Руководство администратора сети в ОС Linux

       

Конфигурирование r команд


Имеется ряд команд для выполнения команд на remote хосте. Они - rlogin, rsh, rcp и rcmd. Они все порождают оболочку на remote хосте и позволяют пользователю выполнять команды. Конечно, клиент должен иметь account на хосте, где команда должна быть выполнена. Таким образом все эти команды выполняют процедуру разрешения. Обычно, клиент сообщяет название входа в систему пользователя на сервер, который

# # /etc/rpc - miscellaenous RPC-based services # portmapper 100000 portmap sunrpc rstatd 100001 rstat rstat svc rup perfmeter rusersd 100002 rusers nfs 100003 nfsprog ypserv 100004 ypprog mountd 100005 mount showmount ypbind 100007 walld 100008 rwall shutdown yppasswdd 100009 yppasswd bootparam 100026 " ypupdated 100028 ypupdate

Рис. 16. A sample /etc/rpc file.

по очереди запрашивает пароль, который утвержден обычным способом.

Иногда, однако, желательно ослабить проверки разрешения для некоторых пользователей. Например, если Вы часто должны регистрироваться в других машинах на вашей локальной вычислительной сети, Вы могли бы захотеть быть признанным без ввода пароля каждый раз.

Отключение разрешения желательно только на малом числе хостов, чьи базы данных паролей синхронизированы, или для малого числа из привилегированных пользователей, которые должны обращаться к многим машинам для административной причины. Всякий раз, когда Вы хотите позволять людям регестрироваться на вашем хосте при необходимости точно определить идентичность входа в систему или пароль, удостоверитесь, что Вы не делаете ошибку предоставляя доступ кому-нибудь еще.

Имеются два способа блокировать разрешение, для того чтобы проверить r команды. Каждый - для супер пользователя, чтобы позволить некоторым или всем пользователям зарегестрироваться без пароля. Этот доступ управляется картотекой вызываемой /etc/hosts.equiv. Это содержит список множеств и имен пользователя, которые рассматриваются эквивалентными пользователям на локальном хосте. Альтернативная опция - для пользователя - предоставление другим пользователям на некоторых х быть перечислены в файле.rhosts в директории пользователя. Для соображений безопасности, эта картотека должна принадлежать пользователю или супер пользователю, и не должна быть symbolic link, иначе это будет игнорирован


Когда клиент запрашивает r обслуживание, ее хост и название пользователя ищются в файле /etc/hosts.equiv, и затем в файле.rhosts пользователя. Как - пример, предположим, что janet работает " гауссе и пытается зарегестрироваться в joe' s account на euler. Следуя далее, мы обратимся к Janet как клиентскому пользователю, и к Joe как к Локальному пользователю. Теперь, когда типы Janet

$ Rlogin -l joe euler

на гауссе, сервер сначала проверил бы hosts.equiv (4), предоставлен ли Janet свободный доступ, и если нет, то он попробует просмотреть.Rhosts в исходном каталоге joe's.

Файл hosts.equiv на euler походит на это:

gauss euler -public quark.physics.groucho.edu andres

Запись состоит из названия хоста, необязательно сопровождаемого именем пользователем. Если название множества появляется везде, то все пользователи от того множества будут допущены к их локальным acount без любых проверок. В вышеизложенном примере, Janet позволили бы зарегестрироваться в ее account janet когда выходит из гаусса, и тот же самый применяется любому другому пользователю за исключением root Однако, если Janet захочет зарегестрироваться как joe , пароля как обычно.

Если название хоста сопровождается названием пользователя, как и в последней линии вышеупомянутой типовой картотеки, то этому пользователю будет дан пароль-свободный доступ ко всем accont за исключением accony\t root.

Имени хоста может также предшествовать знак "минус", как на записи "-общий". Это требует разрешения на все account на общем, независимо от того, что пользователи единичного права предоставляют в их картотеке.rhosts.

3. В NFS среде окружения, Вы были бы должны дать этому защиту 444, потому что супер пользователь часто ограничивает в доступе к файлам на дисках, установленных через NFS. 4. Заметить, что файл hosts.equiv не обыскан когда кто -то делает попытку к регистрации как root.

Форматфайла.rhosts идентичен таковому hosts.equiv, но значение немного отлично. Рассмотрите Joe's.rhosts файл на Euler:



chomp.cs.groucho.edu gauss janet

Первая запись допускает, что joe освобождают acess при регистрации из Chomp.cs.groucho.edu, но не воздействуют на права любого другого account на euler или chomp. Вторая запись - небольшое изменение этого, в котором предоставляется janet свободный доступ к account Joe при регистрации из гаусса.

Заметьте, что название хоста клиента получено обратным отбором. Адрес вызывающего оператора к названию, так, чтобы эта особенность failed с хостами к решающему устройству. Имя хоста клиента рассматривается в соответствии с названим в хостах зарегистри рованных в одном из следующих случаев:

+ Каноническиое имя хоста клиента (не псевдоним) буквально соответствует имени хоста в файле.

+ Если имя хоста клиента - полностью квалифицированно, то название области (типа возвращенного решающим устройством, когда Вы имеете выполняющую DNS), не соответствует имени хоста в множествах файлов, это сравнивается с тем именем хоста, расширенным с локальным названием области.


Содержание раздела