日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
LOGIN.CONF(5) FreeBSD ファイルフォーマットマニュアル LOGIN.CONF(5)
名称
login.conf -- ログインクラスケーパビリティデータベース
書式
/etc/login.conf, ~/.login_conf
解説
login.conf は、ログインクラスの様々な属性とケーパビリティを含んでいます。
ログインクラス (ユーザアカウントのデータベース /etc/master.passwd の各レ
コードに対するオプションの注釈) は、セッションのアカウンティング、リソー
ス制限とユーザ環境設定を決定します。それは、ユーザのログイン環境を設定
し、ポリシ、アカウンティングと管理の制限を実施するためにシステムの様々な
プログラムによって使用されます。また、それは、ユーザがシステムと利用可能
な認証のタイプを認証することができる手段も提供しています。ここに説明され
たものに加えて属性は、サードパーティのパッケージで利用可能です。
システムのユーザクラスケーパビリティデータベースである /etc/login.conf の
中の "default" という特別なレコードは、/etc/master.passwd 内に有効なログ
インクラスを持たない root 以外のすべてのユーザによって自動的に使われま
す。有効なログインクラスを持たない uid が 0 のユーザは、"root" レコードが
存在する場合は、そのレコードが、存在しない場合は、"default" レコードがロ
グインクラスとして使われます。
ユーザは、"me" のレコード ID がある単一のエントリから成り、同じ形式を使用
してユーザのホームディレクトリに .login_conf と呼ばれるファイルを個々に作
成することができます。もし .login.conf が存在するならば、このファイルは、
login(1) によって使用され、システムのログインケーパビリティデータベースに
よって指定されたユーザ環境設定を上書き設定します。その際、ログインケーパ
ビリティのサブセット、典型的には、承認やリソース制限そしてアカウンティン
グを含まないもののみが上書きされます。
クラスケーパビリティデータベースのレコードは、コロンで区切られたいくつか
のフィールドから構成されています。各レコードの最初のフィールドは、レコー
ドを特定するための 1 つまたは複数の名前で、それらは、'|' 文字で区切られま
す。その最初の名前が、最も一般化された短縮名称です。最後の名前は、ログイ
ンケーパビリティエントリをより分かりやすく説明した長い名前であるべきで、
他の名前は、その同義語です。すべての名前は、小文字かつ空白を含まないよう
にすべきですが、最後の名前は、可読性を考慮して、大文字やブランクを含んで
いてもよいでしょう。
コロン (`:') は、ケーパビリティエントリを分離するために使用されるので、
`\c' エスケープシーケンスは、ケーパビリティの値または名前にリテラル (定
数) のコロンを埋め込むために使用されなければならないことに注意してくださ
い。
FreeBSD と共に出荷されたデフォルトの /etc/login.conf は、難しい設定などは
一切なしで使えます。これへの変更、またはユーザの ~/.login_conf ファイルが
作られるときは、いつも、cap_mkdb(1) がデータベースにファイルをコンパイル
するために使用されるまで、変更は有効となりません。このデータベースファイ
ルは、.db 拡張子があり、cgetent(3) を通してアクセスされます。ケーパビリ
ティデータベースの形式についての詳細な説明は、getcap(3) を参照してくださ
い。
ケーパビリティ
データベース内のそれぞれの行に含まれるフィールドは、getcap(3) の慣習に従
い、ブール型、文字列型 `=' 数値型 `#' があります。しかしながら数値データ
のところは、数値型が拒否され文字列型が受け入れられることがあったり、両方
の書式が受け入れられることもあります。値は、次のカテゴリに分類されます。
bool 名前が存在する場合、ブール値は、真になります。そうでない場合、偽
になります。
file データファイルへのパス名
program 実行可能ファイルへのパス名
list コンマや空白で区切られた値のリスト (または値の組)
path 普通の csh の慣習に従った、空白やコンマで区切られたパス名のリス
ト (先頭のユーザ名を伴う/伴わないチルダは、ホームディレクトリに
展開される等)
number 10 進数 (デフォルト)、16 進数 (0x で始まる)、または 8 進数 (0 で
始まる) の数値型の値。数値型の場合、設定できる値は、1 つだけで
す。数値型は、文字列型の形式でも指定できる場合があります (ケーパ
ビリティタグ '#' の代わりに '=' で値が区切られているなど)。どの
方法が使われた場合でも、データベース中のすべての行は、修正したい
行の値を正確に上書きするために、同じ方法を用いなければなりませ
ん。数値は、無限を指定できます。
size サイズを表す文字。単位のデフォルトの解釈は、バイトで、サフィック
スによって別の単位を指定できます。
b 512 バイトブロックの明示的な指定
k キロバイトの指定 (1024 バイト)
m 1 メガバイトの乗数の指定 (1048576 バイト)
g ギガバイト単位の指定。そして
t テラバイトの記述。
サイズの値は、数値であり、サフィックスの大文字小文字は、重要では
ありません。連続した値は、足し込まれます。サイズ値は、無限を指定
できます。
time 時間の期間。デフォルトの単位は、秒。プレフィックスによって別の単
位を指定できます。
y 1 年を 365 日で数えた年数の指定
w 週の数の指定
d 日数
h 時間数
m 分数
s 秒数
連続した値は、足し込まれます。たとえば 2 時間 40 分は、9600s、
160m または 2h40m と表現することができます。時間値は、無限を指定
できます。
``infinity'', ``inf'', ``unlimited'', ``unlimit'' と -1 は、無限の値とみ
なされます。
特別な tc=value 表記を使用することにより、通常の約束事であるケーパビリ
ティエントリの補間が可能です。
リソース制限
名称 タイプ 注 説明
coredumpsize size 最大のコアダンプサイズの制限.
cputime time CPU 使用量の制限.
datasize size 最大のデータサイズの制限.
filesize size 最大のファイルサイズの制限.
maxproc number プロセスの最大数.
memorylocked size 最大のロックされたコアメモリの制
限.
memoryuse size 最大のコアメモリ使用量のサイズの制
限.
openfiles number 最大のプロセスごとにオープンされる
ファイル数の制限.
sbsize size 最大の許可されたソケットバッファの
サイズ.
vmemoryuse size プロセスごとの最大の許可された合計
VM 使用量.
stacksize size 最大のスタックサイズの制限.
pseudoterminals number 疑似端末の最大数.
swapuse size 最大のスワップ空間のサイズの制限.
umtxp number プロセスの共有された pthread ロッ
クの最大数.
これらのリソース制限エントリは、実際には、最大値と現在の制限値の両方を指
定します (getrlimit(2) を参照してください)。普通は、現在の制限値 (ソフト
リミット) が使われますが、ユーザは、現在の制限値を最大制限値 (ハードリ
ミット) まで増やすことが許されています。最大制限値と現在の制限値は、ケー
パビリティ名に各々 -max 及び -cur を追加することによって指定できます。
環境
名称 タイプ 注 説明
charset string $MM_CHARSET 環境変数を指定された
値に設定します.
cpumask string ユーザにバインドする cpu のリス
ト. 構文は, cpuset(1) の -l 引数
または単語 `default' に対するも
のと同じです. `default' に設定さ
れるなら, アクション (行動) を取
りません.
hushlogin bool false ~/.hushlogin ファイルがあること
と同じ.
ignorenologin bool false ログインは, nologin によって抑制
されません.
ftp-chroot bool false chroot(2) でユーザの HOME ディレ
クトリへの FTP のアクセスを制限
します. 詳細については, ftpd(8)
を参照.
label string デフォルトの MAC ポリシ.
maclabel(7) 参照.
lang string $LANG 環境変数を指定された値に設
定します.
manpath path マニュアルページのためのデフォル
トの検索パス.
nocheckmail bool false ログインでメールのステータスを表
示します.
nologin file ファイルが存在するなら, 表示さ
れ, ログインセッションは, 終了さ
れます.
path path /bin /usr/bin デフォルトの検索パス.
priority number 初期の優先度 (nice) レベル.
requirehome bool false ログインする有効なホームディレク
トリを必要とします.
setenv list 環境変数と設定される値のコンマで
区切られたリスト.
shell prog passwd ファイルで指定されるシェ
ルでなく実行するセッションのシェ
ル.SHELL 環境変数は, パスワード
ファイルで指定されるシェルを含み
ます.
term string 他の手段で決定できない場合のデ
フォルトの端末タイプ.
timezone string $TZ 環境変数のデフォルト値.
umask number 022 初期の umask. 8 進数の解釈を確実
にするために, 常に先導する 0 が
あるべきです."
welcome file /etc/motd ウェルカムメッセージを含んでいる
ファイル.
認証
名称 タイプ 注 説明
copyright file 追加のコピーライト情報を含んだファイ
ル.
host.allow list クラス内のユーザがアクセス可能なリ
モートホストワイルドカードのリスト.
host.deny list クラス内のユーザがアクセス不可なリ
モートホストワイルドカードのリスト.
login_prompt string login(1) が与えるログインプロンプト.
login-backoff number 3 この回数のログイン試行がなされた後,
後続する試行に対してバックオフ遅延が
追加されます. バックオフ遅延は, この
login-backoff に 5 秒を掛けた試みの
数です.
login-retries number 10 ログイン失敗までに可能な, ログイン試
行回数.
passwd_format string sha512 新規または変更するパスワードが使用す
る暗号形式. 有効な値は, "des",
"md5", "blf", "sha256" と "sha512"
です. 詳細については, crypt(3) を参
照. NIS クライアントが, FreeBSD では
ない NIS サーバを使用する場合, おそ
らく "des" を使用すべきでしょう.
passwd_prompt string login(1) が表示するパスワードプロン
プト.
times.allow list ログインが許されている時間帯のリス
ト.
times.deny list ログインが許されない時間帯のリスト.
ttys.allow list クラス内のユーザがアクセスに使用でき
る端末と端末グループのリスト.
ttys.deny list クラス内のユーザがアクセスに使用不可
な端末と端末グループのリスト.
warnexpire time 失効しそうなアカウントに対する事前の
注意を行なう時間.
warnpassword time 失効しそうなパスワードに対する事前の
注意を行なう時間.
これらのフィールドは、ログイン認証システムの中で passwd(1) や、その他のプ
ログラムから使用される予定です。
環境変数を設定するケーパビリティは、その中の文字 `~' と `$' の両方がス
キャンされ、これらは、それぞれユーザのホームディレクトリ及びユーザ名に置
換されます。環境変数中にこれらの文字をそのまま含める場合には、その前に
バックスラッシュ '\' をつけてエスケープします。
host.allow と host.deny エントリは、コンマで区切られたリストで、システム
へのリモートアクセスのチェックに使われます。これらは、ホスト名か IP アド
レスまたはその両方を含むリストからなり、それらに対してリモートログインの
チェックが行われます。このリストの各項目は、ワイルドカード一致用にシェル
プログラムが使用しているのと同じ書式のワイルドカードを含むことができます
(実装の詳細は、fnmatch(3) を参照してください)。ホストのチェックは、リモー
トシステムのインターネットアドレスと (もし有効なら) ホスト名の両方をつき
あわせて行われます。両方のリストが空かもしくは指定されていない場合、あら
ゆるリモートホストからのログインは、許可されます。host.allow が 1 つかそ
れ以上のホストを含む場合、リスト中の各項目のどれかにマッチしたリモートシ
ステムのみがログインを許されます。host.deny が 1 つかそれ以上のホストを含
む場合、そのリストのどれかにマッチしたホストからのログインが禁止されま
す。
times.allow と times.deny エントリは、コンマで区切られた期間のリストであ
り、この期間は、クラス内のユーザがログインを許されます。これらは、1 つ以
上の日のコード指定と、これに続けて 24 時間表記の開始時刻と終了時刻をハイ
フンまたはダッシュで区切ったものとして表現されます。たとえば
MoThSa0200-1300 は、月、木、土の午前 2 時から午後 1 時と解釈されます。こ
れらの時間指定リストの両方が空だった場合、クラス内のユーザは、いつでもア
クセス可能になります。times.allow が指定されている場合、ログインは、指定
された期間のみ許可されます。もし times.deny が指定されている場合、
times.allow の中で期間が指定されているかどうかに関わらず、指定された期間
は、ログインできなくなります。
login(1) が強制することは、これらのエントリにより許可された期間内に実際の
ログインが行なわれることのみである点に注意して下さい。セッションの生存期
間に関して更なる規制をかけるには、別のデーモンを用意し、許可されている期
間から許可されていない期間への遷移を監視する必要があります。
ttys.allow と ttys.deny エントリは、クラス内のユーザがシステムにアクセス
するために使うコンマで区切られた (/dev/ プレフィックスを除く) 端末デバイ
スと、端末グループ (ttygroup) のリストです (ttygroup の詳細は、
getttyent(3) と ttys(5) を参照してください)。どちらのエントリも存在しない
場合、ユーザが使用するログインデバイスの選択には、制限はありません。
ttys.allow のみ指定されている場合、ユーザの使えるデバイスは、指定されたグ
ループまたはデバイスリストのみに制限されます。ttys.deny のみ指定されてい
る場合、ユーザは、指定されたデバイスやデバイスグループを使用できません。
両方が与えられていてかつどちらも空でない場合、ユーザは、ttys.allow で指定
されていて、ttys.deny では、指定されていないデバイス群のみ使用できます。
minpasswordlen および minpasswordcase の機能は、パスワードの品質制限を強
制するためのものです。login.conf でサポートされていましたが、現在は、
pam_passwdqc(8) PAM モジュールにとってかわられました。
予約済ケーパビリティ
下記ケーパビリティは、記述された目的のために予約済であり、サードパーティ
ソフトウェアによってサポートされているかもしれません。ベースシステムで
は、実装されていません。
名称 タイプ 注 説明
accounted bool false このクラス内の全ユーザのセッション
時間アカウンティングを有効化.
auth list passwd 許可された認証スタイル. 最初の項目
は, デフォルトスタイルです.
auth-type list 認証 type のための許可された認証ス
タイル.
autodelete time アカウント失効後自動で削除されるま
での時間.
bootfull bool false セッション終了時の「ttygroup が一杯
の場合にのみブート」戦略を有効にす
る.
daytime time 1 日あたりのログイン最大時間.
expireperiod time 期限切れまでの割り当て時間.
graceexpire time 失効したアカウントの猶予日数.
gracetime time 追加された、猶予ログイン許可時間.
host.accounted list ログインセッションがアカウントされ
るリモートホストワイルドカードのリ
スト.
host.exempt list ログインセッションのアカウンティン
グを免除されたリモートホストワイル
ドカードのリスト.
idletime time ログアウトまでの最大アイドル時間.
minpasswordlen number 6 ローカルパスワード文字列長の最小値.
mixpasswordcase bool true すべて小文字のパスワードが入力され
た場合, passwd(1) がユーザに警告し
ます.
monthtime time 月毎の最大ログイン時間.
passwordtime time 次回パスワード無効日を指定するため
に passwd(1) が使用.
refreshtime time アカウントのリフレッシュ許可時間.
refreshperiod str リフレッシュが行なわれる頻度.
sessiontime time セッション毎の最大ログイン時間.
sessionlimit number すべてのグループに対する tty 上の同
時最大ログイン数.
ttys.accounted list ログインアカウントが有効な tty と
ttygroup のリスト.
ttys.exempt list ログインアカウントが無効な tty と
ttygroup のリスト.
warntime time 時間切れになりそうな場合に対する事
前の注意を行なう時間.
weektime time 1 週間毎の最大ログイン時間.
ttys.accounted と ttys.exempt フィールドは、先に述べた ttys.allow と
ttys.deny と同じような方法で状態を操作します。host.accounted と
host.exempt のリストも同様です。
関連項目
cap_mkdb(1), login(1), chroot(2), getcap(3), getttyent(3), login_cap(3),
login_class(3), pam(3), passwd(5), ttys(5), ftpd(8), pam_passwdqc(8)
FreeBSD 11.2 July 8, 2011 FreeBSD 11.2