src/README.SECURITY

   1 The inetd, rcp, rlogind and rsh directories contain AFS authentication (token)
   2 passing support for their respective utilities. We are not removing these
   3 utilities as some sites may still be using them, but we *strongly discourage*
   4 their use. These utilities don't encrypt user traffic, and they also don't
   5 encrypt the AFS tokens. This means an attacker can capture the data and recover
   6 a valid authentication token, and use it to perform authenticated operations.
   7
   8 Consider foregoing the rcmds altogether and using ssh. You can get Dug Song's
   9 ssh patch to support AFS here:
  10 http://www.monkey.org/~dugsong/ssh-afs/
  11 but you'll also need to install Kerberos 4 for libraries (which isn't a bad
  12 idea anyhow). The KTH implementation includes the AFS helper library libkafs,
  13 and so is desirable:
  14 ftp://ftp.pdc.kth.se/pub/krb/src/
  15
  16 As a side effect, the insecure, but AFS aware ftpd included in AFS can be
  17 replaced by the ftpd included in the above-mentioned Kerberos package, as it
  18 has RFC2228 security extensions.
  19
  20 In any case, carefully consider the security implications before deploying
  21 these utilities.
  22