Le fichier /.rhosts permet à certains utilisateurs distants de pouvoir faire un rlogin ou un rcp sans donner de mot de passe.
Si l'on veut par exemple permettre à athila, déclaré sur la station moselle, de faire un rlogin sur loiret sans donner son mot de passe. Il faut que la ligne suivante soit présent dans le /.rhosts de loiret.
moselle athila
NOTE: Il faut qu'athila soit déclaré (dans la table passwd) de loiret.
CONSEIL: Réduisez ce fichier au minimum avec uniquement les machines connectées et les utilisateurs autorisées susceptibles de travailler sur la machine.
NOTE : Chaque utilisateur peut créer dans sa propre home directory un .rhosts ($HOME/.rhosts) qui permet ainsi à un autre utilisateur de pouvoir faire un rlogin ou un rcp avec les droits du propriétaire du .rhosts. C'est un risque fort d'intrusion sur le système.
Avec ce fichier vous pouvez autoriser uniquement certaines stations à pourvoir faire un remsh, ftp, rcp, rlogin ou telnet. La syntaxe est la suivante:
telnet deny obelix
Cette ligne autorise tout le monde à faire un telnet sur la station sauf la station obelix.
login deny * allow 191.10.26
Cette ligne autorise les machines dont l'adresse IP commence par 191.10.26 à faire un rlogin ou un rcp.
Vous pouvez spécifier les accès à certains répertoires exportés. La ligne suivante exporte le répertoire racine en lecture écriture vers dinan et rennes et uniquement vers ces deux machines.
/disc -rw=dinan:rennes
La ligne suivante permet la consultation en lecture seule de /disc par loiret:
/disc -ro=loiret
CONSEIL: Dans la mesure du possible, précisez toujours les machines vers lesquels vous voulez exporter vos répertoires.
NOTE: si /disc est un disque monté, le fait d'exporter la racine ne va pas exporter /disc, il faut le spécifier en plus, exemple:
/ -access=redon
/disc -access=redon
Le daemon (le daemon est un processus qui tourne en permanence sur une machine) inetd est un " super daemon " car il appelle les autres serveurs Internet nécessaires comme ftpd (qui gère ftp), telnetd (telnet), tftpd (tftp pour les TX), rlogind (pour rlogin) et remshd (pour remsh).
On peut activer une fonction de logging pour inetd, inetd enregistrera les tentatives de connexion aux services. Il enregistre également les tentatives de connexion ayant échoué pour des raisons de sécurité. Ceci peut s'avérer utile lorsque vous cherchez à savoir si quelqu'un tente de forcer l'accès à votre système.
La commande d'activation de la fonction logging de inetd est:
inetd -l
Les informations sont enregistrées dans le fichier log /var/spool/mqueue/syslog.
CONSEIL: A chaque démarrage de la station, il est bon de taper cette commande et de vérifier régulièrement le fichier syslog pour vérifier les tentatives d'intrusion sur le système.
Ce fichier consigne les appels à la commande su.
Ce fichier consigne les tentatives d'ouverture de session qui ont réussi. Si ce fichier n'existe pas, créez le avec la commande:
touch /var/adm/wtmp
Ce fichier consigne les tentatives d'ouverture de session qui ont échoué. Si ce fichier n'existe pas, créez le avec la commande:
touch /var/adm/btmp
| [Retour
page d'accueil FUNIX] |
[Retour haut de la page] |