xhost - Xサーバーへのアクセス制御プログラム
概要
xhost [[+-]名前 ...]
説明
xhostプログラムは、Xサーバーへの接続を許可するホスト名またはユーザー名のリストに追加および削除するために使用されます。ホストの場合、これは基本的なプライバシー制御とセキュリティを提供します。これは、単一ユーザー環境では十分ですが、より高度な対策が必要な環境では、ユーザーベースのメカニズムを実装するか、サーバーに他の認証データを渡すためのプロトコル内のフックを使用する必要があります。
オプション
xhostは、以下に示すコマンドラインオプションを受け入れます。セキュリティのため、アクセス制御に影響を与えるオプションは、「制御ホスト」からのみ実行できます。ワークステーションの場合、これはサーバーと同じマシンです。Xターミナルの場合、これはログインホストです。
-help 使用法メッセージを表示します。
[+]名前 指定された名前(プラス記号はオプション)が、Xサーバーへの接続を許可されるリストに追加されます。名前はホスト名または完全な名前にすることができます(「名前」を参照)。
-名前 指定された名前が、サーバーへの接続を許可されるリストから削除されます。名前はホスト名または完全な名前にすることができます(「名前」を参照)。既存の接続は中断されませんが、新しい接続の試みは拒否されます。現在のマシンを削除できますが、それ以降の接続(再度追加しようとする試みを含む)は許可されません。サーバーをリセットすることで(すべての接続を中断することで)、ローカル接続を再度許可できるようになります。
+ リストにない場合でも、すべての人にアクセスを許可します(つまり、アクセス制御が無効になります)。
- リストにいる人のみにアクセスを制限します(つまり、アクセス制御が有効になります)。
なし コマンドライン引数が指定されていない場合、アクセス制御が現在有効になっているかどうかを示すメッセージと、接続を許可されているリストが表示されます。これは、制御ホスト以外のマシンから使用できる唯一のオプションです。
名前
完全な名前の構文は「family:name」であり、familyは次のとおりです。
inet インターネットホスト(IPv4)
inet6 インターネットホスト(IPv6)
dnet DECnetホスト
nis セキュアRPCネットワーク名
krb Kerberos V5プリンシパル
local 1つの名前(空の文字列)のみを含む
si サーバーによって解釈される
familyは大文字と小文字を区別しません。名前の形式はfamilyによって異なります。
Secure RPCが使用されている場合、ネットワークに依存しないネット名(例:「nis:unix.uid@domainname」)を指定するか、アットマークを末尾に付けたユーザー名のみを指定して、ローカルユーザーを指定できます(例:「nis:pat@」)。
古いバージョンの xhost との互換性のために、@ 記号を含む名前は、NIS ファミリーに属するものとみなされます。それ以外の場合は、インターネットアドレスとみなされます。IPv6 をサポートするようにコンパイルされている場合、getaddrinfo(3) によって返されるすべての IPv4 および IPv6 アドレスが、適切な inet または inet6 ファミリーにアクセスリストとして追加されます。
ローカルファミリーは、ローカル接続をすべて一度に指定します。ただし、サーバーが解釈するアドレス "si:localuser:username" を使用して、特定のローカルユーザーを指定できます。(詳細については、Xsecurity(7) のマニュアルページを参照してください。)
サーバーが解釈するアドレスは、大文字と小文字を区別するタイプタグと、コロンで区切られた文字列で、指定された値を表します。たとえば、"si:hostname:almas" は、タイプがホスト名で、値が almas であるサーバーが解釈するアドレスです。サーバーが解釈するアドレスの利用可能な形式の詳細については、Xsecurity(7) のマニュアルページを参照してください。
ディスプレイ番号 n の初期アクセス制御リストは、/etc/Xn.hosts ファイルで設定できます。ここで、n はサーバーのディスプレイ番号です。詳細については、Xserver(1) を参照してください。
診断
アクセス制御リストに追加された各名前について、「name being added to access control list」という形式の行が出力されます。アクセス制御リストから削除された各名前について、「name being removed from access control list」という形式の行が出力されます。
関連項目
X(7), Xsecurity(7), Xserver(1), xdm(1), xauth(1), getaddrinfo(3)
環境
DISPLAY を使用して、デフォルトのホストとディスプレイを取得します。
バグ
-display は有効なコマンドライン引数であるため (「display」という名前のマシンをアクセスリストから削除したいことを示します)、コマンドラインでディスプレイを指定することはできません。
X サーバーは、サーバーが解釈するホスト名タイプの住所を使用しない限り、ホスト名ではなくネットワークアドレスを保存します。何らかの理由で、サーバーがまだ実行されている間にホストのネットワークアドレスが変更された場合、ネットワークアドレスベースの認証を使用している場合、xhost を使用して新しいアドレスを追加したり、古いアドレスを削除したりする必要があります。
著者
Bob Scheifler、MIT Laboratory for Computer Science、 Jim Gettys、MIT Project Athena (DEC)。