ホーム > マニュアルページ > protocolaccess

protocolaccess

Leave a comment Go to comments 2009年7月7日 クリス·クランツは、 コメントを残す コメントに移動します

目次

NAME

protocolaccess - プロトコルアクセス制御について説明します

説明

プロトコルアクセス制御は、プロトコルごとにプロトコルごとにファイラへのアクセスを制限するメソッドを定義します。 たとえば、コマンドオプションrsh.accessホスト=管理者は、adminという名前のホストにrshへのアクセスを制限します。 アクセスはホスト名、IPアドレス、および/またはネットワークインタフェース名で制限することができます。

USAGE

構文は次のとおりです。

オプション protocol.access access_spec [AND | OR [(] access_spec [)] ...]

RSH、TELNET、SSH、httpdの、httpd.admin、SNMP、ndmpd、SnapMirrorを、またはSnapVault: プロトコルは現在、次のいずれかです。

access_specは、キーワードとその値で構成されています。 現在、次のキーワードと値が定義されています。

ホスト[= |!=] ホスト仕様
ネット[= |!=] ネット仕様
であれば[= |!=] ネットワークインターフェースの仕様 のすべての
なし
レガシー
*

ホストの仕様は、ホスト名、IPアドレスまたはネットマスクとIPアドレスのいずれかで構成されるカンマで区切られたリストです。 有効なホスト名は文字列であり、次の文字を含めることはできません。 "="、 "("、 ")"、 "*"、および"、" IPアドレスのフォーマットaa.bb.ccである"!"。 。DD IPアドレスはネットマスクが含まれている場合、形式は次のとおりです。mmは左からビット数を表しaa.bb.cc.dd / mmである

ネットワークインターフェース仕様は、1つまたは複数ネットワークインタフェース名のカンマ区切りリストです。 有効なネットワークインターフェース名がifconfig-aコマンドから取得することができます。

ネット仕様は、1つまたは複数ネットグループ(ホストのグループ)の名前で構成されるカンマで区切られたリストです。

アクセス仕様は、キーワードANDとORのそれぞれで論理積と論理和されることがあります。 キーワードANDとOR大文字と小文字を区別しません。

運用の優先順位は左から右にあります。 括弧は、演算の順序を強制するために使用することができます。

キーワードは、 すべてのすべてへのアクセスを許可するために使用されます。 キーワード none は、noneへのアクセスを許可するために使用されていません。 レガシーキーワード 、以前の動作を指定するために使用されています。 たとえば、telnetの従来の動作では、rshの従来の動作は、すべてを可能にするためですが、trusted.hostsを使用することです。

アクセス仕様は、すべてに一致する"*"にすることができます。 これは、 すべてのキーワードと同じです。 " - " アクセス仕様である場合、すべてのアクセスは拒否されますこれは、noneキーワードと同じです。

マッチングが発生した場合、IPアドレスまたはホスト名にホストの値を設定するの差が明らかになります。 接続が行われる前にIPアドレスが一致しています。 アクセスが拒否された場合、接続が行われ、クライアントがタイムアウトされていません。 したがって、IPアドレスをspecifiyngすると、サービス拒否攻撃の影響を軽減します。 接続が確立された後にホスト名が一致しているため、クライアントはアクセスが拒否されたことが通知されます。

httpd.admin.accessが legacyに設定されていない場合は、trusted.hostsは httpd.adminは無視されます。 telnet.accessが legacyに設定されていない場合は、trusted.hostsは、telnetは無視されます。 snapmirror.accessが legacyに設定されていない場合は、/ etc / snapmirror.allowファイルは、SnapMirrorの宛先のチェックは無視されます。

ここではいくつかのプロトコルのアクセス制御の例は、次のとおりです。

任意のクライアントからの制御接続要求を受け入れるようにNDMPサーバを許可します。

オプションndmpd.accessレガシー

gnesha.zoという唯一のホスト用のリモートシェルアクセスを許可します。

オプションrsh.access "ホスト= gnesha.zo"

Telnetのサブネット10.42.69のアクセスを許可します。

オプションtelnet.accessホスト= 10.42.69.1/24

ホストABCとXYZのネットワークインターフェイスe0でのsshアクセスを許可します。

オプションssh.access "ホスト= ABC、XYZとE0 = IF"

ネットワーク·インタフェースE0、E1およびE2のSNMPへのアクセスを許可します。

= E0、E1、E2場合snmp.accessオプション

ネットワークインターフェイスe3にHTTPDへのアクセスを許可されていません。

"!= E3場合は"オプションhttpd.access

2つのホストから管理HTTPDへのアクセスを許可します。

オプションhttpd.admin.accessホスト=シャンパン、tequilla

Telnetへのアクセスをすべて禁止します。

オプションtelnet.access "ホスト= - "

以前trusted.hostsアクセスを使用するhttpd.adminを設定

オプションhttpd.admin.accessレガシー

(非推奨)は、/ etc / snapmirror.allowファイルへのポイントは、SnapMirrorの他のファイラからソースへのアクセスをチェックします。

オプションsnapmirror.accessレガシー

SnapVaultのサーバーは、任意のクライアント要求を受け付けるようにします。

すべてのsnapvault.accessオプション

ネットグループadmin_hostsとit_hosts内のすべてのホストに対するTelnetアクセスを許可します。 ネットグループadmin_hostsとit_hosts両方がの/ etc / netgroupで定義されています。

オプションtelnet.access "ネット= admin_hosts、it_hosts"

ネットグループadmin_hosts以外のすべてのホストに対してTelnetアクセスを許可します。 netgroupのadmin_hostsは、/ etc /ネットグループに定義されています。

オプションtelnet.access "ネット!= admin_hosts"

注:引用符が空白を含むアクセス仕様の周りに必要とされている。

関連項目

オプションは、http、rshdは、snmpdは、ネット

目次

著作権©1994-2008ネットアップ株式会社リーガル情報

VN:F [1.9.11_1134]
この記事:
評価:0.0 / 10(0投票)

Tags: , , , , カテゴリー: マニュアルページの タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

マナーの悪さは最後の7日間で1610アクセスをブロックしようとしています。

©2009-2012 クリスクランツ著作権所有
このサイトは、NetAppまたは内に記載されているその他のすべての会社がどのような方法でも提携して、または後援されていません。