Connexion à un système distant (rlogin)

La commande rlogin vous permet de vous connecter à un système distant. Une fois que vous vous êtes connecté, vous pouvez naviguer dans le système de fichiers à distance et manipuler son contenu (à condition de disposer de l'autorisation nécessaire), copier des fichiers ou exécuter des commandes à distance.

Si le système auquel vous vous connectez est dans un domaine distant, assurez-vous d'ajouter le nom de domaine au nom du système. Dans cet exemple, SOLAR est le nom du domaine distant :

rlogin pluto.SOLAR

En outre, vous pouvez à tout moment interrompre une opération de connexion à distance en appuyant sur Ctrl-d.

Authentification pour les connexions à distance (rlogin)

Pour les opérations rlogin, l'authentification (votre identification) peut être effectuée par le système distant ou l'environnement réseau.

La principale différence entre ces formes d'authentification se trouve dans le type d'interaction dont elles ont besoin de votre part et la manière dont elles sont établies. Si un système distant essaie de vous authentifier, vous êtes invité à fournir un mot de passe, sauf si vous avez configuré le fichier /etc/hosts.equiv ou .rhosts. Si le réseau tente de vous authentifier, vous n'êtes pas invité à fournir un mot de passe, car le réseau sait déjà qui vous êtes.

Lorsque le système distant tente de vous authentifier, il s'appuie sur les informations contenues dans ses fichiers locaux, en particulier si l'une des conditions suivantes est remplie :

• Votre nom de système et le nom de l'utilisateur s'affichent dans le fichier /etc/hosts.equiv du système distant.

• Le nom de votre système et votre nom d'utilisateur s'affichent dans le fichier .rhosts de l'utilisateur distant, sous le répertoire personnel de cet utilisateur.

L'authentification réseau s'appuie sur l'une des deux méthodes suivantes :

• Environnement réseau fiable qui a été configuré avec votre service d'information réseau local et l'agent de montage automatique.

• L'un des services d'information réseau qui est désigné par le fichier /etc/nsswitch.conf du système distant contient des informations vous concernant.

Fichier /etc/hosts.equiv

Le fichier /etc/hosts.equiv contient une liste des hôtes de confiance pour un système distant (un par ligne). Si un utilisateur tente de se connecter à distance (à l'aide de rlogin) à partir de l'un des hôtes qui est répertorié dans ce fichier, et si le système distant peut accéder au mot de passe de l'utilisateur, le système distant permet à l'utilisateur de se connecter sans mot de passe.

Un fichier hosts.equiv standard présente la structure suivante :

host1
host2 user_a
+@group1
-@group2

Lorsqu'une entrée unique est effectuée pour un hôte dans hosts.equiv, telle que l'entrée précédente pour host1, cela signifie que l'hôte est approuvé et que tout utilisateur de cette machine l'est également.

Si le nom d'utilisateur est également mentionné, comme dans la deuxième entrée de l'exemple, l'hôte est de confiance uniquement si l'utilisateur spécifié effectue une tentative d'accès.

Un nom de groupe qui est précédé d'un signe plus (+) indique que toutes les machines de ce groupe réseau sont considérées comme de confiance.

Un nom de groupe qui est précédé d'un signe moins (–) signifie qu'aucune des machines de ce groupe réseau n'est considérée comme de confiance.

Risques liés à la sécurité lors de l'utilisation du fichier /etc/hosts.equiv

Le fichier /etc/hosts.equiv présente un risque pour la sécurité. Si vous mettez à jour un fichier /etc/hosts.equiv sur votre système, vous devez inclure uniquement des hôtes de confiance sur votre réseau. Le fichier ne doit inclure aucun hôte appartenant à un autre réseau, ou à des machines qui se trouvent dans des lieux publics. Par exemple, n'incluez pas d'hôte qui se trouve dans une salle de terminal.

L'utilisation d'hôtes non approuvés peut créer un grave problème de sécurité. Remplacez le fichier /etc/hosts.equiv par un fichier correctement configuré ou supprimez le fichier purement et simplement.

Une seule ligne de + dans le fichier /etc/hosts.equiv indique que chaque hôte connu est de confiance.

Fichier .rhosts

Le fichier .rhosts est l'équivalent utilisateur du fichier /etc/hosts.equiv. Ce fichier contient une liste de combinaisons hôte-utilisateur, plutôt que d'hôtes en général. Si une combinaison hôte-utilisateur est répertoriée dans ce fichier, l'utilisateur spécifié est autorisé à se connecter à distance depuis l'hôte spécifié sans avoir à fournir un mot de passe.

Notez qu'un fichier .rhosts doit se trouver au niveau supérieur du répertoire personnel d'un utilisateur. Les fichiers .par qui se trouvent dans des sous-répertoires ne sont pas consultés.

Les utilisateurs peuvent créer des fichiers .rhosts dans leurs répertoires personnels. L'utilisation du fichier .rhosts est une autre façon de permettre l'accès sécurisé aux propres comptes des utilisateurs sur les différents systèmes sans utiliser le fichier /etc/hosts.equiv.

Risques de sécurité lors de l'utilisation du fichier .rhosts

Malheureusement, le fichier .rhosts présente un grave problème de sécurité. Tandis que le fichier /etc/hosts.equiv est sous le contrôle de l'administrateur système et peut être géré efficacement, n'importe quel utilisateur peut créer un fichier .rhosts qui accorde l'accès à la personne choisie par lui sans que l'administrateur système n'en soit informé.

Dans une situation dans laquelle tous les répertoires personnels des utilisateurs se trouvent sur un seul serveur, auquel seules certaines personnes peuvent accéder en tant que superutilisateur, un bon moyen d'empêcher un utilisateur d'utiliser un fichier .rhosts est de créer un fichier vide en tant que superutilisateur dans leur répertoire personnel. Ensuite, vous devez modifier les autorisations de ce fichier en 000 afin qu'il soit difficile de modifier ce dernier, même en tant que superutilisateur. Cette modification a pour effet d'empêcher un utilisateur de compromettre la sécurité du système en utilisant un fichier .rhosts de manière irresponsable. Cependant, la modification ne résout rien si l'utilisateur est en mesure de changer le chemin d'accès à son répertoire personnel.

Le seul moyen de gérer les fichiers .rhosts de manière sécurisée est de les interdire complètement. Reportez-vous à la section Recherche et suppression des fichiers .rhosts pour obtenir des instructions détaillées. En tant qu'administrateur système, vous pouvez vérifier souvent le système à la recherche d'éventuelles violations de cette stratégie. Une exception possible à cette stratégie concerne le compte root ; vous pouvez avoir besoin d'un fichier .rhosts pour effectuer les sauvegardes réseau et d'autres services à distance.

Liaison des connexions à distance

Si votre système est configuré correctement, vous pouvez lier des connexions à distance. Par exemple, un utilisateur d'earth se connecte à jupiter et décide, à partir de là, de se connecter à pluto.

L'utilisateur peut également se déconnecter de jupiter, puis se connecter directement à pluto, mais ce type de liaison peut être plus pratique.

Pour lier des connexions à distance sans avoir à fournir un mot de passe, vous devez avoir configuré le fichier /etc/hosts.equiv ou .rhosts correctement.

Connexions à distance directes ou indirectes

La commande rlogin vous permet de vous connecter à un système distant de manière directe ou indirecte.

Une connexion à distance directe est tentée avec le nom d'utilisateur par défaut, c'est-à-dire le nom d'utilisateur de la personne qui est actuellement connectée au système local. Il s'agit du type de connexion à distance le plus commun.

Une connexion à distance indirecte est lancée avec un autre nom d'utilisateur, qui est fourni pendant l'opération de connexion à distance. Il s'agit du type de connexion à distance que vous pouvez essayer à partir d'une station de travail que vous avez empruntée temporairement. Par exemple, si vous êtes dans le bureau d'un collègue de travail et avez besoin d'examiner les fichiers dans votre répertoire personnel, vous pouvez vous connecter à votre système à distance, à partir du système de votre collègue. Cependant, vous devez effectuer une connexion à distance indirecte en indiquant votre propre nom d'utilisateur.

Les dépendances entre les connexions directes et indirectes et les méthodes d'authentification sont résumées dans le tableau suivant.

Tableau 29-2 Dépendances entre la méthode de connexion et la méthode d'authentification (rlogin)

Que se passe-t-il après que vous vous êtes connecté à distance ?

Lorsque vous vous connectez à un système distant, la commande rlogin recherche votre répertoire personnel. Si la commande rlogin n'est pas en mesure de trouver votre répertoire personnel, elle vous affecte le répertoire root (/) du système distant. Par exemple :

Unable to find home directory, logging in with / 

Toutefois, si la commande rlogin trouve votre répertoire personnel, elle se procure vos fichiers .cshrc et .login. Par conséquent, après une connexion à distance, l'invite de connexion standard s'affiche, et le répertoire en cours est le même que lorsque vous vous connectez localement.

Par exemple, si votre invite habituelle affiche le nom de votre système et de votre répertoire de travail, et lorsque vous vous connectez, votre répertoire de travail est votre répertoire personnel, votre invite de connexion ressemble à la suivante :

earth(/home/smith):

Ensuite, lorsque vous vous connectez à un système distant, vous voyez une invite similaire, et votre répertoire de travail est votre répertoire personnel, quel que soit le répertoire à partir duquel vous avez saisi la commande rlogin :

earth(/home/smith): rlogin pluto
.
.
.
pluto(/home/smith):

La seule différence est que le nom du système distant se substitue à votre système local au début de l'invite. Le système de fichiers distant est parallèle à votre répertoire personnel.

En fait, si vous changez le répertoire en /home, puis exécutez ls, la sortie suivante s'affiche :

earth(home/smith): cd ..
earth(/home): ls
smith  jones

Recherche et suppression des fichiers .rhosts

1. Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Recherchez et supprimez les fichiers .rhosts à l'aide de la commande find(1).

   # find home-directories -name .rhosts -print -exec rm {} \;

   home-directories

   Identifie le chemin d'accès à un répertoire dans lequel se trouvent les répertoires personnels des utilisateurs. Notez que vous pouvez saisir plusieurs chemins d'accès pour rechercher plusieurs répertoires personnels à la fois.

   -name .rhosts

   Identifie le nom du fichier.

   -print

   Imprime le chemin d'accès en cours.

   -exec rm {} \;

   Indique à la commande find d'appliquer la commande rm à tous les fichiers qui sont identifiés à l'aide du nom de fichier correspondant.

   La commande find démarre au répertoire désigné et recherche tous les fichiers nommés .rhosts. Si find trouve un fichier de ce type, elle affiche le chemin d'accès à l'écran et supprime le fichier.

Exemple 29-1 Recherche et suppression des fichiers .rhosts

L'exemple suivant recherche et supprime les fichiers .rhosts de tous les répertoires personnels de l'utilisateur qui se trouvent dans le répertorie /export/Home .

# find /export/home -name .rhosts -print | xargs -i -t rm {} \;

Vérification du fonctionnement d'un système distant

Déterminez si un système distant fonctionne en utilisant la commande ping.

$ ping system-name | ip-address

system-name

Nom du système distant

adresse_ip

Adresse IP du système distant

La commande ping renvoie l'un des trois messages suivants :

Si le système faisant l'objet de la commande ping est situé dans un autre domaine, le message de retour peut également contenir les informations de routage, que vous pouvez ignorer.

Le délai de la commande ping est de 20 secondes. En réalité, si elle ne reçoit pas de réponse dans les 20 secondes, elle renvoie le troisième message. Vous pouvez forcer ping à attendre plus longtemps (ou moins) en tapant une valeur time-out, en secondes :

$ ping system-name | ip-address time-out

Pour plus d'informations, reportez-vous à la commande ping(1M).

Identification des utilisateurs connectés à un système distant

Identifiez les utilisateurs connectés à un système distant à l'aide de la commande rusers(1).

$ rusers [-l] remote-system-name

rusers

(Pas d'options) Affiche le nom du système, suivi par le nom des utilisateurs qui sont actuellement connectés à celui-ci, y compris root

-l

Affiche des informations supplémentaires à propos de chaque utilisateur : la fenêtre de connexion de l'utilisateur, l'heure, la date et la durée de la connexion, et le nom du système distant à partir duquel l'utilisateur s'est connecté

Exemple 29-2 Recherche des utilisateurs connectés à un système distant

L'exemple ci-dessous présente la sortie brève de rusers.

$ rusers pluto
pluto    smith  jones

Dans l'exemple suivant, la version longue de rusers indique que deux utilisateurs sont connectés au système distant starbug. Le premier utilisateur s'est connecté à partir de la console système le 10 septembre et est resté connecté 137 heures et 15 minutes. Le deuxième utilisateur s'est connecté à partir d'un système distant, mars, le 14 septembre.

$rusers -l starbug
root         starbug:console           Sep 10 16:13  137:15
rimmer       starbug:pts/0             Sep 14 14:37         (mars)

Connexion à un système distant (rlogin)

Connectez-vous à un système distant en utilisant la commande rlogin(1).

$ rlogin [-l user-name] system-name

rlogin

(Pas d'options) Permet de vous connecter au système distant directement, efficacement, avec votre nom d'utilisateur en cours

-l user-name

Permet de vous connecter au système distant indirectement, efficacement, avec le nom d'utilisateur que vous avez fourni

Si le réseau tente de vous authentifier, vous n'êtes pas invité à saisir un mot de passe. Si le système distant tente de vous authentifier, vous êtes invité à fournir un mot de passe.

Si l'opération réussit, la commande rlogin affiche des informations succinctes sur votre dernière connexion à distance à ce système, la version du système d'exploitation qui est en cours d'exécution sur le système distant, et si vous avez du courrier en attente dans votre répertoire personnel.

Exemple 29-3 Connexion à un système distant ( rlogin)

L'exemple ci-dessous présente la sortie d'une connexion à distance directe à pluto. L'utilisateur a été authentifié par le réseau.

$ rlogin starbug
Last login: Mon Jul 12 09:28:39 from venus
Sun Microsystems Inc.   SunOS 5.8       February 2000
starbug:

L'exemple suivant présente la sortie d'une connexion à distance indirecte à pluto, avec l'authentification de l'utilisateur par le système distant.

$ rlogin -l smith pluto
password: user-password
Last login: Mon Jul 12 11:51:58 from venus
Sun Microsystems Inc.   SunOS 5.8       February 2000
starbug: 

Déconnexion d'un système distant (exit)

Déconnexion d'un système distant à l'aide de la commande exit(1).

$ exit
 

Exemple 29-4 Déconnexion d'un système distant (exit)

Cet exemple illustre l'utilisateur smith se déconnectant du système pluto.

$ exit
pluto% logout
Connection closed.
earth%