Mechanismus .rhosts umožňuje uživatelům přihlásit se k systému založenému na systému UNIX z jiného počítače ve stejné síti. Soubor .rhosts obsahuje seznam hostitelů a uživatelských jmen, které určují, kdo se může vzdáleně přihlásit do systému bez hesla. Informace v tomto článku platí pro operační systémy založené na UNIX včetně Linux, macOS a Android.
Co je rhost?
Soubor .rhosts souvisí se souborem hosts.equiv, který také umožňuje uživatelům přístup ke svým účtům na různých počítačích. Rozdíl je v tom, že soubor hosts.equiv žije v kořenovém adresáři místního systému a obsahuje seznam důvěryhodných vzdálených hostitelů (ostatní počítače ve stejné síti) a uživatelů, kteří mají místní přístup. Soubor .rhosts je skrytý soubor v domovském adresáři místního uživatele, který obsahuje seznam důvěryhodných vzdálených hostitelů a uživatelů. Soubor .rhosts musí být umístěn v nejvyšší úrovni domovského adresáře uživatele, aby byl přístupný.
Jak funguje rhost?
Soubory .rhosts a hosts.equiv slouží jako databáze pro příkazy CMD rcp, rlogin a rsh, které se používají k určení důvěryhodných hostitelů a uživatelů. Soubor .rhost obsahuje seznam jednorázových položek ve formátu název hostitele uživatelské jméno Kde název hostitele je celé doménové jméno hostitele (ne alias). Záznamy jsou pozitivní nebo negativní. Pokud se v souborech .rhosts a local hosts.equiv nacházejí shodné pozitivní položky, pak je ověření úspěšné. Pokud jsou nalezeny záporné nebo žádné položky, ověření selže. Pokud soubor .rhost obsahuje více pozitivních a negativních položek, má přednost položka, která je uvedena jako první.
rhost Host a uživatelská jména
Název hostitele může mít několik různých forem:
- +: Všichni hostitelé v síti jsou důvěryhodní.
- název hostitele: Všichni uživatelé, kteří se přihlásí ze vzdáleného hostitele název hostitele jsou důvěryhodné.
- –název hostitele: Hostitel není důvěryhodný.
- + @síťová skupina: Všichni hostitelé ve skupině sítě síťová skupina jsou důvěryhodné.
- – @síťová skupina: Žádní hostitelé ve skupině sítí nejsou důvěryhodní.
Uživatelské jméno funguje podobně:
- +: Všichni uživatelé v síti jsou důvěryhodní.
- uživatelské jméno: Vzdálený uživatel uživatelské jméno je důvěryhodný.
- –uživatelské jméno: Uživatel není důvěryhodný.
- + @síťová skupina: Všichni uživatelé ve skupině sítí síťová skupina jsou důvěryhodné.
- – @síťová skupina: Žádní uživatelé v síti nejsou důvěryhodní.
Příklady přímých záznamů
Následující položka v souboru .rhosts místního uživatele umožňuje vzdálenému uživateli Robertovi na vzdáleném hostiteli myhost.example.com přihlásit se jako místní uživatel na místním hostiteli: myhost.example.com robert
Pokud byste chtěli odepřít místní přístup všem uživatelům na vzdáleném hostiteli, zadali byste: -myhost.example.com
Je také možné povolit všem hostitelům v místní síti místní přístup při vytváření výjimek pro konkrétní uživatele. Pokud byste například chtěli povolit všechny hostitele ve skupině sítě Lifewire a zároveň odmítnout uživatele Roberta, zadali byste: + @ lifewire -robert
Popřít (–) prohlášení by měla vždy předcházet akceptovat (+) příkazy v souboru .rhost.
Bezpečnostní rizika používání rhosts
Ponechání souboru .rhost ve vašem systému otevírá dveře potenciálním bezpečnostním hrozbám. Hackeři mohou například falšovat adresy IP nebo informace DNS, aby získali přístup do vašeho systému. Proto byste měli omezit oprávnění pro čtení a zápis pouze na vlastníka. Na rozdíl od souborů hosts.equiv, které jsou chráněny oprávněními správce, mohou soubory .rhosts vytvářet libovolní uživatelé, což ohrožuje celý systém. Pokud jste správcem vaší sítě, měli byste soubory .rhosts zakázat, i když pro síťové zálohy budete možná muset jeden ponechat v účtu root.