Anmelden bei einem Remote-System (rlogin)

Mit dem Befehl rlogin können Sie sich bei einem Remote-System anmelden. Sobald Sie angemeldet sind, können Sie im Remote-Dateisystem navigieren und die in ihm enthaltenen Inhalte (in Abhängigkeit von Ihren Berechtigungen) bearbeiten, Dateien kopieren oder Remote-Befehle ausführen.

Wenn sich das System, bei dem Sie sich anmelden, in einer Remote-Domain befindet, muss der Domainname unbedingt an den Systemnamen angefügt werden. In diesem Beispiel ist SOLAR der Name der Remote-Domain:

rlogin pluto.SOLAR

Sie können eine Remote-Anmeldung jederzeit unterbrechen, indem Sie Strg-d drücken.

Authentifizierung für Remote-Anmeldungen (rlogin)

Die Authentifizierung (d. h. die Prüfung Ihrer Identität) für rlogin-Vorgänge kann entweder vom Remote-System oder vom Netzwerk durchgeführt werden.

Der Hauptunterschied zwischen diesen Formen der Authentifizierung liegt in der Interaktion, die von Ihnen verlangt wird, und in der Art und Weise, wie die jeweilige Authentifizierung durchgeführt wird. Wenn ein Remote-System versucht, Sie zu authentifizieren, werden Sie zur Eingabe eines Passworts aufgefordert, es sei denn, Sie richten die Datei /etc/hosts.equiv oder die Datei .rhosts entsprechend ein. Wenn das Netzwerk versucht, Sie zu authentifizieren, werden Sie nicht zur Eingabe eines Passworts aufgefordert, da Ihre Identität dem Netzwerk bereits bekannt ist.

Wenn ein Remote-System versucht, Sie zu authentifizieren, verlässt es sich auf die Informationen in seinen lokalen Dateien. Dies trifft insbesondere unter folgenden Bedingungen zu:

• Ihr Systemname und Ihr Benutzername sind in der /etc/hosts.equiv-Datei des Remote-Systems angegeben.

• Ihr Systemname und Ihr Benutzername sind in der .rhosts -Datei des Remote-Benutzers angegeben, die sich im Home-Verzeichnis des Remote-Benutzers befindet.

Zur Netzwerkauthentifizierung werden eine der beiden folgenden Methoden verwendet:

• Eine vertrauenswürdige Netzwerkumgebung wird mithilfe Ihres lokalen Netzwerkinformationsservice und des Automounters eingerichtet.

• Die /etc/nsswitch.conf-Datei verweist auf einen der Netzwerkinformationsservices, der Informationen über Sie bereithält.

/etc/hosts.equiv-Datei

Die /etc/hosts.equiv-Datei enthält eine Liste von vertrauenswürdigen Hosts für ein Remote-System (jeweils einer pro Zeile). Wenn ein Benutzer versucht, sich (mithilfe von rlogin) über einen der in dieser Datei aufgeführten Hosts anzumelden, und wenn das Remote-System auf den Passworteintrag des Benutzers zugreifen kann, lässt das System zu, dass der Benutzer sich ohne Passwort anmeldet.

Eine typische hosts.equiv-Datei ist wie folgt aufgebaut:

host1
host2 user_a
+@group1
-@group2

Wenn ein einfacher Eintrag für einen Host in hosts.equiv erfolgt (beispielsweise ein Eintrag wie host1 im obigen Beispiel), bedeutet das, dass der Host als vertrauenswürdig betrachtet wird. Dies gilt dann auch für jeden Benutzer des Rechners.

Wenn auch der Benutzername (wie im zweiten Eintrag des Beispiels) angegeben wird, wird der Host nur dann als vertrauenswürdig betrachtet, wenn der angegebene Benutzer versucht, Zugang zu erhalten.

Wenn vor einem Gruppennamen ein Pluszeichen (+) steht, werden alle Rechner in der Netzgruppe als vertrauenswürdig betrachtet.

Wenn vor einem Gruppennamen ein Minuszeichen (–) steht, wird keiner der Rechner in dieser Netzgruppe als vertrauenswürdig betrachtet.

Sicherheitsrisiken beim Verwenden der /etc/hosts.equiv -Datei

Die /etc/hosts.equiv-Datei ist ein Sicherheitsrisiko. Wenn auf Ihrem System eine /etc/hosts.equiv-Datei vorhanden ist, sollten Sie nur vertrauenswürdige Hosts in Ihr Netzwerk aufnehmen. In der Datei sollten weder Hosts enthalten sein, die zu einem anderen Netzwerk gehören, noch Rechner, die in öffentlichen Bereichen eingesetzt werden. Sie sollten beispielsweise keinen Host aufnehmen, der sich in einer Zentrale befindet.

Wenn keine vertrauenswürdigen Hosts verwendet werden, können schwerwiegende Sicherheitsprobleme auftreten. Entweder ersetzen Sie die /etc/hosts.equiv-Datei durch eine richtig konfigurierte Datei, oder Sie entfernen die Datei gänzlich.

Eine einzelne Zeile mit Pluszeichen (+) in der /etc/hosts.equiv -Datei bedeutet, dass jeder bekannte Host als vertrauenswürdig betrachtet wird.

.rhosts-Datei

Die .rhosts-Datei ist das Benutzeräquivalent der /etc/hosts.equiv-Datei. Diese Datei enthält in der Regel eine Liste von Kombinationen aus Hosts und Benutzern anstelle von Hosts. Wenn eine Host-Benutzer-Kombination in dieser Datei aufgeführt ist, erhält der angegebene Benutzer die Berechtigung, sich ohne Passwort über den angegebenen Host anzumelden.

Beachten Sie, dass eine .rhosts-Datei sich auf der obersten Ebene des Home-Verzeichnisses eines Benutzers befinden muss. .rhost-Dateien, die sich in Unterverzeichnissen befinden, werden nicht abgefragt.

Benutzer können .rhosts-Dateien in ihren Home-Verzeichnissen erstellen. Die Verwendung der .rhosts-Datei ist eine weitere Möglichkeit, für vertrauenswürdigen Zugriff zwischen den Konten der Benutzer auf verschiedenen Systemen zu sorgen, ohne dass die /etc/hosts.equiv-Datei verwendet wird.

Sicherheitsrisiken beim Verwenden der .rhosts -Datei

Leider stellt die .rhosts-Datei ein großes Sicherheitsproblem dar. Während die /etc/hosts.equiv-Datei vom Systemadministrator kontrolliert wird und effizient verwaltet werden kann, kann jeder Benutzer die .rhosts-Datei erstellen und mithilfe dieser Datei jedem anderen Benutzer Zugriff gewähren, ohne dass der Systemadministrator davon Kenntnis hat.

Wenn sich alle Home-Verzeichnisse der Benutzer auf einem einzelnen Server befinden und nur bestimmte Personen Superuser-Zugriff auf diesen Server haben, können Sie die Verwendung einer .rhosts-Datei verhindern, indem Sie sich als Superuser anmelden und eine leere Datei in den Home-Verzeichnissen der Benutzer erstellen. Dann setzen Sie die Berechtigungen in dieser Datei auf 000, wodurch es schwierig ist, sie zu ändern. Selbst für einen Superuser wäre dies kein leichtes Unterfangen. Durch diese Änderung wird ein Benutzer daran gehindert, die Systemsicherheit durch unverantwortliche Verwendung einer .rhosts-Datei zu gefährden. Die Änderung hat jedoch keine Auswirkungen, wenn der Benutzer in der Lage ist, den Pfad zu seinem Home-Verzeichnis zu ändern.

Die einzige Möglichkeit, eine Gefährdung der Sicherheit auszuschließen, besteht darin, den Zugriff auf .rhosts-Dateien komplett zu unterbinden. Ausführliche Informationen zur Vorgehensweise finden Sie unter So gehen Sie vor, um nach .rhosts-Dateien zu suchen und diese zu entfernen. Als Systemadministrator können Sie das System häufig auf Verletzungen dieser Sicherheitsrichtlinie überprüfen. Ein mögliche Ausnahme zu dieser Richtlinie betrifft das Root-Konto. Eventuell benötigen Sie eine .rhosts-Datei, um Netzwerksicherungen und andere Remote-Services auszuführen.

Sequenzielle Remote-Anmeldungen

Wenn Ihr System richtig konfiguriert ist, können Sie sequentielle Remote-Anmeldungen durchführen. Beispiel: Ein Benutzer auf earth meldet sich bei jupiter an und beschließt, sich von dort bei pluto anzumelden.

Der Benutzer könnte sich auch bei jupiter abmelden und sich dann direkt bei pluto anmelden, aber die erstere Art der Anmeldung ist bequemer.

Um sequentielle Remote-Anmeldungen ohne Angabe eines Passworts durchzuführen, muss die /etc/hosts.equiv-Datei oder die .rhosts-Datei richtig eingerichtet sein.

Direkte oder indirekte Remote-Anmeldungen

Mit dem Befehl rlogin können Sie sich direkt oder indirekt bei einem Remote-System anmelden.

Eine direkte Remote-Anmeldung wird mit dem standardmäßigen Benutzernamen durchgeführt, also mit dem Benutzernamen der Person, die gerade beim lokalen System angemeldet ist. Dies ist die gebräuchlichste Form der Remote-Anmeldung.

Ein indirekte Remote-Anmeldung wird mit einem anderen Benutzernamen durchgeführt, der während der Remote-Anmeldung bereitgestellt wird. Mit dieser Art der Remote-Anmeldung können Sie versuchen, sich von einer Workstation aus anzumelden, die Sie vorübergehend geliehen haben. Wenn Sie beispielsweise im Büro eines Mitarbeiters Dateien in Ihrem Home-Verzeichnis prüfen müssen, können Sie sich über das System des Mitarbeiters bei Ihrem System anmelden. Allerdings müssen Sie zu diesem Zweck eine indirekte Remote-Anmeldung durchführen und Ihren eigenen Benutzernamen angeben.

Die Abhängigkeiten zwischen direkten und indirekten Anmeldungen und der Authentifizierung sind in der folgenden Tabelle zusammengefasst.

Tabelle 29-2 Abhängigkeiten zwischen Anmeldung und Authentifizierung (rlogin)

Vorgang nach der Remote-Anmeldung

Wenn Sie sich bei einem Remote-System anmelden, wird mithilfe des Befehls rlogin nach Ihrem Home-Verzeichnis gesucht. Wenn Ihr Home-Verzeichnis nicht mithilfe des Befehls rlogin gefunden werden kann, werden Sie dem Root-Verzeichnis (/) des Remote-Systems zugewiesen. Beispiel:

Unable to find home directory, logging in with / 

Wenn Ihr Home-Verzeichnis jedoch mithilfe des Befehls rlogin gefunden werden kann, werden sowohl Ihre .cshrc-Datei als auch Ihre .login-Datei als Quelle verwendet. Darum ist Ihre Eingabeaufforderung nach einer Remote-Anmeldung Ihre standardmäßige Anmeldeaufforderung, und das aktuelle Verzeichnis ist dasselbe wie bei einer lokalen Anmeldung.

Wenn beispielsweise bei Ihrer normalen Eingabeaufforderung Ihr Systemname und Ihr Arbeitsverzeichnis angezeigt werden und Sie sich anmelden, ist Ihr Arbeitsverzeichnis Ihr Home-Verzeichnis, und Ihre Anmeldeaufforderung sieht wie folgt aus:

earth(/home/smith):

Wenn Sie sich dann bei einem Remote-System anmelden, wird eine ähnliche Anmeldeaufforderung angezeigt, und Ihr Arbeitsverzeichnis ist Ihr Home-Verzeichnis, unabhängig von dem Verzeichnis, in dem Sie den Befehl rlogin eingegeben haben:

earth(/home/smith): rlogin pluto
.
.
.
pluto(/home/smith):

Der einzige Unterschied besteht darin, dass der Name des Remote-Systems am Anfang der Eingabeaufforderung an die Stelle Ihres lokalen Systems tritt. Das Remote-Dateisystem liegt parallel zu Ihrem Home-Verzeichnis.

Wenn Sie das Verzeichnis in /home ändern und ls ausführen, wird Folgendes angezeigt:

earth(home/smith): cd ..
earth(/home): ls
smith  jones

So gehen Sie vor, um nach .rhosts-Dateien zu suchen und diese zu entfernen

1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

2. Suchen Sie nach .rhosts -Dateien und entfernen Sie diese, indem Sie den Befehl find(1) verwenden.

   # find home-directories -name .rhosts -print -exec rm {} \;

   home-directories

   Identifiziert den Pfad zu dem Verzeichnis, in dem sich die Home-Verzeichnisse von Benutzern befinden. Beachten Sie, dass Sie mehrere Pfade eingeben können, um gleichzeitig nach mehreren Home-Verzeichnissen zu suchen.

   -name .rhosts

   Identifiziert den Dateinamen.

   -print

   Gibt den aktuellen Pfadnamen aus.

   -exec rm {} \;

   Teilt dem Befehl find mit, den Befehl rm auf alle Dateien anzuwenden, die mithilfe des entsprechenden Dateinamens identifiziert werden.

   Der Befehl find beginnt mit dem benannten Verzeichnis und sucht nach einer Datei namens .rhosts. Wird eine solche Datei gefunden, gibt find den Pfad auf dem Bildschirm aus und entfernt diese.

Beispiel 29-1 Suchen nach .rhosts-Dateien und Entfernen dieser Dateien

Im folgenden Beispiel wird nach .rhosts-Dateien in allen Home-Verzeichnissen des Benutzers gesucht, die sich im /export/home -Verzeichnis befinden. Dann werden diese Dateien entfernt.

# find /export/home -name .rhosts -print | xargs -i -t rm {} \;

So stellen Sie fest, ob ein Remote-System funktioniert

Stellen Sie fest, ob ein Remote-System funktioniert, indem Sie den Befehl ping ausführen.

$ ping system-name | ip-address

system-name

Der Name des Remote-Systems

ip-address

Die IP-Adresse des Remote-Systems

Der Befehl ping gibt eine der drei folgenden Meldungen zurück:

Wenn sich das System, das Sie mit "ping" ansteuern, in einer anderen Domain befindet, kann die zurückgegebene Meldung auch Routing-Informationen enthalten, die Sie ignorieren können.

Der Befehl ping hat einen Zeitüberschreitungswert von 20 Sekunden. Wenn nach Ablauf von 20 Sekunden keine Antwort empfangen wird, wird die dritte Meldung zurückgegeben. Sie können ping zwingen länger (oder kürzere Zeit) zu warten, indem Sie einen Zeitüberschreitungswert in Sekunden eingeben:

$ ping system-name | ip-address time-out

Weitere Informationen finden Sie auf der Manpage ping(1M).

So stellen Sie fest, wer bei einem Remote-System angemeldet ist

Stellen Sie fest, wer bei einem Remote-System angemeldet ist, indem Sie den Befehl rusers(1) ausführen.

$ rusers [-l] remote-system-name

rusers

(Keine Optionen) Zeigt den Namen des Systems an, dem der Name des Benutzers folgt, der gerade angemeldet ist, einschließlich Root.

-l

Zeigt zusätzliche Informationen über jeden Benutzer an: das Anmeldefenster des Benutzers, das Datum und die Uhrzeit der Anmeldung, die Dauer der Anmeldung und den Namen des Remote-Systems, über das sich der Benutzer angemeldet hat.

Beispiel 29-2 Feststellen, wer bei einem Remote-System angemeldet ist

Im folgenden Beispiel wird die Kurzausgabe von rusers dargestellt.

$ rusers pluto
pluto    smith  jones

Im folgenden Beispiel ist die lange Version von rusers zu sehen. Es wird angezeigt, dass zwei Benutzer beim Remote-System starbug angemeldet sind. Der erste Benutzer, der sich am 10. September über die Systemkonsole angemeldet hat, ist seit 137 Stunden und 15 Minuten angemeldet. Der zweite Benutzer hat sich am 14. September über ein Remote-System, mars, angemeldet.

$rusers -l starbug
root         starbug:console           Sep 10 16:13  137:15
rimmer       starbug:pts/0             Sep 14 14:37         (mars)

So melden Sie sich bei einem Remote-System an (rlogin)

Melden Sie sich bei einem Remote-System an, indem Sie den Befehl rlogin(1) verwenden.

$ rlogin [-l user-name] system-name

rlogin

(Keine Optionen) Meldet Sie direkt beim Remote-System an, wobei Ihr aktueller Benutzername verwendet wird.

-l user-name

Meldet Sie indirekt beim Remote-System an, wobei der von Ihnen angegebene Benutzername verwendet wird.

Wenn das Netzwerk versucht, Sie zu authentifizieren, werden Sie nicht zur Eingabe eines Passworts aufgefordert. Wenn das Remote-System versucht, Sie zu authentifizieren, werden Sie zur Eingabe eines Passworts aufgefordert.

Wenn der Vorgang erfolgreich durchgeführt wird, wird mithilfe des Befehls rlogin eine kurze Information über Ihre letzte Remote-Anmeldung bei diesem System, die Version des auf Ihrem Remote-System ausgeführten Betriebssystems und das Vorhandensein von Mails in Ihrem Home-Verzeichnis angezeigt.

Beispiel 29-3 Anmelden bei einem Remote-System ( rlogin)

Das folgende Beispiel zeigt die Ausgabe einer direkten Remote-Anmeldung bei pluto. Der Benutzer wurde durch das Netzwerk authentifiziert.

$ rlogin starbug
Last login: Mon Jul 12 09:28:39 from venus
Sun Microsystems Inc.   SunOS 5.8       February 2000
starbug:

Das folgende Beispiel zeigt die Ausgabe einer indirekten Remote-Anmeldung bei pluto, wobei der Benutzer durch das Remote-System authentifiziert wird.

$ rlogin -l smith pluto
password: user-password
Last login: Mon Jul 12 11:51:58 from venus
Sun Microsystems Inc.   SunOS 5.8       February 2000
starbug: 

So melden Sie sich bei einem Remote-System ab (exit)

Melden Sie sich bei einem Remote-System ab, indem Sie den Befehl exit(1) ausführen.

$ exit
 

Beispiel 29-4 Abmelden bei einem Remote-System (exit)

Das folgende Beispiel zeigt die Abmeldung des Benutzers smith beim System pluto:

$ exit
pluto% logout
Connection closed.
earth%