長南洋一
cyoic****@maple*****
2012年 4月 14日 (土) 22:10:05 JST
Fork長南です。
[JM:00598] の続きです。
SECURITY NOTES
1) 「セキュリティに関する注意点」(一個目) の Furthermore 以後は、
原文が増補された部分です。
PREVENTING SHELL ESCAPES
2) "Solaris privileges" は「ソラリス特権」でいいですか。それとも、
「ソラリス権限」ですか。次のくだりです。
On Solaris 10 and higher, noexec uses Solaris privileges
instead of the LD_PRELOAD environment variable.
Solaris 10 以上の場合、noexec は 環境変数 LD_PRELOAD ではなく、
Solaris 特権を使用している。
DEBUG FLAGS
「デバッグ・フラグ」は、当然ながら、増補された部分です。
3) audit BSM and Linux audit code
audit Solaris BSM (Basic Security Module) と Linux の監査コード
これは、(BSM and Linux) audit code なのか、BSM and (Linux audit) code
なのか。そもそも、BSM というのは、Solaris BSM のことでよいのか。
4) nss network service switch handling in sudoers
nss sudoers におけるネットワーク・サービス・スイッチの取扱い
nss が /etc/nsswitch.conf と関係があるのなら、「ネットワーク・
サービス・スイッチ」ではなく、「ネームサービススイッチ」ではないか。
nsswitch.conf の manpage には、"Name Service Switch" (NSS) と
書いてありますし、sudoers.man の著者自身、sudoers.ldap.man では
"sudo consults the Name Service Switch file, /etc/nsswitch.conf"
と言っています。
5) rbtree redblack tree internals
rbtree レッドブラック・トリーの内情
redblack tree というのは、探索木か何かですか。Wikipedia JP ぐらいは
見たのですが、よくわかりません。
internals はどう訳したらよいのでしょう。「内情、内実、内部事情、
内部情報、実態」なんてのを考えましたけれど。
6) util utility functions
util ユーティリティ機能
sudo.man でも取り上げた、機能か関数かというやつです。
7) 「セキュリティに関する注意点」の二つ目は、バージョン 1.7.x の
sudo.man から移動してきたものです。ただし、"On systems where
the boot time is available," から "as it is not universally
available." までは、原文が増補されている部分。どうせですから、
増補された部分の原文と訳文を挙げておきます。この訳文は、提出した
ものに少し手が入っています。
On systems where the boot time is available, sudoers will ignore
time stamps that date from before the machine booted.
ブートタイムを参照できるシステムでは、 タイムスタンプがマシンが
ブートするよりも前の日時になっている場合、 sudoers はそれを無視する。
Since time stamp files live in the file system, they can outlive a
user's login session. As a result, a user may be able to login, run a
command with sudo after authenticating, logout, login again, and run
sudo without authenticating so long as the time stamp file's
modification time is within 5 minutes (or whatever the timeout is set
to in sudoers). When the tty_tickets option is enabled, the time stamp
has per-tty granularity but still may outlive the user's session. On
Linux systems where the devpts filesystem is used, Solaris systems with
the devices filesystem, as well as other systems that utilize a devfs
filesystem that monotonically increase the inode number of devices as
they are created (such as Mac OS X), sudoers is able to determine when
a tty-based time stamp file is stale and will ignore it.
Administrators should not rely on this feature as it is not universally
available.
タイムスタンプ・ファイルはファイルシステム中に作られるので、ユーザのロ
グイン・セッションが終わっても、残っている。そのため、次のようなことが
起こりえる。ユーザがログインし、認証してから sudo を使ってコマンドを実
行して、ログアウトする。再びログインして、認証なしで sudo を実行する。
タイムスタンプ・ファイルの内容更新日時が 5 分以内であれば (あるいは、
sudoers で設定されたタイムアウト時間以内であれば)、そういうことが可能
になってしまうのだ。tty_tickets オプションが有効になっている場合、タ
イムスタンプは tty ごとに別々に作られるが、それでも、ユーザセッション
が終わった後まで生き残ってしまう。devpts ファイルシステムを使用してい
る Linux や、 devices ファイルシステムを持つ Solaris、それに、デバイス
を作成するごとに、その inode 番号をひたすら増やしていく devfs ファイル
システムを利用しているシステム (たとえば、Mac OS X) では、tty ごとのタ
イムスタンプ・ファイルがいつ用済みになるかを判定できるので、sudoers は
そうしたタイムスタンプ・ファイルを無視することになる。だがシステムの
管理者はこの機能を当てにしない方がよい。どのシステムでも利用できるとは
かぎらないからだ。
"Since time stamp files live in the file system," は、「ファイル
システム中の存在なので」という訳も考えました。どちらも、イマイチ
ピリッとしない気がしますが。
一応、自分で気になるのは、こんなところです。
--
長南洋一