1,安裝前準備:
機器A:192.168.xxx.xxx(machine_a) (安裝rsh server)
機器B:192.168.xxx.xxx(machine_b) (rsh client )
2,首先確認機器A是否安裝rsh包:
代碼示例:
[root@ahlinux root]# rpm -aq |grep rsh
rsh-0.17-14
rsh-server-0.17-14
如果沒有安裝以上兩個包,請找到相關軟件安裝(如果是LINUX,可以從安裝碟中找到)
安裝包:
代碼示例:
rpm -ivh rsh-0.17-5 (linux 操作系統)
rpm -ivh rsh-server-0.17-5 (linux操作系統)
或者在root下使用yum install rsh 和 yum install rsh-server來自動安裝。
注:使用yum安裝rsh-server時xinetd也會被自動安裝。
3,確認機器A是否啓動rsh 服務:
方法一:
使用命令setup,查看service是否啓動
代碼示例:
rsh/rlogin/rexec 加上*,如果加上*表示可以啓動。
/etc/rc.d/init.d/xinetd restart 或者 service xinetd restart
方法二:
或使用chkconfig檢查rsh/rlogin/rexe是有啓動。
rsh 屬於xinetd服務,可以直接修改/etc/xinetd.d/rsh腳本文件來配置。
代碼示例:
service shell
{
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rshd
}
對/etc/xinetd.d/rlogin 和/etc/xinetd.d/rexec進行類似的設置。
當然方法很多,目的就是使用rsh/rlogin/rexec服務能啓動。
代碼示例:
/etc/rc.d/init.d/xinetd restart
檢查是否啓動: rsh server 監聽和TCP 是514。
代碼示例:
[root@ahlinux root]# netstat -an |grep 51
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN
如果能看到514在監聽說明服務器已經啓動。
4, 配置機器A的hosts文件/etc/hosts例如:(貌似不能直接使用ip來rsh)
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
192.168.0.104 machine_a.localdomain machine_a
192.168.0.106 machine_b.localdomain machine_b
5,配置機器A的rsh server:
修改/etc/securetty文件:
代碼示例:
echo rsh >>/etc/securetty
echo rlogin >>/etc/securetty
echo rexec >>/etc/securetty
如果打算用AAA作爲rsh用戶的話:
先用AAA登錄到機器A中進行以下操作:
代碼示例:
cd ~/
echo “machine_a AAA” >>.rhosts #允許machine_a 以AAA訪問 ,即允許從rshserver所在的機器運行rshclient。
echo “machine_b AAA” >>.rhosts #允許machine_b以AAA訪問。
echo +AAA >>.rhosts 允許所有的機器以AAA訪問,貌似linux下不起作用。
重?rsh server. (service xinetd restart)
6,測試與注意事項:
rshserver機器作爲rshclient的機器測試:
代碼示例:
rsh -l AAA localhost ps -ef 或者 rsh -l AAA machine_a ps -ef
登錄到B機器machine_b進行測試:
代碼示例:
rsh -l AAA machine_a ps -ef
看是否能看到結果。
如果看到
代碼示例:
rsh -l AAA machine_a ps -ef
Permission denied.
這是由於權權限問題,一般是由於 .rhosts沒有配置正確。.rhosts一般位於rsh server服務器相對應賬號目錄下比如AAA(與.bash_profile在同一目錄)
rsh在執行命令有時會找不到。rsh 在調用命令是最好使用絕對路徑。默認搜索路徑爲:
代碼示例:
[root@ahlinux etc]# rsh -l AAA 192.168.0.4 env |grep PATH
PATH=/usr/bin:/bin
hosts.equiv和.rhosts文件
遠程用戶啓動rlogin訪問你的本地主機,此時做如下安全性檢查:
1,本地rlogind在本地/etc/passwd文件中尋找遠程用戶名,沒有則拒絕訪問。
2,/etc/passwd中存在遠程用戶名,rlogind在/etc/hosts.equiv尋找遠程主機名,找到則允許訪問。
3,/etc/hosts.equiv無遠程主機名,rlogind在$HOME/.rhosts尋找遠程主機名,找到且該項後無用戶名則允許訪問,找到且該項後有用戶名,若遠程用戶名位於其中,則允許訪問。注意,此處的HOME/.rhosts的檢查,遠程用戶給出口令可以登錄本機,但無法使用rcp、rsh等。反之則可以使用rcp或者rsh。
6,/etc/hosts.equiv中的+意味着任意主機,此時與/etc/hosts無關。netterm下rlogin除root外的所有用戶可以成功,solaris下簡單的rlogin
hostname同netterm,但是rlogin -l username
hostname不成功。這個事實說明netterm下rlogin的時候,指定的參數實際上是遠程主機的當前用戶名。還說?hosts.equiv文件不支持rlogin
-l username hostname,不支持root的rlogin。 7,rlogin -l username hostname和rlogin
hostname的檢查有點細微的差別,首先在/etc/passwd的檢查中是以-l的參數爲準的,沒有-l參數才使用遠程主機的當前用戶名,所謂當前用戶名是考慮了su出來的用戶。其次,HOME/.rhosts文件中的用戶名不是針對-l參數來的,而是針對遠程主機的當前用戶名來的,但是對於這個遠程主機的當前用戶名,並不要?出現在/etc/passwd文件中。這第6條尤其重要,許多不成功的HOME/.rhosts文件的權限問題,chmod
0都沒有影響,不過當時是處理root用戶。對於一般用戶,一定要保證.rhosts文件對於KaTeX parse error: Unexpected character: '' at position 141: …hosts實現。除了root,̲果HOME/.rhosts文件的屬主和HOME/.rhosts文件中每行只跟一個用戶名,若想多個指定,只好分多行指定用戶名。 10,sco
unix下$HOME/.rhosts中若用+代表主機,與其他Unix系統不同,這裏的+沒有任何特殊的意義,所以檢查將失敗。但是用戶名仍然可以用+代表。並且sco
unix下若root的.rhosts文件go+w,則檢查失敗。 11,建議man rhosts看看,各個系統有許多細微的差別。
注意:
1,直接使用 rsh 命令方式和使用 rsh 命令方式,其實本質上是不一樣的,前者實質上調用的是 rlogin 程序,而後者纔是真正意義上的 remote shell。所以,前者對應的是 rlogin 服務的端口,爲 513;
後者對應的纔是 remote shell 服務的端口 514。而使用 rsh 命令方式時,具體過程還是有些特殊的,那就是,本地機先鏈接服務端的 514 端口,然後服務端還要以約定好的端口(1021~1023)與客戶端相連,所以要順利執行該命令的話,即要求服務端允許 514 端口鏈接,還要求本地機允許1021~1023端口的鏈接,這樣就必須正確配置防火牆。
如果沒有在本地機允許1021~1023端口,則會出現如下錯誤: poll: protocol failure in circuit setup
2,
網上資料說rsh 連接不正常可以通過修改 /etc/securetty 文件,添加 rsh 和 rlogin 兩行,並修改
/etc/pam.d/rsh 文件,註釋掉 pam_rhosts_auth.so 那一行就可以。
而事實證明,在沒有開放相應端口的情況下,這麼做了沒有用。
而按我上面說的4步做了以後,不做這兩條也完全可以。
所以,這兩條對我的系統完全不必要。
以上所說的只對普通用戶(非root)有效,若是對root用戶,上面的設置還不能實現無密碼訪問,甚至都可能連不上。
對root用戶,應增加以下兩條:
1,必須要在 /etc/securetty 中添加上 rsh 和 rlogin 才?分別使用兩個服務。
2,必須要在 /root/.rhosts 中加入等價的主機名或IP,這些機子才能無密碼訪問該機器。
