rlogin
Typ softwaru | standardní UNIXová utilita či příkaz |
---|---|
Některá data mohou pocházet z datové položky. |
rlogin
je v informatice softwarová utilita, která v unixových operačních systémech umožňuje uživateli přihlásit se na jiný počítač prostřednictvím počítačové sítě. Autentizace uživatele je prováděna na základě důvěry mezi počítači, obvykle tedy není nutné zadávat heslo.
Charakteristika
[editovat | editovat zdroj]Pomocí nástroje rlogin
je možné se vzdáleně připojit prostřednictvím počítačové sítě k jinému počítači podobně, jako nástrojem telnet (včetně použití 8bitové znakové sady). Nástroj rlogin
používá pro komunikaci se vzdáleným počítačem stejnojmenný rlogin
protokol (RFC 1282). Vztah důvěry se na serveru nastavuje pomocí IP adres klientů, kteří mají dovolený přístup, což je i největší slabina protokolu (kterou částečně řeší autentizace pomocí Kerberos protokolu).
Použití
[editovat | editovat zdroj]rlogin
je nejčastěji používán pro podnikové univerzitní sítě, kde jsou informace o uživatelském účtu sdíleny mezi všemi unixovými systémy v síti (často prostřednictvím NIS). Tyto systémy si důvěřují a umožňují uživateli přihlášení bez hesla (kde rlogin
důvěřuje vzdálenému rlogin
klientovi), tedy pokud se vzdálený uživatel vyhovuje záznamům v souboru /etc/hosts.equiv
nebo pokud má soubor .rhosts
ve svém domácím adresáři.
Bezpečnost
[editovat | editovat zdroj]Nástroj rlogin
trpí několika bezpečnostními problémy.
- Všechny informace se přenáší nešifrovaně a to i včetně hesel
- Soubor
.rlogin
nebo.rhosts
je snadné zneužít, protože umožňuje komukoli přihlásit se bez hesla. Z tohoto důvodu mnoho firemních systémových administrátorůrlogin
soubory zakazují.
Vyvolání rlogin
[editovat | editovat zdroj]Nástroj rlogin
umožňuje vzdáleně připojit (remote login) počítače se systémem Unix. Vyvolání je prováděno pomocí příkazu rlogin adresa
, kde adresou je internetovská adresa počítače, na který se připojujeme. Ta se udává v doménovém (např. jiri.ics.muni.cz
) nebo numerickém (např. 167.225.12.8) tvaru.
Systémy napojené pomocí rlogin
si „věří“ a mohou si předávat některé informace např. informace o typu terminálu a jeho velikosti. Program rlogin
umožňuje administrátorům vytvářet skupiny věřících si počítačů, které sdílejí uživatelská jména a při spuštění rlogin
není mezi těmito počítači vyžadováno heslo. Při tomto uspořádání však musí uživatelé dodržovat stejnou úroveň zabezpečení systému před neoprávněným přístupem, což může být např. ve skupině s velkým počtem uživatelů těžké.
Uživatel si ale může usnadnit přechod mezi počítači sám, i pokud má na různých počítačích jiná uživatelská jména. V domovském adresáři vytvoří soubor .rhosts
, a uvede do něj adresy všech počítačů, ze kterých povolí přístup ke svému účtu bez hesla spolu s uživatelskými jmény na těchto počítačích. Každá tato dvojice „jméno počítače – uživatelské jméno“ je uvedena na řádku souboru .rhosts
se jménem počítače uvedeným v plném doménovém tvaru tj. např. jiri.ics.muni.cz
a odděleným mezerou od uživatelského jména.
Uživatel se tedy může připojit např. ze čtyř počítačů, na kterých nemusí mít stejná uživatelská jména. Soubor .rhosts
musí být uložen na počítači, na který se připojujeme, a jeho majitelem musí být uživatel, který má tento soubor v domovském adresáři. Obecně je vhodné chránit autorizační soubor před čtením i zápisy jinými uživateli vhodným oprávněním:
$ chmod 0600 .rhosts
Oprávnění 600 (-rw-------
) nedovolí jakýkoli přístup k tomuto souboru jiným uživatelům, než je vlastník souboru. Autorizace bezheslového přístupu prostřednictvím .rhosts
není podmínkou použití rlogin
– ten v takovém případě vyžádá i zadání hesla. Uživatelé systému SCO Unix/SCO OpenServer na personálních počítačích, kteří mají 8 znaků dlouhá jména, se setkají s nepříjemnou chybou v přihlašovací proceduře, která je vždy donutí zadat jméno i heslo dvakrát, bez ohledu na soubor .rhosts
.[zdroj?]
Ukončení rlogin
[editovat | editovat zdroj]Ukončení práce na vzdáleném počítači můžeme provést dvojím způsobem:
- odhlášením pomocí příkazu
exit
- odpojením pomocí zadání dvojice znaků ~. které následují těsně za sebou a jsou zadány na samostatném řádku (znak ~ se objeví až po zadání následujícího znaku, který určí, že jde o odpojení vzdáleného přihlášení a ne o jinou kombinaci znaků)
Náhrada
[editovat | editovat zdroj]Nástroj rlogin
může být nahrazen nástrojem rsh
.