Teil I Netzwerkdienste - Themen
2. Verwalten von Webcache-Servern
Teil II Zugriff auf Netzwerkdateisysteme - Themen
4. Verwalten von Netzwerkdateisystemen (Übersicht)
5. Verwaltung des Netzwerkdateisystems (Aufgaben)
6. Zugreifen auf Netzwerkdateisysteme (Referenz)
Teil III SLP (Service Location Protocol) - Themen
8. Planen und Aktivieren von SLP (Aufgaben)
9. Verwalten von SLP (Aufgaben)
10. Integrieren von veralteten Services
Teil V Serielle Vernetzung - Themen
15. Solaris PPP 4.0 (Überblick)
16. PLanen einer PPP-Verbindung (Aufgaben)
17. Einrichten einer PPP-Einwahlverbindung (Aufgaben)
18. Einrichten einer PPP-Standleitungsverbindung (Aufgaben)
19. Einrichten der PPP-Authentifizierung (Aufgaben)
20. Einrichten eines PPPoE-Tunnels (Aufgaben)
21. Beheben von allgemeinen PPP-Problemen (Aufgaben)
22. Solaris PPP 4.0 (Referenz)
23. Migrieren von Asynchronous Solaris PPP zu Solaris PPP 4.0 (Aufgaben)
25. Verwalten von UUCP (Aufgaben)
Teil VI Arbeiten mit Remote-Systemen - Themen
27. Arbeiten mit Remote-Systemen (Übersicht)
28. Verwalten des FTP-Servers (Aufgaben)
29. Zugriff auf Remote-Systeme (Aufgaben)
Zugriff auf Remote-Systeme (Übersicht der Schritte)
Anmelden bei einem Remote-System (rlogin)
Authentifizierung für Remote-Anmeldungen (rlogin)
Sequenzielle Remote-Anmeldungen
Direkte oder indirekte Remote-Anmeldungen
Vorgang nach der Remote-Anmeldung
So gehen Sie vor, um nach .rhosts-Dateien zu suchen und diese zu entfernen
So stellen Sie fest, ob ein Remote-System funktioniert
So stellen Sie fest, wer bei einem Remote-System angemeldet ist
Anmelden bei einem Remote-System (ftp )
Authentifizierung für Remote-Anmeldungen (ftp)
So öffnen Sie eine ftp-Verbindung mit einem Remote-System
So schließen Sie eine ftp-Verbindung mit einem Remote-System
So kopieren Sie Dateien aus einem Remote-System (ftp)
So kopieren Sie Dateien in ein Remote-System (ftp)
Sicherheitsüberlegungen für Kopiervorgänge
So kopieren Sie Dateien zwischen einem lokalen System und einem Remote-System (rcp)
Teil VII Überwachen von Netzwerkdiensten - Themen
Mit dem Befehl rlogin können Sie sich bei einem Remote-System anmelden. Sobald Sie angemeldet sind, können Sie im Remote-Dateisystem navigieren und die in ihm enthaltenen Inhalte (in Abhängigkeit von Ihren Berechtigungen) bearbeiten, Dateien kopieren oder Remote-Befehle ausführen.
Wenn sich das System, bei dem Sie sich anmelden, in einer Remote-Domain befindet, muss der Domainname unbedingt an den Systemnamen angefügt werden. In diesem Beispiel ist SOLAR der Name der Remote-Domain:
rlogin pluto.SOLAR
Sie können eine Remote-Anmeldung jederzeit unterbrechen, indem Sie Strg-d drücken.
Die Authentifizierung (d. h. die Prüfung Ihrer Identität) für rlogin-Vorgänge kann entweder vom Remote-System oder vom Netzwerk durchgeführt werden.
Der Hauptunterschied zwischen diesen Formen der Authentifizierung liegt in der Interaktion, die von Ihnen verlangt wird, und in der Art und Weise, wie die jeweilige Authentifizierung durchgeführt wird. Wenn ein Remote-System versucht, Sie zu authentifizieren, werden Sie zur Eingabe eines Passworts aufgefordert, es sei denn, Sie richten die Datei /etc/hosts.equiv oder die Datei .rhosts entsprechend ein. Wenn das Netzwerk versucht, Sie zu authentifizieren, werden Sie nicht zur Eingabe eines Passworts aufgefordert, da Ihre Identität dem Netzwerk bereits bekannt ist.
Wenn ein Remote-System versucht, Sie zu authentifizieren, verlässt es sich auf die Informationen in seinen lokalen Dateien. Dies trifft insbesondere unter folgenden Bedingungen zu:
Ihr Systemname und Ihr Benutzername sind in der /etc/hosts.equiv-Datei des Remote-Systems angegeben.
Ihr Systemname und Ihr Benutzername sind in der .rhosts -Datei des Remote-Benutzers angegeben, die sich im Home-Verzeichnis des Remote-Benutzers befindet.
Zur Netzwerkauthentifizierung werden eine der beiden folgenden Methoden verwendet:
Eine vertrauenswürdige Netzwerkumgebung wird mithilfe Ihres lokalen Netzwerkinformationsservice und des Automounters eingerichtet.
Die /etc/nsswitch.conf-Datei verweist auf einen der Netzwerkinformationsservices, der Informationen über Sie bereithält.
Hinweis - Die Systemauthentifizierung wird im Allgemeinen durch die Netzwerkauthentifizierung ersetzt.
Die /etc/hosts.equiv-Datei enthält eine Liste von vertrauenswürdigen Hosts für ein Remote-System (jeweils einer pro Zeile). Wenn ein Benutzer versucht, sich (mithilfe von rlogin) über einen der in dieser Datei aufgeführten Hosts anzumelden, und wenn das Remote-System auf den Passworteintrag des Benutzers zugreifen kann, lässt das System zu, dass der Benutzer sich ohne Passwort anmeldet.
Eine typische hosts.equiv-Datei ist wie folgt aufgebaut:
host1 host2 user_a +@group1 -@group2
Wenn ein einfacher Eintrag für einen Host in hosts.equiv erfolgt (beispielsweise ein Eintrag wie host1 im obigen Beispiel), bedeutet das, dass der Host als vertrauenswürdig betrachtet wird. Dies gilt dann auch für jeden Benutzer des Rechners.
Wenn auch der Benutzername (wie im zweiten Eintrag des Beispiels) angegeben wird, wird der Host nur dann als vertrauenswürdig betrachtet, wenn der angegebene Benutzer versucht, Zugang zu erhalten.
Wenn vor einem Gruppennamen ein Pluszeichen (+) steht, werden alle Rechner in der Netzgruppe als vertrauenswürdig betrachtet.
Wenn vor einem Gruppennamen ein Minuszeichen (–) steht, wird keiner der Rechner in dieser Netzgruppe als vertrauenswürdig betrachtet.
Die /etc/hosts.equiv-Datei ist ein Sicherheitsrisiko. Wenn auf Ihrem System eine /etc/hosts.equiv-Datei vorhanden ist, sollten Sie nur vertrauenswürdige Hosts in Ihr Netzwerk aufnehmen. In der Datei sollten weder Hosts enthalten sein, die zu einem anderen Netzwerk gehören, noch Rechner, die in öffentlichen Bereichen eingesetzt werden. Sie sollten beispielsweise keinen Host aufnehmen, der sich in einer Zentrale befindet.
Wenn keine vertrauenswürdigen Hosts verwendet werden, können schwerwiegende Sicherheitsprobleme auftreten. Entweder ersetzen Sie die /etc/hosts.equiv-Datei durch eine richtig konfigurierte Datei, oder Sie entfernen die Datei gänzlich.
Eine einzelne Zeile mit Pluszeichen (+) in der /etc/hosts.equiv -Datei bedeutet, dass jeder bekannte Host als vertrauenswürdig betrachtet wird.
Die .rhosts-Datei ist das Benutzeräquivalent der /etc/hosts.equiv-Datei. Diese Datei enthält in der Regel eine Liste von Kombinationen aus Hosts und Benutzern anstelle von Hosts. Wenn eine Host-Benutzer-Kombination in dieser Datei aufgeführt ist, erhält der angegebene Benutzer die Berechtigung, sich ohne Passwort über den angegebenen Host anzumelden.
Beachten Sie, dass eine .rhosts-Datei sich auf der obersten Ebene des Home-Verzeichnisses eines Benutzers befinden muss. .rhost-Dateien, die sich in Unterverzeichnissen befinden, werden nicht abgefragt.
Benutzer können .rhosts-Dateien in ihren Home-Verzeichnissen erstellen. Die Verwendung der .rhosts-Datei ist eine weitere Möglichkeit, für vertrauenswürdigen Zugriff zwischen den Konten der Benutzer auf verschiedenen Systemen zu sorgen, ohne dass die /etc/hosts.equiv-Datei verwendet wird.
Leider stellt die .rhosts-Datei ein großes Sicherheitsproblem dar. Während die /etc/hosts.equiv-Datei vom Systemadministrator kontrolliert wird und effizient verwaltet werden kann, kann jeder Benutzer die .rhosts-Datei erstellen und mithilfe dieser Datei jedem anderen Benutzer Zugriff gewähren, ohne dass der Systemadministrator davon Kenntnis hat.
Wenn sich alle Home-Verzeichnisse der Benutzer auf einem einzelnen Server befinden und nur bestimmte Personen Superuser-Zugriff auf diesen Server haben, können Sie die Verwendung einer .rhosts-Datei verhindern, indem Sie sich als Superuser anmelden und eine leere Datei in den Home-Verzeichnissen der Benutzer erstellen. Dann setzen Sie die Berechtigungen in dieser Datei auf 000, wodurch es schwierig ist, sie zu ändern. Selbst für einen Superuser wäre dies kein leichtes Unterfangen. Durch diese Änderung wird ein Benutzer daran gehindert, die Systemsicherheit durch unverantwortliche Verwendung einer .rhosts-Datei zu gefährden. Die Änderung hat jedoch keine Auswirkungen, wenn der Benutzer in der Lage ist, den Pfad zu seinem Home-Verzeichnis zu ändern.
Die einzige Möglichkeit, eine Gefährdung der Sicherheit auszuschließen, besteht darin, den Zugriff auf .rhosts-Dateien komplett zu unterbinden. Ausführliche Informationen zur Vorgehensweise finden Sie unter So gehen Sie vor, um nach .rhosts-Dateien zu suchen und diese zu entfernen. Als Systemadministrator können Sie das System häufig auf Verletzungen dieser Sicherheitsrichtlinie überprüfen. Ein mögliche Ausnahme zu dieser Richtlinie betrifft das Root-Konto. Eventuell benötigen Sie eine .rhosts-Datei, um Netzwerksicherungen und andere Remote-Services auszuführen.
Wenn Ihr System richtig konfiguriert ist, können Sie sequentielle Remote-Anmeldungen durchführen. Beispiel: Ein Benutzer auf earth meldet sich bei jupiter an und beschließt, sich von dort bei pluto anzumelden.
Der Benutzer könnte sich auch bei jupiter abmelden und sich dann direkt bei pluto anmelden, aber die erstere Art der Anmeldung ist bequemer.
Um sequentielle Remote-Anmeldungen ohne Angabe eines Passworts durchzuführen, muss die /etc/hosts.equiv-Datei oder die .rhosts-Datei richtig eingerichtet sein.
Mit dem Befehl rlogin können Sie sich direkt oder indirekt bei einem Remote-System anmelden.
Eine direkte Remote-Anmeldung wird mit dem standardmäßigen Benutzernamen durchgeführt, also mit dem Benutzernamen der Person, die gerade beim lokalen System angemeldet ist. Dies ist die gebräuchlichste Form der Remote-Anmeldung.
Ein indirekte Remote-Anmeldung wird mit einem anderen Benutzernamen durchgeführt, der während der Remote-Anmeldung bereitgestellt wird. Mit dieser Art der Remote-Anmeldung können Sie versuchen, sich von einer Workstation aus anzumelden, die Sie vorübergehend geliehen haben. Wenn Sie beispielsweise im Büro eines Mitarbeiters Dateien in Ihrem Home-Verzeichnis prüfen müssen, können Sie sich über das System des Mitarbeiters bei Ihrem System anmelden. Allerdings müssen Sie zu diesem Zweck eine indirekte Remote-Anmeldung durchführen und Ihren eigenen Benutzernamen angeben.
Die Abhängigkeiten zwischen direkten und indirekten Anmeldungen und der Authentifizierung sind in der folgenden Tabelle zusammengefasst.
Tabelle 29-2 Abhängigkeiten zwischen Anmeldung und Authentifizierung (rlogin)
|
Wenn Sie sich bei einem Remote-System anmelden, wird mithilfe des Befehls rlogin nach Ihrem Home-Verzeichnis gesucht. Wenn Ihr Home-Verzeichnis nicht mithilfe des Befehls rlogin gefunden werden kann, werden Sie dem Root-Verzeichnis (/) des Remote-Systems zugewiesen. Beispiel:
Unable to find home directory, logging in with /
Wenn Ihr Home-Verzeichnis jedoch mithilfe des Befehls rlogin gefunden werden kann, werden sowohl Ihre .cshrc-Datei als auch Ihre .login-Datei als Quelle verwendet. Darum ist Ihre Eingabeaufforderung nach einer Remote-Anmeldung Ihre standardmäßige Anmeldeaufforderung, und das aktuelle Verzeichnis ist dasselbe wie bei einer lokalen Anmeldung.
Wenn beispielsweise bei Ihrer normalen Eingabeaufforderung Ihr Systemname und Ihr Arbeitsverzeichnis angezeigt werden und Sie sich anmelden, ist Ihr Arbeitsverzeichnis Ihr Home-Verzeichnis, und Ihre Anmeldeaufforderung sieht wie folgt aus:
earth(/home/smith):
Wenn Sie sich dann bei einem Remote-System anmelden, wird eine ähnliche Anmeldeaufforderung angezeigt, und Ihr Arbeitsverzeichnis ist Ihr Home-Verzeichnis, unabhängig von dem Verzeichnis, in dem Sie den Befehl rlogin eingegeben haben:
earth(/home/smith): rlogin pluto . . . pluto(/home/smith):
Der einzige Unterschied besteht darin, dass der Name des Remote-Systems am Anfang der Eingabeaufforderung an die Stelle Ihres lokalen Systems tritt. Das Remote-Dateisystem liegt parallel zu Ihrem Home-Verzeichnis.
Wenn Sie das Verzeichnis in /home ändern und ls ausführen, wird Folgendes angezeigt:
earth(home/smith): cd .. earth(/home): ls smith jones
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# find home-directories -name .rhosts -print -exec rm {} \;
Identifiziert den Pfad zu dem Verzeichnis, in dem sich die Home-Verzeichnisse von Benutzern befinden. Beachten Sie, dass Sie mehrere Pfade eingeben können, um gleichzeitig nach mehreren Home-Verzeichnissen zu suchen.
Identifiziert den Dateinamen.
Gibt den aktuellen Pfadnamen aus.
Teilt dem Befehl find mit, den Befehl rm auf alle Dateien anzuwenden, die mithilfe des entsprechenden Dateinamens identifiziert werden.
Der Befehl find beginnt mit dem benannten Verzeichnis und sucht nach einer Datei namens .rhosts. Wird eine solche Datei gefunden, gibt find den Pfad auf dem Bildschirm aus und entfernt diese.
Beispiel 29-1 Suchen nach .rhosts-Dateien und Entfernen dieser Dateien
Im folgenden Beispiel wird nach .rhosts-Dateien in allen Home-Verzeichnissen des Benutzers gesucht, die sich im /export/home -Verzeichnis befinden. Dann werden diese Dateien entfernt.
# find /export/home -name .rhosts -print | xargs -i -t rm {} \;
Stellen Sie fest, ob ein Remote-System funktioniert, indem Sie den Befehl ping ausführen.
$ ping system-name | ip-address
Der Name des Remote-Systems
Die IP-Adresse des Remote-Systems
Der Befehl ping gibt eine der drei folgenden Meldungen zurück:
|
Wenn sich das System, das Sie mit "ping" ansteuern, in einer anderen Domain befindet, kann die zurückgegebene Meldung auch Routing-Informationen enthalten, die Sie ignorieren können.
Der Befehl ping hat einen Zeitüberschreitungswert von 20 Sekunden. Wenn nach Ablauf von 20 Sekunden keine Antwort empfangen wird, wird die dritte Meldung zurückgegeben. Sie können ping zwingen länger (oder kürzere Zeit) zu warten, indem Sie einen Zeitüberschreitungswert in Sekunden eingeben:
$ ping system-name | ip-address time-out
Weitere Informationen finden Sie auf der Manpage ping(1M).
Stellen Sie fest, wer bei einem Remote-System angemeldet ist, indem Sie den Befehl rusers(1) ausführen.
$ rusers [-l] remote-system-name
(Keine Optionen) Zeigt den Namen des Systems an, dem der Name des Benutzers folgt, der gerade angemeldet ist, einschließlich Root.
Zeigt zusätzliche Informationen über jeden Benutzer an: das Anmeldefenster des Benutzers, das Datum und die Uhrzeit der Anmeldung, die Dauer der Anmeldung und den Namen des Remote-Systems, über das sich der Benutzer angemeldet hat.
Beispiel 29-2 Feststellen, wer bei einem Remote-System angemeldet ist
Im folgenden Beispiel wird die Kurzausgabe von rusers dargestellt.
$ rusers pluto pluto smith jones
Im folgenden Beispiel ist die lange Version von rusers zu sehen. Es wird angezeigt, dass zwei Benutzer beim Remote-System starbug angemeldet sind. Der erste Benutzer, der sich am 10. September über die Systemkonsole angemeldet hat, ist seit 137 Stunden und 15 Minuten angemeldet. Der zweite Benutzer hat sich am 14. September über ein Remote-System, mars, angemeldet.
$rusers -l starbug root starbug:console Sep 10 16:13 137:15 rimmer starbug:pts/0 Sep 14 14:37 (mars)
Melden Sie sich bei einem Remote-System an, indem Sie den Befehl rlogin(1) verwenden.
$ rlogin [-l user-name] system-name
(Keine Optionen) Meldet Sie direkt beim Remote-System an, wobei Ihr aktueller Benutzername verwendet wird.
Meldet Sie indirekt beim Remote-System an, wobei der von Ihnen angegebene Benutzername verwendet wird.
Wenn das Netzwerk versucht, Sie zu authentifizieren, werden Sie nicht zur Eingabe eines Passworts aufgefordert. Wenn das Remote-System versucht, Sie zu authentifizieren, werden Sie zur Eingabe eines Passworts aufgefordert.
Wenn der Vorgang erfolgreich durchgeführt wird, wird mithilfe des Befehls rlogin eine kurze Information über Ihre letzte Remote-Anmeldung bei diesem System, die Version des auf Ihrem Remote-System ausgeführten Betriebssystems und das Vorhandensein von Mails in Ihrem Home-Verzeichnis angezeigt.
Beispiel 29-3 Anmelden bei einem Remote-System ( rlogin)
Das folgende Beispiel zeigt die Ausgabe einer direkten Remote-Anmeldung bei pluto. Der Benutzer wurde durch das Netzwerk authentifiziert.
$ rlogin starbug Last login: Mon Jul 12 09:28:39 from venus Sun Microsystems Inc. SunOS 5.8 February 2000 starbug:
Das folgende Beispiel zeigt die Ausgabe einer indirekten Remote-Anmeldung bei pluto, wobei der Benutzer durch das Remote-System authentifiziert wird.
$ rlogin -l smith pluto password: user-password Last login: Mon Jul 12 11:51:58 from venus Sun Microsystems Inc. SunOS 5.8 February 2000 starbug:
Melden Sie sich bei einem Remote-System ab, indem Sie den Befehl exit(1) ausführen.
$ exit
Beispiel 29-4 Abmelden bei einem Remote-System (exit)
Das folgende Beispiel zeigt die Abmeldung des Benutzers smith beim System pluto:
$ exit pluto% logout Connection closed. earth%