சி.tcpdchk (8), tcpdmatch (8), சோதனை நிரல்கள்.

முக்கியமான: பயன்படுத்த ஆண் கட்டளை ( % ஆண் ) உங்கள் குறிப்பிட்ட கணினியில் ஒரு கட்டளை எவ்வாறு பயன்படுத்தப்படுகிறது என்பதைப் பார்க்கவும்.