Dateiformat hosts.equiv für TCP/IP

Zweck

Gibt ferne Systeme an, die Befehle auf dem lokalen System ausführen können

Beschreibung

Die Datei /etc/hosts.equiv definiert zusammen mit allen lokalen Dateien $HOME/.rhosts die Hosts (Computer in einem Netz) und Benutzerkonten, die ferne Befehle auf einem lokalen Host ohne Angabe eines Kennworts aufrufen können. Ein Benutzer oder Host, der kein Kennwort angeben muss, gilt als vertrauenswürdig.

Wenn ein lokaler Host eine ferne Befehlsanforderung empfängt, prüft der entsprechende lokale Dämon zuerst die Datei /etc/hosts.equiv , um festzustellen, ob die Anforderung von einem vertrauenswürdigen Benutzer oder Host stammt. Wenn der lokale Host beispielsweise eine Fernanmeldeanforderung empfängt, prüft der Dämonprozess rlogind , ob eine Datei hosts.equiv auf dem lokalen Host vorhanden ist. Wenn die Datei vorhanden ist, aber den Host oder Benutzer nicht definiert, überprüft das System die entsprechende Datei $HOME/.rhosts . Diese Datei ähnelt der Datei /etc/hosts.equiv , außer dass sie für einzelne Benutzer verwaltet wird.

Beide Dateien, hosts.equiv und .rhosts , müssen über Berechtigungen verfügen, die den Schreibzugriff auf Gruppen und andere Gruppen verweigern. Wenn eine Gruppe oder eine andere Gruppe Schreibzugriff auf eine Datei hat, wird diese Datei ignoriert.

Erteilen Sie der Gruppe und anderen Gruppen keine Schreibberechtigung für die Datei /etc/hosts.equiv . Die Berechtigungen für die Datei /etc/hosts.equiv sollten auf 600 gesetzt werden (nur vom Eigner gelesen und geschrieben).

Wenn der Rootbenutzer eine Anforderung für einen fernen Befehl stellt, wird die Datei /etc/hosts.equiv ignoriert und nur die Datei /.rhosts gelesen.

Vertrauen gewähren und verweigern

Sie erteilen einem fernen Host oder einem fernen Benutzer die Vertrauensstellung von einem lokalen Host. Die Datei /etc/hosts.equiv der lokalen Maschine enthält Einträge für jeden vertrauenswürdigen Host oder Benutzer. Ein Eintrag hat folgendes Format:

HostName [UserName]

Das Feld HostName gibt den Namen des Hosts an, dem vertraut werden soll. Das Feld UserName gibt den Namen des Benutzers auf diesem fernen Host an, der anerkannt werden soll. Das Feld UserName ist optional.

Sie können das Pluszeichen (+) als Platzhalterzeichen im Feld HostName oder UserName verwenden, um allen Benutzern von einem bestimmten Host oder von allen Hosts, auf denen ein bestimmter Benutzer ein Konto hat, Vertrauen zu gewähren. Um jedem Benutzer auf jeder Maschine im Netz Vertrauen zu geben, geben Sie am Anfang der Datei ein Pluszeichen (+) an.

Sie verweigern die Anerkennung eines Hosts oder eines Benutzers, indem Sie diese in der Datei /etc/hosts.equiv weglassen. Wenn Sie den Host oder Benutzer weglassen, implizieren Sie, dass sie nicht vertrauenswürdig sind. Dies ist die sicherste Methode, um Vertrauen zu verweigern. Andernfalls können Sie einem bestimmten Host oder Benutzer mit dem Minuszeichen (-) explizit die Anerkennung verweigern. Ein Host kann im folgenden Format explizit zurückgewiesen werden:

-HostName

Das Format zum expliziten Verweigern eines bestimmten Benutzers von einem Host ist:

HostName [-UserName]

NIS mit der Datei /etc/hosts.equiv verwenden

Wenn Ihr Netz Network Information Services (NIS) verwendet, können Sie anstelle des Felds HostName oder UserName Netzgruppen verwenden. Das System löst die Netzgruppe abhängig von dem Feld auf, das die Netzgruppe ersetzt. Wenn Sie beispielsweise eine Netzgruppe in das Feld HostName eingeben, löst das System die Hostkomponente der Netzgruppe auf. Wenn die Netzgruppe im Feld UserName angezeigt wird, wird die Benutzerkomponente aufgelöst. Verwenden Sie das folgende Format, um einer Netzgruppe Vertrauen zu erteilen:

+@NetGroup

Verwenden Sie den folgenden Befehl, um die Anerkennung zu verweigern:

-@NetGroup

Weitere Informationen zu Netzgruppen finden Sie in der NIS-Datei Netzgruppe .

Einträge in der Datei /etc/hosts.equiv sortieren

Die Reihenfolge der Einträge in der Datei /etc/hosts.equiv ist wichtig. Bei der Überprüfung der Vertrauensstellung analysiert das System die Datei /etc/hosts.equiv von oben nach unten. Wenn ein Eintrag gefunden wird, der dem Host oder Benutzer entspricht, der einen fernen Befehl versucht, stoppt das System die Syntaxanalyse der Datei und erteilt oder verweigert die Anerkennung auf der Basis des Eintrags. Alle weiteren Einträge, die später in der Datei erscheinen, werden ignoriert.

Beispiele

1. Alle Benutzer auf fernen Hosts zulassenemeraldundamethystzum Anmelden am Hostdiamond, geben Sie Folgendes ein:

   emerald
   amethyst

   Diese Einträge indiamondIn der Datei /etc/hosts.equiv können alle Benutzeremeraldundamethystmit lokalen Accounts aufdiamondum sich über Fernzugriff ohne Angabe eines Kennworts anzumelden.
2. Nur den Benutzer zulassengregoryfür die Fernanmeldung beidiamondvom Hostamethyst, geben Sie Folgendes ein:

   emerald
   amethyst gregory

   Dieser Eintrag indiamondDie Datei /etc/hosts.equiv erzwingt, dass alle Benutzeramethyst, mit Ausnahme vongregory, um ein Kennwort anzugeben, wenn Sie sich über Remotezugriff bei anmeldendiamond.
3. Um Vertrauen zu gewährenpeterGeben Sie unabhängig vom Host, von dem er versucht, ferne Befehle auszuführen, Folgendes ein:

   emerald
   amethyst gregory
   + peter

   Dieser Eintrag indiamondDie Datei /etc/hosts.equiv von ' lässtpeterzum Ausführen ferner Befehle aufdiamondvon jedem Host, auf dem er ein Konto hat.
4. So lassen Sie alle Hosts in dercenturynetgroup zum Ausführen ferner Befehle auf Hostdiamond, geben Sie Folgendes ein:

   emerald
   amethyst gregory
   + peter
   +@century

   Dieser Eintrag indiamondDie Datei /etc/hosts.equiv von ' s erteilt allen Hosts in dercenturyNetzgruppe. Dies bedeutet, dass jeder Benutzer mit einem Account auf einemcenturyHost und ein Konto aufdiamondkann ferne Befehle ausführen aufdiamondohne Angabe eines Kennworts.
5. Gehen Sie wie folgt vor, um alle Benutzer in derengineersnetgroup mit Konten aufcitrinezum Ausführen ferner Befehle auf dem Hostdiamond, geben Sie Folgendes ein:

   emerald
   amethyst gregory 
   + peter
   +@century
   citrine +@engineers

   Dieser Eintrag indiamondDie Datei /etc/hosts.equiv von ' s erteilt allen Netzgruppen Vertrauen.engineersBenutzer mit einem Konto aufcitrine.
6. So erteilen Sie allen Benutzern mit Konten auf Hosts in derserversNetzgruppe, die Benutzer in dersysadminsnetgroup, geben Sie Folgendes ein:

   emerald
   amethyst gregory 
   + peter
   +@century
   citrine +@engineers
   +@servers +@sysadmins

   Dieser Eintrag indiamondDie Datei /etc/hosts.equiv von erteilt jedem Benutzer in dersysadminsNetzgruppe, die über Fernzugriff Befehle von Hosts ausführt, die sich in derserversNetzgruppe.
7. So erzwingen Sie eineengineersNetzgruppenbenutzerlydiader über ein Konto verfügt aufcitrineum ein Kennwort zu verwenden, während alle anderenengineersBenutzer nicht, geben Sie Folgendes ein:

   emerald
   amethyst gregory 
   + peter
   +@century
   citrine -lydia
   citrine +@engineers
   +@servers +@sysadmins

   Dieser Eintrag indiamondDie Datei /etc/hosts.equiv von ' s erteilt allen Netzgruppen Vertrauen.engineersBenutzer, außer fürlydia, der ein Kennwort angeben muss Die Reihenfolge der Einträge ist sehr wichtig. Denken Sie daran, dass das System Vertrauen auf der Basis des ersten gefundenen Eintrags gewährt. Wenn die Reihenfolge der Einträge wie folgt lautet:

   emerald
   amethyst gregory 
   + peter
   +@century
   citrine +@engineers
   citrine -lydia
   +@servers +@sysadmins

   Benutzerlydia, als Mitglied vonengineers, kann ferne Befehle ausführen aufdiamondobwohl ein späterer Eintrag ihr Vertrauen explizit verweigert.

Dateien