Ubuntu manuals

Provided by: manpages-ja_0.5.0.0.20071115-1_all

NAME

       hosts_options - ホストアクセスコントロールの拡張書式

DESCRIPTION

       この文書は、hosts_access(5)        で説明する文法のオプショナルな拡張に
       ついて解説するものである。この拡張は、プログラムをコンパイルした
       際に利用の可否が決まる。例えば、Makefile    を編集し、コンパイル時   に
       PROCESS_OPTIONS を邑にした場合である。

       拡張書式はこのような形式である:

          daemon_list : client_list : option : option ...

       最初のふたつのフィールドについては、hosts_access(5)        のマニュアル
       で解説されている。ルールの残りの部分は、0        個以上のオプションの列
       である。オプションの中では、すべての    ":"    という文字はバックスラッ
       シュによって保護される必要がある。

       オプションは   "keyword"   または  "keyword  value"  の形式をとる。オプ
       ション群は欺劼気譴申腓鵬鮗瓩気譴襦いくつかのオプションは     %<letter>
       による置ご垢┐魏渉蠅靴討い襦初期のバージョンとの互換 世里燭瓩法"=" を
       keyword と value(値) の間におく事も許されてい る。

LOGGING ()
       severity mail.info

       severity notice
              イベントをログに杵燭垢 severity("激しさ")  のレベルを変更する。
              Facility      names      (供される利便の項目、たとえば     mail)
              は任意であり、                    古い                    syslog
              の実装ではサポートされていない。severity              オプション
              は、指示されたイベントを強調するか、あるいは無視するために涌佞
              ある。

ACCESS CONTROL ()
       allow

       deny   サービスの可否。これらのオプションは、ルールの最後に欺劼靴覆韻
              ばならない。

       allow       と       deny        は、すべてのアクセスコントロールのルー
       ルを、ただひとつのファイル、たとえばhosts.allow              に納める事
       を可能にしている。

       明示されたホストだけにアクセスを許可するには:

          ALL: .friendly.domain: ALLOW
          ALL: ALL: DENY

       トラブルメイカーとなる、いくつかのホストを除いて、すべてのホスト
       からのアクセスを許可するには:

          ALL: .bad.domain: DENY
          ALL: ALL: ALLOW

       ドメイン名のパターンの最初にはドットがついている事に注目されたい。

RUNNING OTHER COMMANDS ()
       spawn shell_command
              hosts_access(5)  のマニュアルで解説される  %<letter> の置ご垢┐
              実行されたのちに、子プロセスで、指定のシェルコマンドを実行する。
              コマンドは標準入力、標準出力、そして標準エラー出力を null デバイ
              スに繋げた状態で実行される。したがって、これによってクライアント
              ホストとの会話が混乱するようなことはない。例えば:

                 spawn (/some/where/safe_finger -l @%h | /usr/ucb/mail root) &

              これは、%h  を リモートホストの名前またはアドレスに置ご垢┐燭里
              に、バックグラウンドの子プロセスで、シェルコマンド  "safe_finger
              -l @%h | mail root" を実行する。

              この例では、(リモートの) finger サーバーから送られてくるデータに
              よって、ダメージがもたらされる可能世鰺泙┐襪燭瓠標準の "finger"
              コマンドに代わって  "safe_finger"  コマンドを利用している。 この
              "safe_finger"  コマンドは、daemon  wrapper  package   に含まれて
              いる。これは、標準の finger の露払いとして、リモートホストから送
              られるデータをフィルタリングする。

       twist shell_command
              hosts_access(5) のマニュアルで解説される  %<letter>  の置ご垢┐
              実行されたのちに、現在のプロセスを、要求されたシェルコマンドで置
              ご垢┐襦Ｉ現狷力、標準出力そして標準エラー出力は、クライアント
              のプロセスに接続される。このオプションはルールの最後に欺劼垢詆
              要がある。

              実際の ftp  デーモンに代わって、メッセージを変更してクライアント
              に返すには:

                 in.ftpd : ... : twist /bin/echo 421 Some bounce message

              クライアントプロセスと会話する別の方法として、後述する   banners
              オプションを参照されたい。

              /some/other/in.telnetd   を、コマンドラインの引数やプロセスの環
              変数によって汚染されることなく実行するには:

                 in.telnetd : ... : twist PATH=/some/other; exec in.telnetd

              警告:  UDP サービスにおいては、standard I/O の利用、またはクライ
              アントプロセスとの交信のための   read(2)/write(2)   ルーチンと、
              command  を混同しないように; UCP は、また別の基本的な I/O を必要
              とする。

NETWORK OPTIONS ()
       keepalive
              定期的にサーバーはクライアントにメッセージを送るようになる。もし、
              クライアントからの応答がない場合、接続は切断されたものと見なされ
              る。この keepalive  オプションは、ユーザーがサーバーに継っている
              間に、マシンの電源を切った時に様僂任△襦keepalive  オプションは
              datagram (UDP) services には役に立たない。

       linger number_of_seconds
              サーバーのプロセスが接続を切断したのち、カーネルが未配送データの
              再送を試みる時間を指示する。

USERNAME LOOKUP ()
       rfc931 [ timeout_in_seconds ]
              RFC  931 (TAP, IDENT, RFC 1413) にしたがう形で、クライアントユー
              ザー名を問い合わせる。サービスが TCP  以外の転送方法に基づいてい
              る場合は、このオプションは黙って無視される。この方法はクライアン
              トのシステムが RFC 931 と互換世里△襯如璽皀 (IDENT  など)  を走
              らせていることが条件で、non-UNIX  のクライアントからの接続に対し
              ては、著しく遅くなるだろう。timeout     までの秒数は任意である。
              timeout が指示されない場合、コンパイル時に決められた初期値が使わ
              れる。

MISCELLANEOUS ()
       banners /some/directory
              `/some/directory' の中で、デーモンプロセスの名前と一致するファイ
              ル  (たとえば、telnet サービスなら in.tenletd)を探し、その内容を
              クライアントに対してコピーする。改行文字は、CR(carriage-return)
              改行文字に置ご垢┐蕕譟%<letter>  は展開される  (hosts_access(5)
              のマニュアルを参照)。

              tcp wrapper の配布ソースには、手際よく banner を保守するための、
              サンプルの makefile (Banners.Makefile) が含まれている。

              警告: banners は connection-oriented (TCP) network (コネクション
              に指向の高いサービス)でのみ利用する事がでい襦

       nice [ number ]
              プロセスの nice 値を変更する(初期値は  10)。他のプロセスに、より
              多くの CPU 資源を割り当てるには、正の値を指示する。

       setenv name value
              (name,   value)   のペアをプロセスの環曲竸瑤棒瀋蠅垢襦value  は
              %<letter> への展開があるものと仮定され、ホワイトスペースの利用は
              自制する必要があるだろう(ただし、前後の空白は切り捨てられる)。

              警告: 多くのネットワークデーモンは login または shell プロセスを
              再起動する前に、その環曲竸瑤鬟螢札奪箸垢襦

       umask 022
              シェルのビルトインコマンド umask と似た機能。022 の  umask  は、
              group  と  world による書すみ禁止措置によって、ファイルの作成を
              予防する。umask の引数は 8 進数でなければならない。

       user nobody

       user nobody.kmem
              ユーザー "nobody" (またはユーザー "nobody", グループ "kmem")は、
              特別な扱いとみなす。最初の形式は、root  権限で全てのサービスを実
              行するような  inetdの実装で様僂任△襦Ｆ麋嵬椶侶措阿蓮▲哀襦璽廚
              権限のみが必要なサービスのために様僂任△襦

DIAGNOSTICS

       アクセスコントロールルールに文法エラーが発見された場合、エラーは syslog
       デーモンへ報告される。余計なオプションは無視され、サービ
       スは拒否される。

SEE ALSO

       hosts_access(5), 基本的なアクセスコントロール書式

AUTHOR

       Wietse Venema (wietse@wzv.win.tue.nl)
       Department of Mathematics and Computing Science
       Eindhoven University of Technology
       Den Dolech 2, P.O. Box 513,
       5600 MB Eindhoven, The Netherlands

���者
       FUKUSHIMA Osamu/福島於修 <fuku@amorph.rim.or.jp>

                                                              HOSTS_OPTIONS(5)