xauth - Utilidad para archivos de autoridad X
SINOPSIS
xauth [ -f archivo_autoridad ] [ -vqibn ] [ comando argumento ... ]
DESCRIPCIÓN
El programa xauth se utiliza para editar y mostrar la información de autorización utilizada para conectarse al servidor X. Este programa se utiliza normalmente para extraer registros de autorización de una máquina y combinarlos en otra (como es el caso cuando se utilizan sesiones remotas o se concede acceso a otros usuarios). Los comandos (descritos a continuación) se pueden introducir de forma interactiva, en la línea de comandos de xauth o en scripts. Tenga en cuenta que este programa no se comunica con el servidor X, excepto cuando se utiliza el comando generate. Normalmente, xauth no se utiliza para crear la entrada del archivo de autoridad en primer lugar; el programa que inicia el servidor X (a menudo xdm o startx) lo hace.
OPCIONES
Las siguientes opciones se pueden utilizar con xauth. Se pueden especificar individualmente (por ejemplo, -q -i) o se pueden combinar (por ejemplo, -qi).
-f archivo_autoridad
Esta opción especifica el nombre del archivo de autoridad que se va a utilizar. Por defecto, xauth utilizará el archivo especificado por la variable de entorno XAUTHORITY o .Xauthority en el directorio de inicio del usuario.
-q Esta opción indica que xauth debe funcionar de forma silenciosa y no imprimir mensajes de estado no solicitados.
Este es el valor por defecto si se proporciona un comando xauth en la línea de comandos o si
la salida estándar no se dirige a un terminal.
-v Esta opción indica que xauth debe funcionar de forma detallada e imprimir mensajes de estado que indiquen
los resultados de varias operaciones (por ejemplo, cuántos registros se han leído o
escrito). Este es el valor por defecto si xauth está leyendo comandos desde su entrada estándar
y su salida estándar se dirige a un terminal.
-i Esta opción indica que xauth debe ignorar cualquier bloqueo de archivo de autoridad. Normalmente, xauth
se negará a leer o editar cualquier archivo de autoridad que haya sido bloqueado por otros programas
(normalmente xdm u otro xauth).
-b Esta opción indica que xauth debe intentar eliminar cualquier bloqueo de archivo de autoridad antes de
continuar. Utilice esta opción solo para limpiar bloqueos obsoletos.
-n Esta opción indica que xauth no debe intentar resolver ningún nombre de host, sino que debe
simplemente imprimir siempre la dirección del host tal como se almacena en el archivo de autoridad.
-V Esta opción muestra el número de versión del ejecutable xauth.
COMANDOS
Los siguientes comandos se pueden utilizar para manipular los archivos de autoridad:
add nombre_visualización nombre_protocolo clave_hexadecimal
Se añade una entrada de autorización para la visualización especificada utilizando el protocolo y la clave proporcionados al archivo de autorización. Los datos se especifican como una cadena de longitud par de dígitos hexadecimales, cada par representando un octeto. El primer dígito de cada par proporciona los 4 bits más significativos del octeto, y el segundo dígito del par proporciona los 4 bits menos significativos. Por ejemplo, una clave hexadecimal de 32 caracteres representaría un valor de 128 bits. Un nombre de protocolo que consiste en un solo punto se trata como una abreviatura de MIT-MAGIC-COOKIE-1.
generate nombre_visualización nombre_protocolo [confiable|no confiable]
[tiempo_de_espera segundos] [grupo id_grupo] [datos datos_hexadecimales]
Este comando es similar a add. La principal diferencia es que, en lugar de requerir que el usuario proporcione los datos de la clave, se conecta al servidor especificado en nombre_visualización y utiliza la extensión SECURITY para obtener los datos de la clave que se van a almacenar en el archivo de autorización. Si no se puede contactar con el servidor o si no admite la extensión SECURITY, el comando falla. De lo contrario, se añade una entrada de autorización para la visualización indicada utilizando el protocolo dado al archivo de autoridad. Un nombre de protocolo que consiste en un solo punto se trata como una abreviatura de MIT-MAGIC-COOKIE-1.
Si se utiliza la opción confiable, los clientes que se conecten utilizando esta autorización tendrán acceso total a la visualización, como de costumbre. Si se utiliza no confiable, los clientes que se conecten utilizando esta autorización se considerarán no confiables y se les impedirá robar o manipular datos pertenecientes a clientes confiables. Consulte la especificación de la extensión SECURITY para obtener más detalles sobre las restricciones impuestas a los clientes no confiables. El valor por defecto es no confiable.
La opción tiempo_de_espera especifica durante cuántos segundos será válida esta autorización. Si la autorización permanece sin utilizar (ningún cliente está conectado con ella) durante más de este período de tiempo, el servidor purga la autorización y los intentos posteriores de conectarse utilizando ella fallarán. Tenga en cuenta que el proceso de purga realizado por el servidor no elimina la entrada de autorización del archivo de autoridad. El tiempo de espera por defecto es de 60 segundos.
La opción grupo especifica el grupo de aplicaciones al que deben pertenecer los clientes que se conecten con esta autorización. Consulte la especificación de la extensión de grupo de aplicaciones para obtener más detalles. El valor por defecto es no pertenecer a un grupo de aplicaciones.
La opción datos especifica los datos que el servidor debe utilizar para generar la autorización. Tenga en cuenta que esto no es lo mismo que los datos que se escriben en el archivo de autoridad. La interpretación de estos datos depende del protocolo de autorización. Los datos hexadecimales tienen el mismo formato que la clave hexadecimal descrita en el comando add. El valor por defecto es no enviar datos.
[n]extract nombre_archivo nombre_visualización...
Las entradas de autorización para cada una de las visualizaciones especificadas se escriben en el archivo indicado. Si se utiliza el comando nextract, las entradas se escriben en un formato numérico adecuado para la transmisión no binaria (como el correo electrónico seguro). Las entradas extraídas se pueden volver a leer utilizando los comandos merge y nmerge. Si el nombre del archivo consiste en un solo guión, las entradas se escribirán en la salida estándar.
[n]list [nombre_visualización...]
Las entradas de autorización para cada una de las visualizaciones especificadas (o todas si no se nombran visualizaciones) se imprimen en la salida estándar. Si se utiliza el comando nlist, las entradas se mostrarán en el formato numérico utilizado por el comando nextract; de lo contrario, se mostrarán en un formato de texto. Los datos de la clave siempre se muestran en el formato hexadecimal dado en la descripción del comando add.
[n]merge [nombre_archivo...]
Las entradas de autorización se leen desde los archivos especificados y se combinan en la base de datos de autorización, reemplazando cualquier entrada existente que coincida. Si se utiliza el comando nmerge, se utiliza el formato numérico dado en la descripción del comando extract. Si un nombre de archivo consiste en un solo guión, la entrada estándar se leerá si no se ha leído antes.
remove nombre_visualización...
Las entradas de autorización que coincidan con las visualizaciones especificadas se eliminan del archivo de autoridad.
source nombre_archivo
El archivo especificado se trata como un script que contiene comandos xauth que se van a ejecutar. Se ignoran las líneas en blanco y las líneas que comienzan con un signo de almohadilla (#). Se puede utilizar un solo guión para indicar la entrada estándar, si aún no se ha leído.
info Se imprime en la salida estándar información que describe el archivo de autoridad, si se han realizado cambios y de dónde se están leyendo los comandos xauth.
exit Si se han realizado modificaciones, el archivo de autoridad se escribe (si está permitido) y el programa sale. El final del archivo se trata como un comando exit implícito.
quit El programa sale, ignorando cualquier modificación. Esto también se puede lograr presionando el carácter de interrupción.
version Este comando muestra el número de versión del ejecutable xauth.
help [cadena]
Se imprime en la salida estándar una descripción de todos los comandos que comienzan con la cadena.
NOMBRES DE PANTALLA
Los nombres de pantalla para los comandos add, [n]extract, [n]list, [n]merge y remove utilizan el mismo formato que la variable de entorno DISPLAY y el argumento de línea de comandos común -display. La información específica de la pantalla (como el número de pantalla) no es necesaria y se ignorará. Las conexiones en la misma máquina (como los sockets de localhost, la memoria compartida y el nombre de host del protocolo de Internet localhost) se denominan hostname/unix:displaynumber para que se puedan almacenar entradas locales para diferentes máquinas en un único archivo de autorización.
EJEMPLO
El uso más común de xauth es extraer la entrada para la pantalla actual, copiarla a otra máquina y fusionarla en el archivo de autorización del usuario en la máquina remota:
% xauth extract - $DISPLAY | ssh otherhost xauth merge
El siguiente comando contacta con el servidor :0 para crear una autorización utilizando el protocolo MIT-MAGIC-COOKIE-1. Los clientes que se conecten con esta autorización no serán de confianza. % xauth generate :0 .
ENTORNO
Este programa xauth utiliza las siguientes variables de entorno:
XAUTHORITY
para obtener el nombre del archivo de autorización que se utilizará si no se utiliza la opción -f.
HOME para obtener el directorio de inicio del usuario si no se define XAUTHORITY.
ARCHIVOS
$HOME/.Xauthority
archivo de autorización predeterminado si no se define XAUTHORITY.
VER TAMBIÉN
X(7), Xsecurity(7), xhost(1), Xserver(1), xdm(1), startx(1), Xau(3).
ERRORES
Los usuarios que tengan redes inseguras deben tener cuidado de utilizar mecanismos de transferencia de archivos cifrados para copiar las entradas de autorización entre máquinas. De forma similar, el protocolo MIT-MAGIC-COOKIE-1 no es muy útil en entornos inseguros. Los sitios que estén interesados en una seguridad adicional pueden necesitar utilizar mecanismos de autorización cifrados, como Kerberos.
Actualmente, no se permiten espacios en el nombre del protocolo. Se podría añadir la posibilidad de utilizar comillas para los casos más extremos.
AUTOR
Jim Fulton, MIT X Consortium