Guia do Linux/Avançado/Restrições de acesso, recursos e serviços/Evitando o uso de hosts.equiv e .rhosts
Evitando o uso de hosts.equiv
e .rhosts
editar
O arquivo hosts.equiv
contém uma lista de usuários autorizados/desautorizados que podem fazer uso dos serviços "r*" sem fornecer uma senha (como rsh
, rcp
, rexec
, etc) , veja [ch-rede.html#s-rede-seg-tcpd-e /etc/hosts.equiv e /etc/shosts.equiv, Seção 4.8.3.3]. É muito fácil falsificar um nome de usuário para obter acesso aos privilégios de outro usuário usando este recurso.
Os arquivos ~/.rhosts
, ~/.shosts
tem o funcionamento parecido com o hosts.equiv
mas contém somente dois campos, o primeiro especificando o nome do computador (FQDN) e o segundo o nome do usuário que tem permissão de acesso sem fornecer senha. Ele garantirá este acesso ao usuário e máquina remota especificada neste arquivo. Se for definido somente o nome do computador, o nome de usuário deverá ser o mesmo do local para que o acesso sem senha seja garantido. É recomendável restringir o acesso a estes arquivos somente ao usuário/grupo quando for realmente necessário. Um exemplo de ~/.rhosts
:
maquina1.dominio.com.br usuario1 maquina2.dominio.com.br usuario2
O uso destes dois mecanismos e dos serviços "r*" são desencorajados! (o último por usar transferência de dados não criptografadas). Veja [ch-s-ssh.html Servidor ssh, Capítulo 15] para uma alternativa melhor. Utilize estes dois mecanismos somente se deseja facilidade no gerenciamento e se sua rede seja absolutamente confiável e a segurança de dados não seja prioridade pra você...