diff --git a/ja_JP.eucJP/man/man8/sshd.8 b/ja_JP.eucJP/man/man8/sshd.8 index 5f8beee1b3..be64de5d62 100644 --- a/ja_JP.eucJP/man/man8/sshd.8 +++ b/ja_JP.eucJP/man/man8/sshd.8 @@ -1,1245 +1,1246 @@ .\" -*- nroff -*- .\" .\" Author: Tatu Ylonen .\" Copyright (c) 1995 Tatu Ylonen , Espoo, Finland .\" All rights reserved .\" .\" As far as I am concerned, the code I have written for this software .\" can be used freely for any purpose. Any derived versions of this .\" software must be clearly marked as such, and if the derived work is .\" incompatible with the protocol description in the RFC file, it must be .\" called by a name other than "ssh" or "Secure Shell". .\" .\" Copyright (c) 1999,2000 Markus Friedl. All rights reserved. .\" Copyright (c) 1999 Aaron Campbell. All rights reserved. .\" Copyright (c) 1999 Theo de Raadt. All rights reserved. .\" .\" Redistribution and use in source and binary forms, with or without .\" modification, are permitted provided that the following conditions .\" are met: .\" 1. Redistributions of source code must retain the above copyright .\" notice, this list of conditions and the following disclaimer. .\" 2. Redistributions in binary form must reproduce the above copyright .\" notice, this list of conditions and the following disclaimer in the .\" documentation and/or other materials provided with the distribution. .\" .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR .\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES .\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. .\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, .\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT .\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, .\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY .\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" .\" $OpenBSD: sshd.8,v 1.120 2001/04/22 23:58:36 markus Exp $ .\" %FreeBSD: src/crypto/openssh/sshd.8,v 1.5.2.7 2001/09/28 01:33:35 green Exp % .\" $FreeBSD$ .\" .Dd September 25, 1999 .Dt SSHD 8 .Os -.Sh 名前 +.Sh 名称 .Nm sshd -.Nd セキュア シェル デーモン +.Nd OpenSSH SSH デーモン .Sh 書式 .Nm sshd .Op Fl deiqD46 -.Op Fl b Ar bits .Op Fl b Ar ビット数 .Op Fl f Ar 設定ファイル .Op Fl g Ar ログイン猶予時間 .Op Fl h Ar ホスト鍵ファイル .Op Fl k Ar 鍵の生成間隔 -.Op Fl p Ar ポート +.Op Fl p Ar ポート番号 .Op Fl u Ar 長さ -.Op Fl V Ar クライアントプロトコル ID -.Sh 説明 +.Op Fl V Ar クライアントプロトコルID +.Sh 解説 .Nm (SSH デーモン) は .Xr ssh 1 のためのデーモンプログラムです。 これらのプログラムはともに rlogin と rsh を置き換えるもので、 安全でないネットワーク上にある、2つの信頼されていないホスト間で、 -暗号化された安全な通信を提供します。これらのプログラムは -なるべく簡単にインストールして使えるよう配慮されています。 +暗号化された安全な通信を提供します。これらのプログラムはできるだけ +簡単にインストールして使えるよう配慮されています。 .Pp .Nm はクライアントからの接続を listen しているデーモンです。通常 これはブート時に -.Pa /etc/rc -から起動され、接続ごとに新しいデーモンが -fork します。Fork したデーモンは、鍵の交換、暗号化、認証、コマンド実行、 +.Pa /etc/rc.network +から起動され、接続を受けつけるたびに新しいデーモンが fork します。 +Fork したデーモンは、鍵の交換、暗号化、認証、コマンド実行、 そしてデータ交換を行います。この .Nm の実装では、SSH プロトコルバージョン 1 と 2 を同時にサポートしています。 .Nm は以下のように動作します。 .Pp .Ss SSH プロトコル バージョン 1 .Pp 各ホストは、そのホストに固有の RSA 鍵 (通常 1024 ビット) をもっています。 これはそれぞれのホストを識別するのに使われます。加えて、デーモンは 起動時にサーバ用 RSA 鍵 (通常 768 ビット) を生成します。 -この鍵はふつう使われると 1時間おきに生成し直され、 +この鍵はふつう使われると 1 時間おきに生成し直され、 ディスクに保存されることは決してありません。 .Pp クライアントが接続してくると、デーモンはその公開ホスト鍵およびサーバ鍵を 返します。クライアントは自分がもっているデータベースとこの RSA ホスト鍵とを 比較し、それが変更されていないことを確かめます。つぎにクライアントは 256 ビットの乱数を生成します。これをそのホスト鍵とサーバ鍵両方をつかって 暗号化し、暗号化された数値をサーバに送ります。このとき、どちらの側も この数値をセッション鍵として使います。セッション鍵とはこれ以降のすべての 通信を暗号化するのに使われるもので、以後セッションは既存の暗号化 アルゴリズムを使って暗号化されます。これらのアルゴリズムは現在のところ -Blowfish または 3DES で、デフォルトでは 3DES が使われます。 +Blowfish または 3DES で、デフォルトでは 3DES となっています。 クライアントはサーバによって提案された暗号化アルゴリズムから 使用するものを選択します。 .Pp つぎに、サーバとクライアントは認証のための対話に入ります。クライアントは 自分自身の身分を証明するため、 .Pa .rhosts 認証や、RSA ホスト認証と組み合わせた .Pa .rhosts -認証、RSA チャレンジ・レスポンス 認証、 -あるいはパスワード認証を試みます。 +認証、RSA チャレンジ・レスポンス認証、 +あるいはパスワード認証を使おうとします。 .Pp -Rhosts 認証は根本的に安全でないため、ふつうは禁止されています。しかし +rhosts 認証は根本的に安全でないため、ふつうは禁止されています。しかし 必要とあればサーバの設定ファイルによって許可することもできます。 -.Xr rshd 8 、 -.Xr rlogind 8 、 -.Xr rexecd 8 、 -および +.Xr rshd 8 , +.Xr rlogind 8 , +.Xr rexecd 8 , .Xr rexd 8 を止めないかぎり (これは .Xr rlogin 1 と .Xr rsh 1 を完全に禁止することになりますが)、 システムのセキュリティは改善されません。 .Pp -.Ss SSH プロトコル バージョン 2 +.Ss SSH プロトコルバージョン 2 .Pp バージョン 2 も同様に動作します: -各ホストは固有の RSA 鍵あるいは DSA 鍵をもっており、 -これでホストを識別します。しかしデーモンが開始した時点では、これは -サーバ鍵を生成しません。より進歩したセキュリティは -Diffie-Hellman 鍵交換アルゴリズムによって提供されます。 -この鍵交換から共通のセッション鍵が得られます。 +各ホストは固有のホスト DSA 鍵をもっており、 +これでホストを識別します。しかしデーモンが開始した時点には +サーバ鍵は生成されません。より進歩したセキュリティは +Diffie-Hellman 鍵交換によって得られます。この鍵交換から +共通のセッション鍵が得られます。 .Pp -これ以降セッションは対称的暗号化アルゴリズムを用いて -暗号化されます。アルゴリズムは現在のところ 128ビット AES、 -Blowfish、 3DES、 CAST128、 192ビット AES または 256ビット AES です。 -クライアントはサーバが提案した暗号化アルゴリズムを選びます。 -これに加えて、暗号化メッセージ認証コード -(hmac-sha1 あるいは hmac-md5) により、 +これ以降セッションは対称的暗号化アルゴリズムを用いて暗号化されます。 +アルゴリズムは、現在のところ 128ビット AES、 +Blowfish、3DES、CAST128、Arcfour、192ビット AES +あるいは 256ビットAES です。クライアントはサーバが +提案した暗号化アルゴリズムを選びます。 +これに加えて、暗号化メッセージ認証コード (hmac-sha1 あるいは hmac-md5) により、 セッションの内容が途中で改竄されてしまうことのないようにします。 .Pp -プロトコル バージョン 2 でサポートされる認証方法は、 -公開鍵ベースのユーザ認証 (PubkeyAuthentication) と、 +プロトコルバージョン 2 では +公開鍵に基づくユーザ認証 (PubkeyAuthentication) と、 クライアントホスト認証 (HostbasedAuthentication)、 -従来のパスワード認証、およびチャレンジ・レスポンス認証です。 +これに加えて従来のパスワード認証とチャレンジ・レスポンス認証が +使えます。 .Pp .Ss コマンド実行とデータ転送 .Pp クライアントが自分自身の証明に成功すると、セッションを準備するための 対話が始まります。このあとクライアントは仮想端末を割り当てたり、 X11 接続を転送したり、TCP/IP 接続を転送したり、あるいは安全な通信路を 経由して認証エージェントの接続を転送したりします。 .Pp 最後に、クライアントはシェルか、あるいはコマンドの実行のどちらかを -要求します。ここで双方はセッション モードに入ります。このモードでは +要求します。ここで双方はセッションモードに入ります。このモードでは 両者はいつでもデータを送ることができ、そのデータはサーバ側のシェル またはコマンドと、クライアント側のユーザ端末とでやりとりされます。 .Pp ユーザのプログラムが終了し、転送されたすべての X11 接続やその他の接続が 閉じられると、サーバはクライアントにコマンドの終了状態を送り、 両者は終了します。 .Pp .Nm -はコマンドライン オプションか、設定ファイルによって設定することが +はコマンドラインオプションか、設定ファイルによって設定することが できます。コマンドラインからのオプションは、 設定ファイルで指定されている値よりも優先されます。 .Pp .Nm はハングアップシグナル .Dv SIGHUP -を受け取ると、デーモンを開始したときの自分自身の -名前をもつファイル -.Pa /usr/sbin/sshd -を exec することによって、 -自分の設定ファイルを読み込みなおします。 +を受け取ると、自分の設定ファイルを読み込みなおします。 +これは自分自身を開始したときのパス名 +.Pa /usr/sbin/sshd +を exec することによって行います。 .Pp コマンドラインオプションには次のようなものがあります: .Bl -tag -width Ds .It Fl b Ar ビット数 -プロトコル バージョン 1 で短期的に使われるサーバ鍵のビット数を -指定します (デフォルトは 768 ビットです)。 +プロトコル バージョン 1 で短期的に使われるサーバ鍵の +ビット数を指定します (デフォルトでは 768 ビットです)。 .Pp .It Fl d デバッグモードにします。サーバはシステムログに対し、 冗長なデバッグ表示を出力するようになり、バックグラウンドには移行しません。 またサーバは fork せず、1回の接続しか受けつけません。 -このオプションはサーバのデバッグに使うものです。 +このオプションはサーバのデバッグのためだけに用意されています。 複数の -d オプションをつけるとデバッグレベルが上がります。 最高は 3 です。 .It Fl e このオプションが指定されると、 .Nm -はメッセージ出力を syslog のかわりに標準エラー出力に送ります。 +は出力を syslog のかわりに標準エラー出力に送ります。 .It Fl f Ar 設定ファイル 設定ファイルの名前を指定します。デフォルトは -.Pa /etc/sshd_config +.Pa /etc/ssh/sshd_config になっています。 .Nm は設定ファイルがないと起動しません。 .It Fl g Ar ログイン猶予時間 クライアントが自分自身を認証するのにかかる猶予時間を与えます (デフォルトは 600秒)。クライアントがこの時間内にユーザを -認証できなかった場合、サーバは接続を切って終了します。ゼロを +認証できなかった場合、サーバは接続を切って終了します。0 を 値として与えると猶予は無限になります。 .It Fl h Ar ホスト鍵ファイル RSA ホスト鍵を読むファイルを指定します (デフォルトは -.Pa /etc/ssh_host_key +.Pa /etc/ssh/ssh_host_key です)。このオプションは .Nm を root 以外で起動するときは必ず指定しなければいけません (ホスト鍵のファイルはふつう root からしか読めないようになっているからです)。 -異なるバージョンのプロトコルやホスト鍵アルゴリズムに応じて、 -複数の鍵を指定することが可能です。 +異なるバージョンのプロトコルやホスト鍵の方式に対し、 +複数のホスト鍵ファイルを指定することも可能です。 .It Fl i .Nm が inetd から起動されることを指定します。 .Nm はふつう inetd からは起動されません。なぜならこれはクライアントを 受けつける前にサーバ鍵を生成しておく必要があり、これには 数十秒かかるためです。鍵が毎回生成しなおされると、クライアントは 非常に長い間待たされてしまいます。しかし鍵のサイズが -小さければ (たとえば 512 ビットぐらい)、inetd からも使えるでしょう。 +小さければ (たとえば 512 ビットぐらい)、inetd から +.Nm +を使うことも可能でしょう。 .It Fl k Ar 鍵の生成間隔 -Specifies how often the ephemeral protocol version 1 server key is -regenerated (default 3600 seconds, or one hour). -The motivation for regenerating the key fairly -often is that the key is not stored anywhere, and after about an hour, -it becomes impossible to recover the key for decrypting intercepted -communications even if the machine is cracked into or physically -seized. -A value of zero indicates that the key will never be regenerated. -.It Fl p Ar port -Specifies the port on which the server listens for connections -(default 22). +サーバ鍵がどれくらいの間隔で再生成されるかを指定します +(デフォルトでは 3600秒、つまり 1時間ごとになっています)。 +こんなに頻繁に鍵を再生成するのは以下のような理由によります。 +この鍵はどこにも格納されません。そのため、このようにしておくと +たとえマシンがクラックされたり物理的に乗っ取られたりしても、 +1時間後には 盗聴した通信を解読して鍵を見つけることは不可能に +なります。この値としてゼロを指定すると、 +鍵はまったく再生成されなくなります。 +.It Fl p Ar ポート番号 +サーバが接続を受けつける (listen する) ポート番号を指定します +(デフォルトは 22 です)。 .It Fl q -Quiet mode. -Nothing is sent to the system log. -Normally the beginning, -authentication, and termination of each connection is logged. -.It Fl u Ar len -This option is used to specify the size of the field -in the +静かなモード。 +ふつう、 +.Nm +は接続の開始と認証および終了を syslog に残します。 +このオプションを指定すると syslog には何も残りません。 +.It Fl u Ar 長さ +このオプションはリモートホスト名を保持させる .Li utmp -structure that holds the remote host name. -If the resolved host name is longer than -.Ar len , -the dotted decimal value will be used instead. -This allows hosts with very long host names that -overflow this field to still be uniquely identified. -Specifying +構造体のフィールド長を指定するのに使われます。名前解決されたホストがこの +.Ar len +よりも長い場合、ドットで区切られた 10進の数値がかわりに保持されます。 +これは非常に長いホスト名をもつホストがこのフィールドをあふれさせても、 +一意に識別できるようにするためです。 .Fl u0 -indicates that only dotted decimal addresses -should be put into the +を指定すると .Pa utmp -file. +ファイルにはつねにドットで区切られた 10進値が使われるようになります。 .It Fl D -When this option is specified +このオプションが指定されると .Nm -will not detach and does not become a daemon. -This allows easy monitoring of -.Nm sshd . +は切り離し (detach) をおこなわず、デーモンにはなりません。 +これは +.Nm +の監視を簡単にします。 .It Fl 4 -Forces .Nm -to use IPv4 addresses only. +が IPv4 アドレスのみを使うよう強制します。 .It Fl 6 -Forces .Nm -to use IPv6 addresses only. +が IPv6 アドレスのみを使うよう強制します。 .El -.Sh CONFIGURATION FILE +.Sh 設定ファイル .Nm -reads configuration data from -.Pa /etc/sshd_config -(or the file specified with +は +.Pa /etc/ssh/sshd_config +(あるいはコマンドラインから .Fl f -on the command line). -The file contains keyword-value pairs, one per line. -Lines starting with +オプションで指定したファイル) から設定を読み込みます。 +このファイルの各行は ``キーワード 値'' の形式になっており、 +空行あるいは .Ql # -and empty lines are interpreted as comments. +で始まる行はコメントとみなされます。 .Pp -The following keywords are possible. +使用できるキーワードは次のとおりです: .Bl -tag -width Ds -.It Cm AFSTokenPassing -Specifies whether an AFS token may be forwarded to the server. -Default is -.Dq yes . -.It Cm AllowGroups -This keyword can be followed by a list of group names, separated -by spaces. -If specified, login is allowed only for users whose primary -group or supplementary group list matches one of the patterns. +.It Cm AFSTokenPassing (AFS トークンパス) +このオプションは AFS トークンがサーバに転送されるかどうかを指定します。 +デフォルトは +.Dq yes +です。 +.It Cm AllowGroups (許可するグループ) +このキーワードにはいくつかのグループ名をスペースで区切って +指定します。これが指定されると、ユーザの基本グループが +そのパターンのどれかにマッチするグループであるようなユーザだけが +ログインを許可されます。パターン中では .Ql \&* -and +および .Ql ? -can be used as -wildcards in the patterns. -Only group names are valid; a numerical group ID isn't recognized. -By default login is allowed regardless of the group list. +がワイルドカードとして使えます。有効なのはグループの「名前」だけで、 +数字で表されたグループ ID は認識されません。デフォルトでは、 +ログインはユーザの基本グループに関係なく許可されています。 .Pp -.It Cm AllowTcpForwarding -Specifies whether TCP forwarding is permitted. -The default is -.Dq yes . -Note that disabling TCP forwarding does not improve security unless -users are also denied shell access, as they can always install their -own forwarders. +.It Cm AllowTcpForwarding (TCP 転送の許可) +TCP 転送を許可するかどうかを指定します。デフォルトは +.Dq yes +です。TCP 転送を禁止しても、ユーザにシェルのアクセスを禁止しない +かぎりセキュリティの向上にはならないことに注意してください。 +なぜならユーザはいつでも自分自身で転送プログラムをインストールして +使うことができるからです。 .Pp -.It Cm AllowUsers -This keyword can be followed by a list of user names, separated -by spaces. -If specified, login is allowed only for users names that -match one of the patterns. +.It Cm AllowUsers (許可するユーザ) +このキーワードにはいくつかのユーザ名をスペースで区切って +指定します。これが指定されると、そのパターンのどれかにマッチする +ユーザだけがログインを許可されます。パターン中では .Ql \&* -and +および .Ql ? -can be used as -wildcards in the patterns. -Only user names are valid; a numerical user ID isn't recognized. -By default login is allowed regardless of the user name. +がワイルドカードとして使えます。有効なのはユーザの「名前」だけで、 +数字で表されたユーザ ID は認識されません。デフォルトでは、 +ログインはユーザ名に関係なく許可されています。 .Pp -.It Cm Banner -In some jurisdictions, sending a warning message before authentication -may be relevant for getting legal protection. -The contents of the specified file are sent to the remote user before -authentication is allowed. -This option is only available for protocol version 2. +.It Cm Banner (バナー) +司法管区によっては、法的な保護を受けるためには +認証の前に警告メッセージを送ったほうがよい場合があります。 +ここで指定されたファイルの内容は、認証が許可される前に +リモートユーザに提示されます。 +このオプションは プロトコル バージョン 2 でのみサポートされています。 .Pp -.It Cm ChallengeResponseAuthentication -Specifies whether -challenge response -authentication is allowed. -Currently there is only support for +.It Cm ChallengeResponseAuthentication (チャレンジ・レスポンス認証) +チャレンジ・レスポンス認証を許可するかどうかを指定します。 +現在 .Xr skey 1 -authentication. -The default is -.Dq yes . -.It Cm Ciphers -Specifies the ciphers allowed for protocol version 2. -Multiple ciphers must be comma-separated. -The default is -.Dq aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour. -.It Cm CheckMail -Specifies whether +認証のみがサポートされています。 +デフォルトは +.Dq yes +です。 +.It Cm Ciphers (SSH2の暗号化アルゴリズム) +プロトコル バージョン 2 で許可される暗号化アルゴリズムを +指定します。複数のアルゴリズムを指定する場合は、 +コンマで区切ってください。 +デフォルトは +.Dq aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour +です。 +.It Cm CheckMail (メール確認) .Nm -should check for new mail for interactive logins. -The default is -.Dq no . -.It Cm ClientAliveInterval -Sets a timeout interval in seconds after which if no data has been received -from the client, +が、対話的ログインに対して新規メールを確認すべきかを指定します。 +デフォルトは +.Dq yes +です。 +.It Cm ClientAliveInterval (クライアントの生存チェック間隔) .Nm -will send a message through the encrypted -channel to request a response from the client. -The default -is 0, indicating that these messages will not be sent to the client. -This option applies to protocol version 2 only. -.It Cm ClientAliveCountMax -Sets the number of client alive messages (see above) which may be -sent without +は一定時間ごとに、 +暗号化された通信路を経由してクライアントに応答を要求するメッセージ +(client alive message) を送ります。 +その際、何もデータが送られてこなかったらタイムアウトする +時間を秒数で指定します。デフォルトの値は 0 で、 +これはメッセージを送らないことを意味します。 +このオプションは プロトコル バージョン 2 でのみサポートされています。 +.It Cm ClientAliveCountMax (クライアントの生存チェック最大カウント数) .Nm -receiving any messages back from the client. If this threshold is -reached while client alive messages are being sent, +が無反応のクライアントに対して +client alive message (上記参照) を送ってみる最大数を指定します。 +client alive message に対する応答が連続してこの回数だけなかった場合、 .Nm -will disconnect the client, terminating the session. It is important -to note that the use of client alive messages is very different from +は接続を切り、セッションを終了します。 +client alive message は、 .Cm Keepalive -(below). The client alive messages are sent through the -encrypted channel and therefore will not be spoofable. The TCP keepalive -option enabled by +(下記) とはまったく違うことに注意してください。 +client alive message は暗号化された経路を介して送られるので、 +偽造されることはありません。 .Cm Keepalive -is spoofable. You want to use the client -alive mechanism when you are basing something important on -clients having an active connection to the server. +によって設定される TCP の keepalive オプションは +偽造される可能性があります。client alive のメカニズムは +クライアントあるいはサーバが、いつ接続が切れたのかを +知りたいときに役立ちます。 .Pp -The default value is 3. If you set +デフォルトの値は 3 です。もし .Cm ClientAliveInterval -(above) to 15, and leave this value at the default, unresponsive ssh clients -will be disconnected after approximately 45 seconds. -.It Cm DenyGroups -This keyword can be followed by a number of group names, separated -by spaces. -Users whose primary group or supplementary group list matches -one of the patterns aren't allowed to log in. +(上記) が 15 に設定され、 +.Cm ClientAliveCountMax +がデフォルトのままである場合、これに反応できない ssh クライアントは +およそ 45秒後に接続が切られます。 +.It Cm DenyGroups (拒否するグループ) +このキーワードにはいくつかのグループ名をスペースで区切って指定します。 +ユーザの基本グループがこのパターンのどれかに +マッチするようなユーザにはログインを許可しません。パターン中では .Ql \&* -and +および .Ql ? -can be used as -wildcards in the patterns. -Only group names are valid; a numerical group ID isn't recognized. -By default login is allowed regardless of the group list. +がワイルドカードとして使えます。有効なのは +グループの「名前」だけで、数字で表されたグループ ID は +認識されません。デフォルトでは、ログインはユーザの基本グループに +関係なく許可されています。 .Pp -.It Cm DenyUsers -This keyword can be followed by a number of user names, separated -by spaces. -Login is disallowed for user names that match one of the patterns. +.It Cm DenyUsers (拒否するユーザ) +このキーワードにはいくつかのグループ名をスペースで区切って +指定します。これが指定されると、そのパターンにマッチする +このパターンのどれかにマッチするユーザにはログインを許可しません。 .Ql \&* -and +および .Ql ? -can be used as wildcards in the patterns. -Only user names are valid; a numerical user ID isn't recognized. -By default login is allowed regardless of the user name. -.It Cm GatewayPorts -Specifies whether remote hosts are allowed to connect to ports -forwarded for the client. -The argument must be +がワイルドカードとして使えます。 +有効なのはグループの「名前」だけで、数字で表されたグループ ID は +認識されません。デフォルトでは、ログインはユーザ名に関係なく許可されています。 +.It Cm GatewayPorts (ポート中継の許可) +リモートホストがクライアント側に転送されたポートに接続することを +許可するかどうかを指定します。 +この引数の値は .Dq yes -or -.Dq no . -The default is -.Dq no . -.It Cm HostbasedAuthentication -Specifies whether rhosts or /etc/hosts.equiv authentication together -with successful public key client host authentication is allowed -(hostbased authentication). -This option is similar to -.Cm RhostsRSAAuthentication -and applies to protocol version 2 only. -The default is -.Dq no . -.It Cm HostKey -Specifies the file containing the private host keys (default -.Pa /etc/ssh_host_key ) -used by SSH protocol versions 1 and 2. -Note that +あるいは +.Dq no +です。デフォルトは +.Dq no +になっています。 +.It Cm HostbasedAuthentication (ホストベース認証の許可) +公開鍵ホスト認証が成功したときに、 +rhosts あるいは /etc/hosts.equiv 認証を許可するかどうかを +指定します (ホストベース認証)。 +このオプションは +.Cm RhostsRSAAuthentication (RhostsRSA 認証の許可) +に似ており、プロトコル バージョン 2 のみに作用します。 +デフォルトの値は +.Dq no +になっています。 +.It Cm HostKey (ホスト鍵) +SSH プロトコル バージョン 1 および 2 で使われる、ホスト秘密鍵が +入っているファイル (デフォルトは +.Pa /etc/ssh/ssh_host_key +) を指定します。 +このファイルがグループあるいは他人からアクセス可能になっていると、 .Nm -will refuse to use a file if it is group/world-accessible. -It is possible to have multiple host key files. +はその使用を拒否するので注意してください。 +複数のホスト鍵を使うことも可能です。 .Dq rsa1 -keys are used for version 1 and +鍵はバージョン 1 に使われ、 .Dq dsa -or +または .Dq rsa -are used for version 2 of the SSH protocol. -.It Cm IgnoreRhosts -Specifies that -.Pa .rhosts -and -.Pa .shosts -files will not be used in +はバージョン 2 の SSH プロトコルに使われます。 +.It Cm IgnoreRhosts (rhosts の無視) .Cm RhostsAuthentication , .Cm RhostsRSAAuthentication -or -.Cm HostbasedAuthentication . +または +.Cm HostbasedAuthentication +の各認証で、 +.Pa .rhosts +および +.Pa .shosts +ファイルを使わないようにします。 .Pp +この状態でも、 .Pa /etc/hosts.equiv -and -.Pa /etc/shosts.equiv -are still used. -The default is -.Dq yes . -.It Cm IgnoreUserKnownHosts -Specifies whether -.Nm -should ignore the user's -.Pa $HOME/.ssh/known_hosts -during +および +.Pa /etc/ssh/shosts.equiv +は依然として有効です。デフォルトでは +.Dq yes +になっています。 +.It Cm IgnoreUserKnownHosts (ユーザ用 known_hosts の無視) .Cm RhostsRSAAuthentication -or -.Cm HostbasedAuthentication . -The default is -.Dq no . -.It Cm KeepAlive -Specifies whether the system should send keepalive messages to the -other side. -If they are sent, death of the connection or crash of one -of the machines will be properly noticed. -However, this means that -connections will die if the route is down temporarily, and some people -find it annoying. -On the other hand, if keepalives are not sent, -sessions may hang indefinitely on the server, leaving -.Dq ghost -users and consuming server resources. +または +.Cm HostbasedAuthentication +の各認証で、ユーザの +.Pa $HOME/.ssh/known_hosts +ファイルを使わないようにします。 +デフォルトは +.Dq no +です。 +.It Cm KeepAlive (接続を生かしておく) +システムが相手のマシンに keepalive メッセージを送るかどうかを +指定します。これが送られると、接続の異常終了や相手マシンの +クラッシュが正しく通知されるようになります。 +しかしこれを使うと、たとえ経路が一時的にダウンしていても +接続が死んでいるということになってしまい、これが邪魔になる場合もあります。 +その一方で、もし keepalive が送られないとすると、セッションは +サーバ上で永久に残ってしまことがあり、 +.Dq 幽霊 +ユーザを居座らせてサーバ資源を消費することがあります。 .Pp -The default is +デフォルトは .Dq yes -(to send keepalives), and the server will notice -if the network goes down or the client host reboots. -This avoids infinitely hanging sessions. +(keepalive を送る) です。そのため +クライアントはネットワークがダウンするか、 +リモートホストが落ちると通知してきます。 +これは永久に残るセッションを防ぎます。 .Pp -To disable keepalives, the value should be set to +Keepalive を禁止するには、 +クライアントとサーバ両方の側の設定ファイルでこの値を .Dq no -in both the server and the client configuration files. -.It Cm KerberosAuthentication -Specifies whether Kerberos authentication is allowed. -This can be in the form of a Kerberos ticket, or if +にする必要があります。 +.It Cm KerberosAuthentication (Kerberos 認証) +Kerberos 認証をおこなうかどうか指定します。 +この認証は Kerberos チケットか、あるいはもし .Cm PasswordAuthentication -is yes, the password provided by the user will be validated through -the Kerberos KDC. -To use this option, the server needs a -Kerberos servtab which allows the verification of the KDC's identity. -Default is -.Dq yes . -.It Cm KerberosOrLocalPasswd -If set then if password authentication through Kerberos fails then -the password will be validated via any additional local mechanism -such as -.Pa /etc/passwd . -Default is -.Dq yes . -.It Cm KerberosTgtPassing -Specifies whether a Kerberos TGT may be forwarded to the server. -Default is -.Dq no , -as this only works when the Kerberos KDC is actually an AFS kaserver. -.It Cm KerberosTicketCleanup -Specifies whether to automatically destroy the user's ticket cache -file on logout. -Default is -.Dq yes . -.It Cm KeyRegenerationInterval -In protocol version 1, the ephemeral server key is automatically regenerated -after this many seconds (if it has been used). -The purpose of regeneration is to prevent -decrypting captured sessions by later breaking into the machine and -stealing the keys. -The key is never stored anywhere. -If the value is 0, the key is never regenerated. -The default is 3600 (seconds). -.It Cm ListenAddress -Specifies the local addresses +が yes になっている場合なら、ユーザが入力して +Kerberos KDC 経由で批准されたパスワードが使われます。 +このオプションを使うには、サーバに KDC のアイデンティティを +批准するための Kerberos servtab が必要です。 +デフォルトでは +.Dq yes +になっています。 +.It Cm KerberosOrLocalPasswd (Kerberosあるいはローカルパスワード) +これが指定されている場合、Kerberos 経由のパスワード認証が +失敗すると、そのパスワードは +.Pa /etc/passwd +などの別のローカルな機構によって確認されます。デフォルトは +.Dq yes +です。 +.It Cm KerberosTgtPassing (Kerberos TGT パス) +Kerberos TGT をサーバに転送してもよいかどうかを指定します。デフォルトは +.Dq no +です。なぜなら、これがまともに動くのは Kerberos KDC が +実際の AFS kaserver であるときだけだからです。 +.It Cm KerberosTicketCleanup (Kerberos チケット自動除去) +ユーザのチケット用キャッシュをログアウト時に自動的に消去するかどうかを +指定します。デフォルトは +.Dq yes +です。 +.It Cm KeyRegenerationInterval (鍵の再生成間隔) +プロトコル バージョン 1 では、サーバ鍵は (一度でも使われると) ここで +指定された秒数ごとに自動的に再生成されます。このように鍵を再生成する +目的は、あとでそのマシンに侵入して盗聴したセッションを解読されたり、 +鍵を盗まれたりするのを防ぐためです。この鍵はどこにも格納されません。 +値としてゼロを指定すると、鍵はまったく再生成されなくなります。 +デフォルトでは 3600 (秒) になっています。 +.It Cm ListenAddress (接続受付アドレス) .Nm -should listen on. -The following forms may be used: +が接続を受けつける (listen する) ローカルアドレスを指定します。 +ここでは以下の形式が使えます: .Pp .Bl -item -offset indent -compact .It .Cm ListenAddress .Sm off .Ar host No | Ar IPv4_addr No | Ar IPv6_addr .Sm on .It .Cm ListenAddress .Sm off .Ar host No | Ar IPv4_addr No : Ar port .Sm on .It .Cm ListenAddress .Sm off .Oo .Ar host No | Ar IPv6_addr Oc : Ar port .Sm on .El .Pp -If .Ar port -is not specified, +が指定されていないときは、 .Nm -will listen on the address and all prior +はそのアドレスで、それまでの .Cm Port -options specified. The default is to listen on all local -addresses. Multiple +オプションで指定されたすべてのポートで接続を受けつけます。 +デフォルトではすべてのローカルアドレスに対して +接続を受けつけるようになっています。 .Cm ListenAddress -options are permitted. Additionally, any +項目は複数指定してもかまいません。また .Cm Port -options must precede this option for non port qualified addresses. -.It Cm LoginGraceTime -The server disconnects after this time if the user has not -successfully logged in. -If the value is 0, there is no time limit. -The default is 600 (seconds). -.It Cm LogLevel -Gives the verbosity level that is used when logging messages from -.Nm sshd . -The possible values are: -QUIET, FATAL, ERROR, INFO, VERBOSE and DEBUG. -The default is INFO. -Logging with level DEBUG violates the privacy of users -and is not recommended. +オプションは、ポートつきでないアドレス指定に対しては +このオプションよりも前に指定しておく必要があります。 +.It Cm LoginGraceTime (ログイン猶予時間) +ユーザがこの時間内でログインに成功できないと、サーバは接続を切ります。 +この値を 0 にすると、時間に制限はなくなります。 +デフォルトは 120 (秒) です。 +.It Cm LogLevel (ログレベル) +.Nm +が出力するログメッセージの冗長性レベルを指定します。 +とりうる値は次のとおりです: QUIET, FATAL, ERROR, INFO, VERBOSE +および DEBUG。デフォルトでは INFO です。DEBUG レベルのログは +ユーザのプライバシーを侵害するものであり、勧められるものではありません。 .It Cm MACs -Specifies the available MAC (message authentication code) algorithms. -The MAC algorithm is used in protocol version 2 -for data integrity protection. -Multiple algorithms must be comma-separated. -The default is +使用可能な MAC (メッセージ認証コード) アルゴリズムを指定します。 +MAC アルゴリズムは、データの完全性保護のために、 +プロトコルバージョン 2 で使用されます。 +複数のアルゴリズムをコンマで区切って指定可能です。 +デフォルトは次の通りです: .Pp .Bd -literal ``hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com, hmac-sha1-96,hmac-md5-96'' .Ed -.It Cm MaxStartups -Specifies the maximum number of concurrent unauthenticated connections to the +.It Cm MaxStartups (最大起動数) .Nm -daemon. -Additional connections will be dropped until authentication succeeds or the +デーモンに対する認証以前の接続を、最大で同時にどれくらい +受けつけるかを指定します。これを超える接続は認証が成功するか、 +あるいは接続の .Cm LoginGraceTime -expires for a connection. -The default is 10. +(ログイン猶予時間) が切れるまで受けつけられず、捨てられます。 +デフォルトではこの数は 10 です。 .Pp -Alternatively, random early drop can be enabled by specifying -the three colon separated values +もうひとつの方法は、コロンで区切った 3 つの値を与えることにより +早期のランダムな接続拒否を許可することです。この値は .Dq start:rate:full -(e.g., "10:30:60"). +(``開始時:確率:最大数'') のような形をとります (例: "10:30:60" など)。 .Nm -will refuse connection attempts with a probability of -.Dq rate/100 -(30%) -if there are currently +は認証以前の接続が .Dq start -(10) -unauthenticated connections. -The probability increases linearly and all connection attempts -are refused if the number of unauthenticated connections reaches +(この例では 10) 個を超えると、これ以後の接続要求を +.Dq rate/100 +(この例では 30%) の確率で拒否しはじめます。この確率は .Dq full -(60). +(この例では 60) 個の接続が来るまで線形に増えつづけ、 +最大数に達した時点でそれ以降すべての接続を拒否するようになります。 .It Cm PAMAuthenticationViaKbdInt -Specifies whether PAM challenge response authentication is allowed. This -allows the use of most PAM challenge response authentication modules, but -it will allow password authentication regardless of whether +PAM チャレンジ・レスポンス認証が許可されるかを指定します。 +ほとんどの PAM チャレンジ・レスポンスモジュールの使用を許可しますが、 .Cm PasswordAuthentication -is disabled. -The default is -.Dq no . -.It Cm PasswordAuthentication -Specifies whether password authentication is allowed. -The default is -.Dq yes . -.It Cm PermitEmptyPasswords -When password authentication is allowed, it specifies whether the -server allows login to accounts with empty password strings. -The default is -.Dq no . -.It Cm PermitRootLogin -Specifies whether root can login using -.Xr ssh 1 . -The argument must be -.Dq yes , -.Dq without-password , +が無効になっている場合でさえパスワード認証を許可してしまいます。 +デフォルトは +.Dq no +になっています。 +.It Cm PasswordAuthentication (パスワード認証) +パスワード認証を許可するかどうかを指定します。デフォルトでは +.Dq yes +になっています。 +.It Cm PermitEmptyPasswords (空のパスワード許可) +パスワード認証が許可されているとき、パスワード文字列が空の +アカウントに対してサーバがログインを許可するかどうか指定します。 +デフォルトは +.Dq no +になっています。 +.It Cm PermitRootLogin (root ログイン許可) +.Xr ssh 1 +を使って、root がログインできるかどうかを指定します。この引数の値は +.Dq yes +、 +.Dq without-password +(パスワード認証なし)、 .Dq forced-commands-only -or -.Dq no . -The default is -.Dq yes . +(コマンドのみに強制) あるいは +.Dq no +のいずれかになります。デフォルトは +.Dq no +です。 .Pp -If this option is set to .Dq without-password -password authentication is disabled for root. +にすると、root にのみ +パスワード認証が不許可になります。 .Pp -If this option is set to .Dq forced-commands-only -root login with public key authentication will be allowed, -but only if the +にすると、公開鍵認証による root ログインが許可されますが、 .Ar command -option has been specified -(which may be useful for taking remote backups even if root login is -normally not allowed). All other authentication methods are disabled -for root. +オプションが指定された場合にのみ限られます +(これは、通常は root ログインを禁止しても、 +リモートバックアップをとるときなどに有効です)。 +他の認証方式は root に対しては不許可になります。 .Pp -If this option is set to .Dq no -root is not allowed to login. -.It Cm PidFile -Specifies the file that contains the process identifier of the +にすると、root のログインは許可されません。 +.It Cm PidFile (pid ファイル) .Nm -daemon. -The default is -.Pa /var/run/sshd.pid . -.It Cm Port -Specifies the port number that +デーモンのプロセス ID を格納するファイルを指定します。 +デフォルトでは +.Pa /var/run/sshd.pid +になっています。 +.It Cm Port (ポート) .Nm -listens on. -The default is 22. -Multiple options of this type are permitted. -See also -.Cm ListenAddress . -.It Cm PrintLastLog -Specifies whether +が接続を受けつける (listen する) ポート番号を指定します。 +デフォルトは 22 です。複数指定することも可能です。 +.Cm ListenAddress +も参照してください +.It Cm PrintLastLog (lastlog 表示) +ユーザが最後にログインした日付と時刻を .Nm -should print the date and time when the user last logged in. -The default is -.Dq yes . -.It Cm PrintMotd -Specifies whether +が表示すべきかを指定します。 +デフォルトは +.Dq yes +になっています。 +.It Cm PrintMotd (motd 表示) +ユーザが対話的にログインしたとき、 .Nm -should print +が .Pa /etc/motd -when a user logs in interactively. -(On some systems it is also printed by the shell, -.Pa /etc/profile , -or equivalent.) -The default is -.Dq yes . -.It Cm Protocol -Specifies the protocol versions +の内容を表示するかどうかを指定します (システムによっては、これはシェルや +.Pa /etc/profile +に類するものが表示します)。デフォルトは +.Dq yes +です。 +.It Cm Protocol (プロトコル) .Nm -should support. -The possible values are +がサポートすべきプロトコルのバージョンを指定します。 +とりうる値は .Dq 1 -and -.Dq 2 . -Multiple versions must be comma-separated. -The default is -.Dq 2,1 . -.It Cm PubkeyAuthentication -Specifies whether public key authentication is allowed. -The default is -.Dq yes . -Note that this option applies to protocol version 2 only. -.It Cm ReverseMappingCheck -Specifies whether +と +.Dq 2 +で、複数のバージョンをコンマで +区切って指定することもできます。デフォルトは +.Dq 2,1 +です。 +.It Cm PubkeyAuthentication (公開鍵認証) +公開鍵認証を許可するかを指定します。 +デフォルトは +.Dq yes +です。 +このオプションはプロトコルバージョン 2 にのみ適用されることに注意してください。 +.It Cm ReverseMappingCheck (逆マッピングチェック) .Nm -should try to verify the remote host name and check that -the resolved host name for the remote IP address maps back to the -very same IP address. -The default is -.Dq no . -.It Cm RhostsAuthentication -Specifies whether authentication using rhosts or /etc/hosts.equiv -files is sufficient. -Normally, this method should not be permitted because it is insecure. +がリモートホスト名を確認し、 +リモート IP アドレスに対して解決されたホスト名が正に同じ IP アドレスに +再度マップされることを確認すべきかを指定します。 +デフォルトは +.Dq no +です。 +.It Cm RhostsAuthentication (rhosts 認証) +rhosts や +.Pa /etc/hosts.equiv +だけを使った認証でログインを許可して +しまってもよいかどうかを指定します。通常これは安全でないため +許可すべきではありません。かわりに .Cm RhostsRSAAuthentication -should be used -instead, because it performs RSA-based host authentication in addition -to normal rhosts or /etc/hosts.equiv authentication. -The default is -.Dq no . -This option applies to protocol version 1 only. -.It Cm RhostsRSAAuthentication -Specifies whether rhosts or /etc/hosts.equiv authentication together -with successful RSA host authentication is allowed. -The default is -.Dq no . -This option applies to protocol version 1 only. -.It Cm RSAAuthentication -Specifies whether pure RSA authentication is allowed. -The default is -.Dq yes . -This option applies to protocol version 1 only. -.It Cm ServerKeyBits -Defines the number of bits in the ephemeral protocol version 1 server key. -The minimum value is 512, and the default is 768. -.It Cm StrictModes -Specifies whether +を使うべきです。なぜならこれは通常の rhosts や +.Pa /etc/hosts.equiv +認証に加えて、RSA ベースのホスト間認証を行うからです。 +デフォルトではこのオプションは +.Dq no +になっています。 +このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。 +.It Cm RhostsRSAAuthentication (rhosts-RSA 認証) +RSA ホスト間認証が成功しているとき、rhosts 認証や +.Pa /etc/hosts.equiv +認証を使ってよいかどうかを指定します。デフォルトは +.Dq no +です。 +このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。 +.It Cm RSAAuthentication (RSA 認証) +純粋な RSA 認証を許可するかどうかを指定します。デフォルトは +.Dq yes +になっています。 +このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。 +.It Cm ServerKeyBits (サーバ鍵のビット数) +短命なプロトコルバージョン 1 サーバ鍵のビット数を定義します。 +最小値は 512 で、デフォルトは 768 です。 +.It Cm SkeyAuthentication (skey 認証) +.Xr skey 1 +認証が許可されるかを指定します。 +デフォルトは +.Dq yes +です。 +OPIE 認証が許可されるのは、 +.Cm PasswordAuthentication +も許可されている場合のみです。 +.It Cm StrictModes (厳格モード) .Nm -should check file modes and ownership of the -user's files and home directory before accepting login. -This is normally desirable because novices sometimes accidentally leave their -directory or files world-writable. -The default is -.Dq yes . -.It Cm Subsystem -Configures an external subsystem (e.g., file transfer daemon). -Arguments should be a subsystem name and a command to execute upon subsystem -request. -The command +がログインを許可する前に、ユーザのファイルおよび +ホームディレクトリの所有権とパーミッションをチェックすべきか +どうかを指定します。これはふつう初心者が、しばしば自分の +ディレクトリを誰でも書き込めるようにしてしまう事故を防ぐために +有効です。デフォルトでは +.Dq yes +になっています。 +.It Cm Subsystem (サブシステム) +外部サブシステム (ファイル転送デーモンなど) を設定します。 +このオプションへの引数はサブシステム名と、そのサブシステムに +要求があったとき実行されるコマンドを与えます。 .Xr sftp-server 8 -implements the +はファイル転送サブシステム .Dq sftp -file transfer subsystem. -By default no subsystems are defined. -Note that this option applies to protocol version 2 only. -.It Cm SyslogFacility -Gives the facility code that is used when logging messages from -.Nm sshd . -The possible values are: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, -LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. -The default is AUTH. -.It Cm UseLogin -Specifies whether +を実装したものです。デフォルトではサブシステムは +何も定義されていません。このオプションは +プロトコルバージョン 2 にのみ適用されることに注意してください。 +.It Cm SyslogFacility (syslog ファシリティ) +.Nm sshd +が出力するログメッセージで使われるログのファシリティ +を指定します。とりうる値は次のとおりです: DAEMON, USER, +AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, +LOCAL7。デフォルトは AUTH です。 +.It Cm UseLogin (login の使用) +対話的ログインセッションのさい、 .Xr login 1 -is used for interactive login sessions. -Note that +プログラムを使うかどうかを指定します。 +対話的でないリモートコマンド実行のときに .Xr login 1 -is never used for remote command execution. -The default is -.Dq no . -.It Cm X11DisplayOffset -Specifies the first display number available for -.Nm sshd Ns 's -X11 forwarding. -This prevents +が使われることは決してありません。 +デフォルトでは +.Dq no +になっています。 +.It Cm X11DisplayOffset (X11 ディスプレイ基底番号) .Nm -from interfering with real X11 servers. -The default is 10. -.It Cm X11Forwarding -Specifies whether X11 forwarding is permitted. -The default is -.Dq no . -Note that disabling X11 forwarding does not improve security in any -way, as users can always install their own forwarders. -.It Cm XAuthLocation -Specifies the location of the +が X11 転送をするときに最初に使われるディスプレイ番号を指定します。これは +.Nm +が本物の X11 サーバと衝突してしまうのを防ぎます。 +デフォルトは 10 です。 +.It Cm X11Forwarding (X11 転送) +X11 転送を許可するかどうかを指定します。デフォルトは +.Dq no +です。X11 転送を禁止してもセキュリティを上げることにはまったくなりません。 +ユーザはいつでも自分自身で転送プログラムをインストールできるのです。 +.It Cm XAuthLocation (xauth の位置) .Xr xauth 1 -program. -The default is -.Pa /usr/X11R6/bin/xauth . +プログラムの位置を指定します。デフォルトでは +.Pa /usr/X11R6/bin/xauth +になっています。 .El -.Sh LOGIN PROCESS -When a user successfully logs in, +.Sh ログイン過程 +ユーザがログインに成功すると、 .Nm -does the following: +は以下のことを行います: .Bl -enum -offset indent .It -If the login is on a tty, and no command has been specified, -prints last login time and +ユーザが端末にログインしており、コマンドが指定されていない場合、 +(設定ファイルまたは +.Pa $HOME/.hushlogin +で禁止されていなければ) 最終ログイン時刻と .Pa /etc/motd -(unless prevented in the configuration file or by -.Pa $HOME/.hushlogin ; -see the -.Sx FILES -section). +を表示する。 +.Sx 関連ファイル +セクションも参照のこと。 .It -If the login is on a tty, records login time. +ユーザが端末にログインしている場合、ログイン時刻を記録する。 .It -Checks -.Pa /etc/nologin ; -if it exists, prints contents and quits -(unless root). +.Pa /etc/nologin +と +.Pa /var/run/nologin +をチェックする。 +存在する場合、その内容を表示して終了する (root 以外)。 .It -Changes to run with normal user privileges. +そのユーザの通常の権限に移行する。 .It -Sets up basic environment. +基本的な環境変数を設定する。 .It -Reads .Pa $HOME/.ssh/environment -if it exists. +が存在するなら、それを読み込む。 .It -Changes to user's home directory. +ユーザのホームディレクトリに移動する。 .It -If -.Pa $HOME/.ssh/rc -exists, runs it; else if -.Pa /etc/sshrc -exists, runs -it; otherwise runs xauth. -The +が存在する場合、それを実行する。そうでなければ、もし +.Pa /etc/ssh/sshrc +が存在しているなら、それを実行する。これ以外の場合は +.Xr xauth 1 +を実行する。この .Dq rc -files are given the X11 -authentication protocol and cookie in standard input. +ファイルには、標準入力から X11 の認証プロトコルとクッキーが +(それが適切なものであったなら) +与えられる。 .It -Runs user's shell or command. +ユーザのシェルまたはコマンドを実行する。 .El -.Sh AUTHORIZED_KEYS FILE FORMAT -The +.Sh authorized_keys ファイルの形式 .Pa $HOME/.ssh/authorized_keys -file lists the RSA keys that are -permitted for RSA authentication in protocol version 1 -Similarly, the +ファイルには、 +プロトコルバージョン 1 の RSA 認証に +使うことを許可されている公開鍵の一覧が入っています。 +同様に .Pa $HOME/.ssh/authorized_keys2 -file lists the DSA and RSA keys that are -permitted for public key authentication (PubkeyAuthentication) -in protocol version 2. +ファイルには、 +プロトコルバージョン 2 の RSA 認証および公開鍵認証 (PubkeyAuthentication) +に使うことを許可されている公開鍵の一覧が入っています。 .Pp -Each line of the file contains one -key (empty lines and lines starting with a +これらのファイルは各行にひとつの鍵が格納されています (空行や .Ql # -are ignored as -comments). -Each RSA public key consists of the following fields, separated by -spaces: options, bits, exponent, modulus, comment. -Each protocol version 2 public key consists of: -options, keytype, base64 encoded key, comment. -The options fields -are optional; its presence is determined by whether the line starts -with a number or not (the option field never starts with a number). -The bits, exponent, modulus and comment fields give the RSA key for -protocol version 1; the -comment field is not used for anything (but may be convenient for the -user to identify the key). -For protocol version 2 the keytype is +で始まる行はコメントとして無視されます)。 +各 RSA 公開鍵は次のようなフィールドから +成ります: オプション、ビット数、指数、係数、コメント。 +各プロトコルバージョン 2 公開鍵は次のようなフィールドから成ります: +オプション、キータイプ、base64 でエンコードした鍵、コメント。 +オプションの +フィールドはなくてもかまいません。オプションが存在するかどうかは、 +この行が数字で始まるかどうかによって決定されます (オプションフィールドは +決して数字では始まりません)。ビット数、指数、係数の部分で +プロトコルバージョン 1 の RSA 鍵を +表しています。コメントフィールドは特に使われません (が、これをつけておくと +ユーザが鍵を見分けるのに便利です)。 +プロトコルバージョン 2 では、キータイプは .Dq ssh-dss -or -.Dq ssh-rsa . +または +.Dq ssh-rsa +です。 .Pp -Note that lines in this file are usually several hundred bytes long -(because of the size of the RSA key modulus). -You don't want to type them in; instead, copy the +注意すべきことは、これらのファイルでは通常 1 行が何百バイトもの長さに +なっていることです (RSA 鍵の係数のサイズが大きいため)。これを手で +タイプする気にはならないでしょう。かわりに .Pa identity.pub , -.Pa id_dsa.pub -or the +.Pa id_dsa.pub , .Pa id_rsa.pub -file and edit it. +.Pa identity.pub +をコピーして、それを編集してください。 .Pp -The options (if present) consist of comma-separated option -specifications. -No spaces are permitted, except within double quotes. -The following option specifications are supported: +オプションは (もしあれば) コンマによって区切ることができます。間に +スペースを入れてはいけませんが、ダブルクォートの間にはさめばオッケーです。 +以下のオプションがサポートされています: .Bl -tag -width Ds .It Cm from="pattern-list" -Specifies that in addition to RSA authentication, the canonical name -of the remote host must be present in the comma-separated list of -patterns -.Pf ( Ql * -and +RSA 認証に加えて、コンマで区切ったパターン列に +リモートホストの正式名が指定されることが必要となります ( +.Ql * +および .Ql ? -serve as wildcards). -The list may also contain -patterns negated by prefixing them with -.Ql ! ; -if the canonical host name matches a negated pattern, the key is not accepted. -The purpose -of this option is to optionally increase security: RSA authentication -by itself does not trust the network or name servers or anything (but -the key); however, if somebody somehow steals the key, the key -permits an intruder to log in from anywhere in the world. -This additional option makes using a stolen key more difficult (name -servers and/or routers would have to be compromised in addition to -just the key). +がワイルドカードとして使えます)。このリストには否定を入れることも +でき、それにはパターンの先頭に +.Ql ! +を置きます。ホストの正式名が +この否定されたパターンにマッチする場合、その鍵は受け付けられ +ません。このオプションはセキュリティを向上させる目的でつけられ +ました: RSA 認証それ自体は、(鍵を除いて) ネットワークや +ネームサーバ、その他ありとあらゆるものを信用していません。 +しかし、もし何物かが何らかの方法で鍵を盗むことができれば、 +その鍵を使って世界のどこからでもログインできてしまうことに +なります。この追加オプションはそのような盗まれた鍵の使用を +より困難にします (これを使うなら、鍵のほかにネームサーバや +ルータまでも手を入れなくてはならないからです)。 .It Cm command="command" -Specifies that the command is executed whenever this key is used for -authentication. -The command supplied by the user (if any) is ignored. -The command is run on a pty if the connection requests a pty; -otherwise it is run without a tty. -Note that if you want a 8-bit clean channel, -you must not request a pty or should specify -.Cm no-pty . -A quote may be included in the command by quoting it with a backslash. -This option might be useful -to restrict certain RSA keys to perform just a specific operation. -An example might be a key that permits remote backups but nothing else. -Note that the client may specify TCP/IP and/or X11 -forwarding unless they are explicitly prohibited. +この鍵が認証に使われたときは、指定されたコマンドが実行されるように +します。ユーザが指定してきたコマンドは (あっても) 無視されます。 +このコマンドは、接続要求が仮想端末からくれば、仮想端末上で +走ります。それ以外のときは端末なしで走ります。 +8 ビットクリーンなチャネルが必要な場合は、仮想端末を要求しないか、 +.Cm no-pty +を指定すべきです。 +コマンドの中に +引用符を入れたいときはバックスラッシュを前につけてください。 +このオプションは、ある RSA 鍵には特定の操作だけしかさせないように +するのに有効です。例としては、リモートバックアップだけをさせて、 +それ以外な何もさせないようにする鍵などがあります。クライアントの +TCP/IP や X11 転送は、明示的に禁止されていない限り可能なので注意してください。 .It Cm environment="NAME=value" -Specifies that the string is to be added to the environment when -logging in using this key. -Environment variables set this way -override other default environment values. -Multiple options of this type are permitted. +この鍵が使われたとき、環境変数に追加される文字列を指定します。この +やりかたで指定した環境変数は、デフォルトの環境変数の値を上書きします。 +このオプションは複数指定することも可能です。 .It Cm no-port-forwarding -Forbids TCP/IP forwarding when this key is used for authentication. -Any port forward requests by the client will return an error. -This might be used, e.g., in connection with the +この鍵が認証に使われたときは TCP/IP 転送が禁止されます。 +クライアントがポート転送を要求しても、すべてエラーになります。 +これはたとえば .Cm command -option. +オプションの指定されている接続などで使われます。 .It Cm no-X11-forwarding -Forbids X11 forwarding when this key is used for authentication. -Any X11 forward requests by the client will return an error. +この鍵が認証に使われたときは X11 転送が禁止されます。 +クライアントが X11 転送を要求しても、すべてエラーになります。 .It Cm no-agent-forwarding -Forbids authentication agent forwarding when this key is used for -authentication. +この鍵が認証に使われたときは、認証エージェントの転送が禁止されます。 .It Cm no-pty -Prevents tty allocation (a request to allocate a pty will fail). +端末の割り当てを禁止します (仮想端末の割り当てが失敗するようになります)。 .It Cm permitopen="host:port" -Limit local +ローカルの .Li ``ssh -L'' -port forwarding such that it may only connect to the specified host and -port. Multiple +ポート転送を許可し、指定したホストとポートのみに接続可能となるようにします。 +複数の .Cm permitopen -options may be applied separated by commas. No pattern matching is -performed on the specified hostnames, they must be literal domains or -addresses. +オプションをコンマで区切って指定可能です。 +指定したホスト名に対してはパターンマッチングは行われません。 +ホスト名は、文字通りのドメイン名であるかアドレスである必要があります。 .El -.Ss Examples +.Ss 例 1024 33 12121.\|.\|.\|312314325 ylo@foo.bar .Pp from="*.niksula.hut.fi,!pc.niksula.hut.fi" 1024 35 23.\|.\|.\|2334 ylo@niksula .Pp command="dump /home",no-pty,no-port-forwarding 1024 33 23.\|.\|.\|2323 backup.hut.fi .Pp permitopen="10.2.1.55:80",permitopen="10.2.1.56:25" 1024 33 23.\|.\|.\|2323 -.Sh SSH_KNOWN_HOSTS FILE FORMAT -The -.Pa /etc/ssh_known_hosts , -.Pa /etc/ssh_known_hosts2 , +.Sh ssh_known_hosts ファイルの形式 +.Pa /etc/ssh/ssh_known_hosts , +.Pa /etc/ssh/ssh_known_hosts2 , .Pa $HOME/.ssh/known_hosts , -and .Pa $HOME/.ssh/known_hosts2 -files contain host public keys for all known hosts. -The global file should -be prepared by the administrator (optional), and the per-user file is -maintained automatically: whenever the user connects from an unknown host -its key is added to the per-user file. +ファイルは、今までに知られているホストの公開鍵を格納しています。 +大域的なファイルは管理者によって +(オプションで) 用意され、ユーザごとのファイルは自動的に管理されます。 +つまりユーザがまだ知られていないホストから接続したときはいつでも、その +ホスト鍵がユーザのファイルに追加されるのです。 .Pp -Each line in these files contains the following fields: hostnames, -bits, exponent, modulus, comment. -The fields are separated by spaces. +これらのファイルの各行は次のようなフィールドからなっています: ホスト名、 +ビット数、指数、係数、コメント。 +各フィールドはスペースによって区切られています。 .Pp -Hostnames is a comma-separated list of patterns ('*' and '?' act as -wildcards); each pattern in turn is matched against the canonical host -name (when authenticating a client) or against the user-supplied -name (when authenticating a server). -A pattern may also be preceded by +ホスト名はコンマで区切られたパターン列です ( +.Ql * +および +.Ql ? +がワイルドカードとして使えます)。各パターンは (クライアントを認証している +ときは) 順にそのホストの正式名と比較されるか、あるいは (サーバを +認証しているときは) ユーザが与えた名前と比較されます。パターンの先頭に .Ql ! -to indicate negation: if the host name matches a negated -pattern, it is not accepted (by that line) even if it matched another -pattern on the line. +をつけると否定を表すことができます。否定されたパターンに +マッチしたホストは、たとえその行の他のパターンにマッチしても (その行では) +受けつけられません。 .Pp -Bits, exponent, and modulus are taken directly from the RSA host key; they -can be obtained, e.g., from -.Pa /etc/ssh_host_key.pub . -The optional comment field continues to the end of the line, and is not used. +ビット数、指数および係数は RSA ホスト鍵から直接取り込まれます。 +たとえばこれらは +.Pa /etc/ssh/ssh_host_key.pub +などから取得されます。オプションのコメントフィールドは行末まで続き、 +これは無視されます。 .Pp -Lines starting with .Ql # -and empty lines are ignored as comments. +で始まる行および空行はコメントとして無視されます。 .Pp -When performing host authentication, authentication is accepted if any -matching line has the proper key. -It is thus permissible (but not -recommended) to have several lines or different host keys for the same -names. -This will inevitably happen when short forms of host names -from different domains are put in the file. -It is possible -that the files contain conflicting information; authentication is -accepted if valid information can be found from either file. +ホスト間認証を行うさい、どれか適切な鍵をもった行がマッチすれば、 +認証は受け入れられます。したがって同じ名前が複数の行にあったり、 +同一ホストに異なるホスト鍵が書いてあったりしても受けつけられます +(が、おすすめはしません)。異なったドメインにあるホスト名の短縮形が +ひとつのファイルにまとめられているときは、これは仕方がないでしょう。 +また、これらのファイルには矛盾する情報が書かれていることもあり得ます。 +その場合は、どれかのファイルに正しい情報が書いてあれば認証は受け入れられます。 .Pp -Note that the lines in these files are typically hundreds of characters -long, and you definitely don't want to type in the host keys by hand. -Rather, generate them by a script -or by taking -.Pa /etc/ssh_host_key.pub -and adding the host names at the front. -.Ss Examples +注意。これらのファイルの各行は、ふつう何百文字もの長さになっています。 +もちろんこんなホスト鍵を手で入力したくはないでしょう。かわりにスクリプトで +生成するか、 +.Pa /etc/ssh/ssh_host_key.pub +をとってきてその先頭にホスト名をつけ加えるかしてください。 +.Ss 例 .Bd -literal closenet,.\|.\|.\|,130.233.208.41 1024 37 159.\|.\|.93 closenet.hut.fi cvs.openbsd.org,199.185.137.3 ssh-rsa AAAA1234.....= .Ed -.Sh FILES +.Sh 関連ファイル .Bl -tag -width Ds -.It Pa /etc/sshd_config -Contains configuration data for -.Nm sshd . -This file should be writable by root only, but it is recommended -(though not necessary) that it be world-readable. -.It Pa /etc/ssh_host_key, /etc/ssh_host_dsa_key, /etc/ssh_host_rsa_key -These three files contain the private parts of the host keys. -These files should only be owned by root, readable only by root, and not -accessible to others. -Note that +.It Pa /etc/ssh/sshd_config .Nm -does not start if this file is group/world-accessible. -.It Pa /etc/ssh_host_key.pub, /etc/ssh_host_dsa_key.pub, /etc/ssh_host_rsa_key.pub -These three files contain the public parts of the host keys. -These files should be world-readable but writable only by -root. -Their contents should match the respective private parts. -These files are not -really used for anything; they are provided for the convenience of -the user so their contents can be copied to known hosts files. -These files are created using -.Xr ssh-keygen 1 . +の設定ファイルです。このファイルに書き込めるのは +root だけでなくてはいけませんが、読むのは誰でもできるように +しておいたほうがよいでしょう (必須ではありませんが)。 +.It Pa /etc/ssh/ssh_host_key, /etc/ssh/ssh_host_dsa_key, /etc/ssh/ssh_host_rsa_key +これら 3 個のファイルは、ホストの秘密鍵です。 +これらのファイルは、root のみが所有し、root のみが読み取り可能であり、 +他の誰もがアクセス不可能であるべきです。 +このファイルがグループがもしくは誰もがアクセス可能である場合、 +.Nm +が起動しないことに注意してください。 +.It Pa /etc/ssh/ssh_host_key.pub, /etc/ssh/ssh_host_dsa_key.pub, /etc/ssh/ssh_host_rsa_key.pub +これら 3 個のファイルは、ホストの公開鍵です。 +これらファイルは、誰にでも読めるようになっている必要がありますが、 +描き込めるのは root だけにしてください。 +これらの内容は、対応する秘密鍵に対応します。 +これらのファイルは、実際には使われることはありません。 +これらは単にユーザの便宜をはかるためだけに存在し、 +ユーザはこれを known_hosts ファイルにコピーすることができます。 +これらのファイルは、 +.Xr ssh-keygen 1 +で生成されます。 .It Pa /etc/primes -Contains Diffie-Hellman groups used for the "Diffie-Hellman Group Exchange". +\&"Diffie-Hellman Group Exchange" で使用される +Diffie-Hellman グループを含みます。 .It Pa /var/run/sshd.pid -Contains the process ID of the +現在 接続を受けつけている +.Nm +のプロセス ID が入っています (複数の .Nm -listening for connections (if there are several daemons running -concurrently for different ports, this contains the pid of the one -started last). -The content of this file is not sensitive; it can be world-readable. +が異なるポートで走っているときは、最後に開始したプロセスの ID が入ります)。 +このファイルの内容は機密事項ではありません。 +これは誰でも読めるようにしておけます。 .It Pa $HOME/.ssh/authorized_keys -Lists the RSA keys that can be used to log into the user's account. -This file must be readable by root (which may on some machines imply -it being world-readable if the user's home directory resides on an NFS -volume). -It is recommended that it not be accessible by others. -The format of this file is described above. -Users will place the contents of their +そのユーザのアカウントでログインするときに使われる RSA 鍵の一覧が +入っています。このファイルは root に読めるようになっている必要が +あります (つまりそのユーザのホームディレクトリが NFS ボリューム上に +あるような場合、そのファイルは誰にでも読めるようになっている +必要がある、ということです)。これは他の人には読めないように +しておくことをすすめます。このファイルの形式は上で説明されています。 +.Xr ssh-keygen 1 +で説明されているように、ユーザは自分の .Pa identity.pub -files into this file, as described in -.Xr ssh-keygen 1 . +ファイルの内容をこのファイルに入れておきます。 .It Pa $HOME/.ssh/authorized_keys2 -Lists the public keys (RSA or DSA) that can be used to log into the user's account. -This file must be readable by root (which may on some machines imply -it being world-readable if the user's home directory resides on an NFS -volume). -It is recommended that it not be accessible by others. -The format of this file is described above. -Users will place the contents of their -.Pa id_dsa.pub -and/or +そのユーザのアカウントでログインするときに使われる公開鍵 (RSA および DSA) +の一覧が入っています。 +このファイルは root に読めるようになっている必要が +あります (つまりそのユーザのホームディレクトリが NFS ボリューム上に +あるような場合、そのファイルは誰にでも読めるようになっている +必要がある、ということです)。これは他の人には読めないように +しておくことをすすめます。このファイルの形式は上で説明されています。 +.Xr ssh-keygen 1 +で説明されているように、ユーザは自分の +.Pa id_dsa.pub , .Pa id_rsa.pub -files into this file, as described in -.Xr ssh-keygen 1 . -.It Pa "/etc/ssh_known_hosts" and "$HOME/.ssh/known_hosts" -These files are consulted when using rhosts with RSA host -authentication to check the public key of the host. -The key must be listed in one of these files to be accepted. -The client uses the same files -to verify that it is connecting to the correct remote host. -These files should be writable only by root/the owner. -.Pa /etc/ssh_known_hosts -should be world-readable, and +ファイルの内容をこのファイルに入れておきます。 +.It Pa "/etc/ssh/ssh_known_hosts" と "$HOME/.ssh/known_hosts" +これらのファイルは、RSA ホスト間認証とともに rhosts を使うさい、 +ホストの公開鍵をチェックするために使用されます。認証が +成功するためには、これらのファイルのいずれかにそのホスト鍵が +格納されていなくてはいけません。クライアントもこれと同じ +ファイルで、そのリモートホストが接続しようとしている +ホストであるかどうかを確認します。これらのファイルは root と +所有者には書き込み可能にしておきます。 +.Pa /etc/ssh/ssh_known_hosts +は誰からでも読めるようにしておいてください。 .Pa $HOME/.ssh/known_hosts -can but need not be world-readable. -.It Pa "/etc/ssh_known_hosts2" and "$HOME/.ssh/known_hosts2" -These files are consulted when using protocol version 2 hostbased -authentication to check the public key of the host. -The key must be listed in one of these files to be accepted. -The client uses the same files -to verify that it is connecting to the correct remote host. -These files should be writable only by root/the owner. -.Pa /etc/ssh_known_hosts2 -should be world-readable, and -.Pa $HOME/.ssh/known_hosts2 -can but need not be world-readable. +はそうしておいてもよいですが、別にその必要はありません。 +.It Pa "/etc/ssh/ssh_known_hosts2" and "$HOME/.ssh/known_hosts2" +これらのファイルは、 +プロトコルバージョン 2 RSA ホスト間認証とともに rhosts を使うさい、 +ホストの公開鍵をチェックするために使用されます。認証が +成功するためには、これらのファイルのいずれかにそのホスト鍵が +格納されていなくてはいけません。クライアントもこれと同じ +ファイルで、そのリモートホストが接続しようとしている +ホストであるかどうかを確認します。これらのファイルは root と +所有者には書き込み可能にしておきます。 +.Pa /etc/ssh/ssh_known_hosts +は誰からでも読めるようにしておいてください。 +.Pa $HOME/.ssh/known_hosts +はそうしておいてもよいですが、別にその必要はありません。 .It Pa /etc/nologin -If this file exists, +このファイルが存在していると、 .Nm -refuses to let anyone except root log in. -The contents of the file -are displayed to anyone trying to log in, and non-root connections are -refused. -The file should be world-readable. -.It Pa /etc/hosts.allow, /etc/hosts.deny -If compiled with +は root を除くすべてのユーザのログインを拒否します。 +このファイルの内容は root 以外で +ログインしようとして拒否された人に対して表示されます。この +ファイルは誰にでも読めるようになっている必要があります。 +.It Pa /etc/hosts.allow .Sy LIBWRAP -support, tcp-wrappers access controls may be defined here as described in -.Xr hosts_access 5 . +サポート付きでコンパイルされている場合、 +tcp-wrappers によるアクセス制限がここに指定されます。 +詳細は +.Xr hosts_access 5 +を参照してください。 .It Pa $HOME/.rhosts -This file contains host-username pairs, separated by a space, one per -line. -The given user on the corresponding host is permitted to log in -without password. -The same file is used by rlogind and rshd. -The file must -be writable only by the user; it is recommended that it not be -accessible by others. +このファイルには、各行にホスト名とユーザ名の対をスペースで区切って +格納します。当該ホストの指定されたユーザからはパスワードなしの +ログインが許可されます。このファイルは rlogind および rshd からも +使われます。これはそのユーザにのみ書き込めるようにしておき、 +他の人からはアクセス不可能にしておくのがよいでしょう。 .Pp -If is also possible to use netgroups in the file. -Either host or user -name may be of the form +@groupname to specify all hosts or all users -in the group. +このファイルでは ネットグループ を使うこともできます。ホスト名や +ユーザ名は +@groupname のような形式をとることができ、この場合 +そのグループ中のすべてのホストあるいはユーザを指定できます。 .It Pa $HOME/.shosts -For ssh, -this file is exactly the same as for -.Pa .rhosts . -However, this file is -not used by rlogin and rshd, so using this permits access using SSH only. +ssh は、これを +.Pa .rhosts +とまったく同じように扱います。 +しかしこれは rlogind や rshd からは使われないので、SSH を使ったときのみ +アクセスを許可するときにこのファイルを使います。 .It Pa /etc/hosts.equiv -This file is used during +このファイルは .Pa .rhosts -authentication. -In the simplest form, this file contains host names, one per line. -Users on -those hosts are permitted to log in without a password, provided they -have the same user name on both machines. -The host name may also be -followed by a user name; such users are permitted to log in as -.Em any -user on this machine (except root). -Additionally, the syntax +認証のさいに使われます。いちばん +簡単な形式は、各行にひとつのホスト名を書いておくことです。これらの +ホストからのユーザは、両方のマシンでユーザ名が同じならば +パスワードなしでログインを許可されます。ホスト名のあとにユーザ名を +つけることもできます。この場合、そのユーザはこのマシン上で +.Em どんな +ユーザとしてもログインできてしまいます (root を除く)。 .Dq +@group -can be used to specify netgroups. -Negated entries start with -.Ql \&- . +のような形式でネットグループを指定することもできます。否定のエントリは +先頭に +.Ql \&- +をつけてください。 .Pp -If the client host/user is successfully matched in this file, login is -automatically permitted provided the client and server user names are the -same. -Additionally, successful RSA host authentication is normally required. -This file must be writable only by root; it is recommended -that it be world-readable. +そのクライアント、あるいはそこのユーザがこのファイルにマッチする場合、 +クライアント側とサーバ側のユーザ名が同じならばログインは +自動的に許可されます。通常はこれに加えて RSA ホスト間認証が +成功していることが必要です。このファイルは root にしか書き込み可能に +してはいけません。また、誰にでも読めるようにしておくほうがよいでしょう。 .Pp -.Sy "Warning: It is almost never a good idea to use user names in" -.Pa hosts.equiv . -Beware that it really means that the named user(s) can log in as -.Em anybody , -which includes bin, daemon, adm, and other accounts that own critical -binaries and directories. -Using a user name practically grants the user root access. -The only valid use for user names that I can think -of is in negative entries. +.Sy 「警告: +.Pa hosts.equiv +.Sy でユーザ名を使うのは絶対にやめるべきです」 +これはそのユーザが本当に +.Em 誰としてでも +ログインできてしまうことになるんです。 +bin や daemon や adm や、その他非常に重要な +バイナリやディレクトリを所有しているアカウントでもログインできるのです。 +ユーザ名を使うのは、実際にはそのユーザに root の +アクセスを許しているのと同じです。ここでのユーザ名の唯一の +まともな使いみちは、おそらく否定のエントリで使うことだけでしょう。 .Pp -Note that this warning also applies to rsh/rlogin. -.It Pa /etc/shosts.equiv -This is processed exactly as -.Pa /etc/hosts.equiv . -However, this file may be useful in environments that want to run both -rsh/rlogin and ssh. +ここでの警告は rsh/rlogin にもあてはまることを覚えておいてください。 +.It Pa /etc/ssh/shosts.equiv +これは +.Pa /etc/hosts.equiv +とまったく同じように使われます。 +このファイルは rsh や rlogin を ssh と同じ環境で動かすときに有用でしょう。 .It Pa $HOME/.ssh/environment -This file is read into the environment at login (if it exists). -It can only contain empty lines, comment lines (that start with -.Ql # ) , -and assignment lines of the form name=value. -The file should be writable -only by the user; it need not be readable by anyone else. +このファイルは (存在していれば) ログイン時に環境変数に読み込まれ +ます。これが含んでいてよいのは、空行、コメント行 ( +.Ql # +で始まる)、および ``変数名=値'' の形式の代入行だけです。このファイルは +そのユーザにのみ書き込み可能にしておいてください。べつに +他人が読めるようにしておく必要もありません。 .It Pa $HOME/.ssh/rc -If this file exists, it is run with /bin/sh after reading the -environment files but before starting the user's shell or command. -If X11 spoofing is in use, this will receive the "proto cookie" pair in -standard input (and +このファイルが存在していると、環境変数ファイルが読み込まれた +後にこのファイルが +.Pa /bin/sh +によって実行されます。これはユーザの +シェルあるいはコマンドの実行よりも前に行われます。X11 偽装 +[訳注: クライアント側でいうところの X11 転送] を使っているときは、この +ファイルには標準入力から ``プロトコルクッキー'' の対 +(および環境変数には .Ev DISPLAY -in environment). -This must call +) が与えられます。このときはここで .Xr xauth 1 -in that case. +を呼び出す必要があります。 .Pp -The primary purpose of this file is to run any initialization routines -which may be needed before the user's home directory becomes -accessible; AFS is a particular example of such an environment. +このファイルの基本的な目的は、ユーザがホームディレクトリに +アクセス可能になる前に必要と考えられる初期化ルーチンを実行することです。 +とくにこのような環境の例として、AFS があります。 .Pp -This file will probably contain some initialization code followed by -something similar to: -.Bd -literal - if read proto cookie; then - echo add $DISPLAY $proto $cookie | xauth -q - - fi +おそらくこのファイルは、たとえば次のような何らかの初期化コードを +含むことになるでしょう: +.Bd -literal -offset indent +if [ -n "$DISPLAY" ] && read proto cookie; then + echo add "$DISPLAY" "$proto" "$cookie" | xauth -q - +fi .Ed .Pp -If this file does not exist, -.Pa /etc/sshrc -is run, and if that -does not exist either, xauth is used to store the cookie. +このファイルが存在しない場合は +.Pa /etc/ssh/sshrc +が実行されます。これも存在しない場合は、 +.Xr xauth 1 +がクッキーを格納するために使われます。 .Pp -This file should be writable only by the user, and need not be -readable by anyone else. -.It Pa /etc/sshrc -Like -.Pa $HOME/.ssh/rc . -This can be used to specify -machine-specific login-time initializations globally. -This file should be writable only by root, and should be world-readable. +このファイルは、そのユーザにのみ書き込み可能にしておいてください。 +他人が読めるようにしておく必要はありません。 +.It Pa /etc/ssh/sshrc +.Pa $HOME/.ssh/rc +に似ています。これはそのマシン固有の大域的な +ログイン時の初期化を指定するのに使われます。これは +root のみ書き込み可能にしておき、誰からも読めるようにしておくべきです。 .El -.Sh AUTHORS -OpenSSH is a derivative of the original and free -ssh 1.2.12 release by Tatu Ylonen. +.Sh 作者 +OpenSSH は Tatu Ylonen によってリリースされたオリジナルでフリーの +ssh 1.2.12 から派生したものです。 Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, -Theo de Raadt and Dug Song -removed many bugs, re-added newer features and -created OpenSSH. -Markus Friedl contributed the support for SSH -protocol versions 1.5 and 2.0. -.Sh SEE ALSO +Theo de Raadt, Dug Song が多くのバグを取り除き、新規機能を追加し、 +OpenSSH を作りました。 +Markus Friedl が、SSH プロトコルバージョン 1.5 と 2.0 を提供しました。 +.Sh 日本語訳 +新山 祐介 (euske@cl.cs.titech.ac.jp) 2000/11/23 +.Pp +当マニュアルページは氏のご好意により +.Fx +日本語マニュアルに収録させていただいています。 +翻訳についてのご意見、ご指摘がありましたら新山氏 +、および +.Fx +jpman プロジェクト までお送りください。 +.Sh 関連項目 .Xr scp 1 , .Xr sftp 1 , .Xr sftp-server 8 , .Xr ssh 1 , .Xr ssh-add 1 , .Xr ssh-agent 1 , .Xr ssh-keygen 1 , .Xr rlogin 1 , .Xr rsh 1 .Rs .%A T. Ylonen .%A T. Kivinen .%A M. Saarinen .%A T. Rinne .%A S. Lehtinen .%T "SSH Protocol Architecture" .%N draft-ietf-secsh-architecture-07.txt .%D January 2001 .%O work in progress material .Re .Rs .%A M. Friedl .%A N. Provos .%A W. A. Simpson .%T "Diffie-Hellman Group Exchange for the SSH Transport Layer Protocol" .%N draft-ietf-secsh-dh-group-exchange-00.txt .%D January 2001 .%O work in progress material .Re