設定ファイル /etc/skey.access
を使って UNIX パスワードの利
用を制限することができます. この場合の判断基準として, ログインを受け付
ける際のホスト名, ユーザ名, 端末のポート, IP アドレスなどが利用できま
す. この設定ファイルの詳細に関してはマニュアル skey.access (5) を
ご覧ください. マニュアルにはこの機能に関わるセキュリティについて, いく
つかの警告が記述してあります. この機能を使ってセキュリティを高めようと
するのならば絶対にこのマニュアルを読んでください.
もし /etc/skey.access
ファイルが存在しないならば (FreeBSD
をインストールした直後の状態では存在しません), すべてのユーザが UNIX
パスワードを利用することができます. 逆に, もしファイルが存在するならば,
/etc/skey.access
ファイルに明示的に記述されていない限り, すべ
てのユーザは S/KEY の利用を要求されます. どちらの場合においても, その
マシンのコンソールからはいつでも UNIX パスワードを使ってログインするこ
とが可能です.
以下によく使われるであろう三種類の設定を含む設定ファイルの例を示し ます:
permit internet 18.26.0.0 255.255.0.0
permit user jrl
permit port ttyd0
はじめの行 (`permit internet
') で, telnet などで接続するときの IP
のソースアドレス (注意: これは偽造されるおそれがあります) が特定の値と
マスクに一致している場合に, UNIX パスワードの利用を許可することを指定
しています. この設定自体はセキュリティを高めるための機能ではありません.
そうではなく, ログインの権利を持つ許可されたユーザに対して, 現在そのユー
ザが使っているネットワークが信頼できないと考えられるので S/KEY を使う
べきである, ということを気づかせるための機能であると考えてください.
二行目 (`permit user
') によって, ある特定のユーザに対して, い
つでも UNIX パスワードの利用を許可するように指定しています. 一般的には
この設定をおこなうべきではありません. `key
' プログラムがどうして
も使えない環境にいる人や, ダム端末しかない環境にいる人, または何度教え
ても聞く耳を持たないような人をサポートする必要がある場合にのみ設定をお
こなってください.
三行目 (`permit port
') によって, ある特定の端末ポートからログ
インしようとするすべてのユーザに対して UNIX パスワードの利用を許可する
ように指定しています. この設定はダイヤルアップ回線に対する設定として利
用できるでしょう.