网络管理员指南 -9.各种网络应用程序-5>设置 r 命令

/ns/wz/net/data/20020808033609.htm

网络管理员指南 -9.各种网络应用程序-5>设置 r 命令


本文出自:http://www.linpus.com.tw 作者: Andrew Anderson


在远程主机上有许多执行命令。这些是 rlogin , rsh , rcp 和 rcmd 。他们都在远程主机上产出一
个位置并且允许用户执行命令。当然,顾客需要在主机上有一个帐号,在主机上命令将被执行。这样所有
这些命令施行一个授权过程。通常,顾客将把用户的登录名字告诉服务器,它接着请求一个以通常的方法
被批准的口令。

#
# /etc/rpc - miscellaneous RPC-based services
#
portmapper 100000 portmap sunrpc
rstatd 100001 rstat rstat svc rup perfmeter
rusersd 100002 rusers
nfs 100003 nfsprog
ypserv 100004 ypprog
mountd 100005 mount showmount
ypbind 100007
walld 100008 rwall shutdown
yppasswdd 100009 yppasswd
bootparam 100026
ypupdated 100028 ypupdate


然而,有时为某个用户放松授权是合乎需要的。例如,如果你经常必须在你的 LAN 登录进入另外的
机器,你可能想不要每次都得敲入你的口令就可以被承认。

停用授权仅仅在小数量的主机上是明智的,主机的口令数据库是同步的,或对小数量的有特权的用户
是明智的,该用户为行政的原因需要存取许多机器。无论何时你想要允许人们不必指定一个登录 id
或口令就登录你的主机,保证你不会偶然准予存取给另外的人。

对于 r 命令有两个停用授权检查的方法。一个人为某个超级用户允许某个或所有的用户在某一个或
所有主机上(后者毫无疑问是一个坏想法)不被要求口令就可以登录。这个存取被一个称为
/etc/hosts.equiv.的文件控制.它包含一个主机列表和用户名字,它们被认为与本地的主机上的用户
是相等的.对于一个用户的一个选择是在某个主机上准予另外的用户到她的帐号。这些可以在用户主
目录中的文件 .rhosts中 被列出。为了安全原因,这个文件必须被用户或超级用户拥有,并且不能
是一个符号的连接,否则它将被忽略。

当一个顾客请求一种 r 服务时,她的主机和用户名字在 /etc/hosts.equiv 文件中被寻找,然后在用户
的.rhosts 文件中,她想要登录作为。作为一个例子,假定 janet 在 gauss 上正在工作并且试着在 euler
上登录 joe 的帐目。通过下面,我们将作为顾客用户参考Janet,并且到作为本地用户的Joe。现在,当
Janet敲打

$ rlogin -l joe euler

在 gauss 上,如果Janet被认为是免费的存取,服务器将首先检查 hosts.equiv,如果这个失败,它将试
着在 joe 的主目录的 .rhosts中查找她。

在euler上的hosts.equiv文件看上去象这样:

gauss
euler
-public
quark.physics.groucho.edu andres




一个入口由一个主人名字组成,选择性地由一个用户名字列在后面。如果一个主人名字都由自己出现,
从那个主机中的所有用户将不需任何检查而被承认到他们本地的帐号。在上面的例子中,来自 gauss
时,Janet将被允许登录她的帐号 janet ,并且除了根以外,同样适用于任何另外的用户。然而,如果
Janet想要作为 joe 登录,她将象往常一样为一个口令被推动。

如果一个主机名字被一个用户名字跟随,作为在上面例子文件的最后一行,这个用户除了根帐号以外
被给所有帐号的免费口令的存取。

主人名字可以也由一个减号符号领先,作为入口“-public”。这个需要为所有的帐号公开的要求授权,
不考虑在它们文件.rhosts中单个用户的什么权利。

.rhosts 文件的格式对于 hosts.equiv 是相同,但是它的意思有点不同。在 euler 上认为Joe的
.rhosts文件:

chomp.cs.groucho.edu
gauss janet


当从 chomp.cs.groucho.edu 登录时,第一入口准予 joe 的免费存取,但是不影响在 euler 或 chomp
上的任何另外的帐号的权利。第二入口是这个的一个细微的变化,因为当从 gauss 登录时,它准予 janet
的免费存取到Joe的帐号。

注意到顾客的主机名字由映射呼叫者的地址到一个名字来获得,从而这个特征将与到 resolver 未知的主
机而失败。顾客的主机名字被考虑去匹配在下列情况之一的主机文件名字:

顾客的正规的主机名字(不一个别名)在文件中逐字地匹配主机名字。

如果顾客的主机名字是一个完全合格的域名(例如当你运行DNS时,由 resolver 返回了),并且它不在主机
文件中逐字地匹配主机名字,它与被扩展了的本地域名与那个主机名字相比。