rlogin

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

rlogin je v informatice softwarová utilita, která v unixových operačních systémech umožňuje uživateli přihlásit se na jiný počítač prostřednictvím počítačové sítě. Autentizace uživatele je prováděna na základě důvěry mezi počítači, obvykle tedy není nutné zadávat heslo.

Charakteristika[editovat | editovat zdroj]

Pomocí nástroje rlogin je možné se vzdáleně připojit prostřednictvím počítačové sítě k jinému počítači podobně, jako nástrojem telnet (včetně použití 8bitových znakové sady). Nástroj rlogin používá pro komunikaci se vzdáleným počítačem stejnojmenný rlogin protokol (RFC 1282). Vztah důvěry se na serveru nastavuje pomocí IP adres klientů, kteří mají dovolený přístup, což je i největší slabina protokolu (kterou částečně řeší autentizace pomocí Kerberos protokolu).

Použití[editovat | editovat zdroj]

Rlogin je nejčastěji používán pro podnikové univerzitní sítě, kde jsou informace o uživatelském účtu sdíleny mezi všemi unixovými systémy v síti (často prostřednictvím NIS). Tyto systémy si důvěřují a umožňují uživateli přihlášení bez hesla (kde rlogin důvěřuje vzdálenému rlogin klientovi), tedy pokud se vzdálený uživatel vyhovuje záznamům v souboru /etc/hosts.equiv nebo pokud má soubor .rhosts ve svém domácím adresáři.

Bezpečnost[editovat | editovat zdroj]

Nástroj rlogin trpí několika bezpečnostními problémy.

  • Všechny informace se přenáší nešifrovaně a to i včetně hesel
  • Soubor .rlogin nebo .rhosts je snadné zneužít, protože umožňuje komukoli přihlásit se bez hesla. Z tohoto důvodu mnoho firemních systémových administrátorů rlogin soubory zakazují.

Vyvolání rlogin[editovat | editovat zdroj]

Nástroj rlogin umožňuje vzdáleně připojit (remote login) počítače se systémem Unix. Vyvolání je prováděno pomocí příkazu rlogin adresa, kde adresou je internetovská adresa počítače, na který se připojujeme. Ta se udává v doménovém (např. jiri.ics.muni.cz) nebo numerickém (např. 167.225.12.8) tvaru.

Systémy napojené pomocí rlogin si „věří“ a mohou si předávat některé informace např. informace o typu terminálu a jeho velikosti. Program rlogin umožňuje administrátorům vytvářet skupiny věřících si počítačů, které sdílejí uživatelská jména a při spuštění rlogin není mezi těmito počítači vyžadováno heslo. Při tomto uspořádání však musí uživatelé dodržovat stejnou úroveň zabezpečení systému před neoprávněným přístupem, což může být např. ve skupině s velkým počtem uživatelů těžké.

Uživatel si ale může usnadnit přechod mezi počítači sám, i pokud má na různých počítačích jiná uživatelská jména. V domovském adresáři vytvoří soubor .rhosts, a uvede do něj adresy všech počítačů, ze kterých povolí přístup ke svému účtu bez hesla spolu s uživatelskými jmény na těchto počítačích. Každá tato dvojice „jméno počítače – uživatelské jméno“ je uvedena na řádku souboru .rhosts se jménem počítače uvedeným v plném doménovém tvaru tj. např. jiri.ics.muni.cz a odděleným mezerou od uživatelského jména.

Uživatel se tedy může připojit např. ze čtyř počítačů, na kterých nemusí mít stejná uživatelská jména. Soubor .rhosts musí být uložen na počítači, na který se připojujeme, a jeho majitelem musí být uživatel, který má tento soubor v domovském adresáři. Obecně je vhodné chránit autorizační soubor před čtením i zápisy jinými uživateli vhodným oprávněním:

chmod 0600 .rhosts

Oprávnění 600 (-rw-------) nedovolí jakýkoli přístup k tomuto souboru jiným uživatelům, než je vlastník souboru. Autorizace bezheslového přístupu prostřednictvím .rhosts není podmínkou použití rlogin – ten v takovém případě vyžádá i zadání hesla. Uživatelé systému SCO Unix na personálních počítačích, kteří mají 8 znaků dlouhá jména, se setkají s nepříjemnou chybou v přihlašovací proceduře, která je vždy donutí zadat jméno i heslo dvakrát, bez ohledu na soubor .rhosts.[zdroj?]

Ukončení rlogin[editovat | editovat zdroj]

Ukončení práce na vzdáleném počítači můžeme provést dvojím způsobem:

  • odhlášením pomocí příkazu exit
  • odpojením pomocí zadání dvojice znaků ~. které následují těsně za sebou a jsou zadány na samostatném řádku (znak ~ se objeví až po zadání následujícího znaku, který určí, že jde o odpojení vzdáleného přihlášení a ne o jinou kombinaci znaků)

Náhrada[editovat | editovat zdroj]

Nástroj rlogin může být nahrazen nástrojem rsh.

Externí odkazy[editovat | editovat zdroj]