问个 ACL 的概念问题，不要笑我

tower · 发表于 2003-8-27 18:29:51

在各种网络服务的配置中，少不了 acl 控制，经常可以看到类似
deny user1@domain.com (或 user1@ip.ip.ip.ip)

请问是禁止domain.com(或某指定ip机器)上的用户名为user1的用户访问,
还是禁止domain.com(或某指定ip机器)上的用户用user1这个用户名来访问？
我个人觉得是后者，你们认为呢?linux下作不到前面那种acl的，是吗?

另外，如果ACL中用到了 doamin name，linux如何知道，是通过dns反向查询来判断吗？如果查询失败上面那句ACL是否就达不到应有的目的。
所以一般policy是全部deny,再开放允许的？

lanmaster · 发表于 2003-8-28 08:18:52

请问一下。“ACL”具体做什么解释？（也不要笑我）
是访问控制列表，还是什么别的意思？

tower · 发表于 2003-8-28 08:28:17

是,access control list

Glue · 发表于 2003-8-28 09:08:02

问的就是，你用这个ACL做什么 :ask
我们看到的大多是用IP来控制，比如Apache，FTP之类

lanmaster · 发表于 2003-8-28 10:52:09

那这个ACL具体以什么方式来应用，只能通过IPTABLES来实现吗？

tower · 发表于 2003-8-28 17:08:01

glue，比如禁止 192.168.10.12机器上的 cracker用户访问本机的服务，好像做不到吧？
只能做到禁止192.168.10.12机器上的用户用cracker这个用户名来访问本地某些服务，

linux环境下如何判断来访用户是否合法，除了ldap或nis之类“中央集权”的好象都不行

Glue · 发表于 2003-8-28 17:16:08

linux下是用户/密码来判断来访用户
如果本机上没有cracker用户，他从哪里都进不来吧。

禁止IP很合理。但禁止IP上的某用户，我觉得没有必要吧。

tower · 发表于 2003-8-28 20:12:09

说的有理，我只是想弄清原理，实际操作中很少有控制其他机器上用户的要求。
我已经想明白了，这个问题关键是本机是否能辨别用户，在现有机制下，还只能辨别本机用户，或者是NIS，LDAP之类域用户，所以只能对这些用户实现ACL
----------------------------------------------
thanks Glue

		自动登录	找回密码
密码			注册