Home (Главная)

Page 453 - Страница 453
Page 453
background image

454 

Глава 12. Сетевая безопасность 

лица, которые доступны лишь ограниченному кругу пользователей, и толь-
ко в случае, если локальная сеть защищена брандмауэром. Не стоит предо-
ставлять доступ по умолчанию - должны быть причины для присвоения ста-
туса доверенного пользователя или узла. Никогда не доверяйте внешним 
системам. Злоумышленник может с легкостью нарушить маршрутизацию 
или скорректировать данные DNS, чтобы обмануть вашу систему и получить 
доступ. Кроме того, никогда не начинайте файл hosts.equiv со знака вычита-

ния. В некоторых системах это приводит к некорректному предоставлению 
доступа. Создавая файл hosts.equiv, всегда лучше перестраховаться. Добав-
лять доверенные узлы по мере их появления гораздо легче, чем восстанавли-
вать систему после атаки злоумышленника. 
Файл .rhosts разрешает или блокирует беспарольный доступ посредством 

г-команд для учетной записи конкретного пользователя. Он хранится в ис-

ходных каталогах пользователей и содержит записи для доверенных узлов и 
пользователей. Формат записей файла .rhosts совпадает с форматом записей 

hosts.equiv, и записи действуют почти таким же образом. Различие заключе-
но в границах доступа, который предоставляют записи. Записи файла .rhosts 
предоставляют или запрещают доступ к учетной записи отдельного пользо-
вателя, записи файла hosts.equiv управляют доступом к системе в целом. 
Данное функциональное различие можно проиллюстрировать на простом 
примере. Рассмотрим такую запись: 

horseshoe anthony 

В файле hosts.equiv узла crab данная запись разрешает пользователю antho 

пу узла horseshoe беспарольный доступ к любой учетной записи crab. В фай-

ле .rhosts в исходном каталоге пользователя resnick точно такая же запись 
разрешает пользователю anthony обратиться посредством rlogin с узла hor-

seshoe к учетной записи resnick, не предоставляя пароля, но не предоставля-
ет беспарольного доступа к прочим учетным записям узла crab. 
Пользователь при помощи файла .rhosts может определить в качестве равно-
ценных принадлежащие ему различные учетные записи. Приведенный вы-
ше пример записи может иметь место, вероятнее всего, лишь в том случае, 
если пользователи anthony и resnick - одно лицо. Например, у меня есть 
учетные записи в ряде различных систем. Иногда мое имя пользователя -

hunt, а иногда - craig. Было бы здорово иметь везде одинаковые имена учет-
ных записей, но это не всегда возможно; в моей локальной сети имена craig и 

hunt уже используются другими людьми. Я хочу иметь возможность обра-
титься к своей рабочей станции с любого узла, на котором у меня есть учет-
ная запись, но запретить доступ другим пользователям с именами craig и 

hunt. Файл .rhosts позволяет мне решить эту задачу. 
Допустим, мое имя на узле crab - craig, а на узле filbert - hunt. Имя другого 
пользователя узла filbert - craig. Чтобы получить беспарольный доступ к 
своей учетной записи на crab с узла filbert, а также запретить такой доступ 
второму пользователю, я создаю следующий файл .rhosts в своем исходном 
каталоге: