96 lines
3.4 KiB
Groff
96 lines
3.4 KiB
Groff
.\" opieaccess.5: Manual page describing the /etc/opieaccess file.
|
|
.\"
|
|
.\" Portions of this software are Copyright 1995 by Randall Atkinson and Dan
|
|
.\" McDonald, All Rights Reserved. All Rights under this copyright are assigned
|
|
.\" to the U.S. Naval Research Laboratory (NRL). The NRL Copyright Notice and
|
|
.\" License Agreement applies to this software.
|
|
.\"
|
|
.\" History:
|
|
.\"
|
|
.\" Modified by cmetz for OPIE 2.4. Fixed "0PIE" typo.
|
|
.\" Written at NRL for OPIE 2.0.
|
|
.\"
|
|
.ll 6i
|
|
.pl 10.5i
|
|
.\" @(#)opieaccess.5 2.0 (NRL) 1/10/95
|
|
.\" %FreeBSD: src/contrib/opie/opieaccess.5,v 1.3 2002/03/21 23:42:52 markm Exp %
|
|
.\" $FreeBSD$
|
|
.\" WORD: passive attack 受動攻撃
|
|
.\"
|
|
.lt 6.0i
|
|
.TH OPIEACCESS 5 "January 10, 1995"
|
|
.AT 3
|
|
.SH 名称
|
|
/etc/opieaccess \- 信頼できるネットワークの OPIE(One-time Password In Everything) データベース
|
|
|
|
.SH 解説
|
|
.I opieaccess
|
|
ファイルは、受動攻撃に対するセキュリティに関して、そのシステム
|
|
が信頼しても構わないと考えられるネットワークのリストを含みます。
|
|
ここで、信頼できるネットワークからのユーザは、OPIE 応答を用いてログインする
|
|
ことができますが、必ずしも OPIE 応答を使う必要はありません。一方、
|
|
信頼できないネットワークからのユーザは、必ず OPIE 応答を使う
|
|
(これがデフォルトの動作) 必要があります。
|
|
"内側の" ネットワークに関しては、そのサイトに対して OPIE の使用を強制
|
|
しませんし、また、OPIE を使って自分のパスワードを保護するかどうかを
|
|
ユーザが選ぶことができるので、この信頼関係により、サイトがよりスムーズに
|
|
OPIE に移行することができます。
|
|
.sp
|
|
OPIE システムは受動攻撃からユーザを保護するものですが、
|
|
.I opeiaccess
|
|
ファイルで実装された信頼という全概念は、
|
|
それと同様の受動攻撃に対して
|
|
システムのバックアップをオープンにしてしまいます。
|
|
従って、この信頼という概念は重大なセキュリティホールとなります。
|
|
本バージョンの OPIE にこのような
|
|
.I opieaccess
|
|
が存在するのは、ひとえに、OPIE を使いたくないユーザのせいで自分の
|
|
アカウントを破られたくないユーザが OPIE を使えなくなるよりも、
|
|
このようなユーザが OPIE を使えるようにすることの方がよいと信じているためです。
|
|
どのような環境であれ、
|
|
trust 機能を活かした本バージョンの OPIE は移行のためのツールと考えるべきで、
|
|
永久に使い続けるべきではありません。
|
|
移行のためのツールとして使う必要がなくなった時点で、
|
|
.I opieaccess
|
|
ファイルをサポートしないバージョンの OPIE を構築し、OPIE システムの
|
|
裏をかくための手段としてこのファイルを使おうとする攻撃者にチャンスを
|
|
与えないようにする必要があります。
|
|
.sp
|
|
.I opieaccess
|
|
は、以下のように空白で区切られた 3 つのフィールドからなる行から構成されます
|
|
(区切りとしてタブも正しく解釈されますが、空白を代わりに使って下さい)。
|
|
.PP
|
|
.nf
|
|
.ta \w' 'u
|
|
フィールド名 内容
|
|
action OPIEを利用しないログインを "許可" もしくは "拒否" します
|
|
address 照合するネットワークのアドレスです
|
|
mask 照合のためのネットワークのマスクです
|
|
.fi
|
|
|
|
サブネットは適切なアドレスとマスクを使うことで制御されます。
|
|
個々のホストは 255.255.255.255 のマスクと適切なアドレスを使うことで
|
|
制御されます。
|
|
どの規則も一致しない場合、デフォルトでは OPIE 無しのログインは拒否されます。
|
|
|
|
.SH 関連項目
|
|
.BR ftpd (8)
|
|
.BR login (1),
|
|
.BR opie (4),
|
|
.BR opiekeys (5),
|
|
.BR opiepasswd (1),
|
|
.BR opieinfo (1),
|
|
.BR su (1),
|
|
|
|
.SH 作者
|
|
Bellcore の S/Key は Bellcore の Phil Karn, Neil M. Haller,
|
|
John S. Walden によって書かれました。
|
|
OPIE は NRL で Randall Atkinson, Dan McDonald, Craig Metz によって作成
|
|
されました。
|
|
S/Key は Bell Communications Research (Bellcore) のトレードマークです。
|
|
|
|
.SH 連絡先
|
|
OPIE は Bellcore の "S/Key Users" メーリングリストで議論されました。
|
|
参加するためには、電子メールを以下の所に送って下さい。
|
|
.sp
|
|
skey-users-request@thumper.bellcore.com
|