日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
TCPD(8) TCPD(8) 名称 tcpd - インターネットサービスのためのアクセスコントロール (制御) 機能 解説 tcpd プログラムは、実行可能なファイルで 1 対 1 でマップされている telnet、finger、ftp、exec、rsh、rlogin、tftp、talk、comsat と他のサービ スのために着信するリクエストをモニタするためにセットアップすることがで きます。 プログラムは 4.3BSD スタイルソケットおよび System V.4 スタイル TLI の両 方をサポートします。プロトコル下部 TLI がインターネットプロトコルでない 場合、機能性は制限されているかもしれません。 操作 (オペレーション) は次のとおりです。サービスのリクエストが到着する 場合は常に、inetd デーモンはだまされて希望のサーバの代わりに tcpd プロ グラムを実行します。tcpd はリクエストをログに記録し、いくつかの追加の チェックを行います。すべてがうまくいく場合、tcpd は適切なサーバプログラ ムを実行し消え去ります。 オプションの特徴は、パターンに基づいたアクセスコントロール、RFC 931 そ の他のプロトコルでクライアントユーザ名の検索、誰か他の人のホスト名を持 つように偽るホストからの保護、誰か他の人のネットワークアドレスを持つよ うに偽るホストからの保護、です。 ロギング tcpd によってモニタされる接続は syslog(3) 機能を介して報告されます。各 レコードはタイムスタンプ、クライアントホスト名および要求されたサービス の名前を含んでいますす。特にいくつかのホストからの logfile 情報が併合さ れる場合、情報は望まれない活動を検出するのに便利になりえます。 利用者のログがどこに出力されるか知るためには、通常 /etc/syslog.conf で ある、syslog 設定ファイルを調べてください。 アクセスコントロール オプションで、tcpd は、パターンマッチングに基づくアクセスコントロールの 単純な形式をサポートします。アクセスコントロールソフトウェアは、パター ンが発火する時、shell (シェル) コマンドの実行のホック (仕掛け) を供給し ます。詳細に関しては、hosts_access(5) マニュアルページを参照してくださ い。 ホスト名の検証 いくつかのプロトコル (rlogin, rsh) の認証スキームはホスト名に依存しま す。いくつかの実装は、それらが任意のランダムネームサーバから取得するホ スト名を信じます。他の実装はより注意深いが、欠陥のあるアルゴリズムを使 用します。 tcpd は、ホスト名を検索することによってアドレス->名前 DNS サーバによっ て返されるクライアントホスト名と、名前->アドレス DNS サーバによって返さ れるアドレスを検証します。不一致が検出される場合、tcpd はそれが誰か他の ホスト名を持つように偽るホストで処理していると結論を出します。 ソースが -DPARANOID でコンパイルされる場合、tcpd はホスト名/アドレス不 一致の場合の接続を中断します。そうでなければ、ホスト名は、適切な処置が 取られた後に PARANOID ワイルドカードと一致させることができます。 ホスト名のなりすまし (スプーフイング) オプションで、tcpd は、それを処理するすべての接続でソースルーティングソ ケットオプションを不能にします。これは、誰か他の人のネットワークを所有 しているアドレスを持つように偽るホストからほとんどの攻撃を処理して片付 けます。UDP サービスはこの保護からの利点はありません。この特徴はコンパ イル時にオンにしなければなりません。 RFC 931 RFC 931 その他の検索が (コンパイル時オプションで) 可能になった場合、 tcpd は、クライアントユーザの名前を確立することを試みるでしょう。クライ アントホストが RFC 931-規格デーモンを実行する場合のみ、これは成功しま す。クライアントユーザ名の検索はデータグラム指向の接続では働かず、PC か らの接続の場合で顕著な遅れを生じるかもしれません。 使用例 tcpd の使用の詳細は、プログラムの中へコンパイルされたパスネーム情報に依 存します。 使用例 1 tcpd が、オリジナルのネットワークデーモンが "別の" 場所に移動されると予 想する場合、この例は適応されます。 finger サービスへのモニタアクセスのために、"別の" 場所にオリジナル finger デーモンを移動させて、オリジナル finger デーモンの場所に tcpd を インストール (設置) します。設定ファイルの変更は要求されません。 # mkdir /other/place # mv /usr/etc/in.fingerd /other/place # cp tcpd /usr/etc/in.fingerd 例は、ネットワークデーモンが /usr/etc の中で生きると仮定します。いくつ かのシステムにおいては、ネットワークデーモンが /usr/sbin あるいは /usr/libexec の中で生きているか、それらの名前に `in.' 接頭辞がありませ ん。 使用例 2 ネットワークデーモンがそれらのオリジナルの場所に置かれると tcpd が予想 する場合、この例は適応されます。 finger サービスへのモニタアクセスのために、inetd 設定ファイル (通常 /etc/inetd.conf または /etc/inet/inetd.conf) で次の編集を実行します。 finger stream tcp nowait nobody /usr/etc/in.fingerd in.fingerd を次のようにします。 finger stream tcp nowait nobody /some/where/tcpd in.fingerd 例は、ネットワークデーモンが /usr/etc の中で生きると仮定します。いくつ かのシステムにおいては、ネットワークデーモンが /usr/sbin あるいは /usr/libexec の中で生きています。デーモンが `in.' 接頭辞を持たないか、 inetd 設定ファイルに userid フィールドはありません。 同様の変更は、tcpd によってカバーされることになっている他のサービスのた めに必要です。変更を有効にするために inetd(8) プロセスに `kill -HUP' を 送ります。AIX ユーザはさらに `inetimp' コマンドを実行しなければならない かもしれません。 使用例 3 ("秘密" または別の) 共通のディレクトリに生きていないデーモンの場合に は、それがプロセス名フィールドの絶対的なパス名を指定するように、inetd 設定ファイルを編集します。例えば: ntalk dgram udp wait root /some/where/tcpd /usr/local/lib/ntalkd パスネームの最後の構成要素 (ntalkd) だけ がアクセスコントロールとログの 記録のために使用されます。 バグ いくつかの UDP (と RPC) デーモンは、別のリクエストが到着する場合、仕事 を終了した後、しばらくの間居座ります。inetd 設定ファイルでは、これらの サービスは wait オプションで登録されます。そのようなデーモンを始めたリ クエストだけがログに記録されます。 プログラムは TCP オーバ RPC サービスで働きません。これらのサービスは inetd 設定ファイルで rpc/tcp として登録されます。この制限によって影響さ れる唯一の重要なサービスは rexd です。それは on(1) で使用されます。これ は大損失ではありません。ほとんどのシステムにおいては、rexd は、 /etc/hosts.equiv の中のワイルドカードほど安全ではありません。 RPC ブロードキャストリクエスト (例えば: rwall, rup, rusers) は、常に応 答ホストから来るように見えます。何が起こるかは、クライアントがそのネッ トワーク上のすべての portmap デーモンへのリクエストをブロードキャストす ることです。各 portmap デーモンはローカルデーモンへリクエストを転送しま す。rwall その他のデーモンが知っている限り、リクエストはローカルホスト から来ます。 関連ファイル ホストアクセスコントロールテーブルのデフォルトの配置は次のとおりです。 /etc/hosts.allow /etc/hosts.deny 関連項目 hosts_access(5)、tcpd アクセスコントロール (制御) テーブルの形式。 syslog.conf(5)、syslogd 制御ファイルの形式。 inetd.conf(5)、inetd 制御ファイルの形式。 作者 Wietse Venema (wietse@wzv.win.tue.nl), Department of Mathematics and Computing Science, Eindhoven University of Technology Den Dolech 2, P.O. Box 513, 5600 MB Eindhoven, The Netherlands TCPD(8)