dacinet 命令

在线编辑

用途

在 CAPP/EAL4 + 配置中管理 TCP 端口上的安全性。

语法

dacinet aclflush

dacinet aclclear 服务 | 端口

dacinet acladd 服务 | [-] addr [/prefix_length] [u:用户 | uid | g:组 | gid]

dacinet acldel 服务 | [-] addr [/prefix_length] [u:用户 | uid | g:组 | gid]

dacinet aclls 服务 | 端口

dacinet setpriv 服务 | 端口

dacinet unsetpriv 服务 | 端口

dacinet lspriv

描述

dacinet 命令用来管理 TCP 端口的安全性。请参阅『子命令』一节，以获取 dacinet 的各种功能的详细信息。

子命令

项	描述
acladd	向保存由 dacinet 命令使用的访问控制表的内核表添加 ACL 条目。以下是 acladd 子命令的参数的语法： [-]`addr`[/`length`] [u:`user`\|`uid`\| g:`group`\|`gid`] 参数定义如下所示： `addr` DNS 主机名或者 IPv4（或 IPv6）地址。地址前的“-”表示该 ACL 条目是用来拒绝访问而不是允许访问。 `长度` 表示 `addr` 将会用来作为一个网络地址而不是主机地址，其中位于第一的 `length` 位取自于 `addr`。 u:`user`\|`uid` 可选的用户标识。如果不指定 `uid`，那么指定主机或者子网上的所有的用户都将获得访问该服务的许可。如果提供，那么只有指定的用户获得访问许可。 g:`group`\|`gid` 可选的分组标识。如果不指定 `gid`，那么指定主机或者子网上的所有用户都将获得访问该服务的许可。如果提供，那么只有指定的分组获得访问许可。
aclclear	清除指定服务或端口的 ACL。
acldel	从保存由 dacinet 命令使用的访问控制表的内核表中删除 ACL 条目。 dacinet acldel 子命令从 ACL 中删除某个条目，但仅当它使用的参数正好和曾经用来向 ACL 添加该条目的参数完全一致时才会执行。 acldel 子命令参数的语法为： [-]`addr`[/`length`] [u:`user`\|`uid`\| g:`group`\|`gid`] 参数定义如下所示： `addr` DNS 主机名或者 IPv4（或 IPv6）地址。地址前的“-”表示该 ACL 条目是用来拒绝访问而不是允许访问。 `长度` 表示 `addr` 将会用来作为一个网络地址而不是主机地址，其中位于第一的 `length` 位取自于 `addr`。 u:`user`\|`uid` 可选的用户标识。如果不指定 `uid`，那么指定主机或者子网上的所有的用户都将获得访问该服务的许可。如果提供，那么只有指定的用户获得访问许可。 g:`group`\|`gid` 可选的分组标识。如果不指定 `gid`，那么指定主机或者子网上的所有用户都将获得访问该服务的许可。如果提供，那么只有指定的分组获得访问许可。
aclflush	清除系统中定义的所有 ACL，放弃所有不可达到的 TCP 端口的连接请求除了当前主机是使用的 root 用户。它还清除特权端口，使任何进程可以绑定到大于 1024 的端口。
aclls	列示指定服务或端口的 ACL。 dacinet aclls 0 会列示缺省 ACL。对于认证处理，从逻辑观点来看，缺省的 ACL 追加到服务的 ACL 中。如果 ACL 上没有条目与正在尝试连接服务的用户匹配，那么访问会被拒绝。如果存在一个或多个条目，那么列表上第一个包含与连接请求者匹配的 `user`\|`group`@`host`\|`subnet` 的条目会确定该用户是否能够连接服务。因此，对于能够访问服务的组的成员，可仅通过在添加该组的允许条目之前为该成员添加拒绝条目来拒绝提供服务。
lspriv	列示了所有特权服务或者没有永久特权的端口（也就是说，它只列示了端口号大于 1024 的特权服务）。
setpriv	将指定服务或端口设置为特权服务或端口，以便只有具有超级用户特权的进程才能绑定到该端口并在该端口上提供服务。端口号小于 1024 的端口将会被忽略，因为它们的特权是永久性的。
unsetpriv	将指定服务或端口设置为非特权服务或端口，以便任何进程都可绑定到该端口。任何进程也都可绑定到当前临时端口范围中的任何端口，无论该端口是否标记为特权端口。

文件

项	描述
/usr/sbin/dacinet	包含 dacinet 命令。