etc - みる会図書館


検索対象: UNIX MAGAZINE 1999年11月号
53件見つかりました。

1. UNIX MAGAZINE 1999年11月号

needS lth IAI alwa Cyber R のⅡ′ Ent 2 マルチホスト、最大キャッシュメモリー 256MB SNX -56000E -130 ( 13GB ) SNX -76000E -450 (45GB) SNX -56000E -180 ( 18GB) SNX -76000E -550 (55GB) SNX -56000E -270 (27GB) SNX -76000E -720 (72GB) SNX -56000E -360 (36GB) SNX -76000E -900 (90GB) SNX -76000E -1080 ( 108GB ) SERIES SNX -96000E -2520 ( 252GB ) SNX -96000E -2880 ( 288GB ) SNX -96000E -3200 ( 324GB ) SERIES ( V ・第 40 コントローラー機肯皀 電圧、温度監視機能 Event Log 、 Tag Queing 機能 ■ティスクドライブサポート Standard ( 1 12 台 ) 、 Entry ( 42 台 ) ■工ラー訂正 ( ECC ) 工ラー検出 ( Par は y ) Sync Mode/Rate 言殳定メニュー ( VT100 ターミナルモード、 LCD) ■メモリースロット (Standard 4 、 Entry/Dual 2 ) ーライトスルー / ライトバックキャッシュ バッテリーノヾックアップ ・ホットスワップ 対応ホストマシン SUN ULTRA ・ SGI•日 S6000 ・ HP9000 ・ NEWS ・ DEC Alpha ・ Windows NT ・ PC UNIX 他 SEFEES Å・ⅵ気色 SNX -76000E -1080 SNX -56000E -360 Cyber R の第 Standard 4 マルチホスト、 最大キャッシュメモリー 512MB SNX -76000-1800 ( 180GB) SNX -76000-2160 ( 216GB) SNX -96000-2520 ( 252GB ) SNX -96000-2880 ( 288GB ) SNX -96000-3200 ( 324GB ) CYBER SUPPORT 全国オンサイト保守体制完備 SNX -96000-3200 ADD-IN MEMORY 8mm カートリッジテープサプシステム STX•8510EXS ド TX ・ 891 OXS ( 標準 7GB ・圧縮 14GB ) ( 標準 20GB ・圧縮 40GB テープ残量・エラーレート表示付 SUN SPARC 4 , 5 、 SPARC20 、 ULTRAI / 2 / 5 / 10 ノ 30 / 60 E 猷 erp 「 ise150 / 450 / 3000 / 5000 / 6000 IPX/ELC 、 SPARC Center 、 etc. 100 % 完全互換 SGI 高信頼性永久保証メモリー Ind%lndig02 、 ONYX 、 02 、 OCTANE 、 Challenge 、 etc. " 低価格、即納 ' でお届け致します ! D EC AIpha Station 200 、 AIpha Station 500 Alpha Station 600 、 Alpha Server 800-2100 AIpha 3000 300-900 etc. 旧 M ( RS6000 ) 320H -390 、 520H -990 、 3AT 、 3BT 、 3CT 、 40P 、 43P 、 41 / 42 、 T/G/W 、 591 , 595 、 etc. HP HP9000 700 シリ - ズ、 HP BCDKJ Class Serve 「、 etc. * 製品等の固有名詞は各社商標または登録商標です。 STX ・ 851 OEX STX ・ 891 OXS 1 / 2 カートリッジテープサプシステム ( DLT ) S 000XS ド・ 7000XS ( 標準 35GB ・圧縮 70GB ) ( 標準 20GB ・圧縮 40GB ) テープ残量・エラーレート表示付 STX-4000XS STX-7000XS WEB ■ http : //www.iai•usa. co ・ JP 技術 : TEL 03-3350-5281 FAX 03-3350-5285 資料請求 No. 013

2. UNIX MAGAZINE 1999年11月号

特集 Web で日記帳システムを作ろう um% rpm —q —i -p apache-l . 3.6 ー 7. i386. rpm 図 19 Apache のパッケージの情報 Name Version Re1ease lnstall date: Group Packager Summary Description apache 1 . 3 . 6 (not installed) System Environment/Daemons : 2106338 Re10cations : Vendor : Bui1d Date : Bui1d Host : Source RPM: License : (not relocateable) Red Hat Software Thu Apr 8 06 : 17 : 57 1999 porky. devel. redhat . com apache—l . 3.6 ー 7. src. rpm Free1y distributable and usable Red Hat Software く http : //developer. redhat . com/bugzilla> The most widely used Web server on the lnternet . Apache is a powerful, full—featured, efficient and freely—available Web server. Apache is also the most popular Web server on the lnternet . This package wi11 insta11 the Apache Web server 0 れ your machine. 図 20 apache -1.3.6-7. i386. rpm の中身 um% rpm -q ー 1 —p \ /home/httpd/html/manual/bind.html /home/ht tpd/html /manual /LI CENSE /home/httpd/html/manual /home/ht tpd/html / inde x. html /home/ht tpd/html /home/httpd/cgi-bin /home/httpd /etc/rc. d/rc6. d/K15httpd /etc/rc . d/rc5. d/S85httpd /etc/rc . d/rc3. d/S85httpd /etc/rc . d/rc2. d/K15httpd /etc/rc . d / て cl . d/K15httpd /etc/rc. d/rcO. d/K15httpd /etc/rc. d/init . d/httpd /etc/logrotate . d/apache /etc/httpd/modules /etc/httpd/logs /etc/httpd/conf/srm.conf /etc/httpd/conf/magic /etc/httpd/conf/httpd.conf /etc/httpd/conf/access . conf /etc/httpd/conf apache—l . 3.6 ー 7. i386. て pm ー cat ーⅡ 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 56 6 私は ftp ・ jaist ・ ac. jp からダウンロードさせてもらいました。 ます ( 図 19 ) 。バージョンが 1.3 以上であれば問題はない インストールする前に、ますこのパッケージの情報を見 FTP サイトからパッケージをインストールします 6 インストールされていないようなので、 CD-ROM や um% rpm —q -a ー grep apache ます。 コマンドで Apache がインストールされているかを調べ 151 152 153 154 155 263 264 265 266 267 268 269 302 303 311 312 313 314 315 316 317 /home /ht tpd/html /manual /w indows . html /home/httpd/html/poweredby ・ gif /home/httpd/icons /home/httpd/icons/README /home/httpd/icons/a.gif /home/httpd/icons/wor1d2.gif /usr/bin/dbmmanage /usr/bin/htdigest /usr/bin/htpasswd /usr/lib/apache /usr/lib/apache/libproxy. so /usr/lib/apache/mod—access . so /usr/lib/apache/mod-usertrack. so /usr/man/manl/dbmmanage ・ 1 /usr/man/man8/rotate10gs.8 /usr/sbin/ab /usr/sbin/httpd /usr/sbin/logresolve /usr/sbin/rotatelogs /var/cache/httpd /var/log/httpd はすです。 次に、どのようなファイルがどこへインストールされる のかを調べます。それには、 rpm コマンドに引数として -q -l -p を指定して起動します ( 図 20 ) 7 これを見ると、次のようなことカ吩かります。 1 ~ 5 行目 : Apache の成疋ファイルは /etc/httpd/conf に置かれます。 7 説明のために cat -n を使って行番号を付け、いを省略してあります。 UNIX MAGAZINE 1999.11

3. UNIX MAGAZINE 1999年11月号

inetd の設定 /etc/inetd. conf ファイルの内容をすべて削除し ( 空に する ) 、プロセス inetd にシグナル SIGHUP を送ります。 これは、ファイアウォールに不要なサーピスを提供しない ようにするためです。 ファイルの中身を空にするには、たとえは次のコマンド を実行します。 # rm —f /etc/inetd. conf # touch /etc/inetd. conf # chown root . wheel /etc/inetd. conf # chmod 644 /etc/inetd. conf inetd. conf へのエントリの追加は、プロキシー・サー バーを設定する段階で必要なものだけを書き加えるように します。 ファイルの編集カ絲冬ったら、 inetd にシグナル SIG- HUP を送ります。 rc ファイルの変更 インストール後、何も設疋していない状態で BSD/OS や FreeBSD をプートすると、いろいろなデーモンが次々 に起動されます。しかし、その大半はファイアウォールに とってはイなものです。そこで、 rc ファイルを編集し、 これらのデーモンか起動されないように設定します。 BSD/OS 4.0.1 の場合は、末尾の図 12 に示した部分 を / etc / rc から削除するか、もしくはコメントアウトしま す。 FreeBSD 2.2.8 では、図 4 に示した /etc/rc. conf の パラメータをすべて、、 NO " に設定します。ほとんどはデ フォルトで、、 NO " が設定されているのでとくに苦労する ことはないと思いますが、単調な作業なので頭がクラク ラするかもしれません。見落しがないように注意しましよ う。 FreeBSD 3.2 の場合は、図 4 に加えて図 5 の内容 を /etc/rc. conf ファイルに追加します。 ロクファイノレのローテーション 次に、ログファイルのローテーションに関する定をお こないます。 BSD/OS 4.0.1 の場合、 /etc/daily と /etc/weekly 、 /etc/monthly を変更します ( 図 6 ) 。 FreeBSD では daily や weekly ではなく、 newsyslog というコマンドが毎時 0 分に cr 。 n によって起動され、設 UNIX MAGAZINE 1999.11 ・の易ー月の方一 図 4 / etc / rc. conf のパラメータ言聢 (FreeBSD) nisdomainname="NO' firewa11_enab1e="NO" kerberos_server_enab1e="NO" kadmind_server—enab1e="NO" rwhod_enab1e="NO " amd_enab1e="NO" nfs_c1ient—enab1e="NO" nfs_server_enab1e="NO" rpc—10ckd—enab1e="NO' rpc—statd—enab1e="NO" portmap—enabIe="NO" rarpd—enab1e="NO " xtend_enab1e="NO " timed_enab1e="NO" 111s_c1ient—enab1e="NO" ms—ypset—enabIe="NO' 111s_server_enable="NO" ms—ypxfrd—enab1e="NO" ms—yppasswdd—enab1e="NO" gateway—enabIe="NO" router_enab1e="NO" mrouted_enab1e="NO" ipxgateway—enabIe="NO" ipxrouted—enab1e="NO " arpproxy—a11="NO" forward_sourceroute="NO ー accept_sourceroute="N0" natd_enab1e="NO" moused_enab1e="NO" 1pd—enab1e="NO" ibcs2_enab1e="NO" 1inux_enab1e="NO" 図 5 /etc/rc. conf ( ンくラメータを追加 (FreeBSD 3.2 ) keyserv—enab1e="NO" icmp—bmcastecho="NO" 疋ファイル /etc/newsyslog. conf の内容に従ってローテ ーション処理を実行します。 デフォルトの newsyslog. conf にはさまざまな設定が 書かれていますが、これらをすべて削除します。そして、 図 7- a の 1 行を設定します。図 2 で設定したように、現在 構築中のファイアウォールでは messages ファイルしか 使わないので、この 1 行だけで - ト分です。最後に、図 7-b の内容の /etc/daily. local ファイルを作成します。 crontab の設定 さきほど紹介した図 6- a や図 7 ー b では、ローテーション されるファイルとは別に毎日の messages ファイルを、 messages. 日 . 月 . 年 . gz 25

4. UNIX MAGAZINE 1999年11月号

図 6 ファイルの変更 (BSD/OS 4.0.1 ) (a) /etc/daily を変更 図 7 ファイルの変更 (FreeBSD 2.2.8 、 3.2 ) echo ”・ rotate kill ー 1 ChO rotate ki11 ー 1 if [ -f ↓ ( cat /var/run/syslog ・ pid ー 2 —r 6 /var/log/messages echO "Rotating messages ( cat /var/run/syslog ・ pid' —z —r 7 /var/log/maillog echo "R0tating mail 10g ・ (a) /etc/newsyslog. conf を変更 /var/log/messages 664 6 * (b) /etc/daily ・ local を作成 24 10g ・ /var/log/messages . 0 ] ; then today='date + "%d. %m. %Y' cp /var/log/messages ・ 0 /var/log/messages. $today /usr/contrib/bin/gzip —f ー 9 /var/log/messages. $today (b) /etc/weekly から以下の部分を削除 ki11 ー 1 rotate echo " ”・ ki11 ー 1 rotate echo " ”・ rotate echo " ”・ 'cat /var/run/syslog ・ pid' —z —r 3 /var/log/cron echO "Rotating cron 10g : ( cat /var/run/syslog ・ pid ( -z -r 3 /var/log/daemon. 10g echo "Rotating daemon 10g. -z —r 3 /var/log/messages echO "Rotating messages : (c) /etc/monthly を変更 ( 語ⅲの都合上、斤り返しています。以下 1 研 rotate —z -r 5 /var/log/wtmp echO "Rotating wtmp. echo ↓ echO kill ー 1 'cat ・ /var/run/syslog. pid' rotate -z -r 5 /var/log/ftpd/ftp.10g ech0 —n " ftp. 10g " rotate —z —r 5 /var/log/$i echÖーⅡ " $i" for i in kerberos .10g lpd—errs wtmp ; echo ーⅡ "Rotating 10g files : echO do という名前のファイルにも残すように言殳定しています。し かし、このままファイアウォール・ホストの運用を続けて いくと、いつかは / var のパーティションがログファイル て溢れてしまいます。そこで、ファイル /etc/crontab に 図 8 のエントリを追加し、一定以上の日数か経過したログ ファイルは削除するように設定します。この例では、ディ レクトリ /var/log にある、 90 日以上更新のないファイ ルを削除するコマンドを実行しています。保存期間を長く ( または短く ) したい場合は、 find のオプションに指定し 26 if [ -f /var/log/messages. 0 ] ; then today='date + " % d. プ迎 . % Y ” ( cp /var/log/messages ・ 0 /var/log/messages. $today /usr/bin/gzip —f ー 9 /var/log/messages. $today f i exit 0 ている数字 ( 90 ) を適当に変更してください。 レポート出力の設定 9 月号で紹介したレポート・プログラム daily-report. sh を 1 日に 1 回、 weekly-report. sh を 1 週間に 1 回のわ りで自重加勺に実行し、その結果を root 宛に送るように設 定します。 BSD/OS 、 FreeBSD のいずれについても、ファイル /etc/daily. local の末尾に図 9 の行を、ファイル /etc/ weekly.local の末尾に図 10 の行を追加します。ただし、 FreeBSD にはデフォルトでは /etc/weekly. local ファイ ルはないので、ファイルを新たに作成します。 hosts. equiv ファイノレの設定 次のコマンドを実行し、 /etc/hosts ・ equiv ファイルを 空にします。 rlogin や rsh のポートはプロキシー・サーバーによっ てアクセスを制御するため、わざわざ hosts. equiv を消 す意味はなさそうですが、なんとなく気持ちか懇いので消 しておきます。 # rm —f /etc/hosts . equiv # touch /etc/hosts . equiv # chown root . wheel /etc/hosts . equiv # chmod 400 /etc/hosts . equiv 2 枚目のネットワーク・デバイス カーネルが 2 枚目のネットワーク・デバイスを認識す るように明冓築します。 具ー勺な手順の説明は省略します。 UNIX MAGAZINE 1999.11

5. UNIX MAGAZINE 1999年11月号

図 1 /etc/ntp. confØf 列 server driftfile メ 4. BB. CC. DD /var/run/ntp. drift ・レポート出力の設定 ・ hosts. equiv ファイノレの成疋 ・ 2 枚目のネットワーク・デバイス ・ FWTK の入手とインストール ・ SPAM 対策 ・茴機能への対応 各プロキシー・サーバーの疋 24 るかどうかを調べ、あれば xntpd を起動します。そこで、 BSD/OS は、プート時に /etc/ntp. conf ファイルがあ に訊いてください。 サーバーを参照するかは、所属組織のネットワーク管理者 NTP サーバーの IP アドレスをします。どの NTP ル /etc/ntp. conf を作成します。亠 BB. CC. DD には、 トの時刻を合わせるために、図 1 のような内容のファイ 部の NTP サーバーを参照してファイアウォール・ホス パッケージが含まれているので、これを使用します。外 FreeBSD と BSD/OS にはデフォルトで NTP の してください。 響をおよは、します。日骸リの同期はかならずおこなうように 算機のクロックタイムがすれていると作業効率に大きな影 のネットワークやサイトと共同て痾斤する場合などは、計 たときのログ角斤に必要です。とくに、攻撃窈魁亦を外部 時亥報は、毎日の「蝕カレポートや外部から攻撃を受け NTP の設定 ~ 11 月号を参照してください。 named とリゾルバの疋については、 1998 年 10 月号 がいいでしよう。 ディスクをきれいにしてから新規にインストールしたはう していた人はいアップグレード・インストールではなく、 これまで FreeBSD 2.1.7.1 や BSD/OS 2.1 を利用 チを当てます。 OS のインストールカ冬ったら、リリースされているパッ 4.0.1 については、 1997 年 12 月号を参照してください。 11 月号て紹介した 2.1.7.1 の場合と同じです。 BSD/OS FreeBSD 2.2.8 と 3.2 のインストールカ 1 去は、 1997 年 図 2 /etc/syslog. confØf 列 # /etc/syslog. conf Configuration file for syslogd. にするには、これを下記のように変更します ( 3.2 の場合 れている箇戸励ゞあります。 ntp デーモンか夫行されるよう の /etc/rc. conf には、 xntpd-enable が、、 NO" と設疋さ すべて /etc/rc. conf ファイルで管理されています。 2.2.8 FreeBSD では、 OS の起重加寺に実行されるデーモンは % ntpq -p ホスト名か表示されているかを確かめればいいでしよう。 のコマンドを実行し、 remote の欄に . BB. CC. 〃 D の ス xntpd が実行されているかを石薩忍します。たとえば次 ntp. conf ファイルを作成したら OS を起動し、プロセ syslogd-flags="-a 127.0.0.1 / 32 " 図 3 /etc/rc. conf の変更 (FreeBSD) この空白はタブ文字 /var/log/messages # a11 messages are logged to /var/log/messages はこの行を追加します ) 。 xntpd—enabIe="YES" /etc/rc. conf を変更したら OS を再起動し、 xntpd か夫行されているかを石忍します。 syslog の設定 プロセス 図 2 のような内容のファイル /etc/syslog. conf を作成 し、すべてのログを messages ファイルに言当求するよう に設定します。 FreeBSD 2.2.8 の /etc/rc. conf には、 syslogd-flags を設定している箇戸励ゞあります。これを図 3 のように変更 します (FreeBSD 3.2 の場合は、この行を /etc/rc. conf に追加します ) 。これは、はかの計算機から syslog メッ セージを受信しないようにする設定です ( 対象となる言 t 算 機の syslogd に大阯のメッセージを送り、ディスクを溢 れさせる攻撃に対処するためです ) 。 ファイルの編集カ冬ったら、 syslogd にシグナル SIG- HUP を送り、 /var/log/messages ファイルの末尾に次 のメッセージか書き込まれているかを石信忍します。 Sep 10 12 : 52 : 14 ホスト名 syslogd: restart UNIX MAGAZINE 1999.11

6. UNIX MAGAZINE 1999年11月号

if [ —f /sbin/mount—netc —a X${netc} ! = X"NO" ] ; then mount —a —t netc f i if [ —f /sbin/nfsiod —a X${nfs} ! = X"NO" ] ; then echo —n ' nfsiod' ・ nfsiod 4 if [ —f /usr/sbin/rwhod —a "${rwhod—NO}" ! = "NO" ] ; then [ "X${rwhodY' "XYES" ] & & rwhod=" ” rwhod $rwhod echo ーⅡ rwho if [ —f /usr/sbin/rstatd —a ${rstatd—NO} ! = echo ーⅡ ) rstatd ' ・ rstatd & if [ -f /etc/printcap ] ; then echO —n if [ —f /etc/start-amd ] ; then echo —n ) amd' ・ f i if [ —f /etc/kerberosIV/principa1. db ] ; then echo ーⅡ ) kerberos ) kerberos > > /var/log/kerberos .10g & ” NO " ] ; then lpd /etc/start—amd f i if [ "X${maximf1ags}" ! = echO —n Im if [ —f /var/www/docs/index.html ] ; then /var/www/bin/start—apache echo —n ' httpd' ・ f i for i in /var/ns—home/httpd—* ; d0 if [ -d $i ] ; then ech0 ーⅡ " $ (basename (i) " f i "XNO" ] ; then maxlm $i/start >/dev/null 2 > & 1 done if [ —f /var/www/conf/squid.conf ] ; then /var/www/squid/bin/start-squid ech0 ーⅡ squid' ・ if [ —f /var/spool/fax/etc/config ] ; then faxq echO —n ' faxq echo —n ' hfaxd' /usr/contrib/lib/hylafax/hfaxd -i hylafax ー 0 oldfax ¯s snpp Ⅱ E 0 tn ÄⅡ 0 0 0 ギ亠 nmbd smbd f i if [ —f /etc/raddb/users -a —f /etc/raddb/clients ] ; then radiusd echo ーⅡ ' radiusd' ・ if [ —f /etc/ethers —a —d /tftpboot ] ; then rarpd —a echO ーれ rarpd ) ; 29 UNIX MAGAZINE 1999.11

7. UNIX MAGAZINE 1999年11月号

Security T001S ■ # User 工イリアスの設定 # すること。 # このファイルは root で「 visudo 」コマンドを実行して編集する必要がある。 sudoers ファイルの書き方の詳細は man べージを参照 図 2 Sudo の設疋ファイル (/etc/sudoers) 列 User_A1ias User_A1ias ADMINS=john,jake,bi11y MORTALS=cindy , jdoe # Runas 工イリアスの設定 Runas_A1ias OP=root , operator # Cmnd 工イリアスの設定 Cmnd—AIias DUMPS=/usr/etc/dump,/usr/etc/rdump,/usr/etc/restore,/usr/etc/rrestore,/usr/bin/mt Cmnd_A1ias Cmnd_A1ias KILL=/usr/bin/ki11 SHUTDOWN=/usr/etc/shutdown # Host 工イリアスの設定 Host_A1ias Host_A1ias SOLARIS2X=oak , redwood, franzipani AIX=da11as ,newyork , washington # ユーサーの設定 # root と wheel グループのユーサーは、すべてのマシンですべてのユーサーとしてすべてのコマンドを実行できる。 ALL= ( ALL ) ALL ADMINS ALL= (ALL) ALL %wheel ALL= (ALL) ALL # で定義されている root か operato てとしてコマンドを実行できるが、 su とシェルは実行できない。 # pete は、 SOLARIS2X サーパーに限り、 root を除くすべてのユーサーのパスワードを変更できる。 Jim は、 AIX サーパーに限り、 OP ALL=/usr/bin/su operator # joe は su で operator だけになれる。 MORTALS ALL=DUMPS , KILL , SHUTDOWN ,HALT ,REBOOT , /usr/opt/bin/ # MORTALS は、全ホストのすべてのユーサーとして、管理用コマンドと / usr / opt / bi Ⅱのすべてのコマンドを実行できる。 pete SOLARIS2X=/bin/passwd [A—z] * , ! /bin/passwd て 00t AIX=(OP) ALL, (OP) !SU, (OP) !SHELLS 化につながる多くのオプションを指定することができる。 Secure Shell クライアントは、 IP 転送をローカルとリ モートの両方でおこなえる。ローカルの転送機能は、ロー カルの SSH クライアント・マシンで IP バケットを別の 宛先に転送するときに使う。この機能は、接続元を特定の クライアント・マシンに限定することができる。一方、リ モート IP 転送機能を使うには、この機能のイ吏用を許可し ているリモートの SSH サーバーに接続する必要がある。 そのため、クライアントは SSH サーバーに接続を要求し たときに、リモート IP 転送に関する情報の交換をおこな う。この機能は SSH クライアントでネットワークを開く ので、利用する際には十分な注意が必要である。 UNIX MAGAZINE 1999.11 SSH サーバーへのアクセスを制御しているのは、 /etc/ hosts. equiv や /etc/shosts. equiv 、 $HOME/. rhosts 、 $HOME/. shosts などの複数のファイルである。ューサ、 ーのアクセス元のマシンが - 朝己のファイルのどれかに登録 されていれば、そのユーサーは認証手続きなしでただちに アクセスカ滸可される。この重川乍は、 UNIX の r * コマン ドに似ているといえるかもしれない。ただし、これは /etc /sshd-config ファイルで指定すれば簡単に無効にするこ とかできる。 SSH サーノヾーは $HOME/. ssh/known-hosts や /etc /ssh-known-hosts でクライアントのホスト鍵を照合し、 特定のホストだけにログインを許可することができる。ユ 93

8. UNIX MAGAZINE 1999年11月号

特集 web で日記帳システムを作ろう リスト 4 /etc/rc. d/init. d/httpd の内容 # cat /etc/rc. d/init . d/httpd # ! /bin/sh # Startup script for the Apache Web Server chkconfig: 345 85 15 lt is used tO serve \ # description: Apache is a World Wide Web server. HTML files and CGI . # processname : httpd # pidfile : /var/run/httpd.pid config: /etc/httpd/conf/access.conf config : /etc/httpd/conf/httpd.conf # config: /etc/httpd/conf/srm.conf Source function library ・ /etc/rc . d/init . d/functions See how we were called . case ” $ 1 " in start) echO —n "Starting httpd : " daemon httpd echo touch /var/lock/subsys/httpd stop) echO —n "Shutting down http : killproc httpd echo rm —f /var/lock/subsys/httpd rm —f /var/run/httpd.pid status) status httpd restart) $ 0 stop $ 0 start reload) echo —n "Re10ading httpd: killproc httpd —HUP echo echo "Usage : $ 0 {start ー stop lrestart lreloadl status}" exit 1 exit 0 ます、 1 行目で「これから、、拒否 " 、、許可 " の順で設疋 す。ます、このファイルの最初のほうにある <Directory する」と旦言し、 2 行目で「すべてのアクセスを拒否する」 / > て始まるプロックをみつけ、そのプロックのなかに以 と宣言してから、 3 行目で「でもこの言 fr 算機自身からのア 下の 3 行を追加します。 クセスは許す」と亘言しています。このプロックにはすべ order deny , a110W てのディレクトリやファイルに対するデフォルトの設定が deny from a11 a110W from localhost 当できるので、これで「デフォルトはこの言 t 算機自身か = 二ロ 58 UNIX MAGAZINE 1999.11

9. UNIX MAGAZINE 1999年11月号

Security T001S ■ 図 1 Tripwire の出力例 # # # Phase # # # Phase # # # Phase # # # Phase changed : deleted: deleted: added : 1 : 2 : 3 : 4 : Reading configuration file Generating file list Creating file information database Searching for inconsistencies After applying rules : Fi1es changed : Fi1es deleted: Fi1es added : Tota1 files scanned: Changes remaining : Changes discarded : 5175 1 2 1 0 4 —rwxr—xr—X drwxrwxr—x lrwxrwxrwx bin て 00t 834 Mar 29 09 : 58 : 33 1999 /etc/init. d/iptune 29840 Ju1 16 00 : 25 : 20 1997 /etc/init. d/iptune. 01d 15 Jun 8 15 : 17 : 26 1998 /etc/passwd. conf 512 Apr 4 17 : 06 : 21 1999 /etc/inet/hosts Generating observed/expected pairs for changed files # # # Phase 5 : # # # Attr /etc st_mtime : st_ctime : /etc/inet/hosts st_size: st_mtime : st_ctime : md5 (sigl) : Observed Sun Apr Sun Apr 606 (what it is) 4 17 : 05 : 19 1999 4 17 : 05 : 19 1999 Expected (what it should be) Fri Mar Fri Mar 607 5 09 : 32 : 18 1999 5 09 : 32 : 18 1999 Mon Mar 29 09 : 17 : 58 1999 Mon Mar 29 09 : 17 : 58 1999 1JYR6fyRwODHYWr3hz0HEP Fri Feb 19 20 : 43 : 46 1999 Fri Feb 19 20 : 43 : 46 1999 103nXHQIMOn8y2Sh90mdJM G 砌日や削除、修正などのあったファイルはすべて、、 Phase 『に表示される。 "Phase 5 " には修正さオ L たファイルの言物日な請鬮切赤される ) きる。 Sudo は、 、 sudo vipw" のように、イ吏用が制限されて いるコマンドやファイルを引数で指定して使うが、実行時 にパスワードの入力を求められる。しかし、使いやすさを 優先したけれは・、一度パスワードを入力すると一定時間は 再入力か不要になる設定も可能である。このような仕組み をもっパスワード機能を使えは、管理の目か届きにくい端 末で root のシェルか乱用されるのを防げるはすだ。付け 加えておけは、 sudo コマンドの使用状況はすべてログに 言当求される。 デフォルトでは、 sudo は /etc/sudoers という成疋フ ァイルを参照するが、図 2 はその例である ( 設定ファイ ルのパスはセットアッフ。やインストール時に変更できる ) 。 sudoers ファイルには、アクセス制御の単位に関する説明 が ( コメントとして ) 記載されている。 92 SSH Secure SheII は、システムリソースにリモートアクセ スするツールとして多くの管理者に愛用されている。 SSH は、インターネットのような公衆ネットワークで安全な通 信路を確立するために、公開音号方式を使用する。この とき、サーバー側とクライアント側がともに SSH に対応 している必要がある。サー ーに SSH を導入すれは、 i- ノ、 netd デーモンによって実行される TeInet などのリモート ログイン用のユーティリティを無効化することもできる。 ューサーのパスワードは、デフォルトでは UNIX のパス ワード・データベースとパスフレーズで認証される。ま た、システムに対するアクセス制御の設定は、 /etc/sshd_ con g ファイルでおこなう。この疋ファイルでは、 root のアクセス制佩認証用のパスフレーズの要求、サー 側でのポート中幻医の停止など、システムのセキュリティ強 UNIX MAGAZINE 1999 ユ 1

10. UNIX MAGAZINE 1999年11月号

特集 Web で日記帳システムを作ろう 図 21 /etc/httpd を調へる 1 root lrwxrwxrwx 1 root lrwxrwxrwx drwxr—xr—x 2 root total 1 um% ls ー 1 /etc/httpd root root root 1024 Sep 18 19 Sep 18 20 Sep 18 c onf / logs ー > 11 : 31 modules 11 : 31 11 : 31 umyo Password : ・・ / ・・ /var/log/httpd/ ・ /.. /usr/lib/apache/ 6 ~ 7 行目 : ログ ( アクセス言求など ) は /etc/httpd/logs に、実行モジュールは /etc/httpd/modules に置かれ ます。 8 行目 : ログを一定期間ごとに更新 ( ローテーション ) す る信曲、けが /etc/logrotate. d/apache に置かれます。 9 行目 : httpd (HTTP サーバー ) を起動・終了させる仕 掛けは /etc/rc. d/init. d/httpd に置かれます。 10 ~ 15 行目 :httpd を起動するランレベルカ吩かります。 ランレベル 2 以下と 6 では httpd は終了し、ランレベ ル 3 と 5 では起動づーるようです。 16 ~ 19 行目 : HTML ファイルや CGI プログラムなど は /home/httpd 以下のディレクトリに置かれます。 20 ~ 151 行目 : マニュアルが HTML 形式でインストー ルされます。 152 行目 : 「このⅥーⅥーⅥーサーノヾーでは Apache を使っ ています」という未の画像ファイルです。 153 ~ 263 行目 : アイコンの画像が /home/httpd/icons に置かれます ( たくさんあります ) 。 264 ~ 266 行目 : プログラムの一部が / usr / b ⅲに置かれ ます。 267 ~ 302 行目 : プログラムの実行に必要なライプラリや モジューノレ群が /usr/lib/apache に置かれます ( 7 行 目とは異なります ) 。 303 ~ 311 行目 : マニュアルが /usr/man 以下に置かれ ます。システム標準ディレクトリなので、、、 man コマ ンド名 " と入力するとマニュアルか読めます。 312 ~ 315 行目 : プログラムの一部 (httpd を含む ) が /usr/sbin に置かれます。 316 行目 : キャッシュ ( ーイ判勺なファイル ) は /var/cache /httpd に保存されます。 317 行目 : ログは /var/log/httpd に保存されます。これ もさきほどの 6 行目とは異なっているようてす。 ファイルの構成が分かったので、スーノヾーユーサーに UNIX MAGAZINE 1999.11 なってインストールします。 # rpm —i apache—l . 3 . 6 ー 7. i386. rpm ファイルが多いのですこし嗤はかかりますが、ソース をコンパイルしてインストールする手間を考えるとあっけ ないほど簡単です。 HTTP サーパーの起動 さきほどの実行モジュールやログを保存するディレクト リが 2 不頁あった謎を調べておきましよう ( 図 21 ) 。しつ は、 /etc/httpd/logs も /etc/httpd/modules も実体 がなく、それぞれ /var/log/httpd と /usr/lib/apache へのリンクでした。 UNIX では伝糸勺に、ログは /var の下へ保存し、ライ プラリは /usr/lib の下に置くというポリシーがあります。 しかしその一方で、あるソフトウェアに関連するファイ ルは 1 つのディレクトリにまとめて置いてあったほうが 便利です。これは、その両方を満たそうとした結果なので しよう。 さっそく httpd を起動したいところですが、その前 に設定ファイルを見ておきましよう。 Apache の場合、 httpd の設疋ファイルには次の 3 不鶤頁があります ( いす れも /etc/httpd/conf ディレクトリに置かれています ) 。 httpd.conf : httpd 全掬殳についての成疋 access. conf : ディスクのなかの各ディレクトリやファ イルに対するアクセス方法や制限についての設疋 srm ・ conf : アクセスされたファイルを提供するときにど んな手段をとるかについての設定 日記帳を作るためにこの計算機を WWW サーバーに 仕立てあげるのが目的ですから、この計算機からのアクセ スだけを許すことにします。こうしておかないと、たとえ ばフ。ロバイダ , 材売しているときなど誰かにこっそり日記 を見られてしまうかもしれません。 アクセスを制限するには access. c 。 nf の内容を修正しま 57