DeleGate の埋め込み設定パラメータ
コメント:
翻訳の正確さは保証しません。
必ず、原文と共に、使用してください。
DeleGate の埋め込み設定パラメータ
バージョン 9.4.0 以降、DeleGate はその実行ファイルに "パラメータの埋め込み" を実装しました。それらパラメータは、誰が実行ファイルを実行でき、機能やプロトコル を使えるかの認証と機能の制御を、制御するのに使えます。
実行ファイルは、誰が起動したかとは無関係にスーパーユーザ特権で実行する、 いわゆる "実行時ユーザIDセット(setuid)" をセットできます。 DeleGate は特権ポートや PAM 認証を使うことを含むいくつかのケースでそのような特権を必要とします。 このフラグは、補助としてインストールが必要であった "subin" 以下の外部プログラムを、過去のものとします。
owned-by-rooot INSTALLATION /
INVOCATION _________set-uid-on-exec CONFIGURATION
/ \
| the executable file |
forbidden | of DeleGate |
user1 ---- NO -------->| |
| |
user2 ---- OK -----+---> +-> authentication |
| | +-> capability control |
| | +-> default config. |
| | | |
[key]+---->(decrypt) | editing with
| | _____________ | "delegated -Fimp"
| | + + | +[key]
| +----+ implanted <<--------+(encrypt)
| + parameters + |
| +_____________+ |
| |
\________________________/
|
埋め込み用の領域はデフォルトで 10kバイトです。 そこに、さまざまな設定パラメータを保持できます。
特に DeleGate のような汎用プログラムの実行ファイルが "誰でも実行可能" とされたとき、 "実行時ユーザIDセット(setuid)" は危険になり得ます。 したがって、フラグがセットされた DeleGate の実行ファイルは、 ユーザが、明示的に実行を許可されている場合 (ユーザが許可ユーザリストにある、または/かつ、実行するためのパスワードを知っている) を除き、実行は制限されます。
例
|
% delegated -Fimp |
|
% delegated -Fimp ADMIN=you@your.domain |
|
% delegated -Fimp -U user2,user3 |
|
% delegated -Fimp -C http,ftp |
|
% delegated -Fimp -k |
|
% su root -c "delegated -Fimp -m" |
|
% delegated -Fimp SERVER=http -P8080 -vt ADMIN=me@my.domain % delegated |
|
% delegated -Fimp -sk conf.enc |