Режим дистанционного доступа

Если какой-нибудь пользователь (суперпользователь) пытается зарегистрироваться в режиме дистанционного доступа путем использования службы rlogin с одного из хостов, перечисленных в указанном файле, и если дистанционная система может получить доступ к паролю данного пользователя, то эта дистанционная система разрешит этому пользователю зарегистрироваться без использования пароля.

Когда в файле /etc/hosts. equiv организован элемент для некоторого хоста, подобно образцу элемента для systeml, то это означает, что хост является доверяемым и является таковым для любого пользователя на той машине. Если, кроме этого, указывается имя пользователя в виде второго элемента в том же самом файле, то данный хост является доверяемым только в том случае, если именно заданный пользователь пытается получить доступ. Единственная строка в файле /etc/hosts. equiv, содержащая знак плюс, обозначает, что каждый известный хост является доверяемым.

Файл /etc/hosts. equiv представляет собой некоторый риск для безопасности. Если вы эксплуатируете файл /etc/hosts. equiv на своей системе, то этот файл должен включать только доверяемые хосты в пределах вашей сети. Этот файл не должен включать любой хост, относящийся к другой сети, или любые машины из общедоступной области.

Картинка

Измените регистрационное имя суперпользоввтеля нв что-нибудь, отличное от слове "root", и никогда не помещайте имя системы в файл /etc/hosts. equiv без имени пользователя или нескольких имен пользователей после него.

Файл. rhosts

Представляет собой пользовательскйй эквивалент файла /etc/hosts. equiv. Он содержит список хостов и пользователей. Если в данном файле упоминается какая-нибудь комбинация хост-пользователь, то заданному пользователю гарантируются полномочия на регистрацию в режиме дистанционного доступа от указанного хоста без необходимости предъявления пароля. Заметьте, что файл. rhosts должен находиться на верхнем уровне иерархии исходного каталога пользователя, поскольку обращений к файлам. rhosts, расположенным в подкаталогах, не происходит. Пользователи могут создавать файлы. rhosts в собственных исходных каталогах - это альтернативный способ разрешения доверяемого доступа между собственными учетными записями пользователей на различных системах без использования файла /etc/hosts. equiv.

Файл. rhosts представляет собой главную проблему в области защиты информации. Хотя файл /etc/hosts. equiv находится под контролем системного администратора и управление им может быть достаточно эффективным, однако любой пользователь может создать файл. rhosts, который предоставляет доступ кому угодно по выбору самого пользователя, причем системный администратор не знает об этом.

Когда исходные (домашние) каталоги всех пользователей находятся на одном сервере и только ограниченное число людей имеет доступ с привилегиями суперпользователя к данному серверу, тогда хорошим способом предотвратить использование файла. rhosts каким-нибудь пользователем является создание (с привилегиями суперпользователя) пустого файла. rhosts в домашнем каталоге данного пользователя. Затем измените полномочия в этом файле на ООО, чтобы его изменение могло бы стать сложной задачей даже для суперпользователя. Такой способ может эффективно воспрепятствовать созданию опасных для защиты системы ситуаций в результате безответственного использования файла. rhosts.

Единственно безопасный способ управления файлами. rhosts - полный запрет их использования. Единственно возможным исключением из этой политики является учетная запись суперпользователя, для которой может потребоваться файл. rhosts при выполнении сетевого резервного копирования и других служб в режиме дистанционного доступа.

Картинка
Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок