Родерик Смит - Сетевые средства Linux

Таблица 9.2. Ключи и их значения, используемые при формировании файла lpd.perms

Key Connect Job Spool Job Print lpq lprm lpc SERVICE X R P Q M С или S USER — Имя пользователя Имя пользователя Имя пользователя Имя пользователя Имя пользователя HOST Удаленный узел Имя узла Имя узла Имя узла Имя узла Имя узла GROUP — Имя пользователя Имя пользователя Имя пользователя Имя пользователя Имя пользователя IP IP-адрес удаленного узла IP-адрес узла IP-адрес узла IP-адрес удаленного узла IP-адрес узла IP-адрес узла PORT Номер порта Номер порта — Номер порта Номер порта Номер порта REMOTEUSER — Имя пользователя Имя пользователя Имя пользователя Имя пользователя Имя пользователя REMOTEHOST Удаленный узел Удаленный узел Узел Удаленный узел Удаленный узел Удаленный узел REMOTEGROUP — Имя пользователя Имя пользователя Имя пользователя Имя пользователя Имя пользователя REMOTEIP IP-адрес удаленного узла IP-адрес удаленного узла IP-адрес узла IP-адрес удаленного узла IP-адрес удаленного узла IP-адрес удаленного узла CONTROLLINE — Шаблон Шаблон Шаблон Шаблон Шаблон PRINTER — Имя принтера Имя принтера Имя принтера Имя принтера Имя принтера FORWARD — — — — — — SAMEHOST — — — — — — SAMEUSER — — — — — — SERVER — — — — —

Опции, предназначенные для контроля доступа, являются достаточно сложными, поэтому имеет смысл пояснить их на конкретных примерах. Рассмотрим следующие строки, входящие в состав стандартного файла /etc/lpd.perms:

ACCEPT SERVICE=M SAMEHOST SAMEUSER

ACCEPT SERVICE=M SERVER REMOTEUSER=root

REJECT SERVICE=M

В этих трех строках указано, кто может использовать утилиту lprm для удаления заданий. В каждой строке содержится опция SERVICE=M, которая означает, что строка соответствует функциям lprm. Это соответствие можно проследить по строке SERVICE табл. 9.2. В первой из указанных трех строк содержатся также опции SAMEHOST и SAMEUSER, которые указывают на то, что команда принимается только в том случае, если она передана с того же компьютера, что и задание на печать, и от того же пользователя, который является владельцем этого задания. В состав второй строки включены опции SERVER и REMOTEUSER=root. Они означают, что пользователь, зарегистрированный на сервере как root, имеет право удалять задания. Последняя строка запрещает обработку прочих запросов, поступающих от lprm. (LPRng просматривает файл lpd.perms до тех пор, пока не будет найдена опция, которая соответствовала бы поступившей команде. В данном случае две записи ACCEPT SERVICE=M предшествуют записи REJECT SERVICE=M, поэтому опции ACCEPT имеют преимущество перед опцией REJECT.)

Как было сказано ранее, во многих случаях система LPRng по умолчанию настраивается так, чтобы она принимала обращения с любого узла. Подобная конфигурация недопустима с точки зрения безопасности, так как любой внешний пользователь может запустить задание на печать, в результате чего будут расходоваться бумага и ресурсы принтера. Кроме того, при обнаружении недостатков в защите LPRng неограниченный доступ к этой системе предоставит дополнительную возможность для взлома принтера. Исходя из этих соображений возможности пользователей по обращению к серверу печати необходимо ограничить. Сделать это можно с помощью брандмауэра (вопросы настройки брандмауэра будут рассмотрены в главе 25). Кроме того, я настоятельно рекомендую вам принять дополнительные меры по защите самой системы LPRng. Предположим, что вы настраиваете сервер печати, который должен обрабатывать задания, переданные из сети 172.22.0.0/16, и с компьютера, на котором установлен сервер; обращения с других узлов должны отвергаться. Сделать это можно с помощью следующих записей:

ACCEPT SERVICE=X SERVER

REJECT SERVICE=X NOT REMOTEIP=172.22.0.0/16

Данные строки ограничивают способность устанавливать соединения с сервером, а следовательно, возможность передавать задания на печать и выполнять прочие действия. Первая строка разрешает устанавливать соединения при обращении с сервера (эти обращения поступают с интерфейса, который имеет адрес 127.0.0.1, поэтому использование REMOTEIP=127.0.0.1 вместо SERVER привело бы к аналогичному результату). При отсутствии этой строки следующая запись блокировала бы обращения с локального компьютера, что в данном случае нежелательно. Вторая строка отвергает все попытки установить соединения, кроме тех, которые предпринимаются компьютерами, принадлежащими сети 172.22.0.0/16. Если бы у вас возникла необходимость принимать обращения из нескольких сетей, вам бы пришлось включить перед опцией REJECT еще одну опцию ACCEPT и указать для нее адрес дополнительной сети, компьютеры которой имели бы право устанавливать соединения с сервером.

Указание LPRng-сервера на стороне клиента

Файл /etc/printcap в системе LPRng используется аналогично одноименному файлу в системе BSD LPD. В частности, опции lp, rm и rp, которые обсуждались выше в данной главе, применимы как в BSD LPD, так и в LPRng. Большинство других опций также может присутствовать в обеих системах, но некоторые из них интерпретируются по-разному. Обсуждение этих различий выходит за рамки данной книги.

Системы BSD LPD и LPRng используют протокол LPD, поэтому вы можете сконфигурировать клиент LPRng для печати на сервере BSD LPD и наоборот. Подобное взаимодействие можно также организовать с системой CUPS. Кроме того, CUPS поддерживает расширенный протокол, который может использоваться только в рамках этой системы.