Windows - みる会図書館

1. UNIX MAGAZINE 2001年11月号

連載 lnside Cygwin 図 8 ユーサーへの権限俿档て ( 、 Vindows NT) パスワードが必要なことに変わりはない。この兄か改善されたのは Cygwin DLL 1.3.2 からでユ、但 ) 表示原則オフン 0 。ヘルア ( 印五ザ - 名りルネーム翼説明ある。これに貢献したのも Corinna だ。彼女は、 NT カーネルのシステムコールである NtCreateToken を使って、 0 ト。メイン : = ーみ ( CH 旧ロ U - は 9 パスワードなしでユーサーを表すトークンを生成するガ去ー利「マすミあご蔀言 : 〒禛討 = = 、、 = こニコにこの権和をみつけ、これを利用して UNIX の setuid をエミュレーサービスとしてロゲオンシステムハつまーマンスのフ加万イルシステムのシを外タつンションするようにした。このおかげで、バージョン 1.3.2 鱇以降では、 sshd や rlogind でパスワード以外の認証方法第を高度なユ , サ廴利表示を用いた場合でも、プロセスの権限を認証したユーサーに図 9 ユーサーへの本郷艮の割当て ( 、 Vindows 2000 ) 変更できるようになっている。、 Vindows NT/2000 の場合の注意事工頁セキュリテ定オータの増加をミ」アガ ) ント和シーコンータとユ、 - サ - こ」 0 ーカル丿シ、 - サースとしログオ 3 第第監査シー Cygwin DLL 1.3.2 で seteuid のエミュレーションをュ、ト物和第画サーヒスとし ( ログオをこ第システムパフォーマこ 6 、・を」セキュリティオプシミ・朝公問キーの前わ′ーシステムのシトダリに成功したおかげで、 Cygwin と UNIX との差はかなり第ローカコンビュ→ 0 システム時 ~ 変を、スケラ 1 ンう優先服自 G2K 新せキュリティ監査の生小さくなったが、依然として sshd や inetd を運用する際当ディい朽サーどス ′デバイストラー当トークンオプジ勦ト新ドッキングステーシ身の Cygwin 固有の注意事項はたくさんある。ドメインの一クスネットワーり経由で : 達加知ーーバチジョブとし ( ロ : プロセスの径限の変更には SYSTEM 権限が必要ハジョブとして口 ”ームのア環境を一甚レベゆ龕ル = イ朝定もされ号ま合は、、 0 、カル第ル - 定は上書ぎフルとその他のオ " 』方イルとディトリ・璉これまでに紹介してきたプロセスの権限の変更にかかわる API は、 Administrator を含む普通のユーザーのプことができる。たとえば、パスワード認証を用いたプロセロセスでは実行できない。パスワードなしでトークンを生スの権限の変更を普通のユーザーのプロセスで可能にする成できる NtCreateToken は当然としても、パスワードには、以下の権限を与え川まよい。を必要とする LogonUser にも同し制約がある。・オペレーティングシステムの一にとして機能これらの API を実行できるのは、基本的には SYS- ・クオータの増加 TEM 権限で実行されているプロセスだけである。この条プロセスレベルトークンの置き換え件を満たすには、アフリケーションを Windows のサービスとして実行しなけれはならない。この制約があるため、これらの権限をユーザーに与える作業は、 Windows Cygwin の inetd や sshd をサービスとして実行しない NT であれば、ユーサーマネージャー " から、、原則 (P)" と、パスワード認証や権限の変更に失敗する。 →、、ユーザーのオリ ( U ) " で表示されるダイアログでおこ逆にパスワード認証を使わす、かっ特定のユーサーでしなう ( 図 8 ) 。その際、、、高度なユーサーオリの表示 (S)" かログインしないのなら、そのユーサーが sshd や inetd をチェックしないと、上記の権限が表示されないので注意を直接実行してもかまわない。この場合には、プロセスのしてほしい。 Windows 2000 では、、、ローカルセキュリ権限を変更する必要がないので、 SYSTEM 権限は不要とティ " から、、、ローカルポリシー " →、、ユーザーオリの割なる。このガ去には、前述した孑鬮以端末のセキュリティり当て " を尺しておこなう ( 図 9 ) 。ホールによって SYSTEM 権限を奪取される危険匪がな inetd や sshd をサーピスとして実行するのか嫌で、ユくなるという利点もある。ーザーの認証にはパスワードを使いたいのなら、この作業をおこなえばよい。 SYSTEM 以外のユーサーてパスワード認証を使うにはパスワード以外の認証方式では ntsec が要普通のユーサーに SYSTEM 権限に含まれる権限の一部を与えると、 SYSTEM 権限でないとプロセスの権限のこれは seteuid の実装 - ヒの都合によるものだが、パスワ変更にかかわる API を実行できないという制約を緩めるードなしでプロセスの権限を変更する、つまり NtCreate- コンびェ - タ / トッ C 切管理用化トインアカウント ) Adm ト tr を 0 「 1 ーナー常第源則 OK ー物ンセルルア⑧ 追加 (A) ー、、トインアント ) キらおル : セキ鑈静定 : 第ダ : : 0 さ ! 材呶第〒第ツュラト : 当とし一オペレ”ティンをシステムの部として能夛定。 = 帚 117 UNIX MAGAZINE 2001 ユ 1

2. UNIX MAGAZINE 2001年11月号

連載 . /lnside Cygwin 図 6 、 Vindows におけるプロセスの権限の変更 HANDLE hToken; / * パスワード認証をおこないユーサーを表すトークンを得る * / hT0ken = LogonUser (username , NULL, passwd , LOGON32_LOGON_INTERACTIVE , LOGON32_PROVIDER_DEFAULT , &hToken) ) ; / * プロセスの権限をトークンの表すユーサーに変更する * / ImpersonateLoggedOnUser(hT0ken) ; そうする必要があるアプリケーションでは、プロセスの権限が root かどうかを石忍して、そうでない場合は実行を断念してしまう。この確認は、 getuid か geteuid の返す UID を 0 と比較することでおこなわれている。 Cygwin では UID が 0 であることに特別な意味はないので、どのアプリケーションでも 95 / 98 / Me / NT / 2000 のすべてのプラットホームについて、この上交をおこなっている箇所にはなんらかの対処が必になる。もちろん、 OpenSSH や inetutils にもこの種の検査か含まれているので、 Cygwin に移植する際に実行されないようにしている。 Windows NT/2000 の場合 Windows NT / 2000 にはプロセスの権限の概念があり、権限を他のユーサーに変更するための API が用意されている。ー勺な権限の変更には、 LogonUser と lm- personateLoggedOnUser という 2 つの API を用いる。その使用例を図 6 に示す。他のユーザーの権限でアプリケーションを実行する場合には、 LogonUser で得たトークンを指定して、 CreateProcessAsUser という API でアプリケーションを実行する。図 6 の例にあるように、 LogonUser にはユーザー名とパスワードを渡さなけれはならないので、 UNIX の sete- uid のエミュレーションには利用できない。また、 Log- onUser は Windows のセキュリティアカウント・マネージャー (SAM) を用いて認証をおこなうため、 /etc/ passwd と crypt を使ったパスワード言正や、 rlogind や rshd での . rhosts を使った認証、 sshd のサポートするさまざまな認証方式には対応できない。 Cygwin DLL 1.1.2 以前のだ兄ノヾージョン 1.1.2 以前の CygwinDLL では、プロセスの権限の変更について、ほとんど何もサポートしていなか 116 図 7 Cygwin におけるプロセスの所有者の変更 HANDLE hToken ; struct passwd *pw ; / * パスワード認証をおこないユーサーを表すトークンを得る * / pw = getpwnam(username) ; hToken = cygwin—logon—user (pw, password) ; / * トークンをプロセステープルに格納 * / cygwin—set—impersonation—t0ken(hT0ken) ; / * 権限の変更 * / seteuid (pw->pw-uid) ; った。その当時に用意されていたのは、他のユーサーの権限でアプリケーションを実行する sexec だけである。 exec の代わりに、最初の引数に LogonUser で得たトークンを指定してこれを夫行すると、 CreateProcessAsUser でアプリケーションか実行される。当時の OpenSSH や inetutils の移植では、 . パスワード認証と setuid をそれぞれ LogonUser と lmperson- ateLoggedOnUser に置き換えたり、 exec を sexec に置き換えたりしていた。 LogonUser の仕様はいかんともしがたかったので、 rshd や rlogind で . rhosts による認証を用いたり、 sshd でパスワード以外の認証方法を用いたときには、プロセスの権限を認証したユーサーに変更できなかった。 Cygwin DLL 1.1.3 における改良点この状況がいくらか改善されたのはバージョン 1.1.3 のときである。 OpenSSH と inetutils の移植を担当していた Corinna カゞ、 cygwin-logon-user と cygwi n-set ー impersonation-token という API を Cygwin DLL に導入して、 seteuid や exec などのシステムコールとこれらの API を叫秀させるようにした。この 2 つを使って図 6 の例を書き直すと、図 7 のようになる。これだけを見ると手間か増えたようにみえるかもしれない。しかし、一度 cygwin-set-impersonation- token をすませておけば、 seteuid や exec が必要に応して適切な Windows の API を呼び出すので、全体では変更箇戸励ゞすっと少なくてすむようになった。パスワード以外の認証方勣ヾ使えるのは 1.3.2 からただし、 cygwin 」 ogon-user にはパスワードを与えなければならないので、プロセスの権限の変更にユーサーの 7 前回紹介した ntsec の炉者。 UNIX MAGAZINE 2001.11

3. UNIX MAGAZINE 2001年11月号

す第を既に日第島第 : : 信 : 信信第等 3 : 第 3 等第信勢 : 既 : 信第信勢第第 ? 島第第日 W 槲第等既勢第信第なく書き込めた、といったフォローがきました。 Newsgroups: fJ.comp. dev. pc-card,fj. sys. ibmpc Subject: Ethernet 用 PC カードとカテゴリ 5 ケープルの接続部大学の研究室て学生にノート PC を使わせていますが、 Ethernet カードと刊属のメディアカプラ ( メディアケープル ) との接合部カ啝度か壊されてしまいました。メディアカプラなしで直接カテゴリー 5 ケープルを接続するタイプの Ethernet カードにすれは壊れにくくなるでしょうか、という質間記事です。これに対して、自分もメディアカプラ付きのカードを壊したので、それが不要なものに買い替えたがいまのところは壊れていない、ためしに手で力を加えてみたがある程度は手荒に扱っても壊れないようである、これの欠点は持ち運ぶときに出つばりが気になることである、 USB 接続のネットワーク・アタフ。タに替えた、メディアカプラを壊してしまう人が多いのか、山も匠では PC カードとケープルのコネクタの破損を防ぐカバーが数社から出ている、ノート PC であれば泉 LAN カードを使うガ去もある、といったフォローがきました。 Newsgroups: . net 」 an. ethernet Subject: IOOBASE-TX の車る医なんですか Corega の 100Base TX 対応 Ethernet カード (PCI バス用と PC カード型 ) で LAN を構築していますが、 Windows マシン間で約 100 枚の画像 ( 合言 260MB 程度 ) をフォルダごとコピーしたところ 4 分 30 秒ほどかかり、 10B e T 並みの 1MB/s くらいの中幻幻度しか出なくて悩んでいます。どうすれは 100Base TX 本来の速度が出せるのでしようか、という質間記事です。これに対して、 Windows マシン間の経路はすべて 100 Mbps になっているのか、 PC カード型の Ethernet カードには 32 ビットの CardBus 対応ではなく 16 ビットのものがあるが、その場合は 10Base T 並みの速度でも仕方がない、 CardBus 対応の PC カードを使うにはノート PC の PC カードスロットも CardBus に対応している必要がある、最近のノート PC なら CardBus 対応は当り前といってもよい、ネットワークの伝送速度が 100Mbps に近い性能でも、ハードディスクの読み書きがネックになって結果的により長い転送時間がかかることがある、といったフォローがきました。 Newsgroups: . sys. ibmpc 月 . sys. pc98 Subject: Windows3 ュでインターネット Windows 3.1 のマシンをインターネットに接続するにはどうす川まよいのでしようか、という質間記事です。これに対して、シェアウェアの Trumpet Winsock や商用の Cameleon などの TCP/IP プロトコル・スタックをインストールする必要がある、一ヨは 30 社ほどがこれを発売していたが、 Windows 95 の登場とともに消えていった、運よく入手できても WWW プラウザや FTP クライアントなどを別途入手する必要があって大変なのではないか、中古のモデムのなかには Windows 3.1 用のソフトウェアが付いているものがあるかもしれない、 Windows 3.1 用の lnternet ExpIorer には TCP/IP スタックが付いていた、 IBM の「 WebBoy for DOS 」 (http://www-6.ibm.com/jp/pspjinfo/webboy/) を使って DOS 環境でインターネット接続をするという手もある、フリー・ソフトウェアの DOS 用 TCP/IP スタックもある (http://www.pc88.gr ・ jp/-teen / ) 、といったフォローがきました。 Newsgroups ・ fJ.sys. pc98 Subject: PC 9 8 機と DOS/V 機 Windows 95 / 98 系の OS が入っている NEC PC98 機と DOS / V 機があります。スタートアップ用のバッチプログラムのなかで PC98 機か DOS/V 機かを区別して処理を分皮させたいのですが、どのようなガ去を使えはよいのでしようか、という質間記事です。これに対して、 %windir%*jfont. sys があれは PC/ AT 互換機である、これは日本語版に限定した話であり、英語版 Windows では PC98 機だと誤認してしまう、、、 DOS/V" と書いてあったので日本語版限定でかまわないと解釈した、中国語版などの可能生もないわけではない、日本では、、 DOS / V " が入っていなくても PC/AT 互換機のことを、、 DOS/V 機 " とか、たんに、、 DOS/V" と呼ぶ悪習があって困る、英語版 Windows でも動作させたいのであれは、 jfont. sys の代わりに %windir% *command*ansi. sys などを参照すればよいのではないか、ほかに chev.com も目印として使えそうである、 neccd?. sys があれば PC98 機である、それが入っていない PC98 機もあるのでこのガ去は適切ではない、 A ドライプの容量がある程度以上ある ( フロッピー・ドライを第信 3 : 信等第島第に信第日第第信信信に鬲等を第に第 : 第鬲第第槲 : 信 : : 第信第 3 第第物第第 3 164 UNIX MAGAZINE 2001.11

4. UNIX MAGAZINE 2001年11月号

連載 lnside Cygwin pt でアクセス権を設疋して unlockpt を呼ぶまでスレープデバイスがロックされる。しかし、これは grantpt がないと意床がないので、 Cygwin DLL はスレープテンヾイスのロックについて何もしていない。擬似端末のセキュリティ・ホール現状の Cygwin DLL 刎疑似端末の実装には、ローカル・セキュリティを損なうセキュリティ・ホールが 2 つある。 Windows NT / 2000 で適切にセキュリティを設定していても、 Cygwin の inetd や sshd が原因でローカル・セキュリテイか損なわれる可能性があるので注意してはしい。デパイスのアクセス権を言できない grantpt でスレープデバイスのアクセス権を設定できないのなら、 BSD 流に chown と chmod でアクセス権を設定すオはよいかというと、これもうまくいかない。しつは grantpt をどうこういう以前に、 Cygwin DLL は、孑鬮以端末を含むすべてのテンヾイスについてアクセス権の概念をサポートしていない。これは前回 ( 6 月号 ) 説明した ntsec を有効にしても同しである。そのため、 Cygwin の sshd や telnetd を運用しているホストにログインすると、同じホストを利用している他のユーサーに自分の端末を読み書きされてしまう。 UNIX でも write コマンドを使えば他のユーサーの端末に書き込むことは可能である。 UNIX なら mesg コマンドでそれを止められるが、 Cygwin には mesg コマンドはないし、実装することもできない。マスター側のプロセスの本郷艮を奪われるもう 1 つのセキュリティ・ホールは、マスター側のプロセスの権限を任意のユーサーに奪われてしまうという、かなり致命的なものである。 Cygwin の sshd や inetd で、複数の異なるユーザーのリモートログインをサポートするには、これらを SYS- TEM 権限で動かす必要がある ( 彳 ) 。この場合、マスター側の sshd や telnetd が SYSTEM 権限をもつので、このホストにログイン可能なすべてのユーサーに、 SYS- TEM 権限を奪陬する機会を与えてしまう。このセキュリティ・ホールの原因は、マスター側とスレーフィ則の接続にパイプを用いていることにある。 Wi1 ト UNIX MAGAZINE 2001 ユ 1 dows においても、あるプロセスか作成したパイプは、基本的にそのプロセスのイ鯀しか利用できない。しかし、マスター側とスレーフィ則のプロセスか親子関係にない場合もあるので、 Cygwin DLL ではマスター側で作成したパイプを、かなり無理をしてスレーフィ則のプロセスに渡している。その際に用いている去か : このセキュリティ・ホールを生んでいる。プロセス間通信にパイプ以外のガ去を用い川ま、この間題は解決できる。しかし、この間題を解決するだけでなく、朋大の Cygwin DLL に不足している機能の実現にも利用できるので、これを機に Cygwin DLL を補助するサーバーを導入することにした。現在、サーバーのアーキテクチヤを開発者間侖しつつ実装を進めている。おそらく次の次のバージョンあたりで、この間題は角夬するはすだ。プロセスの権限の変更リモートログインを実現するには、ログインしたユーサーの権限でログインシェルを実行することも必要である。 Cygwin DLL て吸収しなければならない Windows と UNIX の差のなかでも、このプロセスの権限の変更に関するものはかなり厄介である。 UNIX の場合には、プロセスが root の権限で実行されてさえいれは、 seteuid や setuid を実行するだけで、どんなユーサーでもプロセスの権限を変更できる。しかし、 Windows 95 / 98 / Me にはプロセスの権限の概念がなく、 Windows NT / 2000 におけるプロセスの権限の変更は UNIX はど簡単ではない。 Windows 95 / 98 / l'v e の場合 Windows 95 / 98 / Me の場合にはプロセスの権限の概念がないので、 Cygwin DLL の seteuid は成功したふりをする。もちろん geteuid は、 seteuid て、設定した UID を返すようになっている。これなら seteuid を実行する UNIX のアプリケーションでも、 Windows 95 / 98 / Me についてはソースコードに手を入れる必はないかと思いきや、そう簡単にはいかない。 root のチェックを外す seteuid にかぎらす、 root に依存したシステムコールを実行するアプリケーションや、セキュリティの都合上 115

5. UNIX MAGAZINE 2001年11月号

ー物靄をま 0 れ第 Start on 、 Windows ( 2 ) ぼえむ PDF ファイルの閲覧と印刷には、 Windows 上の Ac- robat Reader (http://www.adobe.co.jp/) を使います。 Acrobat Reader をインストールすると、 PDF ファイルの関連イ寸けも自重加勺におこなわれます。したがって、 start. pl の引数に PDF ファイルを指定すれは、その内容を見たり印刷したりすることかできます。ただし、デフォルトの設定では、印届鮗了後も Acrobat Reader か起動されたままになってしまいます (start. pl の実行時に Ac- robat Reader か起動されていない場合です ) 。とくに実害はありませんが、印届鮗了後も不必要なウインドウカ鯛いたままになるのは気持ちが悪いので、角夬ガ去を紹介します。前号で説明したように、ファイル ( 拡張子 ) に関するアクションの定義は、工クスプローラのツールメニューから、、フォルダオプション " を選び、、、ファイルタイプ " タブをクリックすると表示される画面 ( 図 1 ) でおこないます。ここでは、アプリケーションに対して DDE (Dy- 則号では、 UNIX 側から Windows アプリケーションを利用するためのツール SoW (Start on Windows) のインストールと基本的な使い方を紹介しました。今回は、 VMware 環竟で SoW を使って PDF ファイルや PS (PostScript) ファイルを印刷するガ去、そして Emacs 上のメーラー (MUA) である Mew と SoW とを叫莠させるガ去について説明します。なお、以下では前号と同様、ホスト OS が Windows 2000 、ゲスト OS が Kondara MNU/Linux 2.0 という竟を前提とします。 PDF ファイルの印刷 UNIX MAGAZINE 2001.11 図 1 彖された拡一覧全般ー表〒フルタイプーわラインカイルー登録されている万イルタイプフォル梦オフション当 0 し T テキストドキュメント M 朝。 ExceI DIF 形式一太郎文書タウン 0 ード MecrosoftWord 文書 41C03HTML M 朝 0 こ 0 代 word HTML 文書ファイルタイプ・ sce を dD 可び廱編アプリケション 0 にさい。すべての℃を dD 方イ儿の設定を変更す引こは、ま総設定 ] をグルりしてを以下の手順で変更します。それには、 PDF ファイルに対する、、 pr ⅲ t " アクションができます。れを利用して印刷を終えたあとで自重加勺に終了させることす。 Acrobat Reader も DDE に対応しているため、るアプリケーションなら、より細かな動作窈旨定が可能でプリケーションを制御する仕組みです。これに対応していでメッセージを交換し、あるアプリケーションから別のアできます。 DDE とは、 Windows のアプリケーション間 namic Data Exchange) メッセージを指定することが詳を第ミ定 141 図 3 のように変わります。ここで、 DDE に関する各設す。、、 DDE を使う " をチェックすると、ウインドウが 3. 図 2 の状態では、 DDE を使わない設定になっていますると、図 2 の設定ウインドウか表示されます。 print " アクションを選んで [ 編集 ] ボタンをクリックウインドウを表示させます。定 ] ボタンをクリックし、、ファイルタイプの編集 " 1. 図 1 の画面をスクロールし、、、 PDF" を選んで [ 言翔日設 2.

6. UNIX MAGAZINE 2001年11月号

0 C ■ー・・創 1 一コトに一 - 、こ 0 ( HummingbirdTM ッ三・ムにヘルプ⑧ 端末工ミュトタ 0 ロミこ 1 加体験版 CD-ROM 差し上げます。 pc x server Exceed v7. OJ ! ! 他の追随を許さない世界シェア No. 1 の実績。日本語入力、高速描画、豊富な機能に加え、管理機能も充実。 PC から UNIX アクセスへのニーズに応え、あらゆる分野の Windows ー UNIX 混在環境を強力にバックアップ。世界市場シェア断然トップの 72 % ※ 1 フォントサーバテータのキャッシュ機能 Linux サホートパワーマネシメント機能 X サーバリソース自動調整機能 ⅲ te Ⅲ mouse のホイール機能サホートロードバランス接続機能複数 UN Ⅸホストへの同時接続 Windows 95 、 98 / NT4.0 / 2000 対応設定情報パスワードロック機能ワンクリックで X クライアント起動 (Xstart) ※ 11DC#W21979.2000 Windows95.98 / NT4.0 / 2000 対応 NFS クライアントプログラム NFS Maestro Client 7. OJ 価格 . \ 54 , 000 ( J) 価格 . \ 78 000 ( 税別 ) ※記載された会社名および製品名は、各社の商標または登録商標です h 彙彙 p : ″ 333- れ ica - CO P 株式会社マクニカマクニカネットワークスカンパニー〒 222-0033 横浜市港北区新横浜 1 ・ 5 ・ 5 横浜 045-476 ・ 1960 大販 06 ・ 6300-0810 名古屋 052-933 ・ 4541

7. UNIX MAGAZINE 2001年11月号

Token を利用する場合には、 ntsec を有効にしておかなければならない。 ntsec を有効にしないと、 SYSTEM 権限で inetd や sshd を実行したとしても、パスワード以外の認証ガ去でプロセスの権限を変更することはできない。さらに Cygwin DLL 1.3.2 にかぎっては、パスワード証をおこなう場合でも ntsec を有効にしなければならなルいい。これはたんなるバグであり、 Cygwin DLL 1.3.3 以降では修正されている。パスワード認証を用いないと権限の変更は不完全 NtCreateToken の生成したトークンによるプロセスの権限の変更は、 LogonUser の生成したトークンを使ったときはど正しくおこなわれない。そのため、 sshd や rlogind でパスワード以外の認証方法でログインすると、ューザーのマウントテープルがログインしたユーサーのものに切り替わらないという間題か生じている。これは、プロセスの権限を変更したときに、 Windows のレジストリの HKEY-CURRENT-USER 以下が、変更したユーサーのものに切り替わらないからだ。この間題を回避するには、ユーサーのマウントテープルの内容をシステムのマウントテープルに移すか、パスワード認証を使うようにするしかない。 /etc/passwd に関する注意事項ところで、 Cygwin のインストーラの生成する / etc / passwd は、いすれのフラットホームにおいてもパスワード・フィールドが空になっている。 Windows NT / 2000 については、 sshd や inetutils の各プロトコル用のサーーは SAM を用いてパスワード認証をおこなうので、空のままでもかまわない。しかし、 Windows 95 / 98 / Me の場合には、 UNIX と同様に /etc/passwd と crypt 関数を用いるので、空にしておくわけにはいかない。空のままで inetd を運用すると、パスワードなしでリモートログインや ftp カゞ可能になってしまう。パスワード・フィールドに設疋する値は crypt コマンドで作成する。このコマンドの引数にパスワードを指定して実行すると、暗号化された文字列が出力されるので、れをパスワード・フィールドに挿入すればよい ( 図 10 ) 。 crypt コマンドがみつからない場合には、 Cygwin のインストーラで crypt ノヾッケージをインストールしてはしい。連載 /lnside Cygwin— 118 図 10 パスワード・フィールドの言聢 $ crypt ass 社 10 FmqphEXY9kTOA ←これを /etc/passwd に書き込む $ cat /etc/passwd fuj ieda : FmqphEXY9kTOA : 500 : 544 : : /home/fuj ieda : /bin/bash ( 誌面の都合上、で折り返しています ) Guest アカウントには要ラも意 Windows NT / 2000 でも、 /etc/passwd にまったく手を入れる必要がないわけではない。 Windows NT/ 2000 には、パスワードの設正されていない Guest アカウントが存在する。このアカウントは、フォルダやプリンタの共有をユーザー認証なして利用可能にする際に用いられる。デフォルトではこのアカウントは無効になっているが、なんらかの理由で有効にした場合には注意が必要だ。 Guest アカウントを有効にした状態で inetd を運用すると、パスワードなしでリモートログインや ftp カ呵能になってしまう。この間題を回避するには、 /etc/passwd から Guest のエントリを削除するか、 Guest のログインシェルを /bin/true などの無効なものに変更する必要がある。おわりに今回は、 OpenSSH と inetutils に関する Cygwin DLL のエミュレーションの間題点として、孑鬮以端末とプロセスの権限の変更に関するものをとりあげた。インストール方法や使い方をはとんど説明せすに、いきなりディープな話題に突入してしまったが、次回も同し調子て続けるつもりである。次回は、ファイルのアクセス権限とデーモンに関する問題をとりあげよう。 ( ふじえだ・かすひろ北陸先端科判を断大学院大学 ) UNIX MAGAZINE 2001.11

8. UNIX MAGAZINE 2001年11月号

新・倉敷芸術科学大学のネットワーク構築・・・ 14 図 10 VLAN への loopback モードの言聢 * Summit48i : 61 # ping 202.244.163.1 2 packets transmitted, 2 packets received, 0 % packet loss 202 . 244.163.1 ping statistics 16 bytes from 202.244.163.1 : icmp—seq=l ttl = 128 time=0 ms 16 bytes from 202.244.163.1 : icmp—seq=O ttl = 128 time=10 ms Ping 202.244.163.1 : 4 packets, 8 data bytes, interval= 1 . * Summit48i : 63 # ping 202.244.163.1 EnabIed 100P back on vlan : gege * Summit48i : 62 # enable loopback—mode vlan gege 4 packets transmitted, 0 packets received, 100 % packet IOSS 202 . 244.163.1 ping statistics Ping 202.244.163.1 : 4 packets, 8 data bytes, interval= 1 . round-trip min/avg/max = 0 / 5 / 10 ms 今月までの 7 回にわたり、和訟壟加する倉敷芸不斗丿 ( でもっとも多く導入されている Extreme Networks の Sum- mit を例に、レイヤ 3 スイッチの基本設定について解説してきました。紹介しきれなかった Summit 独自の機能はまだありますが、とりあえす基本的な設定はできるようになったのではないでしようか。 ■ 今月のあんか 70 しようか」と質間攻めに遭ってしまいました。何かにやられている ) か大量発生し、「どうすれはいいんでがうまく当たらなくなってしまった感染了イ柵羊 ( どこかを Windows Update を実行しようとしても、すでにパッチが多いので、どんどん被害者か増えていってしまいます。ルスに感染していることなどまったく気づいていないことと決まっているわけではありません。しかも、本人はウイを利用しているので、いつどこでネットワークに接続する 2000 ューザーがいます。しかも、その大半はノート PC しかし、大学全体では 1 , 000 人を超える Windows りません。と研究室に設置されているデスクトップ PC くらいしかあよ」篩危囲内にある Windows マシンは、自分のノート PC て UNIX で重川乍しています。したがって、私の責任のおみつかったのです。倉敷芸科大の基幹サーバー群は、すべ学内で、 Nimda ウイルスに感染したと思われる PC が、一 0 に帰宅しようなどと考えた瞬間に天罰が・ - ドってしまいまし不謹慎 ( ? ) にも、定時 ( 大学の就業規則では午後 5 時 ) 世の中で Nimda ウイルスの被害か騒がれていたころ、大学は夏期假中だったために静観していました。ところが、後期が始まって学生が登校してくると、・・・外部で感染したとおばしきノート PC カ月寺ち込まれ、学内で蔓延し始めたわけです。しはらくは収まりそうにありません。これまではもつばら W ⅲ d 。 ws カ材票的となっていましたが、近い将来、 PC UNIX のセキュリティ・ホールも Windows のセキュリティ・ホールもすべて使って自己染していくタイプのウイルス ( 正しくはワーム ? ) が登場するのは間違いないでしよう。さて、買ったばかりの MaxAttach (Windows 2000 べースの NAS カスタマイズ版 ) にパッチを当てなけれ UNIX MAGAZINE 2001.11 にはやし・かすまさ倉敷芸彳楙斗学 : 大学 ) 。 14 台も買ったので、作業が大変です。

9. UNIX MAGAZINE 2001年11月号

ワークステーションのおと一 0 図 1 ー要私 : 上から順に〇、△、・・となっています。 CATV : そちらのほうは大丈夫です PC の OS は何をお使いですか ? 私 : Windows 2000 です。 CATV : さようですか。 Windows 2000 での接続についてのサポートは、こちらでは対応しておりません。 CATV : お送りしているご案内のなかにも、そのように明己しておりますが。 CATV : でも、お困りでしようから、あらためて技術担当のものからご ; 叫各をさしあげます。 CATV 経由で Windows Update の Web ページ 1 にア 2 台つないだら x クセスしてみました。ところが、うんともすんともいいま最後は、なんだか褝問答のようになってしまいましたせん。か : とりあえす心を落ち着けて ; 叫各を待っていると、 5 分設定を間違えたのかと思い、今度は TP570 で同じよほどして、うに設定してアクセスしてみました。ところが、こちらも「〇〇様のお宅でしようか。 Windows 2000 でインターさつばりです。 CATV 会社からもらった設定案内を何回ネット接続がうまくいかないと伺ったのですが」読み直しても、間違っているとは思えません。もしかすると、ハプが悪さをしている可能もありまという電言劼ゞかかってきました。す。そこで、ケープルモデムに TP570 を直接接続してさきはどの CATV 会社とのやりとりのように、サポみましたが、どうにもうまくいきません。 DNS も参照でートかできる、できないという話になってはたまらないのきなければ、デフォルトルートに指定されているアドレスで、技利祕」なことを中心に話してみることにしました。に対して ping を実行しても応答がありません。しはらく私 : コマンド・プロンプトから、デフォルトルートに指定がんばったのですが、お手上け状態でした。されている IP アドレスに ping を実行しても、応答がそこで、 CATV 会社のサポートセンターに電話してみ戻ってきません。 tracert でも同じです。ました。担当者 : それはおかしいですね。 CATV : まず、お客様の石忍をさせていただけますか ? ュ私 : しつは、最初、別のノート PC をつないだんですが、ーサー ID と・・それではうまくいかなかったので、もう 1 台の PC と私 : ューサー ID は CDO で・・取り替えてみたんです。 CATV : 石薩勘ゞとれました。どうなさったのでしようか ? 担当者 : あ、それですこちらのネットワークは、ケー私 : PC がインターネットに接続できなくなったんてす。プルモデムのさきには 1 台しカ材妾続できない規定になっ CATV :pc とケープルモデムは直接接続されていますておりまして、別の PC を接続したときは、回線がロッか ? クされるようになってるんですよ。私 : はい、そうです。私 : そういう仕組みがあるんですか・ CATV : ケープルモデムの状態を確認していただけます担当者 : ケープルモデムの電源を入れなおせは、クリアさか ? 前面の 4 つのランフが・・れるはすです。私 : それはもう試してみたんですが、だめなんです。 1 http://windowsupdate.microsoft.com CATV インターネットケーブルモテムハブ知人のノート PC (ThinkPad 240 ) 私のノート PC (ThinkPad 570 ) 150 UNIX MAGAZINE 2001.11

10. UNIX MAGAZINE 2001年11月号

Windows で UZZ ソフトウェアを使おう ! 三 C 応 M 1 Windows/DOS 環境に移植された GNU ソフトウェアを 200 本以上収録 ! GUI 全盛の今も、コマンドラインツールが有効な場面は多いが、本書を使えば Windows 上でも強力な UNIX ツールが利用できる B5 変型判 / 168 ヘージ本体 1 980 円 + 税好評発売中 ISBN4-7561-3674-5 株式会社アスキー広告掲載企業一覧 ( 50 音順 ) アイ・エイ・アイ http://www.iai-usa. CO. jp/ アステック・プロダクツ http://www.astec. CO. jp/ 伊藤忠テクノサイエンス http://www.ctc-g. CO. jp/ コンヒュータダイナミックス http://www.com/uterdyna.com/ 数理システム http://www.msi. CO. jp/splus/ WRQ http://www.wrq. CO. jp/ad/rx DOS/V バラダイス法人営業部 http://www.dospara. CO. jp/hojin/ 日本計算化学サービス http://www.nccsk.com/ ーユーテック http.//www.newtech. CO. jp/ ぶらっとホーム http://www.plathome. CO. jp/ http://www.bOC. CO. jp/ http://www.maxtronic.com/tw/ http://www.macnica. CO. jp/exceed. html http://www.unitex. CO. jp/ ロジカルイフェクト http://www.logicaleffect.com/ (..D 4 っ 0 表表 3 7 円 6 0 一 0 = 00 一 0 、 0 円 4 , 円 5 表 2 見開 8 , 円 3 9 ※広告掲載に関するお問い合わせ株式会社アスキー広告局 EL : 03 , 5351-8199 一一一〒 151-8024 東京都渋谷区代々木 4-33 ヨ O http://www.ascii. CO. jp/