[Linuxtrent] Re: rlogin

  • From: Marco Cova <marco.cova@xxxxxxxxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Wed, 12 Nov 2003 11:01:14 +0100

Il giorno Wed, Nov 12, 2003 at 09:16:49AM +0100, pare che
renato.conotter@xxxxxxxxx abbia scritto: 
> Ciao a tutti
> problema: login con putty da utente -> su root non accetta comandi da 
> amministratore
> problema1: non accetta login da root
> Macchina RH8 con rlogin
> Come faccio ad amministrare la macchina da remoto?

Premetto che non conosco putty, quindi quanto segue potrebbe non
applicarsi al tuo caso.

Cio' detto, se ti e' possibile, non usare rlogin (e piu' in generale i
vari programmi r*). Sono progettati sulla base di ipotesi che, oggi,
si considerano, generalmente, inaccettabili [1].

In particolare:
1) Username e password sono inviate in chiaro sulla rete.
2) Piu' in generale, tutto il traffico e' inviato senza alcuna forma
di protezione, rendendolo vulnerabile oltre che ad attacchi di
sniffing anche di hijacking.

Inoltre, il protocollo prevede la possiblita' di designare altri host
o utenti come fidati (trusted). Questo meccanismo e' vulnerabile a [2]:
3) Attacchi basati sullo spoofing (so che l'host 192.168.1.114 e'
trusted, lo impersonifico per avvantaggiarmi illecitamente dei suoi
privilegi)
4) Il trust e' transitivo.
5) Questo mecanismo affida la sicurezza dell'intero sistema nelle mani
dei singoli utenti.

ssh e amici affrontano questi problemi in maniera piu'
adeguata. 

Ovviamente, se nel tuo caso, usi rlogin solo per connetterti da una
macchina ad un'altra, nella tua lan, disconnessa da internet (o
opportunamente protetta da esterni), e tu sei il solo utente, rlogin
puo' essere assolutamente adeguato alle tue esigenza.

Marco 

[1] Fossi un consulente, parlerei di un ``threat model inadeguato'' e
mi farei pagare dei soldi ;-)
[2] Vedi anche la sezione "A Cautionary Tale" in RFC1282:
ftp://ftp.rfc-editor.org/in-notes/rfc1282.txt
-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 11-2003