サーバ - みる会図書館

DNS レコードとツールを理解ー 227 4 つのネームサーバのうち、 2 つはネットワーク 204.101.252 にあり、他の 2 つはネットワーク 209.226.175 にある。これは、実に好ましいネットワーク設計だ。有名な企業に対する攻撃が何度も成功したのは、 DNS サーバが同じネットワークの同じサプネット内にあったことが原因だった ( Microso れの DNS の問題については、次の記事を見てほしい。 http://www.find articles.com/cf dls/m0FOX/3 6 / 75645162 / pl / article. jhtml ) 。実際にこのような保護を実現するためには、他の企業に、自分の DNS データベースをコピーするホストになってくれるように依頼しなければならない。その企業は ISP でもよいし、自社の関連企業でもよい。このようにすれば冗長性が高くなるが、複雑になるし、信頼性に別の要素が加わる。一方で、 DNS サーバを最新バージョンに維持し、完全にパッチをあて、安全に設定する必要がある。さらに他方で、別の管理者と共に働き、自分の DNS サーバのために同じ時間と労力を割いてくれるものと仮定する必要がある。どんなネットワーク構成の場合でも、誰かが「ゾーン転送」の問題に取り組まなければならない。 DNS では、データベースを「ゾーン」と呼ぶ。ゾーンはグローバルに分散した DNS データベースの一部となる。自分のゾーンを変更する必要があるときには、プライマリ DNS サーバ上のデータベースを編集する。ただし、冗長性を実現するために、少なくとも 1 つのセカンダリ DNS サーバを実装しなければならない。データベースの変更を、どのようにしてセカンダリ DNS に伝達すればよいのだろうか。「ゾーン転送を利用すればよい」と推測したとすれば、それは正しい。こで、エンドユーザと管理者を区別することが重要だ。例としてホスト名の解決を考えてみる。工ンドユーザは、インターネットのリソースにアクセスするために、その機能が必要である。管理者は、ホスト名の解決を自分の DNS サーバで実施したい。さもなければ、多くの不幸なエンドユーザの不満を聞かなければならない。しかし工ンドユーザは、あなたの DNS データベース全体の内容を知る必要はない。また、自分のネットワーク内のあらゆるホストの名前と IP アドレスを、世界中に知らせる必要もない。少々この問題について考えてほしい。きっと読者のネットワークには、 finance( 財務 ) 、 hr (human relations : 人事 ) 、 patents ( 特許 ) 、 store ( 保管 ) 、 admin ( 管理 ) という名前のマシンがあるだろう。悪意あるユーザは、これらの名前を想像するにちがいない。ニ面的なアプローチ世界に見せたくない情報が DNS サーバから漏れることを防ぐため、二面的なアプローチをとることができる。最初のアプローチは「分割 ( split ) DNS 」という方法だ。それは、内部ネットワークに完全な DNS ゾーンを設定し、そのゾーンのうちの一部を DMZ すに置く方法であす訳注 : DMZ (DeMiIitarized zone) とは、外部ネットワーク ( インターネット ) と内部ネットワークの間に設けた緩衝地帯のことだ。外部に公開するサーバを DMZ に配置すれば、外部から DMZ 内のサーバにアクセスできるが、外部から内部ネットワークにはアクセスできない。 HAC K # 47

2. BSD hacks : プロが使うテクニック&ツール100選

プートプロセスを保護・ http://www.baldwin.cx/splash ( スプラッシュ画像の例 ) プートプロセスを保護許可なくシステムに物理的にアクセスすることを防ぐ H A C K : # 25 しゃれたプート環境を作成することは、ユーザにとって好ましいことだと言える。 1 19 しかし、 HAC K # 25 サーバをプートするとなると、意識が自動的にセキュリティモードに移っていく。目標は、かなり限られた場合にのみ、かなり限られた人だけが、サーバ上でプートプロセスを見ることができるように制限することである。なにしろ、セキュリティの世界の大原則は、「物理的なアクセスは完全なアクセスに等しい」なのだから。こで、典型的な例を紹介する。 root のパスワードがわからないとき、または忘れたときに、システムを復旧することを考えてみる。サーバルームに行ってシステムを再起動し、キーを押してプートプロセスに割り込み、パスワードを変更する。数秒後には、システムはいつものプートプロセスを再開する。管理者が root のパスワードを明かさないで去ってしまったとき、これは本当の救命具になる。しかし、許可していないユーザがそのサーバに物理的にアクセスしたとしたら、どんなセキュリティの問題が発生するかを考えてほしい。そう、簡単に root でアクセスできてしまうのだ。許可のない再起動を制限ます始めに、一般ューザが不注意で、または故意にシステムを再起動することを防止してみる。デフォルトの設定では、ユーザが CCtrl] + CAlt] + CDelete] を押すと、システムは片づけをして再起動する。一般に、これがサーバで問題になることはない。ほとんどの場合、サーバの管理をリモートから実行することが多いし、安全なサーバルームに置いて鍵を閉めていることが多いからだ。しかし、ワークステーションの場合には破壊につながることがある。特に、ユーザに Wmdows 環境の経験があり、 CCtrl) + CAlt] + CDelete] の操作に慣れている場合には、問題が発生しやすくなる。サーバ上でもこの操作を禁止する価値がある。そうすれば、システムを再起動するには、スーパーユーザになって reboot コマンドを実行しなければならないからだ。 SSH を使用してリモートマシンにログインしている場合、 [Ct 「ロ十 CAlt] 十 CDeIete] を押しても、その影響が及ぶのはローカルマシンだけであり、リモートマシンには作用しない。しかし、 reb00t はネットワークを越えても働くので注意してほしい。

3. BSD hacks : プロが使うテクニック&ツール100選

PO 「 ts ツリーなしで po 「 ts をビルドー 407 匿名 CVS に接続初めて ( vs を使用するとき空の CVS パスワードファイルを作成しなければならない。このファイルが存在しないと CVS はエラーを出す。 # touch ~ て 00t /. ( vspass 次に作業ディレクトリを /usr に移す。 # cd /usr cvs を使用して po 「 ts を保守するときには必ず / u 立で作業しなければならない。、 ( vs は現在のワーキングディレクトリにファイルをダウンロードし、同じ名前のファイルをすべて上書きする。次に cvs login コマンドを実行して CVS サーバに接続する。 FreeBSD の匿名 cvs サーバは 5 つある。匿名 CVS サーバの名前とパスワードについては、この Hack の最後で紹介する fFreeBSDHandbook 』のページを参照してほしい。 setenv コマンドでログイン先のサーバを指定する。 # setenv CVSRWT : pserver: anoncvs@anoncvs.at.FreeBSD.org/home/ncvs # cvs login Logging in t0 : pserver:anoncvs@anoncvs.at.freebsd.org : 2401/home/ncvs CVS password : anoncvs ログインに成功すると通常のプロンプトが返ってくる。明示的にログアウトするまでは CVS サーバに接続したままになっている。こうなった後は、 cvs サーバのコマンドとローカルシステムのコマンドのどちらでも実行することができる。 ports のスケルトンをチェックアウト最小限の構成だけをインストールしており、 /usr/ports のディレクトリ構造が存在しないと仮定する。 po ホをインストールするには、 po ホの Makefi1e だけでなく Mk ディレクトリと Temp1ates ディレクトリも必要だ。 CVS サーバから必要なファイルを取り出すには cvs che ( kout コマンドを実行する。 # cvs checkout -A -P ports/Mk cvs server: Updating ports/Mk U ports/Mk/bsd. emacs. mk HACK # 82

4. BSD hacks : プロが使うテクニック&ツール100選

HACK 226 ー # 47 5 章ネットワークらのサーバには MX(maiIexchange) レコードがあるので、 mx を問い合わせればよい。 % dig mx sympatico ・ ca くバナーを省略〉 ; ANSWER SECTION: sympatico. ca. sympatico. ca. sympatico. ca. sympatico. ca. ; AUTHORITY SECTION : sympatico. ca. sympatico. ca. sympatico. ca. sympatico. ca. ; ADDITIONAL SECTION : smtpip. sympatico. ca. mtal. sympatico. ca. mta2. sympatico. ca. mta3. sympatico. ca. く省略〉この ISP には 4 つの SMTP サーバがあるようだ。これらのうち、どのサーバを使用するのかを覚えておきたい。 MX レコードには、必ず優先順位の値が入っている。この例ではすべてのメールサーバの優先順位が 5 なので、どのメールサーバの優先順位も同じだ。場合によっては、特定のメールサーバの優先順位が大きい値になっていることがある。優先順位の値が「小さい」メールサーバのほうが優先度が高い。したがって、この値が小さいメールサーバに電子メールの送信を試みるべきだ。優先順位が 0 であれば、そのメールサーバを必ず使用するべきだ。メールクライアントを使用しないで電子メールを送信するつもりなら ([Hack # 48D 、この情報を知っておくとよい。 5 smtpip. sympatico. ca. 5 mtal. sympatico. ca. 5 mta2. sympatico. ca. 5 mta3. sympatico. ca. 27 8s IN MX 27m48S IN MX 27m48S IN MX 27m48S IN MX dns2. sympatico. ca. ns5. bellnexxia. net. ns6. bellnexxia. net. dnsl. sympatico. ca. 2h34m29S IN NS 2h34m29S IN NS 2h34m29S IN NS 2h34m29S IN NS 4- 0 4 よっ 4 8 8 8 8 4 ↓ 1 イよイよ 0 ノ 0 ノっムっ 4 っ 4 っ 4 28m30S IN A 13m56S IN A 28m30S IN A 13m56S IN A DNS のセキュリティ少しの間、管理者の帽子をかぶり、 dig の出力を再び調べてみよう。ネームサーバが別のネットワークに存在していたのに気づいただろうか。もう一度 DNS サーバの A レコードを眺めてみる。 dns2. sympatico. ca. ns5. bellnexxia. net. ns6. bellnexxia. net. dnsl. sympatico. ca. 8m36S IN A 9m55S IN A 18m57S IN A 13m38S IN A 204.101.251.2 209.226.175.236 209.226.175.237 204.101.251.1

5. BSD hacks : プロが使うテクニック&ツール100選

HAC K # 48 230 ー 5 章ネットワークメールクライアントなしで電子メールを送受信 SMTP と POP3 との対話方法を学ぶ一般的な認識と違って、電子メールをチェックしたり、すばやく電子メールメッセージを送信したりするだけなら、わざわざ電子メールクライアントを設定する必要はない。普通 telnet アプリケーションを使用するときには Telnet クライアントを使用して、ポート 23 で待機している Telnet サーバに接続する。いったん接続すれば、そのシステムにログインして、まるで物理的にそこにいるかのように、キーポードから入力して何でも実行することができる。 Telnet クライアントにはさらに強力な機能が備わっている。 telnet コマンドでポート番号を指定すると、そのポートで待機している TCP サーバに直に接続することができる。どのコマンドにサーバが応答できるかを知っており、そのサービスがテキスト形式のコマンドを理解できれば、直接そのサーバと対話することができる。これは、そのサーバに固有のクライアントアプリケーションを使用する必要がないことを意味する。 H A C K telnet で電子メールを送信電子メールを送信するときには、ポート 25 で待機している SMTP サーバに接続する。 telnet を使用して、背後で実際にどんなことが起こっているか、そしてクライアントと SMTP サーバがどんなコマンドを交換しているかを見てみる。以降の例では、罪のない人を保護するために、名前とアドレスを置き換えて示している。 % telnet smtp.mycompany.com 25 Trying 1.2.3.4.. Connected t0 smtp. mycompany. ( om. Escape character iS 220 smtp.mycompany.com ESMTP server (InterMai1 version x) ready Sun, 2 NOV 2003 09 : 54 : 18 -0500 mail from: く moi@mycompany.com〉 250 Sender く moi@mycompany.( om 〉 0k rcpt to: く you@mycompany.com〉 250 Recipient く you@mycompany.com 〉 0k data 354 Ok Send data ending with く CRLF>. く CRLF> This is a test message. N0t very interesting, て eally. 250 Message received: 20031102145448.8N15340. smtp. my ( ompany. ( 0 [ 1.2.3.4 ] quit

6. BSD hacks : プロが使うテクニック&ツール100選

サーバなしで Windows の共有ファイルにアクセス・ man fstab ・ man fdformat ・ man bsdlabel ma n n ewfS 参照 87 HAC K # 19 fFreeBSD Handbook 』の「 Creating and Using FI 叩 pies 」のセクション (http : / / w . freebsd.org/doc/en US. IS08859-1/b00ks/handbook/floppies. html) fFreeBSD Handbook 』の「 Mounting and Unmounting File Systems 」のセクション (http://www.freebsd.org/doc/en US. IS08859-I/books/handbook/mount-unmount. html 、日本語版は http://www.freebsd.org/doc/ja JP. eucJP/books/handbook/mount-unmount. html) H A C K ストールするための po れ s がある。他のプラットフォームについては、 Sharity-Light の Web 有リソースをマウントすることが可能になる。 FreeBSD には、このアプリケーションをイン討してみるとよい。このアプリケーションを利用すると、 Unix システムから Wrndows の共 Sharity-Light ( 以前は Rumba と呼ばれていた ) を Un ⅸシステムにインストールすることを検読者の小さなネットワークに Microsoft と Unix のクライアントが混在しているとしたら、 Sharity-Light をインストールして設定の鉢に花を植えるために、パワーショベルを持ってくる人はいないだろう。かもしれない。実際にやりたいことに合わせて、適切なサイズのツールを使用すべきだ。窓う。 Windows 阪システムと Unix システムとの間で、いくつかのファイルを共有したいだけきるが、ホームオフィスや小規模なオフィスのネットワークでは、そこまでは必要ないだろ管理の専門家がいるわけでもない。もちろん、 Samba をインストールして設定することもですべてのネットワークに、商用のサーバ OS を使用するだけの予算があるわけではないし、こかに、少なくとも 1 台の NT サーバまたは 2000 サーバが必要になる。 SMB (ServerMessageBlock) の「サーバ」が必要になることだ。つまり、ネットワークのどれらのユーティリティには注意点がある。それは、ファイル共有サーピスを提供するためにマウントし、 Microsoft ネットワーク上のリソースにアクセスすることができる。ただし、 mount smbfs ユーティリテイや smbutil ユーティリティを利用して Windows の共有リソースをを利用できるという話を、きっと耳にしたことがあるだろう。例えば FreeBSD では、 Microsoft システム上のファイルにアクセスするために、いくつかの Unix ユーティリティ最小限の労力で Windows と FreeBSD の間でファイルを共有するサーバなしで Windows の共有ファイルにアクセス

7. BSD hacks : プロが使うテクニック&ツール100選

HAC K # 51 242 ー 5 章参照ネットワーク・ man ppp ・ man pppd ・ man hOSt. conf H A C K この変更を、次のコマンドでテストする。ればよい。 . netrc ファイルを作成するときには、パスワードとして自分の電子メールアドレスを使用すサーバを除き、インターネット上のほとんどの FTP サーバで使用できるだろう ) 。自分でこの設定は、匿名 (anonymous) ログインを受け付けるドサーバに作用する ( 非公開の P default login anonymous password genisis@istar.ca % more ~ /. netrc ためには、ホームディレクトリに . netrc ファイルを作成し、以下の行を書き込めばよい。コマンドラインの ftp でも、同じように透過的なログインを実現することができる。そのら、背後で自動的に処理を行って、ログインの詳細を隠してくれる。きない。つまり、必すドサーバにログインしなければならないのである。 Web プラウザなラインだと、 FTP サーバにログインしなければド PP のディレクトリ構造をたどることさえでロードを開始するには、単にハイバーリンクをクリックするだけでよい。ところがコマンド最近のプラウザで、非常に簡単にド rp を使用できることに気づいているだろうか。ダウンログインを自動化ドを自動化することが望ましい。ドしたり、同じディレクトリにアップロードしたりすることがあるだろう。そんなときには、おそらく、常に ftp を使用して同じドサーバに接続し、同じディレクトリからダウンローれる日がやってくるだろう。ページを見る必要さえないだろうが、もちろん、いすれ何かをダウンロードする必要に迫らインストールしていないシステムにログインしていたものだ。幸運なときにはマニュアルで効率的かをつい忘れがちになる。以前は、 X やプラウザやファンシーなド PP プログラムを GUI と豊富な機能を備えたプラウザがある現代では、コマンドラインの ftp がいかに迅速マクロとスクリプトを利用して、ありふれた代 p を最大限に活用する FTP を最大限に活用・ man nsswitch. conf

8. BSD hacks : プロが使うテクニック&ツール100選

HACK ー 369 # 74 Web サーバのログを統合 # su WWW % 55h 10gh05t -1 loguse て date どうか確認してほしい。次に手作業で ( opier を実行し、ログファイルを実際にログサーバに送信できることを確認する。 web サーバ上で出力を監視し、新たにコピーしたログがログサーバの save / 0 に入っているかどうか調べる。これらの手作業のテスト結果に満足したら、ログファイルのコピーと整理をするために ( ron ジョブのスケジュールを組む。これらのジョブを、 web サーバのユーザとして実行すべきだ。このコマンドが失敗したら、ファイルのバーニッションを 600 に設定しているか # crontab -e -u www - 省路 - # 15 分おきに収集ホストにログファイルをコピー 0 , 15 , 30 , 45 * * * * /home/www/bin/copier # 1 時間おきに tmp ティレクトリを掃除 0 * * * * /home/www/bin/cleantmp - 省路 - 次回の ( opier の実行を待ち、ログホストでバッチが動いたら終了だ。ログホスト上でスクリプトを設定いくつかのバッチが入っているはずだ。それぞれのバッチ現在、ログッリーの save / 0 にには、バッチ間隔 ( デフォルトでは 5 分 ) ごとに収集したログ行が入っている。また、ファイル名はインスタンス (site 、 virtual 、 secure) 、タイプ (access 、 e Ⅱ 0 ム ssl) 、 Web サーバホスト、バッチを作成したときのタイムスタンプ、バッチを作成した batcher プロセスの PID を示している。次にログ処理スクリプトを bin/ にインストールする。 # cp $srcdir/collector/{arclogs,cleantmp,collect} bin/ これらのスクリプトを新しい場所のパスに合わせて変更し、表 7-2 に示す OS の依存関係を置き換える。

9. BSD hacks : プロが使うテクニック&ツール100選

PF を使用して無線ネットワークを保護 pass in on $int if 行く authorized hosts 〉 t0 any keep state pass out on $int if from any t0 く authorized h0StS> keep state ー 323 HACK # 65 これらのルールの直後に、未許可のホストが Web サーバと DNS サーバにアクセスできるようにするためのルールを追加する。 pass in on $int if proto tcp from ! く authorized hosts 〉 t0 $auth server pass in on $int if proto {tcp, udp} from any t0 $dns server port domain \ keep state これで、 authorized hosts テープルのすべてのホストが、インターネットに完全にアクセスすることができる。他のホストは、名前の検索と Web サーバへのアクセスだけを実施できる。さらに、いくつかの簡単なルールを追加して、許可していないユーザが Web サイトを参照しようとしたときに拒否ページを表示してみる。 NAT セクションに次のルールを追加する。 rdr on $int if proto tcp from ! く authorized h0StS> t0 any port www - 〉 \ $auth server このルールは、未許可のホストがリモートマシンの翻ポートへのアクセスを試みると、そのアクセスを拒否ページを返す Web サーバにリダイレクトする。ファイアウォールのポックスまたは別個のマシンに、 Web サーバをインストールしてもかまわない。筆者の場合、他の Web サーバと混同することを防ぐため、ファイアウォール上で Apache を実行し、 127.0.0.1 とポート 8080 で待機させている。 Apache を設定 OpenBSD をインストールすると Apache もデフォルトで入っている。そこで Apache の設定を変更し、ゲートウェイ ()P アドレス 127.0.0.1 ) のポート 8080 上で待機し、すべての URL に対して同じページを返すように設定する。 (Apache は、 FreeBSD の po ホコレクションと NetBSD のパッケージコレクションからも入手できる。 ) 最初に、 /etc/rc. conf の httpd flags パラメータで、 Apache を起動するように設定する。次に、 Apache の設定ファイル /var/www/conf/httpd.conf を編集する必要がある。 Listen ディレクテイプを探し、 127.0.0.1 : 8080 を追加する。そして以下のような VirtuaIHost 工ントリを作成する。く VirtuaIHost 127.0.0.1 : 8080 > ServerAdmin none DocumentRoot /var/www/auth

10. BSD hacks : プロが使うテクニック&ツール100選

HACK # 66 326 ー 6 章それこそが、 IPFilter のセットアップスクリプトの目的だ。つまり、 FreeBSD と IPFiIter をシステムのセキュリティそうすれば友人を保護できるので安心だし、システムのセットアップ方法を示すために時間初心者でない人は、このスクリプトを FreeBSD を使い始めた友人に紹介する価値がある。設定の知識がなくても典型的なファイアウォールをセットアップできるはすだ。ウォールの利点を存分に享受することができる。実際このスクリプトがあれば、 FreeBSD の設定ルールを生成することだ。初心者でさえ、あらかじめ構文を学ばなくても、ファイア使用して、典型的な SOHO ( スモールオフィスおよびホームオフィス ) のファイアウォールのをとる必要もない。スクリプトが実行することこのスクリプトでは、簡単な質疑応答形式のテキストインタフェースを使用する。クリプトは主に以下の 4 つのセクションに分かれる。ネットワークと旧 F ⅱ te 「ファイアウォールおよび旧 NAT を設定このスこのセクションでは、手作業または DHCP によって、内部および外部のネットワークカードインタフェースの IP アドレスを設定する。外部ネットワークインタフェース上で、ステートフル ( 上位層の状態も把握 ) なファイアウォールのルールを作成する。また、内部ネットワークインタフェースで、インターネット接続を共有するために NAT を設定する。 ADSL の PPPOE を設定このセクションでは、ログイン名、パスワード、イーサネット NIC の入力を要求し、これらの情報を基に / etc / ppp / ppp. ( onf ファイルを生成する。また、必要な PPP 変数を / etc / 江 . ( onf に挿入する。これで、システムのプート時に userlandPPP が起動をインストールすることを提案する。いなければ、 po ホシステムまたはコンパイル済みのパッケージから最新バー ISC の DHCP サーバをインストールしてあるかどうかを調べる。インストールして DHCP サーバを設定する。ションして DHCP サーバを設定する。用する IP アドレスの範囲とサプネットマスクの入力を要求し、これらの情報を基にレス、デフォルトゲートウェイとして使用する内部 NIC のアドレス、内部 IAN で使 DHCP サーバをインストールした後で、このスクリプトは ISP の DNS サーバのアド