xhost - programme de contrôle d'accès au serveur X
SYNTAXE
xhost [[+-]nom ...]
DESCRIPTION
Le programme xhost est utilisé pour ajouter et supprimer des noms d'hôtes ou des noms d'utilisateurs à la liste autorisée à établir des connexions au serveur X. Dans le cas des hôtes, cela fournit une forme rudimentaire de contrôle de la confidentialité et de la sécurité. Cela ne suffit que pour un environnement de poste de travail (utilisateur unique), bien que cela limite les abus les plus graves. Les environnements qui nécessitent des mesures plus sophistiquées doivent mettre en œuvre le mécanisme basé sur l'utilisateur ou utiliser les points d'ancrage du protocole pour transmettre d'autres données d'authentification au serveur.
OPTIONS
Xhost accepte les options de ligne de commande suivantes, décrites ci-dessous. Pour des raisons de sécurité, les options qui affectent le contrôle d'accès ne peuvent être exécutées que depuis l'« hôte de contrôle ». Pour les postes de travail, il s'agit de la même machine que le serveur. Pour les terminaux X, il s'agit de l'hôte de connexion.
-help Affiche un message d'utilisation.
[+]nom Le nom donné (le signe plus est facultatif) est ajouté à la liste des éléments autorisés à se connecter au serveur X. Le nom peut être un nom d'hôte ou un nom complet (voir la section NOMS pour plus de détails).
-nom Le nom donné est supprimé de la liste des éléments autorisés à se connecter au serveur. Le nom peut être un nom d'hôte ou un nom complet (voir la section NOMS pour plus de détails). Les connexions existantes ne sont pas interrompues, mais les nouvelles tentatives de connexion seront refusées. Notez que la machine actuelle peut être supprimée ; cependant, les connexions ultérieures (y compris les tentatives de l'ajouter à nouveau) ne seront pas autorisées. La seule façon de permettre à nouveau les connexions locales est de réinitialiser le serveur (ce qui interrompra toutes les connexions).
+ L'accès est accordé à tous, même s'ils ne figurent pas dans la liste (c'est-à-dire que le contrôle d'accès est désactivé).
- L'accès est limité uniquement aux éléments de la liste (c'est-à-dire que le contrôle d'accès est activé).
rien Si aucun argument de ligne de commande n'est fourni, un message indiquant si le contrôle d'accès est actuellement activé ou non est affiché, suivi de la liste des éléments autorisés à se connecter. C'est la seule option qui peut être utilisée à partir de machines autres que l'hôte de contrôle.
NOMS
Un nom complet a la syntaxe « famille:nom », où les familles sont les suivantes :
inet Hôte Internet (IPv4)
inet6 Hôte Internet (IPv6)
dnet Hôte DECnet
nis Nom de réseau Secure RPC
krb Principal Kerberos V5
local Ne contient qu'un seul nom, la chaîne vide
si Interprété par le serveur
Le nom de la famille n'est pas sensible à la casse. Le format du nom varie en fonction de la famille.
Lors de l'utilisation de Secure RPC, le nom de réseau indépendant du réseau (par exemple, « nis:unix.uid@domainname ») peut être spécifié, ou un utilisateur local peut être spécifié avec seulement le nom d'utilisateur et un signe arobase à la fin (par exemple, « nis:pat@ »).
Pour assurer la compatibilité avec xhost des versions antérieures à R6, les noms contenant un arobase (@) sont considérés comme appartenant à la famille NIS. Sinon, ils sont considérés comme des adresses Internet. Si le programme est compilé pour prendre en charge IPv6, toutes les adresses IPv4 et IPv6 renvoyées par getaddrinfo(3) sont ajoutées à la liste de contrôle d'accès dans la famille inet ou inet6 appropriée.
La famille locale spécifie toutes les connexions locales en une seule fois. Cependant, l'adresse interprétée par le serveur « si:localuser:username » peut être utilisée pour spécifier un seul utilisateur local. (Voir la page de manuel Xsecurity(7) pour plus de détails.)
Les adresses interprétées par le serveur consistent en une étiquette de type sensible à la casse et une chaîne représentant une valeur donnée, séparées par deux points. Par exemple, « si:hostname:almas » est une adresse interprétée par le serveur de type hostname, avec une valeur de almas. Pour plus d'informations sur les formes disponibles des adresses interprétées par le serveur, voir la page de manuel Xsecurity(7).
La liste de contrôle d'accès initiale pour le numéro d'affichage n peut être définie par le fichier /etc/Xn.hosts, où n est le numéro d'affichage du serveur. Voir Xserver(1) pour plus de détails.
DIAGNOSTIQUES
Pour chaque nom ajouté à la liste de contrôle d'accès, une ligne de la forme « nom en cours d'ajout à la liste de contrôle d'accès » est affichée. Pour chaque nom supprimé de la liste de contrôle d'accès, une ligne de la forme « nom en cours de suppression de la liste de contrôle d'accès » est affichée.
VOIR AUSSI
X(7), Xsecurity(7), Xserver(1), xdm(1), xauth(1), getaddrinfo(3)
ENVIRONNEMENT
DISPLAY pour obtenir l'hôte et l'affichage par défaut à utiliser.
BOGUES
Vous ne pouvez pas spécifier un affichage sur la ligne de commande, car -display est un argument de ligne de commande valide (indiquant que vous souhaitez supprimer la machine nommée « display » de la liste de contrôle d'accès).
Le serveur X stocke des adresses réseau, et non des noms d'hôte, sauf si vous utilisez le type d'adresse interprétée par le serveur hostname. Si, d'une manière ou d'une autre, vous modifiez l'adresse réseau d'un hôte alors que le serveur est toujours en cours d'exécution, et que vous utilisez une forme d'authentification basée sur l'adresse réseau, vous devez utiliser xhost pour ajouter la nouvelle adresse et/ou supprimer l'ancienne adresse.
AUTEURS
Bob Scheifler, MIT Laboratory for Computer Science, Jim Gettys, MIT Project Athena (DEC).