本家 Original Site | [Japanese]

rssh のよくある質問(日本語訳)

内容

質問と回答

Q: rssh って何ですか?

A: rssh homepage を見てください。

Q: なぜ、あなたはこのソフトウェアを書いたのですか?

A: 主には、どうやったら scp または sftp のみのアクセスに制限できるのかという質問が、当時参加していた複数のメーリングリストに来たからである。 ある人々はある程度は動く提案(ユーザシェルとしてシェルスクリプトを用いるようなもの)をしたが、それらはひどくセキュアではないか、または信頼できるものではなかった。 商用の SSH 製品にはこのようなことをするプログラムがあるのに、OpenSSH にはない。 Joe Boyle は scponly と呼ばれる、似たようなプログラムを持っていたが、その時点で私が見たときにはセキュリティ上の問題を抱えていた。 それらは修正されていたのにもかかわらず…。 現在では rssh が持っていない機能を有してはいるが、それらうちのいくつかは rssh が決して(少なくともすぐには)もたないものである。

訳注: 一部、訳が間違っている部分があるかもしれません。

自分自身が使うためにこのプログラムを書いたのではない。 今日、私は使っていないし、また今までにも使ったことがない(もし機会が訪れたら、使っていたのは明らかなのだが)。 当時の私は退屈だったのだが、このプロジェクトは楽しませてくれ、さらには教育的でもあった。 サポートを求めるときは以下のことを心に留めて欲しい。 可能性としては、もし私に自由な時間があればかなり速く回答できるが、得られるものがそのまま結果であり、また、遅いレスポンスを解消するために睡眠時間を失いたくはない。 はい、あなたは以上のように警告されましたよ。

Q: バグ報告やここに答えのない質問のためには、どうやってあなたとコンタクトが取れますか?

A: まず第一に、セキュリティ問題でない限りは、個人的に私に e-mail を 送らないで欲しい。 rssh に関する個人的な e-mail には私は答えない。 また、Sourceforge のバグレポーターやパッチツールを 使わないでほしい。 その代わりに、 メーリングリスト に参加し、そこにあなたの質問を投稿するべきだ。 ただし、そのメーリングリストに投稿するには登録しなければならない。 これらすべては 1. 何度も繰り返される同じ質問に答えなくて済むことで時間を節約できるように 2. メーリングリストから spam を遠ざけておけるように - するためである。

Q: 新たなバージョンをリリースした時に E-メールを送ってもらえますか?

A: 本当に? 私には本当の生活がある。あなたが知っている通り…。 もし rssh の新しいリリースの通知が欲しければ、freshmeat page を訪れてくれ。 そこでなら新たなリリース情報を得られるように登録できる。 新しいバージョンをリリースしたときはすぐに freshmeat も更新するので、そこに登録していれば通知を受けられる。 また、Sourceforge のインタフェースからでもパッケージを監視できる。 新たなりリースをアップロードしたときには、私はそこから通知を送っている。

Q: rssh は chroot jail をサポートするの?

A: 2.0 リリースでは chroot jail がサポートされている。 2.1 では、ユーザごとに設定可能だ。

Q: なぜ私は chroot jail で scp できないのか?

Q: chroot jail を使用するように設定されているアカウントに接続すると、 "Connection closed" というメッセージを受け取るだけだ。なぜ?

A: 問題は、あなたが正しく chroot jail を設定していないということだ。 何かが抜けている。 ドキュメントを通して何度も何度も言ってきたことだが、chroot jail のセットアップはシステムに強く依存している。 だから、もし CHROOT ファイルを注意深く読み、そこにある手順に従ってもまだ動かないのであれば、私はもうほとんど何も助けることができない。 しかし、既にそうしていたのなら、ここを見る必要はないはずだ…

もし Solaris 9, FreeBSD, AIX 5.2 (他にも可能性はある) で rssh を使用しているのなら、システムシェルを chroot jail へとコピーする必要があるだろう。 なぜならば、それらのプラットフォームでは、wordexp() がコマンドライン引数を展開するのにシェルを使用するからである。 詳細は CHROOT ファイルを参照のこと。

RPM パッケージとソースには mkchroot.sh と呼ばれるスクリプトが同梱されている。 いくつかのファイルのパスについて小さな変更の必要があるかもしれないが、多くの Linux ユーザーにおいては、これが代わりに仕事をしてくれるはずだ。 しかしながら最近の Linux ディストロにおいては、スクリプトには何か重要なものが抜けているようだ。 それが何であるかは、まだ答えが見つかっていない。 もしそれを見つけたら、メーリングリストに投稿して私(と皆さん)に教えて欲しい。 もしこの問題に当たってしまい、何が無いかが分からなかった場合、/lib 以下をすべて jail にコピーすれば直るようだ。 理想的な解ではないが、とりあえずそれで動く。

Q: GCC でコンパイルしてないんだけど、rssh はコンパイルできないの?

A: 最新リリースにアップグレードし、再度試してみて。 それでもまだ問題があったなら、私に知らせて欲しい。

Q: なぜ Irix 上でコンパイルできないの?

A: 最新リリースにアップグレードし、再度試してみて。 それでもまだ問題があったなら、私に知らせて欲しい。

Q: ずっと言及している CHROOT ファイルってどこにあるの?

A: ソースをダウンロードすればその中にある。 RPM からインストールしたのであれば、/usr/share/doc/rssh-X.X.X/ の中を見て欲しい。 Linux ディストリビューションが配布しているパッケージからインストールしたのであれば、ディストリビューションの文書ファイルを置くところを探してみてほしい。 それでも見つからなければ、rssh パッケージに含まれるファイルの一覧をパッケージマネージャーを使って取得してみてほしい。

Q: 私のところでは、なぜ rssh は core を吐き続けるの?

A: Solaris で、rssh をバージョン 3.5 未満の OpenSSH と使う場合、configure スクリプトは静的なリンクでビルドしようとする。 しかし、頭のいかれた Sun の C ライブラリのおかげでこれは不可能に近い。 この問題を安全に修正するためには OpenSSH 3.5 にアップグレードすること。 でなければ、--disable-static を指定して configure スクリプト実行することができるが、これは セキュリティーホールを作ってしまう。

もしすでに OpenSSH 3.5 (かそれ以降)を使っているか、Solaris 上でビルドしていないなら、多分 rssh を正しくインストールできていない。 多分 chroot jail で利用しているんでしょう。 man ページと INSTALL ファイル、chroot jail を使うならさらに CHROOT ファイルを絶対に読むこと。 jail を適切に設定しなかった場合、コアダンプを含めた間違った動きを目にするだろう。

Q: rssh を使い始めたけど、これは素晴らしい。 でも、x コマンドを実行する機能を追加できないの?

A: それはノーだ。 すなわち、実際にはそうはできるのだが、そうしたくはない。 これにはいくつかの理由があって、それらはもっともなものだと思っている。 rssh の目的は、scp または sftp、もしくはその両方を使ったサーバへのアクセスの許可を、システム管理者ができるようにすることである。 この設計は単純明快で、とても簡単にセキュリティを保てる。

そのことを除いても、もし人々の要求にあるすべての x コマンドを実行できるように追加したら、それは結局、当然のことながら bash になってしまう…。 ひとたびコマンドの追加を始めたら、もしくは任意のコマンドを実行できるようにしたら、それは難しくなっていき、安全に保つのは殆んど不可能だ。 多くの変化の可能性がある。 また、rssh の chroot 対応はすぐそばまで来ている。 これはバイナリ(少なくとも補助プログラム)が root に SUID される必要がある。 これは問題を悪化させるだけだ。 すなわち、一つの小さな間違いが root を危険に晒すことを意味する。

だから申し訳ない、ノーだ。 私が憂慮する限りでは、それは本来の目的を打ち破り、またコードの単純さを完全に破壊する。 多分、あなたが欲しいものは違った形の secure shell だろう。 であれば rssh のコードを自由に手にとって、好きなように修正してくれ。 しかし、その場合はこの機能についての質問は止めてほしい、 だって、そんなことは起きてないんだぜ。

ああ、もうひとつの理由は私が怠けているということ…。 忘れてくれ!  =8^)

Q: 私は Windows ユーザーをサポートしているのだが、彼/彼女らは SSH をコマンドラインでどのように使うかを覚えられないし、覚えようともしない。 rssh を WinSCP に対応させてくれませんか?

A: 絶対に対応しない。 「Windows というものは、その代替が存在するときは決して使われるべきではないような、うんざりするオペレーティングシステムである」と私が考えているからではない(が、それは基本的には真実なのだが…)。 それは前の質問と結び付く。 WinSCP はコマンドラインの ssh ツールに GUI フロントエンドを提供する小さなハック(それはいいものであり -- 作者には何の罪もないのだが)である。 WinSCPには、ユーザが ssh を通してファイルシステムを操作するためのコマンドを実行できることが必要である。 すでにこのようにする方法がある… sftp で。 rssh が WinSCP に対応するためには、rssh を他の沢山のコマンドが実行できるように修正しなければならない。 これは、私の意見では、間違ったアプローチである。

更新: 最近のバージョンの WinSCP は SFTP プロトコルを使用できる。 WinSCP で SFTP プロトコルを使えば、rssh ともうまく動くはずだ。 SFTP プロトコルを使うようにする設定については、WinSCP のドキュメントを参照してほしい。 もし使用している WinSCP で SFTP プロトコルが使えなければ、もっと新しいバージョンのをダウンロードすること。

もし rssh と一緒に動く GUI フロントエンドが欲しければ、それを提供することができる。 少なくともどこで手に入るかは教えよう。 FileZilla はフリーウェアで、また SecureFX は商品である。 この情報を提供してくれた Paul C. Bryan に感謝する。 また、sftp もサポートするような商用の FTP クライアントもいくつかある。 WS-FTP Pro がそのうちの一つだ。 そして他にもある。 Google は君の友達だ。

日本語訳に関しての著作権・免責事項

このページおよび rssh の付属ドキュメントは原著者 Derek D. Martin 氏の許可を受けて翻訳しています。 日本語訳に関する著作権は(有)システムデザイン研究所に属します。 このページの内容は著作権法における「公表された著作物」として扱うことが可能であり、著作権法の定める範囲内において「引用」することが可能です。

本ページの内容に関して、翻訳者ならびに原著者は一切の保証を致しません。 本ページの内容に起因するいかなる損害についても翻訳者ならびに原著者は何ら責任を負いません。