.\" (c) 1998 by James R. Van Zandt -*- nroff -*- .\" .\" Japanese Version Copyright (c) 2003 NAKANO Takeo all rights reserved. .\" Translated Wed 29 Jan 2003 by NAKANO Takeo .\" .TH mirrordir 1 "1998 November 8" "Linux" .SH 名前 secure-mcserv \- 暗号化ログイン・ファイル転送・ソケットフォワード用の安全なサーバ .SH 書式 .BI secure-mcserv " \fR[\fPoptions\fR] [\fP" -p " portnum\fR]\fP" .SH 説明 .B secure-mcserv は Midnight Commander vfs (バーチャルファイルシステム) の Midnight Commander (ネットワーク) ファイルシステム (mcfs) サーバである。 .B secure-mcserv は .B mirrordir パッケージに含まれている。Midnight Commander のネイティブな .B mcserv デーモンの代わりに動作させることができ、 .B mirrordir 向けにいくつかの拡張がなされている。 .TP .B セキュリティと圧縮 これは .B secure-mcserv の機能というよりも、 .B mirrordir 全体に対して実装された、透過的かつ安全な TCP 層である。 この層は、通常モード、圧縮 (gzipped) モード、暗号化モード、 圧縮+暗号化モードで動作できる。 接続のモードは TCP ストリーム先頭のマジックナンバーによって自動検知される。 Midnight Commander は .B secure-mcserv を、自らのネイティブなサーバである .B mcserv の代わりに利用できる。 .BR mirrordir (1) の .BR -z , .BR --secure , .B -K 各オプションを見よ。 .TP .B 特定のホストからのアクセスの拒否 .RS .I /etc/hosts.allow ファイルに以下のような行を追加する。 .PP .nf secure-mcserv: : ALLOW secure-mcserv: 212.89.128.0/255.255.255.0 : ALLOW secure-mcserv: ALL : DENY .fi .PP (この機能は Juergen Kammer から寄せられました。彼のところでは動作しているそうです。) .RE .TP .B ログイン .B mirrordir の配布に含まれる .B pslogin を用いると、安全に .B secure-mcserv に対するログインができる。 これは .BR rlogin (1) が .BR rlogind (8) に対して動作するのと同様である。 .BR mirrordir (1) の .B --login-mode オプションを見よ。 .TP .B TCP ソケットのフォワード .B mirrordir の配布に含まれる .BR forward (1) コマンドを用いると、任意の TCP ソケット接続を 安全または圧縮 (あるいはその両方の) TCP チャネルにフォワードできる。 これは通常のサービスを暗号化サービスにでき、とても便利である。 .BR forward (1) に例がある。 .SH オプション .TP \fB-d\fP デーモンになる (同時に -q も設定される)。 通常は常にこのオプションを用いることになるだろう。 これ以外としては、 .B -d を指定せずに .B -v (後述) を指定して、失敗した接続をデバッグする場合があり得るだろう。 .TP \fB-q\fP 寡黙モード。これはデフォルトである。 .TP \fB-f\fP 通常の認証が失敗したときに ftp 認証を試みる。 .TP \fB-v\fP 饒舌モード。様々なデバッグ情報を表示する。 .TP \fB-p\fP \fIport\fP 待ち受けるポート番号を指定する。デフォルトは 9876。 .TP \fB-s\fP \fIserver\fP\fB[\fP\fI:port\fP\fB]\fP .RS 利用するパスワードサーバを指定する。 このパスワードサーバとは、単に他のマシンで .B -s オプション無しで動作している .B secure-mcserv のことである。 このオプションは、たくさんのマシンを用いており、 それらに対して一群のユーザ達がログインするような場合にとても便利である。 これらのユーザ全員に対するアカウントを各マシンにつくり、 .B /etc/password (あるいは .BR /etc/shadow ) を編集してパスワードフィールドを \fB*\fP にしてアカウントを無効にしておく。 ひとつのマシンをパスワードサーバとして選択する (このマシンを仮に .B passerv.my.doma.in としよう)。このマシンの .B /etc/password のパスワードフィールドには、正しいパスワードを入れておく。 このマシンで、通常のように .B secure-mcserv -d を起動する。他の全てのマシンでは、 .B secure-mcserv -d -s passerv.my.doma.in を起動する。 これらの間の接続は、全て等しく暗号化された TCP ストリームとなるので、 これらはすべて同じように安全である。この方法は .B passerv.my.doma.in がインターネットの向こうにあるような場合にでも利用できる。 実際、パスワードサーバに対する認証は、 以下のコマンドの終了ステータスを見ることによって行なわれている。 .br .nf \fBpslogin\fP \fIuser\fP\fB@passerv.my.doma.in --test-login --read-password-from-stdin\fP .fi .PP また、パスワードサーバのカスケードを利用することも不可能では無いはずだ。 こうすることには何の利点も無いけれど。 それぞれの認証は、実行に同じ時間を必要とする。 よってパスワードサーバを用いると、 2 つめの接続がパスワードサーバになされるため、 通常のログインの 2 倍の時間がかかる。 カスケードにすると、各パスワードサーバごとに、 もっと余計な時間がかかる。 .RE .SH バグ syslog にログ出力しない。 .PP Midnight Commander vfs にはバグがあり、 デバイスファイルは常に メジャー番号:マイナー番号 が 0:0 となる。 このバグは、この実装では修正されている。 デバイスファイルの転送に Midnight Commander を用いてはいけない。 ただしこれをあなたが読んだ時点の最新版の Midnight Commander では、 この問題は修正されているかもしれない。 .PP .B rlogin セッションをサスペンドする特殊なエスケープ文字は認識しない。 よって .B screen (?) のようなコマンドは動作しない。 もしユーザからの要望があれば、この機能は追加するつもりだ。 現在のところ、^Z などは効力を持たない。 .SH ファイル .BR mirrodir (1) を見よ。 .SH 標準 ない。 .B バグ を見よ。 .SH 入手方法 このプログラムの最新版は、 \fBftp://metalab.unc.edu/pub/Linux/system/backup\fP, \fBftp://lava.obsidian.co.za/pub/linux/mirrordir\fP, \fBftp://obsidian.co.za/pub/linux/mirrordir\fP のいずれかから入手できる。 .SH 著者 Paul Sheer .SH 関連項目 \fBmirrordir\fP(1), \fBssh\fP(1), \fBmcserv\fP(1), \fBmc\fP(1)