Ero sivun ”TCP Wrapper” versioiden välillä
Siirry navigaatioon
Siirry hakuun
→hosts.allow ja hosts.deny: tarkennusta, monipuolisemmat esimerkit
LP (keskustelu | muokkaukset) (esittely, yksinkertainen esimerkki) |
LP (keskustelu | muokkaukset) (→hosts.allow ja hosts.deny: tarkennusta, monipuolisemmat esimerkit) |
||
| Rivi 20: | Rivi 20: | ||
# /etc/hosts.allow: list of hosts that are allowed to access the system. | # /etc/hosts.allow: list of hosts that are allowed to access the system. | ||
ALL: 127.0.0.1 | ALL: 127.0.0.1 | ||
sshd: minä@jokinkone.example.net .firma.example.fi EXCEPT UNKNOWN | |||
nntpd: 192.168.1. | sshd fingerd nntpd: 192.168.1. 192.168.2 | ||
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system | # /etc/hosts.deny: list of hosts that are _not_ allowed to access the system | ||
ALL:ALL | ALL:ALL | ||
Tässä sallitaan kaikki yhteydet koneelta itseltään (localhost eli [[loopback]], 127.0.0.1) [[SSH]]-yhteydet | Tässä sallitaan kaikki yhteydet koneelta itseltään (localhost eli [[loopback]], 127.0.0.1), [[SSH]]-yhteydet tietyltä koneelta omalla tunnuskella sekä firman verkosta ja lopuksi yhteydet sshd-, finger- ja nyyssipalvelimeen lähiverkosta . Kaikki muut yhteydet kielletään. | ||
Pisteet verkkotunnuksen edessä ja ip-osoitteen lopussa tarkoittavat, että sääntö koskee koko aliverkkoa. | |||
(koneilta, joilla nimipalvelu toimii, katso alla, tunnusken tapauksessa) | |||
(huomaa piste, jolla koko aliverkko sallitaan) | |||
Palvelin määritellään avainsanalla ALL tai sillä nimellä, jona se käynnistetään (argv[0]). | |||
ip-osoitteiden käyttö nimien sijaan on suositeltavaa, sillä nimi kysytään ip-osoitteen perusteella koneen oman verkon nimipalvelimelta ja on siten mahdollisesti yhteydenottajan kontrollissa. On mahdollista pyytää toinen nimipalvelukysely näin saadun nimen perustella määrittelemellä PARANOID (tämän ominaisuuden voi myös [[kääntäminen|kääntövaiheessa]] määritellä aina käytettäväksi), jolloin ongelma poistuu, mutta samalla evätään pääsy koneilta, joiden ''[[nimipalvelin|nimipalvelimet]]'' ei ole oikein säädetty, mm. suurelta osalta kuluttajaliittymistä. | ip-osoitteiden käyttö nimien sijaan on suositeltavaa, sillä nimi kysytään ip-osoitteen perusteella koneen oman verkon nimipalvelimelta ja on siten mahdollisesti yhteydenottajan kontrollissa. On mahdollista pyytää toinen nimipalvelukysely näin saadun nimen perustella määrittelemellä PARANOID (tämän ominaisuuden voi myös [[kääntäminen|kääntövaiheessa]] määritellä aina käytettäväksi), jolloin ongelma poistuu, mutta samalla evätään pääsy koneilta, joiden ''[[nimipalvelin|nimipalvelimet]]'' ei ole oikein säädetty, mm. suurelta osalta kuluttajaliittymistä. | ||