NOMEN
hosts_access - obvius hospes ex forma potestate files
DESCRIPTIO
Describitur in hoc page manual simplex obvius imperium quod fundatur lingua clientis (nomen exercitum / inscriptionem user nomen), et servo (processus nomine nomen exercitum / inscriptio) exempla. Exempla quae data est in fine. Impatiens adhortatus est ut lectorem skip to the introduction EXAMPLES velox ad sectionem.
Eo plenius describitur in sermone versio accessum imperium hosts_options (V) documentum. Et conversus est ad extensiones sunt, progressio aedificare tempus in aedificationem -DPROCESS_OPTIONS.
In hoc textu, daemon, est a processus nomen network daemon processus et clientem nomen et / aut a exercitum oratio petit servitium. Genio versetur Network processus certa sunt nomina de configuratione inetd lima.
ACCESS CONTROL Files
Software imperium iniquitatem interrogantis sic est aditus duos files . Ad primum par est iIlic sistit inquisitio:
*
Cum aditus mei petieris, impetrabis (Daemoniacus erat clientem) par est ingressum in /etc/hosts.allow file aequet.
*
Alioquin non erit negavit cum aditus ( daemon , clientem) par est ingressum in /etc/hosts.deny file aequet.
*
Alioquin accessum mei petieris, impetrabis.
A non esse accessum imperium file tractata est quasi vero vacua esse lima. Sic, dum tamen per accessum imperium avertit se posse accessum imperium files .
ACCESS CONTROL Rules
Quisque aditus potestatem habet file nulla vel quattuor litterarum lineas praebet. Processus in his versibus apparentiam. Quod cum desinit quaerere par est inventus est.
*
Rationem ignorari a newline backslash quando praecedit rationem. Hanc sinit ut longo diducere facilius edit.
*
`Vestis linea vel lineis a principio # quales sunt neglecta. Et hoc concesserit tibi Imperator inserere whitespace comments and tables sunt facillimus ut lego ut.
*
Ut omnes aliae lineae satiat forma sequentibus, quae inter [] non ad libitum:
daemon_list: client_list [; shell_command]
daemon_list est a album of unus vel daemonem processus nomina (argv [0] values) seu wildcards (vide infra).
client_list est a album of unus vel plures exercitum nomen, exercitum oratio artem probabiles vel wildcards (vide infra) aut qui iudicat in client exercitum nominis inscriptio.
Genio versetur et exercitum @ universa formas magis user @ exercitum Videatur explicatio videatur supra in articulo clientem servo endpoint patterns et nomen usoris lookups, respectively.
List debet separari ab elementis codicellos et / seu commatibus.
Praeter NIS (YP) netgroup lookups omnes compescit sunt casus minime accessum imperium.
PATTERNS
In potestate linguae accessum ad effectum adducit rationes sequentes:
*
Quod A linea incipit et quare tristis. mores. Sibi imbecillum sit nomen matched Si ultimum suum nomen par tium certa forma sunt. Eg .tue.nl `vasorum 'nomen' wzv.win.tue.nl exercitum aequet.
*
A ends quod est a `filum. mores. Sibi imbecillum sit oratio sua matched si primo par numerorum agri dedi filum. Exempli gratia, formam `131,155. aequet electronica (fere) super omnem exercitum Eindhoven network Universitatis (131.155.xx).
*
A filum, quae incipit cum `@ 'quod character non est tractata NIS (formerly YP) netgroup nomine. Sibi imbecillum sit nomen matched si id membrum ex certa netgroup exercitum est. Netgroup par are non valet, quia daemon processus user nomen vel nomina client.
*
An expressio forma: nnnnn / sit Vivamus elit risus, 'quod interpretatur' net / persona, par. An IPv4 exercitum matched oratio est, si ista rete 'est par bitwise et inscriptio est: et persona. Exempli gratia, in net / persona 131.155.72.0/255.255.254.0 `vasorum 'aequet omnis oratio in range 131.155.72.0:' et per` 131.155.73.255.
*
An expressio: forma [n; n; n; n; n; n; n; n] / m 'interpretatur' [rete] / prefixlen 'par. An, si ista prefixlen IPv6 exercitum matched est oratio, quae est `rete bits 'quod` sit aequalis prefixlen magisque siluestria et inscriptio. Exempli gratia, in [rete] / prefixlen exemplo: [3ffe: DV: II: I ::] / LXIV, aequet omnes inscriptio in range: 3ffe: DV: II: I :: 'per `3ffe: DV: II: I: ffff: ffff: ffff: ffff.
*
A linea incipit et in quod `/ 'a lima nomen ut mores esse tractata. Sibi imbecillum nomen et inscriptio electronica est matched si aequet omnem exercitum nominis vel exemplum enumerantur in nomine lima. Quod formae q.e. nulla est vel nulla est, vel lineae, vel potius nominis inscriptio exercitum exemplaria separata a whitespace. A lima forma potest esse nomen vel nominis inscriptio huc atque exercitum in forma adhiberi potest.
*
`Wildcards 'et`?' IP oratio potest ad inserere aut hostnames. Et hoc non potest esse in conjunction per modum matching: net / persona 'matching, beginning, cui matching hostname. an IP oratio matching ending per `. '.
Wildcards
In potestate linguae accessum sustinet aperte wildcards:
OMNIS
Et universae wildcard semper aequet.
OPPIDANUS
Dat hospiti congruit nomen persona non habet.
Ignoto
Usor ignotus est, cui congruit nomen et inscriptio, aut aequet omnem exercitum cui nomen est ignotum. Haec forma adhiberi debet cura est: sit nomen exercitum unavailable ad tempus propter nomen tuum server problems. A network oratio erit unavailable cum software potest non instar sicco quod est genus network ut loqueris.
NOBILIS
Aequet ullus user nomine notum sit, et omnem exercitum cui nomen et inscriptio nota aequet. Haec forma adhiberi debet cura est: sit nomen exercitum unavailable ad tempus propter nomen tuum server problems. A network oratio erit unavailable cum software potest non instar sicco quod est genus network ut loqueris.
paranoid
Aequet omnem exercitum cui nomen ejus oratio non congruit. Ubi ædificata est cum tcpd -DPARANOID (default modus), non ut deponat de petitiones clients ante etiam respiciens ad accessum imperium tables. Malo, Dum aedificare sine -DPARANOID potestatem huiusmodi petitionibus christifidelium laicorum.
operators
NISI
Intentum usum et ad speciem est: nisi list_1: list_2 '; hoc congruit quod fictio compositus list_1 nisi list_2 aequet. DISCEDO AB ALIQUO operator est in posse et in daemon_lists client_lists. Et nisi fecerunt nidos operator potest: si in potestate esset permittere linguae usum parenthesi notatis: est DISCEDO AB ALIQUO b c, quae esset: parse (nisi enim (c DISCEDO AB b)).
CALYX COMMANDS
Si autem prima regula potestate contineat pares crusta obvius imperium, quod imperio non est subiecta substitutiones% (vide Incolumem excellentiam uestra?). Quod effectus sit per supplicium / bin / sh pueri processus vexillum initus est, output et errore conexae / dev / null. Quod `& specificare, et imperium in fine nisi non vis exspectare, donec has completed.
Non debet per viam mandatorum testa inetd occasum. Instead, oportet uti sunt nomina iter absoluta, vel non incipiat cum sit Path expressa = quidquid dicitur.
Et hosts_options (V) describitur documento alterius linguae, qui in agro est aliud mandatum in testa utitur via, et contrariatur.
expansiones%
In testa solida imperium praesto sint expansiones sequuntur:
% A (A%)
In client (servo) exercitum oratio.
c%
Clientem notitia: hospes user @, @ usor inscriptionem in nomine hospes, non modo talis oratio: quantum notitia est available fretus.
d%
Genio versetur processus nomen (argv [0] valorem).
H% (C%)
In client (servo), nomen, exercitum, sive oratio, si exercitum nomen unavailable.
% N (N%)
In client (servo) exercitum nomen (vel "ignotum" vel "paranoid").
p%
Id est daemonem processus.
s%
Servo notitia: Daemon exercitum @, @ genio versetur oratio, vel iustus nomen daemonis, fretus quanta notitia est available.
u%
In client user nomen (vel "ignotum").
%%
Expands `% unum est 'mores.
In characteres% expansiones et confundamus ibi crustam statutae, substituuntur ut underscores.
MINISTER terminus PATTERNS
Ut distinguere clients a network ad coniungere inscriptio eos, uti forma et specie:
@ process_name host_pattern: client_list ...
Sicut non potest esse cum Patterns illa machina est in diversis diversum interrete interrete hostnames oratio. Hoc servitium provisoribus uti facilitas offerre FTP, lignis Ignore penitus archives sunt nomina, quae potest etiam convenire diversis corporibus. Et torquent per `videre 'in optionem hosts_options (V) documentum. Quidam systems (Solaris, FreeBSD) potest habere plus quam unam ex una oratio penitus corporalis interface, cum aliis systems ut habeant ad vigilandum ad a sacratae network LABOR aut PP falsi nominis inscriptio interfaces quod vivere in spatio.
In idem eadem idem syntax host_pattern servat praecepta, ut exercitum, et nominibus oratio in context client_list. Solet, is available notitia servo endpoint solum nexum, accumsan servicia.
CLIENS USERNAME LOOKUP
Cum client exercitum sustinet RFC CMXXXI protocol aut unus de filiis suis (SPISSAMENTUM, ident, RFC MCDXIII) serratus progressio potest recuperare per circuitum dominus informationis a nexu. Nomen usoris client notitia, ubi praesto, est simul cum initium client exercitum nomen tuum, et non esse par est sicut forma;
daemon_list: ... user_pattern @ host_pattern ...
Genio versetur, derecta ad unam figuram potest simul compile praestare regulae repulsi-lookups nomen usoris (default), vel semper interrogandi exercitum client. In casu de imperio nomen usoris lookups repulsi-et super regula non tantum de causa quod nomen usoris lookup et daemon_list et host_pattern par.
A user habet pattern ejusdem syntaxis quod daemon processus forma, ut in eodem wildcards adhibere (netgroup membership non praebetur.) Oportet non adepto transtulit in lookups nomen usoris, quamquam.
*
Nomen usoris notitia de client potest esse maxime confidebat, cum opus est, cum id ratio est client periculo exponi iudicatur. In genere autem omnes, et (IR) in tantum notum est, ut user nomen ut forma sensus.
*
Nomen usoris lookups sunt possibilia solum secundum officia TCP, et cum solum client currit exercitum idoneam daemonis in ceteris casibus omnis effectus est "ignotum".
*
Nota quod UNIX nucleo cimex faciat detrimentum service a firewall Username lookups praecluduntur. Et serratus README documento est Modus procedendi describitur expiscor si vestri kernel est hic cimex.
*
Ut causa quia ad perceptionem veniunt lookups Username: Moram facit Unix non-users. Default est nomen usoris timeout pro lookups est X seconds: ut cope tardoque nimis brevis retiacula, sed satis longo irritare PC users.
Electionem selectivam, nomen usoris lookups potest causam ultimum problema. Exempli gratia, est quasi regula:
daemon_list: @pcnetgroup OMNES: OMNES @
ut par sodales PC netgroup nomen usoris lookups non facientem, sed in omnibus aliis se praestare nomen usoris lookups systems.
Deprendere parcite ADDRESS spoofing ATTACKS
A macula, in serie numero tot generans TCP / IP implementations concedit, ut facilius sustinent vicem trusted advenae hospites ad conteram in via, exempli gratia, in remotis testa servitium. Et ident (RFC931 etc.) ad ministerium fieri potest ut deprehendere, et alterum exercitum oratio spoofing impetus.
Cliens antequam petitionem involucris utere servitio ident invenire postulas client non dimisit eum. Robur autem huius officii suggero ident negativa ex ident Bible (aequet: Ignoto @ huius hospitis) valet argumentum spoofing castrorum oppugnationem.
A positive ident lookup effectus (de client notum @ exercitum aequet ') est minus veri similior. Tum ut possessor agelli spoof contingit huius coniunctionis et ident br tamen hunc solum spoofing idque multo magis necessariam. Fas etiam fieri solitis esse ident client est scriptor servo mentiri.
Nota: ident lookups non opus officia et UDP.
EXAMPLES
Et lingua hominis flexibile satis est, ut pro diversa causarum natura accessum imperium ad minimum quodque consilium non sit expressit. Etsi linguis utitur ad duos accessum imperium tables, unus ex maxime communia consiliis potest implemented per quod tabulae frigidis aut etiam vana.
Exemplis refert lectione infra mensam permittit percepisse negem lustratam ante mensam cum desinit quaerere par est, quod sit par omnino aditus impetrare.
Et exempla et utitur hospes domain nomen. Non potest esse melius a comprehendo oratio et / vel network / netmask notitia, nomen servo lookup defectis ad redigendum impulsum ad tempus.
PRAECIPUE OPERTUS
In hoc casu, obvius is per default negavit. Licet non expressis verbis auctoritate significatos accessum.
In consilium default (neque accessum) negare esse implemented cum lima tenui,
/etc/hosts.deny: Omnes:
Haec omnia virtutum opera negat nisi viscus datur accessum ad patitur lima.
Expressis verbis et auctoritate significatos in patitur file enumerantur. For example:
/etc/hosts.allow: OMNES: LOCORUM @some_netgroup
OMNES: Ex .foobar.edu terminalserver.foobar.edu DISCEDO AB ALIQUO
Prima regula patitur accessum ex hostiis, in localitate ( 'nihil.' Exercitum in nomen) et sodales some_netgroup netgroup. In secunda regula patitur accessum et in omni exercitu foobar.edu domain (animadverto ducens ad apicem) cum exceptione est terminalserver.foobar.edu.
plerumque apertae
Hic, dato accessum per default est; nisi expressis verbis noluit officii certa significatos.
In consilium default (accessum dedit) permittere facit file nugationem adducunt, ut sit quod demere possis. Expressis verbis de non-authentici significatos in negant file enumerantur. For example:
/etc/hosts.deny: OMNES: some.host.name, .some.domain
Et omnes preter in.fingerd: other.host.name, .other.domain
Primum negat regula acies domain omnia officia, secundum tamen regula patitur ab alio digito petitiones exercituum domains.
STULTUS TRAPS
Iuxta exemplum quod sinit tftp petitiones ex hostiis, in localitate (animadverto ducens ad apicem). Odio nulla alia significatos negavit. Instead of lima rogatus a digito averso specillo diducendum est ad ledo exercitum. Quod effectus sit CATAPHRACTUS ad superuser.
/etc/hosts.allow:
in.tftpd: AUTHORS: .my.domain /etc/hosts.deny: in.tftpd: OMNES: excludunt (/ de / in / l safe_finger% @ h | \ / usr / UCB / mail Cras interdum% D% radix h) &Et venit cum imperio safe_finger tcpd serratus et in loco instituatur. Quatenus fieri potest ex hoc damnum data sunt a remotis digito calculonis servi. Is dat magis quam vexillum tutela digito imperium.
Ciuitas pertulit uel ad h% (client exercitum), et% d (officii nomen) est series de quo in sectione imperium in putamine.
Cautum ne digitum stolide muscipulam daemon nisi digitis ora paratae infinita.
De network firewall systems hoc dolum potest ferri usque adhuc. Firewall solum limitata paro of network praebet Typicam ad exteriora officia. Omnia alia servicia potest 'bugged "sicut superius per exemplum tftp. Eventus est optimum, in primo exemplo ratio.
Important: utere imperio homo (hominis%) mandatum est ut quemadmodum usus est, maxime in vestri computer.
paginæ