A .hosts bestand is een configuratiebestand die op vertrouwen gebaseerde authenticatie voor betere remote access on UNIX-achtige systemen. Het is historisch geassocieerd met de Berkeley โr-commandoโsโ (inloggen, rshen rcp) en laat een gebruiker wachtwoordprompts omzeilen bij het verbinden vanaf vermelde externe hosts onder opgegeven gebruikersnamen. Hoewel moderne systemen voornamelijk SSH voor betere beveiligde toegang op afstand, .hosts verschijnt nog steeds in bepaalde nalatenschap omgevingen.
Wat is het .rhosts-bestand?
De .hosts bestand is een configuratiebestand op gebruikersniveau dat is opgeslagen in de thuismap van de gebruiker directory. Het zegt r-opdrachten welke afstandsbediening hosts en de bijbehorende gebruikersnamen kunnen opdrachten uitvoeren of inloggen zonder dat een wachtwoord hoeft te worden opgegeven.
Wanneer u een inloggen or rsh opdracht, bijvoorbeeld, controleert het lokale systeem het .rhosts-bestand van het doelaccount om te beslissen of het verzoek van de externe gebruiker moet worden vertrouwd. Als een regel in het bestand overeenkomt met de verbindende host en gebruikersnaam, gaat de verbinding door zonder dat er referenties nodig zijn.
Dit zijn de bepalende kenmerken van .hosts:
- Het is een platte tekst bestand opgeslagen in de thuismap van een gebruiker (bijvoorbeeld /home/gebruikersnaam/.rhosts).
- Elke regel bevat doorgaans een hostnaam (of IP-adres) gevolgd door een gebruikersnaam.
- Een vermelding geeft aan dat de opgegeven externe gebruiker op die host vertrouwd is voor wachtwoordloze toegang tot het lokale account.
Waarvoor wordt .rhosts gebruikt?
Hier zijn de functies van .hosts:
- Wachtwoordloze aanmeldingen op afstand. Gebruikers instellen .hosts zodat u geen wachtwoorden hoeft in te voeren wanneer u zich aanmeldt vanaf een vertrouwde host. Scripts en geautomatiseerde processen profiteerden van deze aanpak omdat ze herhaalde verbindingen konden initiรซren zonder handmatige tussenkomst.
- Op afstand opdrachten uitvoeren. Systeembeheerders vaak gebruikt rsh om opdrachten op meerdere machines uit te voeren. De .hosts Met behulp van deze items konden vertrouwde externe hosts en gebruikers opdrachten uitvoeren zonder dat er een wachtwoord werd gevraagd. Dit vereenvoudigde batchtaken en systeembrede administratie.
- Bestandsoverdrachten. De rcp nut, vergelijkbaar met scp, brengt bestanden over tussen systemen. Wanneer .hosts specificeert een vertrouwde relatie, filet overdrachten vinden plaats zonder wachtwoordverzoeken. Hoewel handig, mist deze praktijk encryptie en brengt veiligheidsrisico's met zich mee.
Wat is een voorbeeld van een .rhosts-bestand?
Hier zijn drie voorbeelden die de opmaak van een typische .hosts file:
- Basis host-invoer. trustedhost.example.com mijn vriend โ Met deze invoer krijgt de gebruiker myfriend op trustedhost.example.com wachtwoordvrije toegang tot het lokale account.
- Wildcard voor lokale gebruikersnaam. een anderehost.voorbeeld.com + โ het plusteken ("+") geeft aan dat elke gebruiker op anotherhost.example.com toegang heeft tot het lokale account. Deze configuratie introduceert vaak ernstige beveiligingsrisico's.
- IP-adres voorbeeld. 192.168.1.10 gebruikersnaam2 โ deze invoer verleent gebruikersnaam2 op de IP-adres 192.168.1.10 de mogelijkheid om in te loggen zonder een wachtwoord op te geven.
Sommige beheerders voegen opmerkingen toe aan .hosts bestanden om te beschrijven waarom een โโbepaalde vertrouwensrelatie bestaat of om te noteren wanneer deze is ontstaan.
Hoe maak ik een .rhosts-bestand?
Een gebruiker of beheerder kan een .hosts bestand met elke standaard teksteditorDe volgende stappen schetsen een typische aanpak:
- Ga naar de home directory van de gebruikerGebruik een opdracht zoals: cd ~.
- Open of maak het .rhosts-bestand. Voorbeelden hiervan zijn: vi .rhosts or nano .rhosts.
- Voeg hostname-gebruikersnaam-vermeldingen in. Een voorbeeldregel zou er als volgt uit kunnen zien: host.example.com lokalegebruikersnaamPlaats elk paar van de externe host en de gebruikersnaam op een eigen regel.
- Opslaan en afsluiten. In vi, typ : wq om op te slaan en af โโte sluiten. In nano, druk op Ctrl+O om op te slaan, dan Ctrl+X om af te sluiten.
- Beveiligde bestandsrechtenBeperk de machtigingen zodat alleen de eigenaar van het bestand het bestand kan lezen of wijzigen: chmod 600 .rhosts.
Waar bevindt zich het .rhosts-bestand?
De .hosts bestand bevindt zich doorgaans op het hoogste niveau van de home directory van een gebruiker. Een account met de naam "alice" kan bijvoorbeeld een .hosts bestand op /home/alice/.rhosts.
Bij bepaalde UNIX-varianten kunnen thuismappen verschillende naamgevings- of structuurconventies volgen, maar het bestand wordt nog steeds op hetzelfde niveau weergegeven als andere gebruikerspecifieke configuratiebestanden in de thuismap van dat account. map.
Hoe kan ik het .rhosts-bestand zoeken en verwijderen?
Omdat .rhosts beveiligingsrisico's met zich meebrengt, willen beheerders vaak elk exemplaar ervan lokaliseren en verwijderen of inspecteren. De onderstaande stappen schetsen een algemeen proces:
- Zoek in het systeemGebruik een opdracht zoals: vind / -naam .rhosts 2>/dev/nullHet gedeelte 2>/dev/null verbergt fouten waarbij de machtiging is geweigerd.
- Controleer de bevindingen. Controleer of elk bestand dat u vindt daadwerkelijk functioneert als een .hosts bestand in plaats van een bestand met een vergelijkbare naam in een andere context.
- Verwijderen of hernoemenAls het bestand overbodig is, verwijder het dan met deze opdracht: rm /home/gebruikersnaam/.rhosts. Een andere optie is om de naam te wijzigen voor archiveringsdoeleinden: mv /home/gebruikersnaam/.rhosts /home/gebruikersnaam/.rhosts.bak.
Wat zijn de beveiligingsrisico's bij het gebruik van een .rhosts-bestand?
gebruik .hosts om vertrouwensrelaties te beheren brengt vaak de beveiliging in moderne computeromgevingen in gevaar. Dit zijn de grootste risico's:
- Ongecodeerde verbindingen. De "r-commands" verzenden gegevens in platte tekst. Aanvallers die netwerkverkeer afluisteren, kunnen gevoelige informatie onderscheppen.
- IP-spoofing. Host-based authenticatie blijft kwetsbaar voor spoofing-aanvallen. Een tegenstander die het IP-adres van een vertrouwde host nabootst, kan toegang krijgen zonder wachtwoord.
- Imitatie van gebruikerAls een aanvaller een extern systeem of een gebruiker met vertrouwensrechten in gevaar brengt in .hosts, kan de aanvaller zonder inloggegevens inloggen op het lokale systeem.
- Te brede machtigingenHet opgeven van โ+โ als joker in .hosts verleent een volledige externe host volledige toegang. Deze aanpak wordt extreem riskant als die externe host gecompromitteerd is.
Hoe beheer ik een .rhosts-bestand veilig?
Sommige oudere systemen vertrouwen nog steeds op .rhosts, waardoor beheerders strikte beveiligingsmaatregelen moeten toepassen:
- Beperkende machtigingen gebruiken. Beperk bestandsrechten tot de eigenaar. Hier is een commando dat dat doet: chmod 600 .rhosts.
- Vermijd jokertekens. Gebruik geen wildcard "+", want die geeft te brede toegang. Geef in plaats daarvan alleen essentiรซle host-gebruikercombinaties op.
- Routinematige audits uitvoeren. Houd uw omgeving in de gaten voor .hosts bestanden. Verwijder of corrigeer bestanden die geen geldig doel dienen.
- Overgang naar veilige protocollen. Vervang r-commands waar mogelijk met SSH-gebaseerde oplossingen. SSH biedt encryptie, sleutelgebaseerde authenticatie en andere moderne beveiligingsfuncties.
- Implementeer monitoring en logging. Gebruiken inbraakdetectiesystemen en grondige logging als u niet kunt verwijderen .hosts gebruik. Let op verdacht gedrag bij vertrouwde verbindingen.
