TCP Wrappers
Многие системные администраторы UNIX знакомы с использованием библиотеки TCP для управления доступа к определённым сетевым службам. Все сетевые службы, управляемые демоном xinetd (а также любые программы со встроенной поддержкой libwrap) могут использовать библиотеку TCP для управления доступом. xinetd может использовать файлы /etc/hosts.allow и /etc/hosts.deny для настройки доступа к системным службам. Как и следует из имени файла, hosts.allow (разрешить узлам) содержит список правил для клиентов, имеющих доступ к сетевым службам, управляемым xinetd , а hosts.deny (запретить узлам) содержит правила, запрещающие доступ. Файл hosts.allow имеет преимущество перед файлом hosts.deny . Правила разрешения или запрета доступа могут определяться для отдельного IP адреса (или имени узла) или для нескольких клиентов сразу. За дополнительной информацией обратитесь к Официальному справочному руководству по Red Hat Linux и странице руководства man hosts_access .
xinetd
Для управления доступом к службам Интернет используется демон xinetd , который является безопасной заменой для inetd . Демон xinetd экономит системные ресурсы, обеспечивает управление доступом и протоколирование, а также может использоваться для запуска серверов специального назначения. xinetd можно использовать для предоставления доступа или запрета доступа только определённым узлам, для предоставления доступа к службе в определённое время, для ограничения количества входящих подключений и/или нагрузки, создаваемой подключениями и т.д.
xinetd работает постоянно и прослушивает все порты служб, которыми он управляет. Когда управляемая служба получает запрос на установление соединения, xinetd запускает соответствующий сервер этой службы.
Файлом настройки демона xinetd является /etc/xinetd.conf , но изучив его содержимое, вы найдете что он содержит только несколько значений по умолчанию и указание включить каталог /etc/xinetd.d . Чтобы включить или отключить службу xinetd , отредактируйте её файл конфигурации в каталоге /etc/xinetd.d . Если параметр disable имеет значение yes , это означает что служба отключена. Если параметр disable имеет значение no , служба включена. Если вы изменили один из файлов конфигурации xinetd или его состояние в Serviceconf , ntsysv или chkconfig , вы должны перезапустить xinetd , выполнив команду service xinetd restart , чтобы изменения вступили в силу. Список сетевых служб, управляемых демоном xinetd можно увидеть, просмотрев содержимое каталога /etc/xinetd.d , выполнив команду ls /etc/xinetd.d .
| Назад | Начало | Вперед |
| Управление доступом к службам | Вверх | Serviceconf |
Tcpd
Библиотека libwrap включённая в комплекс предоставляет возможность контроля доступа к рабочей станции и другим программам собранным с её поддержкой.
Внимание! сервис ограничения доступа действует на сервисы которые запускаются через inetd и демоны собранные с поддержкой tcp wrappers. Например такие как sshd
Установка
Пакет устанавливается вместе с операционной средой. При необходимости процедура установки стандартная.
Пакет присутствует в хранилище пакетов debian.
Для установки пакета
- в командной строке: следует выполнить команду # apt-get install tcpd
- в графическом режиме: воспользоваться специализированной программой управления пакетами
После установки пакет готов к использованию.
Некоторые часто используемые команды
# /etc/init.d/openbsd-inetd restart - перезапуск сервера inetd с помощью которого запускается Tcpd/libwrap # netstat -nl - проверка открытых подключений # netstat -a | grep ESTABLISH # nmap - сканирование портов удалённого сервера # lsof -i tcp:3128 - кто работает с портом
Файлы конфигурации
Для правильного ограничения доступа к рабочей станции пакет необходимо настроить. Файлы конфигурации программы — /etc/hosts.allow и /etc/hosts.deny. По умолчанию (в debian) они настроена так, что доступ разрешён ко всем службам со всех хостов. Эти два файла работают также как и стандартные правила брандмауэра. Сначала демон Tcpd/libwrap обрабатывает пакеты пропуская их через содержимое файла hosts.allow, а затем через файл hosts.deny. Если машина не найдена в списках, значит ей можно подключиться.
Внимание! Эти файлы не относятся к NFS, но системе необходимо разрешение на подключение к машине, чтобы она смогла использовать сервер NFS.
В файлах конфигурации используется следующий формат записи (синтаксис)
daemon_list : client_list [ : shell_command ]
В списке демонов daemon_list указывается один или несколько серверов, к которым применяется данное правило. Если в списке указано несколько серверов, их имена разделяются запятыми или пробелами. Имена серверов должны совпадать с именами, содержащимися в файле /etc/services.
Для daemon_list и client_list могут быть использованы групповые символы
ALL - соответствует всё, т.е. правило применяется ко всем серверам, управляемым TCP Wrappers LOCAL - соответствует любой хост, имя которого не содержит символа точки. UNKNOWN - соответствует любому пользователю, имя которого неизвестно, и соответствует любому хосту, чье имя или адрес неизвестны Следует использовать с осторожностью: имена хостов могут быть недоступны из-за временных проблем с именем сервера KNOWN - соответствует любой пользователь, чье имя известно и соответствует любому хосту, чье имя и адрес известны. Следует использовать с осторожностью: имена хостов могут быть недоступны из-за временных проблем с именем сервера. PARANOID - соответствует любой хост, имя которого не соответствует его адресу. Когда TCPD построен с-DPARANOID (режим по умолчанию), он отвергает запросы от таких клиентов не глядя на таблицы управления доступом.
В daemon_list и client_list можгут быть использованы операторы
EXCEPT - соответствует всем соединениям list_1 (до оператора) кроме list_2 (после оператора). Операторы КРОМЕ могут быть вложенными: если язык управления поддерживает использование скобок - `a EXCEPT b EXCEPT c´ would parse as `(a EXCEPT (b EXCEPT c))´.
В правилах могут быть указаны shell_command (команды оболочки) выполняющих роль «ловушек». Использование shell_command выступает в качестве первичного контроля доступа на рабочую станцию. Команды оболочки не должны полагаться на PATH. Правильным является использование абсолютных путей или явное определение PATH.
Команды оболочки имеют доступ к следующим переменным
%a (%A) - адрес хоста клиента (сервера) %c - информация о клиенте: пользователь@хост, пользователь@адрес, имя хоста, или просто адрес, в зависимости от того, сколько информации доступно %d - имя демона (значение ARGV[0]) %h (%H) - имя хоста клиента (сервера) или адрес, если имя хоста недоступно %n (%N) - имя хоста клиента (сервера) (или "unknown" или "paranoid") %r (%R) - номер порта клиента (сервера) (или "0") %p - идентификатор процесса-демона %s - информация о сервере: демон@хост, демон@адрес, или просто имя демона, в зависимости от того, сколько информации доступно %u - имя пользователя клиента (или "unknown"). %% - раскрывает один символ `%'
hosts.allow
/etc/hosts.allow — файл с перечнем правил (наборов служб/хостов) устанавливающих разрешение на доступ.
Примеры
ALL : 127.0.0.1, 192.168. - разрешить доступ ко всем службам с хоста 127.0.0.1 и подсети 192.168. mysqld : .example.net - разрешить доступ к mysqld подсети .example.net ALL : LOCAL EXCEPT ftpd : ALL - разрешить доступ ко всем службам с локального домена кроме службы ftpd sshd: ALL \ - разрешить доступ к sshd всем хостам (перенос строки) EXCEPT 216.73.92. .microsoft.com : ALLOW кроме подсетей 216.73.92. .microsoft.com
hosts.deny
/etc/hosts.deny — файл с перечнем правил (наборов служб/хостов) устанавливающих запрет на доступ.
Примеры
mysqld : ALL - запретить доступ к mysqld всем хостам ALL : ALL \ - запретить доступ ко всем службам всем хостам (перенос строки) EXCEPT localhost:DENY кроме localhost in.tftpd: ALL : \ - запретить доступ к in.tftpd всем хостам (перенос строки) (/usr/sbin/safe_finger -l @%h | \ и выполнить команду /usr/bin/mail -s %d-%h root) &
Литература
- Защити свой сервер с помощью hosts.allow и hosts.deny
- Подготовка к экзамену LPI 201: Предоставление доступа к файлам и сервисам
- настройка SSH для доступа к серверу
- Использование TCP Wrappers
Справочная информация
- 26.11.2011: Tcpd: создание статьи википедии, описание настройки файлов конфигурации hosts.allow и hosts.deny
Записки Джоя: TCP Wrappers в Red Hat Enterprise Linux
Оригинал: Joey’s Notes: TCP Wrappers on Red Hat Enterprise Linux
Автор: Джой Престиа (Joey Prestia)
Дата: май 2009 г.
Перевод: Сергей Супрунов
Дата перевода: 01 июня 2009 г.
Введение
В области информационных технологий безопасность ни в коей мере не является результатом «одного-единственного решения»; другими словами, панацеи для защиты ваших систем не существует. Лучшие схемы защиты являются результатом совместной работы различных приложений и методов, таких как фильтрация пакетов с помощью iptables, принудительный контроль доступа (Mandatory Access Control, MAC) наподобие SELinux, разграничительный контроль доступа (Discretionary Access Control, DAC), реализуемый в виде системных прав и разрешений. Наконец, не сбрасывайте со счётов использование TCP Wrappers [Дословно — «TCP-обёртки». Устоявшегося перевода этого термина не существует, поэтому в дальнейшем, во избежание неоднозначности, будет использоваться оригинальный термин как более понятный большинству читателей. — прим.перев.], которые хорошо дополнят ваши правила файрволла.
[Гуру в области безопасности Брюс Шнайер (Bruce Schneier) часто указывает, что «безопасность — это не продукт, а процесс». Важнейшая составляющая безопасности даже не связана с инструментами, которые вы используете; это осознание необходимости постоянно быть в курсе происходящего и держать всё под контролем. Инструменты — это то, о чём нужно думать в последнюю очередь. — прим.ред.]
Описание
TCP Wrappers работают аналогично спискам доступа (Access Control List, ACL) на основе имён хостов. Их используют для фильтрации сетевого доступа к серверам, работающим по Интернет-протоколу (IP) на системах Linux, Unix или BSD. Они позволяют использовать имя хоста или сетевые адреса как критерии фильтрации, реализуя некоторый уровень управления доступом. Они ещё больше расширяют возможность демонов, работающих под управлением xinetd. При использовании этой техники все попытки доступа могут быть записаны в лог, ограничены, а клиенту отправлены соответствующие сообщения. Это может добавить ещё один уровень безопасности вашему окружению. TCP Wrappers, ко всему прочему, можно перенастраивать в режиме реального времени без перезагрузки сервисов, которые они защищают.
Преимущества
Соединения, которые разрешены, просто принимаются; те, которые запрещены — отклоняются. Некоторые сервисы смогут отправлять определённое сообщение об ошибке, как это делают SSH и vsftpd. Ниже приводится пример использования TCP Wrappers для защиты сервисов.
Вот как выглядит с точки зрения клиента запрет на использование SSH:
[root@alien ~] ssh root@192.168.0.15 ssh_exchange_identification: Connection closed by remote host
Пример запрета FTP:
[root@alien ~] ftp 192.168.0.15 Connected to 192.168.0.15. 421 Service not available.
Как работают TCP Wrappers
Когда клиент пытается соединиться с сервисом, использующим TCP Wrappers, происходит следующее (эти шаги важно знать, поскольку порядок обращения к файлам имеет огромное значение и правила обрабатываются построчно):
- Проверяется файл /etc/hosts.allow. Если в нём найдено соответствие, доступ к сервису предоставляется.
- Проверяется файл /etc/hosts.deny. Если в нём найдено соответствие, доступ будет запрещён.
- В случае, если соответствующие правила не найдены, доступ предоставляется.
[Каждое правило может содержать действие ‘allow’ или ‘deny’ непосредственно в себе; в этом случае имя файла, в котором оно расположено, значения не имеет. В системах FreeBSD файл /etc/hosts.deny вообще не обрабатывается, и все правила должны быть размещены в /etc/hosts.allow с обязательным указанием действия. — прим.перев.]
Чтобы определить, какие процессы и демоны используют TCP Wrappers, выполните следующую команду:
strings -f | grep hosts_access
Ниже приводится пример вывода этой команды:
[root@alien ~] strings -f /usr/sbin/* | grep hosts_access /usr/sbin/in.tftpd: hosts_access /usr/sbin/sshd: hosts_access /usr/sbin/stunnel: hosts_access /usr/sbin/stunnel: See hosts_access(5) manual for details /usr/sbin/tcpd: hosts_access_verbose /usr/sbin/vsftpd: hosts_access /usr/sbin/xinetd: hosts_access [root@alien ~] strings -f /sbin/* | grep hosts_access /sbin/portmap: hosts_access_verbose
Применение TCP Wrappers
Используя TCP Wrappers, всегда помните о следующих вещах. Во-первых, о порядке поиска соответствий. Во-вторых, о том, что поиск останавливается по первому совпадению. Любые изменения в /etc/hosts.allow или /etc/hosts.deny вступают в силу немедленно, без необходимости перезапускать какие-либо сервисы. Как и в случае с iptables, порядок правил играет решающую роль. Давайте рассмотрим команды, формирующие правила. Основной формат команд, используемых в /etc/hosts.allow и /etc/hosts.deny, следующий:
daemon_list : client_list : shell_command
Здесь daemon_list — список из одного или более имён процессов или служебное слово (о них — далее); client_list — список из одного или более имён хостов, IP-адресов, шаблонов или служебных слов, на соответствие которым будет проверяться имя хоста или адрес клиента.
Пример правил /etc/hosts.allow и /etc/hosts.deny:
# # hosts.allow В этом файле описаны имена хостов, # которым позволено использовать локальные INET-сервисы # (определяемые сервером /usr/sbin/tcpd) # # Мои новые правила sshd : 192.168.0.14
# # hosts.deny В этом файле описаны имена хостов, # которым запрещено использовать локальные INET-сервисы # (определяемые сервером /usr/sbin/tcpd) # # Мои новые правила ALL : ALL
Обратите внимание на результат работы этих правил:
Подключение с station14.example.com (192.168.0.14)
Last login: Tue Apr 7 06:45:09 2009 from station14 [root@station15 ~]#
Подключение с alien.example.com (192.168.0.247)
[root@alien ~]# ssh 192.168.0.15 ssh_exchange_identification: Connection closed by remote host [root@alien ~]#
Служебные слова
ALL: Соответствует всем сервисам или хостам. LOCAL: Соответствует любому хосту, в имени которого не содержится точек. UNKNOWN: Соответствует любому неизвестному пользователю, и соответствует любому хосту, имя или адрес которого неизвестны. Не забывайте, что имя хоста может быть недоступно, если возникнут проблемы с сервером имён. KNOWN: Соответствует известным пользователям и хостам, чьи имя и адрес известны. Не забывайте, что имя хоста может быть недоступно, если возникнут проблемы с сервером имён. PARANOID: Соответствует любому хосту, имя которого не соответствует его IP-адресу. EXCEPT: Данное служебное слово предполагает использование в следующем виде: list_1 EXCEPT list_2 . Такой оператор будет соответствовать всему, что совпадает с list_1 , при условии что нет совпадения с list_2 . EXCEPT можно использовать в daemon_list и client_list .
(ПРЕДУПРЕЖДЕНИЕ: Всегда завершайте файлы /etc/hosts.allow и /etc/hosts.deny пустой строкой! Просто установите курсор в конец последней строки и введите символ возврата каретки (клавишей ). При невыполнении этого шага вы можете столкнуться с непредсказуемым поведением TCP Wrappers.)
Ниже приводится несколько примеров правил. Выполняемое ими действие определяется тем, в какой из файлов вы их поместите, при условии, что отсутствует явное указание на действие ‘allow’ или ‘deny’ в конце правила.
sshd : .example.com vsftpd : 192.168. ALL : 192.168.1.0/255.255.255 sshd : station1.example.com : allow sshd : station15.example.com : deny vsftpd : ALL EXCEPT *.hacker.org
Использование Twist
Директива ‘twist’ используется для подмены сервиса выбранной командой. Обычно эта возможность используется для создания сервисов-«ловушек» (honeypots). Другое применение — отправка сообщений подключающемуся клиенту. Команда ‘twist’ должна указываться в конце строки правила. Ниже показан пример использования ‘twist’ в /etc/hosts.deny для отправки с помощью команды echo сообщения хосту, который неадекватно работает с FTP-серверами:
vsftpd : station6.example.com \ : twist /bin/echo "Service suspended for abuse!"
Использование Spawn
Директива ‘spawn’ приводит к запуску дочернего процесса. Она может оказаться полезной для создания особых лог-файлов, отслеживающих доступ к сервису. Кроме того, с помощью этой директивы вы можете запускать собственные скрипты в фоновом режиме, незаметно для пользователя. В примере ниже мы записываем метку времени в лог-файл, так что мы сможем отслеживать FTP-соединения:
vsftpd : .example.com \ : spawn /bin/echo $(/bin/date) access granted to %h>>/var/log/ftp_access.log
При этом в файлах /etc/hosts.allow и /etc/hosts.deny вы можете использовать следующие символы-заменители:
| %a | Адрес клиента |
| %A | Адрес сервера |
| %c | Информация о клиенте: user@host, user@address, имя хоста или просто адрес |
| %d | Имя демона/процесса |
| %h | Имя хоста клиента или адрес, если имя хоста недоступно |
| %H | Имя хоста сервера или адрес, если имя хоста недоступно |
| %n | Имя хоста клиента (либо ‘unknown’ или ‘paranoid’) |
| %N | Имя хоста сервера (либо ‘unknown’ или ‘paranoid’ |
| %p | Идентификатор процесса (PID) |
| %s | Информация о сервере: daemon@host, daemon@address или просто имя демона |
| %u | Имя пользователя клиента (или ‘unknown’) |
| %% | Одиночный символ ‘%’ |
(После подстановки символы, которые могут быть неверно восприняты командной оболочкой, заменяются символами подчёркивания.)
Заключение
TCP Wrappers отлично дополнят ваши нынешние инструменты безопасности. Но запомните, что всегда необходимо тщательно проверять любую реализацию защиты, прежде чем переносить её на работающие серверы!
Ссылки
- FreeBSD Handbook
- Red Hat Documentation
- Red Hat Manual
Об авторе
Джой родился в Фениксе, и в 14 лет начал программировать на Timex Sinclair 1000. Им двигала надежда, что он сможет делать что-нибудь на этом «динозавре». Вскоре он стал искусно программировать на Бейсике и Ассемблере. В 1990 году Джой начал работать программистом, добавив к своему арсеналу Кобол, Фортран и Паскаль. С тех пор им овладела страсть ко всем областям информатики. В 2002 году он принялся за изучение RedHat Linux, после того как кто-то дал ему RedHat шестой версии. Это положило начало его новому увлечению — Linux. В настоящее время Джой завершает обучение по специальности «Сети Linux» и работает в «RedHat Academy» Аризонского колледжа. Также он является сотрудником Linux Gazette.
Tcp wrappers что это
В этой книге описаны принципы действия и область применения многих серверов, выполняющихся в системе Linux. Здесь рассматриваются DHCP-сервер, серверы Samba и NFS, серверы печати, NTP-сервер, средства удаленной регистрации и система X Window. He забыты и средства, традиционно используемые для обеспечения работы Internet-служб: серверы DNS, SMTP, HTTP и FTP. Большое внимание уделено вопросам безопасности сети. В данной книге нашли отражения также средства удаленного администрирования — инструменты Linuxconf, Webmin и SWAT.
Данная книга несомненно окажется полезной как начинающим, так и опытным системным администраторам.
Сетевые средства Linux
Появилась прекрасная книга по Linux, осталось воспользоваться ею. Не упустите свой шанс.
Александр Стенцин, Help Net Security,
Если вы стремитесь в полной мере использовать сетевые возможности Linux — эта книга для вас. Я настоятельно рекомендую прочитать ее.
Майкл Дж. Джордан, Linux Online
Выхода подобной книги давно ожидали читатели. Менее чем на 700 страницах автор смог изложить суть самых различных вопросов, связанных с работой Linux. Автор является высококвалифицированным специалистом в своей области и щедро делится своими знаниями с читателями.
Роджер Бертон, West, DiverseBooks.com
Книги автора: Сетевые средства LinuxAdvanced Linux Networking
Книга: Сетевые средства Linux
Использование TCP Wrappers
Скрыть рекламу в статье
Разделы на этой странице:
Использование TCP Wrappers
Как было сказано ранее, инструмент TCP Wrappers играет роль посредника между inetd и целевым сервером. Средства TCP Wrappers применяются для повышения безопасности системы; они позволяют задавать правила установления соединений, защищая тем самым сервер от нежелательного взаимодействия. Предположим, что вы хотите, чтобы доступ к серверу Telnet имели только пользователи, работающие в вашей локальной сети. Программу, обеспечивающую работу сервера Telnet, можно настроить так, чтобы она отвергала попытки обращения с узлов, для обслуживания которых сервер не предназначен. Однако не все серверы предоставляют такие возможности. Передача TCP Wrappers полномочий по управлению соединением повышает гибкость системы, не требуя при этом внесения изменений в программы.
Для управления работой TCP Wrappers используются два файла: /etc/hosts.allow и /etc/hosts.deny . Эти файлы имеют одинаковый формат, но выполняют противоположные действия. В файле hosts.allow описываются узлы сети, которым разрешено обращаться к данному компьютеру; для всех остальных узлов доступ запрещен. Файл hosts.deny , напротив, содержит описания узлов, доступ с которых запрещен; все остальные узлы могут устанавливать соединение с данным компьютером. Если в системе присутствуют оба файла, приоритет имеет файл hosts.allow . Благодаря этому вы имеете возможность задать ограничения в файле hosts .deny , а затем разрешить доступ для отдельных компьютеров. Если сведения о сервере не включены ни в один из файлов (сервер может быть описан либо непосредственно, либо с помощью групповой операции), TCP Wrappers разрешает доступ к нему для всех узлов сети.
На заметку
TCP Wrappers можно сравнить с локальным брандмауэром, работа которого будет рассматриваться в главе 25. При этом TCP Wrappers реализует дополнительную защиту, которая может оказаться полезной, если брандмауэр настроен неправильно, кроме того, этот инструмент предоставляет новые возможности, например, фильтрацию на основе имени группы NIS.
Подобно другим конфигурационным файлам, символ # в начале строки означает, что в данной строке содержатся комментарии. Запись в файле hosts.allow или hosts.deny имеет следующий формат:
список_демонов : список_клиентов
В списке демонов указывается один или несколько серверов, к которым применяется данное правило. Если в списке указано несколько серверов, их имена разделяются запятыми или пробелами. Имена серверов должны совпадать с именами, содержащимися в файле /etc/services . Кроме имен серверов в этом поле можно также указывать ключевое слово ALL , определяющее групповую операцию. Оно означает, что правило применяется ко всем серверам, управляемым TCP Wrappers.
Внимание!
Не забывайте, что не все серверы запускаются с помощью TCP Wrappers. Поэтому групповая операция ALL может не включать все серверы, выполняющиеся в системе. Аналогично, указав сервер в списке демонов, вы не защитите его, если для управления им не применяются inetd и TCP Wrappers, либо если он не использует TCP Wrappers непосредственно.
Список клиентов определяет компьютеры, которым разрешен или запрещен доступ к серверу. Подобно списку доменов, в списке серверов может быть указан один узел либо несколько узлов. Идентификаторы узлов разделяются запятыми или пробелами. Описания узлов сети могут быть представлены в перечисленных ниже форматах.
• IP-адрес. В списке клиентов можно указать конкретный IP-адрес, например 10.102.201.23. Такое описание определяет только этот адрес.
• Диапазон IP-адресов. Задать диапазон IP-адресов можно несколькими способами. Проще всего сделать это, указав в составе адреса меньше четырех десятичных чисел; в этом случае адрес должен заканчиваться точкой. Например, значение 10.102.201. соответствует сети 10.102.201.0/24. Кроме того, можно использовать запись типа IP-адрес/маска. В файлах hosts.allow и hosts.deny также поддерживаются адреса IPv6. Они задаются в виде [n:n:n:n:n:n:n:n]/длина , где n — значения компонентов адреса, а длина — это число битов, используемых для представления диапазона.
• Имя узла. Узел можно описывать с помощью его доменного имени, например badcracker.threeroomco.com . Этим способом определяется только один узел. В этом случае при получении запроса система выполняет преобразование имен, а, следовательно, если сервер DNS работает некорректно, при идентификации компьютера могут быть допущены ошибки.
• Домен. Домен можно задавать так же, как вы задается доменное имя одного компьютера. Отличие состоит лишь в том, что в данном случае имя должно начинаться с точки. Если в файле указано имя . threeroomco.com , оно определяет все компьютеры, принадлежащие домену threeroomco.com .
• Имя группы NIS. Если последовательность символов начинается со знака @ , оно интерпретируется как имя группы NIS (Network Information Services — сетевая информационная служба). Этот метод предполагает, что в сети функционирует сервер NIS.
В списке клиентов могут присутствовать ключевые слова, определяющие групповые операции. Назначение этих ключевых слов описано ниже.
• ALL . Идентифицирует все компьютеры.
• LOCAL . Определяет все локальные компьютеры на основании анализа имени узла. Если в имени отсутствует точка, соответствующий узел считается локальным.
• UNKNOWN . Данное ключевое слово задает все компьютеры, чьи доменные имена не могут быть получены средствами преобразования имен.
• KNOWN . Идентифицирует компьютеры, доменные имена и IP-адреса которых известны системе.
• PARANOID . Определяет компьютеры, имена которых не соответствуют IP-адресам.
При использовании последних трех ключевых слов надо соблюдать осторожность, поскольку, если они присутствуют в списке клиентов, компьютер обращается к серверу DNS. Неисправность сетевого оборудования может привести к ненадежной работе сервера DNS. Если сервер DNS недоступен, получить доменное имя компьютера не удастся. Пример файла /etc/hosts.allow , содержащего две строки, приведен ниже.