NAME
host_access - ទ្រង់ទ្រាយនៃឯកសារត្រួតពិនិត្យការចូលដំណើរការរបស់ម៉ាស៊ីន
DESCRIPTION
ទំព័រសៀវភៅដៃនេះ ពិពណ៌នាអំពី ភាសាត្រួតពិនិត្យសាមញ្ញដែលមានមូលដ្ឋានលើម៉ាស៊ីនភ្ញៀវ (ឈ្មោះម៉ាស៊ីន / អាសយដ្ឋានអ្នកប្រើ) និងម៉ាស៊ីនមេ (ឈ្មោះដំណើរការឈ្មោះម៉ាស៊ីន / អាសយដ្ឋាន) ។ ឧទាហរណ៍ត្រូវបានផ្តល់ឱ្យនៅចុងបញ្ចប់។ អ្នកអានដែលមិនចេះអត់ធ្មត់ត្រូវបានលើកទឹកចិត្តឱ្យរំលងទៅផ្នែក EXAMPLES សម្រាប់ ការណែនាំ រហ័ស។ កំណែដែលបានពង្រីកនៃភាសាត្រួតពិនិត្យសិទ្ធិត្រូវបានពិពណ៌នានៅក្នុងឯកសារ host_options (5) ។ ផ្នែកបន្ថែមត្រូវបានបើកនៅពេលស្ថាបនាកម្មវិធីដោយបង្កើតជាមួយ -DPROCESS_OPTIONS ។
នៅក្នុងអត្ថបទខាងក្រោម ដេមិន គឺជាឈ្មោះដំណើរការនៃ ដំណើរការដេមិនបណ្ដាញ ហើយ ម៉ាស៊ីនភ្ញៀវ គឺជាឈ្មោះនិង / ឬអាសយដ្ឋានរបស់សេវាស្នើសុំម៉ាស៊ីន។ ឈ្មោះដំណើរការដេមិនបណ្ដាញត្រូវបានបញ្ជាក់នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ inetd ។
ឯកសារគ្រប់គ្រងការចូលប្រើ
កម្មវិធីត្រួតពិនិត្យការចូលប្រើមើល ឯកសារ ចំនួនពីរ។ ការស្វែងរកឈប់នៅការប្រកួតដំបូង។
ការចូលដំណើរការនឹងត្រូវបានផ្តល់នៅពេលគូ (ដេមិនម៉ាស៊ីនភ្ញៀវ) ផ្គូផ្គងធាតុនៅក្នុងឯកសារ /etc/hosts.allow ។
បើពុំនោះទេការចូលដំណើរការនឹងត្រូវបានបដិសេធនៅពេលដែលគូ (ដេមិនម៉ាស៊ីនភ្ញៀវ) ផ្គូផ្គងធាតុនៅក្នុងឯកសារ /etc/hosts.deny ។
បើមិនដូច្នោះទេការចូលប្រើនឹងត្រូវបានផ្តល់ជូន។
ឯកសារត្រួតពិនិត្យការចូលដំណើរការដែលមានមិនត្រូវបានចាត់ទុកជាឯកសារទទេ។ ដូច្នេះការត្រួតពិនិត្យការចូលដំណើរការអាចត្រូវបានបិទដោយផ្តល់ឯកសារត្រួតពិនិត្យការចូលដំណើរការ។
ការគ្រប់គ្រងវិធានការគ្រប់គ្រង
ឯកសារត្រួតពិនិត្យការចូលដំណើរការនីមួយៗមានបន្ទាត់អត្ថបទសូន្យឬច្រើន។ បន្ទាត់ទាំងនេះត្រូវបានដំណើរការតាមលំដាប់លំដោយ។ ការស្វែងរកបញ្ចប់នៅពេលដែលការប្រកួតត្រូវបានរកឃើញ។
តួអក្សរបន្ទាត់ថ្មីមួយត្រូវបានមិនអើពើនៅពេលដែលវាត្រូវបានបន្តដោយតួអក្សរសញ្ញាផ្កាយ។ នេះអនុញ្ញាតឱ្យអ្នកបំបែកបន្ទាត់វែងដូច្នេះពួកគេងាយស្រួលក្នុងការកែសម្រួល។
បន្ទាត់ទទេឬបន្ទាត់ដែលចាប់ផ្ដើមដោយតួអក្សរ `# 'ត្រូវបានមិនអើពើ។ នេះអនុញ្ញាតឱ្យអ្នកបញ្ចូលមតិយោបល់និងដកឃ្លាដើម្បីឱ្យតារាងងាយស្រួលក្នុងការអាន។
បន្ទាត់ផ្សេងទៀតទាំងអស់គួរតែបំពេញតាមទំរង់ដូចខាងក្រោមៈរវាងអ្វីដែលជាជម្រើស:
daemon_list: client_list [: shell_command]
daemon_list គឺជាបញ្ជីនៃឈ្មោះដំណើរការដេមិនមួយឬច្រើន (តម្លៃ argv [0]) ឬតួអក្សរជំនួស (សូមមើលខាងក្រោម) ។
បញ្ជីម៉ាស៊ីនភ្ញៀវជាបញ្ជីឈ្មោះម៉ាស៊ីនមួយឬច្រើនឈ្មោះម៉ាស៊ីនអាសយដ្ឋានម៉ាស៊ីនលំនាំដើមឬតួអក្សរជំនួស (មើលខាងក្រោម) ដែលនឹងត្រូវផ្គូផ្គងជាមួយឈ្មោះម៉ាស៊ីនឬអាសយដ្ឋានម៉ាស៊ីនភ្ញៀវ។
សំណុំបែបបទស្មុគ្រស្មាញកាន់តែច្រើន ដេមិន @ host និង អ្នកប្រើ @ host ត្រូវបានពន្យល់នៅក្នុងផ្នែកនៅលើលំនាំចុងក្រោយរបស់ម៉ាស៊ីនបម្រើនិងការរកមើលឈ្មោះអ្នកប្រើរបស់ម៉ាស៊ីនភ្ញៀវរៀងៗខ្លួន។
ធាតុបញ្ជីគួរតែត្រូវបានបំបែកដោយចន្លោះនិង / ឬសញ្ញាក្បៀស។
ដោយលើកលែងតែការរកមើល netgroup NIS (YP) ការត្រួតពិនិត្យការត្រួតពិនិត្យការចូលប្រើទាំងអស់គឺមានលក្ខណៈមិនសូវល្អ។
ក្បួន
ភាសាត្រួតពិនិត្យការចូលដំណើរការលំនាំដូចខាងក្រោម:
ខ្សែអក្សរដែលចាប់ផ្ដើមជាមួយ `។ ' តួអក្សរ។ ឈ្មោះម៉ាស៊ីនត្រូវបានផ្គូផ្គងបើសមាសភាគចុងក្រោយនៃឈ្មោះរបស់វាផ្គូផ្គងនឹងលំនាំដែលបានបញ្ជាក់។ ឧទាហរណ៍ '.tue.nl លំនាំ' ត្រូវគ្នានឹងឈ្មោះម៉ាស៊ីន 'wzv.win.tue.nl' ។
ឃ្លាដែលបញ្ចប់ដោយ `។ ' តួអក្សរ។ អាសយដ្ឋានម៉ាស៊ីនត្រូវបានផ្គូផ្គងបើវាលលេខរបស់វាផ្គូផ្គងខ្សែអក្សរដែលបានផ្តល់ឱ្យ។ ឧទាហរណ៍លំនាំ `131.155 ។ ' ផ្គូផ្គងនឹងអាសយដ្ឋានរបស់ (ស្ទើរតែ) ម៉ាស៊ីនទាំងអស់នៅលើបណ្តាញសាកលវិទ្យាល័យ Eindhoven (131.155.xx) ។
ខ្សែអក្សរដែលចាប់ផ្ដើមដោយតួអក្សរ `@ 'ត្រូវបានចាត់ទុកថាជាឈ្មោះ netgroup NIS (អតីត YP) ។ ឈ្មោះម៉ាស៊ីនត្រូវបានផ្គូផ្គងបើវាជាសមាជិកម៉ាស៊ីននៃ netgroup ដែលបានបញ្ជាក់។ ការផ្គូផ្គង Netgroup មិនត្រូវបានគាំទ្រសម្រាប់ឈ្មោះដំណើរការដេមិនឬសម្រាប់ឈ្មោះអ្នកប្រើប្រាស់របស់ម៉ាស៊ីនភ្ញៀវទេ។
កន្សោមនៃទម្រង់ `nnnn / mmmm 'ត្រូវបានបកប្រែជាគូ' net / mask '។ អាសយដ្ឋានម៉ាស៊ីន IPv4 ត្រូវបានផ្គូផ្គងបើ `net 'ស្មើនឹង bitwise AND នៃអាសយដ្ឋាននិង` mask' ។ ឧទាហរណ៍លំនាំសុទ្ធ / របាំង `131.155.72.0/255.255.254.0 'ផ្គូផ្គងអាសយដ្ឋានទាំងអស់ក្នុងជួរ` 131.155.72.0' តាមរយៈ `131.155.73.255 '។
កន្សោមនៃទម្រង់ `n [n]: n: n: n: n] / m 'ត្រូវបានបកប្រែជាគូ' [net] / prefixen '។ អាសយដ្ឋានម៉ាស៊ីន IPv6 ត្រូវបានផ្គូផ្គងបើប៊ីត `បុព្វបទ 'នៃ` net' ស្មើប៊ែល `prefixlen 'នៃអាសយដ្ឋាន។ ឧទាហរណ៍: [net] / prefixlen pattern `[3ffe: 505: 2: 1 ::] / 64 'ត្រូវនឹងគ្រប់អាសយដ្ឋានទាំងអស់នៅក្នុងជួរ` 3ffe: 505: 2: 1 ::' តាម `3ffe: 505: 2: 1: ffff: ffff: ffff: ffff '។
ខ្សែអក្សរដែលចាប់ផ្ដើមដោយតួអក្សរ `/ 'ត្រូវបានចាត់ទុកជា ឈ្មោះឯកសារ ។ ឈ្មោះឬអាសយដ្ឋានម៉ាស៊ីនត្រូវបានផ្គូផ្គងបើវាផ្គូផ្គងឈ្មោះម៉ាស៊ីនឬលំនាំអាសយដ្ឋានណាមួយដែលមានក្នុងឯកសារដែលមានឈ្មោះ។ ទ្រង់ទ្រាយឯកសារគឺជាបន្ទាត់សូន្យឬច្រើនដែលមានឈ្មោះម៉ាស៊ីនឬគំរូអាសយដ្ឋានសូន្យឬច្រើនជាងនេះដែលបំបែកដោយចន្លោះ។ គំរូឈ្មោះឯកសារអាចត្រូវបានប្រើគ្រប់ទីកន្លែងដែលឈ្មោះម៉ាស៊ីនឬគំរូអាស័យដ្ឋានអាចត្រូវបានប្រើ។
សញ្ញាជំនួស `` 'និង `?' អាចត្រូវបានប្រើដើម្បីផ្គូផ្គងឈ្មោះម៉ាស៊ីនឬ អាសយដ្ឋាន IP ។ វិធីផ្គូផ្គងនេះមិនអាចប្រើជាមួយការផ្គូផ្គង `net / mask 'ទេ, ការផ្គូផ្គងឈ្មោះម៉ាស៊ីនចាប់ផ្ដើមដោយ` ។ ' ឬ អាសយដ្ឋាន IP ផ្គូផ្គងបញ្ចប់ដោយ `។ '។
WILDCARDS
ភាសាត្រួតពិនិត្យការចូលដំណើរការគាំទ្រតួអក្សរជំនួសជាក់លាក់:
ទាំងអស់
ជាអក្សរជំនួសជាសកលតែងតែផ្គូផ្គង។
LOCAL
ផ្គូផ្គងម៉ាស៊ីនណាដែលឈ្មោះមិនមានតួអក្សរសញ្ញា។
មិនស្គាល់
ផ្គូផ្គងអ្នកប្រើណាដែលឈ្មោះមិនស្គាល់និងផ្គូផ្គងនឹងម៉ាស៊ីនណាដែលឈ្មោះ ឬ អាសយដ្ឋានមិនស្គាល់។ លំនាំនេះគួរត្រូវបានប្រើដោយប្រុងប្រយ័ត្ន: ឈ្មោះម៉ាស៊ីនអាចនឹងមិនអាចប្រើបានដោយសារបញ្ហាម៉ាស៊ីនមេបណ្តោះអាសន្ន។ អាសយដ្ឋានបណ្តាញនឹងមិនអាចប្រើបានទេនៅពេលដែលកម្មវិធីមិនអាចរកឃើញប្រភេទបណ្តាញដែលវាកំពុងនិយាយជាមួយ។
ដឹង
ផ្គូផ្គងអ្នកប្រើណាដែលមានឈ្មោះត្រូវបានគេស្គាល់និងផ្គូផ្គងនឹងម៉ាស៊ីនណាដែលមានឈ្មោះ និង អាស័យដ្ឋាន។ លំនាំនេះគួរត្រូវបានប្រើដោយប្រុងប្រយ័ត្ន: ឈ្មោះម៉ាស៊ីនអាចនឹងមិនអាចប្រើបានដោយសារបញ្ហាម៉ាស៊ីនមេបណ្តោះអាសន្ន។ អាសយដ្ឋានបណ្តាញនឹងមិនអាចប្រើបានទេនៅពេលដែលកម្មវិធីមិនអាចរកឃើញប្រភេទបណ្តាញដែលវាកំពុងនិយាយជាមួយ។
PARANOID
ផ្គូផ្គងនឹងម៉ាស៊ីនណាដែលឈ្មោះមិនត្រូវគ្នានឹងអាសយដ្ឋានរបស់វា។ នៅពេល tcpd ត្រូវបានបង្កើតឡើងដោយ -DPARANOID (របៀបលំនាំដើម) វាទម្លាក់សំណើពីអតិថិជនបែបនេះមុននឹងមើលតារាងត្រួតពិនិត្យការចូលប្រើ។ ស្ថាបនាដោយគ្មាន - DPARANOID នៅពេលអ្នកចង់ត្រួតពិនិត្យបន្ថែមលើសំណើបែបនេះ។
អ្នកបើកបរ
លើកលែងតែ
ការប្រើប្រាស់មានបំណងគឺជាទម្រង់: `list_1 EXCEPT list_2 '; ការស្ថាបនានេះផ្គូផ្គងអ្វីដែលផ្គូផ្គងនឹង list_1 លុះត្រាតែវាផ្គូផ្គង បញ្ជី_2 ។ ប្រតិបត្តិករ EXCEPT អាចត្រូវបានប្រើក្នុង daemon_lists និងក្នុងបញ្ជី client_lists ។ ប្រតិបត្តិករ EXCEPT អាចត្រូវបានបញ្ចូលគ្នា: បើភាសាត្រួតពិនិត្យអនុញ្ញាតឱ្យប្រើវង់ក្រចក `EXCEPT b EXCEPT c 'នឹងញែកជា` (EXCEPT (ខ EXCEPT c))' ។
ប្រសិនបើក្បួនគ្រប់គ្រងការចូលដំណើរការដែលបានផ្គូផ្គងដំបូងមានពាក្យបញ្ជាសែលនោះពាក្យបញ្ជានោះត្រូវបានចាត់ទុកថា% substitutions (សូមមើលផ្នែកបន្ទាប់) ។ លទ្ធផលត្រូវបានប្រតិបត្តិដោយដំណើរការកូន / bin / sh ដែល មានការបញ្ចូលស្តង់ដារទិន្នផលនិងកំហុសឆ្គងដែលភ្ជាប់ទៅ / dev / null ។ បញ្ជាក់ពាក្យ `& 'នៅចុងបញ្ចប់ប្រសិនបើអ្នកមិនចង់រង់ចាំរហូតដល់ចប់។
ពាក្យបញ្ជា Shell មិនគួរពឹងផ្អែកលើការកំណត់ PATH នៃ inetd ។ ផ្ទុយទៅវិញពួកគេគួរតែប្រើឈ្មោះផ្លូវដាច់ខាតឬពួកគេគួរតែចាប់ផ្ដើមដោយ PATH = សេចក្តីថ្លែងការណ៍ផ្សេង។
ឯកសារ host_options (5) ពិពណ៌នាអំពីភាសាជំនួសដែលប្រើវាលពាក្យបញ្ជាសែលតាមវិធីខុសគ្នានិងមិនឆបគ្នា។
% EXPANSIONS
ការពង្រីកខាងក្រោមមាននៅក្នុងពាក្យបញ្ជាសែល:
% a (% A)
អាសយដ្ឋានម៉ាស៊ីនកូន (ម៉ាស៊ីនមេ) ។
% c
ពត៌មានរបស់អតិថិជន: អ្នកប្រើ @ host, អ្នកប្រើ @ អាសយដ្ឋាន, ឈ្មោះម៉ាស៊ីនឬគ្រាន់តែអាសយដ្ឋានអាស្រ័យលើព័ត៌មានដែលមាន។
% d
ឈ្មោះដំណើរការដេមិន (តម្លៃ argv [0]) ។
% h (% H)
ឈ្មោះម៉ាស៊ីនឬអាសយដ្ឋានម៉ាស៊ីនកូន (ម៉ាស៊ីនមេ) ប្រសិនបើឈ្មោះម៉ាស៊ីនមិនអាចប្រើបានទេ។
% n (% N)
ម៉ាស៊ីនភ្ញៀវ (ម៉ាស៊ីនបម្រើ) ឈ្មោះម៉ាស៊ីន (ឬ "មិនស្គាល់" ឬ "ភ័យខ្លាច") ។
% p
លេខសម្គាល់ដំណើរការដេមិន។
% s
ព័ត៌មានម៉ាស៊ីនបម្រើ: daemon @ host daemon @ ឬឈ្មោះដេមិនអាស្រ័យលើព័ត៌មានដែលអាចរកបាន។
% u
ឈ្មោះអ្នកប្រើម៉ាស៊ីនភ្ញៀវ (ឬ "មិនស្គាល់") ។
%%
ពង្រីកទៅតួអក្សរ `% 'តែមួយ។
តួអក្សរក្នុងការពង្រីក% ដែលអាចធ្វើអោយច្រឡំសែលត្រូវបានជំនួសដោយសញ្ញាគូសក្រោម។
កម្មវិធីស្នូលជួសជុល
ដើម្បីសម្គាល់អតិថិជនដោយអាសយដ្ឋានបណ្តាញដែលពួកគេភ្ជាប់ទៅសូមប្រើគំរូនៃទំរង់:
process_name @ host_pattern: client_list ...
លំនាំដូចទាំងនេះអាចត្រូវបានប្រើនៅពេលម៉ាស៊ីនមានអាសយដ្ឋានអ៊ីនធឺណិតខុសគ្នាជាមួយឈ្មោះអ៊ីនធឺណេតខុសៗគ្នា។ អ្នកផ្តល់សេវាអាចប្រើកន្លែងនេះដើម្បីផ្តល់ប័ណ្ណសារ FTP, GOPHER ឬ WWW ជាមួយឈ្មោះអ៊ីនធឺណិតដែលអាចជាកម្មសិទ្ធិរបស់អង្គការផ្សេងគ្នា។ សូមមើលជម្រើស 'បង្វិល' នៅក្នុងឯកសារ host_options (5) ផងដែរ។ ប្រព័ន្ធមួយចំនួន (Solaris, FreeBSD) អាចមានអាសយដ្ឋានអ៊ីនធឺណិតលើសពីមួយលើចំណុចប្រទាក់រូបវិទ្យាមួយ។ ជាមួយប្រព័ន្ធផ្សេងទៀតអ្នកប្រហែលជាត្រូវងាកទៅមើលចំណុចប្រទាក់ដែលស្រដៀងនឹង SLIP ឬ PPP ដែលរស់នៅក្នុងចន្លោះអាសយដ្ឋានបណ្តាញ។
host_pattern គោរពតាមក្បួនវាក្យសម្ព័ន្ធដូចគ្នានឹងឈ្មោះម៉ាស៊ីននិងអាសយដ្ឋាននៅក្នុងបរិបទរបស់ client_list ។ ជាធម្មតាព័ត៌មានចុងក្រោយរបស់ម៉ាស៊ីនបម្រើអាចប្រើបានតែជាមួយសេវាកម្មតភ្ជាប់។
អតិថិជន CLIENT ស្វែងរក
នៅពេលម៉ាស៊ីនភ្ញៀវគាំទ្រពិធីការ RFC 931 ឬកូនចៅម្នាក់របស់វា (TAP, IDENT, RFC 1413) កម្មវិធីរុំអាចរកបានព័ត៌មានបន្ថែមអំពីម្ចាស់នៃការតភ្ជាប់។ ពត៌មានឈ្មោះអ្នកប្រើរបស់អតិថិជននៅពេលដែលអាចរកបានត្រូវបានភ្ជាប់ជាមួយឈ្មោះម៉ាស៊ីនភ្ញៀវហើយអាចត្រូវបានប្រើដើម្បីផ្គូរផ្គងគំរូដូចជា:
daemon_list: ... user_pattern @ host_pattern ...
កញ្ចប់រុំដេមិនអាចត្រូវបានកំណត់នៅពេលចងក្រងដើម្បីអនុវត្តការរកមើលឈ្មោះអ្នកប្រើដែលតម្រង់តាមលក្ខខណ្ឌ (លំនាំដើម) ឬដើម្បីសួររកម៉ាស៊ីនមេ។ ក្នុងករណីដែលការរកមើលឈ្មោះអ្នកប្រើដែលគ្រប់គ្រងតាមក្បួនវិធានខាងលើនឹងធ្វើឱ្យការស្វែងរកឈ្មោះអ្នកប្រើនៅពេលដែលទាំង daemon_list និង match_hat ។
លំនាំអ្នកប្រើមានវាក្យសម្ពន្ធដូចគ្នាលំនាំលំនាំដើមដេមិនដូច្នេះតួអក្សរជំនួសដូចគ្នាអនុវត្ត (មិនគាំទ្រសមាជិកភាពបណ្ដាញ) ។ ទោះយ៉ាងណាក៏ដោយគេមិនគួរយកវាទៅជាមួយឈ្មោះអ្នកស្វែងរកទេ។
ពត៌មានឈ្មោះអ្នកប្រើរបស់ម៉ាស៊ីនមេមិនអាចត្រូវបានជឿទុកចិត្តនៅពេលដែលវាត្រូវការជាចាំបាច់នោះទេពោលគឺនៅពេលប្រព័ន្ធម៉ាស៊ីនកូនសោត្រូវបានរំខាន។ ជាទូទៅទាំងអស់និង (UN) KNOWN គឺជាគំរូអ្នកប្រើតែមួយគត់ដែលសមហេតុផល។
រកមើលឈ្មោះអ្នកប្រើអាចធ្វើបានតែជាមួយសេវាកម្មដែលមានមូលដ្ឋានលើ TCP ហើយមានតែនៅពេលម៉ាស៊ីនភ្ញៀវដំណើរការដេមិនសមរម្យប៉ុណ្ណោះ។ នៅក្នុងគ្រប់ករណីផ្សេងទៀតលទ្ធផលគឺ "មិនស្គាល់" ។
កំហុសខឺណែល UNIX ល្បីល្បាញអាចបណ្តាលឱ្យបាត់បង់សេវាកម្មនៅពេលការរកមើលឈ្មោះអ្នកប្រើត្រូវបានទប់ស្កាត់ដោយជញ្ជាំងភ្លើង។ ឯកសាររុំឯកសារ README ពិពណ៌នាអំពីនីតិវិធីដើម្បីរកមើលថាតើខឺណែលរបស់អ្នកមានកំហុសនេះ។
ការរកមើលឈ្មោះអ្នកប្រើអាចបណ្ដាលឱ្យមានការពន្យាពេលគួរអោយកត់សំគាល់សម្រាប់អ្នកប្រើដែលមិនមែនជា UNIX ។ ពេលវេលាសម្រាកលំនាំដើមសម្រាប់ការរកមើលឈ្មោះអ្នកប្រើគឺ 10 វិនាទី: ខ្លីពេកដើម្បីដោះស្រាយបញ្ហាបណ្តាញយឺតប៉ុន្តែយូរដើម្បីធ្វើឱ្យអ្នកប្រើ PC ឆាប់ខឹង។
ការរកមើលឈ្មោះអ្នកប្រើដែលបានជ្រើសអាចកាត់បន្ថយបញ្ហាចុងក្រោយបាន។ ឧទាហរណ៍ក្បួនដូចជា:
daemon_list: @pcnetgroup ALL @ ALL
នឹងផ្គូផ្គងសមាជិកនៃ netgroup កុំព្យូទ័រដោយមិនចាំបាច់រកឈ្មោះអ្នកប្រើប្រាស់ទេប៉ុន្តែនឹងធ្វើការស្វែងរកឈ្មោះអ្នកប្រើជាមួយប្រព័ន្ធផ្សេងទៀតទាំងអស់។
ចំនុចប្រមូលផ្ដុំ
កំហុសនៅក្នុងការបង្កើតលេខលំដាប់លំដាប់នៃការប្រតិបត្តិ TCP / IP ជាច្រើនអនុញ្ញាតឱ្យអ្នកឈ្លានពានក្លែងក្លាយក្លែងក្លាយម៉ាស៊ីនដែលជឿទុកចិត្តបានយ៉ាងងាយស្រួលនិងដើម្បីបំបែកតាមរយៈឧទាហរណ៍សេវាសែលពីចម្ងាយ។ សេវា IDENT (RFC931 ។ ល។ ) អាចត្រូវបានប្រើដើម្បីរកមើលការវាយប្រហារក្លែងបន្លំអាស័យដ្ឋានម៉ាស៊ីននិងការធ្វើបែបនេះ។
មុនពេលទទួលយកសំណើរអតិថិជនរុំអាចប្រើសេវាកម្ម IDENT ដើម្បីដឹងថាអតិថិជនមិនបានផ្ញើសំណើរទាំងអស់។ នៅពេលដែលម៉ាស៊ីនភ្ញៀវផ្តល់ជូននូវសេវា IDENT លទ្ធផលស្វែងរក IDENTA អវិជ្ជមាន (ម៉ាស៊ីនភ្ញៀវផ្គូផ្គង `UNKNOWN @ host ') គឺជាភស្តុតាងដ៏រឹងមាំនៃការវាយប្រហារបញ្ឆោតរបស់ម៉ាស៊ីន។
លទ្ធផលរកមើល IDENTITY ជាលទ្ធផលវិជ្ជមាន (ម៉ាស៊ីនភ្ញៀវផ្គូផ្គង `KNOWN @ host ') មិនសូវទុកចិត្ត។ វាអាចទៅរួចសម្រាប់អ្នកលួចបន្លំទាំងការតភ្ជាប់ម៉ាស៊ីនភ្ញៀវនិងការស្វែងរកអាយឌីអិនទោះបីជាការធ្វើបែបនេះគឺពិបាកជាងការក្លែងបន្លំរបស់អតិថិជន។ វាក៏អាចជាម៉ាស៊ីនបម្រើ IDENT របស់អតិថិជនកំពុងនិយាយកុហក។
ចំណាំ: ការស្វែងរក IDENT មិនដំណើរការជាមួយសេវាកម្ម UDP ទេ។
ឧទាហរណ៍
ភាសាមានលក្ខណៈបត់បែនគ្រប់យ៉ាងដែលមានប្រភេទខុសៗគ្នានៃគោលនយោបាយគ្រប់គ្រងការចូលប្រើប្រាស់ដែលអាចត្រូវបានបង្ហាញដោយអប្បបរមានៃភាពច្របូកច្របល់។ ទោះបីជាភាសាប្រើតារាងត្រួតពិនិត្យការចូលប្រើពីរក៏ដោយគោលនយោបាយទូទៅបំផុតអាចត្រូវបានអនុវត្តដោយតារាងមួយក្នុងចំណោមតារាងដែលមិនធម្មតាឬទទេ។
នៅពេលអានឧទាហរណ៍ខាងក្រោមវាជាការសំខាន់ណាស់ដែលត្រូវដឹងថាតារាងអនុញ្ញាតត្រូវបានស្កេនមុនពេលតារាងបដិសេធថាការស្វែងរកនឹងបញ្ចប់នៅពេលដែលការប្រកួតត្រូវបានរកឃើញហើយការចូលដំណើរការត្រូវបានផ្តល់នៅពេលគ្មានការប្រកួតត្រូវបានរកឃើញ។
ឧទាហរណ៍ប្រើម៉ាស៊ីននិងឈ្មោះដែន។ ពួកគេអាចត្រូវបានកែលម្អដោយការបញ្ចូលអាសយដ្ឋាននិង / ឬបណ្តាញ / ព័ត៌មានរបាំងបណ្ដាញដើម្បីកាត់បន្ថយផលប៉ះពាល់នៃការបរាជ័យរកមើលឈ្មោះម៉ាស៊ីនបណ្ដោះអាសន្ន។
បិទជិតបំផុត
ក្នុងករណីនេះការចូលដំណើរការត្រូវបានបដិសេធតាមលំនាំដើម។ មានតែម្ចាស់ផ្ទះដែលត្រូវបានអនុញ្ញាតឱ្យចូលដំណើរការ។
គោលនយោបាយលំនាំដើម (គ្មានការចូលដំណើរការ) ត្រូវបានអនុវត្តជាមួយឯកសារបដិសេធធម្មតា:
/etc/hosts.deny: ទាំងអស់: ទាំងអស់
វាបដិសេធសេវាកម្មទាំងអស់ទៅកាន់ម៉ាស៊ីនទាំងអស់លុះត្រាតែពួកវាត្រូវបានអនុញ្ញាតឱ្យចូលដំណើរការដោយធាតុនៅក្នុងឯកសារអនុញ្ញាត។
ម៉ាស៊ីនសិទ្ធិអនុញ្ញាតជាក់លាក់ត្រូវបានរាយនៅក្នុងឯកសារអនុញ្ញាត។ ឧទាហរណ៍:
/etc/hosts.allow: ALL: LOCAL @some_netgroup
ALL: .foobar.edu លើកលែងតែ terminalals.foobar.edu
ក្បួនដំបូងអនុញ្ញាតឱ្យចូលដំណើរការពីម៉ាស៊ីននៅក្នុងដែនមូលដ្ឋាន (គ្មាន '។ ' នៅក្នុងឈ្មោះម៉ាស៊ីន) និងពីសមាជិកនៃ netgroup មួយចំនួន netgroup ។ ក្បួនទីពីរអនុញ្ញាតឱ្យចូលដំណើរការពីម៉ាស៊ីនទាំងអស់នៅក្នុងដែន foobar.edu (សម្គាល់ចំណុចនាំមុខ) ដោយលើកលែងតែ terminalals.foobar.edu ។
បើកចំហបំផុត
នៅទីនេះការចូលប្រើត្រូវបានផ្តល់តាមលំនាំដើម។ មានតែម៉ាស៊ីនដែលបញ្ជាក់ច្បាស់លាស់ប៉ុណ្ណោះដែលត្រូវបានបដិសេធសេវាកម្ម។
គោលការណ៍លំនាំដើម (ការចូលដំណើរការដែលបានផ្តល់) ធ្វើឱ្យឯកសារអនុញ្ញាតឱ្យលែងត្រូវការដូច្នេះវាអាចត្រូវបានលុបចោល។ ម៉ាស៊ីនដែលមិនត្រូវបានអនុញ្ញាតច្បាស់លាស់ត្រូវបានរាយនៅក្នុងឯកសារបដិសេធ។ ឧទាហរណ៍:
/etc/hosts.deny: ទាំងអស់: some.host.name, .domaindomain
ទាំងអស់មិនមាន in.fingerd: other.host.name, .other.domain
ក្បួនទីមួយបដិសេធម៉ាស៊ីននិងដែនមួយចំនួននៃសេវាទាំងអស់។ ក្បួនទីពីរនៅតែអនុញ្ញាតឱ្យមានសំណើម្រាមដៃពីម៉ាស៊ីននិងដែនផ្សេងទៀត។
សត្វព្រៃ TRAPS
ឧទាហរណ៍បន្ទាប់អនុញ្ញាតឱ្យសំណើ tftp ពីម៉ាស៊ីននៅក្នុងដែនមូលដ្ឋាន (ចំណាំសញ្ញានាំផ្លូវ) ។ សំណើពីម៉ាស៊ីនផ្សេងទៀតត្រូវបានបដិសេធ។ ជំនួសឱ្យឯកសារដែលបានស្នើសុំការស៊ើបអង្កេតម្រាមដៃត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនដែលប្រមាថ។ លទ្ធផលត្រូវបានផ្ញើទៅអ្នកប្រើជាន់ខ្ពស់។
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ទាំងអស់: ពងមាន់ (/ some / where / safe_finger -l @% h | \ / usr / ucb / mail-s% d-% h root) &ពាក្យបញ្ជាសុវត្ថិភាពខ្សែដៃភ្ជាប់មកជាមួយ wrapper tcpd ហើយគួរត្រូវបានដំឡើងនៅកន្លែងសមរម្យមួយ។ វាអាចកំណត់ការខូចខាតដែលអាចធ្វើបានពីទិន្នន័យដែលផ្ញើដោយម៉ាស៊ីនមេដៃពីចម្ងាយ។ វាផ្តល់នូវការការពារល្អប្រសើរជាងពាក្យបញ្ជាម្រាមដៃស្ដង់ដារ។
ការពង្រីកនៃលំដាប់% h (ម៉ាស៊ីនភ្ញៀវ) និងលំដាប់% d (ឈ្មោះសេវា) ត្រូវបានពិពណ៌នានៅក្នុងផ្នែកនៅលើពាក្យបញ្ជាសែល។
ការព្រមាន: កុំប្រើអន្ទាក់ម្រាមដៃរបស់អ្នកឱ្យសោះលុះត្រាតែអ្នកត្រូវបានរៀបចំសម្រាប់រង្វិលជុំឥតខ្សែ។
នៅលើប្រព័ន្ធជញ្ជាំងភ្លើងបណ្តាញនេះល្បិចនេះអាចត្រូវបានអនុវត្តបន្ថែមទៀត។ ជញ្ជាំងភ្លើងបណ្តាញធម្មតាផ្តល់ជូននូវសេវាកម្មមានកំរិតដល់ពិភពខាងក្រៅ។ សេវាកម្មផ្សេងទៀតទាំងអស់អាចត្រូវបាន "ទាត់" ដូចឧទាហរណ៍ tftp ខាងលើ។ លទ្ធផលគឺជាប្រព័ន្ធព្រមានដើមដំបូងដ៏ល្អ។
សូមមើលផងដែរ
កម្មវិធី wrapper tcpd (8) tcp / ip ដេមិន។ tcpdchk (8), tcpdmatch (8), កម្មវិធីធ្វើតេស្ត។សំខាន់: ប្រើពាក្យបញ្ជា man ( % man ) ដើម្បីមើលពីរបៀបប្រើពាក្យបញ្ជាលើកុំព្យូទ័រជាក់លាក់របស់អ្នក។