NAME
hosts_access - د کوربه لاسرسی کنټرول دوتنې شکلونه
DESCRIPTION
دا لارښود پاڼه د لاسرسۍ ساده ساده کنټرول ژبه بیانوي چې د مراجعینو (کوربه نوم / پته، د کاروونکي نوم)، او سرور (پروسي نوم، د کور نوم / پته) نمونې. په پاى کې مثالونه ورکړل شوي. عاجل لوستونکي هڅول کیږي چې د چټک تعارف لپاره د مثالونو برخې ته ځي.
د لاسرسي کنټرول ژبه پراخه شوې نسخه د میزبانې پاڼې (5) سند کې بیان شوې. دا پراختیا د پروګرام جوړونې وخت کې د -DPROCESS_OPTIONS جوړولو له الرې پرمخ ځي.
په لاندې متن کې، ډیمون د شبکې د ډیمون پروسې نوم پروسی نوم دی، او مراجع د کوربه غوښتونکي خدمت لپاره نوم او / یا پته ده. د شبکې ډیمونین پروسې نومونه د انټیټ کنټرول دوتنه کې مشخص شوي.
د لاسرسي کنټرول فلمونه
د لاسرسي کنترول سافټویر دوه فایلونه مني . لټون په لومړی لوبه کې پای ته رسیږي:
*
لاسرسي به درکړل شي کله چې یو (ډیمون، مراجع) جوړه د /etc/hosts.allow دوتنه کې د ننوتلو سره سمون لري.
*
که نه نو، لاسرسي به رد شي کله چې ( ډیمون ، مراجع) جوړه د /etc/hosts.deny فایل کې د ننوتلو سره سمون لري.
*
که نه نو، لاسرسي به ورکړل شي.
د غیر موجود لاسرسي کنټرول دوتنه درملنه کیږي لکه څنګه چې دا یو خالي خالي و . لدې کبله، د الس رسۍ کنټرول کولی شي د لاسرسي کنټرول فایلونو چمتو کولو له لارې بند نشي.
د لاسرسی د قواعدو قواعد
د لاسرسۍ هر کنډک دوتنه د صفر یا متن متن ډیرې برخې لري. دا لینونه د ظهور په ترتیب کې پروسس شوي دي. لټون کله چې یو میچ وموندل شو ختم شو.
*
یو نوی کرښه په پام کې ونیول شي کله چې دا د بکسالش لوښه لخوا وړاندې کیږي. دا تاسو ته اجازه درکوي چې اوږده لینونه مات کړئ ترڅو دوی د سمون لپاره اسانه وي.
*
د '#' کرکټر سره پیل شوي کرښې یا لینونه ناڅرګند دي. دا تاسو ته اجازه درکوي چې د تبصرې او سپوږمکۍ داخل کړئ ترڅو میزونه د لوستلو لپاره اسانه وي.
*
ټول نور لینونه باید لاندې شکلونه پوره کړي، شیان د [] اختیاري دي:
daemon_list: client_list [: shell_command]
daemon_list د یو یا ډیرو ډیرو پروسي نومونو (argv [0] ارزښتونو) یا وحشي کارډونو لیست دی (لاندې وګورئ).
client_list د یو یا ډیرو کوربه نومونو، د میز پته، نمونه یا د وحشي کارډونو لیست دی (لاندې وګورئ چې د مراجعینو کوربه نوم یا پتې سره سمون لري.
د ډیرو پیچلي فارمونو ډیمونین @ میزبان او کاروونکي @ کوربه په ترتیب سره د سرور د پایلو د نمونو په برخو او د مراجعینو د کارنومینټ نومونو په اړه په ترتیب سره تشریح شوي.
د لیست عناصر باید په صفونو او / یا کمونو کې جلا شي.
د NIS (YP) د شبکو لیدونو استثنا سره، د السرسي ټول کنټرول چک غیر حساس دي.
پیټرونه
د لاس رسي کنترول ژبه لاندې نمونې پلي کوي:
*
هغه داسې تار چې د ". لوښه. د کوربه نوم سره مل کیږي که د هغې وروستۍ نومونه ځانګړي نمونه سره سمون ولري. د مثال په توګه، پیٹرن `.tue.nl د کوربه نوم` wzv.win.tue.nl سره سمون لري '.
*
يوه داسې تار چې د `. 'سره پای ته رسيږي. لوښه. د کوربه پته مل ده که چیرې د لومړۍ شمېره ساحه د ورکړل شوي تار سره سمون ولري. د مثال په توګه، نمونه `131.155. ' د نږدې (د نږدې) د آډونوا پوهنتون پوهنتون (131.155.xx) شبکې هر کوربه سره سمون خوري.
*
هغه کړنلاره چې د «@ 'کارکونکي سره پیل کیږي د NIS (پخواني YP) د شب ګروپ نوم په توګه درملل کیږي. د کوربه نوم سره مل کیږي که چیرې دا د ځانګړو شبکو کوربه غړی وي. د نیوم ګروپ ګروپونو د ډیمون د پروسې نوم یا د مراجعینو کاروونکو نومونو لپاره ملاتړ ندی کړی.
*
د 'ننن / mmmm' څرګندول د 'خالص / ماسک' جوړه په توګه تعبیر شوی. د IPv4 کوربه پته ملګری ده که چیرې `خالص 'د یو بل سره برابر وي او د پته او ماسک'. د بیلګې په توګه، د خالص / ماسک نمونه `131.155.72.0/255.255.254.0 'په هر پته کې د 131.155.72.0' له لارې 131.155.73.255 'سره په نښه کوي.
*
د فارم بیان د `[net] / prefixlen 'جوړه په توګه تعبیر شوی. د IPv6 کوربه پتې سره سمون لري که چیرې `خالص 'د` prefixlen' بٹس د پته د 'prefixlen' بټونو سره برابر وي. د مثال په توګه، [خالص] / prefixlen پیٹرن `[3ffe: 505: 2: 1 ::] / 64 'د هر پته په رینج کې سره ماتې کوي 3ffe: 505: 2: 1 ::' له لارې` 3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '.
*
هغه کړنلاره چې د '/' کار سره پیل کیږي د دوتنې نوم په حیث چلند کیږي. د کوربه نوم یا پتې سره سمون لري که چیرې دا په کور کې د کوربه نوم یا د پتې لیست کې نومول شوی میلمستون سره وي. د دوتنې بڼه صفر یا ډیر لیکونه صفر لري یا د کوربه نوم یا د پتې ډیری نمونې چې د سپیټ اسپیس لخوا جلا شوي. د فایل نوم ډوله کارول کیدای شي د هر کور کور یا د پتې نوم کارول کیدلی شي.
*
ویلیډسډز * * او `؟ ' د کورني نومونو یا IP پته د سمون لپاره کارول کیدی شي. د موازنې دا طریقه د `خالص / ماسک 'سره مطابقت کې نه کارول کیدی شي، د کوربه نوم سره سم پیل شي. یا د IP پته د پای سره سم د `. '.
WILDCARDS
د لاس رسۍ کنټرول ژبه د وحشي کارډونو څخه ملاتړ کوي:
ټول
نړیوال وارډ کارډ، تل سره سمون لري.
منطق
هغه کوربه سره ملګری کوي چې نوم یې د ډاټک ځانګړتیا نلري.
ناڅاپه
هر هغه کارن سره چې هغه نوم نامعلوم دی، سره مطابقت لري، او هغه کوربه چې ملګري یې نوم یا پته نامعلومه نه وي ماتې کوي. دا شکل باید د پاملرنې سره وکارول شي: د لنډمهالې نوم سرور ستونزې له امله د کور نومونه شتون نلري. د شبکې پته به حاضر نه وي کله چې سافټویر نشي معلومولی چې کوم ډول شبکه ورسره خبرې کوي.
معلومه
هر هغه کارن سره چې د نوم نوم پیژندل کیږي سره شریکوي، او هر کوربه چې نوم او پته یې پیژندل کیږي سره سمون لري. دا شکل باید د پاملرنې سره وکارول شي: د لنډمهالې نوم سرور ستونزې له امله د کور نومونه شتون نلري. د شبکې پته به حاضر نه وي کله چې سافټویر نشي معلومولی چې کوم ډول شبکه ورسره خبرې کوي.
پارنوی
هغه کوربه سره ملګری کوي چې نوم یې د پته سره سمون نلري. کله چې TCPP -DPARANOID (د ډیزاین موډل) سره جوړ شوی، نو دا د دې مراجعینو څخه غوښتنه هم حتی مخکې له دې چې د لاسرسی کنترول میزونو ته ګوري. کله چې تاسو د داسې غوښتنو په اړه نور کنټرول غواړئ بغیر غیر پروانارو جوړ کړئ.
تمرکز
اضافه کول
اراده شوې کارول د فورمه ده: `list_1 EXCEPT list_2 '؛ دا جوړښت هر هغه څه سره سمون لري چې list_1 سره سمون لري مګر که چېرې دا د لیست سره سمون ونه لري . د EXCEPT آپریټر په daemon_lists او په مراجعینو کې کارول کیدی شي. د EXCEPT عملیات کوونکی کیدی شي: که چیری د کنټرول ژبه به د قوسونو کارولو اجازه ورکوي، د 'EXCEPT B EXCEPT C' به د '' EXCEPT (B EXCEPT c) 'په توګه تعقیب شي.
د شیل ډنډونه
که د لومړي لاسرسی کنټرول قاعده یو د شیل کمان ولري، دا قومانده ٪ substitutions سره مخامخ کیږي (راتلونکې برخه وګورئ). نتیجه د یو / بن / ماشوم ماشوم پروسې لخوا معياري انډول، محصول او خراب / غلط / سره نښلولو سره تطبیق کیږي. د کمانډ په پای کې `& 'مشخص کړئ که چیرې تاسو نه غواړئ تر هغه چې انتظار یې نه وي انتظار کړی.
د شیل امرونه باید د PATH په انسټیټ ترتیب کې متکی نه وي. پرځای یې، دوی باید د بشپړې لارې نومونه کاروي، یا دوی باید د واضح PATH سره هرڅه پیل کړي = هر څه چې بیان کړي.
د میزبانه پاڼي (5) سند د بدیل ژبه تشریح کوي چې د مختلفې او نامناسب طریقې د شیل کمانډ فیلډ کاروي.
٪ سلنه
لاندې شیلونه په شیل امرونو کې شتون لري:
٪ a (٪ A)
مراجع (پالنګر) کوربه کور.
٪ c
د مراجعینو معلومات: کاروونکي @ کوربه، د کارن @ پته، د کوربه نوم، یا یوازې یو پته، پدې اړه چې څومره معلومات شتون لري اړه لري.
٪ d
د ډیمون پروسې نوم (ارګ [0] ارزښت).
٪ h (٪ H)
مراجع (سرور) کوربه نوم یا پته، که کوربه نوم شتون نلري.
٪ n (٪ N)
مراجع (سرور) کوربه نوم (یا "نامعلوم" یا "پروانوید").
٪ p
د ډیمون پروسې ID
٪ s
د سرور معلومات: daemon @ host، daemon @ address، یا یوازې د ډیمون نوم، پدې اړه پورې اړه لري چې څومره معلومات موجود دي.
٪
د مراجعینو کارن نوم (یا "نامعلوم").
٪٪
د یو واحد '٪' کرکټر ته پراختیا ورکوي.
د٪ توضیحاتو شاخص چې کیدای شي د شیل ګرځي مغلق شوي ځایونه د لیرې کولو لخوا بدلیږي.
د سرور داخلي کاغذونه
د دې لپاره چې د مراجعینو پتې له لارې د پیرودونکو توپیر وکړي چې دوی سره اړیکه لري، د فورم نمونه کاروي:
process_name @ host_pattern: د مراجعینو لیست ...
د دې ډول نمونو کارول کیدی شي کله چې ماشین مختلف بېلټرنټ لري د مختلف انټرنېټ کوربه نومونو سره. د خدماتو وړاندې کونکي کولی شي د دې اسانتیا څخه ګټه پورته کړي د FTP، GOPHER یا WWW آرشيفونه وړاندې کړي چې انټرنیټ نومونه پکې شامل وي ممکن حتی په مختلفو سازمانونو پورې اړه ولري. د میزبانې پاڼې (5) سند کې د موټرو اختیار هم وګورئ. ځینې سیسټمونه (Solaris، FreeBSD) کولی شي د یو انټرنیټ پتې سره په یو فزیکي انټرنیټ کې ولري؛ د نورو سیسټمونو سره چې تاسو کولی شئ د SLIP یا پیپلز پیسو سایټونو ته بیا ځای ورکړئ چې په یو وقف شوي شبکه پته ځای کې ژوند کوي.
کوربه توب د مراجعینو نومونو او د مراجعینو په شرایطو کې د پتې په توګه ورته ورته نخښه قواعد اطاعت کوي. عموما، د سرور پایپ ټاپ معلومات یوازې د کنټرول خدماتو سره شتون لري.
CLIENT USERNAME LOOKUP
کله چې رجوع کوونکي د RFC 931 پروتوکول یا د هغې له اولادونو څخه یو) TAP، IDENT، RFC 1413 (مالتړ کوي کولی شي د ارتباط مالک په اړه اضافي معلومات بیرته واخلي. د مراجعینو کاروونکي معلومات، کله چې موجود وي، د مراجعینو کوربه نوم سره یوځای ننوتل کیږي، او کیدای شي د نمونو سره سمون ومومي لکه:
daemon_list: ... کارن_pattern @ host_pattern ...
د ډیمون وپیپر کولی شي د وخت په سمبالولو کې د حکومتوالي لخوا کاروونکي نوملړ لیستونه (ډیزاین) ترسره کړي یا تل د مراجعین کوربه تحقیق وکړي. د حکومتوالي لخوا کارول شوي کارن-نوم لټونې په صورت کې، پورته لمبر به د کارن-نوم لیدل کیدلی شي یواځې کله چې د ډیونیم_ لیست او میزبان پاټینټن دواړه ملګری وي.
د یو کاروونکي بېلګه ورته ورته نښې لري چې د ډیموین بهیر طرزالعمل لري، نو همداسې وارډورډونه کارول کیږي (د شب ګروپ غړیتوب نه ملاتړ کیږي). یو باید د کارن-نومونې لیوپونو سره نه واخیستل شي.
*
د مراجعینو کارن-نوم مالومات باور نلري کله چې دا اړتیا وي، یعنې کله چې د مراجعینو سیسټم ورسره موافق وي. په عموم کې، د ټول او (UN) کلید د واحد کاروونکي نومونه دي چې معنی لري.
*
د نوم لیکنې لټونونه یوازې د TCP-based خدمتونو سره ممکنه دي، او یوازې کله چې مراجع کوربه یو مناسب ډیمون چلوي؛ په نورو قضیو کې نتیجه نا معلومه ده.
*
یو نامتو UNIX د کبل بور کېدای شي د خدماتو له لاسه ورکولو لامل شي کله چې د کارن نومول شوي لیدونو د اور وژونکي لخوا بندیز ولګول شي. د سرلیک README سند یو داسې پروسیجر بیانوي چې معلومه کړي که ستاسو کندې دا مسئله ولري.
*
د کارن نومونې لټونونه د غیر یونینکس کاروونکو لپاره د پام وړ ځنډ سبب ګرځي. د کارن-نومونې لینکونو لپاره د اصلي وخت وخت 10 ثانی دی: د سست شبکې سره مخنیوی خورا لنډ دی، مګر د PC کاروونکو کارولو لپاره خورا اوږد دی.
غوره انتخاب کارن نومونه کولی شي وروستۍ ستونزه کمه کړي. د مثال په توګه، یو قانون لکه:
daemon_list:pcnetgroup ټول @ ALL
د PC Netgroup د غړو سره به د کارن-نوم لټوونې پرته پرته له هغې سره ملګری وي، مګر د کاروونکي نومونه به د نورو سیسټمونو سره ترسره کړي.
د ایډیټ سپا ټیکټونه تشریح کړئ
د ډیری TCP / IP تطبیقونو د ترتیب شمیرې جنریټر کې مداخله کوونکی ته اجازه ورکوي چې په اسانۍ سره باوري ځایونو کې پیژندل کیږي او د لارې په مینځ کې ماتولو لپاره، د بیلګې په توګه، د لیرې ریل خدمت. IDENT (RFC931 etc.) خدمت کولی شي د داسې او نورو کوربه ایښو پواسطه د بریدونو د موندلو لپاره وکارول شي.
د مراجعینو غوښتنه قبولولو دمخه، وایجرونه کوالی شي د IDENT خدمت وکاروي ترڅو معلومه کړي چې مراجعین دا غوښتنه ندي لیږلي. کله چې رجوع کوونکي کوربه IDENT خدمت وړاندې کوي، د منفي IDENT پلټنه پایله) مراجعین `UNKNOWN @ میزبان سره (د کوربه توغندي برید غښتلي شواهد دي.
یو مثبت د IDENT پلټنه پایله (مراجع د `KNOWN @ host 'سره سمون لري) لږ باور لري. دا د انټرنډر لپاره ممکن د مراجعینو اړیکو او د IDENT پلټنه دواړه توب کړي، که څه هم دا کار کول د مراجعینو کنټرول د چټک کولو څخه خورا سخت دی. دا ممکن وي چې د مراجعینو IDENT سرور سرور دی.
یادونه: د IDENT لټونه د UDP خدماتو سره کار نه کوي.
نمونې
ژبه کافیه ده چې د لاسرسۍ کنټرول بیلابیل ډولونه د لږ تر لږه محاسبې سره څرګند شي. که څه هم ژبه د لاس رسي دوه کنټرول میزونه کاروي، ډیری عام پالیسۍ د یو میز سره چې کوچنۍ وي یا حتی تشه یې تطبیق کیدی شي.
کله چې لاندې مثالونه لوستل شي نو دا مهمه ده چې پوه شي چې د ردولو میز څخه مخکې د اجازې میز سکین شوی دی، دا لټون د میچ پایله کې فسخ کوي، او دا چې السرسي هیڅکله نه وي موندل کیږي.
بېلګې د کوربه او ډومین نومونه کاروي. دوی کولی شي د پته او / یا شبکې / netmask مالومات په شمول، د لنډمهاله نوم سرور د لټپونو ناکامیو اغیز کم کړي.
تر ټولو نژدې تړل شوی
په دې حالت کې، لاسرسی د ډیزاین لخوا رد شوی. یواځې په واضح ډول اجازه ورکړل شوي میزبان ته اجازه ورکول کیږي.
د ډیزاین پالیسي (هیڅ لاسرسی) د رد شوي رد شوي دوتنې سره تطبیق ندی:
/etc/hosts.deny: ALL: ALL
دا د ټولو میزبانونو ټولو خدماتو څخه انکار کوي، مګر دا چې دوی د اجازې دوتنې کې د ننوتلو اجازه لري.
په واضح ډول اجازه شوي میزبان د اجازې دوتنې کې لیست شوي دي. د مثال په توګه:
/etc/hosts.allow: ټول: سیمه ییزsome_netgroup
ټول: .foobar.edu اضافه terminalserver.foobar.edu
لومړی قانون د محلي ډومینونو څخه لاسرسي څخه لاسرسی ته اجازه ورکوي (په کوربه نوم کې نه '.') او د some_netgroup groups netgroup څخه. دوهم قانون د Foobar.edu ډومینټ ټولو میزبانونو څخه لاسرسی ته اجازه ورکوي) د مخکښ ډاټا یادونه (، د terminalserver.foobar.edu استثناء سره.
تر ټولو لومړنۍ
دلته، لاسرسی د ډیفالټ لخوا ورکول کیږي. یوازې په ښکاره توګه مشخص شوي میزبان خدمتونه رد کړي.
د ډیزاین پالیسي (لاسرسی ورکړل شوی) د اجازې دوسیه بې ځایه کوي ترڅو دا پریښودل شي. په واضح ډول غیر بااختيار کوربه په انکار شوي دوتنې کې لیست شوي دي. د مثال په توګه:
/etc/hosts.deny: ALL: ځینې .host.name، .some.domain
ټول اضافه پاڼه په فینګینګډ کې: other.host.name، .other.domain
لومړی قانون ځینې میزبانونه او سیمې د ټولو خدمتونو څخه انکار کوي؛ دوهم قاعده لاهم د ګوتو غوښتنو ته د نورو کوربه او ډومینونو اجازه ورکوي.
د بوبی ټریپونه
بله بېلګه د محلي ډومینټونو څخه د میزونو غوښتنې غوښتنه کوي) مخکښ ډاټا وګورئ (. د بل میزبانې غوښتنې رد شوي دي. د غوښتل شوی دوتنې پر ځای، د ګوتو تحقیق د اختر کوربه کور ته لیږل کیږي. نتیجه د سپوږمکۍ سره لیږل کیږي.
/etc/hosts.allow:
in.tftpd: LOCAL، .my.domain /etc/hosts.deny: in.tftpd: ALL: سپون (/ ځینې / چیرته / خوندي_ فیلګر -l @٪ h | \ usr / urb / mail-s٪ d-٪ h root)د خوندي انځورګر قومانده د Tcpd پوښښ سره راځي او باید په مناسب ځای کې نصب شي. دا د لیږل شوي ګوتو سیسټم لخوا لیږل شوي ډاټا څخه ممکنه زیان محدودوي. دا د معیاري ګوتې قوماندې څخه غوره ساتنه کوي.
د٪ h (مراجعین کوربه) او٪ d (د خدمت نوم) ترتیبات د شیل امرونو په برخه کې بیان شوي.
خبردارۍ: د خپل ګوتو ډیمون مه بولوئ، تر هغه چې تاسو د انفینټ ګوتو لپاره تیار نه یاست.
د شبکه د فایبرال سیسټمونو کې دا چیلنج حتی نور هم ترسره کیدی شي. د شبکې عام فایالال د بهرنی نړۍ لپاره د خدماتو محدود محدودیت وړاندې کوي. ټول نور خدمات کیدای شي "بکس شوی" لکه د پورته ټرافیک مثال په څیر. دا پایله د ابتدائی انتبایل سیستم غوره ده.
مهم: د انسان قوماندې ( ٪ man ) کاروئ ترڅو وګورئ چې ستاسو په ځانګړی کمپیوټر کې کوم قوماندې کارول کیږي.
اړونده مقالې