日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
YPSERV(8) FreeBSD システム管理者マニュアル YPSERV(8)
名称
ypserv -- NIS データベースサーバ
書式
ypserv [-n] [-d] [-P port] [-p path]
解説
NIS は、設定ファイルの共通の集合を共有するために多くの UNIX ベースのマシ
ンを許可するように設計された RPC ベースのサービスです。ほとんどの環境で頻
繁に変更することを必要とする傾向がある /etc/hosts, /etc/passwd と
/etc/group のようなファイルのいくつかのコピーを更新するシステム管理者に要
求することではなく、NIS によって、コンピュータのグループは、単一の位置か
ら更新することができるデータの 1 組みを共有することができます。
ypserv ユーティリティは、NIS データベースを NIS ドメイン内のクライアント
システムに配信するサーバです。NIS ドメインの各クライアントは、そのドメイ
ン名を、domainname(1) コマンドを使用して ypserv によって供給されたドメイ
ンの 1 つに設定しなければなりません。また、クライアントは、単一の NIS ド
メイン内のいくつかのサーバを持つことができるので、特定のサーバにアタッチ
するために、ypbind(8) を実行しなければなりません。
ypserv によって配信されたデータベースは、/var/yp/[domainname] に格納され
ます、ここで、domainname は、供給されているドメインの名前です。異なったド
メイン名があるいくつかのそのようなディレクトリを指定することができ、利用
者は、それらをすべて処理するただ 1 つの ypserv デーモンを必要とします。
しばしばそれらが呼び出されるような、データベース、または maps は、ソース
としていくつかのシステムファイルを使用して /var/yp/Makefile によって作成
されます。データベースファイルは、関連する多くのレコードがあるとき、ス
ピード検索を助けるための db(3) 形式です。FreeBSD で、マップは、セキュリ
ティの理由のための root によってのみ常に、読み込み可能で、書き込み可能で
す。技術的に、これは、パスワードマップにのみ必要ですが、とにかく、他の全
般の読み込み可能なファイルに他のマップのデータを見つけることができるの
で、それは、損害ではなく、よい一般的な慣習と考えられます。
ypserv ユーティリティは、/etc/rc.conf で有効にされているなら、
/etc/rc.d/ypserv によって開始されます。
特別な仕様
NIS によって FreeBSD パスワードデータベースの配布に関連するいくつかの問題
があります: FreeBSD は、通常、root によってのみ読み込み可能で、書き込み可
能な /etc/master.passwd の暗号化されたパスワードを格納します。このファイ
ルを NIS マップに変えることによって、このセキュリティ機能は、完全に破られ
ます。
この代りに、ypserv の FreeBSD バージョンは、特別な方法で
master.passwd.byname と master.passwd.byuid マップを処理します。サーバ
が、これらの 2 つのマップ (または実際に shadow.byname または shadow.byuid
マップのいずれか) のいずれかをアクセスするための要求を受信するとき、要求
が発生する TCP ポートをチェックし、ポート番号が 1023 より大きいなら、エ
ラーを返します。スーパユーザだけが、1024 未満の値で TCP ポートにバインド
することを許可されるので、サーバは、アクセス要求が、特権があるユーザから
来たかどうかを決定するために、このテストを使用することができます。した
がって、特権がないユーザによって行なわれるあらゆる要求は、拒否されます。
さらに、FreeBSD 標準 C ライブラリの getpwent(3) ルーチンは、スーパユーザ
のための master.passwd.byname と master.passwd.byuid マップからデータを検
索して取り出すことを試みるだけです: 通常のユーザがこれらの関数のいずれか
を呼び出すなら、標準の passwd.byname と passwd.byuid マップは、代わりにア
クセスされます。後者の 2 つのマップは、master.passwd ファイルを解析するこ
とによって、そして、パスワードのフィールドを取り除くことによって、
/var/yp/Makefile によって構成され、したがって、特権がないユーザに渡すため
に安全です。このような方法で、保護された master.passwd データベースのシャ
ドウパスワードの側面は、NIS を通して保守されています。
注
マスタサーバとスレーブサーバの設定
ypinit(8) は、マスタと NIS サーバを設定することを助ける便利なスクリプトで
す。
制限
ユーザが気を付けるべきである、NIS のシャドウ化されているパスワードに特有
の 2 つの問題があります:
1. `TCP ポートが 1024 未満のテストは、' (UNIX ベースのオペレー
ティングシステムを実行しない、それらのマシンでさえ) 利用者の
ネットワークのマシンへの無制限のアクセスでユーザに対して破るこ
とは簡単です。
2. 利用者が、(それらのほとんどである) シャドウ化されたパスワード
のサポートがない FreeBSD でないクライアントを供給する FreeBSD
を使用する計画があるなら、利用者は、/var/yp/Makefile の
UNSECURE=True エントリをコメント化しないことによって完全にシャ
ドウ化されたパスワードを無効にしなければなりません。これによっ
て、標準の passwd.byname と passwd.byuid マップは、NIS を通し
てユーザ認証を実行する FreeBSD でないクライアントのために必要
である、有効な暗号化されたパスワードフィールドで生成されます。
セキュリティ
一般的に、あらゆるリモートユーザは、RPC から ypserv まで発行することがで
き、リモートユーザが利用者のドメイン名を知っている条件で、利用者の NIS
マップの内容を検索して取り出します。そのような権限のないトランザクション
を防止するために、ypserv は、ホストの与えられた集合へのアクセスを制限する
ために使用することができる、securenets と呼ばれる機能をサポートしていま
す。起動時に、ypserv は、/var/yp/securenets と呼ばれるファイルから
securenets 情報をロードすることを試みます。(このパスは、以下で説明される
-p オプションで指定されたパスに依存して変わることに注意してください。) こ
のファイルは、空白類によって区切られるネットワークの指定とネットワークマ
スクから成るエントリを含んでいます。``#'' で始まる行は、コメントであると
見なされます。サンプルの securenets ファイルは、次のように見えるかもしれ
ません:
# allow connections from local host -- mandatory
127.0.0.1 255.255.255.255
# allow connections from any host
# on the 129.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
10.0.0.0 255.255.240.0
ypserv が、これらの規則の 1 つと一致するアドレスから要求を受信するなら、
それは、通常の要求を処理します。アドレスが、規則の一致に失敗するなら、要
求は、無視され、警告メッセージは、ログ記録されます。/var/yp/securenets
ファイルが存在しないなら、ypserv は、あらゆるホストからの接続を許可しま
す、
また、ypserv ユーティリティは、Wietse Venema の tcpwrapper パッケージのた
めのサポートもあります、これによって、管理者は、/var/yp/securenets の代わ
りのアクセス制御のために tcpwrapper 設定ファイル (/etc/hosts.allow と
/etc/hosts.deny) を使用することができます。
注: これらのアクセス制御機構の両方は、いくらかのセキュリティを提供する間
に、特権があるポートのテストのような、それらは、両方とも ``IP なりすまし
(spoofing)'' 攻撃に対して脆弱です。
NIS v1 互換性
ypserv のこのバージョンは、NIS v1 クライアントを提供するためのいくらかの
サポートがあります。FreeBSD NIS は、NIS v2 プロトコルをのみ使用して実装し
ていますが、しかしながら他の実装は、古いシステムとの後方互換性のために v1
プロトコルのサポート含んでいます。これらのシステムで供給される ypbind(8)
デーモンは、たとえそれらが、決して実際にそれを必要としなくても、NIS v1
サーバにバインドを確立することを試みます (そして、それらは、それらが、v2
サーバからの応答を受信した後にさえ、1 つの検索でブロードキャスト (同報通
信) を持続します)。通常のクライアントの呼び出しのためのサポートが提供され
ていますが、ypserv のこのバージョンは、v1 マップ転送要求を扱わないことに
注意してください。その結果として、v1 プロトコルのみをサポートする古い NIS
サーバとともにマスタまたはスレーブとして使用することはできません。幸いに
も、たぶん、そのようなサーバは、今でも使用されません。
NIS クライアントでもある NIS サーバ
また、サーバマシンが NIS クライアントである、マルチサーバドメインの
ypserv を実行するとき、慎重さも必要です。それは、一般的に、バインドの要求
をブロードキャスト (同報通信) と可能であればお互いにバインドするようにな
ることを許可するのではなくそれら自体にバインドするサーバを強制することは
良い考えです: 1 つのサーバがダウンし、他がそれに依存しているなら、奇妙な
障害モードの結果となるかもしれません。(結局、すべてのクライアントは、タイ
ムアウトし、他のサーバにバインドすることを試みますが、関連する遅延を無視
することができず、サーバが、最初からやり直して、お互いにバインドするかも
しれないので、障害モードは、まだ存在します)。
特定のサーバにバインドすることを強制する方法についての詳細については、
ypbind(8) マニュアルページを参照してください。
オプション
次のオプションは、ypserv によってサポートされます:
-n このオプションは、hosts.byname と hosts.byaddress マップのための
yp_match 要求を扱う方法 ypserv に影響します。デフォルトで、ypserv
が、そのホストマップの与えられたホストのためのエントリを見つけるこ
とができないなら、それは、エラーを返し、さらなる処理を実行しませ
ん。-n フラグで、ypserv は、さらに一歩進みます: 直ちにあきらめるの
でなく、それは、DNS ネームサーバの問い合わせを使用するホスト名また
はアドレスを解決しようと試みます。問い合わせが成功するなら、ypserv
は、偽のデータベースレコードを構成して、それをクライアントに返しま
す、したがって、あたかも、クライアントの yp_match 要求が成功したか
のように見えます。
この機能は、ホスト名とアドレスの解決のために NIS に依存する標準の C
ライブラリの brain-damaged (脳に損傷がある) リゾルバ関数がある、
SunOS 4.1.x との互換性のために提供されています。FreeBSD リゾルバ
は、DNS 問い合わせを直接行なうように設定することができます、した
がって、FreeBSD NIS クライアントだけを提供するとき、このオプション
を有効する必要はありません。
-d サーバをデバッグモードで実行します。通常、ypserv は、syslog(3) 機能
を使用して、異常なエラー (アクセス違反、ファイルアクセスの失敗) の
み報告します。デバッグモードで、サーバは、それ自体をバックグラウン
ドではなく、それが受信する要求ごとに標準エラー (stderr) に特別な状
態メッセージを印刷 (表示) します。また、デバッグモードで実行してい
る間に、ypserv は、yp_all 要求を処理するとき、または DNS 検索を行
なっているとき、通常、行なうようにあらゆる追加のサブプロセスを
spawn しません。(しばしば、これらのアクションは、完了するためにかな
りの時間がかかり、親のサーバプロセスが他の要求を処理し続けることを
可能にして、したがって、サブプロセスで処理されます。) これは、デ
バッグツールでサーバをトレースすることを容易にします。
-h addr
要求のためにバインドする特定のアドレスを指定します。このオプション
は、複数回指定されます。-h オプションが指定されないるなら、ypserv
は、転送ごとにデフォルトの受動的なアドレス (例えば、IPv4 のための
INADDR_AN) にバインドします。
-P port
それ自体を選択するのではなく、特定の TCP/UDP ポートに ypserv をバイ
ンドすることを強制します。
-p path
通常、ypserv は、すべての NIS マップが /var/yp の下に格納されると仮
定します。-p フラグは、システム管理者が、マップファイルを、ファイル
システム内の異なる場所に移動することを可能にして、代替の NIS ルート
パスを指定するために使用されます。
関連ファイル
/var/yp/[domainname]/[maps] NIS マップ
/etc/nsswitch.conf 名前切り替え設定ファイル
/var/yp/securenets ホストアクセス制御ファイル
関連項目
ypcat(1), db(3), hosts_access(5), rpc.yppasswdd(8), yp(8), ypbind(8),
ypinit(8), yppush(8), ypxfr(8)
歴史
ypserv のこのバージョンは、FreeBSD 2.2 ではじめて登場しました。
作者
Bill Paul <wpaul@ctr.columbia.edu>
FreeBSD 12.2 December 13, 2009 FreeBSD 12.2