Dämon "rshd"

Online bearbeiten

Zweck

Stellt die Serverfunktion für die Fernausführung von Befehlen bereit.

Syntax

Anmerkung: Der Dämon RSHD wird normalerweise vom Dämon Inetd gestartet. Es kann auch über die Befehlszeile mit SRC-Befehlen gesteuert werden.

/usr/sbin/rshd [-c] [ -s] [L]

Beschreibung

Der Dämon /usr/sbin/rshd ist der Server für die rcp- und rsh-Befehle. Der Dämon rshd stellt die Fernausführung von Shellbefehlen bereit. Diese Befehle basieren auf Anforderungen von privilegierten Sockets auf vertrauenswürdigen Hosts. Die Shellbefehle müssen über Benutzerauthentifizierung haben. Der Dämon rshd ist an dem in der Datei /etc/services definierten Socket empfangsbereit.

Änderungen am Dämon rshd können über SMIT (System Management Interface Tool) oder SRC (System Resource Controller) vorgenommen werden, indem die Datei /etc/inetd.conf bzw. die Datei /etc/services bearbeitet wird. Die Eingabe von rshd in der Befehlszeile wird nicht empfohlen. Der Dämon rshd wird standardmäßig gestartet, wenn er in der Datei /etc/inetd.conf auskommentiert wird.

Der Dämon inetd erhält seine Informationen aus der Datei /etc/inetd.conf und der Datei /etc/services.

Nachdem Sie die Datei /etc/inetd.conf oder /etc/services geändert haben, führen Sie den Befehl refresh -s inetd oder kill -1 InetdPID aus, um den Dämon inetd über die Änderungen an seiner Konfigurationsdatei zu informieren.

Serviceanforderungsprotokoll

Wenn der Dämon rshd eine Serviceanforderung empfängt, wird das folgende Protokoll aufgerufen:

  1. Der Dämon rshd überprüft die Quellenportnummer für die Anforderung. Wenn die Portnummer nicht im Bereich von 512 bis 1023 liegt, beendet der Dämon rshd die Verbindung.
  2. Der Dämon rshd liest Zeichen aus dem Socket bis zu einem Nullbyte. Die gelesene Zeichenfolge wird als ASCII-Zahl (Basis 10) interpretiert. Wenn diese Zahl ungleich null ist, interpretiert der Dämon rshd diese als die Portnummer eines sekundären Datenstroms, der als Standardfehlerausgabe verwendet werden soll. Es wird eine zweite Verbindung zum angegebenen Port auf dem Client-Host erstellt. Der Bereich für den Quellenport auf dem lokalen Host liegt ebenfalls zwischen 512 und 1023.
  3. Der Dämon rshd verwendet die Quellenadresse der ursprünglichen Verbindungsanforderung, um den Namen des Clienthosts zu ermitteln. Wenn der Name nicht ermittelt werden kann, verwendet der Dämon rshd die Adresse des Client-Hosts in der Schreibweise mit Trennzeichen.
  4. Der Dämon rshd ruft die folgenden Informationen vom ursprünglichen Socket ab:
    • Auf null endende Zeichenfolge von maximal 16 Byte, die als Benutzername des Benutzers auf Client-Host interpretiert wird
    • Auf null endende Zeichenfolge von maximal 16 Byte, die als Benutzername interpretiert wird, der auf dem lokalen Server-Host verwendet werden soll
    • Weitere auf null endende Zeichenfolge, die als Befehlszeile interpretiert wird, die an eine Shell auf dem lokalen Server-Host übergeben werden soll
  5. Der Dämon rshd versucht, den Benutzer anhand der folgenden Schritte zu überprüfen:
    1. Der Dämon rshd sucht den lokalen Benutzernamen über die chdir-Subroutine. Wenn die Suche oder die Verzeichnisänderung fehlschlägt, beendet der Dämon rshd die Verbindung.
    2. Wenn die lokale Benutzer-ID ein Wert ungleich null ist, durchsucht der Dämon rshd die Datei /etc/hosts.equiv, um zu prüfen, ob der Name der Client-Workstation aufgelistet ist. Wenn die Client-Workstation als funktional entsprechender Host aufgeführt ist, validiert der Dämon rshd den Benutzer.
    3. Wenn die Datei $HOME/.rhosts vorhanden ist, versucht der Dämon rshd, den Benutzer zu authentifizieren, indem er die Datei .rhosts überprüft.
    4. Wenn die $HOME/.rhosts-Authentifizierung fehlschlägt, oder der Client-Host kein funktional entsprechender Host ist, beendet der Dämon rshd die Verbindung.
  6. Nachdem der Dämon rshd den Benutzer validiert hat, gibt der Dämon rshd ein Nullbyte an der ursprünglichen Verbindung zurück und übergibt die Befehlszeile an die lokale Anmeldeshell des Benutzers. Die Shell übernimmt dann die Netzverbindungen, die vom Dämon rshd eingerichtet wurden.

Der Dämon rshd sollte mit SMIT (System Management Interface Tool) oder durch Ändern der Datei /etc/inetd.conf gesteuert werden. Die Eingabe von rshd in der Befehlszeile wird nicht empfohlen.

Dämon rshd mit SRC bearbeiten

Der Dämon "rshd" ist ein Subserver des Dämons "inetd", der ein Subsystem des System Resource Controllers (SRC) ist. Der Dämon "rshd" ist ein Mitglied der SRC-Subsystemgruppe "tcpip". Dieser Dämon ist standardmäßig in der Datei /etc/inetd.conf aktiviert und kann mit den folgenden SRC-Befehlen bearbeitet werden:
Element Beschreibung
startsrc Startet ein Subsystem, eine Gruppe von Subsystemen oder einen Subserver.
stopsrc Stoppt ein Subsystem, eine Gruppe von Subsystemen oder einen Subserver.
lssrc Ruft den Status eines Subsystems, einer Gruppe von Subsystemen oder eines Subservers ab.

Flags

Element Beschreibung
c Unterdrückt die Überprüfung der Integrität einer Hostnamensuche.
p Führt Ihre Datei .profile immer dann aus, wenn Sie den Befehl rsh im nicht interaktiven Modus absetzen. Ohne dieses Flag wird Ihre .profile-Datei nicht ausgeführt, falls der rsh-Befehl im nicht interaktiven Modus ausgeführt wird.
s Aktiviert das Debugging auf Socketebene.

Sicherheit

Der Dämon rshd ist eine PAM-aktivierte Anwendung mit einem Servicenamen von rsh. Die systemweite Konfiguration zur Verwendung von PAM für die Authentifizierung wird festgelegt, indem der Wert des Attributs auth_type in der usw-Zeilengruppe der Datei /etc/security/login.cfg als Rootbenutzer in das Attribut PAM_AUTH geändert wird.
Die Authentifizierungsmechanismen, die verwendet werden, wenn PAM aktiviert ist, hängen von der Konfiguration für den rsh-Service in der Datei /etc/pam.conf ab. Der Dämon rshd erfordert /etc/pam.conf-Einträge für die Modultypen auth, account und session. Die folgende Konfiguration wird in der Datei /etc/pam.conf für den Servicersh empfohlen:
#
# AIX rsh configuration
#
rsh auth      sufficient   /usr/lib/security/pam_rhosts_auth

rsh account   required     /usr/lib/security/pam_aix

rsh session   required     /usr/lib/security/pam_aix

Beispiele

Anmerkung: Die Argumente für den Dämon rshd können mit SMIT oder durch Bearbeiten der Datei /etc/inetd.conf angegeben werden.
  1. Geben Sie Folgendes ein, um den Dämon rshd zu starten:
    startsrc -t shell
    Dieser Befehl startet den rshd-Subserver.
  2. Geben Sie Folgendes ein, um den Dämon rshd zu stoppen:
    stopsrc -t shell
    Mit diesem Befehl können alle ausstehenden Verbindungen gestartet und vorhandene Verbindungen abgeschlossen werden, es wird jedoch verhindert, dass neue Verbindungen gestartet werden.
  3. Geben Sie Folgendes ein, um zu erzwingen, dass der Dämon rshd und alle rshd-Verbindungen gestoppt werden:
    stopsrc -t -f shell
    Dieser Befehl beendet sofort alle ausstehenden Verbindungen und bestehenden Verbindungen.
  4. Geben Sie Folgendes ein, um einen kurzen Statusbericht zum Dämon rshd anzuzeigen:
    lssrc -t shell
    Dieser Befehl gibt den Namen, die Prozess-ID und den Status (aktiv oder inaktiv) des Dämons zurück.