ログイン時やファイル転送時に利用される unix password による認証方法におい て, 自分 (local) の端末と login 先 (remote) の間の通信を 盗聴される可能性がある. それを回避する方法として次の事柄が挙げられる.
ssh や SSL を使うにはサーバとクライアントの両方に 暗号化のためのプログラムをインストールする必要がある. これに対して OTP は従来の telnet のパスワードを特別なものに 変えるだけなのでクライアントは従来の telnet クライアントだけでよい. 従って, 多種OSの数多くの機械からの接続をサポートすべき専攻サーバの場合, OTP を利用する必要がある.
opie-2.4.tar.gz (2001/11/23 現在, OTP の最新版)を入手する. 入手先(ftp サイト)は次の通りである.
注1: これらのサイトは, anonymous FTP のパスワードとして入力する電子 メールアドレスをチェックしているので, 不当なパスワードを送信する Microsoft Internet Explorer では FTP が使えないので unix machine から正規の方法により FTP を行うようにする.
注2: ftp を行う前に“README” file を読んで, 最新のpackage version を 確認する.
注3: Appendix-1 に今回調べた opie のSupported commands/Firewalls, version情報などを掲載する.
注4: opie の Debian パッケージは login や ftpd を含んでいなかったため, 今回使用しなかった.
以下のパッケージがインストールされているか確認する.
作業当事者 mondo1 さんのホームディレクトリに, opie-2.4.tar.gz をダウンロードしてきたものとする. そしてそのホームディレクトリ内で作業を行うものとする.
$ cd ~mondo1
$ tar xvzf opie-2.4.tar.gz
$ cd opie-2.4
実行する前に一通り INSTALL を読み全体の install 手順を知っておくこと.
configure の実行には ssh 等を用いてネットワーク経由でログインしている 時にもパスフレーズの設定ができるようにオプションを付ける.
$ sh configure --disable-insecure-override
$ make
# make install
configure が FTPD の場所 (/usr/sbin/in.ftpd)を見つけてくれなかった.
この場合、FTPをしようとするとパスワードが違うと言われ、ログインパスワードを入れると通ってしまう.
# vi opie-2.4/Makefile
FTPD= → FTPD=/usr/sbin/in.ftpd
再コンパイルしてインストール.$ make
# make install
http://www.st.ryukoku.ac.jp/~kjm/security/otp/otp-supported-list を参照 ☆ Supported commands/Firewalls login ftpd in opie package su telnetd : telnetd use login command for authentication dcadem-wu-ftpd : patch available sudo : supported rlogind : rlogind use login command for authentication rshd : rshd doesn't prompt for authentication FireWall-1 : supported ☆ version information latest : opie-2.3 ・main : 2.32 ・test(experimental) : 2.34
A list of "configure-time options" available for OPIE Usage: configure [options] [host] Options: [defaults in brackets after descriptions] Configuration: --cache-file=FILE cache test results in FILE --help print this message --no-create do not create output files --quiet, --silent do not print `checking...' messages --version print the version of autoconf that created configure Directory and file names: --prefix=PREFIX install architecture-independent files in PREFIX [/usr/local] --exec-prefix=EPREFIX install architecture-dependent files in EPREFIX [same as prefix] --bindir=DIR user executables in DIR [EPREFIX/bin] --sbindir=DIR system admin executables in DIR [EPREFIX/sbin] --libexecdir=DIR program executables in DIR [EPREFIX/libexec] --datadir=DIR read-only architecture-independent data in DIR [PREFIX/share] --sysconfdir=DIR read-only single-machine data in DIR [PREFIX/etc] --sharedstatedir=DIR modifiable architecture-independent data in DIR [PREFIX/com] --localstatedir=DIR modifiable single-machine data in DIR [PREFIX/var] --libdir=DIR object code libraries in DIR [EPREFIX/lib] --includedir=DIR C header files in DIR [PREFIX/include] --oldincludedir=DIR C header files for non-gcc in DIR [/usr/include] --infodir=DIR info documentation in DIR [PREFIX/info] --mandir=DIR man documentation in DIR [PREFIX/man] --srcdir=DIR find the sources in DIR [configure dir or ..] --program-prefix=PREFIX prepend PREFIX to installed program names --program-suffix=SUFFIX append SUFFIX to installed program names --program-transform-name=PROGRAM run sed PROGRAM on installed program names Host type: --build=BUILD configure for building on BUILD [BUILD=HOST] --host=HOST configure for HOST [guessed] --target=TARGET configure for TARGET [TARGET=HOST] Features and packages: --disable-FEATURE do not include FEATURE (same as --enable-FEATURE=no) --enable-FEATURE[=ARG] include FEATURE [ARG=yes] --with-PACKAGE[=ARG] use PACKAGE [ARG=yes] --without-PACKAGE do not use PACKAGE (same as --with-PACKAGE=no) --x-includes=DIR X include files are in DIR --x-libraries=DIR X library files are in DIR --enable and --with options recognized: --enable-access-file=FILENAME Enable the OPIE access file FILENAME --enable-server-md4 Use MD4 instead of MD5 for the server --disable-user-locking Disable user locking --enable-user-locking[=DIR] Put user lock files in DIR [/etc/opielocks] --enable-retype Ask users to re-type their secret pass phrases --enable-su-star-check Refuse to switch to disabled accounts --disable-new-prompts Use more compatible (but less informative) prompts --enable-insecure-override Allow users to override insecure checks --enable-anonymous-ftp Enable anonymous FTP support --disable-utmp Disable utmp logging --disable-wtmp Disable wtmp logging
最終更新日: 2001/11/24(道政広一) | Copyright © 2000 epcore |