Linux的rsh配置rhost

 

 

 參考： redhat linux下配置rsh和rcp： http://linux.chinaunix.net/techdoc/net/2008/06/30/1014112.shtml                                                                

                                  

                                  

 1:安裝前准備: 

 機器A:192.168.0.104（machine_a) (安裝rsh server) 

 機器B:192.168.0.106(machine_b) (rsh client ) 

  

 2: 首先確認機器A是否安裝rsh包: 

 [root@mg04 root]# rpm -aq |grep rsh 

 rsh-0.17-14 

 rsh-server-0.17-14 

 如果沒有安裝以上兩個包，請找到相關軟件安裝(如果是LINUX，可以從安裝碟中找到) 

 安裝包: 

 rpm -ivh rsh-0.17-5 (linux 操作系統) 

 rpm -ivh rsh-server-0.17-5 (linux 操作系統) 

  

  或者在root下使用yum install rsh 和 yum install rsh-server來自動安裝。 （使用yum安裝rsh-server的時候xinetd也會被自動安裝）

  

 3:確認機器A是否啟動rsh 服務: 

 方法一: 

 使用命令setup，查看service是否將

 rsh/rlogin/rexec 加上*，如果加上*表示可以啟動。 

 /etc/rc.d/init.d/xinetd restart 或者 service xinetd restart

 

 方法二: 

或者使用chkconfig檢查rsh/rlogin/rexe是有啟動。 

 

 rsh 屬於xinetd服務,可以直接修改/etc/xinetd.d/rsh腳本文件來配置。 

 service shell 

 { 

 disable = no 

 socket_type = stream 

 wait = no 

 user = root 

 log_on_success += USERID 

 log_on_failure += USERID 

 server = /usr/sbin/in.rshd 

 } 

對/etc/xinetd.d/rlogin 和/etc/xinetd.d/rexec進行類似的設置。 

 當然方法很多，目的就是使用rsh/rlogin/rexec服務能啟動。 

 /etc/rc.d/init.d/xinetd restart 

 

 檢查是否啟動: rsh server 監聽和TCP 是514。 

 [root@mg04 root]# netstat -an |grep 51

 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 

 如果能看到514在監聽說明服務器已經啟動。 

 

 4： 配置機器A的hosts文件/etc/hosts例如：(貌似不能直接使用ip來rsh）

127.0.0.1               localhost.localdomain localhost

 ::1             localhost6.localdomain6 localhost6

 192.168.0.104   machine_a.localdomain machine_a

 192.168.0.106  machine_b.localdomain machine_b

  

5： 配置機器A的rsh server: 

  修改/etc/securetty文件:
  echo rsh >>/etc/securetty 

  echo rlogin >>/etc/securetty
  echo rexec >>/etc/securetty  

  如果打算用AAA作為rsh用戶的話: 

  先用AAA登錄到機器A中進行以下操作: 

 cd ~/ 

  echo "machine_a AAA" >>.rhosts  #允許machine_a 以AAA訪問 ，即允許從rshserver所在的機器運行rshclient。

  echo "machine_b AAA" >>.rhosts  #允許machine_b以AAA訪問。

 echo +AAA >>.rhosts 允許所有的機器以AAA訪問，貌似linux下不起作用。

 重啟rsh server. （service xinetd restart）

 

 5:測試和注意的問題: 
 rshserver機器作為rshclient的機器測試： rsh -l AAA localhost ps -ef 或者 rsh -l AAA machine_a ps -ef

 登錄到B機器machine_b進行測試: rsh -l AAA machine_a ps -ef 

 看是否能看到結果。如果看到  rsh -l AAA machine_a ps -ef 

 Permission denied. 

 這是由於權權限問題，一般是由於 .rhosts沒有配置正確。.rhosts一般位於 

 rsh server服務器相對應賬號目錄下比如AAA(與.bash_profile在同一目錄) 

 rsh在執行命令有時會找不到。rsh 在調用命令是最好使用絕對路徑。默認搜索路徑為: 

 [root@mg04 etc]# rsh -l AAA 192.168.0.4 env |grep PATH 

 PATH=/usr/bin:/bin 

 

 

hosts.equiv和.rhosts文件  http://linux.sheup.com/linux/linux2007.htm 

  

 遠程用戶啟動rlogin訪問你的本地主機，此時做如下安全性檢查： 

 1. 本地rlogind在本地/etc/passwd文件中尋找遠程用戶名，沒有則拒絕訪問。 

 

 2. /etc/passwd中存在遠程用戶名，rlogind在/etc/hosts.equiv尋找遠程主機名，找到則允許訪問。 

 

 3. /etc/hosts.equiv無遠程主機名，rlogind在$HOME/.rhosts尋找遠程主機名，找到且該項后無用戶名則允許訪問，找到且該項后有用戶名，若遠程用戶名位於其中，則允許訪問。注意這里的$HOME是與遠程用戶同名的本機用戶的主目錄。 

 

 4. 若通過了/etc/passwd的檢查，但沒有通過/etc/hosts.equiv或者$HOME/.rhosts的檢查，遠程用戶給出口令可以登錄本機，但無法使用rcp、rsh等。反之則可以使用rcp或者rsh。 

 

 5. /etc/hosts.equiv中的+意味着任意主機，此時與/etc/hosts無關。netterm下rlogin除root外的所有用戶可以成功，solaris下簡單的rlogin hostname同netterm，但是rlogin -l username hostname不成功。這個事實說明netterm下rlogin的時候，指定的參數實際上是遠程主機的當前用戶名。還說明hosts.equiv文件不支持rlogin -l username hostname，不支持root的rlogin。

 

 6. rlogin -l username hostname和rlogin hostname的檢查有點細微的差別，首先在/etc/passwd的檢查中是以-l的參數為准的，沒有-l參數才使用遠程主機的當前用戶名，所謂當前用戶名是考慮了su出來的用戶。其次，$HOME也是先以-l參數為准。第三，$HOME/.rhosts文件中的用戶名不是針對-l參數來的，而是針對遠程主機的當前用戶名來的，但是對於這個遠程主機的當前用戶名，並不要求出現在/etc/passwd文件中。這第6條尤其重要，許多不成功的$HOME/.rhost就是因為對第6條的不了解。

 

 7. $HOME/.rhosts文件的權限問題，chmod 0都沒有影響，不過當時是處理root用戶。對於一般用戶，一定要保證.rhosts文件對於$HOME的屬主是可讀的。一般來說，這個文件最好chmod 400。對於root，如果不希望某個用戶建立自己的.rhosts或者想替該用戶建立.rhosts后不允許該用戶自己修改，可以通過chown root .rhosts然后chmod 444 .rhosts實現。除了root，如果$HOME/.rhosts文件的屬主和$HOME的屬主不一致，檢查將失敗。

 

 8. $HOME/.rhosts文件中每行只跟一個用戶名，若想多個指定，只好分多行指定用戶名。

 

 9. sco unix下$HOME/.rhosts中若用+代表主機，與其他Unix系統不同，這里的+沒有任何特殊的意義，所以檢查將失敗。但是用戶名仍然可以用+代表。並且sco unix下若root的.rhosts文件go+w，則檢查失敗。

 

 10. 建議man rhosts看看，各個系統有許多細微的差別。

 

完！ 

 

其他注意：

2. 直接使用 rsh <host> 命令方式和使用 rsh <host> <cmd> 命令方式，其實本質上是不一樣的，前者實質上調用的是 rlogin 程序，而后者才是真正意義上的 remote shell。所以，前者對應的是 rlogin 服務的端口，為 513；后者對應的才是 remote shell 服務的端口 514。而使用 rsh <host> <cmd> 命令方式時，具體過程還是有些特殊的，那就是，本地機先鏈接服務端的 514 端口，然后服務端還要以約定好的端口（1021～1023）與客戶端相連，所以要順利執行該命令的話，即要求服務端允許 514 端口鏈接，還要求本地機允許1021～1023端口的鏈接，這樣就必須正確配置防火牆。如果沒有在本地機允許1021～1023端口，則會出現如下錯誤： poll: protocol failure in circuit setup
3. 網上有的說 rsh 連接不正常可以通過修改 /etc/securetty 文件，添加 rsh 和 rlogin 兩行，並修改 /etc/pam.d/rsh 文件，注釋掉 pam_rhosts_auth.so 那一行就可以。而事實證明，在沒有開放相應端口的情況下，這么做了沒有用。而按我上面說的4步做了以后，不做這兩條也完全可以。所以，這兩條對我的系統完全不必要。

上面所說的只對普通用戶（非root）有效，若是對root用戶，上面的設置還不能實現無密碼訪問，甚至都可能連不上。對root用戶，應增加以下兩條：

1. 必須要在 /etc/securetty 中添加上 rsh 和 rlogin 才能分別使用兩個服務。

2. 必須要在 /root/.rhosts 中加入等價的主機名或IP,這些機子才能無密碼訪問該機器。