Необязательные расширения языка управления доступом

Содержание материала

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

Если пакет wrapper компилировался в присутствии PROCESSOPTIONS в шаке-файле, синтаксис языка управления доступом изменяется и расширяется. Включение PROCESS_OPTIONS изменяет число полей в правилах. Новый синтаксис выглядит следующим образом:

список_служб : список_узлов : параметр : параметр ...

Списки узлов и служб определены так же, как в исходном варианте синтаксиса. Новым элементом являются параметры, равно как и факт, что в каждом правиле их может быть несколько. Существуют следующие параметры:

  • allow - Разрешает доступ к службе. Параметр указывается в конце правила.
  • deny - Запрещает доступ к службе. Параметр указывается в конце правила.
  • spawn команда - Выполняет указанную команду интерпретатора в порожденном процессе.
  • twist команда - Выполняет указанную команду интерпретатора вместо службы, к которой произошло обращение.
  • keepalive - Посылает сообщения keepalive удаленному узлу. Если узел не отвечает, соединение закрывается.
  • linger секунд - Указывает интервал времени, в течение которого следует пытаться доставить данные после того, как сервер закрыл соединение.
  • rfc931 [ интервал ] - Использует протокол IDENT для поиска имени пользователя на удаленном узле, интервал (timeout) определяет число секунд ожидания ответа от удаленного узла.
  • banners путь - Передает содержимое файла (сообщения) удаленной системе, путь - это имя каталога, содержащего файлы с «шапками» (banners). Отображается тот файл, имя которого совпадает с именем процесса сетевого демона.
  • nice [ число ] - Устанавливает значение приоритета выполнения (nice) для процесса сетевой службы. Значение по умолчанию - 10.
  • umask маска - Устанавливает значение umask для файлов, задействованных в работе процесса сетевой службы.
  • user пользователь[ группа] - Определяет идентификатор пользователя и идентификатор группы, с правами которых выполняется процесс сетевой службы. Данный параметр имеет более высокий приоритет, чем определения в файле inetd.conf.
  • setenv переменная значение - Устанавливает значение переменной среды выполнения процесса.

Чтобы проиллюстрировать отличия нового синтаксиса, рассмотрим ряд примеров, основанных на приводившихся ранее. В случае расширенного синтаксиса hosts.allow может содержать такие записи:

AL L : LOCAL, .wrotethebook.com : ALLOW
in.ftpd,in.telnetd : eds.oreilly.com : ALLOW
AL L : AL L : DENY

Новый синтаксис позволяет сократить количество файлов настройки до одного. Параметры ALLOW и DEN Y позволяют хранить все правила в одном файле. Первая строка разрешает доступ ко всем службам для всех локальных узлов и всех узлов домена wrotethebook.com. Вторая строка разрешает доступ к службам FTP и Telnet удаленному узлу eds.oreilly.com. Третья строка идентична правилу AL L : AL L в файле hosts.deny, она запрещает всем прочим узлам доступ ко всем службам. Параметры ALLOW и DEN Y позволяют переписать команду

ALL: .wrotethebook.com EXCEP T public.wrotethebook.com

следующим образом:

ALL: .wrotethebook.com : ALLOW
ALL: public.wrotethebook.com : DENY

Пример, включающий команду интерпретатора, в новом варианте выглядит почти так же:

in.rshd : ALL: spawn (safe_finger -1 @% h | /usr/sbin/mail ~s %d - %h root) & : DENY

Более интересная вариация на тему команд интерпретатора связана с параметром twist. Вместо того чтобы передавать команду интерпретатору для выполнения, команда twist выполняет для удаленного пользователя программу, но совсем не искомую. Например:

in.ftpd : ALL: twist /bin/echo 421 FT P not allowed from %h : DENY

В данном случае, когда удаленный пользователь обращается к демону FTP, вместо FTP запускается echo. Программа echo передает сообщение удаленной системе и разрывает соединение.

Расширенный синтаксис wrapper применяется редко, поскольку все задачи можно решить посредством традиционного синтаксиса. Следует разбираться в расширенном синтаксисе на случай встречи с ним, однако маловероятно, что вы испытаете необходимость его использовать. Альтернативой wrapper, которая вам встретится, будет xinetd. Этот демон заменяет inetd и позволяет управлять доступом. Основы работы с xinetd рассмотрены в главе 5. Здесь мы сосредоточим внимание на функциях управления доступом этого демона.


Обмениваться, хранить, передавать Ваши файлы стало просто как никогда.
yandex-disk
Читать подробнее: для чего Yandex-Диск проекту Mini-Server. Практика установки, настройки и использования сетевого хранилища на Ubuntu server LTS 12.04 в статье Резервное копирование сервера Ubuntu на Яндекс Диск.

>> Ubuntu 12.04 + Nginx Скачать сервер
>> Fedora 15 Скачать сервер
>> Простой Debian 6.0.6 Скачать сервер
>> CentOS 6.0 и
+ (5.6) другой
Скачать сервер
>> OpenSUSE 11.4
MAX
Скачать сервер

Вход на сайт

ВНИМАНИЕ!

Регистрация на сайте только по согласованию с администратором ресурса. Обращаться через форму обратной связи.