rsh-Login

[jmatthes]

Moin,

ich habe eine RedHat Maschine (Red Hat Enterprise Linux Client release 5.4, x86_64) laufen auf der ich mich rsh anmelden müßte.
Der rsh-server ist installiert und gestartet (shell port 514). Als normaler Nutzer kann ich mich auch auch mit rlogin bzw. rsh anmelden, als root wird das Passwort abgelehnt, sprich er verlangt die erneute Eingabe des Passworts.
Weiter ist auch die .rhosts mit ip und root-user angelegt. Die hosts. allow und hosts.deny sind entsprechend konfiguriert.

Hiermal ein Auszug aus der "messages"

rlogin normaler Nutzer:
Sep 30 09:00:30 host xinetd[23042]: START: login pid=9785 from=x.x.x.x

rlogin root Nutzer:
Sep 30 09:02:02 host xinetd[23042]: EXIT: login status=0 pid=9785 duration=92(sec)
Sep 30 09:02:09 host xinetd[23042]: START: login pid=9850 from=x.x.x.x
Sep 30 09:02:17 host rlogind[9850]: PAM authentication failed for in.rlogind

die /etc/pam.d/rlogin sieht folgendermaßen aus.

auth       required     pam_nologin.so
auth       required     pam_securetty.so
auth       required     pam_env.so
auth       sufficient   pam_rhosts_auth.so
auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so    force revoke
session    include      system-auth

Das pam_securetty.so Modul hatte ich bereits auskommentiert, eine "login"- Datei existiert nicht. Und auch die die /etc/securetty hatte ich umbenannt, so das er hier nicht mehr darauf zugreift. Alles ohne Erfolg, gegoogelt habe ich natuerlich auch.

Per ssh kann ich mich übrigens als root anmelden.
Achja natuerlich weiß ich das es bessere & Sichere Varianten als rsh und root login gibt. Leider wird diese aber benötigt.

Hat jemand noch eine Idee
Besten Dank
joerg

 

[saeckereier]

Warum wird denn ausgerechnet rsh benötigt?

 

[jmatthes]

Hi,

wir haben ein System, auf das ich keinen Einfluss habe, welches sich halt per rsh/rlogin mit meinem System verbinden möchte.

In allen anderen Fällen verwenden wir ssh, mit nicht root usern.
Aber bitte keine ssh/rsh etc Diskussion hieraus machen, denke die gibts bereits reichlich.

Gruss Jörg

rsh und rlogin habe ich übrigens auch in der /etc/securetty eingetragen. Danach habe ich xinetd durchgestartet. Sollte doch ausreichen, da rsh über xinetd läuft?

 

[saeckereier]

He, ist ja nur ein Versuch zu helfen. Ich kenne mich mit rsh nicht aus, aber habe eine andere Idee, was, wenn du rsh durch ssh ersetzt? Also ein kleines Skript, das ggf. noch zusätzliche Parameter mitgibt (wenn nicht schon durch ~/.ssh/config regelbar)

 

[jmatthes]

Aber bitte keine ssh/rsh etc Diskussion hieraus machen, denke die gibts bereits reichlich.

War nicht böse gemeint, bin auch für für jede Hilfe Dankbar, hatte halt nur in andere Themen gesehen, dass es ausarteten kann, was ich mit der Aussage vermeiden wollte.

Erfreulicherweise funktioniert es nun.
Hatte das pam_securetty.so wieder aktiviert, rsh und rlogin in die /etc/securetty eingetragen. xinet neugestartet.

Eigenartigerweise habe ich von der Workstation, mit der ich den Zugriff getestet hatte, weiterhin das gleiche Problem, vom eigentlichen Rechner der auf das System zugreift klappt es nun mit dem Root-User.

Beste Grüße und Danke das beschäftigen mit dem Thema
jörg

 

[T-One]

hast du die .rhosts file im /root dir erstellt und rexec, rsh, rlogin in die /etc/securetty eingetragen?

Ansonsten kannst du noch mit der Keule draufhauen:

in the /etc/securetty folgende einträge hinzufügen

rsh
rexec
rlogin

In der /etc/pam.d/rlogin folgende Zeile auskommentieren:

# auth required /lib/security/pam_securetty.so

Dann die /etc/pam.d/rsh ändern, von:

auth required /lib/security/pam_rhosts_auth.so

zu

auth sufficient /lib/security/pam_rhosts_auth.so

und dann xinetd neustarten

/etc/rc.d/init.d/xinetd restart

Jetzt kommst du von jedem Rechner im LAN per rlogin drauf. Natürlich mit PW Abfrage, wobei das in Klartext übers Netz geht.

 

[jmatthes]

hast du die .rhosts file im /root dir erstellt und rexec, rsh, rlogin in die /etc/securetty eingetragen?

Ansonsten kannst du noch mit der Keule draufhauen:

rexec hab ich noch hinzugefügt, alles andere ist gesetzt bzw durchgetestet, angelegt.
mit gleichem Erfolg wie bisher.

Bleibt wirklich nur die Keule :-)
Vom wichtigsten Rechner komme ich ja mit Root drauf, von anderen Hosts würde, wenn es zugelassen wird (hosts.deny), es halt nur mit normalen Usern klappen.
Kann ich mit leben.

Besten Dank nochmal
Gruss Joerg

 

[T-One]

rexec hab ich noch hinzugefügt, alles andere ist gesetzt bzw durchgetestet, angelegt.
mit gleichem Erfolg wie bisher.

Bleibt wirklich nur die Keule :-)
Vom wichtigsten Rechner komme ich ja mit Root drauf, von anderen Hosts würde, wenn es zugelassen wird (hosts.deny), es halt nur mit normalen Usern klappen.
Kann ich mit leben.

Besten Dank nochmal
Gruss Joerg

Mach mal die Keulen-Methode und schau ob die funktioniert, wenn die auch nicht klapt muss der Fehler sonst wo liegen. Und wenn sie geht können wir rückwärts anfangen Authmethoden nach der Reihe zu aktivieren bis wir den Fehler haben.