NAME এর
hosts_access - হোস্ট অ্যাক্সেস নিয়ন্ত্রণ ফাইলের ফর্ম্যাট
বর্ণনা
এই ম্যানুয়াল পৃষ্ঠা ক্লায়েন্ট (হোস্ট নাম / ঠিকানা, ব্যবহারকারীর নাম) এবং সার্ভার (প্রক্রিয়া নাম, হোস্ট নাম / ঠিকানা) নিদর্শন ভিত্তিক একটি সহজ অ্যাক্সেস নিয়ন্ত্রণ ভাষা বর্ণনা করে। উদাহরণ শেষে দেওয়া হয়। অবিলম্বে পাঠক একটি দ্রুত পরিচয় জন্য EXAMPLES বিভাগে এড়িয়ে যেতে উত্সাহিত করা হয়।
অ্যাক্সেস কন্ট্রোল ভাষাটির একটি বর্ধিত সংস্করণটি hosts_options (5) নথিতে বর্ণনা করা হয়েছে। -PROCESS_OPTIONS এর সাথে নির্মাণের মাধ্যমে প্রোগ্রাম বিল্ডের সময় এক্সটেনশান চালু করা হয়।
নিম্নোক্ত পাঠে, ডেমন হল একটি নেটওয়ার্ক ডেমন প্রক্রিয়ার প্রক্রিয়া নাম, এবং ক্লায়েন্ট একটি হোস্ট অনুরোধকারী পরিষেবাটির নাম এবং / অথবা ঠিকানা। নেটওয়ার্ক ডেমন প্রক্রিয়া নামগুলি inetd কনফিগারেশন ফাইলের মধ্যে উল্লিখিত হয়।
অ্যাক্সেস কন্ট্রোল ফাইল
অ্যাক্সেস নিয়ন্ত্রণ সফ্টওয়্যার দুটি ফাইল আলোচনা। অনুসন্ধানটি প্রথম ম্যাচে থামে:
*
অ্যাক্সেস দেওয়া হবে যখন একটি (ডেমন, ক্লায়েন্ট) জোড়া /etc/hosts.allow ফাইলের একটি এন্ট্রির সাথে মেলে।
*
অন্যথা, অ্যাক্সেস অস্বীকার করা হবে যখন একটি ( ডেমন , ক্লায়েন্ট) জোড়া /etc/hosts.deny ফাইলের একটি এন্ট্রির সাথে মেলে।
*
অন্যথায়, অ্যাক্সেস দেওয়া হবে।
এটি একটি খালি ফাইল হিসাবে একটি অ বিদ্যমান এক্সেস নিয়ন্ত্রণ ফাইল হিসাবে গণ্য করা হয় । সুতরাং, অ্যাক্সেস কন্ট্রোল কোন এক্সেস নিয়ন্ত্রণ ফাইল প্রদান করে বন্ধ করা যাবে ।
অ্যাক্সেস নিয়ন্ত্রণ নিয়ম
প্রতিটি অ্যাক্সেস নিয়ন্ত্রণ ফাইল শূন্য বা আরও লাইনের পাঠ্যাংশের মধ্যে রয়েছে। এই লাইন চেহারা ক্রম অনুসারে প্রসেস করা হয়। একটি ম্যাচ পাওয়া গেলে অনুসন্ধানটি বন্ধ হয়ে যায়।
*
একটি ব্যাকল্ল্যাশ অক্ষর দ্বারা পূর্বে একটি নতুন অক্ষরটি উপেক্ষা করা হয়। এটি আপনাকে দীর্ঘ লাইন ভাঙ্গার অনুমতি দেয় যাতে তারা সম্পাদনা করতে সহজ হয়।
*
'#' চরিত্রের সাথে শুরু হওয়া ফাঁকা লাইন বা লাইন উপেক্ষা করা হয়। এটি আপনাকে মন্তব্য এবং হোয়াইট স্পেস সন্নিবেশ করার অনুমতি দেয় যাতে টেবিলের পড়া সহজ হয়।
*
সব অন্যান্য লাইন নিম্নলিখিত বিন্যাস সন্তুষ্ট করা উচিত, [] ঐচ্ছিক হচ্ছে মধ্যে জিনিস:
daemon_list: client_list [: shell_command]
daemon_list এক বা একাধিক ডেমন প্রসেসের নামের একটি তালিকা (argv [0] মান) বা ওয়াইল্ডকার্ডগুলি (নিচে দেখুন)।
client_list হল এক বা একাধিক হোস্ট নাম, হোস্ট ঠিকানা, নিদর্শন বা ওয়াইল্ডকার্ডের তালিকা (নিচে দেখুন) যা ক্লায়েন্ট হোস্ট নাম বা ঠিকানার সাথে মিলে যাবে।
আরও জটিল ফর্ম ডেমন @ হোস্ট এবং ইউজার @ হোস্ট সার্ভারের শেষপৃষ্ঠা প্যাটার্ন এবং ক্লায়েন্ট ইউজারনেম উল্লিখিত অংশগুলিতে অনুচ্ছেদে ব্যাখ্যা করা হয়েছে।
তালিকা উপাদানগুলিকে শূন্য এবং / অথবা কমা দ্বারা পৃথক করা উচিত।
NIS (YP) নেটগ্রুপ লিক্যুভারের ব্যতিক্রম ছাড়া, সব অ্যাক্সেস কন্ট্রোল চেকগুলি ক্ষেত্রে অস্বস্তিকর হয়।
প্যাটার্নস
অ্যাক্সেস কন্ট্রোল ভাষা নিম্নলিখিত নিদর্শন প্রয়োগ করে:
*
একটি স্ট্রিং যা দিয়ে শুরু হয় `। ' অক্ষর। যদি একটি নির্দিষ্ট প্যাটার্ন মেলে তার নামের শেষ উপাদান মিলিত হয় তবে একটি হোস্ট নাম মিলেছে। উদাহরণস্বরূপ, প্যাটার্ন `.tue.nl 'হোস্ট নাম` wzv.win.tue.nl' এর সাথে মেলে।
*
একটি স্ট্রিং যা '।' অক্ষর। হোস্টের ঠিকানাটি মিলিত হলে তার প্রথম সংখ্যাসূচক ক্ষেত্রগুলি প্রদত্ত স্ট্রিংের সাথে মেলে। উদাহরণস্বরূপ, প্যাটার্ন `131.155। ' এন্ডোভেন বিশ্ববিদ্যালয় নেটওয়ার্কের (প্রায় 131.155.xx) প্রতি হোস্টের (প্রায়) ঠিকানা মেলে।
*
একটি স্ট্রিং যা '@' চরিত্রের সাথে শুরু হয় NIS (পূর্বে YP) নেটগ্রুপ নাম হিসাবে গণ্য করা হয়। নির্দিষ্ট নেট গ্রুপের একটি হোস্ট সদস্য যদি হোস্ট নামটি মিলে যায়। ডেমো প্রসেসের নামগুলির জন্য অথবা ক্লায়েন্ট ব্যবহারকারী নামগুলির জন্য নেট গ্রুপের মিলগুলি সমর্থিত নয়।
*
`Nnnn / mmmm 'ফর্মের একটি অভিব্যক্তি` নেট / মাস্ক' জোড়া হিসাবে ব্যাখ্যা করা হয়েছে। IPv4 হোস্ট ঠিকানাটি যদি মিলে যায় তবে `নেট 'বিটwise এবং ঠিকানা এবং' মাস্ক 'এর সমান হলে। উদাহরণস্বরূপ, নেট / মাস্ক প্যাটার্ন `131.155.72.0/255.২55.২54.0 '' 131.155.72.0 'এর মধ্যে' 131.155.73.২55 'এর মাধ্যমে প্রতিটি ঠিকানা মেলে।
*
ফর্ম `[n: n: n: n: n: n: n: n] / m 'এর একটি অভিব্যক্তি' [নেট] / প্রিফিক্সেলেন 'জোড়া হিসাবে ব্যাখ্যা করা হয়েছে। 'নেট' এর 'prefixlen' বিট ঠিকানাটির 'prefixlen' বিট সমান হলে একটি IPv6 হোস্ট ঠিকানা মিলেছে। উদাহরণস্বরূপ, [নেট] / প্রিফিক্সেলেন প্যাটার্ন `[3ffe: 505: 2: 1 ::] / 64 'পরিচয়ের প্রতিটি ঠিকানা মিলিয়ে 3ffe: 505: 2: 1 ::' 3ffe: 505: 2 এর মাধ্যমে: 1: ffff: ffff: ffff: ffff '।
*
একটি স্ট্রিং যা একটি `/ 'অক্ষর দিয়ে শুরু হয় একটি ফাইলের নাম হিসাবে গণ্য করা হয়। নামের হোস্ট নাম তালিকাভুক্ত কোন হোস্ট নাম বা ঠিকানা প্যাটার্ন মেলে যদি হোস্ট নাম বা ঠিকানা মিলিত হয়। ফাইল বিন্যাস শূন্য বা আরও লাইন শূন্য বা অন্য হোস্ট নাম বা হোয়াইটস্পেস দ্বারা পৃথক ঠিকানা প্যাটার্ন। কোনও ফাইলের নাম প্যাটার্নটি যেকোনো জায়গায় একটি হোস্ট নাম বা ঠিকানা প্যাটার্ন ব্যবহার করা যেতে পারে ব্যবহার করা যেতে পারে।
*
ওয়াইল্ডকার্ড '*' এবং '?' হোস্টনাম বা আইপি ঠিকানাগুলি মেলানোর জন্য ব্যবহার করা যেতে পারে 'নেট / মাস্ক' মিলের সাথে মেলানোর এই পদ্ধতিটি ব্যবহার করা যাবে না, হোস্টনাম মেলা '।' বা '।'
ওয়াইল্ডকার্ড
অ্যাক্সেস কন্ট্রোল ভাষা পরিষ্কার ওয়াইল্ডকার্ড সমর্থন করে:
সব
সর্বজনীন ওয়াইল্ডকার্ড, সর্বদা মিলে যায়।
স্থানীয়
যে কোনও হোস্টের নামের সাথে একটি ডট অক্ষর থাকে না।
অজানা
যে ব্যবহারকারীর নামটি অজানা রয়েছে সেটির সাথে মেলে, এবং যে কোনও হোস্টের নাম বা ঠিকানা অজানা রয়েছে। এই প্যাটার্নটি যত্ন সহ ব্যবহার করা উচিত: অস্থায়ী নাম সার্ভার সমস্যাগুলির কারণে হোস্ট নাম অনুপলব্ধ থাকতে পারে। একটি নেটওয়ার্কের ঠিকানা অনুপলব্ধ হবে যখন সফ্টওয়্যারটি কোনও নেটওয়ার্ককে এটি কি ভাবে কথা বলে তা বুঝতে পারে না।
পরিচিত
কোনও ব্যবহারকারীর নামের সাথে পরিচিত হয় যার নামটি পরিচিত, এবং যে কোনও হোস্টের নাম এবং ঠিকানা পরিচিত। এই প্যাটার্নটি যত্ন সহ ব্যবহার করা উচিত: অস্থায়ী নাম সার্ভার সমস্যাগুলির কারণে হোস্ট নাম অনুপলব্ধ থাকতে পারে। একটি নেটওয়ার্কের ঠিকানা অনুপলব্ধ হবে যখন সফ্টওয়্যারটি কোনও নেটওয়ার্ককে এটি কি ভাবে কথা বলে তা বুঝতে পারে না।
ভীতু
যে কোনও হোস্টের নামের সাথে তার ঠিকানা মেলে না। যখন tcpd -DPARANOID (ডিফল্ট মোড) দিয়ে তৈরি করা হয়, তখন এটি অ্যাক্সেস কন্ট্রোল টেবিলগুলি দেখার আগেও এই ক্লায়েন্টদের কাছ থেকে অনুরোধগুলি ড্রপ করে। এই ধরনের অনুরোধের উপর আরো নিয়ন্ত্রণ চান যখন- DPARANOID ছাড়া তৈরি করুন।
অপারেটর
ছাড়া
উদ্দেশ্য ব্যবহার ফর্ম হয়: 'list_1 EXCEPT list_2'; এই গঠনটি match_1 এর সাথে মেলে এমন কিছু মেলে না যদি না সে তালিকা তালিকার সাথে মেলে। EXCEPT অপারেটরটি daemon_lists এবং ক্লায়েন্ট_লিস্টগুলিতে ব্যবহার করা যেতে পারে। EXCEPT অপারেটরটি নেস্টেড হতে পারে: যদি কন্ট্রোল ভাষা বন্ধনীগুলির ব্যবহারের অনুমতি দেয় তবে 'EXCEPT B EXCEPT C' '(EXCEPT (B EXCEPT C)) হিসাবে পার্স পার্স করবে'।
শেল কমান্ডগুলি
যদি প্রথম মিলিত অ্যাকসেস কন্ট্রোল শুল্কে একটি শেল কমান্ড থাকে, তবে সেই কমান্ডটি % অব্যবহৃত (পরবর্তী অংশটি দেখুন) এর অধীনে রয়েছে। ফলাফলটি একটি ইনপুট / আউটপুট এবং / dev / null এর সাথে সংযুক্ত ত্রুটিযুক্ত মানের ইনপুট, আউটপুট এবং ত্রুটিযুক্ত একটি / bin / sh চাইল্ড প্রসেস দ্বারা সঞ্চালিত হয়। কমান্ডের শেষে একটি `& 'উল্লেখ করুন যদি আপনি এটি শেষ না হওয়া পর্যন্ত অপেক্ষা করতে না চান।
শেল কমান্ডগুলি inetd এর PATH সেটিংয়ের উপর নির্ভর করে না। পরিবর্তে, তাদের পরম পাথ নাম ব্যবহার করা উচিত, অথবা তারা একটি স্পষ্ট PATH = যাই হোক না কেন বিবৃতি দিয়ে শুরু করা উচিত।
Hosts_options (5) নথিতে একটি বিকল্প ভাষা বর্ণিত হয় যা শেল কমান্ড ক্ষেত্রটি একটি ভিন্ন এবং অসঙ্গত ভাবে ব্যবহার করে।
% এক্সশনস
নিম্নোক্ত এক্সপ্রেশনগুলি শেল কমান্ডের মধ্যে পাওয়া যায়:
% a (% A)
ক্লায়েন্ট (সার্ভার) হোস্ট ঠিকানা।
% গ
ক্লায়েন্ট তথ্য: ব্যবহারকারীর @ হোস্ট, ব্যবহারকারীর ঠিকানা, একটি হোস্ট নাম, বা শুধু একটি ঠিকানা, কত তথ্য পাওয়া যায় উপর নির্ভর করে।
% d টি
ডেমন প্রক্রিয়া নাম (argv [0] মান)
% h (% H)
ক্লায়েন্ট (সার্ভার) হোস্ট নাম বা ঠিকানা, হোস্ট নাম অনুপলব্ধ যদি।
% n (% N)
ক্লায়েন্ট (সার্ভার) হোস্ট নাম (বা "অজানা" অথবা "প্যারোইয়ড")।
% পি
ডেমন প্রক্রিয়া আইডি
% s-
সার্ভার তথ্য: ডেমন @ হোস্ট, ডেমন @ ঠিকানা, বা শুধু একটি ডেমন নাম, কতটা তথ্য পাওয়া যায় তার উপর নির্ভর করে।
% U
ক্লায়েন্ট ব্যবহারকারী নাম (বা "অজানা")।
%%
একক '%' অক্ষরে প্রসারিত করুন
% এক্সটেনশনের অক্ষর যা শেলকে বিভ্রান্ত করতে পারে আন্ডারস্কোর দ্বারা প্রতিস্থাপিত হয়।
সার্ভার সমাপ্তি প্যাটার্নস
নেটওয়ার্ক অ্যাড্রেস দ্বারা ক্লায়েন্টগুলির পার্থক্য সনাক্ত করার জন্য, যেগুলি তাদের সাথে সংযুক্ত হয়, ফর্মের নিদর্শনগুলি ব্যবহার করুন:
process_name @ host_pattern: client_list ...
মেশিনের বিভিন্ন ইন্টারনেট হোস্টনামগুলির সাথে আলাদা আলাদা আলাদা আলাদা আলাদা আলাদা আলাদা আলাদা নম্বর থাকলেও এটির মতো প্যাটার্নগুলি ব্যবহার করা যায়। পরিষেবা প্রদানকারীরা এই সুবিধাটি ইন্টারনেট নাম দিয়ে FTP, GOPHER বা WWW আর্কাইভ অফার করতে পারে যা এমনকি বিভিন্ন সংস্থার অন্তর্গত হতে পারে। হোস্ট_পপন্থী (5) নথির ' টিপ ' বিকল্পটিও দেখুন। কিছু সিস্টেম (সোলারিস, ফ্রিবিএসডি) এক ভৌত ইন্টারফেসে একাধিক ইন্টারনেট ঠিকানা থাকতে পারে; অন্যান্য সিস্টেমে আপনি একটি SLIP বা পিপিপি ছদ্ম ইন্টারফেস যে একটি ডেডিকেটেড নেটওয়ার্ক ঠিকানা স্থান বাস করতে হবে।
Host_pattern হোস্ট নাম এবং ক্লায়েন্ট_লিস্ট প্রসঙ্গে ঠিকানা হিসাবে একই সিনট্যাক্স নিয়ম পালন করে। সাধারণত, সার্ভারের শেষ পয়েন্ট তথ্য কেবল সংযোগ-ভিত্তিক পরিষেবাগুলির সাথে উপলভ্য।
ক্লায়েন্ট USERNAME LOOKUP
যখন ক্লায়েন্ট হোস্ট RFC 931 প্রোটোকল বা তার উত্তরসূরীদের একটি (টেপ, IDENT, RFC 1413) wrapper প্রোগ্রাম একটি সংযোগের মালিক সম্পর্কে অতিরিক্ত তথ্য উদ্ধার করতে পারেন। ক্লায়েন্ট ব্যবহারকারীর নাম, ক্লায়েন্ট হোস্টের নামের সাথে একসাথে লগ-ইন করে ক্লায়েন্ট ইউজারের নাম, এবং এর মত প্যাটার্নগুলি ব্যবহার করতে ব্যবহার করা যেতে পারে:
daemon_list: ... user_pattern @ host_pattern ...
নিয়মের চালিত ইউজারনেম প্রদর্শনের (ডিফল্ট) সঞ্চালন করার জন্য অথবা ক্লায়েন্ট হোস্টের সর্বদা জিজ্ঞাসাবাদ করার জন্য ডেমন ঢালার সময় কনফিলে কনফিগার করা যায়। নিয়ম-চালিত ইউজার নেম সার্ভারের ক্ষেত্রে উপরের ডায়নামোলিস্ট এবং হোস্ট - প্যাটার্ন মিল উভয়ই যখন ব্যবহারকারীর নাম দেখায়
একটি ব্যবহারকারী প্যাটার্নে একই সিনট্যাক্স ডেমন প্রক্রিয়া প্যাটার্ন হিসাবে রয়েছে, তাই একই ওয়াইল্ডকার্ডগুলি প্রয়োগ করা হয় (নেট গ্রুপের সদস্যতা সমর্থিত নয়) এক ব্যবহারকারীর নাম উল্কি সঙ্গে বহন করা উচিত নয়, যদিও।
*
যখন ক্লায়েন্ট সিস্টেমের সাথে আপোস করা হয় তখন ক্লায়েন্টের ব্যবহারকারীর তথ্য বিশ্বস্ত হতে পারে না। সাধারণভাবে, সমস্ত এবং (জাতিসংঘ) KNOWN একমাত্র ব্যবহারকারী নাম প্যাটার্ন যা অর্থ তৈরি করে।
*
ব্যবহারকারীর নামগুলি শুধুমাত্র TCP- ভিত্তিক পরিষেবাগুলির সাথে অনুসন্ধান করা সম্ভব, এবং শুধুমাত্র ক্লায়েন্ট হোস্ট একটি উপযুক্ত ডেমন চালায়; অন্য সকল ক্ষেত্রে ফলাফলটি "অজানা"।
*
একটি সুপরিচিত UNIX কার্নেল বাগ ফায়ারওয়াল দ্বারা ব্যবহারকারীর লগআউটগুলি অবরুদ্ধ হলে সেবাটির ক্ষতি হতে পারে। Wrapper README নথিটি একটি কার্যাবলী বর্ণনা করে যাতে কার্নেলটি এই বাগ আছে।
*
ব্যবহারকারীর নাম লক্ষণগুলি অ-UNIX ব্যবহারকারীদের জন্য লক্ষণীয় বিলম্ব হতে পারে। ব্যবহারকারীর নজরদারির জন্য ডিফল্ট সময়সীমা 10 সেকেন্ড: ধীর নেটওয়ার্কগুলির সাথে সামঞ্জস্যপূর্ণ নয়, তবে পিসি ব্যবহারকারীদের বিরক্ত করার জন্য যথেষ্ট।
সিলেক্টিভ ইউজার নেম কাজ শেষ সমস্যাটি উপভোগ করতে পারে। উদাহরণস্বরূপ, একটি নিয়ম মত:
daemon_list: @pcnetgroup ALL @ ALL
ইউজার নেম ব্যবহার না করেই নেটওয়ার্কে পিটি নেটওয়ার্কে মিলিত হবে, কিন্তু অন্যান্য সকল সিস্টেমে ইউজারনেম দেখাবে।
ঠিকানা সনাক্তকরণ SPOOFING ATTACKS
অনেক টিসিপি / আইপি বাস্তবায়নের ক্রম সংখ্যা জেনারেটরতে একটি ত্রুটি স্বাক্ষরকারীরা বিশ্বাসযোগ্য হোস্টের ছদ্মবেশ ধারণ করে এবং এর মাধ্যমে ভাঙতে দেয়, উদাহরণস্বরূপ, দূরবর্তী শেল সেবা IDENT (RFC931 ইত্যাদি) পরিষেবা যেমন এবং অন্যান্য হোস্ট ঠিকানা স্পুফিং আক্রমণ সনাক্ত করতে ব্যবহার করা যেতে পারে।
ক্লায়েন্টের অনুরোধ গ্রহণের আগে, রবার্টগুলি আইডেন্ট পরিষেবাটি ব্যবহার করতে পারে তা জানতে ক্লায়েন্ট এটিকে সব সময়ে অনুরোধ পাঠায় নি। যখন ক্লায়েন্ট হোস্ট IDENT পরিষেবা প্রদান করে, তখন একটি নেতিবাচক আইডেন্ট খোঁজার ফলাফল (ক্লায়েন্ট 'UNKNOWN @ হোস্ট' মেলেন) একটি হোস্ট স্পুফিং আক্রমণের শক্তিশালী প্রমাণ।
একটি ইতিবাচক আইডেন্ট খোঁজার ফলাফল (ক্লায়েন্ট 'জান্নাত @ হোস্ট' দ্বারা মিলিত হয়) কম নির্ভরযোগ্য। এটি একটি অনুপ্রবেশকারী উভয় ক্লায়েন্ট সংযোগ এবং আইডেন্ট অনুসন্ধান চুরি করার জন্য সম্ভব, যদিও এটা শুধু একটি ক্লায়েন্ট সংযোগ spoofing তুলনায় অনেক কঠিন। এটি হতে পারে যে ক্লায়েন্টের IDENT সার্ভারটি মিথ্যা।
দ্রষ্টব্য: IDENT lookups UDP পরিষেবাগুলির সাথে কাজ করে না।
উদাহরণ
ভাষাটি যথেষ্ট নমনীয় যে বিভিন্ন ধরনের অ্যাক্সেস কন্ট্রোল পলিসিটি সর্বনিম্ন ক্ষোভের সাথে প্রকাশ করা যেতে পারে। যদিও ভাষাটি দুটি অ্যাক্সেস কন্ট্রোল টেবিল ব্যবহার করে, তবুও একাধিক সাধারণ নীতিগুলি প্রয়োগ করা যেতে পারে একটি টেবিল হচ্ছে ক্ষুদ্র বা এমনকি খালি।
নীচের উদাহরণগুলি পড়ার সময় এটি উপলব্ধি করা গুরুত্বপূর্ণ যে টেবিটি অস্বীকার করার টেবিলের আগে স্ক্রিনের অনুমতি দেওয়া হয়, যখন একটি ম্যাচ পাওয়া যায় তখন অনুসন্ধানটি বন্ধ হয়ে যায় এবং যখন কোনও ম্যাচ পাওয়া যায় না তখন অ্যাক্সেস দেওয়া হয়।
উদাহরণ হোস্ট এবং ডোমেন নাম ব্যবহার। অস্থায়ী নাম সার্ভার দেখার ব্যর্থতাগুলির প্রভাব কমাতে তাদের ঠিকানা এবং / অথবা নেটওয়ার্ক / নেটমাস্ক তথ্য অন্তর্ভুক্ত করে উন্নত করা যায়।
প্রায় বন্ধ
এই ক্ষেত্রে, অ্যাক্সেস ডিফল্ট দ্বারা অস্বীকার করা হয়। শুধুমাত্র স্পষ্টভাবে অনুমোদিত হোস্ট অ্যাক্সেস অনুমোদিত হয়।
ডিফল্ট নীতি (কোন অ্যাক্সেস) একটি তুচ্ছ অস্বীকার ফাইল সঙ্গে বাস্তবায়িত হয়:
/etc/hosts.deny: ALL: ALL
এটি সমস্ত হোস্টে সমস্ত পরিষেবাকে অস্বীকার করে, যদি না অনুমতি ফাইলের এন্ট্রি দ্বারা অ্যাক্সেসের অনুমতি না থাকে।
স্পষ্টভাবে অনুমোদিত হোস্ট অনুমতি ফাইলের তালিকাভুক্ত করা হয়। উদাহরণ স্বরূপ:
/etc/hosts.allow: ALL: স্থানীয় @some_netgroup
সব: .ফোবর্। এডু টার্মিনালরেভার.ফোবর্
প্রথম নিয়ম স্থানীয় ডোমেইনের হোস্ট থেকে অ্যাক্সেসের অনুমতি দেয় (হোস্ট নামের কোন `। ') এবং কিছু_নেট গ্রুপের গ্রুপ থেকে। দ্বিতীয় নিয়মাবলী foobar.edu ডোমেনের সমস্ত হোস্টগুলি থেকে অ্যাক্সেসের অনুমতি দেয় ( টার্মিনালর.ফোবর্ । এডুকে বাদ দিয়ে) শীর্ষস্থানীয় ডট দেখুন।
বেশ খোলা
এখানে, অ্যাক্সেস ডিফল্ট দ্বারা মঞ্জুর করা হয়; শুধুমাত্র স্পষ্টভাবে নির্দিষ্ট হোস্ট পরিষেবা প্রত্যাখ্যাত হয়।
ডিফল্ট নীতি (মঞ্জুরিপ্রাপ্ত অ্যাক্সেস) অনুমতি ফাইলটিকে অপ্রয়োজনীয় করে তোলে যাতে এটি বাদ দেওয়া যায়। স্পষ্টভাবে অ অনুমোদিত হোস্ট অস্বীকার ফাইলের মধ্যে তালিকাভুক্ত করা হয়। উদাহরণ স্বরূপ:
/etc/hosts.deny: ALL: some.host.name, .some.domain
সব এম্বেড করুন। ফিংগার: অন্য। হোস্ট.নাম, .other.domain
প্রথম নিয়ম কিছু হোস্ট অস্বীকার করে এবং সমস্ত পরিষেবা ডোমেন; দ্বিতীয় বিধি এখনও অন্যান্য হোস্ট এবং ডোমেন থেকে আঙুলের অনুরোধ অনুমোদন করে।
বাবু ট্রাপ
পরবর্তী উদাহরণ স্থানীয় ডোমেনে হোস্টগুলি থেকে tftp অনুরোধের অনুমতি দেয় (নেতৃস্থানীয় বিন্দু দেখুন)। অন্য কোন হোস্ট থেকে অনুরোধ অস্বীকার করা হয়। অনুরোধকৃত ফাইলের পরিবর্তে, আঙ্গুলের পরীক্ষনাটি অবরুদ্ধ হোস্টে পাঠানো হয়। ফলাফল সুপারুজারে পাঠানো হয়।
/etc/hosts.allow:
in.tftpd: LOCAL, .my.domain /etc/hosts.deny: in.tftpd: ALL: spawn (/ কিছু / যেখানে / নিরাপদ_ফিংগার - l @% এইচ | / usr / ucb / mail -s% d-% এইচ রুট) &Safe_finger কমান্ডটি টিসিপিডি রেপারের সাথে আসে এবং একটি উপযুক্ত জায়গায় ইনস্টল করা উচিত। এটি দূরবর্তী আঙুল সার্ভার দ্বারা প্রেরিত ডেটা থেকে সম্ভাব্য ক্ষতি সীমাবদ্ধ। এটি স্ট্যান্ডার্ড আঙুল কমানোর চেয়ে ভাল সুরক্ষা প্রদান করে।
শেল কমান্ডের বিভাগে% h (ক্লায়েন্ট হোস্ট) এবং% d (পরিষেবা নাম) ক্রমগুলি সম্প্রসারণের বর্ণনা দেওয়া হয়েছে।
সতর্কতা: আপনার আঙুলের ডেমনকে নমনীয় করে ফেলো না, যদি না আপনি আনন্দের আঙুলের লুপগুলির জন্য প্রস্তুত থাকেন।
নেটওয়ার্কে ফায়ারওয়াল সিস্টেমে এই কৌশলটি আরও এগিয়ে নিয়ে যেতে পারে। সাধারণত নেটওয়ার্ক ফায়ারওয়াল কেবল বহিঃস্থ বিশ্বের একটি সীমিত সেট পরিষেবা প্রদান করে। অন্যান্য সমস্ত পরিষেবাগুলি "টুকরো টুকরো করা" হতে পারে যেমন উপরের tftp উদাহরণ। ফলাফল একটি চমত্কার প্রাথমিক সতর্কতা সিস্টেম।
গুরুত্বপূর্ণ: আপনার কমান্ডটি নির্দিষ্ট কম্পিউটারে কিভাবে ব্যবহার করা হয় তা দেখতে ম্যান কমান্ড ( % man ) ব্যবহার করুন।
সম্পরকিত প্রবন্ধ