sudo: Drafts posted in [JM:00631] to [JM:00635].

[linuxjm/jm.git] / manual / sudo / draft / man8 / sudo.8

.\" Copyright (c) 1994-1996, 1998-2005, 2007-2012
.\"     Todd C. Miller <Todd.Miller@courtesan.com>
.\" 
.\" Permission to use, copy, modify, and distribute this software for any
.\" purpose with or without fee is hereby granted, provided that the above
.\" copyright notice and this permission notice appear in all copies.
.\" 
.\" THE SOFTWARE IS PROVIDED "AS IS" AND THE AUTHOR DISCLAIMS ALL WARRANTIES
.\" WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF
.\" MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR
.\" ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES
.\" WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN
.\" ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF
.\" OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
.\" ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\" 
.\" Sponsored in part by the Defense Advanced Research Projects
.\" Agency (DARPA) and Air Force Research Laboratory, Air Force
.\" Materiel Command, USAF, under agreement number F39502-99-1-0512.
.\" 
.\" Japanese Version Copyright (c) 2000-2002 Yuichi SATO
.\"   and 2009 Yoichi Chonan
.\"         all rights reserved.
.\" Translated Sat Oct  7 14:39:18 JST 2000
.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
.\" Updated & Modified Fri Dec  6 04:40:44 JST 2002 by Yuichi SATO
.\" New Translation (sudo-1.6.9p17) Fri Jan 23 10:31:17 JST 2009
.\"         by Yoichi Chonan <cyoichi@maple.ocn.ne.jp>
.\" Updated & Modified (sudo-1.7.2p1) Sat Nov 14 21:15:16 JST 2009
.\"         by Yoichi Chonan
.\" Updated & Modified (sudo-1.8.4p4) Sun Apr  1 15:31:07 JST 2012
.\"         by Yoichi Chonan
.\"
.nr SL 0
.nr BA 0
.nr LC 0
.nr PT 5
.\"
.\" Automatically generated by Pod::Man 2.23 (Pod::Simple 3.14)
.\"
.\" Standard preamble:
.\" ========================================================================
.de Sp \" Vertical space (when we can't use .PP)
.if t .sp .5v
.if n .sp
..
.de Vb \" Begin verbatim text
.ft CW
.nf
.ne \\$1
..
.de Ve \" End verbatim text
.ft R
.fi
..
.\" Set up some character translations and predefined strings.  \*(-- will
.\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
.\" double quote, and \*(R" will give a right double quote.  \*(C+ will
.\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
.\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
.\" nothing in troff, for use with C<>.
.tr \(*W-
.ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
.ie n \{\
.    ds -- \(*W-
.    ds PI pi
.    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
.    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
.    ds L" ""
.    ds R" ""
.    ds C` 
.    ds C' 
'br\}
.el\{\
.    ds -- \|\(em\|
.    ds PI \(*p
.    ds L" ``
.    ds R" ''
'br\}
.\"
.\" Escape single quotes in literal strings from groff's Unicode transform.
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\"
.\" If the F register is turned on, we'll generate index entries on stderr for
.\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
.\" entries marked with X<> in POD.  Of course, you'll have to process the
.\" output yourself in some meaningful fashion.
.ie \nF \{\
.    de IX
.    tm Index:\\$1\t\\n%\t"\\$2"
..
.    nr % 0
.    rr F
.\}
.el \{\
.    de IX
..
.\}
.\"
.\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
.\" Fear.  Run.  Save yourself.  No user-serviceable parts.
.    \" fudge factors for nroff and troff
.if n \{\
.    ds #H 0
.    ds #V .8m
.    ds #F .3m
.    ds #[ \f1
.    ds #] \fP
.\}
.if t \{\
.    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
.    ds #V .6m
.    ds #F 0
.    ds #[ \&
.    ds #] \&
.\}
.    \" simple accents for nroff and troff
.if n \{\
.    ds ' \&
.    ds ` \&
.    ds ^ \&
.    ds , \&
.    ds ~ ~
.    ds /
.\}
.if t \{\
.    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
.    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
.    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
.    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
.    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
.    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
.\}
.    \" troff and (daisy-wheel) nroff accents
.ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
.ds 8 \h'\*(#H'\(*b\h'-\*(#H'
.ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
.ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
.ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
.ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
.ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
.ds ae a\h'-(\w'a'u*4/10)'e
.ds Ae A\h'-(\w'A'u*4/10)'E
.    \" corrections for vroff
.if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
.if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
.    \" for low resolution devices (crt and lpr)
.if \n(.H>23 .if \n(.V>19 \
\{\
.    ds : e
.    ds 8 ss
.    ds o a
.    ds d- d\h'-1'\(ga
.    ds D- D\h'-1'\(hy
.    ds th \o'bp'
.    ds Th \o'LP'
.    ds ae ae
.    ds Ae AE
.\}
.rm #[ #] #H #V #F C
.\" ========================================================================
.\"
.IX Title "SUDO 8"
.TH SUDO 8 "February  5, 2012" "1.8.4" "MAINTENANCE COMMANDS"
.\" For nroff, turn off justification.  Always turn off hyphenation; it makes
.\" way too many mistakes in technical documents.
.if n .ad l
.nh
.\"O .SH "NAME"
.SH "名前"
.\"O sudo, sudoedit \- execute a command as another user
sudo, sudoedit \- コマンドを他のユーザとして実行する
.\"O .SH "SYNOPSIS"
.SH "書式"
.IX Header "SYNOPSIS"
\&\fBsudo\fR \fB\-h\fR | \fB\-K\fR | \fB\-k\fR | \fB\-V\fR
.PP
\&\fBsudo\fR \fB\-v\fR [\fB\-AknS\fR]
.if \n(BA [\fB\-a\fR\ \fIauth_type\fR]
[\fB\-g\fR\ \fIgroup\ name\fR|\fI#gid\fR] [\fB\-p\fR\ \fIprompt\fR]
[\fB\-u\fR\ \fIuser\ name\fR|\fI#uid\fR]
.PP
\&\fBsudo\fR \fB\-l[l]\fR [\fB\-AknS\fR]
.if \n(BA [\fB\-a\fR\ \fIauth_type\fR]
[\fB\-g\fR\ \fIgroup\ name\fR|\fI#gid\fR] [\fB\-p\fR\ \fIprompt\fR]
[\fB\-U\fR\ \fIuser\ name\fR] [\fB\-u\fR\ \fIuser\ name\fR|\fI#uid\fR] [\fIcommand\fR]
.PP
\&\fBsudo\fR [\fB\-AbEHnPS\fR]
.if \n(BA [\fB\-a\fR\ \fIauth_type\fR]
[\fB\-C\fR\ \fIfd\fR]
.if \n(LC [\fB\-c\fR\ \fIclass\fR|\fI\-\fR]
[\fB\-g\fR\ \fIgroup\ name\fR|\fI#gid\fR] [\fB\-p\fR\ \fIprompt\fR]
.if \n(SL [\fB\-r\fR\ \fIrole\fR] [\fB\-t\fR\ \fItype\fR]
[\fB\-u\fR\ \fIuser\ name\fR|\fI#uid\fR]
[\fB\s-1VAR\s0\fR=\fIvalue\fR] [\fB\-i\fR\ |\ \fB\-s\fR] [\fIcommand\fR]
.PP
\&\fBsudoedit\fR [\fB\-AnS\fR]
.if \n(BA [\fB\-a\fR\ \fIauth_type\fR]
[\fB\-C\fR\ \fIfd\fR]
.if \n(LC [\fB\-c\fR\ \fIclass\fR|\fI\-\fR]
[\fB\-g\fR\ \fIgroup\ name\fR|\fI#gid\fR] [\fB\-p\fR\ \fIprompt\fR]
[\fB\-u\fR\ \fIuser\ name\fR|\fI#uid\fR] file ...
.\"O .SH "DESCRIPTION"
.SH "説明"
.IX Header "DESCRIPTION"
.\"O \&\fBsudo\fR allows a permitted user to execute a \fIcommand\fR as the
.\"O superuser or another user, as specified by the security policy.
.\"O The real and effective uid and gid are set to match those of the
.\"O target user, as specified in the password database, and the group
.\"O vector is initialized based on the group database (unless the \fB\-P\fR
.\"O option was specified).
.\"O .PP
\&\fBsudo\fR を使用すると、許可されたユーザーが、
スーパーユーザや他のユーザに変身して、コマンドを実行することが可能になる。
許可の範囲については、セキュリティ・ポリシーの指定するところに従う。
実 uid と gid、実効 uid と gid は、変身の対象になるユーザの、
パスワード・データベースに記載されているものと同一になるようにセットされる。
所属するグループについても (\fB\-P\fR オプションが指定されていないかぎり)、
グループ・データベースに基づいて初期化される。
.PP
.\"O \&\fBsudo\fR supports a plugin architecture for security policies and
.\"O input/output logging.  Third parties can develop and distribute
.\"O their own policy and I/O logging modules to work seamlessly with
.\"O the \fBsudo\fR front end.  The default security policy is \fIsudoers\fR,
.\"O which is configured via the file \fI/etc/sudoers\fR, or via
.\"O \&\s-1LDAP\s0.  See the \s-1PLUGINS\s0 section for more information.
.\"O .PP
\&\fBsudo\fR はセキュリティ・ポリシーと入出力のロギングについて、
プラグイン方式をサポートしている。このため、\fBsudo\fR
フロントエンドとシームレスに共動するポリシー・モジュールや
I/O ロギング・モジュールを、サードパーティが独自に開発して配布することが可能である。
デフォルトのセキュリティ・ポリシーは \fIsudoers\fR であり、その設定は、
\&\fI/etc/sudoers\fR ファイル、もしくは \s-1LDAP\s0 を通して行われる。
詳細については、「プラグイン」セクションを参照してほしい。
.PP
.\"O The security policy determines what privileges, if any, a user has
.\"O to run \fBsudo\fR.  The policy may require that users authenticate
.\"O themselves with a password or another authentication mechanism.  If
.\"O authentication is required, \fBsudo\fR will exit if the user's password
.\"O is not entered within a configurable time limit.  This limit is
.\"O policy-specific; the default password prompt timeout for the
.\"O \&\fIsudoers\fR security policy is 
.\"O .ie \n(PT \f(CW\*(C`5\*(C'\fR minutes.
.\"O .el unlimited.
.\"O .PP
セキュリティ・ポリシーによって、あるユーザに \fBsudo\fR
を使用する権限があるかどうか、
あるとすれば、どんな権限を持っているかが決定される。
このポリシーは、ユーザにパスワードや他の認証方法を使って、
本人であることを証明するように要求してもよい。認証が必要な場合、
ユーザがパスワードを (設定によって変更可能な) 制限時間内に入力しないと、
\&\fBsudo\fR は時間切れで終了する。この制限時間はポリシー次第であり、
\&\fIsudoers\fR セキュリティ・ポリシーの場合、
パスワード・プロンプトがタイムアウトするまでのデフォルトの時間は、
.ie \n(PT \f(CW\*(C`5\*(C'\fR 分間である.
.el 無制限である.
.PP
.\"O Security policies may support credential caching to allow the user
.\"O to run \fBsudo\fR again for a period of time without requiring
.\"O authentication.  The \fIsudoers\fR policy caches credentials for
.\"O \&\f(CW\*(C`5\*(C'\fR minutes, unless overridden in \fIsudoers\fR\|(5).  By
.\"O running \fBsudo\fR with the \fB\-v\fR option, a user can update the cached
.\"O credentials without running a \fIcommand\fR.
.\"O .PP
セキュリティ・ポリシーは、一定時間内ならユーザが認証なしで \fBsudo\fR
を何度も実行できるように、認証情報の一時保存 (credential caching)
をサポートしてもよい。\fIsudoers\fR ポリシーでは、\fIsudoers\fR\|(5)
で変更されないかぎり、認証情報を \f(CW\*(C`5\*(C'\fR 分間保持する。
ユーザは \fBsudo\fR に \fB\-v\fR を付けて実行することで、
\&\fIcommand\fR を実行しないでも、保存された認証情報を更新することができる。
.PP
.\"O When invoked as \fBsudoedit\fR, the \fB\-e\fR option (described below),
.\"O is implied.
.\"O .PP
\&\fBsudoedit\fR というコマンド名で起動するのは、\fBsudo\fR に \fB-e\fR 
オプション (下記参照) を付けて実行するのと同じである。
.PP
.\"O Security policies may log successful and failed attempts to use
.\"O \&\fBsudo\fR.  If an I/O plugin is configured, the running command's
.\"O input and output may be logged as well.
セキュリティ・ポリシーは、ユーザが \fBsudo\fR を使おうとして
成功した場合も失敗した場合も、それをログに記録することができる。
I/O プラグインが設定によって組み込まれている場合は、
実行しているコマンドの入出力もログに残すことができる。
.\"O .SH "OPTIONS"
.SH "オプション"
.IX Header "OPTIONS"
.\"O \&\fBsudo\fR accepts the following command line options:
\&\fBsudo\fR では以下のコマンドライン・オプションが使用できる。
.IP "\-A" 12
.IX Item "-A"
.\"O Normally, if \fBsudo\fR requires a password, it will read it from the
.\"O user's terminal.  If the \fB\-A\fR (\fIaskpass\fR) option is specified,
.\"O a (possibly graphical) helper program is executed to read the user's
.\"O password and output the password to the standard output.  If the
.\"O \&\f(CW\*(C`SUDO_ASKPASS\*(C'\fR environment variable is set, it specifies the path
.\"O to the helper program.  Otherwise, if \fI/etc/sudo.conf\fR
.\"O contains a line specifying the askpass program, that value will be
.\"O used.  For example:
通常 \fBsudo\fR がパスワードを要求するとき、
パスワードはユーザが使用している端末から読み込まれる。
\&\fB\-A\fR (\fIaskpass\fR) オプションを指定した場合は、
ヘルパー・プログラム (グラフィカルなものでもよい)
が実行されて、ユーザのパスワードを読み込み、それを標準出力に書き出す。
環境変数 \f(CW\*(C`SUDO_ASKPASS\*(C'\fR が設定されているときは、
それがヘルパー・プログラムのパスになる。それ以外の場合、
\fI/etc/sudo.conf\fR に askpass プログラムを指定している行が存在すれば、
その値が使用される。一例を挙げる。
.Sp
.Vb 2
.\"O \&    # Path to askpass helper program
\&    # askpass ヘルパー・プログラムのパス
\&    Path askpass /usr/X11R6/bin/ssh\-askpass
.Ve
.Sp
.\"O If no askpass program is available, sudo will exit with an error.
利用できる askpass プログラムがないと、\fBsudo\fR
はエラーメッセージを出して、終了する。
.if \n(BA \{\
.IP "\-a \fItype\fR" 12
.IX Item "-a type"
.\"O The \fB\-a\fR (\fIauthentication type\fR) option causes \fBsudo\fR to use the
.\"O specified authentication type when validating the user, as allowed
.\"O by \fI/etc/login.conf\fR.  The system administrator may specify a list
.\"O of sudo-specific authentication methods by adding an \*(L"auth-sudo\*(R"
.\"O entry in \fI/etc/login.conf\fR.  This option is only available on systems
.\"O that support \s-1BSD\s0 authentication.
\&\fB\-a\fR (\fIauthentication type\fR) オプションを使うと、
\&\fBsudo\fR はユーザの認証に、指定したタイプの認証方法を使用するようになる。
ただし、その認証のタイプは \fI/etc/login.conf\fR
で有効になっていなければならない。システム管理者は \fI/etc/login.conf\fR に
\&\*(L"auth-sudo\*(R" 項目を追加することによって、
\&\fBsudo\fR 専用の認証方法のリストを指定することができる。
このオプションは \s-1BSD\s0 認証に対応したシステムでのみ有効である。
\}
.IP "\-b" 12
.IX Item "-b"
.\"O The \fB\-b\fR (\fIbackground\fR) option tells \fBsudo\fR to run the given
.\"O command in the background.  Note that if you use the \fB\-b\fR
.\"O option you cannot use shell job control to manipulate the process.
.\"O Most interactive commands will fail to work properly in background
.\"O mode.
\&\fB\-b\fR (\fIbackground\fR) オプションを付けると、\fBsudo\fR
は指定されたコマンドをバックグラウンドで実行する。
\&\fB-b\fR オプションを使用すると、
シェルのジョブ制御を使ってプロセスを操作できなくなるので、注意してほしい。
バックグラウンドモードでは、対話的なコマンドのほとんどがまともに動かないだろう。
.IP "\-C \fIfd\fR" 12
.IX Item "-C fd"
.\"O Normally, \fBsudo\fR will close all open file descriptors other than
.\"O standard input, standard output and standard error.  The \fB\-C\fR
.\"O (\fIclose from\fR) option allows the user to specify a starting point
.\"O above the standard error (file descriptor three).  Values less than
.\"O three are not permitted.  The security policy may restrict the
.\"O user's ability to use the \fB\-C\fR option.  The \fIsudoers\fR policy only
.\"O permits use of the \fB\-C\fR option when the administrator has enabled
.\"O the \fIclosefrom_override\fR option.
通常、\fBsudo\fR は、(コマンドを実行する前に) 標準入力、標準出力、
標準エラーを除いて、
開いているファイル・ディスクリプタをすべて閉じることになっている。
\&\fB\-C\fR (\fIclose from\fR) オプションを使えば、
標準エラーより番号が大きい (すなわち、ファイル・ディスクリプタ 3 以上の)
どのファイル・ディスクリプタから閉じていくかを、ユーザが指定することができる。
3 未満の値は指定できない。セキュリティ・ポリシーによっては、ユーザの
\&\fB\-C\fR オプション使用を制限していることがある。
\&\fIsudoers\fR ポリシーが \fB\-C\fR オプションの使用を許可しているのは、
管理者が \fIclosefrom_override\fR オプションを有効にしているときのみである。
.if \n(LC \{\
.IP "\-c \fIclass\fR" 12
.IX Item "-c class"
.\"O The \fB\-c\fR (\fIclass\fR) option causes \fBsudo\fR to run the specified command
.\"O with resources limited by the specified login class.  The \fIclass\fR
.\"O argument can be either a class name as defined in \fI/etc/login.conf\fR,
.\"O or a single '\-' character.  Specifying a \fIclass\fR of \f(CW\*(C`\-\*(C'\fR indicates
.\"O that the command should be run restricted by the default login
.\"O capabilities for the user the command is run as.  If the \fIclass\fR
.\"O argument specifies an existing user class, the command must be run
.\"O as root, or the \fBsudo\fR command must be run from a shell that is already
.\"O root.  This option is only available on systems with \s-1BSD\s0 login classes.
\&\fB\-c\fR (\fIclass\fR) オプションを付けると、その指定した
login class のリソースの制限内で、\fBsudo\fR は指定されたコマンドを実行する。
\&\fB-c\fR の引き数 \fIclass\fR に使うことができるのは、
\&\fI/etc/login.conf\fR で定義された class 名か、一個の '\-' 文字である。
\&\fIclass\fR に \f(CW\*(C`\-\*(C'\fR を指定すると、コマンドは実行されるとき、
変身対象ユーザのデフォルトのログイン権限によって制限されることになる。
引き数 \fIclass\fR が実在する user class を指している場合は、コマンドを
root として実行するか、あるいはすでに root になったシェルで
\&\fBsudo\fR コマンドを実行するかしなければならない。 
このオプションは、\s-1BSD\s0 login class が存在するシステムでのみ有効である。
\}
.IP "\-E" 12
.IX Item "-E"
.\"O The \fB\-E\fR (\fIpreserve\fR \fIenvironment\fR) option indicates to the
.\"O security policy that the user wishes to preserve their existing
.\"O environment variables.  The security policy may return an error if
.\"O the \fB\-E\fR option is specified and the user does not have permission
.\"O to preserve the environment.
\&\fB\-E\fR (\fIpreserve\fR \fIenvironment\fR) オプションを指定すると、
現在の環境変数をそのまま保持するのがユーザの意向だと、
セキュリティ・ポリシーに伝えることになる。\fB\-E\fR が指定されても、
ユーザが環境を保持する許可を持っていない場合は、
セキュリティ・ポリシーがエラーを返すだろう。
.IP "\-e" 12
.IX Item "-e"
.\"O The \fB\-e\fR (\fIedit\fR) option indicates that, instead of running a
.\"O command, the user wishes to edit one or more files.  In lieu of a
.\"O command, the string \*(L"sudoedit\*(R" is used when consulting the security
.\"O policy.  If the user is authorized by the policy, the following
.\"O steps are taken:
\&\fB\-e\fR (\fIedit\fR) オプションを指定するのは、
ユーザがコマンドの実行ではなく、
一個以上のファイルを編集しようとしていることを意味する。
セキュリティ・ポリシーの参照では、
コマンド名として文字列 \*(L"sudoedit\*(R" が使用される。
セキュリティ・ポリシーによってユーザに権限があることが認められると、
次のようなことが順番に行われる。
.RS 12
.IP "1." 4
.\"O Temporary copies are made of the files to be edited with the owner
.\"O set to the invoking user.
編集対象のファイルのコピーをテンポラリファイルとして作成する。
テンポラリファイルのオーナーは \fBsudo\fR を起動したユーザである。
.IP "2." 4
.\"O The editor specified by the policy is run to edit the temporary files.
.\"O The \fIsudoers\fR policy uses the \f(CW\*(C`SUDO_EDITOR\*(C'\fR, \f(CW\*(C`VISUAL\*(C'\fR and \f(CW\*(C`EDITOR\*(C'\fR
.\"O environment variables (in that order).  If none of \f(CW\*(C`SUDO_EDITOR\*(C'\fR,
.\"O \&\f(CW\*(C`VISUAL\*(C'\fR or \f(CW\*(C`EDITOR\*(C'\fR are set, the first program listed in the
.\"O \&\fIeditor\fR \fIsudoers\fR\|(5) option is used.
セキュリティ・ポリシーによって指定されたエディタを起動して、
テンポラリファイルを編集する。\fIsudoers\fR ポリシーでは、環境変数の
\&\f(CW\*(C`SUDO_EDITOR\*(C'\fR, \f(CW\*(C`VISUAL\*(C'\fR,
\&\f(CW\*(C`EDITOR\*(C'\fR を (この順番で) 使用する。
\&\f(CW\*(C`SUDO_EDITOR\*(C'\fR, \f(CW\*(C`VISUAL\*(C'\fR, 
\&\f(CW\*(C`EDITOR\*(C'\fR のどれも設定されていない場合は、\fIsudoers\fR\|(5)
の \fIeditor\fR オプションにリストされたプログラムのうち、
最初のものが使われる。
.IP "3." 4
.\"O If they have been modified, the temporary files are copied back to
.\"O their original location and the temporary versions are removed.
編集作業がすむと、テンポラリファイルをオリジナルのファイルに書き戻して、
テンポラリファイルを消去する。
.RE
.RS 12
.Sp
.\"O If the specified file does not exist, it will be created.  Note
.\"O that unlike most commands run by \fBsudo\fR, the editor is run with
.\"O the invoking user's environment unmodified.  If, for some reason,
.\"O \&\fBsudo\fR is unable to update a file with its edited version, the
.\"O user will receive a warning and the edited copy will remain in a
.\"O temporary file.
指定されたファイルが存在しない場合は作成する。ここで注意すべきは、
\&\fBsudo\fR によって実行されるコマンドの大部分と違って、
\&\fB\-e\fR でエディタが実行されるときは、\fBsudo\fR
を起動したユーザの環境が、変更を受けずにそのまま使われるということだ。
何らかの理由で \fBsudo\fR が編集した内容でファイルを更新できないときは、
ユーザに警告を発し、編集した内容をテンポラリファイルに保存することになる。
.RE
.IP "\-g \fIgroup\fR" 12
.IX Item "-g group"
.\"O Normally, \fBsudo\fR runs a command with the primary group set to the
.\"O one specified by the password database for the user the command is
.\"O being run as (by default, root).  The \fB\-g\fR (\fIgroup\fR) option causes
.\"O \&\fBsudo\fR to run the command with the primary group set to \fIgroup\fR
.\"O instead.  To specify a \fIgid\fR instead of a \fIgroup name\fR, use
.\"O \&\fI#gid\fR.  When running commands as a \fIgid\fR, many shells require
.\"O that the '#' be escaped with a backslash ('\e').  If no \fB\-u\fR option
.\"O is specified, the command will be run as the invoking user (not
.\"O root).  In either case, the primary group will be set to \fIgroup\fR.
通常 \fBsudo\fR はコマンドを実行するとき、プライマリ・グループを、
パスワード・データベースで変身対象ユーザ (デフォルトでは root である)
のプライマリ・グループとして指定されているグループに設定する。これに対して、
\&\fB\-g\fR (\fIgroup\fR) オプションを使用すると、
\&\fBsudo\fR はプライマリ・グループを \fIgroup\fR に設定して、
コマンドを実行することになる。グループ名の代わりに \fIgid\fR を指定するときは、
\&\fI#gid\fR という書き方をする。\fIgid\fR としてコマンドを実行する場合、
多くのシェルでは '#' をバックスラッシュ ('\e')
でエスケープしなければならない。
なお、\fB\-u\fR オプションが同時に指定されていない場合、コマンドは
(root としてではなく) \fBsudo\fR を起動したユーザの資格で実行される。
いづれにしろ、プライマリ・グループが \fIgroup\fR
に設定されることに変わりはない。
(訳注: \fB\-g\fR オプションを使用するには、
\&\fIsudoers\fR ポリシーの場合なら、\fIsudoers\fR ファイルのユーザ設定で、
変身対象となるグループを設定しておく必要がある。詳細については、
\&\fIsudoers\fR\|(5) のマニュアルの該当個所を参照してほしい。)
.IP "\-H" 12
.IX Item "-H"
.\"O The \fB\-H\fR (\fI\s-1HOME\s0\fR) option requests that the security policy set
.\"O the \f(CW\*(C`HOME\*(C'\fR environment variable to the home directory of the target
.\"O user (root by default) as specified by the password database.
.\"O Depending on the policy, this may be the default behavior.
\&\fB\-H\fR (\fI\s-1HOME\s0\fR) オプションを指定するのは、環境変数
\&\f(CW\*(C`HOME\*(C'\fR を、パスワード・データベースで変身対象ユーザ
(デフォルトでは root) のホームディレクトリに指定されているディレクトリに設定するよう、
セキュリティ・ポリシーに要求することである。
ポリシーによっては、それがデフォルトの動作になっているかもしれない。
.IP "\-h" 12
.IX Item "-h"
.\"O The \fB\-h\fR (\fIhelp\fR) option causes \fBsudo\fR to print a short help message
.\"O to the standard output and exit.
\&\fB-h\fR (\fIhelp\fR) オプションを指定すると、
\&\fBsudo\fR は簡単なヘルプメッセージを標準出力に表示して、終了する。
.IP "\-i [command]" 12
.IX Item "-i [command]"
.\"O The \fB\-i\fR (\fIsimulate initial login\fR) option runs the shell specified
.\"O by the password database entry of the target user as a login shell.
.\"O This means that login-specific resource files such as \f(CW\*(C`.profile\*(C'\fR
.\"O or \f(CW\*(C`.login\*(C'\fR will be read by the shell.  If a command is specified,
.\"O it is passed to the shell for execution via the shell's \fB\-c\fR option.
.\"O If no command is specified, an interactive shell is executed.
.\"O \&\fBsudo\fR attempts to change to that user's home directory before
.\"O running the shell.  The security policy shall initialize the
.\"O environment to a minimal set of variables, similar to what is present
.\"O when a user logs in.  The \fICommand Environment\fR section in the
.\"O \&\fIsudoers\fR\|(5) manual documents how the \fB\-i\fR option affects the
.\"O environment in which a command is run when the \fIsudoers\fR policy
.\"O is in use.
\&\fB\-i\fR (\fIsimulate initial login\fR) オプションを指定すると、
パスワード・データベースの変身対象ユーザのエントリで指定されてているシェルが、
ログイン・シェルとして実行される。すなわち、\f(CW\*(C`.profile\*(C'\fR や
\&\f(CW\*(C`.login\*(C'\fR といった、ログイン用のリソースファイルが、
シェルによって読み込まれるわけだ。コマンドを指定すると、
それがシェルに渡され、シェルの  \fB\-c\fR オプションを使って実行される。
コマンドを指定しない場合は、対話的シェルが起動されることになる。\fBsudo\fR は、
シェルを実行する前に、変身対象ユーザのホームディレクトリに移動しようとする。
セキュリティ・ポリシーは、環境変数が最小限になるように、
すなわち、ユーザが普通にログインしたときの環境と同様になるように、
環境を初期化すべきである。
\&\fIsudoers\fR ポリシーを使用している場合に、
\&\fB\-i\fR オプションがコマンドの実行環境にどんな影響を与えるかについては、
\&\fIsudoers\fR\|(5) のマニュアルの「コマンド環境」セクションに説明がある。
.IP "\-K" 12
.IX Item "-K"
.\"O The \fB\-K\fR (sure \fIkill\fR) option is like \fB\-k\fR except that it removes
.\"O the user's cached credentials entirely and may not be used in
.\"O conjunction with a command or other option.  This option does not
.\"O require a password.  Not all security policies support credential
.\"O caching.
\&\fB\-K\fR (sure \fIkill\fR) オプションは \fB\-k\fR オプションに似ているが、
ユーザの保存された認証情報を完全に消去してしまう点と、
コマンドや他のオプションと組み合わせて使用できない点で異なっている。
このオプションはパスワードを要求しない。
すべてのセキュリティ・ポリシーが
認証情報の一時保存をサポートしているわけではない。
.IP "\-k [command]" 12
.IX Item "-k [command]"
.\"O When used alone, the \fB\-k\fR (\fIkill\fR) option to \fBsudo\fR invalidates
.\"O the user's cached credentials.  The next time \fBsudo\fR is run a
.\"O password will be required.  This option does not require a password
.\"O and was added to allow a user to revoke \fBsudo\fR permissions from a
.\"O \&.logout file.  Not all security policies support credential
.\"O caching.
\&\fB\-k\fR (\fIkill\fR) オプションを単独で使うと、
\&\fBsudo\fR はユーザの保存された認証情報を無効にする。
次回 \fBsudo\fR を実行するとき、パスワードが要求されることになるわけだ。
このオプション自体はパスワードを必要としない。
なお、このオプションが追加されたのは、ユーザが .logout ファイルで、\fBsudo\fR
をパスワードなしで実行できる期間を終了させることができるようにするためである。
すべてのセキュリティ・ポリシーが認証情報の一時保存をサポートしているわけではない。
.Sp
.\"O When used in conjunction with a command or an option that may require
.\"O a password, the \fB\-k\fR option will cause \fBsudo\fR to ignore the user's
.\"O cached credentials.  As a result, \fBsudo\fR will prompt for a password
.\"O (if one is required by the security policy) and will not update the
.\"O user's cached credentials.
\&\fB\-k\fR オプションをコマンドや、
パスワードを必要とするような他のオプションと組み合わせて使用すると、
\&\fBsudo\fR はユーザの保存された認証情報を無視することになる。
その結果、\fBsudo\fR は
(セキュリティ・ポリシーでパスワードを要求するようになっているならば)
プロンプトを出してパスワードを要求する。このとき、
ユーザの保存された認証情報の更新は行わない。
.IP "\-l[l] [\fIcommand\fR]" 12
.IX Item "-l[l] [command]"
.\"O If no \fIcommand\fR is specified, the \fB\-l\fR (\fIlist\fR) option will list
.\"O the allowed (and forbidden) commands for the invoking user (or the
.\"O user specified by the \fB\-U\fR option) on the current host.  If a
.\"O \&\fIcommand\fR is specified and is permitted by the security policy,
.\"O the fully-qualified path to the command is displayed along with any
.\"O command line arguments.  If \fIcommand\fR is specified but not allowed,
.\"O \&\fBsudo\fR will exit with a status value of 1.  If the \fB\-l\fR option
.\"O is specified with an \fBl\fR argument (i.e. \fB\-ll\fR), or if \fB\-l\fR is
.\"O specified multiple times, a longer list format is used.
\&\fIcommand\fR を指定しない場合、\fB\-l\fR (\fIlist\fR) オプションは、
\&\fBsudo\fR を実行しているユーザ (あるいは、\fB\-U\fR で指定したユーザ) が、
現在ログインしているホストで許可されている (及び、禁じられている)
コマンドを列挙する。\fIcommand\fR を指定した場合は、
セキュリティ・ポリシーで許可されているコマンドならば、その絶対パスを表示する。
このとき \fIcommand\fR に引数を付けると、それも一緒に表示される
(訳注: セキュリティ・ポリシーで許可するコマンドに引数まで指定している場合は、
それにマッチする引数を \fB\-l\fR に続く \fIcommand\fR にも必ず付けなければならない)。
指定したコマンドが許可されていない場合は、
\&\fBsudo\fR がステータス 1 で終了する。\fB\-l\fR オプションに
\&\fBl\fR という引数を付けた場合や (すなわち \fB\-ll\fR)、
\&\fB\-l\fR を複数回指定した場合は、長い方のリスト形式が使用される。
.IP "\-n" 12
.IX Item "-n"
.\"O The \fB\-n\fR (\fInon-interactive\fR) option prevents \fBsudo\fR from prompting
.\"O the user for a password.  If a password is required for the command
.\"O to run, \fBsudo\fR will display an error messages and exit.
\&\fB\-n\fR (\fInon-interactive\fR) オプションがあると、
\&\fBsudo\fR は ユーザにパスワードを要求するプロンプトを出さない。
実行するコマンドにパスワードが必要な場合、
\&\fBsudo\fR はエラーメッセージを表示して、終了する。
.IP "\-P" 12
.IX Item "-P"
.\"O The \fB\-P\fR (\fIpreserve\fR \fIgroup vector\fR) option causes \fBsudo\fR to
.\"O preserve the invoking user's group vector unaltered.  By default,
.\"O the \fIsudoers\fR policy will initialize the group vector to the list
.\"O of groups the target user is in.  The real and effective group IDs,
.\"O however, are still set to match the target user.
\&\fB\-P\fR (\fIpreserve\fR \fIgroup vector\fR) オプションを指定すると、
\&\fBsudo\fR は、\fBsudo\fR を実行するユーザが所属するグループのリストを、
変更せずにそのまま使用する。\fIsudoers\fR ポリシーの場合、デフォルトでは、
所属グループの初期値として、
変身対象となるユーザが所属するグループのリストを設定するのである。とは言え、
実 gid や 実効 gid が変身対象ユーザと同一になるようにセットされる点には、
変わりがない。
.IP "\-p \fIprompt\fR" 12
.IX Item "-p prompt"
.\"O The \fB\-p\fR (\fIprompt\fR) option allows you to override the default
.\"O password prompt and use a custom one.  The following percent (`\f(CW\*(C`%\*(C'\fR')
.\"O escapes are supported by the \fIsudoers\fR policy:
\&\fB\-p\fR (\fIprompt\fR) オプションを使うと、
デフォルトのパスワードプロンプトを変更して、好きな文句にすることができる。
\&\fIsudoers\fR ポリシーでは以下のパーセント (`\f(CW\*(C`%\*(C'\fR')
エスケープが使用できる。
.RS 12
.ie n .IP "%H" 4
.el .IP "\f(CW%H\fR" 4
.IX Item "%H"
.\"O expanded to the host name including the domain name (on if
.\"O the machine's host name is fully qualified or the \fIfqdn\fR option
.\"O is set in \fIsudoers\fR\|(5))
ドメイン名を含むホスト名に展開される (マシンのホスト名が完全修飾名であるか、
\&\fIsudoers\fR\|(5) で \fIfqdn\fR オプションがセットされている場合に有効)
.ie n .IP "%h" 4
.el .IP "\f(CW%h\fR" 4
.IX Item "%h"
.\"O expanded to the local host name without the domain name
ドメイン名なしのローカルホスト名に展開
.ie n .IP "%p" 4
.el .IP "\f(CW%p\fR" 4
.IX Item "%p"
.\"O expanded to the name of the user whose password is being requested
.\"O (respects the \fIrootpw\fR, \fItargetpw\fR and \fIrunaspw\fR flags in
.\"O \&\fIsudoers\fR\|(5))
パスワードを要求されるユーザ名に展開 (\fIsudoers\fR\|(5) の
\&\fIrootpw\fR, \fItargetpw\fR, \fIrunaspw\fR フラグを尊重する)
.ie n .IP "%U" 4
.el .IP "\f(CW%U\fR" 4
.IX Item "%U"
.\"O expanded to the login name of the user the command will be run as
.\"O (defaults to root unless the \f(CW\*(C`\-u\*(C'\fR option is also specified)
変身対象になるユーザ (\f(CW\*(C`\-u\*(C'\fR
オプションが同時に指定されていない場合は、root がデフォルト)
のログイン名に展開される
.ie n .IP "%u" 4
.el .IP "\f(CW%u\fR" 4
.IX Item "%u"
.\"O expanded to the invoking user's login name
\&\fBsudo\fR を起動するユーザのログイン名に展開される
.ie n .IP "\*(C`%%\*(C'" 4
.el .IP "\f(CW\*(C`%%\*(C'\fR" 4
.IX Item "%%"
.\"O two consecutive \f(CW\*(C`%\*(C'\fR characters are collapsed into a single \f(CW\*(C`%\*(C'\fR character
連続した二つの \f(CW\*(C`%\*(C'\fR は、一個の \f(CW\*(C`%\*(C'\fR
文字そのものを意味する
.RE
.RS 12
.Sp
.\"O The prompt specified by the \fB\-p\fR option will override the system
.\"O password prompt on systems that support \s-1PAM\s0 unless the
.\"O \&\fIpassprompt_override\fR flag is disabled in \fIsudoers\fR.
\&\fB\-p\fR で指定したプロンプトが、\s-1PAM\s0
をサポートしているシステムで、システムのパスワードプロンプトを上書きするのは、
\&\fIsudoers\fR で \fIpassprompt_override\fR が有効になっている場合である
(訳注: 実際にはもうすこし複雑なので、\fIsudoers\fR\|(5) の
passprompt_override の項も参照してほしい)。
.RE
.if \n(SL \{\
.IP "\-r \fIrole\fR" 12
.IX Item "-r role"
.\"O The \fB\-r\fR (\fIrole\fR) option causes the new (SELinux) security context to 
.\"O have the role specified by \fIrole\fR.
\&\fB\-r\fR (\fIrole\fR) オプションを使うと、(SELinux の)
新しいセキュリティ・コンテキストが \fIrole\fR
で指定されたロールを持つようになる。
\}
.IP "\-S" 12
.IX Item "-S"
.\"O The \fB\-S\fR (\fIstdin\fR) option causes \fBsudo\fR to read the password from
.\"O the standard input instead of the terminal device.  The password must
.\"O be followed by a newline character.
\&\fB\-S\fR (\fIstdin\fR) オプションを指定すると、
\&\fBsudo\fR はパスワードをターミナルデバイスからではなく、
標準入力から読み込む。パスワードは末尾に改行を付けなければならない。
.IP "\-s [command]" 12
.IX Item "-s [command]"
.\"O The \fB\-s\fR (\fIshell\fR) option runs the shell specified by the \fI\s-1SHELL\s0\fR
.\"O environment variable if it is set or the shell as specified in the
.\"O password database.  If a command is specified, it is passed to the
.\"O shell for execution via the shell's \fB\-c\fR option.  If no command
.\"O is specified, an interactive shell is executed.
\&\fB\-s\fR (\fIshell\fR) は、環境変数 \fI\s-1SHELL\s0\fR が設定されていれば、
そのシェルを、さもなければ、
パスワード・データベースで指定されているシェルを実行する。
コマンドが指定されている場合には、それをシェルに渡し、シェルの
\&\fB\-c\fR オプションを通じて実行させる。
コマンドが指定されていなければ、対話的シェルを開く。
.if \n(SL \{\
.IP "\-t \fItype\fR" 12
.\"O .IX Item "-t type"
.\"O The \fB\-t\fR (\fItype\fR) option causes the new (SELinux) security context to 
.\"O have the type specified by \fItype\fR.  If no type is specified, the default
.\"O type is derived from the specified role.
\&\fB\-t\fR (\fItype\fR) オプションを使用すると、(SELinux の)
新しい セキュリティ・コンテキストが \fItype\fR
で指定されたタイプを持つようになる。
type が指定されない場合は、デフォルトのタイプが、
指定された role から導き出される。
\}
.IP "\-U \fIuser\fR" 12
.IX Item "-U user"
.\"O The \fB\-U\fR (\fIother user\fR) option is used in conjunction with the
.\"O \&\fB\-l\fR option to specify the user whose privileges should be listed.
.\"O The security policy may restrict listing other users' privileges.
.\"O The \fIsudoers\fR policy only allows root or a user with the \f(CW\*(C`ALL\*(C'\fR
.\"O privilege on the current host to use this option.
\&\fB\-U\fR (\fIother user\fR) オプションは、\fB\-l\fR と組み合わせて使用し、
誰の権限の一覧を表示するかを指定する。自分以外のユーザの権限の表示は、
セキュリティ・ポリシーによって禁止されているかもしれない。
\&\fIsudoers\fR ポリシーでこのオプションの使用が認められているのは、
root ユーザを別にすると、現在使用中のホストで許可するコマンドに
\&\f(CW\*(C`ALL\*(C'\fR が指定してあるユーザだけである。
.IP "\-u \fIuser\fR" 12
.IX Item "-u user"
.\"O The \fB\-u\fR (\fIuser\fR) option causes \fBsudo\fR to run the specified
.\"O command as a user other than \fIroot\fR.  To specify a \fIuid\fR instead
.\"O of a \fIuser name\fR, use \fI#uid\fR.  When running commands as a \fIuid\fR,
.\"O many shells require that the '#' be escaped with a backslash ('\e').
.\"O Security policies may restrict \fIuid\fRs to those listed in the
.\"O password database.  The \fIsudoers\fR policy allows \fIuid\fRs that are
.\"O not in the password database as long as the \fItargetpw\fR option is
.\"O not set.  Other security policies may not support this.
\&\fB\-u\fR (\fIuser\fR) オプションを指定すると、\fBsudo\fR
は 指定されたコマンドを \fIroot\fR 以外のユーザとして実行する。
ユーザ名の代わりに \fIuid\fR を指定するときは、\fI#uid\fR という書き方をする。
多くのシェルでは、\fIuid\fR の資格でコマンドを実行するときは、
\&'#' をバックスラッシュ ('\e') でエスケープしなければならない。
セキュリティ・ポリシーによっては、使用できる \fIuid\fR
をパスワード・データベースに記載されているものに限定していることもある。
\&\fIsudoers\fR ポリシーでは、
\&\fItargetpw\fR オプションが設定されていないかぎり、
パスワード・データベースに存在しない \fIuid\fR も認めている。
他のセキュリティ・ポリシーでは、これは許されないかもしれない。
.IP "\-V" 12
.IX Item "-V"
.\"O The \fB\-V\fR (\fIversion\fR) option causes \fBsudo\fR to print its version
.\"O string and the version string of the security policy plugin and any
.\"O I/O plugins.  If the invoking user is already root the \fB\-V\fR option
.\"O will display the arguments passed to configure when \fIsudo\fR was
.\"O built and plugins may display more verbose information such as
.\"O default options.
\&\fB\-V\fR (\fIversion\fR) オプションを指定すると、
\&\fBsudo\fR はそのバージョン文字列を、セキュリティ・ポリシー・プラグインや
I/O プラグインのバージョン文字列とともに表示する。
\&\fBsudo \-V\fR を実行するユーザがあらかじめ root になっている場合は、
\&\fIsudo\fR がビルドされたときに configure
スクリプトに渡された引数が表示される。また、プラグインについても、
デフォルト・オプションのようなより詳細な情報が表示されるかもしれない。
.IP "\-v" 12
.IX Item "-v"
.\"O When given the \fB\-v\fR (\fIvalidate\fR) option, \fBsudo\fR will update the
.\"O user's cached credentials, authenticating the user's password if
.\"O necessary.  For the \fIsudoers\fR plugin, this extends the \fBsudo\fR
.\"O timeout for another \f(CW\*(C`5\*(C'\fR minutes (or whatever the timeout
.\"O is set to in \fIsudoers\fR) but does not run a command.  Not all
.\"O security policies support cached credentials.
\&\fB\-v\fR (\fIvalidate\fR) オプションを指定すると、\fBsudo\fR は
ユーザの保存された認証情報を更新する。このとき、必要ならば、
パスワードによる認証を行う。\fIsudoers\fR プラグインでは、
このオプションによって \fBsudo\fR のタイムアウト時間がもう
\&\f(CW\*(C`5\*(C'\fR 分間 (あるいは、何分であれ、\fIsudoers\fR
で設定されたタイムアウト時間) 伸びるが、
このオプションがコマンドを実行することはない。
すべてのセキュリティ・ポリシーが認証情報の一時保存に対応しているわけではない。
.IP "\-\-" 12
.\"O The \fB\-\-\fR option indicates that \fBsudo\fR should stop processing command
.\"O line arguments.
\&\fB\-\-\fR オプションがあると、
\&\fBsudo\fR はそこでコマンドライン引き数の処理をやめる。
.IP "[\fB訳注\fR]:" 8
.IX Item "footnote1"
このほか、sudo-1.8.4 ではなくなったが、sudo-1.8.3 には \fB\-D\fR
というオプションも存在した。ご参考のため挙げておくと、次のようなものである。
.RS 4
.IP "\-D \fIlevel\fR" 12
.IX Item "-D level"
\&\fBsudo\fR そのもの、及び \fBsudo\fR プラグインのデバッグを有効にする。
\&\fIlevel\fR には 1 から 9 までの値を指定できる。
.RE
.PP
.\"O Environment variables to be set for the command may also be passed
.\"O on the command line in the form of \fB\s-1VAR\s0\fR=\fIvalue\fR, e.g.
.\"O \&\fB\s-1LD_LIBRARY_PATH\s0\fR=\fI/usr/local/pkg/lib\fR.  Variables passed on the
.\"O command line are subject to the same restrictions as normal environment
.\"O variables with one important exception.  If the \fIsetenv\fR option
.\"O is set in \fIsudoers\fR, the command to be run has the \f(CW\*(C`SETENV\*(C'\fR tag
.\"O set or the command matched is \f(CW\*(C`ALL\*(C'\fR, the user may set variables
.\"O that would otherwise be forbidden.  See \fIsudoers\fR\|(5) for more information.
さらに、コマンドのためにセットしたい環境変数も、\fB\s-1VAR\s0\fR=\fIvalue\fR、
たとえば \fB\s-1LD_LIBRARY_PATH\s0\fR=\fI/usr/local/pkg/lib\fR
といった形でコマンドラインから渡すことができる。
コマンドラインから渡される変数は、通常の環境変数と同じ制限の対象になるが、
一つだけ重要な違いがある。\fIsudoers\fR で \fIsetenv\fR
オプションが設定されているか、実行されるコマンドに
\&\f(CW\*(C`SETENV\*(C'\fR タグがついているか、
あるいは、マッチするコマンドが \f(CW\*(C`ALL\*(C'\fR である場合は、
ユーザがほかの状況でなら禁じられているような変数をセットすることができるのだ。
詳細については \fIsudoers\fR\|(5) を参照してほしい。
.\"O .SH "PLUGINS"
.SH "プラグイン"
.IX Header "PLUGINS"
.\"O Plugins are dynamically loaded based on the contents of the
.\"O \&\fI/etc/sudo.conf\fR file.  If no \fI/etc/sudo.conf\fR
.\"O file is present, or it contains no \f(CW\*(C`Plugin\*(C'\fR lines, \fBsudo\fR
.\"O will use the traditional \fIsudoers\fR security policy and I/O logging,
.\"O which corresponds to the following \fI/etc/sudo.conf\fR file.
プラグインは \fI/etc/sudo.conf\fR の内容に基づいて、動的にロードされる。
\&\fI/etc/sudo.conf\fR が存在しない場合や、存在しても
\&\f(CW\*(C`Plugin\*(C'\fR の行がない場合は、
\&\fBsudo\fR はこれまでどおり、
\&\fIsudoers\fR のセキュリティ・ポリシーと I/O ロギングを使用する。
それは、次のように \fI/etc/sudo.conf\fR ファイルに記述するのと同じことである。
.PP
.Vb 10
\& #
\& # Default /etc/sudo.conf file
\& #
.\"O \& # Format:
\& # 書式:
\& #   Plugin plugin_name plugin_path
\& #   Path askpass /path/to/askpass
\& #   Path noexec /path/to/noexec.so
\& #   Debug sudo /var/log/sudo_debug all@warn
\& #   Set disable_coredump true
\& #
.\"O \& # The plugin_path is relative to /usr/local/libexec unless
.\"O \& #   fully qualified.
.\"O \& # The plugin_name corresponds to a global symbol in the plugin
.\"O \& #   that contains the plugin interface structure.
\& # The plugin_path が絶対パスでない場合は、 /usr/local/libexec からの
\& # 相対パスである。、
\& # plugin_name は、プラグイン中の、プラグインのインターフェース構造を
\& # 含むグローバルシンボルと同じものである。
\& #
\& Plugin policy_plugin sudoers.so
\& Plugin io_plugin sudoers.so
.Ve
.PP
.\"O A \f(CW\*(C`Plugin\*(C'\fR line consists of the \f(CW\*(C`Plugin\*(C'\fR keyword, followed by the
.\"O \&\fIsymbol_name\fR and the \fIpath\fR to the shared object containing the
.\"O plugin.  The \fIsymbol_name\fR is the name of the \f(CW\*(C`struct policy_plugin\*(C'\fR
.\"O or \f(CW\*(C`struct io_plugin\*(C'\fR in the plugin shared object.  The \fIpath\fR
.\"O may be fully qualified or relative.  If not fully qualified it is
.\"O relative to the \fI/usr/local/libexec\fR directory.  Any additional
.\"O parameters after the \fIpath\fR are ignored.  Lines that don't begin
.\"O with \f(CW\*(C`Plugin\*(C'\fR or \f(CW\*(C`Path\*(C'\fR are silently ignored
\&\f(CW\*(C`Plugin\*(C'\fR 行は、キーワード \f(CW\*(C`Plugin\*(C'\fR に始まり、
\&\fIsymbol_name\fR と \fIpath\fR が続く。\fIpath\fR は、
プラグインを含む共有オブジェクト・ファイルへのパスである。
\&\fIsymbol_name\fR はプラグイン共有オブジェクト中の構造体
\&\f(CW\*(C`policy_plugin\*(C'\fR や構造体 \f(CW\*(C`io_plugin\*(C'\fR
の名前である。 \fIpath\fR は絶対パスでも相対パスでもよい。
相対パスの場合は、
\&\fI/usr/local/libexec\fR ディレクトリを基点にした相対パスである。
\&\fIpath\fR の後ろに他のパラメータを付けても、無視される。
\&\f(CW\*(C`Plugin\*(C'\fR や \f(CW\*(C`Path\*(C'\fR で始まらない行は、
ただ単に無視される。
.IP "[\fB訳注\fR]:" 8
.IX Item "footnote2"
sudo-1.8.3 までは、キーワードに \f(CW\*(C`Plugin\*(C'\fR と
\&\f(CW\*(C`Path\*(C'\fR しか使用できなかった。
sudo-1.8.4 以上では、上記書式にもあるように、\f(CW\*(C`Debug\*(C'\fR や
\&\f(CW\*(C`Set\*(C'\fR で始まる行も有効である。「デバッグ・フラグ」や
「セキュリティに関する注意点」セクションも参照していただきたい。
.PP
.\"O For more information, see the \fIsudo_plugin\fR\|(8) manual.
詳細については、\fIsudo_plugin\fR\|(8) のマニュアルをご覧になること。
.\"O .SH "PATHS"
.SH "パス"
.IX Header "PATHS"
.\"O A \f(CW\*(C`Path\*(C'\fR line consists of the \f(CW\*(C`Path\*(C'\fR keyword, followed by the
.\"O name of the path to set and its value.  E.g.
\&\f(CW\*(C`Path\*(C'\fR 行は、キーワード \f(CW\*(C`Path\*(C'\fR に始まり、
設定するパスの名前とその値が続く。一例を挙げる。
.PP
.Vb 2
\& Path noexec /usr/local/libexec/sudo_noexec.so
\& Path askpass /usr/X11R6/bin/ssh\-askpass
.Ve
.PP
.\"O The following plugin-agnostic paths may be set in the
.\"O \&\fI/etc/sudo.conf\fR file.
次のようなプラグインではないプログラムやライブラリのパスを
\&\fI/etc/sudo.conf\fR ファイルで設定することができる。
.IP "askpass" 16
.IX Item "askpass"
.\"O The fully qualified path to a helper program used to read the user's
.\"O password when no terminal is available.  This may be the case when
.\"O \&\fBsudo\fR is executed from a graphical (as opposed to text-based)
.\"O application.  The program specified by \fIaskpass\fR should display
.\"O the argument passed to it as the prompt and write the user's password
.\"O to the standard output.  The value of \fIaskpass\fR may be overridden
.\"O by the \f(CW\*(C`SUDO_ASKPASS\*(C'\fR environment variable.
端末が利用できないときに、
ユーザのパスワードを読み込むのに使用するヘルパー・プログラムの絶対パス。
たとえば、 \fBsudo\fR がグラフィカルな (つまり、テキストベースではない)
アプリケーションから実行される場合がこれに当たる。
\&\fIaskpass\fR で指定されたプログラムは、
自分に渡された引数をプロンプトとして表示し、
ユーザのパスワードを標準出力に書き出すべきである。
\&\fIaskpass\fR の値は、環境変数
\&\f(CW\*(C`SUDO_ASKPASS\*(C'\fR によって上書きすることができる。
.IP "noexec" 16
.IX Item "noexec"
.\"O The fully-qualified path to a shared library containing dummy
.\"O versions of the \fIexecv()\fR, \fIexecve()\fR and \fIfexecve()\fR library functions
.\"O that just return an error.  This is used to implement the \fInoexec\fR
.\"O functionality on systems that support \f(CW\*(C`LD_PRELOAD\*(C'\fR or its equivalent.
.\"O Defaults to \fI/usr/local/libexec/sudo_noexec.so\fR.
ライブラリ関数 \fIexecv()\fR, \fIexecve()\fR, \fIfexecve()\fR のダミー版
(単にエラーを返すだけの関数) が入っている共有ライブラリの絶対パス。
これは \f(CW\*(C`LD_PRELOAD\*(C'\fR
やそれに相当するものをサポートしているシステムで
\&\fInoexec\fR 機能を実現するために使用される。
デフォルトでは  \fI/usr/local/libexec/sudo_noexec.so\fR になっている。
.\"O .SH "DEBUG FLAGS"
.SH "デバッグ・フラグ (sudo-1.8.4 の新機能)"
.IX Header "DEBUG FLAGS"
.\"O \&\fBsudo\fR versions 1.8.4 and higher support a flexible debugging
.\"O framework that can help track down what \fBsudo\fR is doing internally
.\"O if there is a problem.
.\"O .PP
バージョン 1.8.4 以上の \fBsudo\fR は、
デバッグのための柔軟な枠組みに対応しており、問題が発生したときに、
\&\fBsudo\fR の内部で何が起きているかを突き止めるために、
これを利用することができる。
.PP
.\"O A \f(CW\*(C`Debug\*(C'\fR line consists of the \f(CW\*(C`Debug\*(C'\fR keyword, followed by the
.\"O name of the program to debug (\fBsudo\fR, \fBvisudo\fR, \fBsudoreplay\fR),
.\"O the debug file name and a comma-separated list of debug flags.
.\"O The debug flag syntax used by \fBsudo\fR and the \fIsudoers\fR plugin is
.\"O \&\fIsubsystem\fR@\fIpriority\fR but the plugin is free to use a different
.\"O format so long as it does not include a command \f(CW\*(C`,\*(C'\fR.
.\"O .PP
\&\f(CW\*(C`Debug\*(C'\fR 行の構成は、\f(CW\*(C`Debug\*(C'\fR
というキーワードに始まり、それに、デバッグ対象のプログラム名
(\fBsudo\fR, \fBvisudo\fR, \fBsudoreplay\fR) とデバッグファイル名が続き、
最後にコンマで区切ったデバッグ・フラグのリストが来るという形になっている
(訳注: \f(CW\*(C`Debug\*(C'\fR 行も \fI/etc/sudo.conf\fR に記載する)。
デバッグフラグのシンタクスは、\&\fBsudo\fR と \fIsudoers\fR プラグインでは、
\&\fIsubsystem\fR@\fIpriority\fR という書式を用いるが、
「\f(CW\*(C`,\*(C'\fR」というコマンドを含まないかぎり、
プラグインが別の書式を使っても構わない。
.PP
\"O For instance:
.\"O .PP
一例を挙げよう。
.PP
.Vb 1
\& Debug sudo /var/log/sudo_debug all@warn,plugin@info
.Ve
.PP
.\"O would log all debugging statements at the \fIwarn\fR level and higher
.\"O in addition to those at the \fIinfo\fR level for the plugin subsystem.
.\"O .PP
上記のように指定すれば、\fIwarn\fR レベル以上のすべてのデバッグメッセージを
ログに記録することになる。さらに、plugin サブシステムに関しては、
\&\fIinfo\fR レベルのメッセージも記録する。 
.PP
.\"O Currently, only one \f(CW\*(C`Debug\*(C'\fR entry per program is supported.  The
.\"O \&\f(CW\*(C`sudo\*(C'\fR \f(CW\*(C`Debug\*(C'\fR entry is shared by the \fBsudo\fR front end, \fBsudoedit\fR
.\"O and the plugins.  A future release may add support for per-plugin
.\"O \&\f(CW\*(C`Debug\*(C'\fR lines and/or support for multiple debugging files for a
.\"O single program.
.\"O .PP
現在のところ、一プログラムあたり一行の \f(CW\*(C`Debug\*(C'\fR
エントリしか使用できない。プログラム名が \f(CW\*(C`sudo\*(C'\fR の
\&\f(CW\*(C`Debug\*(C'\fR 行は、\fBsudo\fR フロントエンド、\fBsudoedit\fR、
及び \fBsudo\fR のプラグインによって共有される。将来のリリースでは、
プラグインごとの \f(CW\*(C`Debug\*(C'\fR 行をサポートするかもしれない。
また、一つのプログラムに対する複数のデバッグファイルをサポートするかもしれない。
.PP
.\"O The priorities used by the \fBsudo\fR front end, in order of decreasing
.\"O severity, are: \fIcrit\fR, \fIerr\fR, \fIwarn\fR, \fInotice\fR, \fIdiag\fR, \fIinfo\fR,
.\"O \&\fItrace\fR and \fIdebug\fR.  Each priority, when specified, also includes
.\"O all priorities higher than it.  For example, a priority of \fInotice\fR
.\"O would include debug messages logged at \fInotice\fR and higher.
.\"O .PP
\&\fBsudo\fR フロントエンドが使用する priority (重大度) を
深刻なものから挙げると、\fIcrit\fR, \fIerr\fR, \fIwarn\fR, \fInotice\fR,
\&\fIdiag\fR, \fIinfo\fR, \fItrace\fR, \fIdebug\fR である。
ある  priority を指定すると、
それよりも深刻なすべての priority も同時に指定したことになる。
たとえば、\fInotice\fR という priority を指定すれば、 \fInotice\fR
レベル以上のデバッグメッセージがログに記録されるわけである。
.PP
.\"O The following subsystems are used by \fBsudo\fR:
\&\fBsudo\fR では以下のサブシステムが使用できる。
.IP "\fIall\fR" 10
.IX Item "all"
.\"O matches every subsystem
あらゆるサブシステムにマッチする
.IP "\fIargs\fR" 10
.IX Item "args"
.\"O command line argument processing
コマンドライン引数の処理
.IP "\fIconv\fR" 10
.IX Item "conv"
.\"O user conversation
ユーザとのやりとり
.IP "\fIedit\fR" 10
.IX Item "edit"
.\"O sudoedit
sudoedit
.IP "\fIexec\fR" 10
.IX Item "exec"
.\"O command execution
コマンドの実行
.IP "\fImain\fR" 10
.IX Item "main"
.\"O \&\fBsudo\fR main function
\&\fBsudo\fR のメイン関数
.IP "\fInetif\fR" 10
.IX Item "netif"
.\"O network interface handling
ネットワーク・インターフェースの取扱い
.IP "\fIpcomm\fR" 10
.IX Item "pcomm"
.\"O communication with the plugin
プラグインとのやりとり
.IP "\fIplugin\fR" 10
.IX Item "plugin"
.\"O plugin configuration
プラグインの設定
.IP "\fIpty\fR" 10
.IX Item "pty"
.\"O pseudo-tty related code
擬似端末に関連したコード
.IP "\fIselinux\fR" 10
.IX Item "selinux"
.\"O SELinux-specific handling
SELinux に特有の取扱い
.IP "\fIutil\fR" 10
.IX Item "util"
.\"O utility functions
ユーティリティ関数群
.IP "\fIutmp\fR" 10
.IX Item "utmp"
.\"O utmp handling
utmp の取扱い
.\"O .SH "RETURN VALUES"
.SH "返り値"
.IX Header "RETURN VALUES"
.\"O Upon successful execution of a program, the exit status from \fBsudo\fR
.\"O will simply be the exit status of the program that was executed.
プログラムの実行に成功した場合、\fBsudo\fR が返す終了ステータスは、
実行したプログラムの終了ステータスそのものである。
.PP
.\"O Otherwise, \fBsudo\fR exits with a value of 1 if there is a
.\"O configuration/permission problem or if \fBsudo\fR cannot execute the
.\"O given command.  In the latter case the error string is printed to
.\"O the standard error.  If \fBsudo\fR cannot \fIstat\fR\|(2) one or more entries
.\"O in the user's \f(CW\*(C`PATH\*(C'\fR, an error is printed on stderr.  (If the
.\"O directory does not exist or if it is not really a directory, the
.\"O entry is ignored and no error is printed.)  This should not happen
.\"O under normal circumstances.  The most common reason for \fIstat\fR\|(2)
.\"O to return \*(L"permission denied\*(R" is if you are running an automounter
.\"O and one of the directories in your \f(CW\*(C`PATH\*(C'\fR is on a machine that is
.\"O currently unreachable.
そうでない場合、設定やパーミッションに問題があったり、
\&\fBsudo\fR が指定されたコマンドを実行できなかったりしたときは、
\&\fBsudo\fR は返り値 1 で終了する。
後者の場合は、エラーメッセージが標準エラーに表示される。
また、\fBsudo\fR がユーザの \f(CW\*(C`PATH\*(C'\fR
にある一つ以上のエントリを \fIstat\fR\|(2) できなかったときも、
エラーが標準エラーに出力される (ただし、そのディレクトリが存在しなかったり、
実際にはディレクトリでなかったりした場合は、
そのエントリは無視され、エラーは表示されない)。そうしたことは、
正常な環境では起きないはずのことである。\fIstat\fR\|(2) が
\&\*(L"permission denied\*(R" を返す理由で一番よくあるのは、
ユーザーがオートマウントを使用していて、\f(CW\*(C`PATH\*(C'\fR
にあるディレクトリの一つが目下到達不可能なマシンにある場合だ。
.\"O .SH "SECURITY NOTES"
.SH "セキュリティに関する注意点"
.IX Header "SECURITY NOTES"
.\"O \&\fBsudo\fR tries to be safe when executing external commands.
\&\fBsudo\fR は外部のコマンドをできるだけ安全に実行しようとする。
.PP
.\"O To prevent command spoofing, \fBsudo\fR checks \*(L".\*(R" and "" (both denoting
.\"O current directory) last when searching for a command in the user's
.\"O \&\s-1PATH\s0 (if one or both are in the \s-1PATH\s0).  Note, however, that the
.\"O actual \f(CW\*(C`PATH\*(C'\fR environment variable is \fInot\fR modified and is passed
.\"O unchanged to the program that \fBsudo\fR executes.
偽コマンドの実行 (command spoofing) を防止するため、
\&\fBsudo\fR はコマンドを捜してユーザの \s-1PATH\s0 を検索する際に、
\&\*(L".\*(R" と "" (どちらもカレントディレクトリを意味する) を最後に調べる
(そのどちらか、あるいは両方が \s-1PATH\s0 中に存在すればだが)。
とは言え、環境変数 \f(CW\*(C`PATH\*(C'\fR そのものは変更されずに、
そのまま \fBsudo\fR が実行するプログラムに渡されることに注意してほしい。
.PP
.\"O Please note that \fBsudo\fR will normally only log the command it
.\"O explicitly runs.  If a user runs a command such as \f(CW\*(C`sudo su\*(C'\fR or
.\"O \&\f(CW\*(C`sudo sh\*(C'\fR, subsequent commands run from that shell are not subject
.\"O to \fBsudo\fR's security policy.  The same is true for commands that
.\"O offer shell escapes (including most editors).  If I/O logging is
.\"O enabled, subsequent commands will have their input and/or output
.\"O logged, but there will not be traditional logs for those commands.
.\"O Because of this, care must be taken when giving users access to
.\"O commands via \fBsudo\fR to verify that the command does not inadvertently
.\"O give the user an effective root shell.  For more information, please
.\"O see the \f(CW\*(C`PREVENTING SHELL ESCAPES\*(C'\fR section in \fIsudoers\fR\|(5).
.\"O .PP
\&\fBsudo\fR は通常、
自分が明示的に実行したコマンドしかログに記録しないことに気を付けてほしい。
ユーザが \f(CW\*(C`sudo su\*(C'\fR や \f(CW\*(C`sudo sh\*(C'\fR
といったコマンドを実行した場合、そのシェルから続いて実行されるコマンドは
\&\fBsudo\fR のセキュリティ・ポリシーの対象にならない。
シェル・エスケープを提供するコマンドについても (たいていのエディタが
それに含まれる) 同じことが言える。
確かに、I/O ロギングが有効になっている場合は、
シェルから続いて実行されるコマンドも、その入力や出力を記録されることになるが、
従来からあるログに記録されるわけではないのである。
こうしたことから、ユーザに \fBsudo\fR 経由でコマンドの使用を許すときは、
そのコマンドが事実上ルート・シェルをうっかりユーザに与えていないかを、
念には念を入れて確認しなければならない。もっと詳しいことが知りたかったら、
\&\fIsudoers\fR\|(5) の「シェル・エスケープを防止する」
のセクションを御覧になるとよい。
.PP
.\"O To prevent the disclosure of potentially sensitive information,
.\"O \&\fBsudo\fR disables core dumps by default while it is executing (they
.\"O are re-enabled for the command that is run).  To aid in debugging
.\"O \&\fBsudo\fR crashes, you may wish to re-enable core dumps by setting
.\"O \&\*(L"disable_coredump\*(R" to false in the \fI/etc/sudo.conf\fR file.
.\"O .PP
セキュリティ上問題になりかねない情報を漏洩しないように、
\&\fBsudo\fR はデフォルトでは、自己を実行中のコアダンプを抑止している
(指定されたコマンドを実行するときには、コアダンプを有効にし直すのである)。
\&\fBsudo\fR そのもののクラッシュをデバッグするために、
コアダンプを有効に戻したいならば、
\&\fI/etc/sudo.conf\fR ファイルで \*(L"disable_coredump\*(R" を
false にすればよい。(訳注: キーワード Set は sudo-1.8.4 以上でなければ、
使用できない。)
.PP
.Vb 1
\& Set disable_coredump false
.Ve
.PP
.\"O Note that by default, most operating systems disable core dumps
.\"O from setuid programs, which includes \fBsudo\fR.  To actually get a
.\"O \&\fBsudo\fR core file you may need to enable core dumps for setuid
.\"O processes.  On \s-1BSD\s0 and Linux systems this is accomplished via the
.\"O sysctl command, on Solaris the coreadm command can be used.
注意してほしいのは、たいていのオペレーティングシステムが、
デフォルトでは setuid プログラムのコアダンプを抑止していることだ。
\&\fBsudo\fR もそうしたプログラムの一つである。
そこで、実際に \fBsudo\fR のコアダンプ・ファイルを取得するには、
setuid プロセスに対するコアダンプを有効にする必要があるかもしれない。
\&\s-1BSD\s0 や Linux のシステムでは、これは sysctl コマンドによって行われる。 
Solaris では coreadm コマンドが使用できる。
.\"O .SH "ENVIRONMENT"
.SH "環境変数"
.IX Header "ENVIRONMENT"
.\"O \&\fBsudo\fR utilizes the following environment variables.  The security
.\"O policy has control over the content of the command's environment.
\&\fBsudo\fR は以下の環境変数を利用する。実行するコマンドの環境の内容は、
セキュリティ・ポリシーによる制御の対象になる。
.ie n .IP "\*(C`EDITOR\*(C'" 16
.el .IP "\f(CW\*(C`EDITOR\*(C'\fR" 16
.IX Item "EDITOR"
.\"O Default editor to use in \fB\-e\fR (sudoedit) mode if neither \f(CW\*(C`SUDO_EDITOR\*(C'\fR
.\"O nor \f(CW\*(C`VISUAL\*(C'\fR is set
環境変数 \f(CW\*(C`SUDO_EDITOR\*(C'\fR や \f(CW\*(C`VISUAL\*(C'\fR
が設定されていないとき、
\&\fB\-e\fR (sudoedit) モードで使用するデフォルトのエディタ
.ie n .IP "\*(C`MAIL\*(C'" 16
.el .IP "\f(CW\*(C`MAIL\*(C'\fR" 16
.IX Item "MAIL"
.\"O In \fB\-i\fR mode or when \fIenv_reset\fR is enabled in \fIsudoers\fR, set
.\"O to the mail spool of the target user
\&\fB\-i\fR オプションが指定された場合や、
\&\fIsudoers\fR で \fIenv_reset\fR が有効になっている場合に、
変身対象ユーザのメールスプールにセットされる
.ie n .IP "\*(C`HOME\*(C'" 16
.el .IP "\f(CW\*(C`HOME\*(C'\fR" 16
.IX Item "HOME"
.\"O Set to the home directory of the target user if \fB\-i\fR or \fB\-H\fR are
.\"O specified, \fIenv_reset\fR or \fIalways_set_home\fR are set in \fIsudoers\fR,
.\"O or when the \fB\-s\fR option is specified and \fIset_home\fR is set in
.\"O \&\fIsudoers\fR
\&\fB\-i\fR や \fB\-H\fR オプションが指定された場合や、
\&\fIsudoers\fR で \fIenv_reset\fR や \fIalways_set_home\fR
が設定されている場合、あるいは \fIsudoers\fR で \fIset_home\fR が設定され、
かつ \fB\-s\fR オプションが指定された場合に、
変身対象ユーザのホームディレクトリにセットされる
.ie n .IP "\*(C`PATH\*(C'" 16
.el .IP "\f(CW\*(C`PATH\*(C'\fR" 16
.IX Item "PATH"
.\"O May be overridden by the security policy.
セキュリティ・ポリシーによってたぶん上書きされる
.ie n .IP "\*(C`SHELL\*(C'" 16
.el .IP "\f(CW\*(C`SHELL\*(C'\fR" 16
.IX Item "SHELL"
.\"O Used to determine shell to run with \f(CW\*(C`\-s\*(C'\fR option
\&\fB\-s\fR オプションで起動するシェルを決めるのに使用する
.ie n .IP "\*(C`SUDO_ASKPASS\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_ASKPASS\*(C'\fR" 16
.IX Item "SUDO_ASKPASS"
.\"O Specifies the path to a helper program used to read the password
.\"O if no terminal is available or if the \f(CW\*(C`\-A\*(C'\fR option is specified.
ターミナルが利用できない場合や、
\&\f(CW\*(C`\-A\*(C'\fR オプションが指定されている場合に、
パスワードを読み込むのに使用するヘルパープログラムのパスを指定する
.ie n .IP "\*(C`SUDO_COMMAND\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_COMMAND\*(C'\fR" 16
.IX Item "SUDO_COMMAND"
.\"O Set to the command run by sudo
sudo が実行するコマンドにセットされる
.ie n .IP "\*(C`SUDO_EDITOR\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_EDITOR\*(C'\fR" 16
.IX Item "SUDO_EDITOR"
.\"O Default editor to use in \fB\-e\fR (sudoedit) mode
\&\fB\-e\fR (sudoedit) モードで使用するデフォルトのエディタ
.ie n .IP "\*(C`SUDO_GID\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_GID\*(C'\fR" 16
.IX Item "SUDO_GID"
.\"O Set to the group \s-1ID\s0 of the user who invoked sudo
sudo を起動したユーザのグループ \s-1ID\s0 にセットされる
.ie n .IP "\*(C`SUDO_PROMPT\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_PROMPT\*(C'\fR" 16
.IX Item "SUDO_PROMPT"
.\"O Used as the default password prompt
デフォルトのパスワード・プロンプトとして使用する
.ie n .IP "\*(C`SUDO_PS1\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_PS1\*(C'\fR" 16
.IX Item "SUDO_PS1"
.\"O If set, \f(CW\*(C`PS1\*(C'\fR will be set to its value for the program being run
設定すると、
実行されるプログラムの \f(CW\*(C`PS1\*(C'\fR がこの変数の値にセットされる
.ie n .IP "\*(C`SUDO_UID\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_UID\*(C'\fR" 16
.IX Item "SUDO_UID"
.\"O Set to the user \s-1ID\s0 of the user who invoked sudo
sudo を起動したユーザのユーザ \s-1ID\s0 にセットされる
.ie n .IP "\*(C`SUDO_USER\*(C'" 16
.el .IP "\f(CW\*(C`SUDO_USER\*(C'\fR" 16
.IX Item "SUDO_USER"
.\"O Set to the login of the user who invoked sudo
sudo を起動したユーザのログイン名にセットされる
.ie n .IP "\*(C`USER\*(C'" 16
.el .IP "\f(CW\*(C`USER\*(C'\fR" 16
.IX Item "USER"
.\"O Set to the target user (root unless the \fB\-u\fR option is specified)
変身対象ユーザにセットされる (オプション \fB\-u\fR が指定されていなければ、
root になる)
.ie n .IP "\*(C`VISUAL\*(C'" 16
.el .IP "\f(CW\*(C`VISUAL\*(C'\fR" 16
.IX Item "VISUAL"
.\"O Default editor to use in \fB\-e\fR (sudoedit) mode if \f(CW\*(C`SUDO_EDITOR\*(C'\fR
.\"O is not set
変数 \f(CW\*(C`SUDO_EDITOR\*(C'\fR が設定されていない場合に、
\&\fB\-e\fR (sudoedit) モードで使用するデフォルトのエディタ
.\"O .SH "FILES"
.SH "ファイル"
.IX Header "FILES"
.ie n .IP "\fI/etc/sudo.conf\fR" 24
.el .IP "\fI/etc/sudo.conf\fR" 24
.IX Item "/etc/sudo.conf"
.\"O \&\fBsudo\fR front end configuration
\&\fBsudo\fR フロントエンドの設定ファイル
.IP "[\fB訳注\fR]:" 8
.IX Item "footnote3"
念のため、次の二つを追加しておく。詳細については \fIsudoers\fR\|(5)
をご覧いただきたい。
.RS 4
.IP "\fI/etc/sudoers\fR" 20
.IX Item "/etc/sudoers"
誰が何を実行できるかを設定するファイル
.IP "\fI/var/lib/sudo\fR" 20
.IX Item "/var/lib/sudo"
\&\fBsudo\fR が認証情報の保存に使用するタイムスタンプを置く、
デフォルトのディレクトリ
.RE
.\"O .SH "EXAMPLES"
.SH "用例"
.IX Header "EXAMPLES"
.\"O Note: the following examples assume a properly configured security policy.
注意: 以下の例は、
セキュリティ・ポリシーが適切に設定されていることを前提にしている。
.PP
.\"O To get a file listing of an unreadable directory:
読み取り不可のディレクトリのファイル一覧を取得する。
.PP
.Vb 1
\& $ sudo ls /usr/local/protected
.Ve
.PP
.\"O To list the home directory of user yaz on a machine where the
.\"O file system holding ~yaz is not exported as root:
ユーザ yaz のホームディレクトリのファイル一覧を取得したいのだが、
~yaz を含むファイルシステムが別のマシンにあって、
root でアクセスできるようにエクスポートされていない場合。
.PP
.Vb 1
\& $ sudo \-u yaz ls ~yaz
.Ve
.PP
.\"O To edit the \fIindex.html\fR file as user www:
ユーザ www として \fIindex.html\fR ファイルを編集する。
.PP
.Vb 1
\& $ sudo \-u www vi ~www/htdocs/index.html
.Ve
.PP
.\"O To view system logs only accessible to root and users in the adm group:
root と adm グループのユーザだけがアクセスできるシステムログを閲覧する。
.PP
.Vb 1
\& $ sudo \-g adm view /var/log/syslog
.Ve
.PP
.\"O To run an editor as jim with a different primary group:
jim に変身してエディタを実行する。
プライマリグループには別のグループを指定する。
.PP
.Vb 1
\& $ sudo \-u jim \-g audio vi ~jim/sound.txt
.Ve
.PP
.\"O To shutdown a machine:
マシンをリブートする。
.PP
.Vb 1
\& $ sudo shutdown \-r +15 "quick reboot"
.Ve
.PP
.\"O To make a usage listing of the directories in the /home
.\"O partition.  Note that this runs the commands in a sub-shell
.\"O to make the \f(CW\*(C`cd\*(C'\fR and file redirection work.
/home パーティションに存在するディレクトリのディスク使用量リストを作成する。
\&\f(CW\*(C`cd\*(C'\fR やファイル・リダイレクションがきちんと動作するように、
コマンドをサブシェルで実行していることに注目してほしい。
.PP
.Vb 1
\& $ sudo sh \-c "cd /home ; du \-s * | sort \-rn > USAGE"
.Ve
.\"O .SH "SEE ALSO"
.SH "関連項目"
.IX Header "SEE ALSO"
\&\fIgrep\fR\|(1), \fIsu\fR\|(1), \fIstat\fR\|(2),
.if \n(LC \&\fIlogin_cap\fR\|(3),
\&\fIpasswd\fR\|(5), \fIsudoers\fR\|(5), \fIsudo_plugin\fR\|(8), \fIsudoreplay\fR\|(8), \fIvisudo\fR\|(8)
.\"O .SH "AUTHORS"
.SH "作者"
.IX Header "AUTHORS"
.\"O Many people have worked on \fBsudo\fR over the years; this
.\"O version consists of code written primarily by:
多数の人々が長年に渡って \fBsudo\fR の製作に取り組んできた。当バージョ
ンは主として次の者が書いたコードからできている。
.PP
.Vb 1
\&        Todd C. Miller
.Ve
.PP
.\"O See the \s-1CONTRIBUTORS\s0 file in the \fBsudo\fR distribution
.\"O (http://www.sudo.ws/sudo/contributors.html) for a list of people
.\"O who have contributed to \fBsudo\fR.
\&\fBsudo\fR の製作に貢献してくださった方々のリストについては、
\&\fBsudo\fR の配布に含まれる \s-1CONTRIBUTORS\s0 ファイルをご覧いただきたい
(http://www.sudo.ws/sudo/contributors.html)。 
.\"O .SH "HISTORY"
.SH "履歴"
.IX Header "HISTORY"
.\"O See the \s-1HISTORY\s0 file in the \fBsudo\fR distribution
.\"O (http://www.sudo.ws/sudo/history.html) for a brief history of sudo.
\&\fBsudo\fR の簡単な履歴については、
配布物中の \s-1HISTORY\s0 ファイルをご覧いただきたい
(http://www.sudo.ws/sudo/history.html)。
.\"O .SH "CAVEATS"
.SH "警告"
.IX Header "CAVEATS"
.\"O There is no easy way to prevent a user from gaining a root shell
.\"O if that user is allowed to run arbitrary commands via \fBsudo\fR.
.\"O Also, many programs (such as editors) allow the user to run commands
.\"O via shell escapes, thus avoiding \fBsudo\fR's checks.  However, on
.\"O most systems it is possible to prevent shell escapes with the
.\"O \&\fIsudoers\fR\|(5) module's \fInoexec\fR functionality.
ユーザが \fBsudo\fR 経由で任意のコマンドを実行することを許可されているならば、
そのユーザがルート・シェルを獲得するのを防止する簡単な方法はない。
また、(エディタを含む) 多くのプログラムが、
シェル・エスケープを通してユーザがコマンドを実行できるようにしており、
この方法でユーザは \fBsudo\fR のチェックを回避することができる。
とは言え、たいていのシステムでは、
\&\fIsudoers\fR\|(5) モジュールの \fInoexec\fR 機能を用いて、
シェル・エスケープを阻止することが可能である。
.PP
.\"O It is not meaningful to run the \f(CW\*(C`cd\*(C'\fR command directly via sudo, e.g.,
下記のように sudo の中で直に \f(CW\*(C`cd\*(C'\fR
コマンドを実行しても意味がない。
.PP
.Vb 1
\& $ sudo cd /usr/local/protected
.Ve
.PP
.\"O since when the command exits the parent process (your shell) will
.\"O still be the same.  Please see the \s-1EXAMPLES\s0 section for more information.
なぜなら、このコマンドが終了したとき、その親プロセス (つまり、
\&\fBsudo\fR を実行したシェル) は相変わらず元の状態のままだからだ。
より詳しく知りたかったら、「用例」セクションを御覧になってほしい。
.PP
.\"O Running shell scripts via \fBsudo\fR can expose the same kernel bugs that
.\"O make setuid shell scripts unsafe on some operating systems (if your \s-1OS\s0
.\"O has a /dev/fd/ directory, setuid shell scripts are generally safe).
\&\fBsudo\fR を介してシェルスクリプトを実行すると、
ある種のオペレーティングシステムで
setuid シェルスクリプトを危険なものにしているのと同一の、
カーネルのバグが表面化するおそれがある (使用している \s-1OS\s0 に 
/dev/fd/ ディレクトリがあれば、setuid シェルスクリプトはたいてい安全である)。
.\"O .SH "BUGS"
.SH "バグ"
.IX Header "BUGS"
.\"O If you feel you have found a bug in \fBsudo\fR, please submit a bug report
.\"O at http://www.sudo.ws/sudo/bugs/
\&\fBsudo\fR にバクを発見したと思ったら、下記のページにアクセスして、
バグレポートを提出していただきたい。
.br
http://www.sudo.ws/sudo/bugs/
.\"O .SH "SUPPORT"
.SH "サポート"
.IX Header "SUPPORT"
.\"O Limited free support is available via the sudo-users mailing list,
.\"O see http://www.sudo.ws/mailman/listinfo/sudo\-users to subscribe or
.\"O search the archives.
ある程度の無料サポートが sudo-users メーリングリストを通して利用できる。
購読やアーカイブの検索には下記 URL を御覧になること。
.br
http://www.sudo.ws/mailman/listinfo/sudo\-users
.\"O .SH "DISCLAIMER"
.SH "免責"
.IX Header "DISCLAIMER"
.\"O \&\fBsudo\fR is provided ``\s-1AS\s0 \s-1IS\s0'' and any express or implied warranties,
.\"O including, but not limited to, the implied warranties of merchantability
.\"O and fitness for a particular purpose are disclaimed.  See the \s-1LICENSE\s0
.\"O file distributed with \fBsudo\fR or http://www.sudo.ws/sudo/license.html
.\"O for complete details.
\&\fBsudo\fR は「現状のまま」提供される。
明示的な、あるいは黙示的ないかなる保証も、
商品性や特定目的への適合性についての黙示的な保証を含め、
またそれのみに止まらず、これを否認する。詳細な全文については、
\&\fBsudo\fR と一緒に配布されている \s-1LICENSE\s0 ファイルや、
下記 Web ページを御覧いただきたい。
.br
http://www.sudo.ws/sudo/license.html