xauth – Dienstprogramm für X-Autoritätsdateien
SYNOPSIS
xauth [ -f authfile ] [ -vqibn ] [ Befehl Arg ... ]
DESCRIPTION
Das Programm xauth wird verwendet, um die für die Verbindung mit dem X-Server verwendeten Autorisierungsinformationen zu bearbeiten und anzuzeigen. Dieses Programm wird normalerweise verwendet, um Autorisierungseinträge von einer Maschine zu extrahieren und sie auf einer anderen zusammenzuführen (wie es der Fall ist, wenn Remote-Logins verwendet oder anderen Benutzern Zugriff gewährt wird). Befehle (wie unten beschrieben) können interaktiv, über die xauth-Befehlszeile oder in Skripten eingegeben werden. Beachten Sie, dass dieses Programm den X-Server nicht kontaktiert, außer wenn der Befehl "generate" verwendet wird. Normalerweise wird xauth nicht verwendet, um den Autoritätseintrag in der Datei zu erstellen; das Programm, das den X-Server startet (oft xdm oder startx), erledigt dies.
OPTIONEN
Die folgenden Optionen können mit xauth verwendet werden. Sie können einzeln (z. B. -q -i) angegeben oder kombiniert werden (z. B. -qi).
-f authfile
Diese Option gibt den Namen der zu verwendenden Autorisierungsdatei an. Standardmäßig verwendet xauth die in der Umgebungsvariablen XAUTHORITY angegebene Datei oder .Xauthority im Home-Verzeichnis des Benutzers.
-q Diese Option gibt an, dass xauth im stillen Modus arbeiten und keine nicht angeforderten Statusmeldungen ausgeben soll. Dies ist die Standardeinstellung, wenn ein xauth-Befehl über die Befehlszeile oder wenn die Standardausgabe nicht an ein Terminal weitergeleitet wird.
-v Diese Option gibt an, dass xauth im ausführlichen Modus arbeiten und Statusmeldungen ausgeben soll, die die Ergebnisse verschiedener Operationen anzeigen (z. B. wie viele Datensätze gelesen oder geschrieben wurden). Dies ist die Standardeinstellung, wenn xauth Befehle von seiner Standardeingabe liest und seine Standardausgabe an ein Terminal weitergeleitet wird.
-i Diese Option gibt an, dass xauth alle Sperren der Autorisierungsdatei ignorieren soll. Normalerweise verweigert xauth das Lesen oder Bearbeiten von Autorisierungsdateien, die von anderen Programmen (normalerweise xdm oder einem anderen xauth) gesperrt wurden.
-b Diese Option gibt an, dass xauth versuchen soll, alle Sperren der Autorisierungsdatei aufzuheben, bevor fortgefahren wird. Verwenden Sie diese Option nur, um veraltete Sperren zu entfernen.
-n Diese Option gibt an, dass xauth keine Hostnamen auflösen soll, sondern immer die in der Autorisierungsdatei gespeicherte Hostadresse ausgeben soll.
-V Diese Option zeigt die Versionsnummer des ausführbaren xauth-Programms an.
BEFEHLE
Die folgenden Befehle können verwendet werden, um Autorisierungsdateien zu manipulieren:
add displayname protocolname hexkey
Ein Autorisierungseintrag für das angegebene Display unter Verwendung des angegebenen Protokolls und der Schlüsseldaten wird der Autorisierungsdatei hinzugefügt. Die Daten werden als eine String von Hexadezimalzahlen mit gerader Länge angegeben, wobei jedes Paar ein Oktett darstellt. Die erste Ziffer jedes Paares gibt die höchstwertigen 4 Bits des Oktetts an, und die zweite Ziffer des Paares gibt die niedrigstwertigen 4 Bits an. Beispielsweise würde ein 32-stelliger Hexadezimalschlüssel einen 128-Bit-Wert darstellen. Ein Protokollname, der nur aus einem einzelnen Punkt besteht, wird als Abkürzung für MIT-MAGIC-COOKIE-1 behandelt.
generate displayname protocolname [trusted|untrusted]
[timeout seconds] [group group-id] [data hexdata]
Dieser Befehl ist ähnlich wie add. Der Hauptunterschied besteht darin, dass anstatt dass der Benutzer die Schlüsseldaten angeben muss, eine Verbindung zum Server hergestellt wird, der in displayname angegeben ist, und die SECURITY-Erweiterung verwendet wird, um die zu speichernden Schlüsseldaten aus dem Autorisierungsdatei zu erhalten. Wenn der Server nicht kontaktiert werden kann oder wenn er die SECURITY-Erweiterung nicht unterstützt, schlägt der Befehl fehl. Andernfalls wird ein Autorisierungseintrag für das angegebene Display unter Verwendung des angegebenen Protokolls zur Autorisierungsdatei hinzugefügt. Ein Protokollname, der nur aus einem einzelnen Punkt besteht, wird als Abkürzung für MIT-MAGIC-COOKIE-1 behandelt.
Wenn die Option trusted verwendet wird, haben Clients, die sich unter Verwendung dieser Autorisierung verbinden, uneingeschränkten Zugriff auf das Display, wie üblich. Wenn untrusted verwendet wird, werden Clients, die sich unter Verwendung dieser Autorisierung verbinden, als nicht vertrauenswürdig betrachtet und daran gehindert, Daten zu stehlen oder zu manipulieren, die vertrauenswürdigen Clients gehören. Weitere Informationen zu den für nicht vertrauenswürdige Clients geltenden Einschränkungen finden Sie in der Spezifikation der SECURITY-Erweiterung. Standardmäßig wird untrusted verwendet.
Die Option timeout gibt an, wie lange in Sekunden diese Autorisierung gültig ist. Wenn die Autorisierung länger als diesen Zeitraum ungenutzt bleibt (keine Clients sind damit verbunden), verwirft der Server die Autorisierung, und zukünftige Versuche, sich damit zu verbinden, schlagen fehl. Beachten Sie, dass das vom Server durchgeführte Löschen den Autorisierungseintrag nicht aus der Autorisierungsdatei löscht. Die Standard-Timeout-Zeit beträgt 60 Sekunden.
Die Option group gibt die Anwendungsgruppe an, zu der Clients, die sich mit dieser Autorisierung verbinden, gehören sollen. Weitere Informationen finden Sie in der Spezifikation der Anwendungsgruppen-Erweiterung. Standardmäßig gehören Clients keiner Anwendungsgruppe an.
Die Option data gibt Daten an, die der Server verwenden soll, um die Autorisierung zu generieren. Beachten Sie, dass dies nicht die Daten sind, die in die Autorisierungsdatei geschrieben werden. Die Interpretation dieser Daten hängt vom Autorisierungsprotokoll ab. Die hexdata hat das gleiche Format wie der hexkey, der im Befehl add beschrieben wird. Standardmäßig werden keine Daten gesendet.
[n]extract dateiname displayname...
Autorisierungseinträge für jedes der angegebenen Displays werden in die angegebene Datei geschrieben. Wenn der Befehl nextract verwendet wird, werden die Einträge in einem numerischen Format geschrieben, das für die nicht-binäre Übertragung geeignet ist (z. B. sichere elektronische Post). Die extrahierten Einträge können mit den Befehlen merge und nmerge wieder eingelesen werden. Wenn der Dateiname nur aus einem einzelnen Bindestrich besteht, werden die Einträge in die Standardausgabe geschrieben.
[n]list [displayname...]
Die Autorisierungseinträge für die angegebenen Displays (oder für alle, wenn keine Displays angegeben sind) werden auf der Standardausgabe ausgegeben. Wenn der Befehl nlist verwendet wird, werden die Einträge im numerischen Format ausgegeben, das vom Befehl nextract verwendet wird; andernfalls werden sie im Textformat ausgegeben. Schlüsseldaten werden immer im hexadezimalen Format ausgegeben, das in der Beschreibung des Befehls add angegeben ist.
[n]merge [filename...]
Autorisierungseinträge werden aus den angegebenen Dateien gelesen und in die Autorisierungsdatenbank eingefügt, wobei alle übereinstimmenden vorhandenen Einträge überschrieben werden. Wenn der Befehl nmerge verwendet wird, wird das numerische Format verwendet, das in der Beschreibung des Befehls extract angegeben ist. Wenn ein Dateiname aus einem einzelnen Bindestrich besteht, wird die Standardeingabe gelesen, falls diese noch nicht gelesen wurde.
remove displayname...
Autorisierungseinträge, die den angegebenen Displays entsprechen, werden aus der Autorisierungsdatei entfernt.
source filename
Die angegebene Datei wird als Skript behandelt, das Xauth-Befehle zum Ausführen enthält. Leere Zeilen und Zeilen, die mit einem Rautezeichen (#) beginnen, werden ignoriert. Ein einzelner Bindestrich kann verwendet werden, um die Standardeingabe anzugeben, falls diese noch nicht gelesen wurde.
info Informationen, die die Autorisierungsdatei, die Tatsache, ob Änderungen vorgenommen wurden oder nicht, und die Quelle, aus der die Xauth-Befehle gelesen werden, beschreiben, werden auf der Standardausgabe ausgegeben.
exit Wenn Änderungen vorgenommen wurden, wird die Autorisierungsdatei geschrieben (falls zulässig), und das Programm wird beendet. Das Erreichen des Dateiende wird als impliziter Exit-Befehl behandelt.
quit Das Programm wird beendet, wobei alle Änderungen ignoriert werden. Dies kann auch durch Drücken des Interrupt-Zeichens erreicht werden.
version Dieser Befehl zeigt die Versionsnummer der Xauth-Ausführdatei an.
help [string]
Eine Beschreibung aller Befehle, die mit der angegebenen Zeichenfolge beginnen (oder aller Befehle, wenn keine Zeichenfolge angegeben ist), wird auf der Standardausgabe ausgegeben.
? Eine kurze Liste der gültigen Befehle wird auf der Standardausgabe ausgegeben.
DISPLAY NAMES
Die für die Befehle add, [n]extract, [n]list, [n]merge und remove verwendeten Anzeigenamen haben das gleiche Format wie die Umgebungsvariable DISPLAY und das übliche Argument -display der Befehlszeile. Displayspezifische Informationen (wie z. B. die Bildschirmnummer) sind unnötig und werden ignoriert. Verbindungen innerhalb desselben Rechners (wie z. B. lokale Host-Sockets, Shared Memory und das Internetprotokoll-Hostname localhost) werden als hostname/unix:displaynumber bezeichnet, damit lokale Einträge für verschiedene Rechner in derselben Autorisierungsdatei gespeichert werden können.
EXAMPLE
Der häufigste Anwendungsfall für Xauth ist das Extrahieren des Eintrags für das aktuelle Display, das Kopieren auf einen anderen Rechner und das Einfügen in die Autorisierungsdatei des Benutzers auf dem Remote-Rechner:
% xauth extract - $DISPLAY | ssh otherhost xauth merge
Der folgende Befehl stellt eine Verbindung zum Server :0 her, um eine Autorisierung unter Verwendung des MIT-MAGICCOOKIE-1-Protokolls zu erstellen. Clients, die sich mit dieser Autorisierung verbinden, werden nicht vertrauenswürdig sein. % xauth generate :0 .
UMWELT
Dieses xauth-Programm verwendet die folgenden Umgebungsvariablen:
XAUTHORITY
um den Namen der Autorisierungsdatei zu erhalten, die verwendet werden soll, falls die Option -f nicht verwendet wird.
HOME, um das Home-Verzeichnis des Benutzers zu erhalten, falls XAUTHORITY nicht definiert ist.
DATEIEN
$HOME/.Xauthority
Standard-Autorisierungsdatei, falls XAUTHORITY nicht definiert ist.
SIEHE AUCH
X(7), Xsecurity(7), xhost(1), Xserver(1), xdm(1), startx(1), Xau(3).
FEHLER
Benutzer, die unsichere Netzwerke verwenden, sollten darauf achten, verschlüsselte Dateitransfermechanismen zu verwenden, um Autorisierungseinträge zwischen Maschinen zu kopieren. Ebenso ist das MIT-MAGIC-COOKIE-1-Protokoll nicht sehr nützlich in unsicheren Umgebungen. Websites, die an zusätzlicher Sicherheit interessiert sind, müssen möglicherweise verschlüsselte Autorisierungsmechanismen wie Kerberos verwenden.
Leerzeichen sind derzeit im Protokollnamen nicht erlaubt. Für wirklich pervertierte Fälle könnte die Möglichkeit der Verwendung von Anführungszeichen hinzugefügt werden.
AUTOR
Jim Fulton, MIT X Consortium