rcp, rsh, rlogin에 대하여

thisrule의 이미지

전 저희 회사내에서 여러 Unix/Linux system을 사용하고 있습니다.
그런데 대부분의 Unix System들이 rsh, rlogin, rcp를 지원하고 있어
Linux에서도 위의 유틸을 제공하려합니다.
문제는 Unix에서는 username과 passwd가 같으면 passwd를 물어보지
않고 rsh이 사용가능한데 Linux에서는 passwd를 꼭 물어봅니다.
마치 ssh처럼.
rsh, rlogin, rcp에서 서로 다른 host에서 username과 passwd가 같으면
그냥 login되게 할수 있도록 할려면 어떻게 해야하나요?
설정파일이 있다면 설정법도 알려주세요

pynoos의 이미지

~/.rhosts

파일에 host 등록 시켜두시고, /etc/hosts 에 서버 등록 시켜두세요.

다즐링의 이미지

rlogin 보다는.

ssh 와 scp를 사용하시는게 보안상 더 괜찬은것 같습니다.

thisrule wrote:
전 저희 회사내에서 여러 Unix/Linux system을 사용하고 있습니다.
그런데 대부분의 Unix System들이 rsh, rlogin, rcp를 지원하고 있어
Linux에서도 위의 유틸을 제공하려합니다.
문제는 Unix에서는 username과 passwd가 같으면 passwd를 물어보지
않고 rsh이 사용가능한데 Linux에서는 passwd를 꼭 물어봅니다.
마치 ssh처럼.
rsh, rlogin, rcp에서 서로 다른 host에서 username과 passwd가 같으면
그냥 login되게 할수 있도록 할려면 어떻게 해야하나요?
설정파일이 있다면 설정법도 알려주세요

------------------------------------------------------------------------------------------------
Life is in 다즐링

thisrule의 이미지

pynoos wrote:
~/.rhosts

파일에 host 등록 시켜두시고, /etc/hosts 에 서버 등록 시켜두세요.

우선 제가 한걸 말씀드립니다.(예로서 host명을 host1, host2라 하겠습니다)
host1의 user의 계정디렉토리 아래에 .rhosts파일을 생성하여
그안에 host2라 입력하였습니다.
user@host1]$ cat ~/.rhosts
host2

그런 다음 host2에서 아래와 같이하면,
user@host2]$ rlogin host1
passwd:

위와같이 passwd를 물어봅니다. 그냥 접속되었으면 하는데...
다시 알려주시길 부탁드립니다.

pynoos의 이미지

host1 의
/etc/hosts 에는 host2가 등록 되어 있는 것이지요?

등록이 되지 않더래도 DNS를 통해서 .rhosts 에 있는 것이 풀리기만 하면 됩니다.

그리고 host1의 /var/log/messages 에 해당하는 system warning이 어떻게 나오는지 확인해보시면 좋을 것 같습니다.

kslee80의 이미지

rsh 를 쓰시려는 이유가
호스트끼리 연결시에 로긴과정이 귀찮아서라면..
차라리 ssh 를 쓰는것을 추천해 드립니다.
아시겠지만;; rsh나 rlogin 의 보안문제가 상당히 심각하기 때문이죠;;

ssh 의 public key 인증방법을 사용하게 되면
패스워드 입력 절차 없이 로긴할수 있으며,
(키 생성시 passphrase 를 입력하지 않으면 됩니다;;;)
rsh 보다는 조금 더 안전하기에....추천하는 것입니다.

그럼;;

thisrule의 이미지

대부분의 분들이 보안상 문제가 되는 rsh, rlogin, rcp를 쓰느니 ssh, scp를
사용하라고 하십니다. 그런데 현재 저희 회사에 대부분 unix solaris가
사용되고 있으며 여러 프로그램들이 내부적으로 rcp를 이용하여 file을 전송
하는데 scp를 사용하면 이미 사용되고 있는 프로그램들의 소스를 고쳐야합니다.
그리고 보안의 문제는 이미 회사에서 proxy server를 통해 외부에서 들어오는
data의 점검이 이루어져있기 때문에 사내 host끼리는 그냥 편한대로
사용하고 있습니다.
===============================================

위에서 말씀하신데로 /etc/hosts 및 .rhosts 파일에도 host2가 등록되어
있습니다. host2에서 host1에 rlogin하고 /var/log/messages를
살펴보니
Feb 20 18:10:50 host1 pam_rhosts_auth[27765]: denied to user@host2 as user: .rhosts writable by group

와 같은 message가 기록되고 패스워드를 요구합니다.
여기서 pam이 무엇인지도 궁금하군요.
아뭏든 패스워드를 입력하지 않았으면 좋겠습니다.

dalgarak의 이미지

.rhosts 파일의 퍼미션을 600으로 조정하세요.

....자세한 사항은 man rhosts 해보시길 바랍니다.

The .rhosts file must have permissions 600 (that is, read-able and writable only by the owner).

PAM은 linux/solaris에서 사용가능한 인증 모듈입니다. (Pluggable Authentication Module인가? 그럴껍니다.) 이것 역시 man 을 참고하시는것이 좋을 것 같습니다.

thisrule의 이미지

~/.rhosts 파일의 permission을 600으로 변경하니 패스워드를 물어보는
절차가 없어졌습니다. 감사합니다.

그런데 문제가 있습니다.
저희 회사에 Unix/Linux workstation이 100여대가 넘으며 새로 생겨나는
host들도 많습니다. 그럴때마다 매 host에서 rhost 파일을 조정하자니,
설마 이렇게 불편하게 해놓았을까? 하는 의심이 듭니다.
그래서 man rhosts 해보았는데 rhosts에 대한 man이 없더군요.

그리고 또 하나, 제가 어떤 Solaris system에 rlogin 해보았더니 패스워드
입력 절차가 없더군요. 그래서 그 계정의 .rhosts 파일을 보았더니
user@solaris_host> cat .rhosts
+ atwins
+ usernet
+ tsusr
로 되어있습니다. + 뒤는 계정이름입니다.
그래서 제가 host1의 .rhosts파일에 + user를 넣어서 해보았는데
패스워드를 물어봅니다.
rlogin, rsh, rcp에 대한 history나 manual을 모르니 하면할수록 궁금한것
뿐입니다...

pynoos의 이미지

.rhosts 의 host global setting은

/etc/hosts.equiv

입니다....

하지만 우려되는 것은 100 대의 machine이 r 계열의 인증을 받아 들어간다는 것은... 한대만 뚫리면 모두 뚫리는 얘긴데... 모든 서버를 완벽하게 관리하실 수 있으세요?

심히 우려가 됩니다.

게다가 .rhosts 없이도 r 계열의 인증 방식은 telnet이나 다를바없이
plain text 형태로 암호가 그대로 전달 됩니다. 따라서 추세는 ssh 를 사용하는 것인데..

ssh 도 물론 암호물어 보지 않고 들어가게 만들 수 있습니다. 하지만 이것도 한 대 뚫리면 다 뚫리는 것이라 권장하는 방법은 아닙니다.

thisrule의 이미지

매번 친절하게 답변해주시는 pynoos님께 감사드립니다.
물론 추세가 ssh인건 알지만 저희 회사의 proxy server가 대부분의 port를
다 막았기 때문에 외부에서 사내의 host에 접근하기란 불가능합니다.
제가 알기론 8080 port외에는 다 막은걸로 알고 있습니다.
현재 browser 상에서 이 글을 보내는 것도 proxy server를 통해 나가게
되어있으며, 만약 이 글 안에 회사 기밀이 있으면, 전 끝장입니다.

제가 하고싶은것은 특정host에 passwd 인증절차를 없애려는 것이 아니라
특정 user에 대해서만 passwd 인증절차를 하고싶지 않은것입니다.

host1의 .rhosts 파일에 host2라 입력해 놓거나 /etc/hosts.equiv 파일에
host명을 입력해놓으면 host2에서 rlogin 요청이 오면 passwd를 묻지않습
니다만, 저는 global로 특정 user에 대해서는 어느 host에서 오던지 passwd
를 묻지않고 싶습니다만...

위의 Solaris의 예를 보아도
user@solaris_host> cat .rhosts
+ atwins
+ usernet
+ tsusr
로 되어있어 atwins, usernet, tsusr 사용자에 대해서는 어떤 host에서
rlogin을 하던 passwd를 묻지않습니다. 심지어는 linux에서 rlogin요청을
해도 말입니다. 이렇게 설정할수는 없는지요?

dalgarak의 이미지

.rhosts에서는 +, - 문자를 쓸 수 없는것으로 알고 있습니다.

/etc/hosts.equiv 파일에서 + username 을 이용하여 등록해보시길 바랍니다.

여담으로, - username일 경우에는 해당 유저네임을 가지고 있을 경우
무조건 호스트에 rlogin이나 rsh로 접근을 못하게 되어 있을 것입니다.

man을 시스템에서 못찾으실 경우에는 구글을 사용하시면 될 것입니다.
많은 웹 사이트에서 온라인 man 페이지를 제공하고 있습니다 :)

cjh의 이미지

rcp/rlogin/rsh은 말씀하신 대로 보안 문제때문에 telnet, ftp와 더불어 거의 사용하지 않는 추세입니다. OpenBSD같은 OS에는 아예 r계열 명령어를 시스템 소스에서 지워버렸죠.

scp도 .shosts(그냥 r이 s로 바뀌었다고 생각하시면 됩니다) 등의 기능을 이용하여 암호 없이 로그인하도록 할 수 있고(다만 기본 설정에서 off로 되어 있을 것입니다. /etc/shosts같은것도 있고요. 하여튼 r자로 되는 것은 모두 s자로 된다고 보시면 됩니다) 전통적인 암호 인증 방식 말고 RSA 키를 만들어서 로그인하도록 하시면 문제가 더 쉬워질 수도 있습니다. 사용자는 대표 RSA/DSA키를 하나 만들고, 로그인할 머신의 .ssh/authorized_keys에 사용자의 public key를 등록하고, ssh-agent를 사용하시면 암호는 처음에 로그인할 때 한번만 입력해 두면 많은 머신에 동일하게 암호 입력 없이 안전하게 로그인할 수 있습니다. 키를 null로 만들면 처음에도 입력 안해도 될 겁니다.

다만 r계열을 계속 써야 하는 이유가 있다면 SSH를 모두 깔아주어야 하니까 번거롭다는 점이 가장 크겠군요...

--
익스펙토 페트로눔

cjh의 이미지

각종 OS의 매뉴얼 페이지를 한꺼번에 보고 싶으시면 다음 인터페이스를 사용하세요.

http://www.freebsd.org/cgi/man.cgi

FreeBSD.org 사이트이기 하지만 Free/Open/NetBSD, Solaris, Redhat, SuSE, HP-UX, SunOS/Solaris 매뉴얼 페이지를 한번에 볼 수 있습니다.

--
익스펙토 페트로눔

wjdqls1342의 이미지

계정암호를 지워보시죠;
#passwd -d 계정명

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.