hosts.equiv(5) Liste von vertrauenswürdigen Rechnern und Nutzern, denen der

BESCHREIBUNG

Die Datei /etc/hosts.equiv gestattet oder verwehrt Rechnern und Nutzern die Nutzung der r-Befehle (z.B. rlogin, rsh oder rcp) ohne Passwort.

Die Datei nutzt das folgende Format:

+|[-]Rechnername|[email protected]|[email protected] [+|[-]Benutzername|[email protected]|[email protected]]

Der Rechnername ist der Name eines Rechners, der logisch äquivalent zum lokalen Rechner ist. Nutzer, die auf diesem Rechner angemeldet sind, dürfen auf gleichnamige Benutzerkonten auf dem lokalen Rechner ohne Angabe eines Passworts zugreifen. Dem Rechnernamen kann (optional) ein Pluszeichen (+) vorangestellt werden. Falls das Pluszeichen (+) allein verwendet wird, darf jeder Rechner auf Ihr System zugreifen. Sie können einem Rechner explizit den Zugriff verweigern, indem Sie seinem Rechnernamenn ein Minuszeichen (-) voranstellen. Benutzer dieses Rechners müssen immer zusätzliche Berechtigungsnachweise, dabei möglicherweise auch ein Passwort, angeben. Aus Sicherheitsgründen sollten Sie immer den vollständigen Rechnernamen angeben und nicht seinen Kurznamen.

Der Nutzernamen-Eintrag gewährt einem bestimmten Nutzer Zugriff auf alle Nutzerkonten (außer root) ohne die Angabe eines Passworts. Das heißt, dass dieser Nutzer NICHT auf gleichnamige Nutzerkonten beschränkt ist. Dem Nutzernamen kann (optional) ein Pluszeichen (+) vorangestellt werden. Sie können auch einem Nutzer explizit den Zugang verwehren, indem Sie seinem Nutzernamen ein Minuszeichen (-) voranstellen. Damit drücken Sie aus, dass Sie diesem Nutzer unabhängig von den anderen Einträgen für diesen Rechner nicht trauen.

Netzgruppen können festgelegt werden, indem den Netzgruppen ein @-Zeichen vorangestellt wird.

Seien Sie besonders umsichtig, wenn Sie das Pluszeichen (+) verwenden. Ein einfacher Tippfehler könnte ein alleinstehendes Pluszeichen zur Folge habe. Ein alleinstehendes Pluszeichen ist ein Platzhalterzeichen mit der Bedeutung »alle Rechner«!

DATEIEN

/etc/hosts.equiv

ANMERKUNGEN

Einige Systeme werden den Inhalt der Datei nur berücksichtigen, wenn ihr Besitzer root ist und niemand anderer Schreibrechte hat. Auf manchen besonders paranoiden Systemen wird gefordert, dass keine weiteren Hardlinks auf die Datei existieren.

Moderne Systeme verwenden die PAM-Bibliothek (Pluggable Authentication Modules). Mit PAM wird ein alleinstehendes Pluszeichen nur dann als Platzhalterzeichen mit der Bedeutung »jeder Rechner« angesehen, wenn das Wort promiscuous zur Autorisierungskomponenten-Zeile in Ihrer PAM-Datei für den entsprechenden Dienst (z.B. rlogin) hinzugefügt wird.

BEISPIEL

Im folgenden sind einige Beispiele für Dateien /etc/host.equiv oder ~/.rhosts aufgeführt

Alle Benutzer von beliebigen Rechnern dürfen sich anmelden:


    +

Alle Benutzer von Rechner mit einem passenden lokalen Konto dürfen sich anmelden:


    Rechner

Hinweis: Die Verwendung von +Rechner ist niemals gültige Syntax, auch beim Versuch, anzugeben, dass jeder Benutzer eines Rechners erlaubt ist.

Alle Benutzer von Rechner dürfen sich anmelden:


    Rechner +

Hinweis: Dies unterscheidete sich vom vorherigen Beispiel, da hier kein passendes lokales Konto benötigt wird.

Benutzer von Rechner darf sich als von Root verschiedener Benutzer anmelden:


    Rechner Benutzer

Allow all users with matching local accounts from host to log in except for baduser:


    Rechner -SchlechterBenutzer
    Rechner

Deny all users from host:


    -Rechner

Note: the use of -host -user is never a valid syntax, including attempting to specify that a particular user from the host is not trusted.

Allow all users with matching local accounts on all hosts in a netgroup:


    [email protected]

Disallow all users on all hosts in a netgroup:


    [email protected]

Allow all users in a netgroup to log in from host as any non-root user:


    host [email protected]

Allow all users with matching local accounts on all hosts in a netgroup except baduser:


    [email protected] -SchlechterBenutzer
    [email protected]

Note: the deny statements must always precede the allow statements because the file is processed sequentially until the first matching rule is found.

KOLOPHON

Diese Seite ist Teil der Veröffentlichung 4.06 des Projekts Linux-man-pages. Eine Beschreibung des Projekts, Informationen, wie Fehler gemeldet werden können sowie die aktuelle Version dieser Seite finden sich unter https://www.kernel.org/doc/man-pages/.

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Martin Eberhard Schauer <[email protected]> und Helge Kreutzmann <[email protected]> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an <[email protected]>.