<?xml version="1.0" ?> <!DOCTYPE book PUBLIC "-//KDE//DTD DocBook XML V4.2-Based Variant V1.1//EN" "dtd/kdex.dtd" [ <!ENTITY kappname "&kdesu;"> <!ENTITY package "kdebase"> <!ENTITY % addindex "IGNORE"> <!ENTITY % Japanese "INCLUDE" > <!-- change language only here --> ]> <book lang="&language;"> <bookinfo> <title >&kdesu; ハンドブック</title> <authorgroup> <author >&Geert.Jansen; &Geert.Jansen.mail;</author> <othercredit role="translator" ><firstname >Kimura</firstname ><surname >Youichi</surname ><affiliation ><address ><email >kimuyou2006@yahoo.co.jp</email ></address ></affiliation ><contrib >日本語訳</contrib ></othercredit > </authorgroup> <copyright> <year >2000</year> <holder >&Geert.Jansen;</holder> </copyright> <legalnotice >&FDLNotice;</legalnotice> <date >2005-06-07</date> <releaseinfo >1.00.00</releaseinfo> <abstract ><para >&kdesu; は &UNIX; <command >su</command > コマンドの GUI フロントエンドです。</para ></abstract> <keywordset> <keyword >KDE</keyword> <keyword >su</keyword> <keyword >パスワード</keyword> <keyword >root</keyword> </keywordset> </bookinfo> <chapter id="introduction"> <title >はじめに</title> <para >ようこそ &kdesu; へ! &kdesu; は &UNIX; <command >su</command > コマンドの KDE 用フロントエンドです。これを用いて異なるユーザの権限でコマンドを実行することができます。必要な場合はパスワードの入力が促されます。&kdesu; 自体に特権はありません。間接的に <command > su</command > を使用しています。</para> <para >&kdesu; は、パスワードを記憶させることができます。この機能を使うと、記憶させたときのコマンドを次に実行する際にパスワードを入力する必要がなくなります。セキュリティに関する情報については <link linkend="sec-password-keeping" >パスワードの保存</link > の節を参照してください。</para> <para >このプログラムはほとんどの場合、コマンドラインか <filename >.desktop</filename > ファイルから実行されます。&GUI; を用いて root のパスワードを求めますが、これは純粋な &GUI; というよりも、コマンドラインと &GUI; の接着剤のような役割です。</para> </chapter> <chapter id="using-kdesu"> <title >&kdesu; の使い方</title> <para >&kdesu; の使い方は簡単です。例えば、以下のような使い方をします。</para> <cmdsynopsis ><command >kdesu</command > <group choice="opt" ><option >-c</option ></group > <group choice="opt" ><option >-d</option ></group > <group choice="opt" ><option >-f</option > <replaceable > file</replaceable ></group > <group choice="opt" ><option >-i</option > <replaceable > icon name</replaceable ></group > <group choice="opt" ><option >-n</option ></group > <group choice="opt" ><option >-p</option > <replaceable > priority</replaceable ></group > <group choice="opt" ><option >-r</option ></group > <group choice="opt" ><option >-s</option ></group > <group choice="opt" ><option >-t</option ></group > <group choice="opt" ><option >-u</option > <replaceable > user</replaceable ></group > <group choice="opt" ><option >--nonewdcop</option ></group > <group ><arg choice="req" ><replaceable >command</replaceable > <arg ><replaceable >arg1</replaceable ></arg > <arg ><replaceable >arg2</replaceable ></arg > <arg rep="repeat" ><replaceable ></replaceable ></arg ></arg ></group > </cmdsynopsis> <cmdsynopsis ><command >kdesu</command > <arg choice="opt" >&kde; Generic Options</arg > <arg choice="opt" >Qt Generic Options</arg > </cmdsynopsis> <para >以下のコマンドラインオプションを受け付けます。</para> <variablelist> <varlistentry> <term ><option >-c <replaceable >program</replaceable ></option ></term> <listitem ><para >実行するコマンドを指定します。これは、一つの引数として指定する必要があります。例えば、ファイルマネージャを起動する場合、次のように指定します。<userinput ><command >kdesu <option >-c <replaceable >kfm -sw</replaceable ></option ></command ></userinput ></para ></listitem> </varlistentry> <varlistentry> <term ><option >-d</option ></term> <listitem ><para >ダイアログに、実行するコマンドを表示しません。</para ></listitem> </varlistentry> <varlistentry> <term ><option >-f <replaceable >file</replaceable ></option ></term> <listitem ><para >&kdesu; を <filename >.desktop</filename > で効率的に使うためのオプションです。<parameter >file</parameter > で指定されたファイルが現在のユーザによって書き換え可能かをテストします。もし書き換え可能であれば、現在のユーザのままでコマンドを実行します。そうでなければ、<parameter >user</parameter > で指定されたユーザ (デフォルトでは root) で実行します。</para> <para ><parameter >file</parameter > が書き換え可能かどうかは次のようにテストします。もし、<parameter >file</parameter > が <literal >/</literal > から始まっていれば、絶対パスとして認識します。それ以外なら、グローバル &kde; コンフィグレーションファイルとして認識します。例えば、<application >kdm</application > を設定する場合、次のような指定をすることができます。<command >kdesu <option >-c kdmconfig -f kdmrc</option ></command ></para ></listitem> </varlistentry> <varlistentry> <term ><option >-i</option > <replaceable >icon name</replaceable ></term> <listitem ><para >ダイアログで使用するアイコンを指定します。アイコン名 (ディレクトリや拡張子は不要) のみを指定することもできます。</para> <para >例えば、<command >kfmclient</command > を実行する際に、ダイアログに &konqueror; のアイコンを表示させたいのであれば次のようにします。</para> <screen ><userinput ><command >kdesu</command > <option >-i konqueror</option > <command >kfmclient</command ></userinput ></screen> </listitem> </varlistentry> <varlistentry> <term ><option >-n</option ></term> <listitem ><para >パスワードを記憶してほしくないのであれば、<guilabel >パスワードを記憶させる</guilabel > にチェックを入れないでください。</para ></listitem> </varlistentry> <varlistentry> <term ><option >-p</option > <replaceable >priority</replaceable ></term> <listitem> <para >優先度を指定します。優先度は 0 から 100 までで指定し、0 が最も低い優先度で 100 が最も高い優先度になります。デフォルトは 50 です。</para> </listitem> </varlistentry> <varlistentry> <term ><option >-r</option ></term> <listitem ><para >リアルタイムスケジューリングを使用します。</para> </listitem> </varlistentry> <varlistentry> <term ><option >-s</option ></term> <listitem ><para >kdesu デーモンを停止させます。<link linkend="sec-password-keeping" >パスワードの保存</link > の節を参照。</para ></listitem> </varlistentry> <varlistentry> <term ><option >-t</option ></term> <listitem ><para >ターミナル出力を有効にします。このオプションを有効にするとパスワードの保存はされません。このオプションは主にデバッグ用なので、コンソールアプリを実行する場合は代わりに <command >su</command > を使用してください。</para > </listitem> </varlistentry> <varlistentry> <term ><option >-u</option > <replaceable > user</replaceable ></term> <listitem ><para >&kdesu; は一般的に、スーパーユーザとしてコマンドを実行する場合に使用しますが、このオプションで別のユーザとして実行させることができます。</para> </listitem> </varlistentry> </variablelist> </chapter> <chapter id="Internals"> <title >&kdesu; の内部</title> <sect1 id="x-authentication"> <title >X 認証</title> <para >あなたが実行するプログラムは root 権限の下で動作し、通常は X にアクセスする権限はありません。&kdesu; は、テンポラリファイル <filename >.Xauthority</filename > に認証クッキーを書き込むことによって、X へアクセス可能にしています。コマンド終了後、このファイルは削除されます。 </para> <para >もしクッキーを使わないのであれば、そのための処理は自分で行ってください。&kdesu; は自動で検出してクッキーを加えませんが、root がディスプレイにアクセスできるようにする必要があります。</para> </sect1> <sect1 id="interface-to-su"> <title ><command >su</command > へのインターフェース</title> <para >&kdesu; は、特権を得るために <command >su</command > を使用します。この節では、その方法を説明します。 </para> <para ><command >su</command > の実装によっては、標準入力からパスワードを読み込まないものがあるので (&RedHat; など)、&kdesu; は pty/tty 一式を用意して、その tty のファイルディスクリプタで <command >su</command > を実行します。</para> <para >ユーザが選んだコマンドを実行するために、&kdesu; は、対話的なシェルではなく <command >su</command > の <option >-c</option > を使用します。この引数は、私が知る限りではすべてのシェルで使うことができるはずです。<command >su</command > は <option >-c</option > で指定されたコマンドを対象となるユーザのシェルに渡して実行します。コマンド例: <command >su <option >root -c <replaceable >the_program</replaceable ></option ></command ></para> <para >&kdesu; は、直接 <command >su</command > を使う代わりに <application >kdesu_stub</application > という小さいスタブプログラムを実行します。このスタブ (対象ユーザの権限で実行される) は、pty/tty チャンネル (スタブの標準入出力) を通していくつかの情報を &kdesu; に要求し、ユーザのプログラムを実行します。スタブへ渡される情報は、X ディスプレイ、(利用可能なら) X の認証クッキー、<envar >PATH</envar > 、実行するコマンドです。スタブプログラムを使う理由は、X クッキーはプライベートな情報なのでコマンドラインに渡すべきではないからです。</para> </sect1> <sect1 id="password-checking"> <title >パスワードの確認</title> <para >&kdesu; は、入力されたパスワードが間違っていればエラーメッセージを返します。チェックの方法は、<filename >/bin/true</filename > を実行して行います。もし成功すればパスワードは正しいと仮定します。</para> </sect1> <sect1 id="sec-password-keeping"> <title >パスワードの保存</title> <para >&kdesu; は、パスワード入力の手間を省くためにパスワードを保存させることができます。セキュリティ面が気になるのであれば、この節を読んでください。</para> <para >&kdesu; にパスワードを覚えさせることは、システムに小さなセキュリティホールをつくることにもなります。もちろん、あなたのユーザ ID 以外にはパスワードを使わせません。しかし、注意して使わなければ <systemitem class="username" >root</systemitem > のセキュリティレベルは一般ユーザ並になってしまいます。悪徳クラッカーがあなたのアカウントに侵入すれば、<systemitem class="username" >root</systemitem > 権限は奪われてしまうでしょう。&kdesu; は、これを防ぐために努力します。これから説明するその方法は、少なくとも私の考えではかなり安全です。</para> <para >&kdesu; は、<application >kdesud</application > というデーモンを使用します。このデーモンは <filename >/tmp</filename > 内の &UNIX; ソケットからコマンドを読み込みます。ソケットのモードは 0600 なので、あなたのユーザだけが接続できます。パスワードの保存が有効になっているのなら、&kdesu; はこのデーモンを使ってコマンドを実行します。上記のとおりに、コマンドと <systemitem class="username" >root</systemitem > のパスワードをソケットに書き込み、デーモンは <command >su</command > を使ってそれを実行します。その際に使ったコマンドとパスワードは破棄せずに、指定された期間だけ保存されます。この期間はコントロールモジュール内のタイムアウト値です。次回同じコマンドを実行したときにパスワードが保存されていれば、パスワードは必要ありません。あなたのアカウントに侵入したクラッカーが、デバッカなどを用いてデーモンからパスワードを盗聴するのを防ぐために、デーモンは set-group-id で nogroup に設定した状態でインストールされています。これで、あなたを含む一般ユーザが <application >kdesud</application > からパスワードを得ることを防げるはずです。また、デーモンは環境変数 <envar >DISPLAY</envar > に起動時の値をセットします。唯一クラッカーができることは、あなたのディスプレイ上でアプリケーションを実行することだけです。</para> <para >この方法の欠点は、あなたが実行するプログラムはおそらくセキュリティを考慮して書かれていないだろうということです (例えば、setuid が設定されたプログラムなど)。このようなプログラムには、バッファオーバーランなどの脆弱性がある恐れがあり、それをクラッカーに利用される可能性もあります。</para> <para >パスワードを保存するかどうかは、セキュリティと便利さのどちらをとるかによります。その機能を使うかどうかを自分自身でよく考えることを勧めます。</para> </sect1> </chapter> <chapter id="Author"> <title >作者</title> <para >&kdesu;</para> <para >Copyright 2000 &Geert.Jansen;</para> <para >&kdesu; は &Geert.Jansen; によって書かれています。この文章は、Pietro Iglio の &kdesu; バージョン 0.3 に基づいています。Pietro と私は、将来私がこのプログラムを保守することに合意しました。</para> <para >この文章の著者に &Geert.Jansen.mail; でメールを送ることができます。バグを発見したら、修復できるように私に報告してください。もし提案があれば、遠慮せずに連絡してください。</para> &underFDL; &underArtisticLicense; </chapter> </book> <!-- Local Variables: mode: sgml sgml-omittag: nil sgml-shorttag: t End: -->