man5/hosts.equiv.5

   1 .\" Copyright (c) 1995 Peter Tobias <tobias@et-inf.fho-emden.de>
   2 .\"
   3 .\" %%%LICENSE_START(GPL_NOVERSION_ONELINE)
   4 .\" This file may be distributed under the GNU General Public License.
   5 .\" %%%LICENSE_END
   6 .TH HOSTS.EQUIV 5 2020-06-09 "Linux" "Linux Programmer's Manual"
   7 .SH NAME
   8 hosts.equiv \- list of hosts and users that are granted "trusted"
   9 .B r
  10 command access to your system
  11 .SH DESCRIPTION
  12 The file
  13 .I /etc/hosts.equiv
  14 allows or denies hosts and users to use
  15 the \fBr\fP-commands (e.g.,
  16 .BR rlogin ,
  17 .BR rsh ,
  18 or
  19 .BR rcp )
  20 without
  21 supplying a password.
  22 .PP
  23 The file uses the following format:
  24 .TP
  25 \fI+|[\-]hostname|+@netgroup|\-@netgroup\fP \fI[+|[\-]username|+@netgroup|\-@netgroup]\fP
  26 .PP
  27 The
  28 .I hostname
  29 is the name of a host which is logically equivalent
  30 to the local host.
  31 Users logged into that host are allowed to access
  32 like-named user accounts on the local host without supplying a password.
  33 The
  34 .I hostname
  35 may be (optionally) preceded by a plus (+) sign.
  36 If the plus sign is used alone, it allows any host to access your system.
  37 You can explicitly deny access to a host by preceding the
  38 .I hostname
  39 by a minus (\-) sign.
  40 Users from that host must always supply additional credentials,
  41 including possibly a password.
  42 For security reasons you should always
  43 use the FQDN of the hostname and not the short hostname.
  44 .PP
  45 The
  46 .I username
  47 entry grants a specific user access to all user
  48 accounts (except root) without supplying a password.
  49 That means the
  50 user is NOT restricted to like-named accounts.
  51 The
  52 .I username
  53 may
  54 be (optionally) preceded by a plus (+) sign.
  55 You can also explicitly
  56 deny access to a specific user by preceding the
  57 .I username
  58 with
  59 a minus (\-) sign.
  60 This says that the user is not trusted no matter
  61 what other entries for that host exist.
  62 .PP
  63 Netgroups can be specified by preceding the netgroup by an @ sign.
  64 .PP
  65 Be extremely careful when using the plus (+) sign.
  66 A simple typographical
  67 error could result in a standalone plus sign.
  68 A standalone plus sign is
  69 a wildcard character that means "any host"!
  70 .SH FILES
  71 .I /etc/hosts.equiv
  72 .SH NOTES
  73 Some systems will honor the contents of this file only when it has owner
  74 root and no write permission for anybody else.
  75 Some exceptionally
  76 paranoid systems even require that there be no other hard links to the file.
  77 .PP
  78 Modern systems use the Pluggable Authentication Modules library (PAM).
  79 With PAM a standalone plus sign is considered a wildcard
  80 character which means "any host" only when the word
  81 .I promiscuous
  82 is added to the auth component line in your PAM file for
  83 the particular service
  84 .RB "(e.g., " rlogin ).
  85 .SH EXAMPLES
  86 Below are some example
  87 .I /etc/host.equiv
  88 or
  89 .I \(ti/.rhosts
  90 files.
  91 .PP
  92 Allow any user to log in from any host:
  93 .PP
  94     +
  95 .PP
  96 Allow any user from
  97 .I host
  98 with a matching local account to log in:
  99 .PP
 100     host
 101 .PP
 102 Note: the use of
 103 .I +host
 104 is never a valid syntax,
 105 including attempting to specify that any user from the host is allowed.
 106 .PP
 107 Allow any user from
 108 .I host
 109 to log in:
 110 .PP
 111     host +
 112 .PP
 113 Note: this is distinct from the previous example
 114 since it does not require a matching local account.
 115 .PP
 116 Allow
 117 .I user
 118 from
 119 .I host
 120 to log in as any non-root user:
 121 .PP
 122     host user
 123 .PP
 124 Allow all users with matching local accounts from
 125 .I host
 126 to log in except for
 127 .IR baduser :
 128 .PP
 129     host \-baduser
 130     host
 131 .PP
 132 Deny all users from
 133 .IR host :
 134 .PP
 135     \-host
 136 .PP
 137 Note: the use of
 138 .I "\-host\ \-user"
 139 is never a valid syntax,
 140 including attempting to specify that a particular user from the host
 141 is not trusted.
 142 .PP
 143 Allow all users with matching local accounts on all hosts in a
 144 .IR netgroup :
 145 .PP
 146     +@netgroup
 147 .PP
 148 Disallow all users on all hosts in a
 149 .IR netgroup :
 150 .PP
 151     \-@netgroup
 152 .PP
 153 Allow all users in a
 154 .I netgroup
 155 to log in from
 156 .I host
 157 as any non-root user:
 158 .PP
 159     host +@netgroup
 160 .PP
 161 Allow all users with matching local accounts on all hosts in a
 162 .I netgroup
 163 except
 164 .IR baduser :
 165 .PP
 166     +@netgroup \-baduser
 167     +@netgroup
 168 .PP
 169 Note: the deny statements must always precede the allow statements because
 170 the file is processed sequentially until the first matching rule is found.
 171 .SH SEE ALSO
 172 .BR rhosts (5),
 173 .BR rlogind (8),
 174 .BR rshd (8)