secure-mcservのヘルプ・マニュアル
日本語 英語
secure-mcserv --help
man secure-mcserv
mirrordir(1) mirrordir(1)
名前
secure-mcserv - 暗号化ログイン・ファイル転送・ソケットフォワード用の安
全なサーバ
書式
secure-mcserv [options] [-p portnum]
説明
secure-mcserv は Midnight Commander vfs (バーチャルファイルシステム) の
Midnight Commander (ネットワーク) ファイルシステム (mcfs) サーバである
。 secure-mcserv は mirrordir パッケージに含まれている 。Midnight Com-
mander のネイティブな mcserv デーモンの代わりに動作させることができ、
mirrordir 向けにいくつかの拡張がなされている。
セキュリティと圧縮
これは secure-mcserv の機能というよりも、 mirrordir 全体に対して
実 装された、透過的かつ安全な TCP 層である。この層は、通常モード
、圧縮 (gzipped) モード、暗号化モード、圧縮+暗号化モードで動作で
き る。接続のモードは TCP ストリーム先頭のマジックナンバーによっ
て自動検知される。 Midnight Commander は secure-mcserv を、自 ら
の ネ イ ティブなサーバである mcserv の代わりに利用できる。 mir-
rordir(1) の -z, --secure, -K 各オプションを見よ。
特定のホストからのアクセスの拒否
/etc/hosts.allow ファイルに以下のような行を追加する。
secure-mcserv: : ALLOW
secure-mcserv: 212.89.128.0/255.255.255.0 : ALLOW
secure-mcserv: ALL : DENY
(この機能は Juergen Kammer から寄せられま
した。彼のところでは動作しているそうです。)
ログイン
mirrordir の 配布に含まれる pslogin を用いると、安全に secure-
mcserv に対するログインができる。これは rlogin(1) が rlogind(8)
に対して動作するのと同様である。 mirrordir(1) の --login-mode オ
プションを見よ。
TCP ソケットのフォワード
mirrordir の配布に含まれる forward(1) コマンドを用いると、任意の
TCP ソケット接続を安全または圧縮 (あるいはその両方の) TCP チャネ
ルにフォワードできる。これは通常のサービスを暗号化サービスにでき
、とても便利である。 forward(1) に例がある。
オプション
-d デーモンになる (同時に -q も設定される)。通常は常にこのオプショ
ンを用いることになるだろう。これ以外としては、 -d を指定せ ず に
-v (後述) を指定して、失敗した接続をデバッグする場合があり得るだ
ろう。
-q 寡黙モード。これはデフォルトである。
-f 通常の認証が失敗したときに ftp 認証を試みる。
-v 饒舌モード。様々なデバッグ情報を表示する。
-p port
待ち受けるポート番号を指定する。デフォルトは 9876。
-s server[:port]
利用するパスワードサーバを指定する。このパスワードサーバとは、単
に 他のマシンで -s オプション無しで動作している secure-mcserv の
ことである。
このオプションは、たくさんのマシンを用いており、それらに対して一
群のユーザ達がログインするような場合にとても便利である。これらの
ユーザ全員に対するアカウントを各マシンにつくり、 /etc/password (
あ るいは /etc/shadow) を編集してパスワードフィールドを * にして
アカウントを無効にしておく。
ひとつのマシンをパスワードサーバとして選択する (このマシンを仮に
passerv.my.doma.in としよう)。このマシンの /etc/password のパス
ワードフィールドには、正しいパスワードを入れておく。このマシンで
、通常のように secure-mcserv -d を起動する。他の全てのマシンでは
、 secure-mcserv -d -s passerv.my.doma.in を起動する。
これらの間の接続は、全て等しく暗号化された TCP ストリームとな る
の で 、 こ れ ら は す べ て 同 じ ように安全である。この方法は
passerv.my.doma.in がインターネットの向こうにあるような場合に で
も利用できる。実際、パスワードサーバに対する認証は、以下のコマン
ドの終了ステータスを見ることによって行なわれている。
pslogin user@passerv.my.doma.in --test-login --read-password-from-stdin
また、パスワードサーバのカスケードを利用することも不可能では無い
はずだ。こうすることには何の利点も無いけれど。
それぞれの認証は、実行に同じ時間を必要とする。よってパスワードサ
ーバを用いると、 2 つめの接続がパスワードサーバになされるため 、
通 常のログインの 2 倍の時間がかかる。カスケードにすると、各パス
ワードサーバごとに、もっと余計な時間がかかる。
バグ
syslog にログ出力しない。
Midnight Commander vfs にはバグがあり、デバイスファイルは常に メジャ ー
番号:マイナー番号 が 0:0 となる。このバグは、この実装では修正されている
。デバイスファイルの転送に Midnight Commander を用いてはいけない。た だ
し これをあなたが読んだ時点の最新版の Midnight Commander では、この問題
は修正されているかもしれない。
rlogin セッションをサスペンドする特殊なエスケープ文字は認識しない。よっ
て screen (?) のようなコマンドは動作しない。もしユーザからの要望があれ
ば、この機能は追加するつもりだ。現在のところ、^Z などは効力を持たない。
ファイル
mirrodir(1) を見よ。
標準
ない。 バグを見よ。
入手方法
こ の プ ロ グ ラ ム の 最新版は、 ftp://metalab.unc.edu/pub/Linux/sys-
tem/backup, ftp://lava.obsidian.co.za/pub/linux/mirrordir, ftp://obsid-
ian.co.za/pub/linux/mirrordir のいずれかから入手できる。
著者
Paul Sheer
関連項目
mirrordir(1), ssh(1), mcserv(1), mc(1)
Linux 1998 November 8 mirrordir(1)