209 lines
4.9 KiB
Groff
209 lines
4.9 KiB
Groff
.\" %FreeBSD: src/lib/libskey/skey.access.5,v 1.5.2.1 2001/01/12 18:06:50 ru Exp %
|
|
.\"
|
|
.\" jpman %Id: skey.access.5,v 1.3 1998/08/09 12:54:01 horikawa Stab %
|
|
.Dd January 12, 2001
|
|
.Dt SKEY.ACCESS 5
|
|
.Os
|
|
.Sh 名称
|
|
.Nm skey.access
|
|
.Nd "S/Key パスワード制御テーブル"
|
|
.Sh 解説
|
|
S/Key パスワード制御テーブル
|
|
.Pq Pa /etc/skey.access
|
|
は
|
|
.Xr login 1
|
|
のようなプログラムが使用し、
|
|
システムアクセスのために
|
|
.Ux
|
|
パスワードをいつ使用するかを決定します。
|
|
.Bl -bullet
|
|
.It
|
|
テーブルが存在しない場合は、パスワード制限はありません。
|
|
ユーザは
|
|
.Ux
|
|
パスワードあるいは S/Key パスワードを入力することができます。
|
|
.It
|
|
テーブルが存在する場合は、
|
|
明白に記述されている場合のみ
|
|
.Ux
|
|
パスワードが許可されます。
|
|
.It
|
|
ただし、システムコンソールからは常に
|
|
.Ux
|
|
パスワードは許可されます。
|
|
.El
|
|
.Sh テーブルの書式
|
|
テーブルのフォーマットは 1 行当たり 1 ルールです。
|
|
ルールは順番に検索されます。
|
|
最初に条件が合うルールが見つかったとき、
|
|
またはテーブルの最後に到達したとき、検索は終了します。
|
|
.Pp
|
|
ルールのフォーマットは次の通りです:
|
|
.Pp
|
|
.Bl -item -offset indent -compact
|
|
.It
|
|
.Ic permit
|
|
.Ar 条件\ 条件 ...
|
|
.It
|
|
.Ic deny
|
|
.Ar 条件\ 条件 ...
|
|
.El
|
|
.Pp
|
|
.Ic permit
|
|
と
|
|
.Ic deny
|
|
の後には 0 個以上の
|
|
.Ar 条件
|
|
を記述可能です。
|
|
コメントは
|
|
.Ql #
|
|
で始まり、行末までコメントになります。
|
|
空行やコメントのみの行は無視されます。
|
|
.Pp
|
|
すべての条件が満たされるときにルールがマッチします。
|
|
条件のないルールは常に満たされます。
|
|
例えば、最後のエントリは語
|
|
.Ic deny
|
|
のみとなっているかもしれません。
|
|
.Sh 条件
|
|
.Bl -tag -width indent
|
|
.It Ic hostname Ar wzv.win.tue.nl
|
|
.Ar wzv.win.tue.nl
|
|
というホストからログインしたとき真になります。
|
|
.Sx 警告
|
|
の節を参照してください。
|
|
.It Ic internet Ar 131.155.210.0 255.255.255.0
|
|
.Ar 131.155.210
|
|
のネットワークからログインしたら真になります。
|
|
ネットワークアドレスとネットマスクは次の書式になります。
|
|
.Pp
|
|
.D1 Ic internet Ar net mask
|
|
.Pp
|
|
.Ar mask
|
|
とのビットごとの論理積が
|
|
.Ar net
|
|
と等しくなるインターネットアドレスを
|
|
ホストが持つ場合、式は真になります。
|
|
.Sx 警告
|
|
の節を参照してください。
|
|
.It Ic port Ar ttya
|
|
ログインしている端末が
|
|
.Pa /dev/ttya
|
|
ならば真になります。
|
|
.Ux
|
|
パスワードはシステムコンソールからの
|
|
ログインには常に許されている点は憶えておいてください。
|
|
.It Ic user Ar uucp
|
|
.Ar uucp
|
|
ユーザがログインしようとしたとき真になります。
|
|
.It Ic group Ar wheel
|
|
.Ar wheel
|
|
グループとしてログインしようとしたとき真になります。
|
|
.El
|
|
.Sh 互換性
|
|
過去の互換性のために、
|
|
.Ic internet
|
|
というキーワードはネットワークアドレスとマスクのパターンから
|
|
省略可能です。
|
|
.Sh 警告
|
|
S/Key 制御テーブル
|
|
.Pq Pa /etc/skey.access
|
|
が存在する場合、
|
|
S/Key パスワードを持たないユーザは、
|
|
.Ux
|
|
パスワードの使用が許されるところからのみログインが許されます。
|
|
特に
|
|
.Xr login 1
|
|
が擬似 tty (例えば
|
|
.Xr xterm 1
|
|
や
|
|
.Xr screen 1
|
|
の中)
|
|
から起動される場合、
|
|
コンソールからのログインでもなければ
|
|
ネットワークからのログインでもないと扱われますので、
|
|
S/Key パスワードの使用が義務づけられます。
|
|
このような状況で起動される
|
|
.Xr login 1
|
|
は、
|
|
S/Key パスワードを持たないユーザに対しては必ず失敗します。
|
|
.Pp
|
|
いくつかのルール型は、ネットワークを通じて与えられるホスト名やアドレス情報に
|
|
依存しています。
|
|
このことから考えられる、システムに
|
|
.Ux
|
|
パスワードを許させる攻撃の一覧を示します。
|
|
.Ss "ホストアドレス偽造 (ソースルーティング)"
|
|
侵入者は自分のインタフェースを信頼されているネットワーク内のアドレス
|
|
として構成し、
|
|
そのソースアドレスを使用して、被害者に接続します。
|
|
誤ったクライアントアドレスを与えられると、
|
|
ホストアドレスに基づくルールもしくは
|
|
アドレスから導かれるホスト名に基づくルールを元にして、
|
|
被害者は間違った結論を導きます。
|
|
.Pp
|
|
対処法:
|
|
.Bl -enum
|
|
.It
|
|
ネットワークからの
|
|
.Ux
|
|
パスワードを用いたログインを許さない。
|
|
.It
|
|
ソースルーティング情報を捨てるネットワークソフトウェアを使う
|
|
(例えば、tcp wrapper)。
|
|
.El
|
|
.Pp
|
|
ほとんどのネットワークサーバはクライアントのネットワークアドレスから
|
|
クライアントの名前を解決します。
|
|
それゆえ、次の明らかな攻撃は以下のようになります。
|
|
.Ss "ホスト名偽造 (悪い PTR レコード)"
|
|
誤ったホスト名を与えられると、
|
|
ホスト名に基づくルールもしくは
|
|
ホスト名から導かれるアドレスに基づくルールを元にして、
|
|
被害者は間違った結論を導きます。
|
|
.Pp
|
|
対処法:
|
|
.Bl -enum
|
|
.It
|
|
ネットワークからの UNIX パスワードを用いたログインを許さない。
|
|
.It
|
|
ホスト名からクライアントのネットワークアドレスを解決できることを確認する
|
|
ネットワークソフトウェアを使用する
|
|
(例えば、tcp wrapper)。
|
|
.El
|
|
.Pp
|
|
.Ux
|
|
の
|
|
.Xr login 1
|
|
プログラムのように、
|
|
クライアントのホスト名からクライアントのネットワークアドレスを
|
|
求める必要があるアプリケーションが存在します。
|
|
今述べた攻撃に加えて、もう 1 つの可能性があります。
|
|
.Ss "ホストアドレスの偽造 (余分な A レコード)"
|
|
侵入者はクライアントのホスト名について (もまた)、信頼されたアドレスとして
|
|
解決させるためにネームサーバシステムを操作します。
|
|
.Pp
|
|
対処法:
|
|
.Bl -enum
|
|
.It
|
|
ネットワークからの
|
|
.Ux
|
|
パスワードを用いたログインを許さない。
|
|
.It
|
|
.Fn skeyaccess
|
|
は他の人が属するネットワークアドレスを無視する。
|
|
.El
|
|
.Sh 診断
|
|
構文エラーは
|
|
.Xr syslogd 8
|
|
に報告されます。
|
|
エラーが見つかったらそのルールはスキップされます。
|
|
.Sh 関連ファイル
|
|
.Bl -tag -width /etc/skey.access
|
|
.It Pa /etc/skey.access
|
|
パスワード制御テーブル
|
|
.El
|
|
.Sh 作者
|
|
.An Wietse Venema ,
|
|
Eindhoven University of Technology,
|
|
The Netherlands
|