diff --git a/ja_JP.eucJP/books/handbook/security/chapter.xml b/ja_JP.eucJP/books/handbook/security/chapter.xml
index f2a2db62e2..b433fa2d29 100644
--- a/ja_JP.eucJP/books/handbook/security/chapter.xml
+++ b/ja_JP.eucJP/books/handbook/security/chapter.xml
@@ -3,28 +3,37 @@
      The FreeBSD Documentation Project
      The FreeBSD Japanese Documentation Project
 
-     Original revision: r38230
+     Original revision: r38269
      $FreeBSD$
 -->
 <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
-  <info><title>セキュリティ</title>
+
+  <info>
+    <title>セキュリティ</title>
+
     <authorgroup>
-      <author><personname><firstname>Matthew</firstname><surname>Dillon</surname></personname><contrib>本章の基にした security(7) マニュアルページの執筆: </contrib></author>
+      <author>
+	<personname>
+	  <firstname>Matthew</firstname>
+	  <surname>Dillon</surname>
+	</personname>
+
+	<contrib>本章の基にした security(7) マニュアルページの執筆: </contrib>
+      </author>
     </authorgroup>
   </info>
 
-  
   <indexterm><primary>セキュリティ</primary></indexterm>
 
-  <para><emphasis>訳: &a.jp.hino;、(jpman プロジェクトの成果を利用させ
-    ていただきました)。</emphasis></para>
+  <para><emphasis>訳: &a.jp.hino;、(jpman
+    プロジェクトの成果を利用させていただきました)。</emphasis></para>
 
   <sect1 xml:id="security-synopsis">
     <title>この章では</title>
 
     <para>この章では、基本的なシステムセキュリティの考え方、
       覚えておくべき一般的なルールを紹介し、
-      &os; における高度な話題について簡単に説明します
+      &os; における高度な話題について簡単に説明します。
       ここで扱う話題の多くは、
       一般的なシステムやインターネットセキュリティにもあてはまります。
       インターネットはもはや、誰もが親切な隣人であろうとする
@@ -105,8 +114,8 @@
 
 <!--    <para>Additional security topics are covered throughout this book.
       For example, Mandatory Access Control is discussed in <xref
-      linkend="mac"/> and Internet Firewalls are discussed in <xref
-      linkend="firewalls"/>.</para> -->
+	linkend="mac"> and Internet Firewalls are discussed in <xref
+	linkend="firewalls">.</para> -->
   </sect1>
 
   <sect1 xml:id="security-intro">
@@ -115,8 +124,8 @@
     <para>セキュリティとは、システム管理者をいつも悩ませる仕事の一つです。
       すべての BSD &unix; マルチユーザシステムは、
       従来からいくつかのセキュリティ機構を備えていますが、
-      ユーザを疑心暗鬼に陥らせないように追加のセキュリティ機構を構築し
-      保守する仕事はおそらく、システム管理者としてもっとも大きな責務の一つでしょう。
+      ユーザを疑心暗鬼に陥らせないように追加のセキュリティ機構を構築し保守する仕事はおそらく、
+      システム管理者としてもっとも大きな責務の一つでしょう。
       マシンの安全性に反映されるのは、管理者が作業したことだけです。
       またセキュリティ問題は、快適な環境に必要なものと競合します。
       一般に &unix; システムは膨大な数のプロセスを同時に動作させることができ、
@@ -159,11 +168,13 @@
       <primary>DoS 攻撃</primary>
       <see>サービス妨害 (DoS)</see>
     </indexterm>
+
     <indexterm>
       <primary>セキュリティ</primary>
       <secondary>DoS 攻撃</secondary>
       <see>サービス妨害 (DoS)</see>
     </indexterm>
+
     <indexterm><primary>サービス妨害 (DoS)</primary></indexterm>
 
     <para>サービス妨害攻撃 (DoS 攻撃) とは、
@@ -176,12 +187,10 @@
       パケット一つでマシンをクラッシュさせようとするものもあります。
       後者には、カーネルにバグ修正を施すことによってのみ対応することができます。
       サーバプロセスに対する攻撃は、オプションを適切に指定することによって、
-      攻撃されている状況でサーバプロセスの負荷上昇に限界を設定することで
-      対応できる場合が多いです。これらに比べると、
+      攻撃されている状況でサーバプロセスの負荷上昇に限界を設定することで対応できる場合が多いです。これらに比べると、
       ネットワークへの力任せの攻撃への対応はずっと難しくなります。
       たとえば、偽造パケットによる攻撃 (spoof-packet attack) は、
-      インターネットからシステムを切り離す以外の方法で
-      防ぐことはほとんど不可能です。
+      インターネットからシステムを切り離す以外の方法で防ぐことはほとんど不可能です。
       この攻撃によって、マシンを落としてしまうことはできないかもしれませんが、
       接続しているインターネット回線を飽和させてしまうことはできます。</para>
 
@@ -195,20 +204,26 @@
       このご時勢でも、自分たちのマシンで標準の
       <application>telnetd</application>,
       <application>rlogind</application>,
-      <application>rshd</application>, <application>ftpd</application>
-      サーバを実行させているシステ
-      ム管理者は多いのです。これらのサーバは、デフォルトでは、暗号化さ
-      れたコネクション上で動作していません。その結果、抱えているユーザ
-      数が標準くらいであれば、リモートログイン (そのシステムにログイン
-      するには最も普通で便利な方法です) しているユーザのうち一人以上は、
-      パスワードを覗き見られてしまうでしょう。システム管理者が注意深い
-      人ならば、たとえログインが成功していたとしても、リモートアクセス
-      ログを解析して、疑わしい送信元アドレスを探すものです。</para>
+      <application>rshd</application>,
+      <application>ftpd</application>
+      サーバを実行させているシステム管理者は多いのです。
+      これらのサーバは、デフォルトでは、
+      暗号化されたコネクション上で動作していません。
+      その結果、抱えているユーザ数が標準くらいであれば、リモートログイン
+      (そのシステムにログインするには最も普通で便利な方法です)
+      しているユーザのうち一人以上は、
+      パスワードを覗き見られてしまうでしょう。
+      システム管理者が注意深い人ならば、
+      たとえログインが成功していたとしても、
+      リモートアクセスログを解析して、
+      疑わしい送信元アドレスを探すものです。</para>
 
     <para>ひとたび攻撃者がユーザアカウントへのアクセス権を入手したら、
-      攻撃者は <systemitem class="username">root</systemitem> 権限を破れると仮定するべきです。
-      しかし、セキュリティを十分維持し、手入れの行き届いたシステムにおい
-      ては、あるユーザアカウントへのアクセスが可能となっても、
+      攻撃者は <systemitem class="username">root</systemitem>
+      権限を破れると仮定するべきです。
+      しかし、セキュリティを十分維持し、
+      手入れの行き届いたシステムにおいては、
+      あるユーザアカウントへのアクセスが可能となっても、
       必ずしも攻撃者に <systemitem class="username">root</systemitem>
       へのアクセス権を与えるとは限りません。この違いは重要です。
       というのは、一般的に
@@ -225,7 +240,8 @@
       <secondary>裏口 (バックドア)</secondary>
     </indexterm>
 
-    <para>システム管理者は、あるマシン上で <systemitem class="username">root</systemitem>
+    <para>システム管理者は、あるマシン上で
+      <systemitem class="username">root</systemitem>
       権限を奪取する方法は、
       潜在的に何通りもあるということを心しておかねばなりません。
       攻撃者は <systemitem class="username">root</systemitem>
@@ -233,24 +249,29 @@
       攻撃者が <systemitem class="username">root</systemitem>
       権限で実行されているサーバのバグを見つけ、
       ネットワーク接続を介して
-      <systemitem class="username">root</systemitem> 権限を破ることができるかもしれません。
+      <systemitem class="username">root</systemitem>
+      権限を破ることができるかもしれません。
       また、攻撃者は suid-root プログラムに存在するバグを知っていて、
       ユーザアカウントを破れば
-      <systemitem class="username">root</systemitem> 権限を奪取できるかもしれません。
+      <systemitem class="username">root</systemitem>
+      権限を奪取できるかもしれません。
       攻撃者があるマシン上で
-      <systemitem class="username">root</systemitem> 権限を破る方法を知ったならば、
+      <systemitem class="username">root</systemitem>
+      権限を破る方法を知ったならば、
       攻撃者は裏口を用意する必要がありません。
-      これまでに発見され、ふさがれた <systemitem class="username">root</systemitem>
+      これまでに発見され、ふさがれた
+      <systemitem class="username">root</systemitem>
       の穴の多くには、攻撃者が自分のしたことの痕跡を消そうとした作業が、
       かなりの割合で含まれています。
       そのため、ほとんどの攻撃者は裏口を作るのです。裏口は、
       攻撃者がたやすくシステムへの
-      <systemitem class="username">root</systemitem> アクセスを再び得られるようにしますが、
+      <systemitem class="username">root</systemitem>
+      アクセスを再び得られるようにしますが、
       有能な管理者に侵入を検知する便利な手段を与えるものでもあります。
       攻撃者に裏口を作らせないようにするということは、
       セキュリティにとっては実際には良くないことかもしれません。
-      なぜなら、攻撃者が最初に見つけて侵入してきたセキュリティホールは
-      ふさがれないからです。</para>
+      なぜなら、
+      攻撃者が最初に見つけて侵入してきたセキュリティホールはふさがれないからです。</para>
 
     <para>セキュリティを改善する方法は、常に、
       タマネギの皮のように階層化する手法
@@ -264,8 +285,9 @@
       </listitem>
 
       <listitem>
-	<para><systemitem class="username">root</systemitem> の安全性を高める &ndash;
-	  <systemitem class="username">root</systemitem> 権限で動作するサーバと
+	<para><systemitem class="username">root</systemitem>
+	  の安全性を高める &ndash; <systemitem
+	    class="username">root</systemitem> 権限で動作するサーバと
 	  suid/sgid バイナリ。</para>
       </listitem>
 
@@ -278,13 +300,13 @@
       </listitem>
 
       <listitem>
-	<para>カーネルのコア、raw デバイス、ファイルシステムの安全性を
-	高める。</para>
+	<para>カーネルのコア、raw デバイス、
+	  ファイルシステムの安全性を高める。</para>
       </listitem>
 
       <listitem>
-	<para>システムに対して行なわれた、不適切な変更をすばやく検出す
-	る。</para>
+	<para>システムに対して行なわれた、
+	  不適切な変更をすばやく検出する。</para>
       </listitem>
 
       <listitem>
@@ -292,12 +314,13 @@
       </listitem>
     </orderedlist>
 
-    <para>本章の次の節では、上記の各項目についてより深く掘り下げていき
-      ます。</para>
+    <para>本章の次の節では、
+      上記の各項目についてより深く掘り下げていきます。</para>
   </sect1>
 
   <sect1 xml:id="securing-freebsd">
     <title>&os; の安全性を高める</title>
+
     <indexterm>
       <primary>セキュリティ</primary>
       <secondary>&os; の安全性を高める</secondary>
@@ -305,6 +328,7 @@
 
     <note>
       <title>コマンド対プロトコル</title>
+
       <para>この文書を通して、アプリケーションを指すのには
 	<application>太字</application> を使い、
 	コマンドを指す場合には、<command>等幅</command> フォントを使います。
@@ -314,91 +338,98 @@
 	ssh などに対して有効です。</para>
     </note>
 
-  <indexterm>
-    <primary>セキュリティ</primary>
-    <secondary>安全性を高める</secondary>
-  </indexterm>
-
-    <para>以下の節では、本章の<link linkend="security-intro">前節
-      </link>でとりあげた &os; システムの安全性を高める方法について
-      述べます。</para>
+    <para>以下の節では、本章の <link
+	linkend="security-intro">前節</link> でとりあげた &os;
+      システムの安全性を高める方法について述べます。</para>
 
     <sect2 xml:id="securing-root-and-staff">
       <title><systemitem class="username">root</systemitem>
 	アカウントとスタッフアカウントの安全性を高める</title>
+
       <indexterm>
 	<primary><command>su</command></primary>
       </indexterm>
 
       <para><systemitem class="username">root</systemitem>
-	のアカウントの安全性を確保しないうちから
-	スタッフのアカウントの安全性をうんぬんしてもしかたがありません。
+	のアカウントの安全性を確保しないうちからスタッフのアカウントの安全性をうんぬんしてもしかたがありません。
 	ほとんどのシステムでは、<systemitem class="username">root</systemitem>
-	アカウントに割り当てたパスワードが 1 つあり
-	ます。まず最初にすべきことは、このパスワードは<emphasis>いつで
-	も</emphasis>不正利用の危険に晒されていると仮定することです。これは
-	<systemitem class="username">root</systemitem>
+	アカウントに割り当てたパスワードが 1
+	つあります。まず最初にすべきことは、
+	このパスワードは<emphasis>いつでも</emphasis>不正利用の危険に晒されていると仮定することです。
+	これは <systemitem class="username">root</systemitem>
 	のパスワードを消すべきだと言っているのではありません。
 	<systemitem class="username">root</systemitem>
 	のパスワードは、マシンにコンソールからアクセスするのには、
-	ほとんどいつでも必要なものです。ここで言いたいのは、コンソール
-	以外からは、そして可能なら &man.su.1; コマンドを実行する場合も
+	ほとんどいつでも必要なものです。
+	ここで言いたいのは、コンソール以外からは、
+	そして可能なら &man.su.1; コマンドを実行する場合も
 	<systemitem class="username">root</systemitem>
-	のパスワードを使えないようにするべきである、ということで
-	す。たとえば、あなたが使っている pty が、
-	<filename>/etc/ttys</filename> ファイルで insecure と指定
-	されているか確認してください。そうすると、
+	のパスワードを使えないようにするべきである、ということです。
+	たとえば、あなたが使っている pty が、
+	<filename>/etc/ttys</filename> ファイルで insecure
+	と指定されているか確認してください。そうすると、
 	<command>telnet</command> や <command>rlogin</command> 経由では
-	<systemitem class="username">root</systemitem> で直接ログインできないようになります。
+	<systemitem class="username">root</systemitem>
+	で直接ログインできないようになります。
 	これは、<filename>/etc/ssh/sshd_config</filename> を編集して
 	<literal>PermitRootLogin</literal> に <literal>no</literal>
 	が設定されるようにすることで実現できます。
-	<application>sshd</application> のような、別のログインサービス
-	を使っている場合でも同様に、直接 <systemitem class="username">root</systemitem>
-	へログインすることを許し
-	ていないかどうか確認してください。すべてのアクセス手段 &mdash;
-	たとえば FTP
+	<application>sshd</application> のような、
+	別のログインサービスを使っている場合でも同様に、直接
+	<systemitem class="username">root</systemitem>
+	へログインすることを許していないかどうか確認してください。
+	すべてのアクセス手段 &mdash; たとえば FTP
 	のようなサービスが、良くクラックの対象となることを考えましょう。
 	<systemitem class="username">root</systemitem> への直接ログインは、
 	システムコンソール経由でのみ可能であるべきなのです。</para>
+
       <indexterm>
 	<primary><systemitem class="groupname">wheel</systemitem></primary>
       </indexterm>
 
-      <para>また当然、システム管理者として自分が <systemitem class="username">root</systemitem>
-	になれるようにしておく必要が
-	ありますから、そのための穴をいくつか開けておきます。し
-	かし、それらの穴を動作させるには、さらに追加のパスワード認証が
-	必要であるようにしておくことが重要です。
-	<systemitem class="username">root</systemitem> でアクセス可能と
-	する方法の一つとして、適切なスタッフアカウントを
+      <para>また当然、システム管理者として自分が
+	<systemitem class="username">root</systemitem>
+	になれるようにしておく必要がありますから、
+	そのための穴をいくつか開けておきます。
+	しかし、それらの穴を動作させるには、
+	さらに追加のパスワード認証が必要であるようにしておくことが重要です。
+	<systemitem class="username">root</systemitem>
+	でアクセス可能とする方法の一つとして、適切なスタッフアカウントを
 	(<filename>/etc/group</filename> 中の)
-	<systemitem class="groupname">wheel</systemitem> グループに加えることがあります。
-	<systemitem class="groupname">wheel</systemitem> グループに入っているスタッフメンバは
+	<systemitem class="groupname">wheel</systemitem>
+	グループに加えることがあります。
+	<systemitem class="groupname">wheel</systemitem>
+	グループに入っているスタッフメンバは
 	<command>su</command> を使って
 	<systemitem class="username">root</systemitem> になることが許されます。
 	パスワードエントリにおいて、スタッフメンバを
-	<systemitem class="groupname">wheel</systemitem> グループに置くことによって直接
+	<systemitem class="groupname">wheel</systemitem>
+	グループに置くことによって直接
 	<systemitem class="groupname">wheel</systemitem>
 	権限を与えてはいけません。スタッフメンバのアカウントは
-	<systemitem class="groupname">staff</systemitem> グループに所属させるべきで、その上で
+	<systemitem class="groupname">staff</systemitem>
+	グループに所属させるべきで、その上で
 	<filename>/etc/group</filename> ファイルを通して
-	<systemitem class="groupname">wheel</systemitem> グループに加えるべきです。実際に
-	<systemitem class="username">root</systemitem> アクセスの必要なスタッフメンバのみ
-	<systemitem class="groupname">wheel</systemitem> グループに置くようにすべきです。
+	<systemitem class="groupname">wheel</systemitem>
+	グループに加えるべきです。実際に
+	<systemitem class="username">root</systemitem>
+	アクセスの必要なスタッフメンバのみ
+	<systemitem class="groupname">wheel</systemitem>
+	グループに置くようにすべきです。
 	他の認証方法の場合、たとえば Kerberos を使用する場合には、
 	<systemitem class="username">root</systemitem> アカウントの
 	Kerberos <filename>.k5login</filename> ファイルを使えば、誰も
 	<systemitem class="groupname">wheel</systemitem> グループに置く必要なく
 	<systemitem class="username">root</systemitem> に &man.ksu.1;
-	することを許可できます。このやり
-	方はよりよい解決策なのかもしれません。なぜなら、
-	<literal>wheel</literal> のメカニズムでは、侵入者がパスワード
-	ファイルを手に入れ、スタッフアカウントのいずれか 1 つを破るこ
-	とができると、
-	<systemitem class="username">root</systemitem> を破ることがまだできてしまうからです。
-	<systemitem class="groupname">wheel</systemitem> のメカニズムを用いる方が、
-	何もしないよりは良いのですが、
+	することを許可できます。
+	このやり方はよりよい解決策なのかもしれません。なぜなら、
+	<literal>wheel</literal> のメカニズムでは、
+	侵入者がパスワードファイルを手に入れ、スタッフアカウントのいずれか
+	1 つを破ることができると、
+	<systemitem class="username">root</systemitem>
+	を破ることがまだできてしまうからです。
+	<systemitem class="groupname">wheel</systemitem>
+	のメカニズムを用いる方が、何もしないよりは良いのですが、
 	必ずしも最も安全な選択肢とは限りません。</para>
 
       <para>アカウントを完全にロックするには、
@@ -430,40 +461,42 @@
 	ユーザが &man.ssh.1;
 	の鍵を設定するなどといった認証手段を利用しなければなりません。</para>
 
-      <para>これらのセキュリティの仕組みでは、制限の強いサーバから
-	制限の弱いサーバへログインすることを前提としています。たとえば、
-	メインマシンで、様々な種類のサーバを実行させている場合、ワーク
-	ステーションではそれらのサーバを実行させてはなりません。ワーク
-	ステーションを十分に安全にしておくためには、実行するサーバの数
-	を、一つもサーバが実行されていないというくらいにまでできる限り
-	減らすべきです。また、パスワードで保護されたスクリーンセーバを
-	走らせておくべきです。ワークステーションへの物理的アクセスが与
-	えられたとすると、もちろん言うまでもなく、攻撃者は管理者が設定
-	したいかなる種類のセキュリティをもうち破ることができるのです。
+      <para>これらのセキュリティの仕組みでは、
+	制限の強いサーバから制限の弱いサーバへログインすることを前提としています。
+	たとえば、メインマシンで、様々な種類のサーバを実行させている場合、
+	ワークステーションではそれらのサーバを実行させてはなりません。
+	ワークステーションを十分に安全にしておくためには、
+	実行するサーバの数を、
+	一つもサーバが実行されていないというくらいにまでできる限り減らすべきです。
+	また、パスワードで保護されたスクリーンセーバを走らせておくべきです。
+	ワークステーションへの物理的アクセスが与えられたとすると、
+	もちろん言うまでもなく、
+	攻撃者は管理者が設定したいかなる種類のセキュリティをもうち破ることができるのです。
 	このことは、管理者として必ず考えておかねばならない問題ですが、
-	システム破りの大多数は、ネットワーク経由でリモートから、ワーク
-	ステーションやサーバへの物理的アクセス手段を持たない人々によっ
-	て行われるという事実もまた、念頭に置いておく必要があります。
-	</para>
+	システム破りの大多数は、ネットワーク経由でリモートから、
+	ワークステーションやサーバへの物理的アクセス手段を持たない人々によって行われるという事実もまた、
+	念頭に置いておく必要があります。</para>
 
       <para>Kerberos のような方法を使うことで、
-	スタッフアカウントのパ
-	スワードの変更もしくは停止を一箇所で行なうことと、スタッフメン
-	バがアカウントを持つすべてのマシンに即時にその効果を及ぼすこと
-	が可能となります。スタッフメンバのアカウントが危険に晒されたと
-	きに、すべてのマシンでスタッフメンバのパスワードを即座に変更す
-	る能力を過小評価してはいけません。パスワードが分散されている状
-	況では、N 台のマシンでパスワードを変更すると、てんやわんやの事
-	態を招く可能性があります。Kerberos を使用すると、パスワードの
-	再発行に制限 (re-passwording restriction) を課することもできま
-	す。この機能を使うことにより、ある Kerberos チケットをしばらく
-	経つとタイムアウトにすることができるだけでなく、一定期間 ( 例
-	えば、1 ヶ月に 1 回) 経つと、ユーザに新しいパスワードを選ぶよ
-	うに要求することもできます。</para>
+	スタッフアカウントのパスワードの変更もしくは停止を一箇所で行なうことと、
+	スタッフメンバがアカウントを持つすべてのマシンに即時にその効果を及ぼすことが可能となります。
+	スタッフメンバのアカウントが危険に晒されたときに、
+	すべてのマシンでスタッフメンバのパスワードを即座に変更する能力を過小評価してはいけません。
+	パスワードが分散されている状況では、
+	N 台のマシンでパスワードを変更すると、
+	てんやわんやの事態を招く可能性があります。
+	Kerberos を使用すると、パスワードの再発行に制限
+	(re-passwording restriction) を課することもできます。
+	この機能を使うことにより、ある Kerberos
+	チケットをしばらく経つとタイムアウトにすることができるだけでなく、
+	一定期間 (例えば、1 ヶ月に 1 回) 経つと、
+	ユーザに新しいパスワードを選ぶように要求することもできます。</para>
     </sect2>
 
     <sect2>
-      <title>root 権限で実行されているサーバと SUID/SGID バイナリの安全性を高める</title>
+      <title>root 権限で実行されているサーバと
+	SUID/SGID バイナリの安全性を高める</title>
+
       <indexterm>
 	<primary><command>ntalk</command></primary>
       </indexterm>
@@ -489,49 +522,58 @@
 	<primary><application>rlogind</application></primary>
       </indexterm>
 
-      <para>用心深いシステム管理者は、自分に必要なサーバプロセスだけを
-	過不足なく実行させるものです。サードパーティ製のサーバは、よくバグを持っ
-	ていがちだということに注意して下さい。たとえば、古いバージョンの
+      <para>用心深いシステム管理者は、
+	自分に必要なサーバプロセスだけを過不足なく実行させるものです。
+	サードパーティ製のサーバは、
+	よくバグを持っていがちだということに注意して下さい。
+	たとえば、古いバージョンの
 	<application>imapd</application> や
 	<application>popper</application>
-	を実行させておくのは、全世界に万能の <systemitem class="username">root</systemitem>
-	の切符を与えているようなものです。自分で注意深くチェックしていない
-	サーバは、決して実行してはいけません。<systemitem class="username">root</systemitem>
+	を実行させておくのは、全世界に万能の
+	<systemitem class="username">root</systemitem>
+	の切符を与えているようなものです。
+	自分で注意深くチェックしていないサーバは、
+	決して実行してはいけません。
+	<systemitem class="username">root</systemitem>
 	で実行させる必要のあるサーバはほとんどありません。たとえば、
 	<application>ntalk</application>,
 	<application>comsat</application>,
-	<application>finger</application> デーモンを、専用ユーザの
-	<firstterm>砂場 (sandbox)</firstterm> で実行させることができます。
+	<application>finger</application> デーモンを、
+	専用ユーザの <firstterm>砂場 (sandbox)</firstterm>
+	で実行させることができます。
 	管理者が膨大な数の問題を経験していないのなら、
-	この「砂場」は完
-	璧ではありませんが、セキュリティに関するタマネギ的アプローチは
-	ここでも成り立ちます。砂場で実行されているサーバプロセスを経由
-	して侵入を果たすことができたとしても、攻撃者はさらに砂場から外
-	に脱出しなければなりません。攻撃者が通過せねばならない層の数が
-	増えれば増えるほど、それだけ攻撃者が侵入に成功する確率が減りま
-	す。Root の抜け穴は歴史的に、基本システムサーバも含め、
+	この「砂場」は完璧ではありませんが、
+	セキュリティに関するタマネギ的アプローチはここでも成り立ちます。
+	砂場で実行されているサーバプロセスを経由して侵入を果たすことができたとしても、
+	攻撃者はさらに砂場から外に脱出しなければなりません。
+	攻撃者が通過せねばならない層の数が増えれば増えるほど、
+	それだけ攻撃者が侵入に成功する確率が減ります。
+	Root の抜け穴は歴史的に、基本システムサーバも含め、
 	<systemitem class="username">root</systemitem>
 	権限で実行されるほとんどすべてのサーバプロセスで発見されています。
 	ユーザが <application>sshd</application> 経由でのみログインし、
 	<application>telnetd</application>,
 	<application>rshd</application>,
-	<application>rlogind</application> 経由でログインすることが決
-	してないマシンを稼働させているのであれば、それらのサービスを停
-	止させて下さい!</para>
+	<application>rlogind</application>
+	経由でログインすることが決してないマシンを稼働させているのであれば、
+	それらのサービスを停止させて下さい!</para>
 
-      <para>&os; では、今では <application>ntalkd</application>,
+      <para>&os; では、今では
+	<application>ntalkd</application>,
 	<application>comsat</application>,
-	<application>finger</application> は砂場で実行させることがデフォ
-	ルトになっています。次に砂場で実行させるべきプログラムの候補と
-	して、&man.named.8; があります。
+	<application>finger</application>
+	は砂場で実行させることがデフォルトになっています。
+	次に砂場で実行させるべきプログラムの候補として、
+	&man.named.8; があります。
 	<filename>/etc/defaults/rc.conf</filename> ファイルには、
-	<application>named</application> を砂場で実行するために必要な
-	引数がコメントアウトされた形式で含まれています。新しいシステム
-	をインストールしているか、それとも既存のシステムをアップグレー
-	ドして使っているかに依存しますが、砂場として使用する特別のユー
-	ザアカウントがインストールされていないかもしれません。用心深い
-	システム管理者であれば、できるだけいつでも研究を怠らず、サーバ
-	に砂場を仕込むものでしょう。</para>
+	<application>named</application>
+	を砂場で実行するために必要な引数がコメントアウトされた形式で含まれています。
+	新しいシステムをインストールしているか、
+	それとも既存のシステムをアップグレードして使っているかに依存しますが、
+	砂場として使用する特別のユーザアカウントがインストールされていないかもしれません。
+	用心深いシステム管理者であれば、できるだけいつでも研究を怠らず、
+	サーバに砂場を仕込むものでしょう。</para>
+
       <indexterm>
 	<primary><application>sendmail</application></primary>
       </indexterm>
@@ -540,54 +582,60 @@
 	<application>sendmail</application>,
 	<application>popper</application>,
 	<application>imapd</application>,
-	<application>ftpd</application> などです。これらのうちいくつか
-	のサーバには代わりとなるものがありますが、代わりのものをインス
-	トールするには、あなたが思うより多くの仕事が必要になるかもしれ
-	ません (便利さという要素がまたも勝利を収めるわけです)。これら
-	のサーバは、<systemitem class="username">root</systemitem>
+	<application>ftpd</application> などです。
+	これらのうちいくつかのサーバには代わりとなるものがありますが、
+	代わりのものをインストールするには、
+	あなたが思うより多くの仕事が必要になるかもしれません
+	(便利さという要素がまたも勝利を収めるわけです)。
+	これらのサーバは、<systemitem class="username">root</systemitem>
 	権限で実行しなければばならないかもしれません。また、
-	これらのサーバ経由で生じる侵入を検出するためには、他の仕組みに
-	頼らなくてはならないかもしれません。</para>
+	これらのサーバ経由で生じる侵入を検出するためには、
+	他の仕組みに頼らなくてはならないかもしれません。</para>
 
       <para>システムの <systemitem class="username">root</systemitem>
-	権限の潜在的な穴で他に大きなものには、シ
-	ステムにインストールされた suid-root/sgid バイナリがあります。
-	これらのバイナリは、<application>rlogin</application> のように、
-	<filename class="directory">/bin</filename>, <filename
-	class="directory">/sbin</filename>, <filename
-	class="directory">/usr/bin</filename> または <filename
-	class="directory">/usr/sbin</filename>
-	に存在するものがほとんどです。100% 安全なものは存在しないとは
-	いえ、システムデフォルトの siud/sgid バイナリは比較的安全とい
-	えます。それでもなお、<systemitem class="username">root</systemitem>
+	権限の潜在的な穴で他に大きなものには、
+	システムにインストールされた suid-root/sgid バイナリがあります。
+	これらのバイナリは、
+	<application>rlogin</application> のように、<filename
+	  class="directory">/bin</filename>, <filename
+	  class="directory">/sbin</filename>, <filename
+	  class="directory">/usr/bin</filename> または <filename
+	  class="directory">/usr/sbin</filename>
+	に存在するものがほとんどです。
+	100% 安全なものは存在しないとはいえ、
+	システムデフォルトの siud/sgid バイナリは比較的安全といえます。
+	それでもなお、<systemitem class="username">root</systemitem>
 	セキュリティホールがこれらのバイナリにときおり発見されています。
 	1998 年に <application>xterm</application>
 	(普通、suid 設定されています) を脆弱にしていた
-	<literal>Xlib</literal> の <systemitem class="username">root</systemitem>
+	<literal>Xlib</literal> の
+	<systemitem class="username">root</systemitem>
 	セキュリティホールが見つかりました。
 	安全である方がよいので、
-	用心深いシステム管理者は残念に思いながらも、スタッフのみが実行
-	する必要がある suid バイナリは、スタッフのみがアクセス可能な特
-	別なグループに含めるように制限を加え、誰も使わない suid バイナ
-	リは (<command>chmod 000</command> を実行して) 片付けてしまう
-	でしょう。ディスプレイを持たないサーバは、一般的に
+	用心深いシステム管理者は残念に思いながらも、
+	スタッフのみが実行する必要がある suid バイナリは、
+	スタッフのみがアクセス可能な特別なグループに含めるように制限を加え、
+	誰も使わない suid バイナリは
+	(<command>chmod 000</command> を実行して) 片付けてしまうでしょう。
+	ディスプレイを持たないサーバは、一般的に
 	<application>xterm</application> のバイナリを必要としません。
-	sgid バイナリもほとんど同様の危険な存在になり得ます。侵入者が
-	kmem に sgid されたバイナリを破ることができた場合、その侵入者
-	は <filename>/dev/kmem</filename> を読み出すことができるように
-	なるでしょう。つまり、暗号化されたパスワードファイルを読み出す
-	ことができるようになるので、パスワードを持つどのアカウントをも、
+	sgid バイナリもほとんど同様の危険な存在になり得ます。
+	侵入者が kmem に sgid されたバイナリを破ることができた場合、
+	その侵入者は <filename>/dev/kmem</filename>
+	を読み出すことができるようになるでしょう。つまり、
+	暗号化されたパスワードファイルを読み出すことができるようになるので、
+	パスワードを持つどのアカウントをも、
 	潜在的な危険に晒すことになります。他にも、
-	<literal>kmem</literal> グループを破った侵入者が pty を通して
-	送られたキーストロークを監視できるという危険があります。キース
-	トロークには、安全な方法でログインするユーザが使っている pty
+	<literal>kmem</literal> グループを破った侵入者が pty
+	を通して送られたキーストロークを監視できるという危険があります。
+	キーストロークには、安全な方法でログインするユーザが使っている pty
 	も含まれます。
-	<systemitem class="groupname">tty</systemitem> グループを破った侵入者は、ほぼ任意のユーザの
-	tty へ書き込みができます。ユーザが端末プログラムやキーボードを
-	シミュレーションする機能を持ったエミュレータを使っている場合、
-	侵入者は潜在的に、結局そのユーザとして実行されるコマンドをユー
-	ザの端末にエコーさせるデータストリームを生成できる可能性があり
-	ます。</para>
+	<systemitem class="groupname">tty</systemitem>
+	グループを破った侵入者は、ほぼ任意のユーザの
+	tty へ書き込みができます。
+	ユーザが端末プログラムやキーボードをシミュレーションする機能を持ったエミュレータを使っている場合、
+	侵入者は潜在的に、
+	結局そのユーザとして実行されるコマンドをユーザの端末にエコーさせるデータストリームを生成できる可能性があります。</para>
     </sect2>
 
     <sect2 xml:id="secure-users">
@@ -596,16 +644,14 @@
       <para>ユーザアカウントは、普通、安全性を高めることが最も困難です。
 	スタッフに対しては、とても厳格なアクセス制限を強制しパスワードを
 	<quote>アスタリスク</quote> で外すことができるでしょうが、
-	管理者が
-	持ちうる一般ユーザすべてのアカウントに対して同じことはできない
-	かもしれません。管理者が十分に統率をとることができるなら、管理
-	者は勝利し、ユーザのアカウントの安全を適切に確保できるかもしれ
-	ません。それができないならば、よりいっそう気を配って一般ユーザ
-	のアカウントを監視するよりほかありません。
+	管理者が持ちうる一般ユーザすべてのアカウントに対して同じことはできないかもしれません。
+	管理者が十分に統率をとることができるなら、管理者は勝利し、
+	ユーザのアカウントの安全を適切に確保できるかもしれません。
+	それができないならば、
+	よりいっそう気を配って一般ユーザのアカウントを監視するよりほかありません。
 	一般ユーザアカウントに対し ssh や Kerberos を利用することには、
-	システム管理がさらに増えたりテクニカルサポートが必要に
-	なるなどの問題があります。それでも、暗号化パスワードファイルと
-	比較するとはるかに良い解です。</para>
+	システム管理がさらに増えたりテクニカルサポートが必要になるなどの問題があります。
+	それでも、暗号化パスワードファイルと比較するとはるかに良い解です。</para>
     </sect2>
 
     <sect2>
@@ -615,13 +661,15 @@
 	それらのアカウントのアクセスには
 	ssh や Kerberos を使うようにすることが、唯一の確実な方法です。
 	暗号化パスワードファイル
-	(<filename>/etc/spwd.db</filename>) は <systemitem class="username">root</systemitem>
+	(<filename>/etc/spwd.db</filename>) は
+	<systemitem class="username">root</systemitem>
 	でのみ読み出し可能だけれども、
 	たとえ、侵入者が root の書き込み権限は得られなくとも、
 	読み出しアクセス権限を得ることは可能かもしれません。</para>
 
       <para>セキュリティスクリプトで常にパスワードファイルの変更をチェッ
-	クし、報告するようにすべきです (<link linkend="security-integrity">ファイルの完全性のチェック</link>
+	クし、報告するようにすべきです (<link
+	  linkend="security-integrity">ファイルの完全性のチェック</link>
 	節参照)。</para>
     </sect2>
 
@@ -630,30 +678,32 @@
       高める</title>
 
       <para><systemitem class="username">root</systemitem>
-	の権限を破ると、攻撃者はほとんど何でもできますが、特に重宝さ
-	れる特定の事柄もいくつかあります。たとえば、最近のカーネルは、組
-	み込みのパケット覗き見デバイス (packet sniffing device) ドライ
-	バを備えているものがほとんどです。&os; では
-	<filename>bpf</filename> デバイスと呼ばれています。侵入者
-	は普通、侵入済みのマシンでパケット覗き見プログラムを実行させよ
-	うと試みます。侵入者にわざわざそういう機能を提供する必要はない
-	ので、ほとんどのシステムで <filename>bpf</filename>
+	の権限を破ると、攻撃者はほとんど何でもできますが、
+	特に重宝される特定の事柄もいくつかあります。
+	たとえば、最近のカーネルは、組み込みのパケット覗き見デバイス
+	(packet sniffing device) ドライバを備えているものがほとんどです。
+	&os; では <filename>bpf</filename> デバイスと呼ばれています。
+	侵入者は普通、
+	侵入済みのマシンでパケット覗き見プログラムを実行させようと試みます。
+	侵入者にわざわざそういう機能を提供する必要はないので、
+	ほとんどのシステムで <filename>bpf</filename>
 	デバイスを組み込むべきではありません。</para>
 
       <indexterm>
 	<primary><command>sysctl</command></primary>
       </indexterm>
+
       <para><filename>bpf</filename> デバイスを外しても、
 	<filename>/dev/mem</filename> と
 	<filename>/dev/kmem</filename>
 	という悩みの種がまだ残っています。この問題に関しては、侵入者は
 	raw ディスクデバイスに書き込
-	むこともできます。ほかにも、モジュールローダ、&man.kldload.8; とい
-	う、別のカーネル機能があります。やる気まんまんの侵入者は、KLD
+	むこともできます。ほかにも、モジュールローダ、&man.kldload.8;
+	という、別のカーネル機能があります。やる気まんまんの侵入者は、KLD
 	モジュールを使って自分独自の <filename>bpf</filename>
-	もしくはその他覗き見デバイス
-	を動作中のカーネルにインストールできます。この問題を
-	避けるため、システム管理者はカーネルをより高いセキュアレベル、
+	もしくはその他覗き見デバイスを動作中のカーネルにインストールできます。
+	この問題を避けるため、
+	システム管理者はカーネルをより高いセキュアレベル、
 	少なくともセキュアレベル 1 で実行させる必要があります。</para>
 
       <para>カーネルのセキュアレベルはいくつかの方法で設定できます。
@@ -723,93 +773,101 @@
 	すべてのシステムファイルとディレクトリに <literal>schg</literal>
 	フラグを設定しないというところで妥協するという手もあります。
 	もう一つの可能性としては、単純に
-	<filename class="directory">/</filename> および
-	<filename class="directory">/usr</filename>
+	<filename class="directory">/</filename> および	<filename
+	  class="directory">/usr</filename>
 	を読み込み専用でマウントすることです。
 	ここで特筆すべきことは、システムを守ろうとして厳しくしすぎると、
 	侵入を検出するという非常に重要なことができなくなってしまうということです。</para>
     </sect2>
 
     <sect2 xml:id="security-integrity">
-      <title>ファイルの完全性のチェック: バイナリ、設定ファイルなど
-      </title>
+      <title>ファイルの完全性のチェック: バイナリ、
+	設定ファイルなど</title>
 
-      <para>ことこの問題に至ると、システム管理者にできることは、便利さ
-	という要素がその醜い頭を上げない程度に、コアシステムの設定と制
-	御ファイルを防御することだけです。たとえば、
-	<filename class="directory">/</filename> および
-	<filename class="directory">/usr</filename>
-	にある大部分のファイルに <literal>schg</literal> ビットを設定するた
-	めに <command>chflags</command> を使用するのは、おそらく逆効果
-	でしょう。なぜなら、そうすることでファイルは保護できますが、侵
-	入を検出する窓を閉ざしてしまうことにもなるからです。セキュリティ
-	のタマネギの最後の層はおそらく最も重要なもの &mdash; 検出で
-	す。セキュリティの残りのものは、突然の侵入を検出できなければ、
-	まったく有用ではありません (あるいは、もっと悪ければ、安全性に
-	対する間違った感覚を植え付けてしまいます)。
+      <para>ことこの問題に至ると、システム管理者にできることは、
+	便利さという要素がその醜い頭を上げない程度に、
+	コアシステムの設定と制御ファイルを防御することだけです。
+	たとえば、<filename
+	  class="directory">/</filename> および	<filename
+	  class="directory">/usr</filename>
+	にある大部分のファイルに <literal>schg</literal>
+	ビットを設定するために <command>chflags</command>
+	を使用するのは、おそらく逆効果でしょう。
+	なぜなら、そうすることでファイルは保護できますが、
+	侵入を検出する窓を閉ざしてしまうことにもなるからです。
+	セキュリティのタマネギの最後の層はおそらく最も重要なもの
+	&mdash; 検出です。
+	セキュリティの残りのものは、突然の侵入を検出できなければ、
+	まったく有用ではありません
+	(あるいは、もっと悪ければ、
+	安全性に対する間違った感覚を植え付けてしまいます)。
 	タマネギの仕事の半分は、
 	攻撃者を攻撃の最中に捕えるようにするために、
 	攻撃者を食い止めるのではなく侵入を遅らせることなのです。</para>
 
-      <para>侵入を検出する最も良い方法は、変更されていたり、消えていた
-	り、入れた覚えがないのに入っているファイルを探すことです。変更
-	されたファイルを探すのに最も良い方法は、もう一つの (しばしば中
-	央に集められた)、アクセスが制限されたシステムから行なうもので
-	す。さらに安全でアクセス制限されたシステム上でセキュリティ用ス
-	クリプトを書けば、
+      <para>侵入を検出する最も良い方法は、変更されていたり、
+	消えていたり、入れた覚えがないのに入っているファイルを探すことです。
+	変更されたファイルを探すのに最も良い方法は、もう一つの
+	(しばしば中央に集められた)、
+	アクセスが制限されたシステムから行なうものです。
+	さらに安全でアクセス制限されたシステム上でセキュリティ用スクリプトを書けば、
 	スクリプトは潜在的な攻撃者からはほぼ見えなくなります。
-	これは重要なことです。この有効性を最大限に活用
-	するためには、一般的に、アクセスの制限されたマシンから実際に使っている他のマシンへのかなりのアクセスを許可する必要があります。普
-	通は、他のマシンからアクセス制限されたマシンへ読み込み専用の
+	これは重要なことです。
+	この有効性を最大限に活用するためには、一般的に、
+	アクセスの制限されたマシンから実際に使っている他のマシンへのかなりのアクセスを許可する必要があります。
+	普通は、他のマシンからアクセス制限されたマシンへ読み込み専用の
 	NFS エクスポートをしたり、アクセス制限されたマシンから他のマシンへ
 	ssh 接続を行なうために、
 	ssh 鍵のペアを作ったりすることで行います。
-	ネットワークのトラフィックを別にして、NFS は最も可視性
-	のない方法です &mdash; 各クライアント上のファイルシステムを、
-	事実上検出されずに監視できるようになります。アクセス制限された
-	サーバがスイッチを通してクライアントに接続されている場合、たい
-	てい NFS がより良い選択肢です。アクセス制限されたサーバがハブ
-	や、いくつかのルーティング層を通してクライアントに接続している場合、
+	ネットワークのトラフィックを別にして、
+	NFS は最も可視性のない方法です &mdash;
+	各クライアント上のファイルシステムを、
+	事実上検出されずに監視できるようになります。
+	アクセス制限されたサーバがスイッチを通してクライアントに接続されている場合、
+	たいてい NFS がより良い選択肢です。
+	アクセス制限されたサーバがハブや、
+	いくつかのルーティング層を通してクライアントに接続している場合、
 	NFS は (ネットワークの面で) あまりにも危険なので、
 	ssh の方が認証を行った跡は残りますが、良い方法でしょう。</para>
 
-      <para>アクセス制限されたマシンに、監視しようとするクライアントシ
-	ステムへの少なくとも読み込みのアクセス権を与えたら、次に実際に
-	監視するためのスクリプトを書かなくてはいけません。NFS マウント
-	をすれば、&man.find.1; や &man.md5.1; などの単純なシステムユー
-	ティリティでスクリプトを書くことができます。少なくとも 1 日 1
-	回、クライアントのファイルを直接 md5 にかけ、さらにもっと頻繁
-	に <filename class="directory">/etc</filename> および
-	<filename class="directory">/usr/local/etc</filename>
-	にあるようなコントロール用
-	ファイルを試験するのが一番です。アクセス制限されたマシンが正し
-	いと知っている、基となる md5 情報と比べて違いが見つかった場合、
-	システム管理者に調べて欲しいと悲鳴を上げるようにすべきです。優
-	れたセキュリティ用スクリプトは、
-	<filename class="directory">/</filename> および
-	<filename class="directory">/usr</filename>
+      <para>アクセス制限されたマシンに、
+	監視しようとするクライアントシステムへの少なくとも読み込みのアクセス権を与えたら、
+	次に実際に監視するためのスクリプトを書かなくてはいけません。
+	NFS マウントをすれば、&man.find.1; や &man.md5.1;
+	などの単純なシステムユーティリティでスクリプトを書くことができます。
+	少なくとも 1 日 1 回、クライアントのファイルを直接 md5 にかけ、
+	さらにもっと頻繁に <filename
+	  class="directory">/etc</filename> および <filename
+	  class="directory">/usr/local/etc</filename>
+	にあるようなコントロール用ファイルを試験するのが一番です。
+	アクセス制限されたマシンが正しいと知っている、
+	基となる md5 情報と比べて違いが見つかった場合、
+	システム管理者に調べて欲しいと悲鳴を上げるようにすべきです。
+	優れたセキュリティ用スクリプトは、<filename
+	  class="directory">/</filename> および	<filename
+	  class="directory">/usr</filename>
 	などのシステムパーティション上で不適当に
-	suid されたバイナリや、新たに作成されたファイルや削除され
-	たファイルがないかどうかを調べるでしょう。</para>
+	suid されたバイナリや、
+	新たに作成されたファイルや削除されたファイルがないかどうかを調べるでしょう。</para>
 
       <para>NFS ではなく、ssh を使用する場合は、
-	セキュリティ用スクリプトを書くのはずっと難しいことで
-	す。スクリプトを動かすためには、クライアントに対してスクリプト
-	を <command>scp</command> しなくてはいけませんし、それは目に見
-	えてしまいます。そして、安全のためには、スクリプトが使うバイナ
-	リ (find など) を <command>scp</command> する必要もあります。
+	セキュリティ用スクリプトを書くのはずっと難しいことです。
+	スクリプトを動かすためには、クライアントに対してスクリプトを
+	<command>scp</command> しなくてはいけませんし、
+	それは目に見えてしまいます。
+	そして、安全のためには、スクリプトが使うバイナリ (find など) を
+	<command>scp</command> する必要もあります。
 	クライアントマシンの <application>ssh</application>
 	クライアントはすでに攻撃されてしまっているかもしれません。
 	結局のところ、安全でないリンク上の場合は
 	ssh は必要かもしれませんが、ssh
 	を扱うのはとても大変なことです。</para>
 
-      <para>優れたセキュリティ用スクリプトは、ユーザやスタッフメンバの
-	アクセス設定ファイルの変更もチェックするものです。
+      <para>優れたセキュリティ用スクリプトは、
+	ユーザやスタッフメンバのアクセス設定ファイルの変更もチェックするものです。
 	<filename>.rhosts</filename>, <filename>.shosts</filename>,
-	<filename>.ssh/authorized_keys</filename> など
-	<literal>MD5</literal> チェックの範囲外になってしまうであろう
-	ファイル群です。</para>
+	<filename>.ssh/authorized_keys</filename> など <literal>MD5</literal>
+	チェックの範囲外になってしまうであろうファイル群です。</para>
 
       <para>ユーザ用のディスク容量が非常に大きい場合は、パーティション
 	上の各ファイルを見て回るのに大変な時間がかかるかもしれません。
@@ -824,41 +882,46 @@
       <para>プロセスアカウンティング (&man.accton.8; 参照) は、
 	マシンへの侵入を検出するためのメカニズムとして推奨できる、
 	比較的オーバヘッドの少ないオペレーティングシステムの機能です。
-	侵入を受けた後でも当該ファイルが無傷である場合に、侵入者が
-	実際にどのようにしてシステムに侵入したかを追跡するのに特に役立ちます。</para>
+	侵入を受けた後でも当該ファイルが無傷である場合に、
+	侵入者が実際にどのようにしてシステムに侵入したかを追跡するのに特に役立ちます。</para>
 
-      <para>最後に、セキュリティスクリプトはログファイルを処理するよう
-	にし、ログファイル自体もできるだけ安全性の高い方法で生成するよ
-	うにすべきです &mdash; リモート syslog は極めて有益になり得ま
-	す。侵入者は自分の侵入の痕跡を覆い隠そうとしますし、また、ログ
-	ファイルはシステム管理者が最初の侵入の時刻と方法を追跡してゆく
-	ために極めて重要です。ログファイルを永久に残しておくための 1
-	つの方法は、システムコンソールをシリアルポートにつないで走らせ、
+      <para>最後に、
+	セキュリティスクリプトはログファイルを処理するようにし、
+	ログファイル自体もできるだけ安全性の高い方法で生成するようにすべきです
+	&mdash; リモート syslog は極めて有益になり得ます。
+	侵入者は自分の侵入の痕跡を覆い隠そうとしますし、また、
+	ログファイルはシステム管理者が最初の侵入の時刻と方法を追跡してゆくために極めて重要です。
+	ログファイルを永久に残しておくための 1 つの方法は、
+	システムコンソールをシリアルポートにつないで走らせ、
 	コンソールを監視している安全なマシンに情報を集めることです。</para>
     </sect2>
 
     <sect2>
       <title>偏執狂的方法</title>
 
-      <para>多少偏執狂的になっても決して悪いことにはなりません。原則的
-	に、システム管理者は、便利さに影響を与えない範囲でいくつでもセ
-	キュリティ機能を追加することができます。
+      <para>多少偏執狂的になっても決して悪いことにはなりません。
+	原則的に、システム管理者は、
+	便利さに影響を与えない範囲でいくつでもセキュリティ機能を追加することができます。
 	また、いくらか考慮した結果、
 	便利さに<emphasis>影響を与える</emphasis>セキュリティ機能を追加することもできます。
 	より重要なことは、
 	セキュリティ管理者はこれを多少混ぜこぜにして使うべきだということです。
-	&mdash; もしあなたが、本文書に書かれている勧告をそのまま使用した場合は、
+	&mdash; もしあなたが、
+	本文書に書かれている勧告をそのまま使用した場合は、
 	予想される攻撃者はやはり本文書を読んでいるわけですから、
 	あなたの防御策を教えてしまうことになります。</para>
     </sect2>
 
     <sect2>
       <title>サービス妨害攻撃</title>
-      <indexterm><primary>サービス妨害 (DoS)</primary></indexterm>
+
+      <indexterm>
+	<primary>サービス妨害 (DoS)</primary>
+      </indexterm>
 
       <para>このセクションではサービス妨害攻撃 (DoS 攻撃) を扱います。
-	サービス妨害攻撃は、普通は、パケット攻撃です。ネットワークを飽
-	和させる最先端の偽造パケット (spoofed packet)
+	サービス妨害攻撃は、普通は、パケット攻撃です。
+	ネットワークを飽和させる最先端の偽造パケット (spoofed packet)
 	攻撃に対してシステム管理者が打てる手はそれほど多くありませんが、
 	一般的に、以下のような方法により、
 	その種の攻撃によってサーバがダウンしないことを確実にすることで、
@@ -870,8 +933,7 @@
 	</listitem>
 
 	<listitem>
-	  <para>踏み台攻撃の制限 (ICMP 応答攻撃、ping broadcast など)。
-	  </para>
+	  <para>踏み台攻撃の制限 (ICMP 応答攻撃、ping broadcast など)。</para>
 	</listitem>
 
 	<listitem>
@@ -884,79 +946,84 @@
 	多くの子プロセスを起動させることにより、
 	メモリ、ファイル記述子などを使いつくし、
 	ホストシステムを最終的に停止させます。
-	<application>inetd</application>
-	(&man.inetd.8; 参照) には、この種の攻撃を制限するオプションが
-	いくつかあります。マシンがダウンすることを防止することは可能で
-	すが、この種の攻撃によりサービスが中断することを防止することは
-	一般的に言ってできないことに注意する必要があります。
+	<application>inetd</application> (&man.inetd.8; 参照) には、
+	この種の攻撃を制限するオプションがいくつかあります。
+	マシンがダウンすることを防止することは可能ですが、
+	この種の攻撃によりサービスが中断することを防止することは一般的に言ってできないことに注意する必要があります。
 	<application>inetd</application>
 	のマニュアルページを注意深く読んで下さい。特に、
 	<option>-c</option>, <option>-C</option>, <option>-R</option>
 	オプションに注意して下さい。IP 偽造攻撃 (spoofed-IP attack) は
 	<application>inetd</application> の
 	<option>-C</option> オプションの裏をかけるので、
-	一般にオプションを組み合わせて使用するべきであることに注意して下さ
-	い。スタンドアロンサーバの中には、自分自身で fork を制限するパ
-	ラメータを持っているものがあります。</para>
+	一般にオプションを組み合わせて使用するべきであることに注意して下さい。
+	スタンドアロンサーバの中には、自分自身で fork
+	を制限するパラメータを持っているものがあります。</para>
 
       <para><application>Sendmail</application> には、
-	<option>-OMaxDaemonChildren</option> オプションがあります。シ
-	ステム負荷の値変化には遅れがあるので、
+	<option>-OMaxDaemonChildren</option> オプションがあります。
+	システム負荷の値変化には遅れがあるので、
 	<application>Sendmail</application>
 	の負荷限界指定オプションを使うよりも、
 	このオプションを使う方がまともに動作する可能性ははるかに高いです。
 	<application>sendmail</application> の実行を開始する際に、
-	<literal>MaxDaemonChildren</literal> パラメータを設定するべき
-	です。その値は、通常見込まれる負荷を扱える程度に十分高いが、
+	<literal>MaxDaemonChildren</literal>
+	パラメータを設定するべきです。
+	その値は、通常見込まれる負荷を扱える程度に十分高いが、
 	それだけの数の <application>Sendmail</application>
 	インスタンスを操作しようとするとマシンが卒倒してしまうほどには高くないような値に設定するべきです。
 	<application>Sendmail</application> をキュー処理モード
 	(<option>-ODeliveryMode=queued</option>) で実行することや、
-	sendmail デーモン (<command>sendmail -bd</command>) をキュー処
-	理用プロセス (<command>sendmail -q15m</command>) と別に実行す
-	ることも、用心深いことと言えます。それでもなおリアルタイムでの
-	配送を望むのであれば、<option>-q1m</option> のようにすることで、
-	キュー処理をはるかに短い時間間隔で行うことができます。いずれに
-	しても、<literal>MaxDaemonChildren</literal> オプションに合理
-	的な値を確実に指定して、<application>Sendmail</application>
+	sendmail デーモン (<command>sendmail -bd</command>)
+	をキュー処理用プロセス (<command>sendmail -q15m</command>)
+	と別に実行することも、用心深いことと言えます。
+	それでもなおリアルタイムでの配送を望むのであれば、
+	<option>-q1m</option> のようにすることで、
+	キュー処理をはるかに短い時間間隔で行うことができます。
+	いずれにしても、<literal>MaxDaemonChildren</literal>
+	オプションに合理的な値を確実に指定して、
+	<application>Sendmail</application>
 	がなだれをうって失敗することがないようにして下さい。</para>
 
-      <para><application>syslogd</application> は直接攻撃される可能性
-	があるので、可能ならばいつでも <option>-s</option> オプション
-	を用いることを強く推奨します。これができないなら、
+      <para><application>syslogd</application>
+	は直接攻撃される可能性があるので、可能ならばいつでも
+	<option>-s</option> オプションを用いることを強く推奨します。
+	これができないなら、
 	<option>-a</option> オプションを使って下さい。</para>
 
-      <para><application>TCP Wrapper</application> の逆 identd などの接
-	続返し (connect-back) を行うサービスについては十分注意を払うよ
-	うにするべきです。これらは直接攻撃を受ける可能性があります。こ
-	ういう事情があるので、<application>TCP wrapper</application> の
-	逆 ident 機能を使おうとは思わないのが一般的です。</para>
+      <para><application>TCP Wrapper</application> の逆 identd
+	などの接続返し (connect-back)
+	を行うサービスについては十分注意を払うようにするべきです。
+	これらは直接攻撃を受ける可能性があります。
+	こういう事情があるので、<application>TCP wrapper</application>
+	の逆 ident 機能を使おうとは思わないのが一般的です。</para>
 
-      <para>境界ルータのところでファイアウォールを設けて、外部からのア
-	クセスに対して内部サービスを防御するという考えは実によいもので
-	す。この考えは、LAN の外部からの飽和攻撃を防ぐことにあり、内部
-	サービスをネットワークベースの <systemitem class="username">root</systemitem>
-	権限への攻撃から防御するこ
-	とにはあまり考慮を払っていません。ファイアウォールは常に排他的
-	に設定して下さい。つまり、<quote>ポート A, B, C, D と M から Z
-	まで<emphasis>以外</emphasis> のすべてにファイアウォールを設ける</quote>
+      <para>境界ルータのところでファイアウォールを設けて、
+	外部からのアクセスに対して内部サービスを防御するという考えは実によいものです。
+	この考えは、LAN の外部からの飽和攻撃を防ぐことにあり、
+	内部サービスをネットワークベースの <systemitem
+	  class="username">root</systemitem>
+	権限への攻撃から防御することにはあまり考慮を払っていません。
+	ファイアウォールは常に排他的に設定して下さい。
+	つまり、<quote>ポート A, B, C, D と M から Z まで
+	<emphasis>以外</emphasis> のすべてにファイアウォールを設ける</quote>
 	というふうにです。このようにすることで、
 	<application>named</application> (ゾーンのプライマリである場合)、
 	<application>ntalkd</application>,
-	<application>sendmail</application> などのインターネットからア
-	クセスできるサービスとして特に指定するもの以外の、小さい番号の
-	ポートすべてをファイアウォールで防御することができます。ファイ
-	アウォールをこの他のやり方 &mdash; つまり包含的もしくは受容的
-	なファイアウォールとして設定しようとする場合、
-	<quote>close</quote> することを忘れてしまうサービスがいくつか
-	出てきたり、新しい内部サービスを追加したのにファイアウォールの
-	更新を忘れたりする可能性がよく出てきます。ファイアウォール上の
-	大きい番号のポートを開けておくことにより、小さい番号のポートを
-	危険に晒すことなく受容的な動作を許すことができます。&os; で
-	は、<varname>net.inet.ip.portrange</varname> への
+	<application>sendmail</application>
+	などのインターネットからアクセスできるサービスとして特に指定するもの以外の、
+	小さい番号のポートすべてをファイアウォールで防御することができます。
+	ファイアウォールをこの他のやり方 &mdash;
+	つまり包含的もしくは受容的なファイアウォールとして設定しようとする場合、
+	<quote>close</quote>
+	することを忘れてしまうサービスがいくつか出てきたり、
+	新しい内部サービスを追加したのにファイアウォールの更新を忘れたりする可能性がよく出てきます。
+	ファイアウォール上の大きい番号のポートを開けておくことにより、
+	小さい番号のポートを危険に晒すことなく受容的な動作を許すことができます。
+	&os; では、<varname>net.inet.ip.portrange</varname> への
 	<command>sysctl</command> (<command>sysctl -a | fgrep
-	portrange</command>) をいろいろ使用することで、動的バインドに使用される
-	ポート番号の範囲を制御できることを記憶にとどめておいてください。
+	portrange</command>) をいろいろ使用することで、
+	動的バインドに使用されるポート番号の範囲を制御できることを記憶にとどめておいてください。
 	これによりファイアウォールの設定を簡略化することもできます。
 	たとえば、通常の first/last 範囲として 4000 から 5000 を、
 	高位ポートの範囲として、49152 から 65535 を指定し、
@@ -966,57 +1033,63 @@
 
       <para>また別のよくあるサービス妨害攻撃として、踏み台攻撃
 	(springboard attack) と呼ばれるものがあります &mdash; これは、
-	あるサーバを攻撃し、そこ結果として生成される応答が自分自身、ロー
-	カルネットワーク、そして他のマシンを過負荷に追い込むようにする
-	攻撃です。この種の攻撃の中で最もありふれたものに、
-	<emphasis>ICMP ping broadcast 攻撃</emphasis>があります。攻撃
-	者は、実際に攻撃したいマシンのアドレスを送信元アドレスに設定し
-	た ping パケットを偽造して、対象の LAN のブロードキャストアド
-	レスに向けてパケットを送信します。境界にあるルータがブロードキャ
-	ストアドレスに対する ping パケットを握り潰すように設定されてい
-	ない場合、LAN は、詐称された送信元アドレスに向けて応答パケット
-	を生成するはめになり、犠牲となるマシンが飽和するところまで行っ
-	てしまいます。攻撃者が同じトリックを異なるネットワーク上のいく
-	つものブロードキャストアドレスに対して同時に使用した場合、とく
-	にひどいことになります。これまでに、120 メガビット以上のブロー
-	ドキャスト攻撃が観測されています。2 番目の踏み台攻撃は、ICMP
-	エラー報告の仕掛けを狙うものです。攻撃者は ICMP エラー応答を生
-	成するパケットを生成し、サーバの受信ネットワークを飽和させ、そ
-	の結果としてサーバが送信ネットワークを ICMP 応答で飽和させてし
-	まうようにすることができます。メモリを消費し尽くさせることによ
-	り、この種の攻撃でサーバをクラッシュさせることも可能です。サー
-	バが生成した ICMP 応答を十分速く送信できない場合、とくにひどい
-	ことになります。
+	あるサーバを攻撃し、そこ結果として生成される応答が自分自身、
+	ローカルネットワーク、
+	そして他のマシンを過負荷に追い込むようにする攻撃です。
+	この種の攻撃の中で最もありふれたものに、
+	<emphasis>ICMP ping broadcast 攻撃</emphasis>があります。
+	攻撃者は、実際に攻撃したいマシンのアドレスを送信元アドレスに設定した
+	ping パケットを偽造して、対象の LAN
+	のブロードキャストアドレスに向けてパケットを送信します。
+	境界にあるルータがブロードキャストアドレスに対する
+	ping パケットを握り潰すように設定されていない場合、LAN は、
+	詐称された送信元アドレスに向けて応答パケットを生成するはめになり、
+	犠牲となるマシンが飽和するところまで行ってしまいます。
+	攻撃者が同じトリックを異なるネットワーク上のいくつものブロードキャストアドレスに対して同時に使用した場合、
+	とくにひどいことになります。これまでに、120
+	メガビット以上のブロードキャスト攻撃が観測されています。
+	2 番目の踏み台攻撃は、ICMP エラー報告の仕掛けを狙うものです。
+	攻撃者は ICMP エラー応答を生成するパケットを生成し、
+	サーバの受信ネットワークを飽和させ、
+	その結果としてサーバが送信ネットワークを ICMP
+	応答で飽和させてしまうようにすることができます。
+	メモリを消費し尽くさせることにより、
+	この種の攻撃でサーバをクラッシュさせることも可能です。
+	サーバが生成した ICMP 応答を十分速く送信できない場合、
+	とくにひどいことになります。
 	この種の攻撃の効果を抑制するには、
 	<application>sysctl</application> 変数の
 	<literal>net.inet.icmp.icmplim</literal>
 	を使ってください。
 	踏み台攻撃の 3 つめの主要なクラスに属する攻撃は、
-	udp echo サービスのような、特定の
-	<application>inetd</application> 内部サービスに関連する
-	ものです。攻撃者は、単に送信元アドレスがサーバ A の echo ポー
-	トであり、送信先アドレスがサーバ B の echo ポートであるように
-	UDP パケットを偽造します。ここでサーバ A, B はともにあなたの
-	LAN に接続されています。この 2 つのサーバは、この一つのパケッ
-	トを両者の間で互いに相手に対して打ち返しあいます。このようにし
-	てパケットをほんのいくつか注入するだけで、攻撃者は両方のサーバ
-	と LAN を過負荷状態にすることができます。同様の問題が内部
-	<application>chargen</application> ポートにも存在します。
+	udp echo サービスのような、特定の <application>inetd</application>
+	内部サービスに関連するものです。
+	攻撃者は、単に送信元アドレスがサーバ A の echo
+	ポートであり、送信先アドレスがサーバ B の echo
+	ポートであるように UDP パケットを偽造します。
+	ここでサーバ A, B はともにあなたの
+	LAN に接続されています。この 2 つのサーバは、
+	この一つのパケットを両者の間で互いに相手に対して打ち返しあいます。
+	このようにしてパケットをほんのいくつか注入するだけで、
+	攻撃者は両方のサーバと LAN を過負荷状態にすることができます。
+	同様の問題が内部 <application>chargen</application>
+	ポートにも存在します。
 	有能なシステム管理者はこの手の
-	inetd 内部テストサービスのすべてを無効にしておくものです。
-	</para>
+	inetd 内部テストサービスのすべてを無効にしておくものです。</para>
 
-      <para>偽造パケット攻撃は、カーネルの経路情報キャッシュに過負荷を
-	生じさせるために用いられることもあります。
+      <para>偽造パケット攻撃は、
+	カーネルの経路情報キャッシュに過負荷を生じさせるために用いられることもあります。
 	<varname>net.inet.ip.rtexpire</varname>,
-	<varname>rtminexpire</varname>, <varname>rtmaxcache</varname>
-	の <command>sysctl</command> パラメータを参照して下さい。でた
-	らめな送信元 IP アドレスを用いた偽造パケット攻撃により、カーネ
-	ルは、一時的なキャッシュ経路を経路情報テーブルに生成します。こ
-	れは <command>netstat -rna | fgrep W3</command> で見ることがで
-	きます。これらの経路は、普通は 1600 秒程度でタイムアウトになり
-	ます。カーネルがキャッシュ経路テーブルが大きくなり過ぎたことを
-	検知すると、カーネルは動的に <varname>rtexpire</varname>
+	<varname>rtminexpire</varname>,
+	<varname>rtmaxcache</varname>
+	の <command>sysctl</command> パラメータを参照して下さい。
+	でたらめな送信元 IP アドレスを用いた偽造パケット攻撃により、
+	カーネルは、一時的なキャッシュ経路を経路情報テーブルに生成します。
+	これは <command>netstat -rna | fgrep W3</command>
+	で見ることができます。
+	これらの経路は、普通は 1600 秒程度でタイムアウトになります。
+	カーネルがキャッシュ経路テーブルが大きくなり過ぎたことを検知すると、
+	カーネルは動的に <varname>rtexpire</varname>
 	を減らしますが、<varname>rtminexpire</varname>
 	より小さくなるようには決して減らしません。ここに問題が
 	2 つあります。</para>
@@ -1033,69 +1106,76 @@
 	</listitem>
       </orderedlist>
 
-      <para>自分のサーバが T3 もしくはそれより高速の回線でインターネッ
-	トに接続されている場合、&man.sysctl.8; を用いて
+      <para>自分のサーバが T3
+	もしくはそれより高速の回線でインターネットに接続されている場合、
+	&man.sysctl.8; を用いて
 	<varname>rtexpire</varname> と <varname>rtminexpire</varname>
-	とを手動で上書きしておくことが思慮深いことといえます。どちらか
-	一方でも 0 には決してしないで下さい (自分のマシンをクラッシュ
-	させたくないのであれば)。両パラメータを 2 秒
-	に設定すれば、攻撃から経路情報テーブルを守るには十分でしょう。
-	</para>
+	とを手動で上書きしておくことが思慮深いことといえます。
+	どちらか一方でも 0 には決してしないで下さい
+	(自分のマシンをクラッシュさせたくないのであれば)。
+	両パラメータを 2 秒に設定すれば、
+	攻撃から経路情報テーブルを守るには十分でしょう。</para>
     </sect2>
 
     <sect2>
       <title>Kerberos および SSH を用いたアクセスの問題</title>
+
       <indexterm><primary><command>ssh</command></primary></indexterm>
 
       <para>もしあなたが、Kerberos と ssh を使いたいのだとしたら、
 	両者に関して言っておかねばならない問題がいくつかあります。
 	Kerberos 5 は大変優れた認証プロトコルですが、Kerberos 化された
 	<application>telnet</application> や
-	<application>rlogin</application> は、バイナリストリームを扱う
-	のに不向きになってしまうようなバグがあります。さらに、デフォル
-	トでは、Kerberos は <option>-x</option> オプションを使わない限
-	りセッションを暗号化してくれません。
-	<application>Ssh</application> では、デフォルトですべてを暗号
-	化してくれます。</para>
+	<application>rlogin</application> は、
+	バイナリストリームを扱うのに不向きになってしまうようなバグがあります。
+	さらに、デフォルトでは、Kerberos は <option>-x</option>
+	オプションを使わない限りセッションを暗号化してくれません。
+	<application>Ssh</application> では、
+	デフォルトですべてを暗号化してくれます。</para>
 
       <para>ssh はあらゆる場面でとても良く働いてくれます。
-	ただし、デフォルトで暗号鍵を転送してしまうこと
-	を除けばです。これはつまり、暗号鍵を持った安全なワークステーショ
-	ンがあって、この暗号鍵で残りのシステムとアクセスできるようになっ
-	ている場合に、安全でないマシンへ
+	ただし、デフォルトで暗号鍵を転送してしまうことを除けばです。
+	これはつまり、暗号鍵を持った安全なワークステーションがあって、
+	この暗号鍵で残りのシステムとアクセスできるようになっている場合に、
+	安全でないマシンへ
 	ssh 接続を行なうとあなたの暗号鍵を使えてしまうということです。
 	実際の鍵そのものが見えてしまうわけではありませんが、
-	ssh はあなたが login
-	している間、転送用ポートを作ります。攻撃者が安全でないマシンの
-	<systemitem class="username">root</systemitem> を破ったら、このポートを使って暗号鍵を取得し、
-	この暗号鍵でロックが外れる他のマシンへのアクセスを得てしまいます。
-	</para>
+	ssh はあなたが login している間、転送用ポートを作ります。
+	攻撃者が安全でないマシンの
+	<systemitem class="username">root</systemitem> を破ったら、
+	このポートを使って暗号鍵を取得し、
+	この暗号鍵でロックが外れる他のマシンへのアクセスを得てしまいます。</para>
 
       <para>スタッフのログインには、Kerberos を組み合せた
 	ssh を使用することを勧めます。
-	<application>Ssh</application> は、Kerberos 対応機能と一緒
-	にコンパイルできます。こうすると、見えてしまうかもしれない
+	<application>Ssh</application> は、Kerberos
+	対応機能と一緒にコンパイルできます。
+	こうすると、見えてしまうかもしれない
 	ssh 鍵をあまりあてにしないで良いようになります。
 	また、それと同時に、Kerberos 経由でパスワードを保護することもできます。
 	ssh 鍵は、安全なマシンからの自動化されたタスク
 	(Kerberos はこの用途には不向きです) のみに使用するべきです。また、
 	ssh の設定で鍵転送をしないようにするか、あるいは ssh が
-	<filename>authorized_keys</filename> ファイル中に書くことを許
-	している <literal>from=IP/DOMAIN</literal> オプションを使用し
-	て、特定のマシンからログインしてきたときのみ鍵が有効であるよう
-	にすることも勧めます。</para>
+	<filename>authorized_keys</filename>
+	ファイル中に書くことを許している <literal>from=IP/DOMAIN</literal>
+	オプションを使用して、
+	特定のマシンからログインしてきたときのみ鍵が有効であるようにすることも勧めます。</para>
     </sect2>
   </sect1>
 
   <sect1 xml:id="crypt">
+
     <info><title>DES, Blowfish, MD5 と Crypt</title>
       <authorgroup>
-	<author><personname><firstname>Bill</firstname><surname>Swingle</surname></personname><contrib>改訂: </contrib></author>
+	<author>
+	  <personname>
+	    <firstname>Bill</firstname>
+	    <surname>Swingle</surname>
+	  </personname>
+	<contrib>改訂: </contrib></author>
       </authorgroup>
-      
     </info>
 
-    
     <indexterm>
       <primary>セキュリティ</primary>
       <secondary>crypt</secondary>
@@ -1111,35 +1191,39 @@
     <para><emphasis>訳改訂: &a.jp.hino;,
 	12 March 2001.</emphasis></para>
 
-    <para>&unix; システムにおけるすべてのユーザは、そのアカウントに対応し
-      た一つのパスワードを持っています。それらのパスワードはユーザ本人
-      と本当のオペレーティングシステムのみが知っているべきであるという
-      ことは明らかでしょう。それらのパスワードを秘密に保っておくために、
-      パスワードは<quote>一方向ハッシュ</quote>として知られる方式で暗
-      号化されます。一方向ハッシュとは、簡単に暗号化はできるが解読は難
-      しいという方法です。言葉を換えると、先ほど明らかであると書いたの
-      は実は正しくないのです: オペレーティングシステム自身は<emphasis>
-      本当は</emphasis>パスワードを知らないのです。その代わりに
-      <emphasis>暗号化された</emphasis>形でのみパスワードを知っていま
-      す。<quote>素のテキスト</quote>としてパスワードを得る唯一の方法は、
-      可能な限りのパスワード空間を検索するという力任せの方法です。
-      </para>
+    <para>&unix; システムにおけるすべてのユーザは、
+      そのアカウントに対応した一つのパスワードを持っています。
+      それらのパスワードはユーザ本人と本当のオペレーティングシステムのみが知っているべきであるということは明らかでしょう。
+      それらのパスワードを秘密に保っておくために、
+      パスワードは <quote>一方向ハッシュ</quote>
+      として知られる方式で暗号化されます。
+      一方向ハッシュとは、簡単に暗号化はできるが解読は難しいという方法です。
+      言葉を換えると、
+      先ほど明らかであると書いたのは実は正しくないのです:
+      オペレーティングシステム自身は
+      <emphasis>本当は</emphasis> パスワードを知らないのです。
+      その代わりに <emphasis>暗号化された</emphasis>
+      形でのみパスワードを知っています。
+      <quote>素のテキスト</quote> としてパスワードを得る唯一の方法は、
+      可能な限りのパスワード空間を検索するという力任せの方法です。</para>
 
-    <para>不幸なことに、&unix; が生まれようとしているときにパスワードを
-      安全な形で暗号化できる方式は DES (Data Encryption Standard)
-      に基づいたものだけでした。このことは米国に住んでいるユーザにとって
-      は大して問題ではありませんでしたが、DES のソースコードを米国外に
-      輸出することはできないという問題がありました。そのために、
-      &os; は、米国の法律を守ることと、未だに DES を使っていた他の
-      &unix; 一族との互換性を保つこととを両立する方法を探し出す必要がありました。</para>
+    <para>不幸なことに、&unix;
+      が生まれようとしているときにパスワードを安全な形で暗号化できる方式は
+      DES (Data Encryption Standard) に基づいたものだけでした。
+      このことは米国に住んでいるユーザにとっては大して問題ではありませんでしたが、
+      DES のソースコードを米国外に輸出することはできないという問題がありました。
+      そのために、&os; は、米国の法律を守ることと、
+      未だに DES を使っていた他の &unix;
+      一族との互換性を保つこととを両立する方法を探し出す必要がありました。</para>
 
-    <para>その解決方法は、米国のユーザは DES のライブラリをインストー
-      ルして DES を使用できるが、米国外のユーザは国外に輸出可能な他の
-      ひとつの暗号化方式を使用することができる、というように暗号化ライ
-      ブラリを分割することでした。これが &os; がデフォルトの暗号化
-      方式として MD5 を使うようになったいきさつです。MD5 は DES よりも
-      より安全であると考えられているため、DES をインストールする一番の
-      理由は互換性を保つためといえます。</para>
+    <para>その解決方法は、米国のユーザは DES
+      のライブラリをインストールして DES を使用できるが、
+      米国外のユーザは国外に輸出可能な他のひとつの暗号化方式を使用することができる、
+      というように暗号化ライブラリを分割することでした。
+      これが &os; がデフォルトの暗号化方式として MD5
+      を使うようになったいきさつです。MD5 は DES
+      よりもより安全であると考えられているため、DES
+      をインストールする一番の理由は互換性を保つためといえます。</para>
 
     <sect2>
       <title>暗号化機構を理解する</title>
@@ -1148,21 +1232,22 @@
 	ハッシュ関数に対応しています。デフォルトでは、&os;
 	はパスワードの暗号化に MD5 を利用します。</para>
 
-      <para>&os; がどの暗号化方式を使うようにセットアップされている
-	かを判断するのは簡単です。
-	<filename>/etc/master.passwd</filename> ファイルの中の暗号化さ
-	れたパスワードを調べてみるのが一つの方法です。MD5 ハッシュで暗
-	号化されたパスワードは、DES ハッシュで暗号化されたパスワードよ
-	りも長く、<literal>&dollar;1&dollar;</literal>
+      <para>&os;
+	がどの暗号化方式を使うようにセットアップされているかを判断するのは簡単です。
+	<filename>/etc/master.passwd</filename>
+	ファイルの中の暗号化されたパスワードを調べてみるのが一つの方法です。
+	MD5 ハッシュで暗号化されたパスワードは、DES
+	ハッシュで暗号化されたパスワードよりも長く、
+	<literal>&dollar;1&dollar;</literal>
 	という文字で始まるという特徴を持っています。
 	<literal>&dollar;2a&dollar;</literal>
 	で始まるパスワードは、Blowfish ハッシュ関数で暗号化されています。
-	DES のパスワードはこ
-	れといって識別可能な特徴は持っていませんが、MD5 のパスワードよ
-	りは短く、そして <literal>&dollar;</literal> という文字を含ま
-	ない 64 文字のアルファベットを使って表現されているので、比較的
-	短い文字列でドル記号で始まっていないものはおそらく DES のパス
-	ワードでしょう。</para>
+	DES のパスワードはこれといって識別可能な特徴は持っていませんが、
+	MD5 のパスワードよりは短く、そして <literal>&dollar;</literal>
+	という文字を含まない 64
+	文字のアルファベットを使って表現されているので、
+	比較的短い文字列でドル記号で始まっていないものはおそらく
+	DES のパスワードでしょう。</para>
 
       <para>新規パスワードがどちらのパスワード形式になるかは、
 	<filename>/etc/login.conf</filename> の中の
@@ -1172,12 +1257,12 @@
 	または <literal>blf</literal> を設定することができます。
 	ログインケーパビリティに関するより詳細な情報は、
 	&man.login.conf.5; マニュアルページをご覧ください。</para>
-
     </sect2>
   </sect1>
 
   <sect1 xml:id="one-time-passwords">
     <title>ワンタイムパスワード</title>
+
     <indexterm><primary>ワンタイムパスワード</primary></indexterm>
     <indexterm>
       <primary>セキュリティ</primary>
@@ -1229,31 +1314,32 @@
       システムにとって重要な 2 種類のデータがあります。一つは
       <quote>シード (seed: 種)</quote> または
       <quote>キー (key: 鍵)</quote> と呼ばれるもので、2 つの文字と
-      5 つの数字で構成されます。もう一つは <quote>シーケンス番号 (iteration
-      count)</quote> で、1 から 100 までの整数です。OPIE はここまで
-      に述べたデータを利用してワンタイムパスワードを生成します。その方
-      法は、まずシードと秘密のパスフレーズを連結し、それに対してシーケ
-      ンス番号の回数だけ MD5 ハッシュを繰り返し計算します。
+      5 つの数字で構成されます。もう一つは <quote>シーケンス番号
+      (iteration count)</quote> で、1 から 100 までの整数です。OPIE
+      はここまでに述べたデータを利用してワンタイムパスワードを生成します。
+      その方法は、まずシードと秘密のパスフレーズを連結し、
+      それに対してシーケンス番号の回数だけ MD5 ハッシュを繰り返し計算します。
       そしてその結果を 6 つの短い英単語に変換します。
       認証システム (一次的には PAM)
       は、前回最後に受け付けたワンタイムパスワードを記録しています。
-      そして、その前回
-      のワンタイムパスワードと、ユーザが入力したワンタイムパスワードを
-      1 回ハッシュ関数にかけた結果とが一致した場合に、このユーザは認証
-      されます。一方向ハッシュ関数を使っているので、もし正しく認証され
-      たワンタイムパスワードが一回盗聴されたとしても、次回以降に使われ
-      る複数のワンタイムパスワードを生成することは不可能です。シーケ
-      ンス番号はログインが成功するたびに一つずつ減らされて、ユーザとロ
-      グインプログラムの間で同期が取られます。シーケンス番号が 1 まで
-      減ったら、OPIE を再度初期化する必要があります。</para>
+      そして、その前回のワンタイムパスワードと、
+      ユーザが入力したワンタイムパスワードを
+      1 回ハッシュ関数にかけた結果とが一致した場合に、
+      このユーザは認証されます。
+      一方向ハッシュ関数を使っているので、
+      もし正しく認証されたワンタイムパスワードが一回盗聴されたとしても、
+      次回以降に使われる複数のワンタイムパスワードを生成することは不可能です。
+      シーケンス番号はログインが成功するたびに一つずつ減らされて、
+      ユーザとログインプログラムの間で同期が取られます。
+      シーケンス番号が 1 まで減ったら、
+      OPIE を再度初期化する必要があります。</para>
 
-    <para>次に、それぞれのシステムで関連する
-      いくつかのプログラムについて説明します。
+    <para>次に、
+      それぞれのシステムで関連するいくつかのプログラムについて説明します。
       <command>opiekey</command> プログラムは、シーケンス番号と、シードと、
       秘密のパスフレーズを受け付けて、ワンタイムパスワード 1 つ、
       または一連のワンタイムパスワードの一覧を生成します。
-      <command>opiepasswd</command>
-      プログラムは、OPIE
+      <command>opiepasswd</command> プログラムは、OPIE
       を初期化するのに使用され、また秘密のパスフレーズ、
       シーケンス番号やシードを変更するためにも使用されます。
       このプログラムを実行するには、秘密のパスフレーズか、
@@ -1264,8 +1350,8 @@
       プログラムを起動したユーザの現在のシーケンス番号とシードを表示します。</para>
 
     <para>この文書では、4 種類の異なる操作について説明します。
-      1 つ目は、
-      <command>opiepasswd</command> を信頼できる通信路上で利用して、
+      1 つ目は、<command>opiepasswd</command>
+      を信頼できる通信路上で利用して、
       最初にワンタイムパスワードを設定したり、
       秘密のパスフレーズやシードを変更する操作です。
       2 つ目は、同じことを行うために
@@ -1279,8 +1365,8 @@
       メモしたり印刷したりして携帯し、
       信頼できる通信路が一切ないところで利用することができます。
       (訳注: ワンタイムパスワードを記録した紙をなくさないこと!
-       電話番号や
-       IP アドレス、ユーザ名を一緒にメモしていたら最悪です!!)</para>
+      電話番号や
+      IP アドレス、ユーザ名を一緒にメモしていたら最悪です!!)</para>
 
     <sect2>
       <title>信頼できる通信路での初期化</title>
@@ -1303,27 +1389,24 @@ Using MD5 to compute responses.
 Enter new secret pass phrase:
 Again new secret pass phrase:
 ID unfurl OTP key is 499 to4268
-MOS MALL GOAT ARM AVID COED
-</screen>
+MOS MALL GOAT ARM AVID COED</screen>
 
       <para><prompt>Enter new secret pass phrase:</prompt>
 	または <prompt>Enter secret password:</prompt>
 	というプロンプトに対して、
-	あなたが考えた秘密のパスフレーズを入力します。このパスフ
-	レーズはログインするときに使うものではなく、ログインするときに
-	使うワンタイムパスワードを生成するために使うものであることを覚
-	えておいてください。<quote>ID</quote> から始まる行は、
-	1 回分のパラメータで、
+	あなたが考えた秘密のパスフレーズを入力します。
+	このパスフレーズはログインするときに使うものではなく、
+	ログインするときに使うワンタイムパスワードを生成するために使うものであることを覚えておいてください。
+	<quote>ID</quote> から始まる行は、1 回分のパラメータで、
 	あなたのログイン名とシーケンス番号とシードです。
 	(訳注: <command>keyinit</command> コマンドは
 	次回にログインするときに使えるパラメータを参考のためにここで表示します)。
 	システムにログインするときには、
 	システム側が自動的にこれらのパラメータを表示してくれますから、
-	これらのパラメータを
-	覚えておく必要はありません。最後の行が、今述べたパラメータと入力
-	された秘密のパスフレーズから計算されたワンタイムパスワードです。
-	この例を実行した後、次にログインするときに打ち込むべきワンタイ
-	ムパスワードがこれです。</para>
+	これらのパラメータを覚えておく必要はありません。
+	最後の行が、今述べたパラメータと入力された秘密のパスフレーズから計算されたワンタイムパスワードです。
+	この例を実行した後、
+	次にログインするときに打ち込むべきワンタイムパスワードがこれです。</para>
     </sect2>
 
     <sect2>
@@ -1334,13 +1417,14 @@ MOS MALL GOAT ARM AVID COED
 	プログラムを実行するための信頼できる通信路を用意しておく必要があります。
 	たとえばそれは、
 	信頼できるマシンのシェルプロンプトだったりするでしょう。
-	(訳注: ここでの通信路とはマシンそのものになりま
-	す。信頼できるマシンとは、信頼できる人がしっかり管理しているマ
-	シンということです)。他に準備しておくものとして、シーケンス番
-	号 (100 は適切な値といえるでしょう) と、場合によっては自分で考
-	えた、またはランダムに生成されたシードがあります。(あなたが
-	S/Key を初期化しようとしているマシンへの) 信頼できない通信路を
-	使うときには、<command>opiepasswd</command>
+	(訳注: ここでの通信路とはマシンそのものになります。
+	信頼できるマシンとは、
+	信頼できる人がしっかり管理しているマシンということです)。
+	他に準備しておくものとして、シーケンス番号
+	(100 は適切な値といえるでしょう) と、場合によっては自分で考えた、
+	またはランダムに生成されたシードがあります。(あなたが
+	S/Key を初期化しようとしているマシンへの)
+	信頼できない通信路を使うときには、<command>opiepasswd</command>
 	コマンドを以下のように使用します。</para>
 
       <screen>&prompt.user; <userinput>opiepasswd</userinput>
@@ -1361,8 +1445,8 @@ LINE PAP MILK NELL BUOY TROY
 </screen>
 
       <para>デフォルトのシードで構わなければ、<keycap>Return</keycap>
-	を押してください。次に、アクセスパスワードを入れる前に、あらか
-	じめ用意しておいた信頼できる通信路へ移って、
+	を押してください。次に、アクセスパスワードを入れる前に、
+	あらかじめ用意しておいた信頼できる通信路へ移って、
 	先ほどと同じパラメータを入力します。</para>
 
       <screen>&prompt.user; <userinput>opiekey 498 to4268</userinput>
@@ -1398,8 +1482,8 @@ Password: </screen>
 	パスワードプロンプトに対して、何も入力せずに
 	<keycap>Return</keycap> を押すとエコーモードに切り替わります。
 	つまりタイプした文字がそのまま見えるようになるのです。
-	これは、紙に印刷していたりするワンタイムパスワードを
-	手で入力しなければならない場合に特に役立つ機能です。</para>
+	これは、
+	紙に印刷していたりするワンタイムパスワードを手で入力しなければならない場合に特に役立つ機能です。</para>
 
       <indexterm><primary>MS-DOS</primary></indexterm>
       <indexterm><primary>Windows</primary></indexterm>
@@ -1410,7 +1494,8 @@ Password: </screen>
 	これは、<command>opiekey</command>
 	プログラムを使える信頼できるマシン上で行わなければなりません。
 	(これらのプログラムには DOS や &windows;, &macos; 版があります)。
-	どちらも、コマンドラインからシーケンス番号とシードを指定しなければなりません。
+	どちらも、
+	コマンドラインからシーケンス番号とシードを指定しなければなりません。
 	ログインしようとしているマシンのログインプロンプトから直接カットアンドペーストすると楽でしょう。</para>
 
       <para>信頼できるシステムで</para>
@@ -1445,18 +1530,20 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
 29: RIO ODIN GO BYE FURY TIC
 30: GREW JIVE SAN GIRD BOIL PHI</screen>
 
-      <para><option>-n 5</option> という引数によって 5 個のワンタイム
-	パスワードを順に生成します。ここで <option>30</option> は、最
-	後のシーケンス番号となるべき数字です。出力は普通に使う順番とは
-	<emphasis>逆</emphasis>に出力されていることに注意してください
-	(訳注: 一番最初に使うワンタイムパスワードは一番最後に出力され
-	たものです)。この結果をカットアンドペーストして
-	<command>lpr</command> コマンドを使って印刷すると よいでしょう。
-	もしあなたがセキュリティに偏執するなら、この結果を紙と鉛筆を使っ
-	て手で書き移した方がよいかもしれません。ここで、出力の各行はシー
-	ケンス番号とそれに対応する一回分のワンタイムパスワードです。
-	消費済みの ワンタイムパスワードの行をペンで消していくと便利で
-	しょう。</para>
+      <para><option>-n 5</option> という引数によって 5
+	個のワンタイムパスワードを順に生成します。
+	ここで <option>30</option> は、
+	最後のシーケンス番号となるべき数字です。出力は普通に使う順番とは
+	<emphasis>逆</emphasis>
+	に出力されていることに注意してください (訳注:
+	一番最初に使うワンタイムパスワードは一番最後に出力されたものです)。
+	この結果をカットアンドペーストして
+	<command>lpr</command> コマンドを使って印刷するとよいでしょう。
+	もしあなたがセキュリティに偏執するなら、
+	この結果を紙と鉛筆を使って手で書き移した方がよいかもしれません。
+	ここで、
+	出力の各行はシーケンス番号とそれに対応する一回分のワンタイムパスワードです。
+	消費済みのワンタイムパスワードの行をペンで消していくと便利でしょう。</para>
     </sect2>
 
     <sect2>
@@ -1469,7 +1556,7 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
 	このファイルの詳細や、
 	このファイルを使用する際に考慮すべきセキュリィについては
 	&man.opieaccess.5; を確認してください。</para>
-	
+
       <para>以下は <filename>opieaccess</filename> ファイルの例です。</para>
 
       <programlisting>permit 192.168.0.0 255.255.0.0</programlisting>
@@ -1477,11 +1564,10 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
       <para>この行では、(なりすましされやすい) IP ソースアドレスが、
 	ある値やマスクにマッチするユーザに対して、
 	&unix; パスワードをいつでも許可します。</para>
-	
+
       <para>もし <filename>opieaccess</filename>
 	のどのルールにも一致しなければ、
 	デフォルトでは非 OPIE ログインは使えません。</para>
-
     </sect2>
   </sect1>
 
@@ -1530,9 +1616,9 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
       ファイアウォールおよび他のセキュリティ設定と組み合わせて使うことができ、
       システムを守るための追加のレイヤとして上手く機能します。</para>
 
-    <para>この設定は <application>inetd</application> の設定の拡張なので、
-      <link linkend="network-inetd">inetd の設定</link>
-      章をすでに読んでいることを想定しています。</para>
+    <para>この設定は <application>inetd</application>
+      の設定の拡張なので、<link linkend="network-inetd">inetd
+	の設定</link> 章をすでに読んでいることを想定しています。</para>
 
     <note>
       <para>&man.inetd.8; により起動されるプログラムは、正確には、
@@ -1604,14 +1690,14 @@ qpopper : ALL : allow</programlisting>
 	これを行うには、&man.kill.1; コマンドを使うか、
 	<parameter>restart</parameter> パラメータとともに、
 	<filename>/etc/rc.d/inetd</filename> を使ってください。</para>
-      </sect2>
+    </sect2>
 
-      <sect2>
-        <title>高度な設定</title>
+    <sect2>
+      <title>高度な設定</title>
 
       <para><acronym>TCP</acronym> Wrappers で高度な設定もできます。
-	接続を取り扱う以上の制御を行うことができるのです。
-	ある時は、接続しているホストまたはデーモンにコメントを返すことが良い考えのことがあります。
+	接続を取り扱う以上の制御を行うことができるのです。ある時は、
+	接続しているホストまたはデーモンにコメントを返すことが良い考えのことがあります。
 	別の場合では、おそらくログファイルを記録したり、
 	管理者にメールで送る必要があることもあるでしょう。
 	またその他の状況としては、
@@ -1621,7 +1707,7 @@ qpopper : ALL : allow</programlisting>
 	で可能となります。
 	以下の 2 つの節では、
 	このような状況への対応について触れています。</para>
-	
+
       <sect3>
 	<title>外部コマンド</title>
 
@@ -1671,8 +1757,8 @@ ALL : .example.com \
 	  /var/log/connections.log) \
 	: deny</programlisting>
 
-	<para>この行は、
-	  <systemitem class="fqdomainname">*.example.com</systemitem>
+	<para>この行は、<systemitem
+	    class="fqdomainname">*.example.com</systemitem>
 	  ドメインからの接続をすべて拒否します。
 	  同時にホスト名、<acronym>IP</acronym>
 	  アドレスおよびアクセスを試みたデーモンが、
@@ -1807,6 +1893,7 @@ sendmail : PARANOID : deny</programlisting>
 
     <sect2>
       <title>歴史</title>
+
       <indexterm>
 	<primary>Kerberos5</primary>
 	<secondary>歴史</secondary>
@@ -1853,12 +1940,13 @@ sendmail : PARANOID : deny</programlisting>
 	&os; の base インストールに含まれています。</para>
 
       <para>幅広い読者を対象とするために、以下の説明では
-        &os; に含まれている Heimdal
-        ディストリビューションの使用を想定しています。</para>
+	&os; に含まれている Heimdal
+	ディストリビューションの使用を想定しています。</para>
     </sect2>
 
     <sect2>
       <title>Heimdal <acronym>KDC</acronym> の設定</title>
+
       <indexterm>
 	<primary>Kerberos5</primary>
 	<secondary>鍵配布センター</secondary>
@@ -1875,18 +1963,18 @@ sendmail : PARANOID : deny</programlisting>
 	<quote>信頼</quote>されています。
 	そのため、厳重なセキュリティに対する配慮が必要となります。</para>
 
-    <para><application>Kerberos</application>
+      <para><application>Kerberos</application>
 	サーバの実行にコンピュータのリソースは必要ありませんが、
 	セキュリティの観点から、<acronym>KDC</acronym>
 	としてのみ機能する専用のコンピュータが推奨されます。</para>
 
-    <para><acronym>KDC</acronym> を設定するにあたって、
+      <para><acronym>KDC</acronym> を設定するにあたって、
 	<acronym>KDC</acronym> として動作するために、
 	適切に <filename>/etc/rc.conf</filename> が設定されていること
 	(システムを反映するようにパスを調整する必要があります)
 	を確認してください。</para>
 
-    <programlisting>kerberos5_server_enable="YES"
+      <programlisting>kerberos5_server_enable="YES"
 kadmind5_server_enable="YES"</programlisting>
 
       <para>次に、<application>Kerberos</application>
@@ -1905,8 +1993,8 @@ kadmind5_server_enable="YES"</programlisting>
 
       <para><filename>/etc/krb5.conf</filename> ファイルの中では、
 	<acronym>KDC</acronym> は、
-	完全修飾されたホスト名 
-	<systemitem class="fqdomainname">kerberos.example.org</systemitem>
+	完全修飾されたホスト名 <systemitem
+	  class="fqdomainname">kerberos.example.org</systemitem>
 	を持つことが想定されていることに注意してください。
 	<acronym>KDC</acronym> が異なるホスト名である場合には、
 	名前の解決が行われるように、適切に CNAME (エイリアス)
@@ -1928,13 +2016,14 @@ kadmind5_server_enable="YES"</programlisting>
 _kerberos._tcp      IN  SRV     01 00 88 kerberos.example.org.
 _kpasswd._udp       IN  SRV     01 00 464 kerberos.example.org.
 _kerberos-adm._tcp  IN  SRV     01 00 749 kerberos.example.org.
-_kerberos           IN  TXT     EXAMPLE.ORG</programlisting></note>
+_kerberos           IN  TXT     EXAMPLE.ORG</programlisting>
+      </note>
 
       <note>
-        <para>クライアントが、
-          <application>Kerberos</application> サービスを見つけるためには、
-          <filename>/etc/krb5.conf</filename> を完全に設定するか、
-          <filename>/etc/krb5.conf</filename> を最低限に設定し、
+	<para>クライアントが、
+	  <application>Kerberos</application> サービスを見つけるためには、
+	  <filename>/etc/krb5.conf</filename> を完全に設定するか、
+	  <filename>/etc/krb5.conf</filename> を最低限に設定し、
 	  <emphasis>さらに</emphasis> DNS サーバを適切に設定する
 	  <emphasis>必要</emphasis> があります。</para>
       </note>
@@ -2007,79 +2096,78 @@ Credentials cache: FILE:<filename>/tmp/krb5cc_500</filename>
   Issued           Expires          Principal
 Aug 27 15:37:58  Aug 28 01:37:58  krbtgt/EXAMPLE.ORG@EXAMPLE.ORG</screen>
 
-	<para>必要がなくなった時には、チケットを破棄できます。</para>
+      <para>必要がなくなった時には、チケットを破棄できます。</para>
 
-	<screen>&prompt.user; <userinput>kdestroy</userinput></screen>
-      </sect2>
+      <screen>&prompt.user; <userinput>kdestroy</userinput></screen>
+    </sect2>
 
-      <sect2>
-	<title>Heimdal <application>Kerberos</application>
-	  サービスを有効にする。</title>
+    <sect2>
+      <title>Heimdal <application>Kerberos</application>
+	サービスを有効にする。</title>
 
-        <indexterm>
-	  <primary>Kerberos5</primary>
-	  <secondary>Enabling サービス</secondary>
-        </indexterm>
+      <indexterm>
+	<primary>Kerberos5</primary>
+	<secondary>Enabling サービス</secondary>
+      </indexterm>
 
-	<para>最初に <application>Kerberos</application>
-	  の設定ファイル <filename>/etc/krb5.conf</filename>
-	  のコピーが必要です。
-	  コピーを行うには、<acronym>KDC</acronym> から、
-	  クライアントコンピュータへ
-	  (&man.scp.1; のようなネットワークユーティリティを使うか、
-	  物理的にフロッピーディスクを使って)
-	  安全な方法でコピーをしてください。</para>
+      <para>最初に <application>Kerberos</application>
+	の設定ファイル <filename>/etc/krb5.conf</filename>
+	のコピーが必要です。
+	コピーを行うには、<acronym>KDC</acronym> から、
+	クライアントコンピュータへ
+	(&man.scp.1; のようなネットワークユーティリティを使うか、
+	物理的にフロッピーディスクを使って)
+	安全な方法でコピーをしてください。</para>
 
-	<para>次に <filename>/etc/krb5.keytab</filename>
-	  ファイルが必要となります。
-	  これは、<application>Kerberos</application>
-	  化されたデーモンを提供するサーバとワークステーションの間での大きな違いです
-	  &mdash; サーバは、
-	  <filename>keytab</filename> ファイルを持っている必要があります。
-	  このファイルには、サーバのホスト鍵が含まれています。
-	  この鍵により、ホストおよび
-	  <acronym>KDC</acronym> が他の身元の検証ができます。
-	  鍵が公開されてしまうと、
-	  サーバのセキュリティが破れてしまうため、
-	  このファイルは安全にサーバに転送しなければなりません。
-	  このことは、<acronym>FTP</acronym>
-	  のようにテキストチャネルでの転送は、
-	  まったく好ましくないことを意味しています。</para>
+      <para>次に <filename>/etc/krb5.keytab</filename>
+	ファイルが必要となります。
+	これは、<application>Kerberos</application>
+	化されたデーモンを提供するサーバとワークステーションの間での大きな違いです
+	&mdash; サーバは、
+	<filename>keytab</filename> ファイルを持っている必要があります。
+	このファイルには、サーバのホスト鍵が含まれています。
+	この鍵により、ホストおよび
+	<acronym>KDC</acronym> が他の身元の検証ができます。
+	鍵が公開されてしまうと、
+	サーバのセキュリティが破れてしまうため、
+	このファイルは安全にサーバに転送しなければなりません。
+	このことは、<acronym>FTP</acronym>
+	のようにテキストチャネルでの転送は、
+	まったく好ましくないことを意味しています。</para>
 
-	<para>一般的には、<command>kadmin</command> プログラムを使って、
-	  <filename>keytab</filename> をサーバに転送します。
-	  <command>kadmin</command> を使って
-	  (<acronym>KDC</acronym> 側の
-	  <filename>krb5.keytab</filename> に)
-	  ホストプリンシパルを作成することも必要なので便利です。</para>
+      <para>一般的には、<command>kadmin</command> プログラムを使って、
+	<filename>keytab</filename> をサーバに転送します。
+	<command>kadmin</command> を使って
+	(<acronym>KDC</acronym> 側の
+	<filename>krb5.keytab</filename> に)
+	ホストプリンシパルを作成することも必要なので便利です。</para>
 
-	<para>すでにチケットを入手し、
-	  そのチケットは、
-	  <command>kadmin</command> インタフェースで使用できることが
-	  <filename>kadmind.acl</filename>
-	  で許可されている必要があります。
-	  アクセスコントロールリストの設計の詳細については、
-	  Heimdal info ページ (<command>info heimdal</command>) の
-	  <quote>Remote administration</quote>
-	  というタイトルの章をご覧ください。
-	  リモートからの
-	  <command>kadmin</command> アクセスを有効にしたくない場合は、
-	  安全に (ローカルコンソール、&man.ssh.1; もしくは
-	  <application>Kerberos</application> &man.telnet.1; を用いて)
-	  <acronym>KDC</acronym> に接続し、
-	  <command>kadmin -l</command> を使用して、
-	  ローカルで管理作業を行ってください。</para>
+      <para>すでにチケットを入手し、そのチケットは、
+	<command>kadmin</command> インタフェースで使用できることが
+	<filename>kadmind.acl</filename>
+	で許可されている必要があります。
+	アクセスコントロールリストの設計の詳細については、
+	Heimdal info ページ (<command>info heimdal</command>) の
+	<quote>Remote administration</quote>
+	というタイトルの章をご覧ください。
+	リモートからの
+	<command>kadmin</command> アクセスを有効にしたくない場合は、
+	安全に (ローカルコンソール、&man.ssh.1; もしくは
+	<application>Kerberos</application> &man.telnet.1; を用いて)
+	<acronym>KDC</acronym> に接続し、
+	<command>kadmin -l</command> を使用して、
+	ローカルで管理作業を行ってください。</para>
 
-	<para><filename>/etc/krb5.conf</filename>
-	  ファイルをインストールしたら、
-	  <application>Kerberos</application> サーバから、
-	  <command>kadmin</command> を使うことができます。
-	  <command>add --random-key</command> コマンドを使うと、
-	  サーバのホストプリンシパルを追加できます。
-	  そして、<command>ext</command> コマンドを用いて、
-	  サーバのホストプリンシパルを keytab に抽出してください。</para>
+      <para><filename>/etc/krb5.conf</filename>
+	ファイルをインストールしたら、
+	<application>Kerberos</application> サーバから、
+	<command>kadmin</command> を使うことができます。
+	<command>add --random-key</command> コマンドを使うと、
+	サーバのホストプリンシパルを追加できます。
+	そして、<command>ext</command> コマンドを用いて、
+	サーバのホストプリンシパルを keytab に抽出してください。</para>
 
-	<screen>&prompt.root; <userinput>kadmin</userinput>
+      <screen>&prompt.root; <userinput>kadmin</userinput>
 
 kadmin><userinput> add --random-key host/myserver.example.org</userinput>
 Max ticket life [unlimited]:
@@ -2088,523 +2176,526 @@ Attributes []:
 kadmin><userinput> ext host/myserver.example.org</userinput>
 kadmin><userinput> exit</userinput></screen>
 
-	<para><command>ext</command> コマンド (<quote>extract</quote>
-	  の省略形) は、デフォルトでは、抽出された鍵を
-	  <filename>/etc/krb5.keytab</filename> に保存します。</para>
+      <para><command>ext</command> コマンド (<quote>extract</quote>
+	の省略形) は、デフォルトでは、抽出された鍵を
+	<filename>/etc/krb5.keytab</filename> に保存します。</para>
 
-	<para><acronym>KDC</acronym> 上で <command>kadmind</command>
-	  を (おそらくセキュリティ上の理由から) 走らせていない場合で、
-	  リモートから <command>kadmin</command> に接続出来ない場合には、
-	  ホストプリンシパル (<systemitem
-	    class="username">host/myserver.EXAMPLE.ORG</systemitem>) 
-	  を直接 <acronym>KDC</acronym> 上で追加し、
-	  その後、以下のように
-	  (<acronym>KDC</acronym> 上の
-	  <filename>/etc/krb5.keytab</filename> の上書きを避けるため)、
-	  一時ファイルに抽出してください。</para>
+      <para><acronym>KDC</acronym> 上で <command>kadmind</command>
+	を (おそらくセキュリティ上の理由から) 走らせていない場合で、
+	リモートから <command>kadmin</command> に接続出来ない場合には、
+	ホストプリンシパル (<systemitem
+	  class="username">host/myserver.EXAMPLE.ORG</systemitem>)
+	を直接 <acronym>KDC</acronym> 上で追加し、
+	その後、以下のように
+	(<acronym>KDC</acronym> 上の
+	<filename>/etc/krb5.keytab</filename> の上書きを避けるため)、
+	一時ファイルに抽出してください。</para>
 
-	<screen>&prompt.root; <userinput>kadmin</userinput>
+      <screen>&prompt.root; <userinput>kadmin</userinput>
 kadmin><userinput> ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput>
 kadmin><userinput> exit</userinput></screen>
 
-	<para>その後、keytab を安全に (たとえば
-	  <command>scp</command> またはフロッピーを使って)
-	  サーバコンピュータにコピーしてください。
-	  <acronym>KDC</acronym> 上の keytab を上書きすることを避けるため、
-	  デフォルトとは異なる名前を指定してください。</para>
+      <para>その後、keytab を安全に (たとえば
+	<command>scp</command> またはフロッピーを使って)
+	サーバコンピュータにコピーしてください。
+	<acronym>KDC</acronym> 上の keytab を上書きすることを避けるため、
+	デフォルトとは異なる名前を指定してください。</para>
 
-	<para>これでサーバは、
-	  (<filename>krb5.conf</filename> ファイルにより)
-	  <acronym>KDC</acronym> と通信ができるようになりました。
-	  そして、(<filename>krb5.keytab</filename> ファイルによって)
-	  身元を証明できるようになったので、
-	  <application>Kerberos</application>
-	  サービスを有効にする準備が出来ました。
-	  この例では、以下の行を
-	  <filename>/etc/inetd.conf</filename> に加え、
-	  <command>telnet</command>
-	  サービスを有効にしてください。その後、
-	  <command>/etc/rc.d/inetd restart</command> にて
-	  &man.inetd.8; サービスを再起動します。</para>
+      <para>これでサーバは、
+	(<filename>krb5.conf</filename> ファイルにより)
+	<acronym>KDC</acronym> と通信ができるようになりました。
+	そして、(<filename>krb5.keytab</filename> ファイルによって)
+	身元を証明できるようになったので、
+	<application>Kerberos</application>
+	サービスを有効にする準備が出来ました。
+	この例では、以下の行を
+	<filename>/etc/inetd.conf</filename> に加え、
+	<command>telnet</command>
+	サービスを有効にしてください。その後、
+	<command>/etc/rc.d/inetd restart</command> にて
+	&man.inetd.8; サービスを再起動します。</para>
 
-	<programlisting>telnet    stream  tcp     nowait  root    /usr/libexec/telnetd  telnetd -a user</programlisting>
+      <programlisting>telnet    stream  tcp     nowait  root    /usr/libexec/telnetd  telnetd -a user</programlisting>
 
-	<para>重要な箇所は、ユーザに <command>-a</command>
-	  (認証を表す) が設定されていることです。
-	  詳細については、
-	  &man.telnetd.8; マニュアルページを参照してください。</para>
-      </sect2>
+      <para>重要な箇所は、ユーザに <command>-a</command>
+	(認証を表す) が設定されていることです。
+	詳細については、
+	&man.telnetd.8; マニュアルページを参照してください。</para>
+    </sect2>
 
-      <sect2>
-	<title>Heimdal <application>Kerberos</application>
-	  クライアントを有効にする</title>
+    <sect2>
+      <title>Heimdal <application>Kerberos</application>
+	クライアントを有効にする</title>
 
-	<indexterm>
-	  <primary>Kerberos5</primary>
-	  <secondary>クライアントの設定</secondary>
-	</indexterm>
+      <indexterm>
+	<primary>Kerberos5</primary>
+	<secondary>クライアントの設定</secondary>
+      </indexterm>
 
-	<para>クライアントコンピュータの設定は、
-	  ほとんど取るに足らないくらいに簡単です。
-	  <application>Kerberos</application> の設定がうまくいっていれば、
-	  <filename>/etc/krb5.conf</filename> に置かれている
-	  <application>Kerberos</application>
-	  の設定ファイルのみが必要です。
-	  セキュリティ的に安全な方法で、<acronym>KDC</acronym>
-	  からクライアントコンピュータへ単にコピーしてください。</para>
+      <para>クライアントコンピュータの設定は、
+	ほとんど取るに足らないくらいに簡単です。
+	<application>Kerberos</application> の設定がうまくいっていれば、
+	<filename>/etc/krb5.conf</filename> に置かれている
+	<application>Kerberos</application>
+	の設定ファイルのみが必要です。
+	セキュリティ的に安全な方法で、<acronym>KDC</acronym>
+	からクライアントコンピュータへ単にコピーしてください。</para>
 
-	<para>クライアントから、<command>kinit</command>,
-	  <command>klist</command> および
-	  <command>kdestroy</command> を使用し、
-	  上記で作成したプリンシパルに対するチケットの入手、表示、
-	  削除を行い、クライアントコンピュータを試験してください。
-	  <application>Kerberos</application>
-	  アプリケーションを使って <application>Kerberos</application>
-	  が有効なサーバに接続することもできるはずです。
-	  もしうまく機能しない場合でも、チケットを入手できるのであれば、
-	  問題はおそらくサーバにあり、
-	  クライアントまたは <acronym>KDC</acronym>
-	  の問題ではないと考えられます。</para>
+      <para>クライアントから、<command>kinit</command>,
+	<command>klist</command> および
+	<command>kdestroy</command> を使用し、
+	上記で作成したプリンシパルに対するチケットの入手、表示、
+	削除を行い、クライアントコンピュータを試験してください。
+	<application>Kerberos</application>
+	アプリケーションを使って <application>Kerberos</application>
+	が有効なサーバに接続することもできるはずです。
+	もしうまく機能しない場合でも、チケットを入手できるのであれば、
+	問題はおそらくサーバにあり、
+	クライアントまたは <acronym>KDC</acronym>
+	の問題ではないと考えられます。</para>
 
-	<para><command>telnet</command>
-	  のようなアプリケーションを試験する際には、
-	  (&man.tcpdump.1; といった) パケットスニファを使用して、
-	  パスワードが平文で送られていないことを確認してください。
-	  <literal>-x</literal> オプションで
-	  <command>telnet</command> を利用すると、
-	  (<command>ssh</command> のように)
-	  すべてのデータストリームが暗号化されます。</para>
+      <para><command>telnet</command>
+	のようなアプリケーションを試験する際には、
+	(&man.tcpdump.1; といった) パケットスニファを使用して、
+	パスワードが平文で送られていないことを確認してください。
+	<literal>-x</literal> オプションで
+	<command>telnet</command> を利用すると、
+	(<command>ssh</command> のように)
+	すべてのデータストリームが暗号化されます。</para>
 
-	<para>デフォルトでは、Heimdal インストールの
-	  <quote>最小</quote> と考えられる、コア以外の
-	  <application>Kerberos</application> 
-	  クライアントアプリケーションもインストールされます。
-	  <command>telnet</command> は、
-	  <application>Kerberos</application>
-	  化された唯一のサービスです。</para>
+      <para>デフォルトでは、Heimdal インストールの
+	<quote>最小</quote> と考えられる、コア以外の
+	<application>Kerberos</application>
+	クライアントアプリケーションもインストールされます。
+	<command>telnet</command> は、
+	<application>Kerberos</application>
+	化された唯一のサービスです。</para>
 
-	<para>Heimdal port は、
-	  <application>Kerberos</application> 化されている
-	  <command>ftp</command>, <command>rsh</command>,
-	  <command>rcp</command>, <command>rlogin</command>
-	  および他のあまり一般的ではないプログラムといった、
-	  インストールされていないクライアントアプリケーションをインストールします。
-	  <acronym>MIT</acronym> port も、すべての
-	  <application>Kerberos</application>
-	  クライアントアプリケーションをインストールします。</para>
-      </sect2>
+      <para>Heimdal port は、
+	<application>Kerberos</application> 化されている
+	<command>ftp</command>, <command>rsh</command>,
+	<command>rcp</command>, <command>rlogin</command>
+	および他のあまり一般的ではないプログラムといった、
+	インストールされていないクライアントアプリケーションをインストールします。
+	<acronym>MIT</acronym> port も、すべての
+	<application>Kerberos</application>
+	クライアントアプリケーションをインストールします。</para>
+    </sect2>
 
-      <sect2>
-	<title>ユーザ設定ファイル: <filename>.k5login</filename>
-	  および <filename>.k5users</filename></title>
+    <sect2>
+      <title>ユーザ設定ファイル: <filename>.k5login</filename>
+	および <filename>.k5users</filename></title>
 
-	<indexterm>
-	  <primary><filename>.k5login</filename></primary>
-	</indexterm>
+      <indexterm>
+	<primary><filename>.k5login</filename></primary>
+      </indexterm>
 
-	<indexterm>
-	  <primary><filename>.k5users</filename></primary>
-	</indexterm>
+      <indexterm>
+	<primary><filename>.k5users</filename></primary>
+      </indexterm>
 
-	<para>レルムのユーザは、一般的には、
-	  (<systemitem class="username">tillman</systemitem>
-	  のような) ローカルユーザアカウントに対応する
-	  (<systemitem class="username">tillman@EXAMPLE.ORG</systemitem>
-	  といった) <application>Kerberos</application>
-	  プリンシパルを持ちます。
-	  <command>telnet</command>
-	  のようなクライアントアプリケーションは、
-	  ユーザ名もしくはプリンシパルを通常必要としません。</para>
+      <para>レルムのユーザは、一般的には、
+	(<systemitem class="username">tillman</systemitem>
+	のような) ローカルユーザアカウントに対応する
+	(<systemitem class="username">tillman@EXAMPLE.ORG</systemitem>
+	といった) <application>Kerberos</application>
+	プリンシパルを持ちます。
+	<command>telnet</command>
+	のようなクライアントアプリケーションは、
+	ユーザ名もしくはプリンシパルを通常必要としません。</para>
 
-	<para>しかしながら、時々
-	  <application>Kerberos</application>
-	  プリンシパルに対応しないローカルユーザアカウントへのアクセスが必要となることがあります。
-	  たとえば、
-	  <systemitem class="username">tillman@EXAMPLE.ORG</systemitem>
-	  が、ローカルユーザアカウント
-	  <systemitem class="username">webdevelopers</systemitem>
-	  へのアクセスが必要となることがあります。
-	  そして、他のプリンシパルが同じローカルアカウントにアクセスが必要になることもあります。 </para>
+      <para>しかしながら、時々
+	<application>Kerberos</application>
+	プリンシパルに対応しないローカルユーザアカウントへのアクセスが必要となることがあります。
+	たとえば、
+	<systemitem class="username">tillman@EXAMPLE.ORG</systemitem>
+	が、ローカルユーザアカウント
+	<systemitem class="username">webdevelopers</systemitem>
+	へのアクセスが必要となることがあります。
+	そして、他のプリンシパルが同じローカルアカウントにアクセスが必要になることもあります。 </para>
 
-	<para>ユーザのホームディレクトリに置かれた
-	  <filename>.k5login</filename> および
-	  <filename>.k5users</filename> ファイルによって
-	  (<filename>.hosts</filename> および <filename>.rhosts</filename>
-	  の強力な組み合わせのように)、この問題を解決出来ます。
-	  たとえば、以下の行を含む
-	  <filename>.k5login</filename> を</para>
+      <para>ユーザのホームディレクトリに置かれた
+	<filename>.k5login</filename> および
+	<filename>.k5users</filename> ファイルによって
+	(<filename>.hosts</filename> および <filename>.rhosts</filename>
+	の強力な組み合わせのように)、この問題を解決出来ます。
+	たとえば、以下の行を含む
+	<filename>.k5login</filename> を</para>
 
-	<screen>tillman@example.org
+      <screen>tillman@example.org
 jdoe@example.org</screen>
 
-	<para>ローカルユーザ
-	  <systemitem class="username">webdevelopers</systemitem>
-	  のホームディレクトリに置くと、
-	  一覧にある両方のプリンシパルは、
-	  共有のパスワードを必要としなくても、
-	  このアカウントにアクセス出来ます。</para>
+      <para>ローカルユーザ
+	<systemitem class="username">webdevelopers</systemitem>
+	のホームディレクトリに置くと、
+	一覧にある両方のプリンシパルは、
+	共有のパスワードを必要としなくても、
+	このアカウントにアクセス出来ます。</para>
 
-	<para>これらのコマンドのマニュアルページを読むことが推奨されます。
-	  <command>ksu</command> マニュアルページには、
-	  <filename>.k5users</filename> の説明があります。</para>
-      </sect2>
+      <para>これらのコマンドのマニュアルページを読むことが推奨されます。
+	<command>ksu</command> マニュアルページには、
+	<filename>.k5users</filename> の説明があります。</para>
+    </sect2>
 
-      <sect2>
-	<title><application>Kerberos</application> Tips, Tricks, およびトラブルシューティング</title>
+    <sect2>
+      <title><application>Kerberos</application>
+	Tips, Tricks, およびトラブルシューティング</title>
 
-	<indexterm>
-	  <primary>Kerberos5</primary>
-	  <secondary>トラブルシューティング</secondary>
-	</indexterm>
+      <indexterm>
+	<primary>Kerberos5</primary>
+	<secondary>トラブルシューティング</secondary>
+      </indexterm>
 
-	<itemizedlist>
-	  <listitem>
-	    <para>Heimdal または <acronym>MIT</acronym>
-	      <application>Kerberos</application> ports
-	      のどちらを使う場合でも、
-	      <envar>PATH</envar> 環境変数は、
-	      <application>Kerberos</application> 版のクライアント
-	      アプリケーションが、
-	      システムにあるアプリケーションより先に見つかるように設定されていることを確認してください。</para>
-	  </listitem>
+      <itemizedlist>
+	<listitem>
+	  <para>Heimdal または <acronym>MIT</acronym>
+	    <application>Kerberos</application> ports
+	    のどちらを使う場合でも、
+	    <envar>PATH</envar> 環境変数は、
+	    <application>Kerberos</application> 版のクライアント
+	    アプリケーションが、
+	    システムにあるアプリケーションより先に見つかるように設定されていることを確認してください。</para>
+	</listitem>
 
-	  <listitem>
-	    <para>レルムにあるすべてのコンピュータの間で時刻が同期していますか？
-	      時刻が同期していないと認証に失敗してしまいます。
-	      <acronym>NTP</acronym> を用いた、時刻の同期方法については、
-	      <xref linkend="network-ntp"/> をご覧ください。</para>
-	  </listitem>
+	<listitem>
+	  <para>レルムにあるすべてのコンピュータの間で時刻が同期していますか？
+	    時刻が同期していないと認証に失敗してしまいます。
+	    <acronym>NTP</acronym> を用いた、時刻の同期方法については、
+	    <xref linkend="network-ntp"/> をご覧ください。</para>
+	</listitem>
 
-	  <listitem>
-	    <para><acronym>MIT</acronym> および Heimdal 間の運用は、
-	      標準化されていないプロトコル <command>kadmin</command> を除き、
-	      うまく機能します。</para>
-	  </listitem>
+	<listitem>
+	  <para><acronym>MIT</acronym> および Heimdal 間の運用は、
+	    標準化されていないプロトコル <command>kadmin</command> を除き、
+	    うまく機能します。</para>
+	</listitem>
 
-	  <listitem>
-	    <para>ホスト名を変更する際は、
-	      <systemitem class="username">host/</systemitem>
-	      プリンシパルを変更し、keytab をアップデートする必要があります。
-	      Apache の
-	      <filename role="package">www/mod_auth_kerb</filename>
-	      で使われる
-	      <systemitem class="username">www/</systemitem>
-	      プリンシパルのような特別な
-	      keytab エントリでも必要となります。</para>
-	  </listitem>
+	<listitem>
+	  <para>ホスト名を変更する際は、
+	    <systemitem class="username">host/</systemitem>
+	    プリンシパルを変更し、keytab をアップデートする必要があります。
+	    Apache の
+	    <filename role="package">www/mod_auth_kerb</filename>
+	    で使われる
+	    <systemitem class="username">www/</systemitem>
+	    プリンシパルのような特別な
+	    keytab エントリでも必要となります。</para>
+	</listitem>
 
-	  <listitem>
-	    <para>レルムの中のすべてのホストは、<acronym>DNS</acronym>
-	      において (もしくは、最低限<filename>/etc/hosts</filename>
-	      の中で)、(正引きおよび逆引き両方で)
-	      名前解決できる必要があります。
-	      CNAME は動作しますが、A および PTR レコードは、
-	      正しく適切な位置に記述されている必要があります。
-	      エラーメッセージは、
-	      次の例のように、直感的に原因が分かるようなものではありません。
-	      <errorname>Kerberos5 refuses authentication because Read req
-	      failed: Key table entry not found</errorname>.</para>
-	  </listitem>
+	<listitem>
+	  <para>レルムの中のすべてのホストは、<acronym>DNS</acronym>
+	    において (もしくは、最低限<filename>/etc/hosts</filename>
+	    の中で)、(正引きおよび逆引き両方で)
+	    名前解決できる必要があります。
+	    CNAME は動作しますが、A および PTR レコードは、
+	    正しく適切な位置に記述されている必要があります。
+	    エラーメッセージは、
+	    次の例のように、直感的に原因が分かるようなものではありません。
+	    <errorname>Kerberos5 refuses authentication because Read
+	      req failed: Key table entry not
+	      found</errorname>.</para>
+	</listitem>
 
-	  <listitem>
-	    <para><acronym>KDC</acronym>
-	      に対しクライアントとして振る舞うオペレーティングシステムの中には、
-	      <command>ksu</command> に対して、
-	      <systemitem class="username">root</systemitem> 権限に
-	      setuid を許可しないものがあります。
-	      この設定では、
-	      <command>ksu</command> は動作しないことを意味します。
-	      セキュリティの観点からは好ましい考えですが、
-	      厄介です。これは
-	      <acronym>KDC</acronym> のエラーではありません。</para>
-	  </listitem>
+	<listitem>
+	  <para><acronym>KDC</acronym>
+	    に対しクライアントとして振る舞うオペレーティングシステムの中には、
+	    <command>ksu</command> に対して、
+	    <systemitem class="username">root</systemitem> 権限に
+	    setuid を許可しないものがあります。
+	    この設定では、
+	    <command>ksu</command> は動作しないことを意味します。
+	    セキュリティの観点からは好ましい考えですが、
+	    厄介です。これは
+	    <acronym>KDC</acronym> のエラーではありません。</para>
+	</listitem>
 
-	  <listitem>
-	    <para><acronym>MIT</acronym>
-	      <application>Kerberos</application> において、
-	      プリンシパルが、デフォルトの 10
-	      時間を超えるチケットの有効期限としたい場合には、
-	      <command>kadmin</command>	で
-	      <command>modify_principal</command> を使って、
-	      対象のプリンシパルおよび
-	      <systemitem class="username">krbtgt</systemitem>
-	      プリンシパル両方の有効期限の最大値を変更してください。
-	      プリンシパルは、
-	      <command>kinit</command> で
-	      <literal>-l</literal> オプションを使用して、
-	      長い有効期限のチケットを要求できます。</para>
-	  </listitem>
+	<listitem>
+	  <para><acronym>MIT</acronym>
+	    <application>Kerberos</application> において、
+	    プリンシパルが、デフォルトの 10
+	    時間を超えるチケットの有効期限としたい場合には、
+	    <command>kadmin</command>	で
+	    <command>modify_principal</command> を使って、
+	    対象のプリンシパルおよび
+	    <systemitem class="username">krbtgt</systemitem>
+	    プリンシパル両方の有効期限の最大値を変更してください。
+	    プリンシパルは、
+	    <command>kinit</command> で
+	    <literal>-l</literal> オプションを使用して、
+	    長い有効期限のチケットを要求できます。</para>
+	</listitem>
 
-	  <listitem>
-	    <note><para>トラブルシューティングのために、
-	      <acronym>KDC</acronym> でパケットスニファを走らせ、
-	      そして、ワークステーションから
-	      <command>kinit</command> を実行すると、
-	      <command>kinit</command> を実行するやいなや、
-	      <acronym>TGT</acronym> が送られてきます。
-	      &mdash;
-	      あなたがパスワードを入力し終わる前でも! 
-	      これに関する説明は、以下の通りです。
-	      <application>Kerberos</application> サーバは、
-	      いかなる未承認のリクエストに対して、
-	      自由に <acronym>TGT</acronym> (Ticket Granting
-	      Ticket) を送信します。しかしながら、すべての
-	      <acronym>TGT</acronym> は、
-	      ユーザのパスワードから生成された鍵により、暗号化されています。
-	      そのため、ユーザがパスワードを入力した時には、
-	      パスワードは <acronym>KDC</acronym> には送られません。
-	      このパスワードは、<command>kinit</command> がすでに入手した
-	      <acronym>TGT</acronym> の復号化に使われます。
-	      もし、復号化の結果、
-	      有効なチケットで有効なタイムスタンプの場合には、
-	      ユーザは、有効な <application>Kerberos</application>
-	      クレデンシャルを持ちます。
-	      このクレデンシャルには、
-	      <application>Kerberos</application>
-	      サーバ自身の鍵により暗号化された実際の
-	      ticket-granting ticket とともに、将来
-	      <application>Kerberos</application>
-	      サーバと安全な通信を確立するためのセッション鍵が含まれています。
-	      この暗号の 2 番目のレイヤは、ユーザには知らされませんが、
-	      <application>Kerberos</application> サーバが、
-	      各 <acronym>TGT</acronym>
-	      の真偽の検証を可能にしている部分です。</para></note>
-	  </listitem>
+	<listitem>
+	  <note><para>トラブルシューティングのために、
+	    <acronym>KDC</acronym> でパケットスニファを走らせ、
+	    そして、ワークステーションから
+	    <command>kinit</command> を実行すると、
+	    <command>kinit</command> を実行するやいなや、
+	    <acronym>TGT</acronym> が送られてきます。
+	    &mdash;
+	    あなたがパスワードを入力し終わる前でも!
+	    これに関する説明は、以下の通りです。
+	    <application>Kerberos</application> サーバは、
+	    いかなる未承認のリクエストに対して、
+	    自由に <acronym>TGT</acronym> (Ticket Granting
+	    Ticket) を送信します。しかしながら、すべての
+	    <acronym>TGT</acronym> は、
+	    ユーザのパスワードから生成された鍵により、暗号化されています。
+	    そのため、ユーザがパスワードを入力した時には、
+	    パスワードは <acronym>KDC</acronym> には送られません。
+	    このパスワードは、<command>kinit</command> がすでに入手した
+	    <acronym>TGT</acronym> の復号化に使われます。
+	    もし、復号化の結果、
+	    有効なチケットで有効なタイムスタンプの場合には、
+	    ユーザは、有効な <application>Kerberos</application>
+	    クレデンシャルを持ちます。
+	    このクレデンシャルには、
+	    <application>Kerberos</application>
+	    サーバ自身の鍵により暗号化された実際の
+	    ticket-granting ticket とともに、将来
+	    <application>Kerberos</application>
+	    サーバと安全な通信を確立するためのセッション鍵が含まれています。
+	    この暗号の 2 番目のレイヤは、ユーザには知らされませんが、
+	    <application>Kerberos</application> サーバが、
+	    各 <acronym>TGT</acronym>
+	    の真偽の検証を可能にしている部分です。</para></note>
+	</listitem>
 
-	  <listitem>
-	    <para>(たとえば一週間といった)
-	      長い有効期限のチケットを使いたい場合で、
-	      <application>OpenSSH</application> を使って、
-	      チケットが保存されているコンピュータに接続しようとする場合は、
-	      <application>Kerberos</application>
-	      <option>TicketCleanup</option> が
-	      <filename>sshd_config</filename> において
-	      <literal>no</literal> と設定されているか、
-	      チケットが、ログアウト時に削除されることを確認してください。</para>
-	  </listitem>
+	<listitem>
+	  <para>(たとえば一週間といった)
+	    長い有効期限のチケットを使いたい場合で、
+	    <application>OpenSSH</application> を使って、
+	    チケットが保存されているコンピュータに接続しようとする場合は、
+	    <application>Kerberos</application>
+	    <option>TicketCleanup</option> が
+	    <filename>sshd_config</filename> において
+	    <literal>no</literal> と設定されているか、
+	    チケットが、ログアウト時に削除されることを確認してください。</para>
+	</listitem>
 
-	  <listitem>
-	    <para>ホストプリンシパルも長い有効期限のチケットを持てることを覚えておいてください。
-	      もし、ユーザプリンシパルが 1 週間の有効期限を持ち、
-	      接続しているホストが、9 時間の有効期限を持っている場合には、
-	      キャッシュのホストプリンシパル (の鍵) の有効期限が切れてしまい、
-	      想定したように、チケットキャッシュが振る舞わないことが起こりえます。</para>
-	  </listitem>
+	<listitem>
+	  <para>ホストプリンシパルも長い有効期限のチケットを持てることを覚えておいてください。
+	    もし、ユーザプリンシパルが 1 週間の有効期限を持ち、
+	    接続しているホストが、9 時間の有効期限を持っている場合には、
+	    キャッシュのホストプリンシパル (の鍵) の有効期限が切れてしまい、
+	    想定したように、
+	    チケットキャッシュが振る舞わないことが起こりえます。</para>
+	</listitem>
 
-	  <listitem>
-	    <para>特定の問題のあるパスワードが使われることを避けるために
-	      (<command>kadmind</command> のマニュアルページでは、
-	      この点について簡単に触れています)、
-	      <filename>krb5.dict</filename> ファイルを設定する時には、
-	      パスワードポリシが割り当てられたプリンシパルにのみ適用されることに注意してください。
-	      <filename>krb5.dict</filename> ファイルの形式は簡単です。
-	      : 一行に一つの文字列が置かれています。
-	      <filename>/usr/share/dict/words</filename>
-	      にシンボリックリンクを作成することは、有効です。</para>
-	  </listitem>
-        </itemizedlist>
+	<listitem>
+	  <para>特定の問題のあるパスワードが使われることを避けるために
+	    (<command>kadmind</command> のマニュアルページでは、
+	    この点について簡単に触れています)、
+	    <filename>krb5.dict</filename> ファイルを設定する時には、
+	    パスワードポリシが割り当てられたプリンシパルにのみ適用されることに注意してください。
+	    <filename>krb5.dict</filename> ファイルの形式は簡単です。
+	    : 一行に一つの文字列が置かれています。
+	    <filename>/usr/share/dict/words</filename>
+	    にシンボリックリンクを作成することは、有効です。</para>
+	</listitem>
+      </itemizedlist>
+    </sect2>
 
-      </sect2>
+    <sect2>
+      <title><acronym>MIT</acronym> port との違いについて</title>
 
-      <sect2>
-	<title><acronym>MIT</acronym> port との違いについて</title>
+      <para><acronym>MIT</acronym>
+	とインストールされている Heimdal 版の大きな違いは、
+	<command>kadmin</command> に関連しています。
+	このプログラムは、異なる (ただし等価な) コマンド群を持ち、そして、
+	異なるプロトコルを使用します。
+	もし <acronym>KDC</acronym> に <acronym>MIT</acronym>
+	を使用している場合には、
+	Heimdal <command>kadmin</command>
+	プログラムを使って <acronym>KDC</acronym> をリモートから
+	(この場合は、逆も同様に) 管理できないことを意味しています。</para>
 
-	<para><acronym>MIT</acronym>
-	  とインストールされている Heimdal 版の大きな違いは、
-	  <command>kadmin</command> に関連しています。
-	  このプログラムは、異なる (ただし等価な) コマンド群を持ち、そして、
-	  異なるプロトコルを使用します。 
-	  もし <acronym>KDC</acronym> に <acronym>MIT</acronym>
-	  を使用している場合には、
-	  Heimdal <command>kadmin</command>
-	  プログラムを使って <acronym>KDC</acronym> をリモートから
-	  (この場合は、逆も同様に) 管理できない
-	  ことを意味しています。</para>
+      <para>クライアントアプリケーションでは、同じタスクを行う際に、
+	若干異なるコマンドラインのオプションが必要となることもあります。
+	<acronym>MIT</acronym>
+	<application>Kerberos</application> ウェブサイト
+	(<link xlink:href="http://web.mit.edu/Kerberos/www/"></link>)
+	に書かれているガイドに従うことが推奨されます。
+	path の問題について注意してください。
+	<acronym>MIT</acronym> port はデフォルトで
+	<filename class="directory">/usr/local/</filename>
+	にインストールします。
+	そのため、もし <envar>PATH</envar>
+	環境変数においてシステムのディレクトが最初に書かれている場合には、
+	<acronym>MIT</acronym> 版ではなく、<quote>通常の</quote>
+	システムアプリケーションが動いてしまいます。</para>
 
-	<para>クライアントアプリケーションでは、同じタスクを行う際に、
-	  若干異なるコマンドラインのオプションが必要となることもあります。
-	  <acronym>MIT</acronym>
-	  <application>Kerberos</application> ウェブサイト
-	  (<link xlink:href="http://web.mit.edu/Kerberos/www/"></link>)
-	  に書かれているガイドに従うことが推奨されます。
-	  path の問題について注意してください。
-	  <acronym>MIT</acronym> port はデフォルトで
-	  <filename class="directory">/usr/local/</filename>
-	  にインストールします。
-	  そのため、もし <envar>PATH</envar>
-	  環境変数においてシステムのディレクトが最初に書かれている場合には、
-	  <acronym>MIT</acronym> 版ではなく、
-	  <quote>通常の</quote> システムアプリケーションが動いてしまいます。</para>
+      <note><para>&os; が提供する <acronym>MIT</acronym>
+	<filename role="package">security/krb5</filename> port において、
+	<command>telnetd</command> および <command>klogind</command>
+	経由でのログインが奇妙な振る舞いをすることを理解したいのであれば、
+	port からインストールされる
+	<filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>
+	ファイルを読んで下さい。
+	最も重要なことは、
+	<quote>incorrect permissions on cache file</quote>
+	の振る舞いを修正するには、
+	フォワードされたクレデンシャリングの所有権を適切に変更できるように、
+	<command>login.krb5</command>
+	バイナリが認証に使われる必要があります。</para></note>
 
-	<note><para>&os; が提供する <acronym>MIT</acronym>
-	  <filename role="package">security/krb5</filename> port において、
-	  <command>telnetd</command> および <command>klogind</command>
-	  経由でのログインが奇妙な振る舞いをすることを理解したいのであれば、
-	  port からインストールされる
-	  <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>
-	  ファイルを読んで下さい。
-	  最も重要なことは、
-	  <quote>incorrect permissions on cache file</quote>
-	  の振る舞いを修正するには、
-	  フォワードされたクレデンシャリングの所有権を適切に変更できるように、
-	  <command>login.krb5</command>
-	  バイナリが認証に使われる必要があります。</para></note>
+      <para><filename>rc.conf</filename>
+	を以下の設定を含むように変更する必要があります。</para>
 
-	<para><filename>rc.conf</filename>
-	  を以下の設定を含むように変更する必要があります。</para>
-
-	<programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
+      <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
 kadmind5_server="/usr/local/sbin/kadmind"
 kerberos5_server_enable="YES"
 kadmind5_server_enable="YES"</programlisting>
 
-	<para>これを行うのは、
-	  <acronym>MIT</acronym> kerberos のアプリケーションは、
-	  <filename class="directory">/usr/local</filename>
-	  構造の下にインストールされるためです。</para>
-      </sect2>
+      <para>これを行うのは、
+	<acronym>MIT</acronym> kerberos のアプリケーションは、
+	<filename class="directory">/usr/local</filename>
+	構造の下にインストールされるためです。</para>
+    </sect2>
 
-      <sect2>
-	<title><application>Kerberos</application>
-	  で見つかった制限を緩和する</title>
+    <sect2>
+      <title><application>Kerberos</application>
+	で見つかった制限を緩和する</title>
 
-	<indexterm>
-	  <primary>Kerberos5</primary>
-	  <secondary>制限および欠点</secondary>
-	</indexterm>
+      <indexterm>
+	<primary>Kerberos5</primary>
+	<secondary>制限および欠点</secondary>
+      </indexterm>
 
-	<sect3>
-	  <title><application>Kerberos</application> は、all-or-nothing
-	    アプローチです。</title>
+      <sect3>
+	<title><application>Kerberos</application> は、all-or-nothing
+	  アプローチです。</title>
 
-	  <para>ネットワーク上で有効なすべてのサービスは、
-	    <application>Kerberos</application> 化
-	    (または、ネットワーク攻撃に対して安全に) されるべきです。
-	    さもないと、ユーザのクレデンシャルが盗まれ、
-	    利用されることが起きるかもしれません。
-	    この例は、
-	    <application>Kerberos</application> 化されたすべてのリモートシェル
-	    (たとえば、<command>rsh</command> および <command>telnet</command>)
-	    です。
-	    パスワードを平文で送るような
-	    <acronym>POP3</acronym> メールサーバは変換していません。</para>
-	</sect3>
+	<para>ネットワーク上で有効なすべてのサービスは、
+	  <application>Kerberos</application> 化
+	  (または、ネットワーク攻撃に対して安全に) されるべきです。
+	  さもないと、ユーザのクレデンシャルが盗まれ、
+	  利用されることが起きるかもしれません。
+	  この例は、
+	  <application>Kerberos</application> 化されたすべてのリモートシェル
+	  (たとえば、<command>rsh</command> および <command>telnet</command>)
+	  です。
+	  パスワードを平文で送るような
+	  <acronym>POP3</acronym> メールサーバは変換していません。</para>
+      </sect3>
 
-	<sect3>
-	  <title><application>Kerberos</application> は、
-	    シングルユーザのワークステーションでの使用を想定しています。</title>
+      <sect3>
+	<title><application>Kerberos</application> は、
+	  シングルユーザのワークステーションでの使用を想定しています。</title>
 
-	  <para>マルチユーザの環境では、
-	    <application>Kerberos</application> は安全ではありません。
-	    チケットは <filename class="directory">/tmp</filename>
-	    ディレクトリに保管され、
-	    このチケットは、すべてのユーザが読むことができるためです。
-	    もし、ユーザがコンピュータを他のユーザと同時に共有
-	    (i.e. マルチユーザで使用) していると、
-	    他のユーザは、そのユーザのチケットを盗む
-	    (コピーする) ことが出来てしまいます。</para>
+	<para>マルチユーザの環境では、
+	  <application>Kerberos</application> は安全ではありません。
+	  チケットは <filename class="directory">/tmp</filename>
+	  ディレクトリに保管され、
+	  このチケットは、すべてのユーザが読むことができるためです。
+	  もし、ユーザがコンピュータを他のユーザと同時に共有
+	  (i.e. マルチユーザで使用) していると、
+	  他のユーザは、そのユーザのチケットを盗む
+	  (コピーする) ことが出来てしまいます。</para>
 
-	  <para>この問題は、<literal>-c</literal>
-	    ファイル名コマンドラインオプションまたは、(好ましくは)
-	    <envar>KRB5CCNAME</envar> 環境変数によって克服されますが、
-	    実際に使われることはまれです。
-	    大体においては、チケットをユーザのホームディレクトリに保存し、
-	    簡単なファイルの許可属性を設定することで、
-	    この問題に対応できます。</para>
-	</sect3>
+	<para>この問題は、<literal>-c</literal>
+	  ファイル名コマンドラインオプションまたは、(好ましくは)
+	  <envar>KRB5CCNAME</envar> 環境変数によって克服されますが、
+	  実際に使われることはまれです。
+	  大体においては、チケットをユーザのホームディレクトリに保存し、
+	  簡単なファイルの許可属性を設定することで、
+	  この問題に対応できます。</para>
+      </sect3>
 
-	<sect3>
-	  <title>KDC は、単一障害点である</title>
+      <sect3>
+	<title>KDC は、単一障害点である</title>
 
-	  <para>設計上、<acronym>KDC</acronym> は、
-	    マスターパスワードのデータベースを含むため、
-	    安全である必要があります。
-	    <acronym>KDC</acronym> では、
-	    絶対に他のサービスを走らせるべきではありませんし、
-	    物理的に安全であるべきです。
-	    <application>Kerberos</application> は、
-	    <acronym>KDC</acronym> 上で、ファイルとして保存されている一つの鍵
-	    (<quote>マスター</quote> 鍵)
-	    で暗号化されたすべてのパスワードを保存しているので、
-	    非常に危険です。</para>
+	<para>設計上、<acronym>KDC</acronym> は、
+	  マスターパスワードのデータベースを含むため、
+	  安全である必要があります。
+	  <acronym>KDC</acronym> では、
+	  絶対に他のサービスを走らせるべきではありませんし、
+	  物理的に安全であるべきです。
+	  <application>Kerberos</application> は、
+	  <acronym>KDC</acronym> 上で、ファイルとして保存されている一つの鍵
+	  (<quote>マスター</quote> 鍵)
+	  で暗号化されたすべてのパスワードを保存しているので、
+	  非常に危険です。</para>
 
-	  <para>追記ですが、マスター鍵が漏洩しても、
-	    通常懸念するほど悪いことにはなりません。
-	    マスター鍵は、<application>Kerberos</application>
-	    データベースの暗号時にのみ、
-	    乱数を生成するためのシードとして使われます。
-	    <acronym>KDC</acronym> へのアクセスが安全である限りにおいては、
-	    マスター鍵を用いて、それほど多くのことはできません。</para>
+	<para>追記ですが、マスター鍵が漏洩しても、
+	  通常懸念するほど悪いことにはなりません。
+	  マスター鍵は、<application>Kerberos</application>
+	  データベースの暗号時にのみ、
+	  乱数を生成するためのシードとして使われます。
+	  <acronym>KDC</acronym> へのアクセスが安全である限りにおいては、
+	  マスター鍵を用いて、それほど多くのことはできません。</para>
 
-	  <para>さらに、<acronym>KDC</acronym> が
-	    (DoS 攻撃またはネットワーク問題等により)
-	    ネットワークサービスを利用できず、
-	    認証ができない場合に対する、DoS 攻撃への対応方法があります。
-	    この攻撃による被害は、
-	    複数の <acronym>KDC</acronym>
-	    (ひとつのマスタとひとつまたはそれ以上のスレーブ)
-	    および、セカンダリもしくはフォールバック認証
-	    (これには、<acronym>PAM</acronym> が優れています)
-	    の実装により軽減することができます。</para>
-	</sect3>
+	<para>さらに、<acronym>KDC</acronym> が
+	  (DoS 攻撃またはネットワーク問題等により)
+	  ネットワークサービスを利用できず、
+	  認証ができない場合に対する、DoS 攻撃への対応方法があります。
+	  この攻撃による被害は、
+	  複数の <acronym>KDC</acronym>
+	  (ひとつのマスタとひとつまたはそれ以上のスレーブ)
+	  および、セカンダリもしくはフォールバック認証
+	  (これには、<acronym>PAM</acronym> が優れています)
+	  の実装により軽減することができます。</para>
+      </sect3>
 
-	<sect3>
-	  <title><application>Kerberos</application> の欠点</title>
+      <sect3>
+	<title><application>Kerberos</application> の欠点</title>
 
-	  <para><application>Kerberos</application> は、
-	    ユーザ、ホストおよびサービスの間での認証を可能にしますが、
-	    <acronym>KDC</acronym> とユーザ、
-	    ホストまたはサービスとの間の認証のメカニズムは提供しません。
-	    これは、(たとえば) トロイの木馬の
-	    <command>kinit</command> が、
-	    すべてのユーザ名とパスワードを記録できることを意味しています。
-	    <filename role="package">security/tripwire</filename>
-	    のような、
-	    もしくは他のファイルシステムの完全性を確認するためのツールにより、
-	    この危険性を軽減することができます。</para>
-	</sect3>
-      </sect2>
+	<para><application>Kerberos</application> は、
+	  ユーザ、ホストおよびサービスの間での認証を可能にしますが、
+	  <acronym>KDC</acronym> とユーザ、
+	  ホストまたはサービスとの間の認証のメカニズムは提供しません。
+	  これは、(たとえば) トロイの木馬の
+	  <command>kinit</command> が、
+	  すべてのユーザ名とパスワードを記録できることを意味しています。
+	  <filename role="package">security/tripwire</filename>
+	  のような、
+	  もしくは他のファイルシステムの完全性を確認するためのツールにより、
+	  この危険性を軽減することができます。</para>
+      </sect3>
+    </sect2>
 
-      <sect2>
-	<title>リソースおよび他の情報源</title>
+    <sect2>
+      <title>リソースおよび他の情報源</title>
 
-	<indexterm>
-	  <primary>Kerberos5</primary>
-	  <secondary>External Resources</secondary>
-	</indexterm>
+      <indexterm>
+	<primary>Kerberos5</primary>
+	<secondary>External Resources</secondary>
+      </indexterm>
 
-	<itemizedlist>
-	  <listitem>
+      <itemizedlist>
+	<listitem>
 	  <para><link
-	    xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">
-	    The <application>Kerberos</application> FAQ</link></para>
+	      xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">
+	      The <application>Kerberos</application> FAQ</link></para>
 	</listitem>
 
 	<listitem>
 	  <para><link
-	  xlink:href="http://web.mit.edu/Kerberos/www/dialogue.html">Designing
-	    an Authentication System: a Dialog in Four Scenes</link></para>
+	      xlink:href="http://web.mit.edu/Kerberos/www/dialogue.html">Designing
+	      an Authentication System: a Dialog in Four Scenes</link></para>
 	</listitem>
 
 	<listitem>
 	  <para><link
-		    xlink:href="http://www.ietf.org/rfc/rfc1510.txt?number=1510">RFC 1510,
-	    The <application>Kerberos</application> Network Authentication Service
-	    (V5)</link></para>
+	      xlink:href="http://www.ietf.org/rfc/rfc1510.txt?number=1510">RFC
+	      1510, The <application>Kerberos</application> Network
+	      Authentication Service (V5)</link></para>
 	</listitem>
 
 	<listitem>
 	  <para><link
-	  xlink:href="http://web.mit.edu/Kerberos/www/"><acronym>MIT</acronym>
-	    <application>Kerberos</application> home page</link></para>
+	      xlink:href="http://web.mit.edu/Kerberos/www/"><acronym>MIT</acronym>
+	      <application>Kerberos</application> home
+	      page</link></para>
 	</listitem>
 
 	<listitem>
-	<para><link xlink:href="http://www.pdc.kth.se/heimdal/">Heimdal
-	  <application>Kerberos</application> home page</link></para>
+	  <para><link xlink:href="http://www.pdc.kth.se/heimdal/">Heimdal
+	      <application>Kerberos</application> home
+	      page</link></para>
 	</listitem>
 
-	</itemizedlist>
+      </itemizedlist>
     </sect2>
   </sect1>
 
@@ -2668,8 +2759,7 @@ kadmind5_server_enable="YES"</programlisting>
     <para>最も一般的な <application>OpenSSL</application>
       の利用方法のひとつは、
       ソフトウェアアプリケーションが使えるように証明書を提供することです。
-      これらの証明書により、
-      会社または個人の公開鍵が、
+      これらの証明書により、会社または個人の公開鍵が、
       改ざんやなりすましが行われていないことを確認できます。
       もし問題となっている証明書が、<quote>認証局</quote>
       または <acronym>CA</acronym> により検証されなければ、
@@ -2747,8 +2837,8 @@ An optional company name []:<userinput><replaceable>Another Name</replaceable></
 	最初に <acronym>RSA</acronym> の鍵を生成してください。</para>
 
       <screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out <filename>myRSA.key</filename> 1024</userinput></screen>
-	
-	<para>次に、<acronym>CA</acronym> 鍵を生成してください。</para>
+
+      <para>次に、<acronym>CA</acronym> 鍵を生成してください。</para>
 
       <screen>&prompt.root; <userinput>openssl gendsa -des3 -out <filename>myca.key</filename> <filename>myRSA.key</filename></userinput></screen>
 
@@ -2771,8 +2861,7 @@ An optional company name []:<userinput><replaceable>Another Name</replaceable></
       <title>証明書の使用例</title>
 
       <para>これらのファイルで何ができるでしょうか?
-	効果的な利用方法は、
-	<application>Sendmail</application>
+	効果的な利用方法は、<application>Sendmail</application>
 	<acronym>MTA</acronym> への接続を暗号化することでしょう。
 	これにより、
 	ローカルの <acronym>MTA</acronym> 経由でメールを送信するユーザが、
@@ -2805,8 +2894,7 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
 	<command>make</command> <parameter>install</parameter>
 	と入力すると再構築できます。
 	その後、<command>make</command> <parameter>restart</parameter>
-	と入力して、
-	<application>Sendmail</application>
+	と入力して、<application>Sendmail</application>
 	デーモンを再起動してください。</para>
 
       <para>すべてがうまくいっていれば、
@@ -2847,16 +2935,16 @@ Connection closed by foreign host.</screen>
   <sect1 xml:id="ipsec">
     <info><title>VPN over IPsec</title>
       <authorgroup>
-        <author>
+	<author>
 	  <personname>
-  	  <firstname>Nik</firstname>
-	  <surname>Clayton</surname>
+	    <firstname>Nik</firstname>
+	    <surname>Clayton</surname>
 	  </personname>
 	  <affiliation>
 	    <address><email>nik@FreeBSD.org</email></address>
-          </affiliation>
-          <contrib>執筆: </contrib>
-        </author>
+	  </affiliation>
+	  <contrib>執筆: </contrib>
+	</author>
       </authorgroup>
     </info>
 
@@ -2869,9 +2957,10 @@ Connection closed by foreign host.</screen>
       VPN を作成します。</para>
 
     <sect2>
-      <info><title>IPsec を理解する</title>
-        <authorgroup>
-          <author>
+      <info>
+	<title>IPsec を理解する</title>
+	<authorgroup>
+	  <author>
 	    <personname>
 	      <firstname>Hiten M.</firstname>
 	      <surname>Pandya</surname>
@@ -2889,7 +2978,7 @@ Connection closed by foreign host.</screen>
 	IPsec を設定するためには、
 	カスタムカーネルの構築方法をよく知っている必要があります
 	(<xref linkend="kernelconfig"/> をご覧ください)。</para>
-	
+
       <para><emphasis>IPsec</emphasis> は、インターネットプロトコル (IP)
 	レイヤのトップにあるプロトコルです。
 	二つもしくはそれ以上のホスト間で安全に通信することを可能にします
@@ -2903,7 +2992,7 @@ Connection closed by foreign host.</screen>
 	<primary>IPsec</primary>
 	<secondary>ESP</secondary>
       </indexterm>
-  
+
       <indexterm>
 	<primary>IPsec</primary>
 	<secondary>AH</secondary>
@@ -2912,23 +3001,24 @@ Connection closed by foreign host.</screen>
       <para>IPsec は二つのサブプロトコルから構成されます。</para>
 
       <itemizedlist>
-        <listitem>
-          <para><emphasis>Encapsulated Security Payload
+	<listitem>
+	  <para><emphasis>Encapsulated Security Payload
 	      (ESP)</emphasis> は、(Blowfish, 3DES のような)
 	    対称暗号アルゴリズムを使ってデータを暗号化することで、
 	    サードパーティのインタフェースから
 	    IP パケットデータを保護します。</para>
-        </listitem>
-        <listitem>
-          <para><emphasis>Authentication Header (AH)</emphasis>,
+	</listitem>
+
+	<listitem>
+	  <para><emphasis>Authentication Header (AH)</emphasis>,
 	    は、暗号チェックサムを計算し、IP
 	    パケットのヘッドフィールドを安全なハッシュ関数でハッシュ化することで、
 	    IP パケットヘッダをサードパーティのインタフェースやなりすましから守ります。
 	    ハッシュを含む追加のヘッダが追加され、
 	    パケット情報の検証が可能になります。</para>
-        </listitem>
+	</listitem>
       </itemizedlist>
-      
+
       <para><acronym>ESP</acronym> および <acronym>AH</acronym>
 	は、使用する環境に合わせて、
 	一緒に使うことも別々に使うこともできます。</para>
@@ -2952,7 +3042,7 @@ Connection closed by foreign host.</screen>
 	として知られています。
 	FreeBSD での IPsec サブシステムに関するより詳細な情報については、
 	&man.ipsec.4; マニュアルページを参照してください。</para>
-      
+
       <para>カーネルに IPsec のサポートを追加するには、
 	カーネルコンフィグレーションファイルに以下のオプションを追加してください。</para>
 
@@ -2975,18 +3065,17 @@ device    crypto
 	以下のカーネルオプションを追加してください。</para>
 
       <screen>
-options   IPSEC_DEBUG  #debug for IP security
-      </screen>
+options   IPSEC_DEBUG  #debug for IP security</screen>
     </sect2>
 
     <sect2>
       <title>問題点</title>
- 
+
       <para>VPN の構成についての標準はありません。
 	VPN は、数多くの技術と共に実装することが可能です。
 	その各技術には、それ自身の長所と短所があります。
 	この章では、シナリオを示し、
-        そのシナリオに対して、VPN を実装する戦略について説明します。</para>
+	そのシナリオに対して、VPN を実装する戦略について説明します。</para>
     </sect2>
 
     <sect2>
@@ -3001,31 +3090,35 @@ options   IPSEC_DEBUG  #debug for IP security
       </indexterm>
 
       <para>前提は以下の通りです。</para>
-      
+
       <itemizedlist>
-        <listitem>
-          <para>少なくとも 2 つのサイトを持っています。</para>
-        </listitem>
-        <listitem>
-          <para>どちらのサイトとも内部で IP を使っています。</para>
-        </listitem>
-        <listitem>
-          <para>2 つのサイトは、FreeBSD で運用されているゲートウェイを通して、
+	<listitem>
+	  <para>少なくとも 2 つのサイトを持っています。</para>
+	</listitem>
+
+	<listitem>
+	  <para>どちらのサイトとも内部で IP を使っています。</para>
+	</listitem>
+
+	<listitem>
+	  <para>2 つのサイトは、FreeBSD で運用されているゲートウェイを通して、
 	    インターネットに接続しています。</para>
-        </listitem>
-        <listitem>
-          <para>それぞれのネットワークのゲートウェイは、
+	</listitem>
+
+	<listitem>
+	  <para>それぞれのネットワークのゲートウェイは、
 	    少なくとも一つのパブリック IP アドレスを持っています。</para>
-        </listitem>
-        <listitem>
-          <para>2 つのネットワークの内部アドレスは、
+	</listitem>
+
+	<listitem>
+	  <para>2 つのネットワークの内部アドレスは、
 	    パブリックでもプライベート IP アドレスでも構いません。
 	    IP アドレスは衝突してはいけません。たとえば、両方のネットワークが
 	    <systemitem class="ipaddress">192.168.1.x</systemitem>
 	    を使ってはいけません。</para>
-        </listitem>
+	</listitem>
       </itemizedlist>
-    </sect2> 
+    </sect2>
 
     <sect2>
       <info><title>&os; 上で IPsec を設定する。</title>
@@ -3060,7 +3153,9 @@ options   IPSEC_DEBUG  #debug for IP security
 	実際の内部および外部のゲートウェイのアドレスに置き換えてください。</para>
 
       <screen>&prompt.root; <userinput>ifconfig gif0 create</userinput></screen>
+
       <screen>&prompt.root; <userinput>ifconfig gif0 <replaceable>internal1 internal2</replaceable></userinput></screen>
+
       <screen>&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>external1 external2</replaceable></userinput></screen>
 
       <para>たとえば、会社の <acronym>LAN</acronym> の公開
@@ -3125,15 +3220,17 @@ round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms</programlisting>
 	これは以下のコマンドで設定できます。</para>
 
       <screen>&prompt.root; <userinput>corp-net# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput></screen>
+
       <screen>&prompt.root; <userinput>corp-net# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen>
 
       <screen>&prompt.root; <userinput>priv-net# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput></screen>
+
       <screen>&prompt.root; <userinput>priv-net# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen>
 
       <para>これで、ネットワーク内のコンピュータは、
 	ゲートウェイおよびゲートウェイの奥のコンピュータから到達可能となっています。
 	以下の例で、簡単に確認できます。</para>
- 
+
       <programlisting>corp-net# ping 10.0.0.8
 PING 10.0.0.8 (10.0.0.8): 56 data bytes
 64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms
@@ -3239,7 +3336,7 @@ sainfo  (address 10.246.38.0/24 any address 10.0.0.0/24 any)	# address $network/
 	<filename>/usr/local/etc/racoon/setkey.conf</filename>
 	に保存する必要があります。</para>
 
-<programlisting>flush;
+      <programlisting>flush;
 spdflush;
 # To the home network
 spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use;
@@ -3323,19 +3420,26 @@ pass out quick on gif0 from any to any</programlisting>
 ipsec_program="/usr/local/sbin/setkey"
 ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot
 racoon_enable="yes"</programlisting>
-     </sect2> 
+     </sect2>
    </sect1>
 
   <sect1 xml:id="openssh">
-    <info><title>OpenSSH</title>
+    <info>
+      <title>OpenSSH</title>
       <authorgroup>
-	<author><personname><firstname>Chern</firstname><surname>Lee</surname></personname><contrib>寄稿: </contrib></author>
+	<author>
+	  <personname>
+	    <firstname>Chern</firstname>
+	    <surname>Lee</surname>
+	  </personname>
+	  <contrib>寄稿: </contrib>
+	</author>
 	<!-- 21 April 2001 -->
       </authorgroup>
     </info>
 
-    
     <indexterm><primary>OpenSSH</primary></indexterm>
+
     <indexterm>
       <primary>セキュリティ</primary>
       <secondary>OpenSSH</secondary>
@@ -3354,7 +3458,8 @@ racoon_enable="yes"</programlisting>
     <para><application>OpenSSH</application>
       は OpenBSD プロジェクトによって維持管理されており、SSH v1.2.12
       に最新のすべてのバグ修正と更新を適用したものをベースにしています。
-      <application>OpenSSH</application> クライアントは SSH プロトコル 1 と 2 の両方に互換性があります。</para>
+      <application>OpenSSH</application> クライアントは
+      SSH プロトコル 1 と 2 の両方に互換性があります。</para>
 
     <sect2>
       <title>OpenSSH を使うことの利点</title>
@@ -3369,6 +3474,7 @@ racoon_enable="yes"</programlisting>
 
     <sect2>
       <title>sshd を有効にする</title>
+
       <indexterm>
 	<primary>OpenSSH</primary>
 	<secondary>有効化</secondary>
@@ -3414,10 +3520,11 @@ user@example.com's password: <userinput>*******</userinput></screen>
 	SSH はクライアントが接続した時、
 	サーバの信頼性の検証のために鍵指紋システム
 	(key fingerprint system) を利用します。
-	初めての接続の際にのみ、ユーザは <literal>yes</literal> と入力することを要求されます。
+	初めての接続の際にのみ、ユーザは <literal>yes</literal>
+	と入力することを要求されます。
 	これ以降の login では保存されていた鍵指紋を照合することで検証されます。
-	SSH クライアントは保存されていた鍵指紋が
-	login しようとした際に送られてきたものと異なっていた場合には警告を表示します。
+	SSH クライアントは保存されていた鍵指紋が login
+	しようとした際に送られてきたものと異なっていた場合には警告を表示します。
 	指紋は <filename>~/.ssh/known_hosts</filename> に、また
 	SSH v2 指紋の場合は <filename>~/.ssh/known_hosts2</filename>
 	に保存されます。</para>
@@ -3435,11 +3542,14 @@ user@example.com's password: <userinput>*******</userinput></screen>
 
     <sect2>
       <title>Secure copy</title>
+
       <indexterm>
 	<primary>OpenSSH</primary>
 	<secondary>secure copy</secondary>
       </indexterm>
-      <indexterm><primary><command>scp</command></primary></indexterm>
+      <indexterm>
+	<primary><command>scp</command></primary>
+      </indexterm>
 
       <para>&man.scp.1; コマンドは
 	&man.rcp.1; と同様に働きます。
@@ -3466,6 +3576,7 @@ COPYRIGHT            100% |*****************************|  4735
 
     <sect2>
       <title>設定</title>
+
       <indexterm>
 	<primary>OpenSSH</primary>
 	<secondary>設定</secondary>
@@ -3529,11 +3640,13 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com
 	以下の <xref linkend="security-ssh-agent"/>
 	の節で説明されています。</para>
 
-      <warning><para>システムにインストールされている
-	<application>OpenSSH</application> のバージョンによって、
-	オプションやファイルに違いが出てくることがあります。
-	&man.ssh-keygen.1; を参照して、
-	問題が起こることを避けてください。</para></warning>
+      <warning>
+	<para>システムにインストールされている
+	  <application>OpenSSH</application> のバージョンによって、
+	  オプションやファイルに違いが出てくることがあります。
+	  &man.ssh-keygen.1; を参照して、
+	  問題が起こることを避けてください。</para>
+      </warning>
     </sect2>
 
     <sect2 xml:id="security-ssh-agent">
@@ -3546,20 +3659,20 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com
 
       <para>&man.ssh-agent.1; ユーティリティは、
 	読み込まれた秘密鍵による認証を取り扱います。
-        &man.ssh-agent.1;
+	&man.ssh-agent.1;
 	は他のアプリケーションの起動に用いられる必要があります。
 	基本的なレベルではシェルを起動し、
 	より高度なレベルでは、ウィンドウマネージャも起動します。</para>
 
       <para>シェル上で &man.ssh-agent.1; を使うには、
-        まず引数としてシェルを起動する必要があります。
+	まず引数としてシェルを起動する必要があります。
 	次に、&man.ssh-add.1; を実行し、
 	秘密鍵のパスフレーズを入力することにより、
 	鍵を追加する必要があります。
 	一度この過程を終えてしまえば、ユーザは、
 	対応する公開鍵が置かれているホストに &man.ssh.1;
 	でログインできるようになります。
-        以下はその例です。</para>
+	以下はその例です。</para>
 
       <screen>&prompt.user; ssh-agent <replaceable>csh</replaceable>
 &prompt.user; ssh-add
@@ -3571,7 +3684,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
 	&man.ssh-agent.1; への呼び出しが
 	<filename>~/.xinitrc</filename> に置かれている必要があります。
 	これにより、X11 上で起動されるすべてのプログラムにおいて、
-        &man.ssh-agent.1; サービスが提供されるようになります。
+	&man.ssh-agent.1; サービスが提供されるようになります。
 	<filename>~/.xinitrc</filename>
 	ファイルの例は以下となります。</para>
 
@@ -3587,18 +3700,19 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
 
     <sect2 xml:id="security-ssh-tunneling">
       <title>SSH トンネリング</title>
+
       <indexterm>
 	<primary>OpenSSH</primary>
 	<secondary>トンネリング</secondary>
       </indexterm>
 
-      <para><application>OpenSSH</application> は暗号化されたセッションの中に他のプロトコルを
-	カプセル化するトンネルを作ることができます。</para>
+      <para><application>OpenSSH</application>
+	 は暗号化されたセッションの中に他のプロトコルをカプセル化するトンネルを作ることができます。</para>
 
       <para>以下のコマンドは &man.ssh.1; で <application>telnet</application>
 	用のトンネルを作成します。</para>
 
-       <screen>&prompt.user; <userinput>ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com</userinput>
+      <screen>&prompt.user; <userinput>ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com</userinput>
 &prompt.user;</screen>
 
       <para><command>ssh</command> コマンドは、
@@ -3641,7 +3755,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
 	      <replaceable>localport:remotehost:remoteport</replaceable>
 	      という形式で指定します。</para>
 	  </listitem>
-	  </varlistentry>
+	</varlistentry>
 
 	<varlistentry>
 	  <term><option>user@foo.example.com</option></term>
@@ -3660,10 +3774,12 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
 
       <para>この例では、<systemitem>localhost</systemitem> のポート
 	<replaceable>5023</replaceable>	がリモートマシンの
-	<systemitem>localhost</systemitem> のポート <replaceable>23</replaceable>
-	に転送されるようになっています。
- 	<replaceable>23</replaceable> は <application>telnet</application> なのでこれは SSH
- 	トンネルを通るセキュアな <application>telnet</application> セッションを作ります。</para>
+	<systemitem>localhost</systemitem> のポート
+	<replaceable>23</replaceable> に転送されるようになっています。
+ 	<replaceable>23</replaceable> は
+	<application>telnet</application> なのでこれは SSH
+	トンネルを通るセキュアな <application>telnet</application>
+	セッションを作ります。</para>
 
       <para>このようにして SMTP や POP3, FTP 等のセキュアではない TCP
 	プロトコルをカプセル化することができます。</para>
@@ -3698,7 +3814,8 @@ Escape character is '^]'.
 	    サーバが動いているメールサーバがあるとします。
 	    ネットワークもしくはあなたの家とオフィスの間のネットワーク経路は、
 	    完全に信頼できるものかもしれませんし、そうではないかもしれません。
-	    そのため、電子メールは安全なやり方で見るようにしなければなりません。
+	    そのため、
+	    電子メールは安全なやり方で見るようにしなければなりません。
 	    解決策は、オフィスの SSH サーバへの SSH 接続を行い、
 	    メールサーバへのトンネルを作成することです。</para>
 
@@ -3719,7 +3836,8 @@ user@ssh-server.example.com's password: <userinput>******</userinput></screen>
 	    外向けの接続もフィルタして、
 	    極端に厳しいファイアウォールルールを課すネットワーク管理者もいます。
 	    リモートのマシンには、SSH 接続と web サーフィンのための
-	    22 番および 80 番ポートにしか接続させてもらえないかもしれません。</para>
+	    22 番および 80
+	    番ポートにしか接続させてもらえないかもしれません。</para>
 
 	  <para>あなたは、それ以外の (もしかすると仕事に関係ない)
 	    サービスにアクセスしたくなるかもしれません。
@@ -3737,10 +3855,10 @@ user@ssh-server.example.com's password: <userinput>******</userinput></screen>
 	  <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>8888:music.example.com:8000 user@unfirewalled-system.example.org</replaceable></userinput>
 user@unfirewalled-system.example.org's password: <userinput>*******</userinput></screen>
 
-	  <para>ストリーミングクライアントを <systemitem>localhost</systemitem>
-	    の 8888 番ポートに向けると、<systemitem>music.example.com</systemitem>
-	    の 8000 番ポートに転送され、
-	    ファイアウォールをすり抜けられます。</para>
+	  <para>ストリーミングクライアントを
+	    <systemitem>localhost</systemitem> の 8888 番ポートに向けると、
+	    <systemitem>music.example.com</systemitem> の 8000
+	    番ポートに転送され、ファイアウォールをすり抜けられます。</para>
 	</sect4>
       </sect3>
     </sect2>
@@ -3749,14 +3867,14 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
       <title><varname>AllowUsers</varname> ユーザオプション</title>
 
       <para>ログインできるユーザや接続元を制限することは、
-        通常は良い考えです。
-        <literal>AllowUsers</literal> オプションは、
+	通常は良い考えです。
+	<literal>AllowUsers</literal> オプションは、
 	この目的のために使うことができます。
-        たとえば、
+	たとえば、
 	<systemitem class="username">root</systemitem> ユーザが
 	<systemitem class="ipaddress">192.168.1.32</systemitem>
 	からのみログインできるようにするには、
-        <filename>/etc/ssh/sshd_config</filename>
+	<filename>/etc/ssh/sshd_config</filename>
 	ファイルの設定は以下のようになります。</para>
 
       <programlisting>AllowUsers root@192.168.1.32</programlisting>
@@ -3772,7 +3890,7 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
       <programlisting>AllowUsers root@192.168.1.32 admin</programlisting>
 
       <note>
-        <para>注意すべきことは、
+	<para>注意すべきことは、
 	  このコンピュータにログインする必要のあるすべてのユーザを指定することです。
 	  設定されていないと、そのユーザはログインできなくなります。</para>
       </note>
@@ -3787,10 +3905,11 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
     <sect2>
       <title>もっと詳しく知りたい人へ</title>
 
-      <para><link xlink:href="http://www.openssh.com/">OpenSSH</link></para>
+      <para><link
+	  xlink:href="http://www.openssh.com/">OpenSSH</link></para>
 
       <para>&man.ssh.1; &man.scp.1; &man.ssh-keygen.1;
-        &man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5;</para>
+	&man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5;</para>
 
       <para>&man.sshd.8; &man.sftp-server.8; &man.sshd.config.5;</para>
     </sect2>
@@ -3870,21 +3989,23 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
       </listitem>
     </itemizedlist>
 
-    <note><para><acronym>ACL</acronym> の動作を変更して、まったく新たに
-      &man.mount.8;
-      を行わなくてもフラグを有効にできるようにすることも可能でしょう。
-      しかし、我々は、うっかり <acronym>ACL</acronym>
-      を有効にしないでマウントしてしまうのを防ぐようにした方が望ましいと考えました。
-      <acronym>ACL</acronym> を有効にし、その後無効にしてから、
-      拡張属性を取り消さないでまた有効にしてしまうと、
-      鬱陶しい状態に自分で入り込んでしまえるからです。
-      一般的には、一度ファイルシステムで <acronym>ACL</acronym>
-      を有効にしたら、無効にすべきではありません。そうしてしまうと、
-      ファイル保護がシステムのユーザの意図と齟齬をきたす可能性があるばかりか、
-      <acronym>ACL</acronym> を再度有効にすると、
-      それまでパーミッションが変更されてきたファイルに古い
-      <acronym>ACL</acronym> を割り当ててしまい、
-      予想しない動作につながることも考えられます。</para></note>
+    <note>
+      <para><acronym>ACL</acronym> の動作を変更して、まったく新たに
+	&man.mount.8;
+	を行わなくてもフラグを有効にできるようにすることも可能でしょう。
+	しかし、我々は、うっかり <acronym>ACL</acronym>
+	を有効にしないでマウントしてしまうのを防ぐようにした方が望ましいと考えました。
+	<acronym>ACL</acronym> を有効にし、その後無効にしてから、
+	拡張属性を取り消さないでまた有効にしてしまうと、
+	鬱陶しい状態に自分で入り込んでしまえるからです。
+	一般的には、一度ファイルシステムで <acronym>ACL</acronym>
+	を有効にしたら、無効にすべきではありません。そうしてしまうと、
+	ファイル保護がシステムのユーザの意図と齟齬をきたす可能性があるばかりか、
+	<acronym>ACL</acronym> を再度有効にすると、
+	それまでパーミッションが変更されてきたファイルに古い
+	<acronym>ACL</acronym> を割り当ててしまい、
+	予想しない動作につながることも考えられます。</para>
+    </note>
 
     <para><acronym>ACL</acronym> を有効にしたファイルシステムは、
       パーミッション設定の表示に <literal>+</literal> (プラス)
@@ -3896,13 +4017,13 @@ drwxrwx---+ 2 robert  robert  512 Dec 22 10:20 directory2
 drwxrwx---+ 2 robert  robert  512 Dec 27 11:57 directory3
 drwxr-xr-x  2 robert  robert  512 Nov 10 11:54 public_html</programlisting>
 
-    <para>ここでは、ディレクトリ <filename
-      class="directory">directory1</filename>, <filename
-      class="directory">directory2</filename> および <filename
-      class="directory">directory3</filename>
+    <para>ここでは、ディレクトリ
+      <filename class="directory">directory1</filename>,
+      <filename class="directory">directory2</filename> および
+      <filename class="directory">directory3</filename>
       のすべてで <acronym>ACL</acronym> が働いています。
-      ディレクトリ <filename
-      class="directory">public_html</filename> は対象外です。</para>
+      ディレクトリ <filename class="directory">public_html</filename>
+      は対象外です。</para>
 
     <sect2>
       <title><acronym>ACL</acronym> を利用する</title>
@@ -3985,8 +4106,9 @@ drwxr-xr-x  2 robert  robert  512 Nov 10 11:54 public_html</programlisting>
       と呼ばれる追加のユーティリティが、
       この目的のために用意されています。</para>
 
-    <para><filename role="package">ports-mgmt/portaudit</filename> port は、
-      &os; セキュリティチームおよび ports
+    <para>
+      <filename role="package">ports-mgmt/portaudit</filename>
+      port は、&os; セキュリティチームおよび ports
       開発者がアップデートし、管理している、
       既知のセキュリティ問題に対するデータベースを入手します。</para>
 
@@ -4130,7 +4252,8 @@ VII. References<co xml:id="co-ref"/></programlisting>
 
       <calloutlist>
 	<callout arearefs="co-topic">
-	  <para><literal>Topic</literal> フィールドは、何が問題であるかを正確に示しています。
+	  <para><literal>Topic</literal> フィールドは、
+	    何が問題であるかを正確に示しています。
 	    通常は、このセキュリティ勧告の導入部であり、
 	    脆弱性のあるユーティリティを示します。</para>
 	</callout>
@@ -4171,7 +4294,7 @@ VII. References<co xml:id="co-ref"/></programlisting>
 	</callout>
 
 	<callout arearefs="co-credit">
-	  <para><literal>Credits</literal> フィールドは、 
+	  <para><literal>Credits</literal> フィールドは、
 	    脆弱性を通知し、報告した個人または組織を示します。</para>
 	</callout>
 
@@ -4334,5 +4457,5 @@ VII. References<co xml:id="co-ref"/></programlisting>
 	&man.lastcomm.1;, &man.acct.5; および &man.sa.8; マニュアルページで
 	説明されています。</para>
     </sect2>
-  </sect1>  
+  </sect1>
 </chapter>