diff --git a/ja_JP.eucJP/man/man5/ssh_config.5 b/ja_JP.eucJP/man/man5/ssh_config.5 index 5b697bfd68..05b1c47836 100644 --- a/ja_JP.eucJP/man/man5/ssh_config.5 +++ b/ja_JP.eucJP/man/man5/ssh_config.5 @@ -34,11 +34,11 @@ .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" -.\" $OpenBSD: ssh_config.5,v 1.1 2002/06/20 19:56:07 stevesk Exp $ -.\" Japanese translation: $Id: ssh_config.5,v 1.1 2002-08-19 02:24:45 horikawa Exp $ +.\" $OpenBSD: ssh_config.5,v 1.5 2002/08/29 22:54:10 stevesk Exp $ +.\" Japanese translation: $Id: ssh_config.5,v 1.2 2002-12-30 05:47:52 horikawa Exp $ .\" by Yusuke Shinyama .\" -.\" %FreeBSD: src/crypto/openssh/ssh_config.5,v 1.4.2.2 2002/07/25 16:03:44 fanf Exp % +.\" %FreeBSD: /home/ncvs/src/crypto/openssh/ssh_config.5,v 1.7 2002/11/05 17:25:15 des Exp % .\" $FreeBSD$ .Dd September 25, 1999 .Dt SSH_CONFIG 5 @@ -54,12 +54,16 @@ .Sh 解説 .Nm ssh は以下のものから (この順序で) 設定情報を取得します: -コマンドラインオプション、 -ユーザの設定ファイル +.Bl -enum -offset indent -compact +.It +コマンドラインオプション +.It +ユーザごとの設定ファイル .Pq Pa $HOME/.ssh/config -、そしてシステム全体での設定ファイル +.It +システム全体にわたる (system-wide) 設定ファイル .Pq Pa /etc/ssh/ssh_config -。 +.El .Pp 各設定項目にはそれそれ最初に見つかったものが使われます。 設定ファイルはいくつかのセクションに分かれており、これらは @@ -267,6 +271,14 @@ ssh でなければならず、デフォルトは .Dq no (エージェント転送をおこなわない) です。 +.Pp +認証エージェントの転送には注意が必要です。 +リモートホスト上で (エージェントの UNIX ドメインソケットに対する) +ファイルアクセス権限を無視できてしまうユーザがいる場合は、 +転送された接続を介してローカル側の +認証エージェントにアクセスできてしまうことになります。 +攻撃側は認証エージェントから鍵そのものを盗むことはできませんが、 +認証エージェントがもっている鍵に認証をおこなわせることはできます。 .It Cm ForwardX11 (X11 転送) X11 接続を自動的に安全な通信路へリダイレクトし、 .Ev DISPLAY @@ -277,6 +289,13 @@ X11 でなければならず、デフォルトは .Dq no (X11 接続を転送しない) です。 +.Pp +X11 の転送には注意が必要です。 +リモートホスト上で (そのユーザの X 認証のための) ファイルアクセス権限を +無視できてしまうユーザがいる場合は、転送された接続を介してローカル側の +X11 ディスプレイにアクセスできてしまうことになります。 +すると攻撃側はキーストロークを盗み見るなどの行為が可能になってしまうかも +しれません。 .It Cm GatewayPorts (ポート転送の中継) ローカルからリモートへ転送されている (リモート→ローカルのポート転送) ポートに、他ホストからの接続を許すかどうかを指定します。 @@ -535,7 +554,14 @@ RhostsRSAAuthentication デフォルトでは .Dq no (rhosts 認証をおこなわない) になっています。 -このオプションはプロトコル バージョン 1 のみに適用されます。 +このオプションはプロトコル バージョン 1 のみに適用され、 +この機能を使うためには +.Nm ssh +が setuid root されていて +.Cm UsePrivilegedPort +が +.Dq yes +に設定されている必要があります。 .It Cm RhostsRSAAuthentication (rhosts-RSA 認証) RSA ホスト認証を使った Rhosts ベースの認証を試みるかどうかを 指定します。 @@ -619,6 +645,10 @@ known_hosts で、デフォルトは .Dq no になっています。 +.Dq yes +に設定した場合、 +.Nm ssh +は setuid root である必要があります。 注意: 旧式の sshd に対して .Cm RhostsAuthentication @@ -638,9 +668,12 @@ known_hosts .It Cm VersionAddendum (バージョンに付加するもの) OS もしくはサイトに特化した修正を示すために、通常のバージョン文字列に 付け加える文字列を指定します。 +デフォルトは +.Dq FreeBSD-20021029 +です。 .It Cm XAuthLocation (xauth の位置) .Xr xauth 1 -プログラムの場所を指定します。デフォルトは +プログラムのフルパス名を指定します。デフォルトは .Pa /usr/X11R6/bin/xauth です。 .El @@ -670,7 +703,7 @@ Theo de Raadt SSH プロトコル バージョン 1.5 および 2.0 のサポートは Markus Friedl の貢献によるものです。 .Sh 日本語訳 -新山 祐介 (yusuke @ cs . nyu . edu) 2002/6/24 (for 3.3p1) +新山 祐介 (yusuke @ cs . nyu . edu) 2002/9/28 (for 3.5p1) .Pp 当マニュアルページは氏のご好意により .Fx diff --git a/ja_JP.eucJP/man/man5/sshd_config.5 b/ja_JP.eucJP/man/man5/sshd_config.5 index 30984c8cca..3a4d4c49bc 100644 --- a/ja_JP.eucJP/man/man5/sshd_config.5 +++ b/ja_JP.eucJP/man/man5/sshd_config.5 @@ -34,11 +34,11 @@ .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" -.\" $OpenBSD: sshd_config.5,v 1.4 2002/06/22 16:45:29 stevesk Exp $ -.\" Japanese translation: $Id: sshd_config.5,v 1.1 2002-08-19 02:24:45 horikawa Exp $ +.\" $OpenBSD: sshd_config.5,v 1.13 2002/09/16 20:12:11 stevesk Exp $ +.\" Japanese translation: $Id: sshd_config.5,v 1.2 2002-12-30 05:47:52 horikawa Exp $ .\" by Yusuke Shinyama .\" -.\" %FreeBSD: src/crypto/openssh/sshd_config.5,v 1.5.2.3 2002/07/26 15:18:32 fanf Exp % +.\" %FreeBSD: src/crypto/openssh/sshd_config.5,v 1.9 2002/11/06 08:04:56 des Exp % .\" $FreeBSD$ .Dd September 25, 1999 .Dt SSHD_CONFIG 5 @@ -130,6 +130,17 @@ TCP 転 チャレンジ・レスポンス認証を許可するかどうか指定します。 .Xr login.conf 5 に記されているすべての認証形式が使えます。 +特に +.Fx +では、PAM +.Xr ( pam 3 +参照) を認証に使用するかを制御します。 +これは、 +.Cm PasswordAuthentication +および +.Cm PermitRootLogin +の効果に影響します。 +variables. デフォルトは .Dq yes です。 @@ -381,7 +392,7 @@ Kerberos TGT .It Cm LoginGraceTime (ログイン猶予時間) ユーザがここで指定された時間内にログインできないと、 サーバは接続を切ります。この値をゼロにすると、時間制限はなくなります。 -デフォルトの値は 120 (秒) です。 +デフォルトの値は 120 秒です。 .It Cm LogLevel (ログレベル) .Nm sshd が出力するログメッセージの冗長性レベルを指定します。 @@ -423,10 +434,6 @@ MAC .Dq full (この例では 60) 個の接続が来るまで線形に増えつづけ、 最大数に達した時点でそれ以降すべての接続を拒否するようになります。 -.It Cm PAMAuthenticationViaKbdInt (キーボード対話を使ったPAM認証) -PAM のチャレンジ・レスポンス認証を許可するかどうか指定します。 -このオプションでほとんどの PAM チャレンジ・レスポンス認証が -使えますが、この場合 .Cm PasswordAuthentication (パスワード認証) が禁止されているかどうかにかかわらず、 パスワード認証も許可されます。 @@ -437,6 +444,16 @@ PAM パスワード認証を許可するかどうか指定します。デフォルトでは .Dq yes になっています。 +.Cm ChallengeResponseAuthentication +が +.Dq yes +であり、 +.Nm sshd +の PAM 認証ポリシに +.Xr pam_unix 8 +が含まれる場合、 +.Cm PasswordAuthentication +の値に関係なく、チャレンジ・レスポンス機構によるパスワード認証が許可されます。 .It Cm PermitEmptyPasswords (空のパスワードを許可) パスワード認証が許可されているとき、パスワード文字列が空の アカウントに対してサーバがログインを許可するかどうか指定します。 @@ -456,7 +473,16 @@ PAM のいずれかです。 のいずれかになります。デフォルトは .Dq no -です。このオプションを +です。 +.Cm ChallengeResponseAuthentication +が +.Dq yes +の場合、 +.Cm PermitRootLogin +が +.Dq without-password +に設定されていたとしても、root ユーザはそのパスワードで許可されます。 +このオプションを .Dq without-password にすると、root だけパスワード認証ではログインできなくなります。 .Pp @@ -472,6 +498,22 @@ root このオプションを .Dq no にすると、root のログインは許可されません。 +.It Cm PermitUserEnvironment (ユーザの環境変数変更を許可する) +.Nm sshd +が +.Pa ~/.ssh/environment +ファイルおよび +.Pa ~/.ssh/authorized_keys +における +.Cm environment= +オプションを処理すべきかどうかを指定します。 +デフォルトでは +.Dq no +です。 +環境変数の変更は、ユーザに +.Ev LD_PRELOAD +などの設定を使った +ある種のアクセス制限を回避させてしまう可能性があります。 .It Cm PidFile (pid ファイル) .Nm sshd デーモンのプロセス ID を格納するファイルを指定します。 @@ -509,6 +551,13 @@ root デフォルトは .Dq 2,1 です。 +ここでのプロトコルの順番は、優先度を指定するものではないことに +注意してください。なぜなら複数のプロトコルがサーバで使用可能な場合、 +選択するのはクライアント側だからです。よって +.Dq 2,1 +という指定は、 +.Dq 1,2 +と同じです。 .It Cm PubkeyAuthentication (公開鍵認証) 公開鍵認証を許可するかどうか指定します。 デフォルトは @@ -604,7 +653,7 @@ root root 権限をもたないプロセスのみに限定することによって、 root 権限による被害の拡大を防ぐためです。 デフォルトでは -.Dq no (root 権限を分離しない) +.Dq yes (root権限を分離する) になっています。 .It Cm VerifyReverseMapping (逆引きチェック) このオプションを @@ -619,6 +668,9 @@ root .It Cm VersionAddendum (バージョンに付加するもの) OS もしくはサイトに特化した修正を示すために、通常のバージョン文字列に 付け加える文字列を指定します。 +デフォルトは +.Dq FreeBSD-20021029 +です。 .It Cm X11DisplayOffset (X11 ディスプレイ番号のオフセット値) .Nm sshd が X11 転送をするときに最初に使われるディスプレイ番号を指定します。 @@ -628,13 +680,38 @@ OS 本物の X サーバのディスプレイ番号と衝突してしまうのを防ぐためです。 デフォルトの値は 10 です。 .It Cm X11Forwarding (X11 転送) -X11 転送を許可するかどうかを指定します。デフォルトは +X11 転送を許可するかどうかを指定します。 +この引数の値は +.Dq yes +あるいは .Dq no +で、デフォルトは +.Dq yes です。 -X11 転送を禁止してもセキュリティを上げるわけでは全然ないことに -注意してください。 -なぜならユーザはいつでも自前の転送プログラムをインストールして -使うことができるからです。 +.Pp +X11 転送が許可されており、転送された +.Nm sshd +のディスプレイが任意のアドレス (下の +.Cm X11UseLocalhost +参照) からの接続を受けつけるように設定されていると、 +サーバやクライアントのディスプレイは余計な危険に +さらされることになります。なので、デフォルトではそうなっていません。 +また、認証におけるなりすまし、認証データの確認や差し替えなどが +クライアント側で起こります。X11 転送を使うセキュリティ上のリスクは、 +ssh クライアントが転送を要求したときに、クライアント上の X11 サーバが +攻撃にさらされるかもしれないということです ( +.Xr ssh_config 5 +の +.Cm ForwardX11 +注意書きを参照)。 +システム管理者はクライアントがうっかり X11 を転送して、 +余計な危険性を増すことのないように、これをかならず +.Dq no +に設定させるような立場をとることもできます。 +.Pp +注意: X11 転送機能を禁止しても、ユーザが X11 の通信を転送できなくなる +というわけではありません。なぜならユーザはいつでも自前の転送プログラムを +インストールして使うことができるからです。 .Cm UseLogin が許可されていると、X11 転送は自動的に禁止されます。 .It Cm X11UseLocalhost (X11 で localhost のみを許可) @@ -666,7 +743,7 @@ bind になっています。 .It Cm XAuthLocation (xauth の位置) .Xr xauth 1 -プログラムの位置を指定します。デフォルトでは +プログラムのフルパス名を指定します。デフォルトでは .Pa /usr/X11R6/bin/xauth になっています。 .El @@ -676,7 +753,7 @@ bind のコマンドライン引数や設定ファイルオプションで 時間を指定する場合、次の構文を並べた書式を使うことができます: .Sm off -.Ar time Oo Ar qualifier Oc +.Ar time Op Ar qualifier .Sm on .Pp ここで @@ -686,7 +763,7 @@ bind は次のうちのどれかです: .Pp .Bl -tag -width Ds -compact -offset indent -.It Cm +.It Cm <なし> seconds (秒) .It Cm s | Cm S seconds (秒) @@ -732,7 +809,7 @@ Markus Friedl Niels Provos および Markus Friedl が root特権分離のサポートに 貢献しました。 .Sh 日本語訳 -新山 祐介 (yusuke @ cs . nyu . edu) 2002/6/24 (for 3.3p1) +新山 祐介 (yusuke @ cs . nyu . edu) 2002/10/15 (for 3.5p1) .Pp 当マニュアルページは氏のご好意により .Fx