Akihiro MOTOKI
amoto****@gmail*****
2012年 4月 17日 (火) 02:26:38 JST
元木です。 気にされているところを中心に読んでみました。 ご参考になれば。 2012/4/14 長南洋一 <cyoic****@maple*****>: > 長南です。 > > ざっとですが、見直しが済んだので、例によって、よくわからないところ、 > 迷っているところ、訳を変えたところなどについて書いておきます。 > チェックするときの目安、というか目当てにしてください。 > > DESCRIPTION > 1) 最初の二つの文の順番を逆にしてあります。 > > The sudoers policy module determines a user's sudo privileges. > It is the default sudo policy plugin. > > sudoers ポリシー・モジュールは、デフォルトの sudo 用ポリシー・ > プラグインであり、このモジュールによってユーザがどんな sudo > 権限を持っているかの判定が行われる。 > > まず、それが何であるかを言い、それから、その働きを述べた方が > 自然だと思ったのですが、どうだったか。原文どおりの順番なら、 > > sudoers ポリシー・モジュールは、ユーザがどんな sudo 権限を > 持っているかを決定する。このモジュールが sudo のデフォルトの > ポリシー・プラグインである。 ポリシーモジュールは sudoers ファイルと LDAP があるのですね。 現状では sudoers ファイルが圧倒的に主流のポリシープラグインと思われるので、 文章としてはどちらも素直に読めました。もう少し選択肢が増えてきて、 認知度が上がってくると、これがデフォルトの・・・が先の方がよさそうですが、 現状ではどちらでもいいかなと思いました。 > それから、determine の訳では、「判断、判定、決定 ...」、どれに > しようか迷っています。 明確に理由が言えるわけではありませんが、判定か決定のように思います。 判定というと、成否判定とか合否判定のように、選択肢が複数あってどれを選ぶかを決める印象があります。 sudo の場合は、指定されたコマンドを実行する権限があるかどうかを決めるので、 どちらかという判定かな、と、今この瞬間は思いました。 > 2) Unlike su(1), when sudoers requires authentication, it > validates the invoking user's credentials, > > su(1) とは違って、sudoers ポリシーによる認証でチェックされるのは、 > sudo を実行するユーザの認証情報 (訳注: すなわちパスワード) であって、 > > credentialas はほとんどのところで、「認証情報」と訳しました。 > よいでしょうか。 credentials は、自分が自分であることを証明するためのものですが、 ここで「信任状」とか「証明書」とか書いても仕方ないですし、認証のための情報でもあるので、 よいと思います。あまり他に適切な用語も思い付きませんでした。 > 「(訳注: すなわちパスワード)」は、「普通はパスワード」の方がよいかも > しれません。パスワード以外が要求される場合は、知りませんけれど。 パスワード以外のケースを私も知らないのですが、ほかにもあるかもしれませんので、 「普通は」とか「通常は」の方がいいかなと感じました。 > 3) As a special case, if sudo's -i option (initial login) is specified, > > 例外として、sudo に -i オプション (initial login) が 指定されている > 場合は、 > > As a special case を「例外として」と訳すのは、ちょっとボケているかも > しれません。 -i オプション自体がスイッチ先のユーザ権限のログインシェルを実行すると意味なので、 「特例として」といった感じでしょうか。 > > SUDOERS FILE FORMAT > 4) Quick guide to EBNF > > EBNF の基礎の基礎 > > 前の訳では「EBNF 早わかり」でしたが、「基礎の基礎」にしました。 > あんまり「早わかり」ではないので。 > > 5) (prefixed with '#') > > (接頭辞 '#' が付く) > > 前の訳では、「(頭に '+' が付く)」などと訳しましたが、今度は > 「接頭辞が付く」で通すことにしました。。#, +, % などは接頭辞と言って > よいでしょうね。 全然問題ないと思います。 接頭辞って何だろうと思った人でも、すぐ上にフォーマットも書いてあり、 混乱することもないと思いました。 > > 6) Host_List の説明の最後の数行は、今回の増補部分。 > > Note sudo only inspects actual network interfaces; this means that IP > address 127.0.0.1 (localhost) will never match. Also, the host name > "localhost" will only match if that is the actual host name, which is > usually only the case for non-networked systems. > > なお、sudo がチェックするのは、実在のネットワークインターフェース > だけだということに留意してほしい。すなわち、IP アドレス 127.0.0.1 > (localhost) がマッチすることは、絶対にないのである。また、"localhost" > というホスト名がマッチするのは、 それが実際のホスト名であるときだけ > であり、それは通常、ネットワークにつながっていないシステムの場合に > しか当てはまらない。 これは正しいと思います。 そのすぐ上にある、「完全修飾ドメイン名」ですが、個人的には 英語表記か FQDN の言葉が 1回でよいので、どこかにあるとうれしいと思いました。私はもともとネットワーク屋ですが、 FQDN とのかの方がピンと来て、完全修飾ドメインは英語に頭の中で変換して理解できました。 個人的な話かもしれませんが。 > 7) サブセクション名の「Defaults」を前のマニュアルでは「デフォルトの > 指定」と訳していましたが、今回は「デフォルト設定」に変更しました。 > 地の文と合わせるためです。サブセクション「ユーザの設定」も「ユーザ > 設定」と「の」を取りました。 > > 8) サブセクション「Tag_Spec」中の「NOPASSWD and PASSWD」の > 「PASSWD の働きは反対であり ...」の PASSWD のフォント指定が、提出した > 翻訳ではおかしかったので、直しておきました。 > > 9) Tag の LOG_INPUT と NOLOG_INPUT 及び LOG_OUTPUT と NOLOG_OUTPUT は > 今回の増加分です。 > > SUDOERS OPTIONS > 10) env_reset は、原文がかなり変更されています。 > > 11) fast_glob も記述が増えています。 > > 12) log_input と log_output は新規項目です。見直しでは訳文をすこし > いじりましたが、意味的な変更はしていません。 16 .IX Item "log_input" .\"O If set, \fBsudo\fR will run the command in a \fIpseudo tty\fR and log all .\"O user input. .\"O If the standard input is not connected to the user's tty, due to .\"O I/O redirection or because the command is part of a pipeline, that .\"O input is also captured and stored in a separate log file. .\"O .Sp これをセットすると、\fBsudo\fR はコマンドを \fI擬似 tty\fR で実行し、 ユーザの入力をすべてログに記録する。入出力がリダイレクトされているとか、 コマンドがパイプラインの一部だとかいう理由で、標準入力がユーザの tty に結びつけられていない場合でも、その入力はやはりキャプチャーされるが、 ログは独立した別のファイルに書き込まれる。 の最後の文ですが、「入力がキャプチャされて、ログに書き込まれる」のように、 順接でつながっていると思いますが、そこで「されるが」というのは少し違和感がありました。 「・・・な場合でも、その入力はキャプチャされ、別のログファイルに書き込まれる」 のような感じはいかがでしょうか。 log_output の方も同様です。 > > 13) set_utmp は新規項目です。 > > 14) tty_tichets は、見直しで、訳にすこし手を入れました。 > > If disabled, the time stamp of the directory is used instead. > > それに対して、このフラグが無効な場合は、ユーザのディレクトリ > そのもののタイムスタンプが使用されるのである。(旧) > > それに対して、このフラグが無効な場合は、 ユーザのタイムスタンプ・ > ディレクトリのタイムスタンプが使用されるのである。(新) > > やっぱり、「そのもの」を残した方がよいかもしれません。 「そのもの」とか「自体」とかがあった方が、対比がわかりやすいと思いました。 > > 15) use_pty は新規項目です。この pseudo-pty は pseudo-tty の > タイポではないか、と思うのですが、どうでしょう。 おそらくタイポだと思います。 pseudo-tty = pty だと思っているのですが、私の理解は合っていますか? > > If set, sudo will run the command in a pseudo-pty even > if no I/O logging is being gone. A malicious program > run under sudo could conceivably fork a background > process that retains to the user's terminal device > after the main program has finished executing. Use of > this option will make that impossible. This flag is > off by default. > > これをセットすると、sudo は入出力のロギングが行われてい > ないときでも、 擬似 tty でコマンドを実行することにな > る。 sudo によって実行された悪意のあるプログラムが、 > バックグラウンド・プロセスをフォークし、 そのプロセス > が、メインプログラムの実行が終了した後でも、 ユーザの > ターミナルデバイスを握って離さないといったことが考えら > れる。 このオプションを使えば、そういったことが不可能に > なる。 このフラグはデフォルトでは off である。 > > 16) utmp_runas も新規項目です。 > > 17) iolog_dir も新規項目ですが、The session sequence number, if any, > の if any がよくわかりません。 私も完全に理解した分けではないのですが、 iolog_file のデフォルト値が %{seq} で、その場合にはセッション番号のファイルが このディレクトリ以下に作成されていくことを意味しているのかな、と思いました。 iolog_file が変更されていれば、状況は変わるのでそうかなと思ったのですが、 説明として、あまりしっくり来ていません。 他のみなさんはどうでしょうか。 > The top-level directory to use when constructing the > path name for the input/output log directory. Only > used if the log_input or log_output options are enabled > or when the LOG_INPUT or LOG_OUTPUT tags are present > for a command. The session sequence number, if any, is > stored in the directory. The default is > "/var/log/sudo-io". > > このオプションの値をトップレベル・ディレクトリにして、 > 入出力ログを格納するディレクトリのパス名を構成する。 こ > の値が使用されるのは、log_input や log_output オプショ > ンが有効になっているときや、 LOG_INPUT や LOG_OUTPUT タ > グがコマンドに付いているときだけである。このディレクト > リ以下に、 (セッション ID が連番ならば) セッションの連 > 番が格納されることになるわけだ。 デフォルトは > "/var/log/sudo-io" である。 > > 18) iolog_file も新規項目です。 > > 19) group_plugin も新規項目です。 > > 「FILES」以下は、別のメールにします。 > > -- > 長南洋一 > > _______________________________________________ > linuxjm-discuss mailing list > linux****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/linuxjm-discuss -- Akihiro MOTOKI <amoto****@gmail*****>
Fork