Catch up with 5.2-CURRENT-20040625-JPSNAP

Reviewed by:   Watanabe Kazuhiro <CQG00620@nifty.ne.jp>
Approved by:   kuriyama (mentor/implicitly)

ja_JP.eucJP/man/man7/build.7

@@ -22,7 +22,7 @@
 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
 .\" SUCH DAMAGE.
 .\"
-.\" %FreeBSD: src/share/man/man7/build.7,v 1.24 2003/11/16 15:16:19 simon Exp %
+.\" %FreeBSD: src/share/man/man7/build.7,v 1.25 2004/06/16 08:33:56 ru Exp %
 .\"
 .\" $FreeBSD$
 .Dd March 15, 2002
@@ -149,7 +149,7 @@ makefile
 make buildworld
 make buildkernel KERNCONF=FOO
 make installkernel KERNCONF=FOO
-.Aq 新規カーネルをシングルユーザモードでリブート
+<新規カーネルをシングルユーザモードでリブート>
 make installworld
 mergemaster
 .Ed

ja_JP.eucJP/man/man7/firewall.7

@@ -2,7 +2,7 @@
 .\" the BSD Copyright as specified in the file "/usr/src/COPYRIGHT" in
 .\" the source tree.
 .\"
-.\" %FreeBSD: src/share/man/man7/firewall.7,v 1.18 2003/04/26 09:30:34 brueffer Exp %
+.\" %FreeBSD: src/share/man/man7/firewall.7,v 1.19 2004/06/16 08:33:56 ru Exp %
 .\" $FreeBSD$
 .Dd May 26, 2001
 .Dt FIREWALL 7
@@ -353,8 +353,8 @@ add 06000 deny all from any to any
 .Xr dummynet 4 ,
 .Xr ipnat 5 ,
 .Xr rc.conf 5 ,
-.Xr smb.conf 5 [ /usr/ports/net/samba ] ,
+.Xr smb.conf 5 Pq Pa ports/net/samba ,
-.Xr samba 7 [ /usr/ports/net/samba ] ,
+.Xr samba 7 Pq Pa ports/net/samba ,
 .Xr config 8 ,
 .Xr ipfw 8 ,
 .Xr jail 8 ,

ja_JP.eucJP/man/man7/hier.7

@@ -30,10 +30,10 @@
 .\" SUCH DAMAGE.
 .\"
 .\"	@(#)hier.7	8.1 (Berkeley) 6/5/93
-.\" %FreeBSD: src/share/man/man7/hier.7,v 1.97 2004/04/14 16:06:19 harti Exp %
+.\" %FreeBSD: src/share/man/man7/hier.7,v 1.103 2004/06/21 14:43:09 mpp Exp %
 .\"
 .\" $FreeBSD$
-.Dd June 5, 1993
+.Dd June 13, 2004
 .Dt HIER 7
 .Os
 .Sh 名称
@@ -41,7 +41,7 @@
 .Nd ファイルシステムのレイアウト
 .Sh 解説
 ファイルシステムの階層構成についての概略です。
-.Bl -tag -width "/stand/"
+.Bl -tag -width ".Pa /libexec/"
 .It Pa /
 ファイルシステムのルートディレクトリ。
 .It Pa /bin/
@@ -51,7 +51,7 @@
 オペレーティングシステムのブートストラップ中に使用される
 プログラムと設定ファイル。
 .Pp
-.Bl -tag -width defaults/ -compact
+.Bl -tag -width ".Pa defaults/" -compact
 .It Pa defaults/
 デフォルトのブートストラップ用設定ファイル。
 .Xr loader.conf 5
@@ -92,7 +92,7 @@ CD-ROM
 .It Pa /etc/
 システムの設定ファイル、およびスクリプト。
 .Pp
-.Bl -tag -width "disklabels/" -compact
+.Bl -tag -width ".Pa defaults/" -compact
 .It Pa defaults/
 デフォルトのシステム設定ファイル。
 .Xr rc 8
@@ -149,6 +149,12 @@ OpenSSL
 と
 .Pa /sbin
 のバイナリに必要な、重要なシステムライブラリ。
+.Pp
+.Bl -tag -width ".Pa geom/" -compact
+.It Pa geom/
+.Xr geom 8
+ユーティリティ用のクラス特有のライブラリ。
+.El
 .It Pa /libexec/
 .Pa /bin
 と
@@ -178,7 +184,7 @@ root
 .It Pa /usr/
 ユーザ用ユーティリティ、およびアプリケーションの大部分を含む。
 .Pp
-.Bl -tag -width "libdata/" -compact
+.Bl -tag -width ".Pa libdata/" -compact
 .It Pa bin/
 一般的なユーティリティ、プログラミングツール、アプリケーション。
 .It Pa compat/
@@ -191,7 +197,9 @@ Linux
 .It Pa include/
 標準 C 言語インクルードファイル。
 .Pp
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
+.It Pa altq/
+ALTQ 用の C 言語インクルードファイル。
 .It Pa arpa/
 インターネットサービスプロトコルのための C 言語インクルードファイル。
 .It Pa bsnmp/
@@ -199,7 +207,7 @@ SNMP
 .It Pa cam/
 Common Access Methods Layer 用
 C インクルードファイル。
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa scsi/
 CAM 上の SCSI デバイス。
 .El
@@ -207,7 +215,7 @@ CAM
 様々な
 .Fx
 デバイスのプログラミング用の C インクルードファイル。
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa ic/
 ドライバ/バス独立なハードウェア回路を記述する、様々なヘッダファイル。
 .It Pa ofw/
@@ -227,7 +235,7 @@ ATM
 WaveLAN ドライバ。
 .El
 .It Pa fs/
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa fdescfs/
 プロセス毎のファイル記述子ファイルシステム。
 .It Pa fifofs/
@@ -256,14 +264,27 @@ uid/gid
 .El
 .It Pa g++/
 GNU C++ 言語インクルードファイル。
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa std/
 GNU C++ 言語 libstdc++ インクルードファイル。
 .El
+.It Pa geom/
+GEOM フレームワーク。
+.Bl -tag -width ".Pa kerberos5/" -compact
+.It Pa concat/
+CONCAT GEOM クラス。
+.It Pa gate/
+GATE GEOM クラス。
+.It Pa nop/
+NOP GEOM クラス。
+.It Pa stripe/
+STRIPE GEOM クラス。
+.El
+.Pp
 .It Pa isc/
 ISC ユーティリティライブラリ libisc インクルードファイル。
 .It Pa isofs/
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa cd9660/
 iso9660 形式ファイルシステム。
 .El
@@ -335,7 +356,7 @@ PAM
 .\" Tcl 言語。
 .\" .Xr Tcl n
 .\" 参照。
-.\" .Bl -tag -width "kerberos5/" -compact
+.\" .Bl -tag -width ".Pa kerberos5/" -compact
 .\" .It Pa generic/
 .\" ???
 .\" .It Pa unix/
@@ -343,7 +364,7 @@ PAM
 .\" .El
 .It Pa ufs/
 UFS (U-word File System) 用 C 言語インクルードファイル。
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa ffs/
 Fast filesystem。
 .It Pa ufs/
@@ -431,7 +452,7 @@ ports
 .It Pa share/
 アーキテクチャに依存しないファイル。
 .Pp
-.Bl -tag -width "calendar/" -compact
+.Bl -tag -width ".Pa calendar/" -compact
 .It Pa calendar/
 事前に組み立てられた calendar ファイルいろいろ。
 .Xr calendar 1
@@ -566,7 +587,7 @@ MIB
 syscons が使用するファイル。
 .Xr syscons 4
 参照。
-.Bl -tag -width "scrnmaps/xx" -compact
+.Bl -tag -width ".Pa scrnmaps/" -compact
 .It Pa fonts/
 コンソールフォント。
 .Xr vidcontrol 1
@@ -604,7 +625,7 @@ syscons
 .Bx
 とサードパーティとローカルのソースファイル。
 .Pp
-.Bl -tag -width "kerberos5/" -compact
+.Bl -tag -width ".Pa kerberos5/" -compact
 .It Pa bin/
 /bin 内のファイルのソース。
 .It Pa contrib/
@@ -648,7 +669,7 @@ Kerberos version 5
 .It Pa X11R6/
 X11R6 配布パッケージの実行可能形式ファイル、ライブラリなど
 (オプション扱い)。
-.Bl -tag -width "include/" -compact
+.Bl -tag -width ".Pa include/" -compact
 .It Pa bin/
 X11R6 のバイナリ (サーバ、ユーティリティ、ローカルな packages/ports)。
 .It Pa etc/
@@ -667,7 +688,7 @@ X11R6
 さまざまな用途のログファイル、一時ファイル、遷移的ファイル、
 スプールファイル。
 .Pp
-.Bl -tag -width "preserve/" -compact
+.Bl -tag -width ".Pa preserve/" -compact
 .It Pa account/
 システムアカウンティングファイル。
 .Pp
@@ -682,7 +703,7 @@ X11R6
 指定した時間に動くコマンドのスケジュールファイル。
 .Xr \&at 1
 参照。
-.Bl -tag -width "preserve/" -compact
+.Bl -tag -width ".Pa preserve/" -compact
 .It Pa jobs/
 ジョブファイルを含むディレクトリ。
 .It Pa spool/
@@ -701,7 +722,7 @@ X11R6
 cron が使用するファイル。
 .Xr cron 8
 参照。
-.Bl -tag -width "preserve/" -compact
+.Bl -tag -width ".Pa preserve/" -compact
 .It Pa tabs/
 crontab ファイル。
 .Xr crontab 5

ja_JP.eucJP/man/man7/ports.7

@@ -23,10 +23,10 @@
 .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
 .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 .\"
-.\" %FreeBSD: src/share/man/man7/ports.7,v 1.41 2003/11/12 08:26:08 brueffer Exp %
+.\" %FreeBSD: src/share/man/man7/ports.7,v 1.45 2004/06/16 07:29:21 krion Exp %
 .\"
 .\" $FreeBSD$
-.Dd January 25, 1998
+.Dd June 16, 2004
 .Dt PORTS 7
 .Os
 .Sh 名称
@@ -113,6 +113,11 @@ port
 .Cm install
 を指定するだけでよいはずです。
 .Bl -tag -width ".Cm configure"
+.It Cm config
+.Xr dialog 1
+を使用して、この port の
+.Va OPTIONS
+を設定します。
 .It Ar fetch
 .Va MASTER_SITES
 と
@@ -170,8 +175,16 @@ package
 .Pp
 次のターゲットは、通常のインストールプロセスでは実行されません。
 .Bl -tag -width ".Cm fetch-recursive"
+.It Cm showconfig
+この port の
+.Va OPTIONS
+設定を表示します。
+.It Cm rmconfig
+この port の
+.Va OPTIONS
+設定を削除します。
 .It Cm fetch-list
-この port を構築するために取得が必要なファイルのリストを表示します。
+この port を構築するために取得されるファイルのリストを表示します。
 .It Cm fetch-recursive
 この port と依存するものの distfile を取得します。
 .It Cm fetch-recursive-list
@@ -236,11 +249,25 @@ package
 .Pa INDEX
 ファイルを、
 .Cm key
-(port の名前、コメント、依存を調べます) または
+(port の名前、コメント、依存関係を調べます)、
 .Cm name
-(port の名前のみを調べます) の
+(port の名前のみを調べます)、
+.Va path
+(port のパスを調べます)、
+.Va info
+(port の情報を調べます)、
+.Va maint
+(port のメンテナを調べます)、
+.Va cat
+(port のカテゴリを調べます)、
+.Va bdeps
+(port の構築依存関係を調べます)、
+.Va rdeps
+(port の実行依存関係を調べます) などの
 .Xr make 1
-変数で指定されたパターンで検索します。
+変数や、その逆の意味をもつ
+.Va xname , xkey
+などで指定されたパターンで検索します。
 例えば、次のように入力します:
 .Pp
 .Dl "cd /usr/ports && make search name=query"
@@ -250,6 +277,36 @@ package
 に適合するものが探されます。
 結果には、適合する ports のパス、コメント、メンテナ、構築依存、実行依存が
 含まれます。
+.Bd -literal -offset indent
+cd /usr/ports && make search name=pear- \e
+    xbdeps=apache
+.Ed
+.Pp
+名前に
+.Dq Li pear-
+を含み、apache が構築依存関係に含まれていないすべての ports を検索します。
+.Bd -literal -offset indent
+cd /usr/ports && make search name=pear- \e
+    xname='ht(tp|ml)'
+.Ed
+.Pp
+名前に
+.Dq Li pear-
+を含みますが、
+.Dq Li html
+や
+.Dq Li http
+は含まないすべての ports を検索します。
+.Bd -literal -offset indent
+make search key=apache display=name,path,info keylim=1
+.Ed
+.Pp
+.Dq Li apache
+が名前、パス、情報フィールドのどれかに含まれるすべての ports を検索します。
+他のレコードは無視します。
+.It Cm describe
+.Pa INDEX
+ファイル中で使用される、各 port の 1 行説明を生成します。
 .It Cm index
 .Pa /usr/ports/INDEX
 を作成します。
@@ -258,13 +315,15 @@ package
 および
 .Cm search
 のターゲットで使用されます。
-CVS リポジトリのマスタ
-.Pa INDEX
-ファイルは定期的に更新されますが、
 .Cm index
 ターゲットを実行することで、
 .Pa INDEX
 ファイルが ports ツリーに対して最新であることを保証します。
+.It Cm fetchindex
+.Fx
+クラスタから
+.Pa INDEX
+ファイルを取得します。
 .El
 .Sh 環境変数
 これら環境変数のすべてを変更することができます。
@@ -347,6 +406,17 @@ package
 .It Va BATCH
 これが設定されている場合、100% 自動的にインストールできる port にのみ
 動作します。
+.It Va OPTIONS
+定義されている場合、この port が受け付ける
+.Va WITH_*
+オプションのリストです。
+.Em 注意 :
+.Va OPTIONS
+が実際にちゃんと動作するには、
+.Va WITH_*
+変数をテストし始める前に
+.Pa bsd.port.pre.mk
+をインクルードする必要があります。
 .El
 .Sh 関連ファイル
 .Bl -tag -width ".Pa /usr/ports/Mk/bsd.port.mk" -compact

ja_JP.eucJP/man/man7/release.7

@@ -22,7 +22,7 @@
 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
 .\" SUCH DAMAGE.
 .\"
-.\" %FreeBSD: src/share/man/man7/release.7,v 1.35 2004/01/28 21:07:36 jhb Exp %
+.\" %FreeBSD: src/share/man/man7/release.7,v 1.38 2004/06/21 14:43:09 mpp Exp %
 .\" $FreeBSD$
 .\"
 .\" WORD: clean system	まっさらのシステム[release.7]
@@ -293,6 +293,28 @@ CVS
 .It Va MAKE_ISOS
 これを定義した場合、CD-ROM ステージのディレクトリの内容から、
 ブータブル ISO CD-ROM イメージを生成します。
+.It Va DISC1_LABEL
+disc1 の内容から生成される CD-ROM 用に使われるラベルです。
+デフォルトは
+.Dq Li fbsd_miniinst
+です。
+.It Va DISC1_NAME
+disc1 の内容から生成される CD-ROM の ISO の
+ファイル名の一部として使用される名前です。
+デフォルトは
+.Dq Li miniinst
+です。
+.It Va DISC2_LABEL
+disc2 の内容から生成される CD-ROM 用に使われるラベルです。
+デフォルトは
+.Dq Li fbsd_livefs
+です。
+.It Va DISC2_NAME
+disc2 の内容から生成される CD-ROM の ISO の
+ファイル名の一部として使用される名前です。
+デフォルトは
+.Dq Li disc2
+です。
 .It Va NOCDROM
 定義した場合、CD-ROM ステージのディレクトリを生成しません。
 .It Va NODOC

ja_JP.eucJP/man/man7/security.7

@@ -2,7 +2,7 @@
 .\" the BSD Copyright as specified in the file "/usr/src/COPYRIGHT" in
 .\" the source tree.
 .\"
-.\" %FreeBSD: src/share/man/man7/security.7,v 1.34 2004/02/18 18:52:09 ceri Exp %
+.\" %FreeBSD: src/share/man/man7/security.7,v 1.37 2004/06/15 12:48:50 ru Exp %
 .\"
 .\" $FreeBSD$
 .Dd September 18, 1999
@@ -10,14 +10,16 @@
 .Os
 .Sh 名称
 .Nm security
-.Nd FreeBSD におけるセキュリティ入門
+.Nd 
+.Fx
+におけるセキュリティ入門
 .Sh 解説
 セキュリティは、システム管理者とともに始まり、システム管理者と
 ともに終る機能です。
 .Bx
 マルチユーザシステムは、昔ながらのセキュリティをいくらかは備えて
 いますが、さらなるセキュリティ機構を組み込んで維持していくことで、ユーザを
-.Sq 正直に
+.Dq 正直に
 し続ける仕事は、システム管理者の最も大きな責務の一つでしょう。マシンは、
 管理者が設定しただけのセキュリティしか示しません。セキュリティに関する
 問題は、むしろ、便利さを求める人間との競合問題です。一般に、
@@ -37,15 +39,15 @@
 検出が妨げられることになるでしょう。どんなセキュリティ機構でも、
 侵入の検出をすることが唯一とても重要なことなのですから。
 例えば、システムの各バイナリに
-.Pa schg
+.Cm schg
 フラグ (
 .Xr chflags 1
 参照)
-を設定するのは大して意味がありません。フラグを設定すると、一時的には
+を設定するのは大して意味がありません。
-バイナリを保護することができますが、侵入してきたクラッカーが、
+このフラグを設定すると、一時的にはバイナリを保護することができますが、
-マシンのセキュリティ機構がクラッカーの侵入を全く検知できなくなるような
+侵入してきた攻撃者が容易に検知可能な変更をすることを妨げてしまい、
-変更ではあるが、管理者が容易に検出できるような変更をできなくしてしまう
+結果として、マシンのセキュリティ機構が攻撃者を
-からです。
+まったく検知できなくなってしまうからです。
 .Pp
 システムセキュリティには、さまざまな形での攻撃に対処することも
 ついて回ります。攻撃には、root を破ろうとはしないが、システムを
@@ -54,7 +56,7 @@
 セキュリティに関する問題は、いくつかのカテゴリに分類することができます。
 .Bl -enum -offset indent
 .It
-サービス不能攻撃
+サービス不能攻撃 (DoS)
 .It
 ユーザアカウントにかかる危険
 .It
@@ -84,7 +86,11 @@
 インターネット回線をいっぱいにしてしまうことはできます。
 .Pp
 ユーザアカウントを危険に晒してしまう問題は、サービス不能攻撃よりもずっとよくある
-問題です。このご時勢でも、自分たちのマシンで標準の telnetd, rlogind, rshd, ftpd
+問題です。このご時勢でも、自分たちのマシンで標準の
+.Xr telnetd 8 ,
+.Xr rlogind 8 ,
+.Xr rshd 8 ,
+.Xr ftpd 8
 サーバを実行させているシステム管理者は多いのです。これらの
 サーバは、デフォルトでは、暗号化されたコネクション上で動作していません。
 その結果、抱えているユーザ数が標準くらいであれば、リモートログイン
@@ -112,27 +118,27 @@ root
 しれません。攻撃者が root の権限で実行されるサーバのバグを見つけ、
 ネットワークからそのサーバへ接続して root の権限を破ることができるかも
 しれません。ひとたびユーザアカウントを破ると、ユーザアカウントから
-root の権限を破ることが可能であるというバグを持つ suid-root プログラムの
+root の権限を破ることが可能であるというバグを持つ SUID-root プログラムの
 存在を、攻撃者は知っているかもしれません。
 あるマシン上で、攻撃者が root の権限を破る方法を知ったとすると、
 攻撃者は、裏口を作る必要などないかもしれません。
-発見され、ふさがれた root の穴の多くには、クラッカーが侵入した跡を消そうとして
+発見され、ふさがれた root の穴の多くには、攻撃者が侵入した跡を消そうとして
 たくさん仕事した結果が含まれています。
-そのためにこそ、多くのクラッカーは裏口を作るのです。この裏口は、クラッカーの
+そのためにこそ、多くの攻撃者は裏口を作るのです。この裏口は、攻撃者の
-検出をするのに便利なやり方です。クラッカーに裏口を作らせないようにする
+検出をするのに便利なやり方です。攻撃者に裏口を作らせないようにする
 ということは、セキュリティにとっては実際には良くないことかもしれません。
-なぜなら、そうすることで、クラッカーが最初に侵入してくるために発見した
+なぜなら、そうすることで、攻撃者が最初に侵入してくるために使用した
 セキュリティホールがふさがるわけではないからです。
 .Pp
 セキュリティを改善する方法は、常に、
-.Sq タマネギの皮剥き
+.Dq タマネギの皮剥き
 のように
 複数の層のアプローチで実装されるべきです。これらは次のように分類できます。
 .Bl -enum -offset indent
 .It
 root とスタッフのアカウントの安全性を高める。
 .It
-root の安全性を高める - root 権限のサーバと suid/sgid バイナリ。
+root の安全性を高める \(em root 権限のサーバと SUID/SGID バイナリ。
 .It
 ユーザアカウントの安全性を高める。
 .It
@@ -149,20 +155,30 @@ root
 うんぬんしてもしかたがありません。ほとんどのシステムでは、root アカウントに
 割り当てたパスワードが 1 つあります。まず最初にすべきことは、
 このパスワードは
-.Sq いつでも
+.Em いつでも
 危険に晒されていると仮定することです。
 ここでは、root のパスワードを消すべきだと言っているのではありません。
 パスワードは、マシンにコンソールからアクセスするのには、ほとんどいつでも
 必要なものです。ここで言いたいのは、コンソール以外からは、おそらくは、
 .Xr su 1
-コマンドを用いてすらパスワードを使えるようにするべきではないということです。
+ユーティリティを用いてすらパスワードを使えるようにするべきではないと
-例えば、pty が、
+いうことです。
-.Sq Pa /etc/ttys
+例えば、PTY が、
-ファイルで安全でないものと指定されているのかを確認してください。
+.Pa /etc/ttys
-そうすることで、telnet や rlogin 越しに root でログインできないようになります。
+ファイルで
-sshd のような、別のログインサービスを使っている場合でも同様に、
+.Dq Li unsecure
+と指定されているかを確認してください。
+そうすることで、
+.Xr telnet 1
+や
+.Xr rlogin 1
+越しに root でログインできないようになります。
+.Xr sshd 8
+のような、別のログインサービスを使っている場合でも同様に、
 直接 root へログインすることを許していないかどうか確認してください。
-アクセスする手段、例えば ftp のようなサービスが、たびたびクラックの手に落ちる
+アクセスする手段、例えば
+.Xr ftp 1
+のようなサービスが、たびたびクラックの手に落ちる
 ことを考えてみてください。root に直接ログインできるのは、システムコンソール
 を通したときのみにすべきです。
 .Pp
@@ -173,45 +189,61 @@ sshd
 適切なスタッフアカウントを (
 .Pa /etc/group )
 の
-wheel グループに加えることがあります。
+.Dq Li wheel
-wheel グループに置かれたスタッフメンバには、
+グループに加えることがあります。
-.Sq su
+.Li wheel
+グループに置かれたスタッフメンバには、
+.Xr su 1
 を使って root になることが許されます。パスワードエントリにおいて、
-スタッフメンバを wheel グループを置くことで、スタッフメンバに
+スタッフメンバを
-wheel のアクセス権を与えてはいけません。スタッフメンバのアカウントは
+.Li wheel
-.Sq staff
+グループを置くことで、スタッフメンバに
-に置くべきです。そして
+.Li wheel
-.Sq Pa /etc/group
+のアクセス権を与えてはいけません。スタッフメンバのアカウントは
-ファイルを通して wheel グループに加えるべきです。
+.Dq Li staff
-実際に root アクセスの必要な staff メンバのみ wheel グループに置くように
+グループに置くべきです。そして
-すべきです。kerberos のような認証方法を使用する場合、root アカウントで
+.Pa /etc/group
-.Sq Pa .k5login
+ファイルを通して
-ファイルを使って、誰も wheel グループに置く必要なく root に
+.Li wheel
+グループに加えるべきです。
+実際に root アクセスの必要な staff メンバのみ
+.Li wheel
+グループに置くように
+すべきです。Kerberos のような認証方法を使用する場合、root アカウントで
+.Pa .k5login
+ファイルを使って、誰も
+.Li wheel
+グループに置く必要なく root に
 .Xr ksu 1
 を許すようにすることもできます。
-このやり方はよりよい解決策なのかもしれません。なぜなら、wheel のメカニズム
+このやり方はよりよい解決策なのかもしれません。なぜなら、
+.Li wheel
+のメカニズム
 では、侵入者がパスワードファイルを手に入れ、staff アカウントのいずれか
 1 つを破ることができると、root を破ることがまだできてしまうからです。
-wheel のメカニズムを用いる方が、何もしないよりは良いのですが、必ずしも
+.Li wheel
+のメカニズムを用いる方が、何もしないよりは良いのですが、必ずしも
 最も安全な選択肢とは限りません。
 .Pp
 root アカウントの安全性を高める間接的な方法として、別のログインアクセス
 の方法を用いて、スタッフのアカウントの暗号化パスワードを\ * にして
 おくことで、スタッフのアカウントの安全性を高めるものがあります。この方法
-だと、侵入者がパスワードファイルを盗むことができるかもしれませんが、
+だと、侵入者はパスワードファイルを盗むことができるかもしれませんが、
-スタッフアカウントを破ることはできないでしょう。また、たとえ root が暗号化
+スタッフアカウントを破ることはできないでしょう。
-パスワードをパスワードファイルに付けていたとしても、間接的には root
+また、たとえ root が暗号化パスワードをパスワードファイルに付けていたとしても、
-アカウントも破ることができないでしょう。
+root アカウントも破ることはできないでしょう
+(もちろん、コンソールへの root によるアクセスが限定されているものとします)。
 スタッフメンバがスタッフアカウントでログインする際には、
 .Xr kerberos 1
 や
 .Xr ssh 1
 のような、公開鍵 / 秘密鍵の鍵の組を使う
-安全性の高いログインの仕組みを使います。kerberos のような仕掛けを使う場合、
+安全性の高いログインの仕組みを使います。Kerberos のような仕掛けを使う場合、
-一般に、kerberos サーバを実行するマシンと自分のデスクトップ
+一般に、Kerberos サーバを実行するマシンと自分のデスクトップ
-ワークステーションとの安全性を確保しなければなりません。ssh で
+ワークステーションとの安全性を確保しなければなりません。SSH で
-公開鍵 / 秘密鍵の組を使う場合、一般に、ログイン元マシン
+公開鍵 / 秘密鍵の組を使う場合、一般に、ログイン
-(通常は自分のワークステーション)
+.Em 元
+マシン (通常は自分のワークステーション)
 の安全性を確保しなければなりません。ここで、
 .Xr ssh-keygen 1
 で公開鍵 / 秘密鍵の組を生成する際、鍵の組をパスワードで防御することにより、
@@ -239,29 +271,36 @@ root
 たない人々によって行われるという事実もまた、念頭に置いておく必要
 があります。
 .Pp
-kerberos のような方法を使うことで、スタッフアカウントのパスワードの変更
+Kerberos のような方法を使うことで、スタッフアカウントのパスワードの変更
 もしくは停止を一箇所で行なうことと、スタッフメンバがアカウントを持つ
 すべてのマシンに即時にその効果を及ぼすことが可能となります。スタッフメンバの
 アカウントが危険に晒されたときに、すべてのマシンでスタッフメンバのパスワードを
 即座に変更する能力を過小評価してはいけません。パスワードが分散されている状況では、
 N 台のマシンでパスワードを変更すると、てんやわんやの事態を招く可能性が
-あります。kerberos を使用すると、パスワードの再発行に制限
+あります。Kerberos を使用すると、パスワードの再発行に制限
 (re-passwording restriction)
 を課することもできます。この機能を使うことにより、
-ある kerberos チケットをしばらく経つとタイムアウトにすることが
+ある Kerberos チケットをしばらく経つとタイムアウトにすることが
 できるだけでなく、一定期間
 (例えば、1 ヶ月に 1 回)
 経つと、ユーザに新しいパスワードを選ぶように要求することもできます。
-.Sh root の安全性を高める - root 権限のサーバと suid/sgid バイナリ
+.Sh root の安全性を高める \(em root 権限のサーバと SUID/SGID バイナリ
 用心深いシステム管理者は、自分に必要なサーバプロセスだけを過不足なく
 実行させるものです。第三者製のサーバは、よくバグを持っていがちだと
-いうことに注意して下さい。例えば、古いバージョンの imapd や popper
+いうことに注意して下さい。例えば、古いバージョンの
+.Xr imapd 8
+や
+.Xr popper 8
 を実行させておくのは、全世界に共通の root の切符を与えてい
 るようなものです。
 自分で注意深くチェックしていないサーバは、決して実行してはいけません。
-root で実行させる必要のあるサーバはほとんどありません。例えば、ntalk, comsat,
+root で実行させる必要のあるサーバはほとんどありません。
-finger デーモンを、特別の「砂場
+例えば、
-.Pq sandbox
+.Xr talkd 8 ,
+.Xr comsat 8 ,
+.Xr fingerd 8
+デーモンを、特別の「砂場
+.Dq sandbox
 」ユーザで実行させることができます。
 .\"kuma hellofalot of trouble って何や？
 .\" hell of a lot of trouble みたいですね。;-) (金ん田 '99.02.11)
@@ -273,15 +312,28 @@ finger
 それだけ攻撃者が侵入に成功する確率が減ります。root の抜け穴は
 歴史的に、基本システムサーバも含め、
 root 権限で実行されるほとんどすべてのサーバプロセスで発見されています。
-ユーザが sshd 経由でのみログインし、
+ユーザが
-telnetd, rshd, rlogind 経由でログインすること
+.Xr sshd 8
-が決してないマシンを稼働させているのであれば、それらのサービスを停止させて下さい。
+経由でのみログインし、
+.Xr telnetd 8 ,
+.Xr rshd 8 ,
+.Xr rlogind 8
+経由でログインすることが決してないマシンを稼働させているのであれば、
+それらのサービスを停止させて下さい。
 .Pp
 .Fx
-では、今では ntalkd, comsat, finger は砂場で実行させることが
+では、今では
+.Xr talkd 8 ,
+.Xr comsat 8 ,
+.Xr fingerd 8
+は砂場で実行させることが
 デフォルトになっています。次に砂場で実行させるべきプログラムの候補として、
 .Xr named 8
-があります。デフォルトの rc.conf ファイルには、named を砂場で実行する
+があります。デフォルトの
+.Pa rc.conf
+ファイルには、
+.Xr named 8
+を砂場で実行する
 ために必要な引数がコメントアウトされた形式で含まれています。新しい
 システムをインストールしているか、それとも既存のシステムを
 アップグレードして使っているかに依存しますが、砂場として使用する
@@ -289,8 +341,12 @@ telnetd, rshd, rlogind
 用心深いシステム管理者であれば、できるだけいつでも研究を怠らず、
 サーバに砂場を仕込むものでしょう。
 .Pp
-通常、砂場で実行しないサーバが他にいくつかあります。sendmail, popper,
+通常、砂場で実行しないサーバが他にいくつかあります。
-imapd, ftpd などです。これらのうちいくつかのサーバには代わりとなるも
+.Xr sendmail 8 ,
+.Xr popper 8 ,
+.Xr imapd 8 ,
+.Xr ftpd 8
+などです。これらのうちいくつかのサーバには代わりとなるも
 のがありますが、
 代わりのものをインストールするには、それだけ多くの仕事が必要になるので、
 結局これらを喜んで入れてしまいます
@@ -300,28 +356,30 @@ imapd, ftpd
 を検出するためには、他の仕組みに頼らなくてはならないかもしれません。
 .Pp
 システムの root 権限の潜在的な穴で他に大きなものとして、システムに
-インストールされた suid-root/sgid バイナリがあります。
+インストールされた SUID-root/SGID バイナリがあります。
-これらのバイナリは、rloginのように、
+これらのバイナリは、
-.Pa /bin ,
+.Xr rlogin 1
-.Pa /sbin ,
+のように、
-.Pa /usr/bin ,
+.Pa /bin , /sbin , /usr/bin , /usr/sbin
-.Pa /usr/sbin
 に存在するものがほとんどです。
 100% 安全なものは存在しないとはいえ、システムデフォルトの
-suid/sgid バイナリは比較的安全といえます。それでもなお、root の穴が
+SUID/SGID バイナリは比較的安全といえます。それでもなお、root の穴が
 これらのバイナリにときおり発見されています。1998 年に Xlib で見つかった
-root の穴は、xterm
+root の穴は、
-(普通、suid 設定されています)
+.Xr xterm 1
+(普通、SUID 設定されています)
 を攻撃可能にしていました。
 安全である方がよいので、用心深いシステム管理者は残念に思いながらも、
-スタッフのみが実行する必要がある suid バイナリは、スタッフのみが
+スタッフのみが実行する必要がある SUID バイナリは、スタッフのみが
 アクセス可能な特別なグループに含めるように制限を加え、
-誰も使わない suid バイナリは
+誰も使わない SUID バイナリは
-.Pq Li chmod 000 を実行して
+.Pq Dq Li "chmod 000"
-片付けてしまうでしょう。
+を実行して片付けてしまうでしょう。
-ディスプレイを持たないサーバは、一般的に xterm のバイナリを必要としません。
+ディスプレイを持たないサーバは、一般的に
-sgid バイナリもほとんど同様の危険な存在になり得ます。
+.Xr xterm 1
-侵入者が kmem に sgid されたバイナリを破ることができた場合、
+のバイナリを必要としません。
+SGID バイナリもほとんど同様の危険な存在になり得ます。
+侵入者が kmem に SGID されたバイナリを破ることができた場合、
 その侵入者は
 .Pa /dev/kmem
 を読み出すことができるようになります。
@@ -329,9 +387,13 @@ sgid
 ようになるので、パスワードを持つどのアカウントをも、
 .Pq 潜在的な
 危険に晒すことになります。
-代わりに、kmem グループを破った侵入者が pty を通して送られたキーストロークを
+代わりに、
+.Dq Li kmem
+グループを破った侵入者が PTY を通して送られたキーストロークを
 監視できます。キーストロークには、安全な方法でログインするユーザが使っている
-pty も含まれます。tty グループを破った侵入者は、ほぼ任意のユーザの tty へ
+PTY も含まれます。
+.Dq Li tty
+グループを破った侵入者は、ほぼ任意のユーザの TTY へ
 書き込みができます。ユーザが端末プログラムやキーボードをシミュレーション
 する機能を持ったエミュレータを使っている場合、侵入者は潜在的に、
 結局そのユーザとして実行されるコマンドをユーザの端末にエコーさせる
@@ -345,12 +407,12 @@ pty
 アカウントの安全を適切に確保できるかもしれません。それが
 できないならば、よりいっそう気を配って一般ユーザのアカウントを
 監視するよりほかありません。一般ユーザアカウントに対し
-ssh や kerberos を利用することには、システム管理がさらに増えたり
+SSH や Kerberos を利用することには、システム管理がさらに増えたり
 テクニカルサポートが必要になるなどの問題があります。
 それでも、暗号化パスワードファイルと比較するとはるかに良い解です。
 .Sh パスワードファイルの安全性を高める
 できるだけ多くのパスワードを\ * で外し、それらのアカウントのアクセスには
-ssh や kerberos を使うようにすることが、唯一の確実な方法です。たとえ暗号化
+SSH や Kerberos を使うようにすることが、唯一の確実な方法です。たとえ暗号化
 パスワードファイル
 .Pq Pa /etc/spwd.db
 が root でのみ読み出し可能だとしても、
@@ -359,7 +421,9 @@ ssh
 .Pp
 セキュリティスクリプトは常にパスワードファイルの変更をチェックし、報告
 するようにすべきです
-(後述の「ファイルの完全性のチェック」を参照して下さい)。
+(後述の
+.Sx 「ファイルの完全性のチェック」
+を参照して下さい)。
 .Sh カーネルのコア、raw デバイス、ファイルシステムの安全性を高める
 root の権限を破ると、攻撃者は何でもできますが、
 もっと簡便なこともいくつかあります。例えば、最近のカーネルは、
@@ -368,13 +432,15 @@ root
 ドライバを備えているものがほとんどです。
 .Fx
 では
-.Sq bpf
+.Xr bpf 4
 デバイスと呼ばれています。侵入者は普通、危険に晒された
 マシンでパケット覗き見プログラムを実行させようと試みます。侵入者に
-わざわざそういう機能を提供する必要はないので、ほとんどのシステムで bpf
+わざわざそういう機能を提供する必要はないので、ほとんどのシステムで
+.Xr bpf 4
 デバイスを組み込むべきではありません。
 .Pp
-bpf デバイスを外し、モジュールローダを無効にしても、
+.Xr bpf 4
+デバイスを外し、モジュールローダを無効にしても、
 .Pa /dev/mem
 と
 .Pa /dev/kmem
@@ -384,27 +450,39 @@ bpf
 .Xr kldload 8
 という、別のカーネル機能があります。
 やる気まんまんの侵入者は、KLD モジュールを使って
-自分独自の bpf もしくはその他覗き見デバイスを動作中のカーネルに
+自分独自の
+.Xr bpf 4
+もしくはその他覗き見デバイスを動作中のカーネルに
 インストールすることができます。
 この問題を避けるため、システム管理者は
 カーネルをより高い安全レベル
 .Pq securelevel
 、少なくとも安全レベル 1 で実行させる必要があります。
-sysctl を使って kern.securelevel 変数に安全レベルを設定することが
+.Xr sysctl 8
+を使って
+.Va kern.securelevel
+変数に安全レベルを設定することが
 できます。ひとたび安全レベルに 1 を設定すると、
 raw デバイスに対する書き込みアクセスは拒否され、例えば
-.Sq schg
+.Cm schg
-のような
+のような特別な
-特別な chflags フラグが効果を発揮します。これに加えて、
+.Xr chflags 1
+フラグが効果を発揮します。これに加えて、
 起動時において重要なバイナリ・ディレクトリ・スクリプトファイルなど、
 安全レベルが設定されるまでの間に実行されるものすべてに対しても
-.Sq schg
+.Cm schg
 フラグを確実に on にしておく必要があります。この設定をやり過ぎても
 構いませんが、より高い安全レベルで動作している場合、システムの
 アップグレードがはるかに困難になります。システムをより高い安全レベルで
 実行させるようにするが、お天道さまの下にあるすべてのシステムファイルと
-ディレクトリに schg フラグを設定しないという妥協をする方法もあります。
+ディレクトリに
-もう一つの可能性としては、単純に / および /usr を読み込み専用でマウント
+.Cm schg
+フラグを設定しないという妥協をする方法もあります。
+もう一つの可能性としては、単純に
+.Pa /
+と
+.Pa /usr
+を読み込み専用でマウント
 することです。ここで特筆すべきことは、システムを守ろうとしてアテナイのドラコ
 のように厳しくしすぎると、侵入を検出するという非常に重要なことが
 できなくなってしまうということです。
@@ -412,36 +490,42 @@ raw
 ことこの問題に至ると、システム管理者にできることは、
 便利さという要素がその醜い頭を上げない程度に、
 コアシステムの設定 / 制御ファイルを防御することだけです。
-例えば、/ および /usr にある大部分のファイルに schg ビットを
+例えば、
-設定するために chflags を使用するのは、おそらく逆効果でしょう。
+.Pa /
+と
+.Pa /usr
+にある大部分のファイルに
+.Cm schg
+ビットを設定するために
+.Xr chflags 1
+を使用するのは、おそらく逆効果でしょう。
 なぜなら、そうすることでファイルは保護できますが、侵入を検出
 する窓を閉ざしてしまうことにもなるからです。
 セキュリティのタマネギの最後の層はおそらく最も重要なもの、すなわち検出です。
 セキュリティの残りのものは、突然の侵入を検出できなければ、全然有用では
 ありません( あるいは、もっと悪ければ、間違った安全性に対する感覚を
 植え付けてしまいます )。
-タマネギの仕事の半分は、均衡状態にあるとき、攻撃中に検出側に攻撃者を
+タマネギの仕事の半分は、攻撃者を食い止めるのではなく、侵入を遅らせることにより、
-捕まえるきっかけを与えるため、攻撃者を食い止めるのではなく
+攻撃中の攻撃者を捕まえる機会を検出層に与えることなのです。
-侵入を遅らせることなのです。
 .Pp
 侵入を検出する最も良い方法は、変更されていたり、消えていたり、入れた覚えが
 ないのに入っているファイルを探すことです。
 変更されたファイルを探すのに最も良い方法は、もう一つの
 ( しばしば中央に集められた ) アクセスが制限されたシステムから行なうものです。
 さらに安全でアクセス制限されたシステム上でセキュリティ用スクリプトを書けば、
-スクリプトは潜在的なクラッカー達からはほぼ見えなくなります。
+スクリプトは潜在的な攻撃者達からはほぼ見えなくなります。
 これは重要なことです。
 最大限に優位に立つために、一般的にビジネスで使う他のマシンへの重要な
 アクセスは、アクセスの制限されたマシンにやらせなくてはいけません。
 普通は、他のマシンからアクセス制限されたマシンへ読み込み専用で
 NFS エクスポートしたり、アクセス制限されたマシンから他のマシンへ
-ssh を行なうために、ssh 鍵のペアを作ったりすることで行います。
+SSH を行なうために、SSH 鍵のペアを作ったりすることで行います。
 ネットワークのトラフィックを別にして、NFS は最も可視性のない方法です。
 事実上検出されない各クライアント上のファイルシステムを監視できるようになります。
 アクセス制限されたサーバがスイッチを通してクライアントに接続する場合、
 たいてい NFS がより良い選択肢です。アクセス制限されたサーバがハブを通したり、
 いくつかのルーティング層を通したりしてクライアントに接続する場合、
-NFS はあまりにも危険な方法かもしれず ( ネットワークの面で )、ssh の方が
+NFS はあまりにも危険な方法かもしれず ( ネットワークの面で )、SSH の方が
 認証の道筋は跡となって残りますが、それでもより良い方法かもしれません。
 .Pp
 アクセス制限されたマシンに、少なくとも監視することを前提とした
@@ -452,46 +536,50 @@ NFS
 や
 .Xr md5 1
 などの単純なシステムユーティリティでスクリプトを書くことができます。
-少なくとも 1 日 1 回、クライアントのファイルを直接 md5 にかけ、
+少なくとも 1 日 1 回、クライアントのファイルを直接
-さらにもっと頻繁に
+.Xr md5 1
+にかけ、さらにもっと頻繁に
 .Pa /etc
 および
 .Pa /usr/local/etc
 にあるようなコントロール用ファイルを試験するのが一番です。
 試験ファイルは、アクセス制限されたマシンが適性であると知っている、基となる
-md5 情報と比べて違いが見つかった場合、システム管理者に調べて欲しいと
+MD5 情報と比べて違いが見つかった場合、システム管理者に調べて欲しいと
 訴えるようにするべきです。
 優れたセキュリティ用スクリプトは、
 .Pa /
 および
 .Pa /usr
-などのシステムパーティション上で不適当に suid されたバイナリや、
+などのシステムパーティション上で不適当に SUID されたバイナリや、
 新たに作成されたファイルや削除されたファイルもチェックするのでしょう。
 .Pp
-NFS ではなく、ssh を使用する場合は、セキュリティ用スクリプトを書くのはずっと
+NFS ではなく、SSH を使用する場合は、セキュリティ用スクリプトを書くのはずっと
 難しいことです。スクリプトをクライアントから見えるようにし、
 動かすためには、クライアントに対して
-.Pa scp
+.Xr scp 1
 を必ず行わなくてはいけません。
-そして、安全のため、スクリプトが使うバイナリ ( find など ) を scp する必要も
+そして、安全のため、スクリプトが使うバイナリ (
-あります。クライアントの ssh デーモンはすでに危険に晒されているかもしれません。
+.Xr find 1
-以上のことから、安全でないリンク上の場合は ssh は必要かもしれませんが、
+など ) を
-ssh を扱うのはとても大変なことです。
+.Xr scp 1
+する必要もあります。クライアントの
+.Xr sshd 8
+デーモンはすでに危険に晒されているかもしれません。
+以上のことから、安全でないリンク上の場合は SSH は必要かもしれませんが、
+SSH を扱うのはとても大変なことです。
 .Pp
 優れたセキュリティ用スクリプトは、ユーザやスタッフメンバの
 アクセス設定ファイルもチェックするものです。
-.Pa .rhosts ,
+.Pa .rhosts , .shosts , .ssh/authorized_keys
-.Pa .shosts ,
-.Pa .ssh/authorized_keys
 などがそれですが、MD5 のチェックの範囲外になってしまうかもしれません。
 .Pp
 ユーザ用のディスク容量が非常に大きい場合は、パーティション上の各ファイルを
 見て回るのに大変な時間がかかるかもしれません。この場合は、マウントフラグを
-設定して、このパーティションに suid されたバイナリやデバイスを置けないように
+設定して、このパーティションに SUID されたバイナリやデバイスを置けないように
 するのが良い考えです。
-.Sq nodev
+.Cm nodev
 および
-.Sq nosuid
+.Cm nosuid
 オプション (
 .Xr mount 8
 参照)
@@ -523,12 +611,12 @@ ssh
 システム管理者は、便利さに影響を与えない範囲でいくつでもセキュリティ
 機能を追加することができます。また、いくらか考慮した結果、便利さに
 影響を与えるセキュリティ機能を追加することもできます。
-もっと重要なことには、セキュリティ管理者とは少し喧嘩になる
+もっと重要なことは、セキュリティ管理者は少々ごちゃごちゃに
-はずなのですが、もしあなたが、このマニュアルページに書かれている
+すべきだということです。
-勧告をそのまま使用したりした場合は、
+というのも、このマニュアルページに書かれている勧告をそのまま使用した場合は、
-予想されるクラッカーはやはりこのマニュアルを読んでいるわけですから、
+予想される攻撃者はやはりこのマニュアルを読んでいるわけですから、
-防御策を渡してしまうことになります。
+防御策を漏らしてしまうことになるからです。
-.Sh サービス不能攻撃 (D.O.S. attack) についての特記事項
+.Sh サービス不能攻撃 (DoS attack) についての特記事項
 このセクションではサービス不能攻撃を扱います。サービス不能攻撃は、普通は、
 パケット攻撃です。ネットワークを飽和させる最先端の偽造パケット
 .Pq spoofed packet
@@ -549,53 +637,56 @@ ssh
 普通に見られるサービス不能攻撃に、fork するサーバプロセスに対する
 ものがあります。これは、サーバにプロセス・ファイル記述子・メモリを
 食い尽くさせて、マシンを殺そうとするものです。
-inetd (
 .Xr inetd 8
-参照)
+サーバには、この種の攻撃を制限するオプションがいくつかあります。マシンが
-には、この種の攻撃を制限するオプションがいくつかあります。マシンが
 ダウンすることを防止することは可能ですが、この種の攻撃によりサービスが
 崩壊することを防止することは一般的に言ってできないことに注意する必要が
-あります。inetd のマニュアルページを注意深く読んで下さい。特に、
+あります。
-.Fl c ,
+.Xr inetd 8
-.Fl C ,
+のマニュアルページを注意深く読んで下さい。特に、
-.Fl R
+.Fl c , C , R
-オプションに注意して下さい。IP 偽造攻撃
+オプションに注意して下さい。IP 偽造攻撃 (spoofed-IP attack) は
-(spoofed-IP attack)
+.Xr inetd 8
-は inetd の
+の
 .Fl C
 オプションの裏をかけるので、一般にオプションを
 組み合わせて使用するべきであることに注意して下さい。スタンドアロンサーバ
 の中には、自分自身で fork を制限するパラメータを持っているものがあります。
 .Pp
-sendmail には、
+.Xr sendmail 8
+デーモンには、
 .Fl OMaxDaemonChildren
 オプションがあります。負荷には遅れがあるので、
-sendmail の負荷に限界を設けるオプションを使うよりも、
+.Xr sendmail 8
+の負荷に限界を設けるオプションを使うよりも、
 このオプションを使う方がまともに動作する可能性ははるかに高いです。
 sendmail の実行を開始する際に、
-.Cm MaxDaemonChildren
+.Va MaxDaemonChildren
 パラメータを設定するべきです。その値は、
 通常見込まれる負荷を扱える程度に十分高いが、
-それだけの数の sendmail を操作しようとすると
+それだけの数の
+.Xr sendmail 8
+を操作しようとすると
 マシンが卒倒してしまうほどには高くないような値に設定するべきです。
-sendmail をキュー処理モード
+.Xr sendmail 8
+をキュー処理モード
 .Pq Fl ODeliveryMode=queued
-で実行することや、
+で実行することや、デーモン
-sendmail デーモン
+.Pq Dq Nm sendmail Fl bd
-.Pq Cm sendmail -bd
 をキュー処理用プロセス
-.Pq Cm sendmail -q15m
+.Pq Dq Nm sendmail Fl q15m
 と別に実行することも、用心深いことと言えます。それでもなおリアルタイムでの
 配送を望むのであれば、
 .Fl q1m
 のようにすることで、キュー処理をはるかに短い時間間隔で
 行うことができます。いずれにしても、
-.Cm MaxDaemonChildren
+.Va MaxDaemonChildren
-オプションに
+オプションに合理的な値を確実に指定して、
-合理的な値を確実に指定して、sendmail がなだれをうって失敗することが
+.Xr sendmail 8
-ないようにして下さい。
+がなだれをうって失敗することがないようにして下さい。
 .Pp
-syslogd は直接攻撃される可能性があるので、可能ならばいつでも
+.Xr syslogd 8
+デーモンは直接攻撃される可能性があるので、可能ならばいつでも
 .Fl s
 オプションを用いることを強く推奨します。これができないなら、
 .Fl a
@@ -614,24 +705,27 @@ tcpwrapper
 権限への攻撃から内部サービスを防御することには、あまり考慮を払って
 いません。ファイアウォールは常に排他的に設定して下さい。つまり、
 「ポート A, B, C, D と M から Z まで
-.Eo *
+.Em 以外
-以外
-.Ec *
 のすべてにファイアウォールを設ける」というふうにです。
-このようにすることで、named
+このようにすることで、
+.Xr named 8
 (ゾーンのプライマリである場合),
-ntalkd, sendmail など、インターネットにアクセスを提供するサービス
+.Xr talkd 8 ,
+.Xr sendmail 8
+など、インターネットにアクセスを提供するサービス
 として特に指定するもの以外の、小さい番号のポートすべてをファイアウォールで
 防御することができます。ファイアウォールをこの他のやり方、つまり
 包含的もしくは受容的なファイアウォールとして設定しようとする場合、
-.Sq close
+.Dq close
 することを忘れてしまうサービスがいくつか出てきたり、新しい内部サービスを
 追加したのにファイアウォールの更新を忘れたりする可能性がよく出てきます。
 ファイアウォール上の大きい番号のポートを開けておいて、小さい番号のポートを
 危険に晒すことなく受容的な動作を許すことができます。
 .Fx
-では、net.inet.ip.portrange への sysctl
+では、
-.Pq Li "sysctl -a | fgrep portrange"
+.Va net.inet.ip.portrange
+への sysctl
+.Pq Dq Li "sysctl net.inet.ip.portrange" ,
 をいろいろ使用することで、
 動的バインドに使用されるポート番号の範囲を制御できることを記憶にとどめて
 おいて下さい。これによりファイアウォールの設定の複雑性を緩和できます。
@@ -658,14 +752,18 @@ ntalkd, sendmail
 応答を生成するパケットを生成することにより、攻撃者はサーバの
 受信ネットワークを飽和させることができ、同時に、サーバが送信
 ネットワークを ICMP 応答で飽和させるようにすることができます。
-mbuf を消費し尽くさせることにより、この種の攻撃でサーバを
+.Vt mbuf
+を消費し尽くさせることにより、この種の攻撃でサーバを
 クラッシュさせることも可能です。サーバの ICMP 応答生成が速過ぎて、
 ICMP 応答の送信が追い付かない場合、とくにひどいことになります。
 .Fx
-カーネルには、この種の攻撃の効果を抑制する ICMP_BANDLIM と
+カーネルには、この種の攻撃の効果を抑制する
-呼ばれる新しいコンパイルオプションがあります。
+.Dv ICMP_BANDLIM
-3つめの主要なクラスに属す踏み台攻撃は、udp echo サービスのような、
+と呼ばれる新しいコンパイルオプションがあります。
-ある種の内部 inetd サービスに関連するものです。攻撃者は、単に
+3つめの主要なクラスに属す踏み台攻撃は、UDP echo サービスのような、
+ある種の内部
+.Xr inetd 8
+サービスに関連するものです。攻撃者は、単に
 ソースアドレスがサーバ A の echo ポートであり、ディスティネーション
 アドレスがサーバ B の echo ポートであるかのように UDP パケットを
 偽造します。ここでサーバ A, B はともに自分の LAN に接続されています。
@@ -673,62 +771,82 @@ ICMP
 打ち返しあいます。このようにしてパケットをいくつか注入するだけで、
 攻撃者は両方のサーバと LAN を過負荷状態にすることができます。
 同様の問題が内部 chargen ポートにも存在します。有能なシステム管理者は
-この手の inetd 内部テストサービスのすべてを無効にしておくものです。
+この手の
+.Xr inetd 8
+内部テストサービスのすべてを無効にしておくものです。
 .Pp
 偽造パケット攻撃は、カーネルの経路情報キャッシュに過負荷を生じさせるために
-用いられることもあります。net.inet.ip.rtexpire, rtminexpire, rtmaxcache
+用いられることもあります。
-の sysctl パラメータを参照して下さい。でたらめなソース IP を用いた
+.Va net.inet.ip.rtexpire , net.inet.ip.rtminexpire ,  net.inet.ip.rtmaxcache
+の
+.Xr sysctl 8
+パラメータを参照して下さい。でたらめなソース IP を用いた
 この偽造パケット攻撃により、カーネルは、一時的なキャッシュ経路を
 経路情報テーブルに生成します。これは
-.Sq netstat -rna \&| fgrep W3
+.Dq Li "netstat -rna | fgrep W3" .
 で見ることができます。これらの経路は、普通は 1600 秒程度でタイムアウトに
 なります。カーネルがキャッシュ経路テーブルが大きくなり過ぎたことを
-検知すると、カーネルは動的に rtexpire を減らしますが、rtminexpire より
+検知すると、カーネルは動的に
-小さくなるようには決して減らしません。ここに問題が 2 つあります。
+.Va rtexpire
+を減らしますが、
+.Va rtminexpire
+より小さくなるようには決して減らしません。ここに問題が 2 つあります。
 (1) 負荷の軽いサーバが突然攻撃された場合、カーネルが十分素早く反応
 できないこと。(2) カーネルが攻撃に耐え生き延びられるほど十分
-rtminexpire が低く設定されていないこと。の2つです。
+.Va rtminexpire
+が低く設定されていないこと。の 2 つです。
 自分のサーバが T3 もしくはそれより
 良質の回線でインターネットに接続されている場合、
 .Xr sysctl 8
-を用いて rtexpire と rtminexpire とを手動で上書きしておくことが思慮深いこと
+を用いて
+.Va rtexpire
+と
+.Va rtminexpire
+とを手動で上書きしておくことが思慮深いこと
 といえます。
 (自分のマシンをクラッシュさせたくないのであれば :-))
 どちらか一方でも 0 に
 は決してしないで下さい。両パラメータを 2 秒に設定すれば、
 攻撃から経路情報テーブルを守るには十分でしょう。
-.Sh kerberos および ssh を用いたアクセスの問題
+.Sh Kerberos および SSH を用いたアクセスの問題
-もしあなたが、kerberos および ssh を使用したいのだとしたら、両者に関して
+もしあなたが、Kerberos および SSH を使用したいのだとしたら、両者に関して
 言っておく必要のある問題がいくつかあります。
-kerberos V は大変優れた認証プロトコルですが、kerberos 処理された telnet や
+Kerberos5 は大変優れた認証プロトコルですが、kerberos 化された
-rlogin は、バイナリストリームを扱うのに不向きになってしまうようなバグがあります。
+.Xr telnet 1
-さらに、デフォルトでは、kerberos は
+や
+.Xr rlogin 1
+は、バイナリストリームを扱うのに不向きになってしまうようなバグがあります。
+さらに、デフォルトでは、Kerberos は
 .Fl x
 オプションを使わない限りセッションを暗号化してくれません。
-ssh では、デフォルトですべてを暗号化してくれます。
+SSH では、デフォルトですべてを暗号化してくれます。
 .Pp
-ssh はあらゆる場面でとても良く働いてくれます。ただし、
+SSH はあらゆる場面でとても良く働いてくれます。ただし、
 暗号鍵を送ってしまう場合を除けばです。これはつまり、暗号鍵を持った安全な
 ワークステーションがあって、この暗号鍵で残りのシステムとアクセスできる
-ようになっている場合では、安全でないマシンへ ssh を行なう時に暗号鍵が
+ようになっている場合では、安全でないマシンへ
+.Xr ssh 1
+を行なう時に暗号鍵が
 見えてしまうということです。実際の鍵そのものが見えてしまうわけでは
-ありませんが、ssh は、login を持続させるために配送用ポートを作ります。
+ありませんが、
-クラッカーが安全でないマシンの root を破ると、クラッカーは、
+.Xr ssh 1
+は、login している間、配送用ポートを作ります。
+攻撃者が安全でないマシンの root を破ると、攻撃者は、
 このポートを使って暗号鍵を取得し、暗号鍵でロックの外れる他のマシンへの
 アクセスを得ます。
 .Pp
-staff のログインには、kerberos を組み合せた ssh を使用することを勧めます。
+staff のログインには、Kerberos を組み合せた SSH を使用することを勧めます。
-ssh は、kerberos と一緒にコンパイルできます。こうすると、見えて
+SSH は、Kerberos と一緒にコンパイルできます。こうすると、見えて
-しまうかもしれない ssh 鍵をあまりあてにしないで良いようになります。
+しまうかもしれない SSH 鍵をあまりあてにしないで良いようになります。
-また、それと同時に、kerberos 経由でパスワードを保護することもできます。
+また、それと同時に、Kerberos 経由でパスワードを保護することもできます。
-ssh 鍵は、安全なマシンからの自動化されたタスク (kerberos では不向きな
+SSH 鍵は、安全なマシンからの自動化されたタスク (Kerberos では不向きな
-ものなど ) 用のみに使用するべきです。また、ssh の設定で
+ものなど ) 用のみに使用するべきです。また、SSH の設定で
-ssh 鍵を送らないようにするか、あるいは、
+SSH 鍵を送らないようにするか、あるいは、
 .Pa authorized_keys
 ファイル中で
-.Pa "from=IP/DOMAIN"
+.Va from Ns = Ns Ar IP/DOMAIN
 オプションを使用して、特定のマシンからログインしてきたもののみに
-有効になる鍵を ssh が生成できるようにすることも勧めます。
+有効になる鍵を SSH が生成できるようにすることも勧めます。
 .Sh 関連項目
 .Xr chflags 1 ,
 .Xr find 1 ,

ja_JP.eucJP/man/man7/tuning.7

@@ -2,7 +2,7 @@
 .\" the BSD Copyright as specified in the file "/usr/src/COPYRIGHT" in
 .\" the source tree.
 .\"
-.\" %FreeBSD: src/share/man/man7/tuning.7,v 1.62 2003/09/14 23:44:55 hmp Exp %
+.\" %FreeBSD: src/share/man/man7/tuning.7,v 1.63 2004/06/06 12:30:21 schweikh Exp %
 .\"
 .\" $FreeBSD$
 .Dd June 25, 2002
@@ -12,7 +12,7 @@
 .Nm tuning
 .Nd FreeBSD における性能チューニング
 .Sh システム設定 - disklabel, newfs, tunefs, スワップ
-.Xr disklabel 8
+.Xr bsdlabel 8
 または
 .Xr sysinstall 8
 を使ってハードディスク上にファイルシステムをレイアウトする場合、
@@ -834,16 +834,6 @@ sysctl
 ATA ドライバシステムのチューニングに関する更なる情報は、
 .Xr ata 4
 を参照してください。
-.Pp
-IDE ハードドライブの実験的な新機能として、
-.Va hw.ata.tags
-と呼ばれるものがあり (これもブートローダで設定します)、
-ライトキャッシュを安全にオンにすることができます。
-これは SCSI のタギング機能を IDE ドライブに持ち込んだものです。
-これを書いている時点では、IBM DPTA と DTLA ドライブだけがこの機能を
-サポートしています。
-警告! これらのドライブは品質管理に問題
-があるようなので、私は現時点ではこれらの製品を買うことはおすすめしません。
 性能が必要なら SCSI を使いましょう。
 .Sh CPU、メモリ、ディスク、ネットワーク
 負荷が上がるとシステムのどの部分がボトルネックになりはじめているかによって、
@@ -903,9 +893,9 @@ SCSI
 .Xr hier 7 ,
 .Xr ports 7 ,
 .Xr boot 8 ,
+.Xr bsdlabel 8 ,
 .Xr ccdconfig 8 ,
 .Xr config 8 ,
-.Xr disklabel 8 ,
 .Xr fsck 8 ,
 .Xr ifconfig 8 ,
 .Xr ipfw 8 ,