.\" (c) 1998 by James R. Van Zandt <jrv@vanzandt.mv.com>    -*- nroff -*-
.\"
.\" Japanese Version Copyright (c) 2003 NAKANO Takeo all rights reserved.
.\" Translated Wed 29 Jan 2003 by NAKANO Takeo <nakano@apm.seikei.ac.jp>
.\"
.TH mirrordir 1 "1998 November 8" "Linux"
.SH 名前
secure-mcserv \- 暗号化ログイン・ファイル転送・ソケットフォワード用の安全なサーバ
.SH 書式
.BI secure-mcserv " \fR[\fPoptions\fR] [\fP" -p " portnum\fR]\fP"
.SH 説明
.B secure-mcserv
は Midnight Commander vfs (バーチャルファイルシステム) の
Midnight Commander (ネットワーク) ファイルシステム (mcfs) サーバである。
.B secure-mcserv
は
.B mirrordir
パッケージに含まれている。Midnight Commander のネイティブな
.B mcserv
デーモンの代わりに動作させることができ、
.B mirrordir
向けにいくつかの拡張がなされている。
.TP
.B セキュリティと圧縮
これは
.B secure-mcserv
の機能というよりも、
.B mirrordir
全体に対して実装された、透過的かつ安全な TCP 層である。
この層は、通常モード、圧縮 (gzipped) モード、暗号化モード、
圧縮+暗号化モードで動作できる。
接続のモードは TCP ストリーム先頭のマジックナンバーによって自動検知される。
Midnight Commander は
.B secure-mcserv
を、自らのネイティブなサーバである
.B mcserv
の代わりに利用できる。
.BR mirrordir (1)
の
.BR -z ,
.BR --secure ,
.B -K
各オプションを見よ。
.TP
.B 特定のホストからのアクセスの拒否
.RS
.I /etc/hosts.allow
ファイルに以下のような行を追加する。
.PP
.nf
    secure-mcserv:  <source-ip-address> : ALLOW
    secure-mcserv:  212.89.128.0/255.255.255.0 : ALLOW
    secure-mcserv:  ALL : DENY
.fi
.PP
(この機能は Juergen Kammer <j.kammer@eurodata.de>
から寄せられました。彼のところでは動作しているそうです。)
.RE
.TP
.B ログイン
.B mirrordir
の配布に含まれる
.B pslogin
を用いると、安全に
.B secure-mcserv
に対するログインができる。
これは
.BR rlogin (1)
が
.BR rlogind (8)
に対して動作するのと同様である。
.BR mirrordir (1)
の
.B --login-mode
オプションを見よ。
.TP
.B TCP ソケットのフォワード
.B mirrordir
の配布に含まれる
.BR forward (1)
コマンドを用いると、任意の TCP ソケット接続を
安全または圧縮 (あるいはその両方の) TCP チャネルにフォワードできる。
これは通常のサービスを暗号化サービスにでき、とても便利である。
.BR forward (1)
に例がある。
.SH オプション
.TP 
\fB-d\fP
デーモンになる (同時に -q も設定される)。
通常は常にこのオプションを用いることになるだろう。
これ以外としては、
.B -d
を指定せずに
.B -v
(後述) を指定して、失敗した接続をデバッグする場合があり得るだろう。
.TP
\fB-q\fP
寡黙モード。これはデフォルトである。
.TP
\fB-f\fP
通常の認証が失敗したときに ftp 認証を試みる。
.TP
\fB-v\fP
饒舌モード。様々なデバッグ情報を表示する。
.TP 
\fB-p\fP \fIport\fP
待ち受けるポート番号を指定する。デフォルトは 9876。
.TP
\fB-s\fP \fIserver\fP\fB[\fP\fI:port\fP\fB]\fP
.RS
利用するパスワードサーバを指定する。
このパスワードサーバとは、単に他のマシンで
.B -s
オプション無しで動作している
.B secure-mcserv
のことである。

このオプションは、たくさんのマシンを用いており、
それらに対して一群のユーザ達がログインするような場合にとても便利である。
これらのユーザ全員に対するアカウントを各マシンにつくり、
.B /etc/password
(あるいは
.BR /etc/shadow )
を編集してパスワードフィールドを
\fB*\fP にしてアカウントを無効にしておく。

ひとつのマシンをパスワードサーバとして選択する (このマシンを仮に
.B passerv.my.doma.in
としよう)。このマシンの
.B /etc/password
のパスワードフィールドには、正しいパスワードを入れておく。
このマシンで、通常のように
.B secure-mcserv -d
を起動する。他の全てのマシンでは、
.B secure-mcserv -d -s passerv.my.doma.in
を起動する。

これらの間の接続は、全て等しく暗号化された TCP ストリームとなるので、
これらはすべて同じように安全である。この方法は
.B passerv.my.doma.in
がインターネットの向こうにあるような場合にでも利用できる。
実際、パスワードサーバに対する認証は、
以下のコマンドの終了ステータスを見ることによって行なわれている。
.br
.nf
\fBpslogin\fP \fIuser\fP\fB@passerv.my.doma.in --test-login --read-password-from-stdin\fP
.fi
.PP
また、パスワードサーバのカスケードを利用することも不可能では無いはずだ。
こうすることには何の利点も無いけれど。

それぞれの認証は、実行に同じ時間を必要とする。
よってパスワードサーバを用いると、
2 つめの接続がパスワードサーバになされるため、
通常のログインの 2 倍の時間がかかる。
カスケードにすると、各パスワードサーバごとに、
もっと余計な時間がかかる。
.RE
.SH バグ
syslog にログ出力しない。
.PP
Midnight Commander vfs にはバグがあり、
デバイスファイルは常に メジャー番号:マイナー番号 が 0:0 となる。
このバグは、この実装では修正されている。
デバイスファイルの転送に Midnight Commander を用いてはいけない。
ただしこれをあなたが読んだ時点の最新版の Midnight Commander では、
この問題は修正されているかもしれない。
.PP
.B rlogin
セッションをサスペンドする特殊なエスケープ文字は認識しない。
よって
.B screen
(?) のようなコマンドは動作しない。
もしユーザからの要望があれば、この機能は追加するつもりだ。
現在のところ、^Z などは効力を持たない。
.SH ファイル
.BR mirrodir (1)
を見よ。
.SH 標準
ない。
.B バグ
を見よ。
.SH 入手方法
このプログラムの最新版は、
\fBftp://metalab.unc.edu/pub/Linux/system/backup\fP,
\fBftp://lava.obsidian.co.za/pub/linux/mirrordir\fP,
\fBftp://obsidian.co.za/pub/linux/mirrordir\fP
のいずれかから入手できる。
.SH 著者
Paul Sheer  <psheer@obsidian.co.za>  <psheer@icon.co.za>
.SH 関連項目
\fBmirrordir\fP(1), \fBssh\fP(1), \fBmcserv\fP(1), \fBmc\fP(1)