日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.2-RELEASE-K, 8.0-RELEASE-K は、プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.2-RELEASE-K, 8.0-RELEASE-K は、全翻訳済み)
6.4-STABLE-K, 7.2-STABLE-K, 8.0-STABLE-K は現在、 作成中で日々更新されています。 最新の snapshots を元に作成しています。
SKEY.ACCESS(5) FreeBSD File Formats Manual SKEY.ACCESS(5)
名称
skey.access - S/Key パスワード制御テーブル
解説
S/Key パスワード制御テーブル (/etc/skey.access) は login(1) のようなプロ
グラムが使用し、システムアクセスのために UNIX パスワードをいつ使用するか
を決定します。
+o テーブルが存在しない場合は、パスワード制限はありません。ユーザは UNIX
パスワードあるいは S/Key パスワードを入力することができます。
+o テーブルが存在する場合は、明白に記述されている場合のみ UNIX パスワー
ドが許可されます。
+o ただし、システムコンソールからは常に UNIX パスワードは許可されます。
テーブルの書式
テーブルのフォーマットは 1 行当たり 1 ルールです。ルールは順番に検索され
ます。最初に条件が合うルールが見つかったとき、またはテーブルの最後に到達
したとき、検索は終了します。
ルールのフォーマットは次の通りです:
permit 条件 条件 ...
deny 条件 条件 ...
permit と deny の後には 0 個以上の 条件を記述可能です。コメントは `#' で
始まり、行末までコメントになります。空行やコメントのみの行は無視されま
す。
すべての条件が満たされるときにルールがマッチします。条件のないルールは常
に満たされます。例えば、最後のエントリは語 deny のみとなっているかもしれ
ません。
条件
hostname wzv.win.tue.nl
wzv.win.tue.nl というホストからログインしたとき真になります。 警
告の節を参照してください。
internet 131.155.210.0 255.255.255.0
131.155.210 のネットワークからログインしたら真になります。ネット
ワークアドレスとネットマスクは次の書式になります。
internet net mask
mask とのビットごとの論理積が net と等しくなるインターネットアド
レスをホストが持つ場合、式は真になります。 警告の節を参照してくだ
さい。
port ttya
ログインしている端末が /dev/ttya ならば真になります。 UNIX パスワ
ードはシステムコンソールからのログインには常に許されている点は憶
えておいてください。
user uucp
uucp ユーザがログインしようとしたとき真になります。
group wheel
wheel グループとしてログインしようとしたとき真になります。
互換性
過去の互換性のために、 internet というキーワードはネットワークアドレスと
マスクのパターンから省略可能です。
警告
S/Key 制御テーブル (/etc/skey.access) が存在する場合、 S/Key パスワードを
持たないユーザは、 UNIX パスワードの使用が許されるところからのみログイン
が許されます。特に login(1) が擬似 tty (例えば xterm(1) や screen(1) の
中) から起動される場合、コンソールからのログインでもなければネットワーク
からのログインでもないと扱われますので、 S/Key パスワードの使用が義務づけ
られます。このような状況で起動される login(1) は、 S/Key パスワードを持た
ないユーザに対しては必ず失敗します。
いくつかのルール型は、ネットワークを通じて与えられるホスト名やアドレス情
報に依存しています。このことから考えられる、システムに UNIX パスワードを
許させる攻撃の一覧を示します。
ホストアドレス偽造 (ソースルーティング)
侵入者は自分のインタフェースを信頼されているネットワーク内のアドレスとし
て構成し、そのソースアドレスを使用して、被害者に接続します。誤ったクライ
アントアドレスを与えられると、ホストアドレスに基づくルールもしくはアドレ
スから導かれるホスト名に基づくルールを元にして、被害者は間違った結論を導
きます。
対処法:
1. ネットワークからの UNIX パスワードを用いたログインを許さない。
2. ソースルーティング情報を捨てるネットワークソフトウェアを使う (例え
ば、tcp wrapper)。
ほとんどのネットワークサーバはクライアントのネットワークアドレスからクラ
イアントの名前を解決します。それゆえ、次の明らかな攻撃は以下のようになり
ます。
ホスト名偽造 (悪い PTR レコード)
誤ったホスト名を与えられると、ホスト名に基づくルールもしくはホスト名から
導かれるアドレスに基づくルールを元にして、被害者は間違った結論を導きま
す。
対処法:
1. ネットワークからの UNIX パスワードを用いたログインを許さない。
2. ホスト名からクライアントのネットワークアドレスを解決できることを確認
するネットワークソフトウェアを使用する (例えば、tcp wrapper)。
UNIX の login(1) プログラムのように、クライアントのホスト名からクライアン
トのネットワークアドレスを求める必要があるアプリケーションが存在します。
今述べた攻撃に加えて、もう 1 つの可能性があります。
ホストアドレスの偽造 (余分な A レコード)
侵入者はクライアントのホスト名について (もまた)、信頼されたアドレスとして
解決させるためにネームサーバシステムを操作します。
対処法:
1. ネットワークからの UNIX パスワードを用いたログインを許さない。
2. skeyaccess() は他の人が属するネットワークアドレスを無視する。
診断
構文エラーは syslogd(8) に報告されます。エラーが見つかったらそのルールは
スキップされます。
関連ファイル
/etc/skey.access パスワード制御テーブル
作者
Wietse Venema, Eindhoven University of Technology, The Netherlands
FreeBSD 4.7 January 12, 2001 FreeBSD 4.7