doc/ja_JP.eucJP/man/man5/skey.access.5

.\" %FreeBSD: src/lib/libskey/skey.access.5,v 1.5.2.1 2001/01/12 18:06:50 ru Exp %
.\"
.\" $FreeBSD$
.Dd January 12, 2001
.Dt SKEY.ACCESS 5
.Os
.Sh 名称
.Nm skey.access
.Nd "S/Key パスワード制御テーブル"
.Sh 解説
S/Key パスワード制御テーブル
.Pq Pa /etc/skey.access
は
.Xr login 1
のようなプログラムが使用し、
システムアクセスのために
.Ux
パスワードをいつ使用するかを決定します。
.Bl -bullet
.It
テーブルが存在しない場合は、パスワード制限はありません。
ユーザは
.Ux
パスワードあるいは S/Key パスワードを入力することができます。
.It
テーブルが存在する場合は、
明白に記述されている場合のみ
.Ux
パスワードが許可されます。
.It
ただし、システムコンソールからは常に
.Ux
パスワードは許可されます。
.El
.Sh テーブルの書式
テーブルのフォーマットは 1 行当たり 1 ルールです。
ルールは順番に検索されます。
最初に条件が合うルールが見つかったとき、
またはテーブルの最後に到達したとき、検索は終了します。
.Pp
ルールのフォーマットは次の通りです:
.Pp
.Bl -item -offset indent -compact
.It
.Ic permit
.Ar 条件\ 条件 ...
.It
.Ic deny
.Ar 条件\ 条件 ...
.El
.Pp
.Ic permit
と
.Ic deny
の後には 0 個以上の
.Ar 条件
を記述可能です。
コメントは
.Ql #
で始まり、行末までコメントになります。
空行やコメントのみの行は無視されます。
.Pp
すべての条件が満たされるときにルールがマッチします。
条件のないルールは常に満たされます。
例えば、最後のエントリは語
.Ic deny
のみとなっているかもしれません。
.Sh 条件
.Bl -tag -width indent
.It Ic hostname Ar wzv.win.tue.nl
.Ar wzv.win.tue.nl
というホストからログインしたとき真になります。
.Sx 警告
の節を参照してください。
.It Ic internet Ar 131.155.210.0 255.255.255.0
.Ar 131.155.210
のネットワークからログインしたら真になります。
ネットワークアドレスとネットマスクは次の書式になります。
.Pp
.D1 Ic internet Ar net mask
.Pp
.Ar mask
とのビットごとの論理積が
.Ar net
と等しくなるインターネットアドレスを
ホストが持つ場合、式は真になります。
.Sx 警告
の節を参照してください。
.It Ic port Ar ttya
ログインしている端末が
.Pa /dev/ttya
ならば真になります。
.Ux
パスワードはシステムコンソールからの
ログインには常に許されている点は憶えておいてください。
.It Ic user Ar uucp
.Ar uucp
ユーザがログインしようとしたとき真になります。
.It Ic group Ar wheel
.Ar wheel
グループとしてログインしようとしたとき真になります。
.El
.Sh 互換性
過去の互換性のために、
.Ic internet
というキーワードはネットワークアドレスとマスクのパターンから
省略可能です。
.Sh 警告
S/Key 制御テーブル
.Pq Pa /etc/skey.access
が存在する場合、
S/Key パスワードを持たないユーザは、
.Ux
パスワードの使用が許されるところからのみログインが許されます。
特に
.Xr login 1
が擬似 tty (例えば
.Xr xterm 1
や
.Xr screen 1
の中)
から起動される場合、
コンソールからのログインでもなければ
ネットワークからのログインでもないと扱われますので、
S/Key パスワードの使用が義務づけられます。
このような状況で起動される
.Xr login 1
は、
S/Key パスワードを持たないユーザに対しては必ず失敗します。
.Pp
いくつかのルール型は、ネットワークを通じて与えられるホスト名やアドレス情報に
依存しています。
このことから考えられる、システムに
.Ux
パスワードを許させる攻撃の一覧を示します。
.Ss "ホストアドレス偽造 (ソースルーティング)"
侵入者は自分のインタフェースを信頼されているネットワーク内のアドレス
として構成し、
そのソースアドレスを使用して、被害者に接続します。
誤ったクライアントアドレスを与えられると、
ホストアドレスに基づくルールもしくは
アドレスから導かれるホスト名に基づくルールを元にして、
被害者は間違った結論を導きます。
.Pp
対処法:
.Bl -enum
.It
ネットワークからの
.Ux
パスワードを用いたログインを許さない。
.It
ソースルーティング情報を捨てるネットワークソフトウェアを使う
(例えば、tcp wrapper)。
.El
.Pp
ほとんどのネットワークサーバはクライアントのネットワークアドレスから
クライアントの名前を解決します。
それゆえ、次の明らかな攻撃は以下のようになります。
.Ss "ホスト名偽造 (悪い PTR レコード)"
誤ったホスト名を与えられると、
ホスト名に基づくルールもしくは
ホスト名から導かれるアドレスに基づくルールを元にして、
被害者は間違った結論を導きます。
.Pp
対処法:
.Bl -enum
.It
ネットワークからの UNIX パスワードを用いたログインを許さない。
.It
ホスト名からクライアントのネットワークアドレスを解決できることを確認する
ネットワークソフトウェアを使用する
(例えば、tcp wrapper)。
.El
.Pp
.Ux
の
.Xr login 1
プログラムのように、
クライアントのホスト名からクライアントのネットワークアドレスを
求める必要があるアプリケーションが存在します。
今述べた攻撃に加えて、もう 1 つの可能性があります。
.Ss "ホストアドレスの偽造 (余分な A レコード)"
侵入者はクライアントのホスト名について (もまた)、信頼されたアドレスとして
解決させるためにネームサーバシステムを操作します。
.Pp
対処法:
.Bl -enum
.It
ネットワークからの
.Ux
パスワードを用いたログインを許さない。
.It
.Fn skeyaccess
は他の人が属するネットワークアドレスを無視する。
.El
.Sh 診断
構文エラーは
.Xr syslogd 8
に報告されます。
エラーが見つかったらそのルールはスキップされます。
.Sh 関連ファイル
.Bl -tag -width /etc/skey.access
.It Pa /etc/skey.access
パスワード制御テーブル
.El
.Sh 作者
.An Wietse Venema ,
Eindhoven University of Technology,
The Netherlands