Provided by: manpages-ja_0.5.0.0.20080615-1_all bug

NAME

       hosts_options - ホストアクセスコントロールの拡張書式

DESCRIPTION

       この文書は、hosts_access(5)        で説明する文法のオプショナルな拡張に
       ついて解説するものである。この拡張は、プログラムをコンパイルした
       際に利用の可否が決まる。例えば、Makefile    を編集し、コンパイル時   に
       PROCESS_OPTIONS を邑にした場合である。

       拡張書式はこのような形式である:

          daemon_list : client_list : option : option ...

       最初のふたつのフィールドについては、hosts_access(5)        のマニュアル
       で解説されている。ルールの残りの部分は、0        個以上のオプションの列
       である。オプションの中では、すべての    ":"    という文字はバックスラッ
       シュによって保護される必要がある。

       オプションは   "keyword"   または  "keyword  value"  の形式をとる。オプ
       ション群は欺劼気譴申腓鵬鮗瓩気譴襦いくつかのオプションは     %<letter>
       による置ご垢┐魏渉蠅靴討い襦初期のバージョンとの互換 世里燭瓩法"=" を
       keyword と value(値) の間におく事も許されてい る。

LOGGING ()
       severity mail.info

       severity notice
              イベントをログに杵燭垢 severity("激しさ")  のレベルを変更する。
              Facility      names      (供される利便の項目、たとえば     mail)
              は任意であり、                    古い                    syslog
              の実装ではサポートされていない。severity              オプション
              は、指示されたイベントを強調するか、あるいは無視するために涌佞
              ある。

ACCESS CONTROL ()
       allow

       deny   サービスの可否。これらのオプションは、ルールの最後に欺劼靴覆韻
              ばならない。

       allowdeny        は、すべてのアクセスコントロールのルー
       ルを、ただひとつのファイル、たとえばhosts.allow              に納める事
       を可能にしている。

       明示されたホストだけにアクセスを許可するには:

          ALL: .friendly.domain: ALLOW
          ALL: ALL: DENY

       トラブルメイカーとなる、いくつかのホストを除いて、すべてのホスト
       からのアクセスを許可するには:

          ALL: .bad.domain: DENY
          ALL: ALL: ALLOW

       ドメイン名のパターンの最初にはドットがついている事に注目されたい。

RUNNING OTHER COMMANDS ()
       spawn shell_command
              hosts_access(5)  のマニュアルで解説される  %<letter> の置ご垢┐
              実行されたのちに、子プロセスで、指定のシェルコマンドを実行する。
              コマンドは標準入力、標準出力、そして標準エラー出力を null デバイ
              スに繋げた状態で実行される。したがって、これによってクライアント
              ホストとの会話が混乱するようなことはない。例えば:

                 spawn (/some/where/safe_finger -l @%h | /usr/ucb/mail root) &

              これは、%h  を リモートホストの名前またはアドレスに置ご垢┐燭里
              に、バックグラウンドの子プロセスで、シェルコマンド  "safe_finger
              -l @%h | mail root" を実行する。

              この例では、(リモートの) finger サーバーから送られてくるデータに
              よって、ダメージがもたらされる可能世鰺泙┐襪燭瓠標準の "finger"
              コマンドに代わって  "safe_finger"  コマンドを利用している。 この
              "safe_finger"  コマンドは、daemon  wrapper  package   に含まれて
              いる。これは、標準の finger の露払いとして、リモートホストから送
              られるデータをフィルタリングする。

       twist shell_command
              hosts_access(5) のマニュアルで解説される  %<letter>  の置ご垢┐
              実行されたのちに、現在のプロセスを、要求されたシェルコマンドで置
              ご垢┐襦I現狷力、標準出力そして標準エラー出力は、クライアント
              のプロセスに接続される。このオプションはルールの最後に欺劼垢詆
              要がある。

              実際の ftp  デーモンに代わって、メッセージを変更してクライアント
              に返すには:

                 in.ftpd : ... : twist /bin/echo 421 Some bounce message

              クライアントプロセスと会話する別の方法として、後述する   banners
              オプションを参照されたい。

              /some/other/in.telnetd   を、コマンドラインの引数やプロセスの環
              変数によって汚染されることなく実行するには:

                 in.telnetd : ... : twist PATH=/some/other; exec in.telnetd

              警告:  UDP サービスにおいては、standard I/O の利用、またはクライ
              アントプロセスとの交信のための   read(2)/write(2)   ルーチンと、
              command  を混同しないように; UCP は、また別の基本的な I/O を必要
              とする。

NETWORK OPTIONS ()
       keepalive
              定期的にサーバーはクライアントにメッセージを送るようになる。もし、
              クライアントからの応答がない場合、接続は切断されたものと見なされ
              る。この keepalive  オプションは、ユーザーがサーバーに継っている
              間に、マシンの電源を切った時に様僂任△襦keepalive  オプションは
              datagram (UDP) services には役に立たない。

       linger number_of_seconds
              サーバーのプロセスが接続を切断したのち、カーネルが未配送データの
              再送を試みる時間を指示する。

USERNAME LOOKUP ()
       rfc931 [ timeout_in_seconds ]
              RFC  931 (TAP, IDENT, RFC 1413) にしたがう形で、クライアントユー
              ザー名を問い合わせる。サービスが TCP  以外の転送方法に基づいてい
              る場合は、このオプションは黙って無視される。この方法はクライアン
              トのシステムが RFC 931 と互換世里△襯如璽皀 (IDENT  など)  を走
              らせていることが条件で、non-UNIX  のクライアントからの接続に対し
              ては、著しく遅くなるだろう。timeout     までの秒数は任意である。
              timeout が指示されない場合、コンパイル時に決められた初期値が使わ
              れる。

MISCELLANEOUS ()
       banners /some/directory
              `/some/directory' の中で、デーモンプロセスの名前と一致するファイ
              ル  (たとえば、telnet サービスなら in.tenletd)を探し、その内容を
              クライアントに対してコピーする。改行文字は、CR(carriage-return)
              改行文字に置ご垢┐蕕譟%<letter>  は展開される  (hosts_access(5)
              のマニュアルを参照)。

              tcp wrapper の配布ソースには、手際よく banner を保守するための、
              サンプルの makefile (Banners.Makefile) が含まれている。

              警告: banners は connection-oriented (TCP) network (コネクション
              に指向の高いサービス)でのみ利用する事がでい襦

       nice [ number ]
              プロセスの nice 値を変更する(初期値は  10)。他のプロセスに、より
              多くの CPU 資源を割り当てるには、正の値を指示する。

       setenv name value
              (name,   value)   のペアをプロセスの環曲竸瑤棒瀋蠅垢襦value  は
              %<letter> への展開があるものと仮定され、ホワイトスペースの利用は
              自制する必要があるだろう(ただし、前後の空白は切り捨てられる)。

              警告: 多くのネットワークデーモンは login または shell プロセスを
              再起動する前に、その環曲竸瑤鬟螢札奪箸垢襦

       umask 022
              シェルのビルトインコマンド umask と似た機能。022 の  umask  は、
              group  と  world による書すみ禁止措置によって、ファイルの作成を
              予防する。umask の引数は 8 進数でなければならない。

       user nobody

       user nobody.kmem
              ユーザー "nobody" (またはユーザー "nobody", グループ "kmem")は、
              特別な扱いとみなす。最初の形式は、root  権限で全てのサービスを実
              行するような  inetdの実装で様僂任△襦F麋嵬椶侶措阿蓮▲哀襦璽廚
              権限のみが必要なサービスのために様僂任△襦

DIAGNOSTICS

       アクセスコントロールルールに文法エラーが発見された場合、エラーは syslog
       デーモンへ報告される。余計なオプションは無視され、サービ
       スは拒否される。

SEE ALSO

       hosts_access(5), 基本的なアクセスコントロール書式

AUTHOR

       Wietse Venema (wietse@wzv.win.tue.nl)
       Department of Mathematics and Computing Science
       Eindhoven University of Technology
       Den Dolech 2, P.O. Box 513,
       5600 MB Eindhoven, The Netherlands

者
       FUKUSHIMA Osamu/福島於修 <fuku@amorph.rim.or.jp>

                                                              HOSTS_OPTIONS(5)