rcp - みる会図書館

1. UNIX MAGAZINE 2005年6月号

図 19 ACL か言綻されたファイルのコピー (a) rcp でコピーしたファイルにも ACL が設定されている client$ rcp server: syusyu. に x に syusyu ・ txt ・← ACL を設定したファイルのコピー client$ getfacl Syusyu . txt # file: Syusyu . txt # owne r : kabu # group : sokoku u S e r : : ーー us er : f tp : r ー #effective : #effective: group : mask : other: client$ (b) ℃ p の通信の様子認証情報、 rcp -f Syusyu. txt ・・←ユーザー 'ftp" の権限がコピーされている Authentication OK client server C0600 840 Syusyu. txt user::rw-,user ・ ftp:r--.group::---.mask:---.other:--- ・← ACL の情報 Syusyu. txt の内容きの様子をみてみましよう。図 19 ー a は、さきほど用意したユーザー ftp の ACL が追加された Syusyu. txt を、 rcp でコピーした結果です。コピーしたファイルの ACL を表示させるとユーザー ftp の権限が設定されており、ファイルの内容やパーミツンヨンとーーー・緒に ACL の情報もコピーされたことが分かります。図 19 ー b は rcp の通信の様子を示しています。認証の処理が終ったあと、ファイルの通常のパーミッション情報に続いて、 ACL の情報が server から client に送信されています。 client は、 server から送られてきたこれら 2 種類のファイル属性を Syusyu ・ txt に設疋します。このような仕組みにより、 rcp では ACL カ又疋されたファイルはその情報も含めてコピーされます。なお、当然ですが、コピー元のファイルに ACL カ羸疋されていても、コピー先の OS やファイルシステムが対応 66 ついてお話ししました。今回は、 rcp によるファイルコピーの仕組みと安全性に ☆ していなければ ACL の情報はコピーされません。 rcp のアクセス制御やセキュリティの仕組みは脆弱なので、インターネットでの利用には向いていません。しかし、セキュリティをあまり重視しなくてもよい環境では、手軽なファイル転送の手段として使えます。セキュリティを重視する場面では、操作性羽以ている scp を使用することもできます。また、 rcp が通信する様子を解析し、ファイルやファイルの属性、 ACL の情報をコピーする仕組みについて調べてみました。 rcp には決まった仕様があるわけではなく、 OS や実装ごとにすこしすっ振舞いが異なります。この記事で紹介したように動作しない場合は、操作している OS や、サーバー側の OS のマニュアルで確認してください。 ( あらい・みちこ ASTEC) UNIX MAGAZ 工 NE 2005 . 6

2. UNIX MAGAZINE 2005年6月号

図 16 しないファイルのコピー (a) 存在しないファイルに対して℃ p を実行 client$ rcp server: Fukusui . txt . / rcp: Fukusui . txt : NO such file or directory client$ (b) ℃ p の通信の様子認証情報、 rcp -f Fukusui. txt Authentication OK 工ラー : NO such file 0 「 directory client userl rcp server:Fukusui. txt . / Remote She Ⅱ P rot æol Response E r ro r Message f 計引 error rcp: FUkUSUi . を x を : NO such f ile or di rætory その後 setuid ビットや setgid ビットが追加され、さらによりきめ細かな制御カ可能な ACL の機能が追加されま 0 ACL を使用すれば、ファイルの通常のパーミッションとは無関係に、指定したユーザーやグループが特定のファイルに対して言囚み / 書込み / 実行の処理が実行できるか、できないかを設定できます。ほかにもさまざまな設定力河・能ですが、詳細はマニュアこでは実験に必要な操作方法だけを解ルに譲るとして、説します。 getfacl と setfacl ファイルの ACL の設疋を調べるときは、コ s ーにコマンドを使用します。 ACL か疋されていれば、 NSrwx-" のよミッションの状態が表示される箇所の右端に、、 + " が付きます ( 図 17- a ) 。 ACL が設疋されていないファイル ( 図 17 ー b ) とくらべてみてください。ファイルに ACL を設定したり削除したりするには、 setfacl コマンドを使います。・ ACL を誌定する setfacl —s acl file ・ ACL を変更または追加する setfacl -m acl file ・ ACL を削除する指定したファイルがないとき rcp で指定したファイルが server 上にない場合、コピーはもちろん失敗しますが、 client にはそのことが通信のどのタイミングで伝わるのでしようか。図 16 ー a は、存在しないファイル Fukusui. txt に対して rcp を実行したときの結果です。また、図 16 ー b はこのときの通信の様子を表しています。認証を実行したあと、 server から client へメッセージとともにエラーが通知されます。 client は受け取ったエラーメッセージ、 rcp : Fukusui . txt : NO such file or directory をそのまま画面に表示し、ユーザーにエラーを知らせます。 ACL 付きファイルのコピー最後に、アクセス制御リスト (ACL) カ咐いたファイルをコピーするときに、 ACL の情報もコピーされるかどうかを調べてみましよう。 UNIX のファイルシステムに旧くからあるアクセス制限の仕組みでは、所有者 (owner) ・グループ (group) その他のユーザー (other) ごとに読込み / 書込み / 実行のアクセスを指定できます。 64 UNIX MAGAZINE 2005.6

3. UNIX MAGAZINE 2005年6月号

図 9 ファイルの属性を知らせる (rcp) 回区ストリムく「 cp - enc > ロー当住 : 斗住に印ス当アドレス 1 当マアドレス 2 マプロトコルプサマリ server から client へ r¯ 3 c Ⅱ ent Aut henti cat i on OK RSH 十 se rver ファイルの属性を通知「 3 client RSH Open r¯ 3 c Ⅱ ent Open RSH Remote She Ⅱ Protocol C0644 840 Syusyu. txt [Command ロ put 要第 3 引 i ent RSH 回国一ファイルの属性情報ファイ丿レの / ヾーミツンヨンファイルサイズ数のファイルをコピーする機能があるため、これから転送れることを rcp コマンドに知らせるオプションです。するファイルの名前を知らせる必要があるのです。サーバーは言正に成功すると、 command で指定されたコマンド (rcp) を実行します。以後のサーバーとクライアファイル属性の通知に続いて、 server から client へフント間の情報のやりとりは、 rcp コマンドによっておこなァイルの内容力云送されます ( 図 10 ) 。 client はさきほどわれます。受け取った属性情報と車幻医された内容をもとに、 server 上のファイルと同じ内容のファイルを作ります。これで、リファイルの転送モートホストのファイルのコピーは完了です。認証に成功すると、 rcp は通信内容を暗号イヒしない・ファイルの属性情報ふたたびセキュリティについてみてみましよう。 . ファイルの内容図 9 や図 10 から分かるように、 rcp (RSH プロトコル ) がファイルの転送元から転送先へ伝えられます。さきほどは通信内容を暗号化しません。そのため、転送されたファの図 5 の通信では、コピーするファイルの属性と内容がイルの名前の情報や中身などは、ネットワーク・アナライ server から client へ中幻医されます。ザで解析すると丸見えです。図 9 は、 server から client へ送られたファイルの属性 rcp コマンドは、ファイルの内容などを秘密にしたい用情報です。ファイルの属性清報には、途には向いていません。そのような場合は、暗号化して転・データの種類を表す識別子 ( 、、 C " はファイル ) 送できる scp などのコマンドを使ってください。ミッション ( 0644 ) ファイルのノヾー・ファイルサイズ ( 840 バイト ) scp (secure COPY) ・ファイル名 (Syusyu. txt) scp は先月号の特集でもすこし触れましたが、 SSH を利が含まれています。用したファイル転送プログラムです。認証に使うパスワーコピーするファイルの名前は最初に client から server ドやファイルの内容を暗号化して転送するので、ネットワへ知らせているので、もう一度 server から client へ知らーク上で通信を傍受されたとしても内容を知られる心配はせるのは一見無駄のように思えます。しかし、 rcp には複ファイル名 60 UN 工 X MAGAZINE 2005 . 6

4. UNIX MAGAZINE 2005年6月号

連載ネットワーク・ミニ実験室ファイル転送の安全性荒井美千子ホスト間のファイル転送にはさまざまな方式があります図 1 rcp のファイル中医が、安全面からみた場合、セキュリティ的に強いものと弱 (a) いものがあります。たとえば、先月号の特集「 FTP のトラブル・シューティング」で紹介した 3 つのファイル転送コマンド、 ftp 、 sftp 、 tftp を安全面から分類すると次のようになります。・ ftp : ユーザー名とパスワードで認証する。パスワードや転送したファイルの内容は号化されない ( セキュリティ・レベルは中 ) 。・ sftp : ユーザー名とパスワードで認証する。パスワードや転送したファイルの内容は暗号化される ( セキュリテイ・レベルは強 ) 。・ tftp : 認証機構がない ( セキュリティ・レベルは弱 ) 。今回は、これらと同様にファイル転送の機能を提供する rcp コマンドの安全性や振舞いを調べてみます。 rcp (remote copy) rcp はファイルをコピーするコマンド cp をホスト間のファイル中幻医用に拡張したもので、 cp コマンドのような操作で手軽に使える点が長所です。 rcp は次のようなファイル中幻去が可能です。 . リモートホストのファイルをローカルホストへコピー ( 図 l-a) ・ローカルホストのファイルをリモートホストへコピー ( 図 l-b) ・リモートホストのファイルを別のリモートホストへコピー ( 図 l-c) さらに、以下のような中幻医もおこなえます。こ一こ一こ一こファイル転送ローカルホストローカルホストファイル転送 (c) 制御ローカルホストリモートホスト・指定したディレクトリに複数のファイルをコピー指定したディレクトリの下のファイルをまるごとコピー rcp の認証ファイル転送やリモートログイン、リモート実行などの権限の認証に使われる情報は、コマンドやその仕組みによって異なります。 54 UNIX MAGAZINE 2005 . 6

5. UNIX MAGAZINE 2005年6月号

ネットワーク・ミニ実験室 0 図 14 ティレクトリの下のファイルをコピーするディレクトリ情報に続いて、 server の KOJI ディレク server$ IS KOJI (a) se Ⅳ er の KO 』ディレクトリの内容 Dasoku . txt Gekirin . む x に GaryouTensei . に x し GyofunoRi . し x し (b) c ⅱ ent に KO 』ディレクトリの内容をコピーする client$ rcp -r server:KOJ 工 . / client$ 1s KOJ 工 Dasoku . txt Gekirin . txt Mujun. し x し Suikou . txt Muj un . 亡 x し Suikou . に X に Syusyu . し x し Syusyu . し x し GaryouTensei . し x む GyofunoRi . txt client$ 図 15 ティレクトリのコピー KOJ レ userl client 認証情報、 rcp -r -f KO 』 Mujun. txt の内容 C0664 1568 Mujun. txt Syusyu. txt の内容 C0664 840 Syusyu. txt D0775 0 KO 』 Authentication OK Dasoku. txt GaryouTensei. txt Gekirin. txt GyofunoRi. txt Mujun. txt Suikou. txt Syusyu. txt rcp ー「 server:KOJl./ と仮定します ( 図 14 ー a ) 。ホスト client で、 KOJI ティレクトリの下のすべてのファイルを転送 E ( 転送終了 ) client$ rcp —r server :KOJI . / を実行すると、 KOJI ディレクトリとその下のファイルが client にコピーされます ( 図 14 ー b ) 。図 15 は rcp の通信の様子を表したものです。認証が終ったあと、 server から client へ、 D0775 0 KOJI が送られています。情報で、これはコピーするディレクトリの属性・データの種類を表す識別子 ( 、、 D " はディレクトリ ) ・ディレクトリのパーミッション ( 0775 ) ・ディレクトリのサイズ ( 0 バイト ) UNIX MAGAZINE 2005 . 6 ・ディレクトリ名 ( KOJI ) を表しています。トリの下にあるファイルの、・属性情報・内容 63 最後に TCP の接続を切断し、 rcp の通信カ院了します。ないことを client に伝えます。 ( アルファベットの、、 E " ) が送信され、これ以上ファイルがすべてのファイルの輔医カ冬了すると、、、終り " のマークだけコピーするときと変わりません。数ぶんの情報カ云送されることを除けば、ファイルを 1 つが、順番に client へ中幻去されます。この処理は、ファイル

6. UNIX MAGAZINE 2005年6月号

ん。アクセス権限ファイルをどちらに置くか、誰のアクセスを許可すればよいかは、分かっていても混乱しやすいので注意しましよう。 r コマンドの認証こまでは rcp の設疋について説明しましたが、アクセス権限ファイルを使うのはこのコマンドだけではありません。 UNIX には名前が、、 r " で始まる、リモートアクセス関・ rlogin ・ rsh ・ rcp 係のコマンドがあります。ですから、アクセス権限ファイルの内容は、ファイルの参照して認証をおこないます。これらのコマンドは、いずれもアクセス権限ファイルをきできないパーミッションにしましよう。 . rhosts ファイルを作るときは、他のユーザーカ毓み書ツンヨノ . rhosts の / ヾーてください。の権限を与えても問題がないかをよく考えた、・ログイン・コマンドのリモート実行コピーだけでなく、つんで設疋し UNIX MAGAZINE 2005.6 ・コマンドを実行される・重要なファイルを消される・個人情報の入ったファイルを盗まれる・秘密のメールを読まれるそして、行できてしまいます。からあなたの権限を使用して rcp 、 rsh 、 rlogin などを実あなたのファイルを読み書きできなかったとしても、 h 。 st3 すると、そのホスト ( ローカルホスト ) 上では user3 はという行を追加したとします。 host3 user3 たの . rhosts を書き換えて、たとえば、悪意をもっユーザーがなんらかの手段であなネットワーク・ミニ実験室 0 などの被害を与えたあとに、こっそり . rhosts を修正して、、わるさ " の痕跡を消してしまうことも可能です。 rcp の安全性について、アクセス権限ファイルの言当杢や認証方式の面からみてきましたが、次に通信の安全性について調べてみましよう。通信の安全性を検討する際のキーポイントは次の 2 っです。・認証に使われる秘密の情報 ( パスワードなど ) のセキュリティ通信内容のセキュリティ認証情報については、ネットワーク上をそのまま利用できる形式で流れるかどうかで安全性が決まります。たとえば、 FTP ではパスワードがネットワーク上をクリアテキスト ( 平文 ) で流れるため、 solaris の snoop コマンドなどで通信を傍受されると、パスワードを知られてしまう危険があります。パスワードが盗まれなくても、転送したファイルや送受信したメールの中身、実行したコマンドの内容などが、、見えてしまう " 場合は安全な通信とはいえません。たとえば、 HTTP (HyperText Transfer protocol) でアクセスした際の Web ページの内容は、そのままネットワーク上を流れるので他人に覗かれる可能性があります。しかし、 SHTTP (Secure HTTP) でアクセスした場合は暗号化されるため、通信を傍受されても内容を簡単に知られるおそれはありません。 rcp の通信の仕組み rcp には専用のプロトコルがあるわけではなく、 RSH (Remote SHell) プロトコルを利用してファイルをコピーします。図 5 は、 client ( クライアント・ホスト ) で、 kabu@client$ rcp usagi@server:Syusyu.txt - Syusyu. txt を実行し、 server ( サーバーホスト ) 上のファイルをコピーしたときの通信の様子です ( 誌面の都合上、で折り返しています ) 。 server 上では、ユーザー usagi としてファイ通信のセキュリティ 57

7. UNIX MAGAZINE 2005年6月号

ネットワーク・ミニ実験室 0 図 2 ~/. rhosts ファイルの言ホ例 (host2 の user2) rcp コマンドは、ホストとユーザー名の組合せで認証をおこないます。パスワードのような、、秘密の情報 " を使わな hostl userl ・← hostl の userl からのアクセスを許可ー hos し 3 ・一 h0St3 からのアクセスを拒否いので、認証機構としてはかなり弱い部類に入ります。当 +@9r0 叩 1 ← groupl に含まれるホストからのアクセスを許可然ながら、インターネット経由のファイルコピーには向い図 2 はホスト host2 のユーザー user2 の . rhosts ファていません。はじめに、 rcp の認証の設疋についてみておきましよう。イルの例です。 1 行目の、 rcp は、次の 2 つのファイルを参照してアクセスを制御し hostl userl ます。は、 hostl の userl からのアクセスを、 host2 の user2 の /etc/hosts. equiv アクセスとして扱います。 2 行目の、・ . rhosts —host3 これらのファイルにはとくに決まった呼び方がなく、会は、 host3 からのアクセスを拒否します。 3 行目の、話のなかではもつばら、 +@groupl 「ホスツイクイプ・ファイルに xxx を追加して ~ 」は、ネットグループ groupl に含まれるホストのアクセス「誰々のアールホスツ・ファイルのパーミッションを確認制御です。この例のようにユーザー名が省略されている場してえ」合は、名前が user2 のユーザーからのアクセスを許可しのように使います。ます。しかし、これでは説明しにくいので、イ上まとめて、、アアクセス権限ファイルの書き方やパーッションのルークセス権限ファイル " と呼ぶことにします。ルは、 OS や rcp コマンドの実装によってすこしずっ異な 2 種類あるアクセス権限ファイルのうち、 /etc/hosts. ります。言髫田については、実際に使用する OS のマニュア equiv はシステム管理者が用意するファイルで、そのホスルで確認してください。ト全体のアクセス権を規定します。一方、 . rhosts はユーユーザー名が同じ場合ザーが用意するファイルで、ユーザーごとの特別なアクセ rcp の設疋で間違いやすいのは、アクセス権限ファイルス制御を設疋できます。 . rhosts ファイルはユーザーのホをどのホストに置くか、アクセス権限ファイルに何を言当ーム・ディレクトリの直下に置きます。するかです。これらのファイルでは、許可するアクセスや拒否するア図 3 は、 rcp でリモートホスト上のファイルをローカルクセスを次のように言します。ホストにコピーする例です。ここで、 + ホスト名・ host2 ( リモートホスト ) の用 e を hostl ( ローカルホス + ホスト名ユーザー名ーホスト名ト ) にコピーするーホスト名ユーザー名・ hostl と host2 には同じ名前のユーザー・アカウントなお、、、十 " はアクセスの許可、、、一 " はアクセスの拒否を userl があるユーザーは hostl に userl としてログインしている未し、前者は省略してもかまいません。・ hostl 上で rcp コマンドを実行するホスト名やユーザー名の代わりに、 /etc/netgroup に記・ file は host2 の userl カ第売み込めるファイル述したネットグループを指定することもできます。ネットグループを使うときは、と仮定します。これをユーザーのアクセス権限ファイル . rh 。 sts で制御 +@ネットグループューザー名 + ホスト名ネットグループするには、次のようにします。・ . rhosts は host2 ( リモートホスト ) 側に置く。のようにネットグループ名の前に、、@" を付けます。 55 UNIX MAGAZINE 2005 . 6

8. UNIX MAGAZINE 2005年6月号

ク・ミニ実験室 0 ネットワー図 7 言 & 旧 & とコマンドの送信 (RSH) Remo±e Shell Protocol port f ロ「 stderr default ( as comrnand output> クライアントでのユーザー名→ Remote user kabu サーバーでのユーザー名→ Local Llser usagi サーバーで実行するコマンドー・ Comrnand rcp -f SYUSYU .tKt 0 圓圓圓 6 日 6 1 お 2 75 圓 7 5 ア 3 61 63 圓 7 2 6 3 間 2 0 : abu. 凵雪 & 引 . rcp 0 圓圓川 20 20 59 79 75 73 葯 2E 7 4 79 74 囲 -f Syusyu. {気 . 認証に使われるユーザー名や実行するコマンドはネットワーク上をクリアテキストで流れる図 8 アクセスの許可と拒否 (RSH) 認証に成功してアクセスが許可された通イスマアドレス 1 ママアドレス 2 プロトコルマサマリ「 3 cl i ent RSH 0pen and Remote lJse を kabu , Command- -f SYUSYU. xt server 3 client RSH Aut henti cati on OK I¯ 3 c Ⅱ ent RSH Open - 物・ server 一三ロ回区ストリム <rcp 上 nc 〉日 ote She Ⅱ Protocol Response 0 aut henti cat i on OK 圓圓圓 0 認証に失敗してアクセスが拒否された通信ロ睡ー白ー住斗も副スマアドレス 1 ママアドレス 2 マプロトコルマサマリ「 2 c Ⅱ ent RSH Open and Remot e Llse r: kabu , Comman& -f Syusyu. txt server 2 client RSH Error: permission denied. 十 server ストリムく「 cp ー信ル enc 〉 Remote Shell Protocol Response f 計引 e r ro r E 「 ro r Message permiSSion den i ed. 圓圓圓 0 70 65 72 6D 63 73 73 63 8F 8E 20 64 65 6E 圏 0 圓圓 10 65 64 2E OA ermission deni ed.. でコマンド command を実行できます。 RSH のコマンド情報 rcp はこの仕組みを利用し、 command に rsh コマンドは、 rcp —f Syusyu. txt rsh 7 ℃〃 ?. 0 ん OS カ C07 〃 . 〃 7. 佖れ d を指定することでサーバー側で rcp コマンドを実行し、フのように言当することで、リモートホスト 7 ℃ m 尻訪。上ァイル転送をおこないます。、一 f " は、リモート側で実行さ 59 UNIX MAGAZ 工 NE 2005.6

9. UNIX MAGAZINE 2005年6月号

図 3 ユーザー名か同じ場合のファイルのコビー user2 の読込みが許可されたファイル使っている場合は、ややネ礬隹な定が必要です。・ . rhosts で hostl からのアクセスを許可する。たとえは図 4 のように、 hostl にログインしている user それでは、具体的な設定とコマンドを確認しておきまし 1 が、 host2 の user2 カ第売み込めるファイルに対して rcp よう。 host2 の userl のホーム・ディレクトリの下に、あを実行すると仮定します。このとき、ユーザーが実行するらかじめ次の内容の . rh 。 sts ファイルを作っておきます。コマンドは次のとおりです。 + host 1 ostl $ rcp user2@host2: /tmp/file . /file hostl 上で userl がファイルをコピーするときは、次の 1 番目の引数、、 user2@host2:/tmp/file" は、 host2 にコマンドを実行します。 user2 としてログインし、 /tmp/file をコピーすることを hostl$ rcp host2: /tmp/file . /file 未します。このとき、 hostl の userl が host2 の user2 として口上記のコマンドは、 host2 上の /tmp/file ファイルをグインすることを許可するかどうかは、 host2 側で決めら hostl ( ローカルホスト ) のカレント・ディレクトリに用 e れます。具体的には、 host2 の user2 のアクセス権限ファという名前でコピーします。イルを参照し、 hostl の userl のアクセスカ第午可されていリモートホスト上のファイルの指定が絶対パスでなけれるかどうかを確認します。ば、ユーザーのホーム・ディレクトリからの相対パスとしそこで、て解釈されます。・ . rhosts は host2 の user2 のホーム・ディレクトリにユーザー名が異なる場合置く LAN 内の複数のホスト間で rcp を実行するとき、どの・ . rhosts で hostl の userl のアクセスを許可するホストでも同じ人物 ( ューザー ) が同じユーザー名を使うとします。 host2 に置く . rhosts の内容は次のとおりです。ように管理されているのなら、アクセス権限の設定は簡単 + hostl userl です。この場合、アクセス権限ファイルにはアクセスを許可するホストの名前を列挙するだけですみます。このようにしかし、同じ人物がホストによって異なるユーザー名をアクセス権限ファイル (userl のフ . rhosts) + hostl userl ローカルホスト host 1 rcp host2:/tmp/file . /file ファイル転送リモートホスト host2 /tmp/file userl の読込みが許可されたファイル図 4 ユーザー名か異なる場合のファイルのコピー userl ローカルホスト host 1 rcp user2@host2:/tmp/fiIe . /file アクセス権限ファイル (user2 の -/. rhosts) + hostl userl ファイル転送リモートホスト host2 /tmp/file host2 の user2 へのアクセスを許可する " という設疋は、 hostl 側でおこなうわけではありませ 56 UN 工 X MAGAZ 工 NE 2005.6

10. UNIX MAGAZINE 2005年6月号

図 5 rcp の通信を 0 ASTEC Eyes —以トリム <rcp - enc 〉 ] ストリム ID マアドレス 1 ママ昌ファイル ( 日編集 ( 印表示 OØキャプチャ 0 モニタ ( M ) ツール (D 設定 0 ウインドウヘルプ凹。ラ LAN ロー睡白住 3 3 3 3 3 3 3 む印アドレス 2 マプロトコルマサマリ Command: rcp 回区 -f Syusyu. t xt c Ⅱ ent c Ⅱ ent 引 i ent c Ⅱ ent c Ⅱ ent c Ⅱ ent 引 i ent 十十 - ト十 server ærver server rve r rve r r serve r RSH RSH RSH RSH RSH RSH Open and Remote lJse r: kabu , Authenticat ion 田 open Command 0 最 put open Command 0 沚 put Open rcp コマンドは RSH プロトコルを使用「 cp の認証と実行するコマンドの送信ファイルのコピー処理 server ル (Syusyu. txt) にアクセスしています。図 5 の、、プロトコル " の欄からも、 RSH プロトコルカ駛われていることが・リモートホストで実行するコマンドの送信ロ心、ロ RSH プロトコルでは、最初に分かります。 58 からの認証情報に対して、 server カ第忍証の成否を返してい信と、拒否した場合の通信の様子を示しています。 client 図 8 は、 RSH サーバーがアクセスを許可した場合の通セスを許可するかどうかを決めます。ーザー名をもとに、アクセス権限ファイルを参照してアク RSH のサーバーは、通信相手のホストと受け取ったユです。・ Local User (usagi) は server でのユーザー名・ Remote User (kabu) は client でのユーザー名らみたリモート / ローカルの区別で、図中の、、 Remote User" と、、 Local User" はサーバーか認証情報とリモートで実行するコマンドが入っています。図 7 は、 client から server へ最初に送られる通信で、 RSH の認譴 & 通信の中身をさらに詳しくみていきましよう。後にファイルのコピー処理をおこないます ( 図 6 ) 。仕組みになっています。 rcp はこの仕組みを利用し、認証をおこなったあと、 2 台のホスト間で任意の通信ができる図 6 rcp の通信シーケンスの詳細 client Remote User, Command 認証とコマンド送信ます。情報要求 open 情報要求 open 情報要求 open Authentication OK 訒証結果 Command Output ファイルの属性情報 Command Output ファイルの内容接続 (TCP) を切断 : TCP の切断処理が続く RSH は認証情報を暗号イヒしないこで図 7 に戻り、 16 進数ダンプの表示を見てください。通信の安翁生の観点からは、認証情報が解読できる形式でネットワークに流れるのは望ましくありません。しかし、 RSH プロトコルではクリアテキストで註正情報カ毓れており、セキュリティ的に弱いことが分かります。 UNIX MAGAZINE 2005.6