UNIX MAGAZINE 2005年12月号

キーフレーズ

UNIX MAGAZINE ファイル DNS http:// ネットワーク サーバー dev Linux 2005 システム Windows struct ソースルーティング インターフェイス www アドレス ドライバ prefix 場合 () LAN インストール 情報 Web データ etc image キャッシュ プログラム Mac OS X 対応 ユーザー ファイアウォール 作成 クライアント north アプリケーション 利用 コマンド 設定 デバイス 必要 UDgateway FreeBSD int ノード 192 ルータ 機能 処理 root パーティション Ethernet メッセージ Solaris アクセス DVD ジョイスティック ディスク ifra iptables INTERFACE CPU any プレフィックス ソフトウェア .com プロセス HDD example.com ホスト VMware 可能 設疋 mpfx ディレクトリ IPv6 オプション xen 構造体 バケット 管理 モデル hif 表示 時間 example ndopt lntel 000 指定 DMZ 環境 できる syslogd インターネット 実行

目次

SC 翡 好評発売中 ! 実践セキュリティ ーー頼れるファイアウォールを作る 図 18 ポート・フォワーディングの言諚例 アドレス変換設定ーアドレス変換テーブルの追加 グルーブ 「 i 三新規ーーー 工アステーションの WAN P アドレスマ WAN 側Ⅲアドしス 0 N ー X 0 全て 0 ICK4P プロトコル ( WAN ( 、任意 TCP/UDP 宀ロ博出一 セキュリ - アイ プロトコル番 号 手設定 手動設定「市 5 ーー - ーー TCP/UDP 任意のポート : 任意の TCP ポート 任意のポート : 2 LAN 側Ⅲアドレス プロトコル (LAN 側 ) ルールを追加 ・白崎博生著 ・ A5 判、 288 ページ ・ ISBN 4-7561-4296-6 ・ 2 , 940 円 ( 税込み ) S ロー 本書は、日本でトップクラスのセキュリティ技術者 によるファイアウォールの構築・運用指南書であり、 ネットワーク・セキュリティの本質を理解するため の第一級の解説書でもある。本質が分かっていれば、 日常的に起こるさまざまな問題にも容易に対処でき る。これからファイアウォールを構築する人はもち ろん、運用に携わっている人にもぜひ一読をお勧め する。 ( 奈良先端科学技術大学院大学山口英 ) 【目次から】 1 章常時接続って何 ? 基本的な用語 / 現在の常時接続事情 / 常時接続は嬉し い ? / 常時接続時の危険性 2 章攻撃の手法 スキャン / TCP / 旧への攻撃 / アプリケーションへの攻撃 3 章ファイアウォールの基礎知識 セキュリティ対策は必要 ? / セキュリティ対策とポリシー / フ ァイアウォール / ファイアウォールを構成する要素 / ファイ アウォール構築のポイント / Script Kiddie 4 章ファイアウォールを作ろう ( ルータ編 ) 端末型接続と LAN 型接続 / プロトコル / RTA55i で作るフ ァイアウォール / フィルタリング機能 / フィルタ設定の操作 手順 / DMZ を作る / 攻撃検知機能 5 章ファイアウォールを作ろう (Linux 編 ) 端末型接続と LAN 型接続 / netf ⅱ te 「 / ne 廿ⅱ ter の仕組み / iptab 厄 s / ipchains との互換性 / フィルタリング・ルールの 設定 / アドレス変換の設定 / iptables の設定例 / ipchains/ipchains の設定例 6 章攻撃されたときの対処 セキュリティ動向を知る / 相談するところ / 連絡先アドレス の探し方 / 攻撃か事故かを冷静にみきわめる / 消さないで、 そのログ / 典型的な対応 / ケーススタディ / やってはいけ ないこと 株式会社アスキー 〒 1 02 ー 8584 東京都千代田区九段北ト ] 3-5 日本地所第一ビル 電話 ( 03 ) 6888 ー 5500 ( 営業局 ) しる 図 19 第各工ントリの言綻例 ルーティンクの追加 アドレス石イ應ーー 宛先アドレス サブネットマ 255.25512 & 0 スク グトウェイ 19216802 メトリック ルールを追加ー 閉しる 「おかしいなあ。登録したはすやのに、アクセスできひん と悩まないように、製品のマニュアルなどをよく読んでか ら作業にとりかかりましよう。 サーバーホストのバックアップ サーバーホストを運用していると、どんな方法でディス クのバックアップをとるのがいいのだろうかと煩悶するこ とになります。 大きなサーバーホストなら RAID 1 や RAID 5 などの 構成にし、 「 RAID は信頼性カ皜いから、バックアップはせんでもえ えやろ」 などと公言できますが、今回のようなノート PC では RAID は使えません 2 。 ディスクのバックアップは、処理中にファイルが書き換 えられないようにサーバープロセスを停止しておこなうの カましいのですが、そんな理想を追求していると、面倒 なオペレーションがさらに面倒になります。 2 そもそも、ほとんどの 2.5 インチのハードディスクは、 24 時間 ; 当蒲力が イ描正されていませんが・・ 41 UNIX MAGAZINE 2005 . 12

図 17 /etc/rc. d/rc. local を変更する 5 , 9 # want tO d0 the fu11 Sys V style touch /var/lock/subsys/local + sh /etc/rc . d/rc . firewall 書き換えたら、 # /etc/init . d/sshd restart としてサーバープロセスを再起動します。 init stuff . 以上の作業を Web サーバーホスト上でもおこないます。 そして、 web のコンテンツを用意し、以下のコマンドを実 行します。 # chkconfig ——level 345 httpd 0 # /etc/init . d/httpd start こまでの作業が終ったら、内部ネットワーク上のほか の端末からアクセスできるか、テストしてみましよう。 バーチャルマシンにアクセスするには、以下の経路を登 録する必要があります。 # route add -net 192.168.128.0 / 17 gw 192.168.0.2 ssh コマンドでログインできるか、 Web プラウザでペー ジが表示されるかといった点を確認します。もし、まった く反芯がなかったら、 Xen のドメイン 0 ゲスト OS 上で 以下のコマンドを実行し、再挑戦してみましよう。 # echo 1 > /proc/sys/net/ipv4/ip—forward それでもダメだったら、ドメイン U のゲスト OS の問 題かもしれません。 sshd や httpd が正しく起動されてい るかを確認してください。 ファイアウォールのセットアップ 末尾のリスト 1 に、前述の言妬 t 方釗・に沿って作成したフ イルタの設疋ファイルを示します。この内容のファイルを /etc/rc. d/rc. firewall として用意してください。 次に、 /etc/rc. d/rc. local を図 17 のように編集し、ド メイン 0 のゲスト OS の起動時にフィルタが登録されるよ うにします。 なお、フィルタを書くときは慎重なうえにも慎重を期し、 間違えたり途中で混乱して迷子にならないように、ゆっく りと落ち着いた気分で臨みましよう。くれぐれも急いては 40 いけません。 リスト 1 のファイルを作成したら、次のコマンドを実行 してフィルタを登録してみます。 # sh /etc/rc . d/rc . firewall そして、以下の点を確認します。 UNIX MAGAZINE 2005. 12 ルータによっては、再起動を必要とするものもあります。 もらったりして、最終的なアクセステストをおこないます。 スが使えるところに出かけたり、外部にいる人に手伝って できる状態になっているはすです。公衆無線 LAN サービ ルータの設疋が終ったら、インターネットからアクセス AirStation での定例を示します。 る機器のマニュアルを参照してください。図 18 ~ 19 に ルータの設定方法は製品ごとに違うので、使用してい ・ 192.168.128.0 / 17 を 192.168.0.2 へ そして、次のエントリを糸各テープルに追加します。 ・ TCP の 80 番を 192.168.128.2 へフォワード ・ TCP の 22 番を 192.168.129.2 へフォワード 2 つです。 登録するポート・フォワーディングのルールは、以下の ットワークへの糸登各も追加する必要があります。 サーバーに転送するように設疋します。さらに、 DMZ ネ 静的なルールを登録し、インターネットからのアクセスを プロードバンド・ルータにポート・フォワーディングの プロードバンド・ルータのセットアップ クセスに関する定です。 上記のテストがうまくいったら、いよいよ外部からのア ・両サーバー間のアクセスは拒否されるか。 るか。 ・両サーバーからインターネットへのアクセスは拒否され ・両サーバー上で DNS の名前解決はできるか。 否されるか。 ・ Web サーバーから内部ネットワークへのアクセスは拒 ・その他のホストへの SSH ログインは拒否されるか。 の SSH ログインは可能か。 ・ SSH サーバーから内部ネットワークの特定のホストへ 月皀カ % ・内部ネットワークからサーバーへの SSH ログインは可

そして、もう 1 回、システムを再起動します。 システムがプートしたら、ふたたび、、 xm list " コマンド を実行します。今回は、 2 つのバーチャルマシンが自動的 に起動していることカ認できるはすです。 # xm list Name ld Mem(MB) CPU State Time (s) Cons01e Domain—0 0 251 0 127 0 127 0 て一 ssh 1 2 54.4 5 . 0 9601 9602 SC 翡 好評発売中 ! Linux ブートプロセス みる Linux の フトプロセスをみる ドメイン U ゲスト OS のセットアップ 2 つのゲスト OS 上で、サーバーのセットアップをおこ ないます。 ールに接続して root ユーザーでログインします。 以下のコマンドを実行し、 SSH サーバーホストのコンソ # xm CO 取 sole SSh じめ、以下の設疋を . bash-profile に追加しておくとよい おくと、ⅵカ駛えないなど、いろいろと不便です。あらか ターミナルの種別をデフォルトの、、 linux " のままにして TERM=vt100 でしよう。 UNIX MAGAZINE 2005. 12 PermitRootLogin Ⅱ 0 ↓ #PermitR00tLogin yes ように書き換えます。 的によろしくないので、 /etc/ssh/sshd-config を以下の によるアクセスができてしまいます。これもセキュリティ デフォルトの言では、外部から root ユーザーで SSH # passwd sirasaki # useradd sirasaki のアカウントを作成します。 ザーでログインするのはよろしくないので、一ヨ殳ユーザー 今後、ネットワーク経由でアクセスするとき、 root ユー > done > chkconfig $i off > /etc/init . d/$i stop rpcidmapd smartd ; do cpuspeed irqbalance acpid nfslock rpcgssd - xinetd cups isdn pcmcia apmd mdmonitor = 〉 # for i in autofs gpm netfs sendmail portmap - まず、不要なプロセスを停止します。 白第博生 ~ ハードウェアの一 00U のメモリ響第 ・ 32 cpu の鋼第・第 . 第込みと鋼外 0 癶ーのレ 0 アクセス . PC / AT アーキテクチャ ′フロッビがらのプ 0 グラムのロード セットアップ・発チン . 圧物カーネルの - 駅山 0 32 ルーチン ・載ーⅢからカー事ルスレッドの生歳第で に面 - b 引 0 、 0 れ 20 ユーサプロセス / を b 朝の・第 ) カーネルテパッ対 ASCII ・白崎博生著 ・ B5 判、 204 ページ ・旧 BN4-7561-4451-9 ・ 2 , 940 円 ( 税込み ) Linux カーネルがプートする仕組みを、コ ードを見ながら詳細に解説する。 CPU の 構造から、 Linux のプートローダとカーネ ルの動作、 init プロセスの起動までの道筋 をみていく。カーネルの「敷居」を低く する一冊。 目次から ハードウェアの制御ー - CPU のメモリ管理 IA -32 CPCJ の保護機能、割込みと例外 CPU のレ O アクセス、 PC / AT アーキテクチャ フロッピーからのプログラムのロード セットアップ・ルーチン、圧縮カーネ丿レの展開 sta 「 tup_32 ルーチン sta 「 t_ke 「 nel() と setup_a 「 ch() t 「 ap_init() 、 init_ 旧 Q() 、 time_init() 、 mem_init() 「 est ー init ( ) からカーネルスレッドの生成まで 電話 ( 03 ) 6888 ー 5500 ( 営業局 ) 東京都千代田区九段北ト 1 3-5 日本地所第一ビル 〒 1 02 ー 8584 株式会社アスキー カーネルデバッガ ユーサープロセス / sbin / init の起動 init() と do_basic setup() 39