在Unix系統中,遠程主機上有兩個文件會影響到遠程存取操作(rcp、rsh、rlogin),它們是“/etc/hosts.equiv”和“~home/.rhosts”。“/etc/hosts.equiv”文件包含一系列主機名,每一個主機都是受信任的主機,任何一個用戶只要在本地主機和遠程主機上有一個相同的賬號就允許從本地主機訪問遠程主機,而不需提供密碼。通常只有系統管理員才能更改“/etc/hosts.equiv”文件的內容。這個文件允許多個用戶存取,所以是一個系統配置文件。每個用戶同時可以在自己的主目錄設置“.rhosts”文件,屬主是用戶自己或root,這樣可以防止一個用戶存取另一個用戶的賬號,並且該文件的存取權限設為600(即只能由用戶自己進行讀寫操作)。
這兩個文件中有效的格式,每一行可以為:
空行;
以#開頭的注釋行;
主機名;
主機名,空格,用戶名;
一個“+”,指任何主機和用戶;
關鍵詞NO_PLUS,不允許用加號。
另外對“.rhosts”文件來說,當無用戶名時,表示遠程主機上的任何用戶都可以遠程存取本機,但是本地和遠程主機上的用戶名必須相同。主機名和用戶名前可以置“-”號,表示該主機和用戶不許進行遠程存取。主機名和用戶名的位置上也可以置“+”號,表示任何一台遠程主機或用戶都可以遠程存取本機。
現將它們的特點總結如下:
1.用戶主目錄內的“.rhosts”文件內容是受信任的{主機~用戶}關系對。與“hosts.equiv”內的受信任主機有些類似,但它卻給了更精細的控制。與“hosts.equiv”相比,不是授予某一特定主機上的所有普通用戶信任關系,而是授予特定主機上的某一特定賬號以信任關系。受信任主機上的用戶並不需要在本地主機上有賬號。
2.“/etc/hosts.equiv”先於“~home/.rhosts”進行許可檢查,只要找到匹配的項目,檢查就馬上停止。然而當用戶是root時,只檢查“~home/.rhosts”。
3.當在“/etc/hosts.equiv”中使用一個減號(-),所有主機上的所有用戶都不被信任,但如果又包含一個主機在“~home/.rhosts”內,那麼該機上所有用戶仍然可以不用密碼登錄本地主機。
4.一台遠程主機一旦被加入“/etc/hosts.equiv”中,就不能限制其上的所有用戶登錄本地主機,所以存在很大的安全隱患。
5.“/etc/hosts.equiv”文件中如果加入了一台遠程主機和一個用戶,在該機上的那個用戶(非root用戶)就可以用rlogin登錄本地機上的所有非root賬號,而且不需要密碼。
6.上述兩個文件裡所包含的主機稱為受信任主機,既可以是遠程主機,也可以是本地主機。在這兩個文件裡加入本地主機,已經登錄上本地主機的用戶可以再次登錄本地主機,而無需密碼(root用戶仍需密碼)。
7.出於安全的原因,“/etc/hosts.equiv”文件不允許遠程主機的超級用戶不輸入密碼就登錄到本地主機。系統管理員應該保持該文件為空,或謹慎使用。
下面的例子說明了“/etc/hosts.equiv”和“~home/.rhosts”的存在形式。這兩個文件都放在test_a主機上,“.rhosts”文件的屬主是chen,並放在chen的主目錄下。“/etc/hosts.equiv”內的test_b和test_c主機對test_a來說,是受信任主機,任何一個用戶只要在test_a和test_b上有相同的賬號就能夠無需鍵入密碼從test_b遠程存取test_a。同樣道理,test_c和test_a的關系也一樣。
示例如下(系統環境為DEC的TRUE64 Unix):
放在test_a上的“/etc/host.equiv”文件為:
test_b
test_c
主機test_a上用戶chen主目錄下的.rhosts文件:
test_d chen
test_c chen
test_c root
test_e diane
test_e chen
test_e root
用戶chen的“.rhosts”文件包含一系列遠程主機及其上的用戶,他們能夠以chen的身份存取主機test_a而不需密碼。
說明以下兩點:
●用戶chen:{主機-用戶名}中的任何用戶可以存取test_a上的chen賬號。它們都變成了chen,就好像將test_a上的chen賬號及密碼給了這些遠程用戶一樣。
●無需使用密碼:一些像rlogin的服務可以提供密碼的輸入提示。身份驗證失敗時,可以再次提示輸入密碼。而其他的服務(rcp和rsh)不能提供輸入密碼的提示功能,因而必須以此方法進行配置。
