Skip to content
PortsDB

Référence des ports

Port 513 (TCP) – rlogin

Service de connexion distante Berkeley hérité utilisant le clair et l'authentification basée sur la confiance via .rhosts.

tcpWell-knownSouvent attaqué

État par défaut

Obsolète et désactivé sur les systèmes modernes, mais encore présent sur les hôtes Unix anciens et dans les images de laboratoire comme Metasploitable.

Attaques courantes

  • Capture d'identifiants et de session en clair par écoute réseau
  • Abus de l'authentification basée sur la confiance via .rhosts et hosts.equiv
  • Connexion sans mot de passe depuis un hôte de confiance usurpé
  • Force brute des identifiants contre le démon rlogin

Durcissement

  • Désactiver complètement rlogin et utiliser SSH (port 22) à la place
  • Retirer rlogind de inetd/xinetd et désinstaller le paquet r-services
  • Bloquer le port 513 entrant sur le pare-feu de périmètre
  • Auditer et supprimer tout fichier de confiance .rhosts et hosts.equiv

Commande nmap

nmap -p513 --script rlogin-brute,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 513 ?

Le port 513 est le port bien connu de rlogin, un r-service Berkeley hérité de connexion distante interactive. Comme ses cousins rexec (512) et rsh (514), il date d'une époque de réseaux de confiance. Il fournit une session de terminal distant et est obsolète au profit de SSH, mais apparaît encore sur les hôtes Unix anciens et les images de laboratoire délibérément vulnérables comme Metasploitable.

Pourquoi c'est important pour la sécurité

rlogin envoie l'intégralité de la session et des identifiants en clair, si bien que quiconque se trouve sur le chemin peut les capturer. Sa faiblesse caractéristique est l'authentification basée sur la confiance : avec une entrée .rhosts ou hosts.equiv, un utilisateur d'un hôte « de confiance » peut se connecter sans aucun mot de passe. Comme cette confiance repose sur des adresses source facilement usurpées, rlogin est l'un des services hérités les plus trivialement abusés.

Comment il est attaqué

Les attaquants écoutent la session en clair pour voler les identifiants, ou usurpent un hôte de confiance pour obtenir une connexion sans mot de passe via .rhosts. Ils mènent aussi une force brute directement contre le démon rlogin. Chacune de ces méthodes donne un shell interactif sur la cible avec un effort minimal.

Liste de durcissement

Désactivez complètement rlogin et utilisez SSH (port 22) pour la connexion distante. Retirez rlogind de inetd/xinetd et désinstallez le paquet r-services. Bloquez le port 513 entrant sur le pare-feu de périmètre, et auditez et supprimez tout fichier .rhosts et hosts.equiv accordant une confiance sans mot de passe. La commande nmap ci-dessus sonde le service et teste l'authentification sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 512Port 514Port 22Port 23

Questions fréquentes

rlogin sur le port 513 est-il sûr ?
Non. rlogin est un r-service Berkeley hérité qui envoie la session et les identifiants en clair et fait confiance aux fichiers .rhosts pour une connexion sans mot de passe. Il est trivialement intercepté et usurpé — utilisez SSH à la place.
Quelle est la différence entre rlogin et Telnet ?
Les deux offrent des terminaux distants en clair, mais rlogin ajoute l'authentification Berkeley basée sur la confiance via .rhosts qui peut autoriser une connexion sans mot de passe. Les deux sont obsolètes au profit de SSH sur le port 22.