スポンサーリンク

OPIEACCESS

名称
解説
関連項目
作者
連絡先

名称

/etc/opieaccess − 信頼できるネットワークの OPIE(One-time Password In Everything) データベース

解説

opieaccess ファイルは、受動攻撃に対するセキュリティに関して、そのシステ ム が信頼しても構わないと考えられるネットワークのリストを含みます。ここ で、信頼できるネットワークからのユーザは、OPIE 応答を用いてログインする こ とができますが、必ずしも OPIE 応答を使う必要はありません。一方、信頼 できないネットワークからのユーザは、必ず OPIE 応答を使う (これがデ フォ ル トの動作) 必要があります。 "内側の" ネットワークに関しては、そのサイ トに対して OPIE の使用を強制しませんし、また、OPIE を使って自分の パ ス ワー ドを保護するかどうかをユーザが選ぶことができるので、この信頼関係に より、サイトがよりスムーズに OPIE に移行することができます。

OPIE システムは受動攻撃からユーザを保護するものですが、 opeiaccess ファ イ ルで実装された信頼という全概念は、それと同様の受動攻撃に対してシステ ムのバックアップをオープンにしてしまいます。従って、この信頼という概 念 は 重大なセキュリティホールとなります。本バージョンの OPIE にこのような opieaccess が存在するのは、ひとえに、OPIE を使いたくないユーザのせい で 自 分のアカウントを破られたくないユーザが OPIE を使えなくなるよりも、こ のようなユーザが OPIE を使えるようにすることの方がよいと信じているた め です。どのような環境であれ、 trust 機能を活かした本バージョンの OPIE は 移行のためのツールと考えるべきで、永久に使い続けるべきではありませ ん。 移 行のためのツールとして使う必要がなくなった時点で、 opieaccess ファイ ルをサポートしないバージョンの OPIE を構築し、OPIE システムの裏をかくた め の手段としてこのファイルを使おうとする攻撃者にチャンスを与えないよう にする必要があります。

opieaccess は、以下のように空白で区切られた 3 つのフィールドからなる 行 か ら構成されます (区切りとしてタブも正しく解釈されますが、空白を代わり に使って下さい)。

フィールド名 内容

action

OPIEを利用しないログインを "許可" もしくは "拒否" します

address

照合するネットワークのアドレスです

mask

照合のためのネットワークのマスクです

サブネットは適切なアドレスとマスクを使うことで制御されます。個々のホ ス トは 255.255.255.255 のマスクと適切なアドレスを使うことで制御されます。 どの規則も一致しない場合、デフォルトでは OPIE 無しのログインは拒否さ れ ます。

関連項目

ftpd(8) login(1), opie(4), opiekeys(5), opiepasswd(1), opieinfo(1), su(1),

作者

Bellcore の S/Key は Bellcore の Phil Karn, Neil M. Haller, John S. Walden に よっ て 書かれました。 OPIE は NRL で Randall Atkinson, Dan McDonald, Craig Metz によっ て 作 成 さ れ ま し た。 S/Key は Bell Communications Research (Bellcore) のトレードマークです。

連絡先

OPIE は Bellcore の "S/Key Users" メーリングリストで議論されました。参 加するためには、電子メールを以下の所に送って下さい。

skey-users-request@thumper.bellcore.com

スポンサーリンク