xhost - Server-Zugriffskontrollprogramm für X
SYNOPSIS
xhost [[+-]name ...]
DESCRIPTION
Das xhost-Programm wird verwendet, um Hostnamen oder Benutzernamen zur Liste hinzuzufügen oder daraus zu entfernen, denen das Herstellen von Verbindungen zum X-Server erlaubt ist. Im Falle von Hosts bietet dies eine rudimentäre Form der Datenschutzkontrolle und -sicherheit. Es ist jedoch nur für eine Einzelarbeitsplatzumgebung (einzelner Benutzer) ausreichend, obwohl es die schlimmsten Missbräuche einschränkt. Umgebungen, die anspruchsvollere Maßnahmen erfordern, sollten den benutzerbasierten Mechanismus implementieren oder die Hooks im Protokoll verwenden, um andere Authentifizierungsdaten an den Server zu übergeben.
OPTIONEN
Xhost akzeptiert die folgenden Befehlszeilenoptionen, die unten beschrieben sind. Aus Sicherheitsgründen dürfen die Optionen, die die Zugriffskontrolle beeinflussen, nur vom "kontrollierenden Host" aus ausgeführt werden. Für Arbeitsplätze ist dies derselbe Computer wie der Server. Für X-Terminals ist es der Login-Host.
-help Gibt eine Hilfemeldung aus.
[+]name Der angegebene Name (das Pluszeichen ist optional) wird der Liste hinzugefügt, denen das Herstellen von Verbindungen zum X-Server erlaubt ist. Der Name kann ein Hostname oder ein vollständiger Name sein (siehe NACHRICHTEN für weitere Details).
-name Der angegebene Name wird aus der Liste derjenigen entfernt, denen das Herstellen von Verbindungen zum Server erlaubt ist. Der Name kann ein Hostname oder ein vollständiger Name sein (siehe NACHRICHTEN für weitere Details). Vorhandene Verbindungen werden nicht unterbrochen, aber neue Verbindungsversuche werden abgelehnt. Beachten Sie, dass die aktuelle Maschine entfernt werden kann; jedoch sind weitere Verbindungen (einschließlich Versuche, sie wieder hinzuzufügen) nicht zulässig. Das Zurücksetzen des Servers (wodurch alle Verbindungen unterbrochen werden) ist der einzige Weg, um lokale Verbindungen wiederherzustellen.
+ Der Zugriff wird für alle gewährt, auch wenn sie nicht auf der Liste stehen (d. h. die Zugriffskontrolle ist deaktiviert).
- Der Zugriff ist nur auf diejenigen beschränkt, die auf der Liste stehen (d. h. die Zugriffskontrolle ist aktiviert).
nichts Wenn keine Befehlszeilenargumente angegeben werden, wird eine Meldung ausgegeben, die angibt, ob die Zugriffskontrolle derzeit aktiviert ist, gefolgt von der Liste derjenigen, denen das Herstellen von Verbindungen erlaubt ist. Dies ist die einzige Option, die von anderen Computern als dem kontrollierenden Host aus verwendet werden darf.
NACHRICHTEN
Ein vollständiger Name hat die Syntax „family:name“, wobei die Familien wie folgt sind:
inet Internethost (IPv4)
inet6 Internethost (IPv6)
dnet DECnet-Host
nis Sichere RPC-Netzwerkname
krb Kerberos V5-Prinzipal
local enthält nur einen Namen, die leere Zeichenkette
si Server-interpretiert
Die Familie ist nicht zwischen Groß- und Kleinschreibung zu unterscheiden. Das Format des Namens variiert je nach Familie.
Wenn Secure RPC verwendet wird, kann der netzwerkunabhängige Netto-Name (z. B. „nis:unix.uid@domainname“) angegeben werden, oder ein lokaler Benutzer kann nur mit dem Benutzernamen und einem nachgestellten At-Zeichen angegeben werden (z. B. „nis:pat@“).
Zur Abwärtskompatibilität mit vor-R6-Versionen von xhost werden Namen, die ein At-Zeichen (@) enthalten, als Teil der NIS-Familie behandelt. Andernfalls werden sie als Internetadressen behandelt. Wenn es mit Unterstützung für IPv6 kompiliert ist, werden alle IPv4- und IPv6-Adressen, die von getaddrinfo(3) zurückgegeben werden, der entsprechenden inet- oder inet6-Familie der Zugriffsliste hinzugefügt.
Die lokale Familie gibt alle lokalen Verbindungen gleichzeitig an. Der serverseitig interpretierte Adresstyp „si:localuser:username“ kann jedoch verwendet werden, um einen einzelnen lokalen Benutzer anzugeben. (Weitere Details finden Sie auf der Xsecurity(7)-Handbuchseite.)
Serverseitig interpretierte Adressen bestehen aus einem (Groß-/Kleinschreibung beachtenden) Typ-Tag und einer Zeichenkette, die einen bestimmten Wert darstellt, getrennt durch einen Doppelpunkt. Zum Beispiel ist „si:hostname:almas“ eine serverseitig interpretierte Adresse vom Typ „hostname“ mit dem Wert „almas“. Weitere Informationen zu den verfügbaren Formen serverseitig interpretierter Adressen finden Sie auf der Xsecurity(7)-Handbuchseite.
Die anfängliche Zugriffsliste für die Anzeige mit der Nummer n kann durch die Datei /etc/Xn.hosts festgelegt werden, wobei n die Anzeigenummer des Servers ist. Einzelheiten finden Sie in Xserver(1).
DIAGNOSTIK
Für jeden Namen, der der Zugriffsliste hinzugefügt wird, wird eine Zeile in der Form „Name wird der Zugriffsliste hinzugefügt“ ausgegeben. Für jeden Namen, der aus der Zugriffsliste entfernt wird, wird eine Zeile in der Form „Name wird aus der Zugriffsliste entfernt“ ausgegeben.
SIEHE AUCH
X(7), Xsecurity(7), Xserver(1), xdm(1), xauth(1), getaddrinfo(3)
UMGEBUNG
DISPLAY, um den Standard-Host und die Standardanzeige zu ermitteln.
FEHLER
Sie können keine Anzeige über die Befehlszeile angeben, da -display ein gültiges Befehlszeilenargument ist (das angibt, dass Sie die Maschine mit dem Namen „display“ aus der Zugriffsliste entfernen möchten).
Der X-Server speichert Netzwerkadressen und nicht Hostnamen, es sei denn, Sie verwenden den serverseitig interpretierten Hostnamens-Typ. Wenn Sie auf irgendeine Weise die Netzwerkadresse eines Hosts ändern, während der Server noch ausgeführt wird, und Sie eine netzwerkadressbasierte Form der Authentifizierung verwenden, muss xhost verwendet werden, um die neue Adresse hinzuzufügen und/oder die alte Adresse zu entfernen.
AUTOREN
Bob Scheifler, MIT Laboratory for Computer Science, Jim Gettys, MIT Project Athena (DEC).