table of contents
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.24.0-2
hosts.equiv(5) | File Formats Manual | hosts.equiv(5) |
NOM¶
hosts.equiv – Liste d'hôtes et d'utilisateurs ayant l'autorisation d'accéder à votre système par une commande « r » avec des privilèges « de confiance »
DESCRIPTION¶
Le fichier /etc/hosts.equiv autorise ou interdit à des ordinateurs (hôtes) et à des utilisateurs l'utilisation des commandes « r » (telles que rlogin, rsh ou rcp) sans donner de mot de passe.
Le fichier possède le format suivant :
- +|[-]hôte|+@groupe_réseau|-@groupe_réseau [+|[-]utilisateur|+@groupe_réseau|-@groupe_réseau]
L'hôte est le nom d'un hôte logiquement équivalent à l'hôte local. Les utilisateurs connectés à cet ordinateur sont autorisés à accéder aux comptes de même nom sur l’hôte local sans fournir de mot de passe. hôte peut être, de manière optionnelle, précédé d'un signe plus (« + »). Si seul le signe est indiqué, toutes les machines seront autorisées à se connecter au système. Vous pouvez en interdire explicitement l'accès pour un hôte particulier en faisant précéder cet hôte d'un signe moins (« - »). Les utilisateurs de cet hôte devront toujours fournir des identifiants supplémentaires, et possiblement un mot de passe. Pour des raisons de sécurité, vous devriez toujours utiliser le nom d'hôte pleinement qualifié de l'ordinateur (FQDN) et pas son nom court.
Le champ utilisateur permet de donner l'accès à tous les comptes utilisateur (à l'exception de root), sans mot de passe, à un utilisateur particulier. Cela signifie que cet utilisateur n'est PAS limité aux comptes de même nom. Le champ utilisateur peut être, optionnellement, précédé d'un signe plus « + ». Vous pouvez aussi explicitement interdire l'accès à un utilisateur particulier en précédant cet utilisateur d'un signe moins « - ». Cela signifie que cet utilisateur n'est pas déclaré comme étant de confiance indépendamment des autres entrées relatives à cet hôte.
Des groupes de réseau (« netgroup ») peuvent être indiqués en les précédant d'un signe « @ ».
Soyez très attentifs quand vous employez le signe plus « + ». Une simple erreur typographique peut aboutir à un signe plus seul. Un signe plus isolé est un caractère de remplacement qui signifie « tous les hôtes » !
FICHIERS¶
/etc/hosts.equiv
NOTES¶
Certains systèmes ne tiennent compte du contenu de ce fichier que lorsque le propriétaire est le superutilisateur et que personne d'autre ne peut y écrire. Certains systèmes particulièrement paranoïaques exigent même qu'il n'y ait aucun autre lien physique sur le fichier.
Les systèmes modernes utilisent la bibliothèque « Pluggable Authentication Modules » (PAM). Avec PAM, un signe plus isolé est considéré comme un caractère de remplacement qui signifie « n'importe quel hôte » seulement lorsque le mot promiscuous est ajouté à la ligne « auth » de votre fichier PAM pour un service particulier (par exemple rlogin).
EXEMPLES¶
Voici quelques exemples de fichiers /etc/host.equiv ou ~/.rhosts.
Permettre à n’importe quel utilisateur de se connecter à partir de n’importe quel hôte :
+
Permettre à n’importe quel utilisateur de l’hôte avec un compte local correspondant de se connecter :
hôte
Remarque : l’utilisation de +hôte n’est jamais une syntaxe valable, y compris l’essai de spécifier que n’importe quel utilisateur de l’hôte est autorisé.
Permettre à n’importe quel utilisateur de l’hôte de se connecter :
hôte +
Remarque : cela est différent de l’exemple précédent puisqu’un compte local correspondant n’est pas exigé.
Permettre à l’utilisateur de l’hôte de se connecter comme n’importe quel utilisateur qui n’est pas superutilisateur
hôte utilisateur
Permettre à tous les utilisateurs avec des comptes locaux correspondants de l’hôte de se connecter excepté pour mauvais_utilisateur
hôte -mauvais_utilisateur hôte
Interdire tous les utilisateurs de l’hôte.
-hôte
Remarque : l’utilisation de -hôte -utilisateur n’est jamais une syntaxe valable, y compris l’essai de spécifier qu’un utilisateur particulier de l’hôte n’est pas fiable.
Autoriser tous les utilisateurs avec des comptes locaux correspondants dans tous les hôtes d’un groupe_réseau :
+@groupe_réseau
Exclure tous les utilisateurs sur tous les hôtes d’un groupe_réseau :
-@groupe_réseau
Permettre à tous les utilisateurs d’un groupe_réseau de se connecter depuis hôte comme n’importe quel utilisateur qui n’est pas un superutilisateur.
hôte +@groupe_réseau
Autoriser tous les utilisateurs avec des comptes locaux correspondants sur tous les hôtes dans un groupe_réseau sauf mauvais_utilisateur.
+@groupe_réseau -mauvais_utilisateur +@groupe_réseau
Remarque : les déclarations d’exclusion doivent toujours précéder les déclarations de permission parce que le fichier est traité séquentiellement jusqu’à ce que la première règle de correspondance soit trouvée.
VOIR AUSSI¶
rhosts(5), rlogind(8), rshd(8)
TRADUCTION¶
La traduction française de cette page de manuel a été créée par Christophe Blaess <https://www.blaess.fr/christophe/>, Stéphan Rafin <stephan.rafin@laposte.net>, Thierry Vignaud <tvignaud@mandriva.com>, François Micaux, Alain Portal <aportal@univ-montp2.fr>, Jean-Philippe Guérard <fevrier@tigreraye.org>, Jean-Luc Coulon (f5ibh) <jean-luc.coulon@wanadoo.fr>, Julien Cristau <jcristau@debian.org>, Thomas Huriaux <thomas.huriaux@gmail.com>, Nicolas François <nicolas.francois@centraliens.net>, Florentin Duneau <fduneau@gmail.com>, Simon Paillard <simon.paillard@resel.enst-bretagne.fr>, Denis Barbier <barbier@debian.org> et David Prévot <david@tilapin.org>
Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.
5 février 2023 | Pages du manuel de Linux 6.03 |