opieaccess(5) FreeBSD 一般コマンドマニュアル

opieaccess

前のページ 上に戻る 次のページ

opieaccess





解説

       opieaccess ファイルは、受動攻撃に対するセキュリティに
       関 して、そのシステムが信頼しても構わないと考えられる
       ネットワークのリストを含みます。ここで、信頼 で き る
       ネットワークからのユーザは、OPIE 応答を用いてログイン
       することができますが、必ずしも OPIE 応答を使う必要 は
       あ りません。一方、信頼できないネットワークからのユー
       ザは、必ず OPIE 応答を使う (これがデフォルトの 動 作)
       必 要があります。 "内側の" ネットワークに関しては、そ
       のサイトに対して OPIE の使用を強制し ま せ ん し、 ま
       た、OPIE を使って自分のパスワードを保護するかどうかを
       ユーザが選ぶことができるので、この信頼関係により、 サ
       イトがよりスムーズに OPIE に移行することができます。

       OPIE   システムは受動攻撃からユーザを保護するものです
       が、 opeiaccess ファイルで実装された信頼という全概 念
       は、 それと同様の受動攻撃に対してシステムのバックアッ
       プをオープンにしてしまいます。従って、この信頼とい う
       概 念は重大なセキュリティホールとなります。本バージョ
       ンの OPIE にこのような opieaccess が存在するのは、 ひ
       とえに、OPIE を使いたくないユーザのせいで自分のアカウ
       ントを破られたくないユーザが OPIE を使えなくなるよ り
       も、 このようなユーザが OPIE を使えるようにすることの
       方がよいと信じているためです。どのような環境であ れ、
       trust  機能を活かした本バージョンの OPIE は移行のため
       のツールと考えるべきで、永久に使い続けるべきではあ り
       ま せん。移行のためのツールとして使う必要がなくなった
       時点で、 opieaccess ファイルをサポートしないバー ジョ
       ンの OPIE を構築し、OPIE システムの裏をかくための手段
       としてこのファイルを使おうとする攻撃者にチャンスを 与
       えないようにする必要があります。

       opieaccess   は、 以下のように空白で区切られた 3 つの
       フィールドからなる行から構成されます (区切りとして タ
       ブ も 正 しく解釈されますが、空白を代わりに使って下さ
       い)。

       フィールド名  内容
       action        OPIEを利用しないログインを "許可" もしくは "拒否" します
       address       照合するネットワークのアドレスです
       mask          照合のためのネットワークのマスクです

       サブネットは適切なアドレスとマスクを使うことで制御 さ
       れます。個々のホストは 255.255.255.255 のマスクと適切
       なアドレスを使うことで制御されます。どの規則も一致 し
       な い場合、デフォルトでは OPIE 無しのログインは拒否さ
       れます。



関連項目

       議論されました。参加するためには、電子メールを以下 の
       所に送って下さい。

       skey-users-request@thumper.bellcore.com



7th Edition              January 10, 1995           OPIEACCESS(5)

ABELNET VPSサービス