アクセス - みる会図書館


検索対象: UNIX MAGAZINE 1996年6月号
58件見つかりました。

1. UNIX MAGAZINE 1996年6月号

DAEM 〇 NS & DRAG 〇 NS ⑩ 続・ N 旧十とセュリティ •Dinah McNutt NIS におけるもっとも大きな問題点の 1 つは、パー ミッションの影響が全体におよぶことである。たとえ ば、 NIS の元ファイルに対する読み書きのアクセスに は、、、できるか、できないか " という条件しかない。さ らに、 NIS ドメインに属するユーザーなら誰でも、 NIS マップに対する読出しのアクセス権をもっている。 NIS の group.org/dir テープルに含まれる UNIX のグルー プが、あるプロジェクトで働く特定のユーサーの管理に 使えれはいいと思ったことはないだろうか ? NIS 十では、テープル単位のみならす、各テープルの 工ントリごとにアクセス制御ができる。前回は NIS 十の 証機能の重川乍を紹介した。今回は、 NIS 十テープルの ルい アクセス制御について述べる。 許可とアクセス ますは、アクセス許可 (authorization) のクラスと アクセス権についておさらいをしよう。 NIS 十の各オプ ジェクトでは、アクセス許可に関して 4 つのクラスが使 われる。 ・ Nobody 証されていない NIS 十の利用者 (principal)o ルい ()wner 基本的に、オプジェクトを作成した NIS 十の利用者。 ・ Group NIS 十のグルーフ。。 NIS 十のグループは、 NIS 十ドメ インごとの groups-dir オプジェクトに格納される。 ・ World 認証された NIS 十の利用者すべて。 UNIX MAGAZINE 1996.6 from UNIX REVIEW アクセス権に関しては、 read 、 modify 、 create 、 de- stroy の 4 つがある。アクセス許可のクラスのそれぞれ に対して、どのアクセス権をケえるかを設定することが 可能である。 niscat コマンドを使うと、アクセス権を表 示できる。 # niscat ー 0 group ・ org—dir niscat コマンドの出力結果を図 1 に示す。テープル " となって に対するアクセス権が、 —rmcdrmcdr— いる点に注意してほしい。クラスの順番は、 nobody 、 owner 、 group 、 world となっている。したがって、この 例では、 nobody はアクセス権をもたす、 world はテー プルに対して read アクセスができる。テープルの所有 者は go 。 fy. f00. com. 1 である。よって、 goofy の root ューサーや admin. f00. com. という NIS 十グループに 属する利用者は、 read 、 modify 、 create 、 destroy アク セスが可能である。なお、これらのアクセス権は、テー プル内のエントリすべてに適用される。 テープル内にある個々のエントリやカラムには、付 加的なアクセス権を追加することも可能である。たとえ ば、 UNIX の sysadmin グループのメンバーに対する 管理権限を、ユーサー扣 e にえたいとしよう。はじめ 、 joe に対して LOCAL および DES の証明書 (cre- dential) を発行することにより、 joe を NIS 十の管理者 にする ( 誌面の都合上、で折り返しています。以下 同様 ) 。 # nisaddcred —p 100 —P 」 oe. f00. com. 10Ca1 # nisaddcred —p unix. 1009f00. com - 1 ワークステーション利用者であり、実際は goofy というホストの root ューサーを表す。 75

2. UNIX MAGAZINE 1996年6月号

連載 / 転ばぬ先のセキュリティーの り、残したとしてもアクセスがおこなわれた時間のみとい うものが多くみられました。これでは、万が一侵入された ときに手の打ちょうがありません。もちろん、侵入者は侵 入後真っ先に言求を消そうとしますが、これについての対 策は今回は考えないことにします。 前述のアクセス制限を施すと、許可されるアクセスと禁 止されるアクセスか、発生します。それぞれの場合にロ当求と して残す項目を設定できる、柔軟な十はが必要です。許可 の場合は、リモートの計算機名、リモートのホスト名、ア クセスの時間、サービス名などか求される必要がありま す。禁止の場合は、リモートの計算機名、リモートのホス ト名、アクセス間、サービス名に加え、耻の里由も 重要です。さらに、ログファイルに記録しているだけで は、緊急生の高い不正アクセスに気づくのが遅れるかもし れません。そこで、このようなアクセスが発生した場合、 管理者にメールなどで通知する仕組みか必要です。 アドレスや時間によるアクセス制御を実施しない場合は 基本的にアクセスか禁止されないため、つねに許可された アクセスの言当求だけカ戦ることになります。このため、ア カウントをもたない人が適当なユーサー名とパスワードを 入力して侵入を試みるような不正アクセスに対しては、リ モートのアドレスか許可されていないなどの客聊勺な判断 カせません。したがって、残念ながら、もっとも言当求す べきこのような試みのリ小を残すことができないのです。 また、実装によって、残せる記録に制約が出てしまいま す。これについては次節て考察します。 スー / ヾーテーモンとラッ / 、一 現在使われているさまざまなサーバーを改良し、アクセ ス制御や言当求の機能を強化するのは、現実的には不可能で す。そこで、サーバーを変史せすにこれらの機能を汎用的 に実現しなければなりません。そのためには、スーパーデ ーモンの置換えと、ラッパー ( あるいはフロントエンド ) と呼はれる 2 つの去があります。 あるサービスを提供するデーモンは、基本的にはそのサ ーピス用のポートに届くデータを見張ります。たとえば、 telnetd は、 TCP のポート 23 番の挙動を監視します。 しかし、ある計で Telnet 、 rlogin 、 FTP など多種 のサーピスを提供する場合は、複数のデーモンが常駐する UNIX MAGAZINE 1996.6 図 1 プロセスの系 inetd ftpd rlogind telnetd 10g 土 n 10g 土 n 10q 土 n ことになり、メモリや CPU のパワーなどカヾ良費されてし まいます。 そこで BSD で考え出されたのが、 inetd と呼ばれる ス→ヾーデーモンです。 inetd は、る当求されたポートのす べてを単独で監視します。 TeInet サービスへのアクセス が発生した場合は、コネクションを inetd が受け取りま す。そして telnetd を起動し、コネクションを telnetd に 渡します。登録されているなら、 rlogind や ftpd も inetd から呼び出されることになります。このように、 1 つのプ ロセスが代理で複数のポートを監視し、サービスの要 ) 知 に対応するデーモン ( プログラム ) を起動することで、メ モリや CPU のパワーを節約します。 inetd から起動された telnetd などは、ユーサー認証 のために 1 。 g ⅲというコマンドを起動します。これは、ユ ーサーにユーザー名とパスワードを要求し、適切なパスワ ードかどうかを検査するプログラムです。これら一漣の関 係を図 1 に示します。このような枠組のなかで、汎用的 にアクセス制御坤言当求の機能を強化するには、 inetd を改 良すれはよいでしよう。これがスーパーデーモンの置換え です。 inetd と rlogind などの各デーモン間に、もう 1 段プロ グラムを介在させる去も考えられます。これは、デーモ ンのフロントエンド、あるいは包み込むという意味でラッ ー (wrapper) と呼はれています。 ノ、 より安全なスーパーデーモンとしては、 Panagiotis Tsirigotis が作成した xinetd ( ズィーネットディー ) が 知られています。ラッパーでは、 logdaemon や satan でお馴染みの Wietse Venema カイった TCP wrapper か有名です。 xinetd または TCP wrapper を用いれは、 設定竹業にすこし時間がかかりますが、各サービスのデー モンを変史せすに、それぞれのアクセス制御坤言求の機能 を強化できます。 ここで注意しなければならないのは、前述のように両者 67

3. UNIX MAGAZINE 1996年6月号

NET WORTH 丘 om U NIX REVIEW M. Steven Baker PC によるリモートアクセスの問題点 オレゴンの山のなかや海岸沿いをぶらぶらと歩いている と、ひっそりとしてすっかり忘れ去られたような一筋の小 径に偶然いきあたることが多い。好奇心にかられると、私 は行き先の見当もつかないままにそこへ足を踏み入れてし 私のコラムの多くは、このようにして始まる。ます、と りあげるテーマの本像を決め、頭の片隅で眠っている年 老い魁刪包を呼ひ覚ます。続いて、自分の認識がいまで も通用するかを確かめるために、ちょっとした調査をおこ なう。同僚や 2 ~ 3 人のべンダーと話したり、関連する USENET ニュースグルーフをいくつかしつくり読んで みるのである。最糸勺には、複数のフラットホームでアイ デアを実行に移したり、テストをおこなったりもする。と きとして、予期しなかった裏道がもっとも参考になったり することもある。 たとえは、今回の記事は以下に述べるような経緯で書く ことになった。 2 ~ 3 カ月にわたって PC と UNIX の接続に ついてみてきた。ことリモートアクセスについていえば、 山も丘もっとも注目されている話題である。前回は、 PPP (Point-to-Point Protocol) を使った複数のフロトコル によるリモートアクセスについて述べた。 PPP は、 IETF (lnternet Engineering Task Force) から標準として採 用されている。当初の予定では、複数のプロトコルによる リモートアクセスを : 見するため窈尺肢を、 ハードウェ アとソフトウェアの双方から詳しくみていくつもりであっ た。しかし、いくつかテストをしてみたところ、リモート アクセスにおける根本的な出題は、サーバーではなくクラ イアントに起因することカ吩かった。その結果が今回の記 事である。 UNIX MAGAZINE 1996.6 マルチプロトコルによるリモートアクセス 現在、デスクトップの PC や Macintosh へのリモー トアクセス用ノ、一ドウェアおよびソフトウェアは、数多く 用意されている。今回の記事印にあたって、私はリモー トアクセスの鍵を握る要素、すなわち複数のフロトコルに よるダイヤルイン / アウト機能を実現する仕組みを細かく 分析した。その結果、どのハードウェアやソフトウェアを 使うにせよ、次の 3 つの主要なネットワーク・フロトコ ルに対応することが重要だと分かった。 ・インターネットに接続するための TCP/IP (LAN Manager 、 LAN Server 、 Windows NT は TCP/IP 経由で NetBIOS も使える ) ーにアクセスするための IPX/SPX ・ NetWare サー (Windows NT 3.5 の標準のネットワーク・フロト コノレ ) ・ Macintosh にリモート接続するための AppleTalk こオ LJ 外では、 PPP のようなネットワーク標準フロト コルを使った仕組みがかなり興味深かった。これは、独 自プロトコルとは正反対に位置するものだ。標準プロトコ ルを使うと、さまざまなべンダーのクライアント・ソフト ウェアを利用できるため、柔車層生か高くなる。 現時点で、上記の要求を満たすシステムをソフトウェ アのみて構成するとなると、かなりの努力を要するだろ う。さまざまな UNIX システム (Solaris 2.4 、 Unix- Ware 、 SCO 、 SGI など ) に組み込まれている PPP は、 TCP/IP にしか対応していない。 UNIX マシンどうしや インターネットとの接続ではうまく機能するものの、ユー 115

4. UNIX MAGAZINE 1996年6月号

連載 / 転ばぬ先のセキュリティーの 図 6 inetd. conf 」 telnet stream tcp telnet stream tcp 図 7 hosts. allow 」 nowait nowait nobody nobody /usr/etc/in. telnetd in. telnetd /usr/etc/tcpd in . telnetd ALL : 163.221.0.0 / 255.255.0.0 図 8 hosts. deny 列 ALL EXCEPT in. fingerd : ALL : /usr/ucb/mail —s %d—%h root) & ALL : ALL : (/usr/ucb/mail -s %d—%h て 00t ) & % make sunos4 (/usr/local/etc/safe—finger ー 1 % れ一 \ これで、 TCP wrapper の本体である tcpd 、設定 ファイルのチェック・プログラム tcpdchk 、アクセス のテストフログラム tcpdmatch 、安全な finger である safe-finger がコンパイルされます。これらのフログラ ムを適切なディレクトリにインストールしてください。 # cp tcpd /usr/etc % su UNIX MAGAZINE 1996.6 デーモンのリスト : クライアントのリスト [ : シェルコマンド ] ようになります。 こでは要点のみを説明します。両者の書式は以下の は、 hosts-access というマニュアルを参照してくださ それぞれの例を図 7 と図 8 に示します。詳細について セスを許可します。 セスを禁止します。いすれにもマッチしない場合は、アク は、 hosts. deny と照らし合わせて、マッチすればアク クセスを許可します。 hosts . allow にマッチしない場合 ます hosts . allow を調べて、マッチする項目があれはア /etc/hosts. deny を作成します。 tcpd か起動されると、 る /etc/hosts . allow と、禁止のルールを定義する さらに、アクセスに関する許可のルールを記述す に置き換えています。 スに置き換えるだけです。 - この例では、 /usr/etc/tcpd 単で、図 6 に示すように 6 カラム目を tcpd への絶対パ るように、 /etc/inetd. conf を書き換えます。変更は簡 次に、 inetd が telnetd などの代わりに tcpd を起け # cp tcpdchk tcpdmatch safe-finger /usr/local/bin 各要素は : で区切ります。第 1 要素はデーモンのリ ストです。第 2 要素はクライアントのリストです。さら に、第 3 要素としてシェルのコマンドを書くこともでき ます。デーモンのリストやクライアントのリストにはワイ ルドカードとして、すべてを表す ALL 、その計算機を表す LOCAL 、そして、伊外をするための EXCEPT などが使 71 が出ています。前述のように、図 6 を参考にしながら変更 が tcpd から起動されるようになっていない」という警告 「 hosts . deny に finger の記述があるのに、 in.fingerd するために、 tcpdchk を起動します。図 9 の例では、 次に、これらの設定ファイルに問題がないかを確認 て、 finger には finger を返さないように成疋しましよう。 ぐあいに finger カ阯まらなくなってしまいます。したがっ finger に対して fake は hikari に finger する、といった に finger すると、 hikari は fake に finger します。この して finger をかける設定であるとします。 fake が hikari す。たとえば、計算機 hikari と fake の両方が finger に対 finger を起動しないのは、永久ループを起こさないためで 止し、その旨を root にメールします。 finger に対して また、 finger にアクセスがあった場合はアクセスを禁 その時間に変換される点に注意してください。 います。 %h 、 %d はそれぞアクセスしてきた引・算機と 計算機に finger をかけて結果をメールで root に送って にアクセスがあった場合はアクセスを禁止し、さらにその スを許可しています。図 8 では、 finger 以外のサービス 163.221 / 16 にマッチするアドレスの引・算機のみにアクセ 図 7 では、すべてのサービス ( デーモン ) に対して、 えます。

5. UNIX MAGAZINE 1996年6月号

連載 / 転ばぬ先のセキュリティーの xinetd かアクセスを許可したときの言隶 図 2 15 14 : 12 : 18 hikari xinetd[109] : START: ftp pid=326 from = 163.221.198.60 Apr 15 14 : 12 : 25 hikari xinetd[109] : EXIT: ftp status=O pid=326 duration=7 (sec) Apr 図 3 xinetd かアクセスを禁止したときの言彖 Apr 16 22 : 46 : 47 hikari xinetd[109] : FAIL: telnet address from = 163.221.198.60 図 4 TCP wrapper かアクセスを許可したときの言彖 Apr 16 15 : 34 : 19 pr i Ⅱ . rlogind [ 26958 ] : connect from hikari. aist-nara. ac ・ jp 図 5 TCP wrapper かアクセスを禁止したときの言彖 Apr 16 15 : 50 : 42 pr in. て logi Ⅱ d [ 26958 ] : refused connect from 163.221.198.60 ともに限界がある点です。ューザーを認証するのは login 入手できた場合は言求します。また、禁止した理由が明示 コマンドですから、 xinetd も TCP wrapper もユー 的に書かれていませんが、言殳定とくらべ合わせてみると理 サー認証に関与できないことはすぐに分かります。たとえ 由は明らかになるでしよう。 は、自組織のネットワーク以外から TeInet サービスに 一方、 TCP wrapper では言求する項目をカスタマイズ 対して、 root というユーサー名にアクセスがあった場合、 できません。しかし、固定的であるにせよ、 TCP wrap- 入力したユーサー名 ( つまり root) 、入力したパスワード、 per では十分な↑帯長か第求されます。図 4 と図 5 に、 TCP 時、リモートのホスト名、また可能ならリモートのユー wrapper がアクセスを許可、禁止したときの言当剥列を挙 サー名を言当点こ残すようなきめの細かいイ乍業ができないの げます。 TCP wrapper の場合も、禁止した理由が明示 的に残らないのはすこし残念です。 xinetd や TCP wrapper では、 TCP コネクションが アドレス表記 張られた直後の状態において、アドレス ( や時間 ) を調べ ます。正当なら対応するデーモンを起動して記録を残し、 次に、計算機やネットワークの指定ガ去について考えて 不適当ならコネクションを切断して日求を残す程度のこと 、、 163.221.0.0 / 255. みましよう。 TCP wrapper では、 しかできません。不正確になるのを承知であえていえは、 255.0.0 " などのようにアドレスとマスクの組カ甘旨定でき 両者は TCP のコネクションの許可 / 禁止を司るだけであ ます。最近はマスクの長さを表すのか流行しており、 り、それよりも上位にあるユーザー認証まではおこなえま の例は、、 163.221 / 16 " と表記できますが、 TCP wrapper では対応していません。しかし、どのようなマスクでも指 定可能です。 xinetd では、マスクの長さとして 0 、 8 、 16 、 24 、 32 など 8 の倍数しか許されていません。、、 163.221.198.0 " のように、、、桁 " が 0 の場合、その前の桁までか有効であ るとみなされます。この例では、、、 163.221.198 / 24 " とい う意味になります。各桁に 0 を書くことでマスクの長さを 孑ぐするので、とりうるマスクの長さは 8 の倍数に制約 されているのです。複数のクラス C の割当てが一般的と なってきた現在では、この齣は厳しいかもしれません。 せん。 機能の比較 「 TCP wrapper と xinetd のどちらを使えばよいのか」 という質問をよく受けます。「迎未の問題です」と答える のはあまりにもそっけないので、客聊勺に機能を上交して みたいと思います。 記録の変更 ます、言当剥こついて上交してみましよう。 xinetd では、 当求する情報を許可と禁止のそれぞれの場合に設定できる ようになっています。図 2 と図 3 に、 x ⅲ etd がアクセス を許可、禁止したときの言当求を示します。こ刎列では、リ モートのユーサー名が残っていませんが、 IDENT により 一三ロ 時間による制御 時間によるアクセス制行防ゞできるのは xinetd です。残 念ながら TCP wrapper ではおこなえません。 68 UNIX MAGAZINE 1996.6

6. UNIX MAGAZINE 1996年6月号

連載 / 転ばぬ先のセキュリティーの 図 14 inetd を終了させ、 xinetd を起動する # ps aux ー grep inetd root 112 0 . 0 0 . 1 52 40 ? S Mar 31 # ki11 —KILL 112 # /usr/etc/xinetd # ps aux ー grep inetd 図 15 xinetd. confØf$ 正を xinetd 反映させる 345 0 . 0 0 .7 108 196 ? S # kill —USRI 345 Apr 8 アドレスを、 no-access には禁止するものを書きます。 もし、あるサービスで両者が定義されておらす、しかも defaults でも定義されていないのなら、すべての頃 にアクセスを許すことになります。 only-from のみが定義されていれは、それにマッチ するアドレスをもつ計算機だけがアクセスできます。 no-access のみが定義されていれば、マッチした計算機 はアクセスを禁止され、それ以外は許可されます。両方が 定義されている場合は、厳密にマッチするはうの動作が 選はれます。たとえば、図 13 の例では、 163.221.198.60 は、 only-from にも no-access にもマッチしますか、 no-access のはうがより厳密であるため、アクセスか禁 止されます。 初めからアクセス制限を厳しくすると何かと失敗します から、最初は緩めに設定しておき、慣れてきたら徐々に厳 しくしていくとよいでしよう。 次に xinetd をルートの権限で /usr/etc などにインス トールします。また、 xinetd. conf を /etc にコピーし # cp xinetd. conf /etc # install —c —m 700 xinetd /usr/etc % su てください。 74 す。 SunOS 4. x なら /etc/rc に以下のような記述がありま inetd の代わりに xinetd が使われるよう設定します。 うまくインストールができたら、計算機の起動時に xinetd. conf を読み込ませることかできます ( 図 15 ) 。 しよう。シグナノレ SIGUSRI を xinetd に送オ正した 場合は、 xinetd. conf カ墹違っていないかよく確かめま telnet などができれば成功です。アクセスに失敗する す ( 図 14 ) 。 その後、現在の inetd を終了させて xinetd を起動しま 0 : 01 xinetd inetd という文字列をすべて xinetd に変換す川ま終了 です。 xinetd カカき始めると、 /var/adm/message などに 図 2 や図 3 のような言求か残るようになります。言当求の書 式の詳細については、 xinetd. 10g のマニュアルを参照し てください。 ☆ 今回は、各デーモンに大幅な変更を加えることなく、ア クセス制御や記録の機能を強化する TCP wrapper と xinetd を紹介しました。手軽に始めるのなら xinetd 、安 物生を追求するのなら TCP wrapper を利用するとよい でしよう。 ( やまもと・かすひこ奈良斗物支術大凝完大学 ) [ 文献 ] [ 1 ] Tsutomu Shimomura, T 佖ん edow れ : The Put 、 suit 0 れ d Ca 7 ℃可 Kevin 石 t れ c ん , Amertca 's ー 0 ー佖れ t 司 Com川雇 e 0 社 , , Hyperion, 1996 0 : 26 inetd if [ —f /usr/etc/inetd ] ; then inetd ; echO ーⅡ inetd' UNIX MAGAZINE 1996.6

7. UNIX MAGAZINE 1996年6月号

連載 /NET WORTH—O サーがリモートアクセスしなけれはならない PC や Mac- intosh のファイルサーバーをもっサイトも数多くある。 ダイヤルイン / アウトに使用するモデムと電話回線を上交 的低コストで複数のプロトコルに対応させることができれ は、個々のプロトコルごとにそれを用意するのは無意未で ある。 ハードウェアによるリモートアクセスの : 見てすぐに思 いつくのは、ターミナル・サーバーやコミュニケーショ ン・サーバーを使う力法だろう。このなかには、私の設け た基準を満たすものもある。つまり、ダイヤルイン / アウ トによるリモートアクセスの双方で、複数のプロトコルに 対応しているのである。これらの専用テパイスには、ロー カル・ネットワークに接続するためのネットワーク・イン ターフェイス ( おもに Ethernet か TokenRing) と、回 速モデムの接続に使われる一漣のシリアルポートが伺属し ている。内蔵ハードウェア・カードに V. 34 モデムか組み 込まれた製品もいくつかあるので、それを購入してもいい だろう。 これらの機器の大きさは、通常厚めのキーポード程度で ある。 PC ファイルサーバーや UNIX マシンをほとんど 変更することなく、単独て操作できる。マイクロフロセッ サ ( たいてい 68020 か 80X86 ) 、おそらく IMB 程度の RAM 、設定データを一尉寺するバッテリー付きの RAM ま たは EEPROM が内蔵されており、 AC アダブタは外 付けになっていることが多い。物理的に動いているのは冷 却ファンだけということもありうる。これらのハードウェ ア・テンヾイスの魅力は、ローカルのネットワークからみて、 リモートノードが」、つうにネットワーク接続されたノード として映る点である。 TCP/IP で利用する場合、各リモ ートアクセス・ポートに、 IPX/SPX のネットワーク・ ノード番号と一絲者に IP アドレスか割り当てられる。 Ap- pIeTaIk て利用する場合も、同様に AppIeTalk のノード ID と名前か割り当てられる。ターミナル・サーバーやコ ミュニケーション・サーバーなどのハードウェアを使う と、一度に 1 バイトすっしかやりとりできないイ虫のシリ アルデバイスの面倒をみてくれるので、リモートアクセス のイ督はみが簡単になる。ネットワークを流れるのはデータ バケットだけである。 私は、 8 つのポートをもつ Xylogics の MicroAnnex でテストを始めた。 MicroAnnex は複数のプロトコルに 116 対応しているが、 IPX/SPX は CSLIP (Compressed Serial Line lnternet Protocol) を使った独自の実装の ものだった。 Xylogics は、その後 Remote Annex をリ リースした。私は、 Shiva から販売されている同様のノ、 ドウェアを使ってテストを試みた。 Shiva の LANRover シリーズのリモートアクセス・ ーは、 TCP/IP (PPP と SLIP の双方が使え サーバ る ) 、 IPX/SPX (PPP のみ ) 、 Microsoft NetBEUI (PPP のみ ) 、 Macintosh 用の ARA (AppleTalk Re- mote Access) に対応している。 Windows ( や NetWare IPX/SPX) の動作している PC と、 AppleTaIk の重川 している Mac ⅲ t 。 sh のどちらからでもリモートで管理で きる。残念なことに、点では UNIX システムから管 理するオプションは用意されていない。すくなくとも 1 つ のポートか利用できるようになれば、リモートダイヤルア ップ・リンクの 1 つを使って管理できる。 競合製品と同本 LANRover にはいくつかのセキュリ ティ機能が備わっている。具イ勺には、ユーザーアクセス のパスワードによる認証、 NetWare のバインダリ利用、 Security Dynamics から販売されている SecureID シ ステムのパスワード・トークンがべースの、さら凵東さ れた仕組みなどである。コールバック機能を利用すれは、 セキュリティを強化したり、モーバイル・ユーサーに対処 することもできる。 ラップトップの問題 最初に、自分の研究室で Shiva の LANRover PIus をセットアップした。小さな研究室には、各種 OS を 積んだデスクトップ PC (DOS 、 Windows 、 NetWare Server 、 Windows NT server 、 X86 UNIX (S) に Macintosh 、 UNIX RISC マシンカ甘前っている。都合よ く隣り合ったマシンが 2 台あったので、数組の電話回線 とモデムを使って簡単にリモートアクセスのテストがおこ なえた。テスト環境では、 LANRover を初期化して設正 し、 TCP/IP 、 IPX/SPX 、 ARA を使ったリモート接 続を試すことができた。 14 , 400bps や 28 , 800bps のモデムがイ氏速だという点 は別にして、はは期待どおりにことが進んだ。ます、サー バーから離れたリモートリンク上では、 PC や Windows UNIX MAGAZINE 1996.6

8. UNIX MAGAZINE 1996年6月号

. 第 S り 連載 / 転ばぬ先のセキュリティーの 不正アクセスの通知 TCP wrapper では、不正アクセスがあった場合にコ マンドを起動し、たとえばメールなどを使って通知できま す。 xinetd ではもつばら言求カ陬られるのみです。 IDENT への対応 TCP wrapper も xinetd も IDENT を使ったリモ ートのユーザー名の取得に対応しています。ただし、リ モートのユーサー名か得られるのは、リモートの言算機が IDENT サーピスを提供している場合のみです。 計算機名の偽造 1994 年 10 月号で説明したように、ネームサーバ ーの管理者であれば、あるアドレスに対して偽りの計算 機名を登録することができます。たとえば、 hikari. aist- nara ・ ac. jp という言算機のアドレスが 163.221.198.60 であるとします。アドレスと計算機名のデータベースに は、計算機名をキーにしてアドレスを引く正引きとその反 対の逆引きが必要です。 IP バケットにはアドレスが含まれていますから、通信 か起こった時点ではアドレスだけを知ることができます。 しかし、 R コマンドのように計算機名でアクセスを缶剏 するサーピスがあります。このようなサービスは、最初に 得られたアドレスをキーにしてネームサーバーに逆引きを 依頼し、計算機名をヾます。 仮に、このアクセス制御をかいくぐろうとするクラッ カーの使っている計算機を fake.cracker.com 、アドレス を 123.4.5.6 とします。クラッカーは、 123.4.5.6 をキー として逆引きされたときに、嘘の名前である hikari. aist- nara. ac. jp と答えるようネームサーバーを設定します。次 に、 hikari からのアクセスを許している Telnet サーバー に fake からコネクションを張ります。この Telnet サ ーバーが、クラッカーか支配しているネームサーバーに 123.4.5.6 を問い合わせると、 hikari という答が返って きます。そこでまんまとだまされてアクセスを許可してし まうことになります。 しかし幸いなことに、クラッカーは aist-nara ・ ac. jp を 司るネームサーバーには手が出せないので、 hikari のア ドレスとして 123.4.5.6 を登録するのは難しいでしよう。 そこで、逆引きして得られた言 t 算機名を使って正引きをお UNIX MAGAZINE 1996.6 BERKELEY SOFTWARE DESIGN, INC. BSD/OS Ver. 2.7 価格について 95 年 12 月より価格が改訂され、料金が細分化 されました。詳細については、電話又は電子 メールにてお問い合わせください。 ・バイナリ 95 , 000 円より ・ソース 206 , 000 円より 阨 27 出荷開始 新しいバージョン 2.1 を出荷開始いたします。 主な新機能は、インストーラの簡略化、以前 のバージョンからのアップグレードの簡略化 PCI デバイスの対応、セキュリティ関連の強 化などです。 インストールは、高速インストールを選択す れば、非常に簡単です。 V2.0 からのバージョンアップも高速インス トールを選択すれば、作業は 1 時間弱で終了 します。 阨 27 新対応デバイス CD-ROM ・ ATAPI CD-ROM SCSI ・ ADAPTEC 2XXX シリーズの対応 ・ AIC -7850 , 7870 シリーズのチップの対応 ・ NCR 53C810 , 815 , 820 , 825 PCI Ethernet ( 10Mb / 100Mb), FDDI(CDDI) ・ DEC21040 , 21140 べースのもの DEC DE435 , DE434 , DE450 , DE500 SMC EtherPower and EtherPower 10/I OO SMC EtherPower2 (dual 10 mb/s) ・ 3COM 3C590 , 3C595 他 ご注文の際は、価格、在庫の有無をお電話 で確認の上ご注文ください。また、資料請 求 ( 無料 ) もお気軽にお申しつけください。 株式会社フォア・チューンル os 係 〒 154 東京都世田谷区駒沢 2-11-3 第二集花園ピル 8 階 電話 03-5481-8794 FAX 03-5481-8432 lnternet: bsdi-info@foretune.co.jp 資料請求 No. 00C 69

9. UNIX MAGAZINE 1996年6月号

転ばぬ先の セキュリティ 山本和彦 TCP wrapper と xinetd ついに、米国で『 Takedown 』 [ 1 ] が出版されました。 アドレスの偽造という高度なテクニックを使って侵入を 繰り返し、 Netcom のユーサーのクレジットカード番号 を盗むなど、数多くの犯罪を重ねていた Kevin Mitnick が、昨年の 2 月に FBI によって退市されたのは記憶に新 しいところです。『 Takedown 』は、セキュリティのエキ スパートであり、一当里の j 毆亦劇の断殳を務めた下村努氏に よってされました。 言 t 算機ネットワークの侵入者の追跡記としては、 CIif- ford StoII の『 The Cuckoo's Egg 』 ( 邦訳 : 『カッコー はコンピュータに卵を産む』、草思社、 1991 年 ) カ陏名で す。この本の成功は、恋人とのエピソードを交えた、専門 的な言己を極力抑えた分かりやすいによります。 この『 The Cuckoo's Egg 』にならったのでしようか、 『 Takedown 』も - 下村氏の恋物語から始まります。作り話 かと疑ってしまうはどの人弸莫様のためか、ぐいぐいと引 き込まれるおもしろさです。きっとこの本も大成功を収め るのではないでしようか。 英語力痛にならなければ、ぜひ読んでみてください。 著者が日本人なので翻訳はどうなるのか予想できません が、早く日本語訳か読めるようになれはと思います。 山も匠では、書籍による↑帯にや製品の充実にともない、防 火壁の構築によるネットワークのセキュリテ料カ立ヨ殳 的になってきました。皆さんの糸騰哉も、防火壁で守られて いる場合が多いのではないでしようか。防火壁を構築すれ ば、守るべき計算機の数を組織の全計算機から数台に低咸 できます。しかし、防火壁の外に置かれる各種のサーバー サービスの提供と安全性 66 は、依然として危険にさらされています。 インターネットの黎明期を支えたのは、いうまでもな く BSD 系の UNIX です。教育研究目的が色濃く央し た UNIX で育てられたサービスデーモンは、現在のイン ターネット竟ではいささか機能不足です。防火壁の外側 でこれらのデーモンがいまだに使われているのを目にする につけ、ソフトウェアのライフサイクルの長さかま感され ます。 古き良き日罸弋に育ったデーモンに不足しているのは、ア クセス制御し当求の機能です。今回は、デーモンを変更す ることなく、これらの機能を強化できる TCP wrapper と xinetd を紹介します。 ます、アクセス缶卩について考えてみましよう。たとえ は、 Telnet サーヒ、スを実現するデーモン telnetd などは、 防火壁などに制限されないかぎり、ユーザー認証によるア クセス制御しかおこないません。しかし、サーピスによっ ては、アクセスできるクライアント引・・算機やネットワーク を制限しなければならないでしよう。また、夜間の利用を 禁 - 止するなど、時間による制限も必要かもしれません。 アクセス制御のパラメータとして、ホストやネットワー クを表現できるアドレスとマスクの纒ユーサー名、およ ひ畤間カ甘旨定できればよいでしよう。さらに、これらの項 目を組み合わせて、「ホスト A のユーサー Bob は 13 : 00 ~ 14 : 00 まて利用してもよい」といった設定ができれば完 アクセス制御と記録 ンには、 璧です。 UNIX MAGAZINE 1996.6 アクセスがあったことさえ記録に残さなかった 次に、ロ求の機能について考えます。これまでのデーモ

10. UNIX MAGAZINE 1996年6月号

連載 /NET WORTH—O シリアル・アプリケーションの処理 !-i 度は、新しい V. 34 の技術はもちろんのこと、昔の V. 32bis モデムにも、かろ うじて追いつくのがやっとだった。対照的に、 Windows て動く DOS アプリケーションでは、いくぶん咼速にシリ アルポートに茁妾 ( ではあるが、保想的に ) アクセスする ことかできる。 システムのこのような欠点を改善するために、 PC 用の FAX および通信ソフトウェアを開発しているべンダー数 社は、シリアルポート用の新たな Windows 仮想デバイ スドライバをインストールしているが、同時に新たなバグ や間題も生じている。 商用べンダーから販売されている Windows TCP/IP ソフトウェアのテスト中、ははすべての製品で、高速通信 の際に思わぬ障害にふつかった。旧式の V. 32bis モデム による最初のテストでは、これらの PPP 製品を使って 38 , 400baud での通信を試みた。ははすべての Windows PPP 製品が、この回糸度では通信できなかった。 Win- dows のシリアルポート I/O にバグがあったためである。 遅くなったり、速くなったり、ときには止まったりしな がら通信はおこなわれた。 よりよいリモート接続のために アプリケーションに異常が生しないかぎり、リモート PC ューザーの大部分は、 Windows やマシンのシリアル チップ・ ードウェアのアクセス速度が - 下がったことさ え気がつかないだろう。ューサーは、モデムを経由したリ モートリンクの先で、プログラムがゆっくりと実行されて いるものと思っている。 多くの場合、いくっかのちょっとした変更 ( 5 ドルの UART チップに替えるなど ) を加えると、アクセス速 度は大きく変わる。 Pacific CommWare からは、 Win- dows 3. x でイする新しい優れた通信ドライバか版売さ れている。この TurboCom/2 ドライバを使えは、 Win- dows システムで可能なかぎり速いスピードを絞り出して、 115 , 200baud までの通信速度を実現することができる。 そのうえ、 TurboCom/2 ドライノヾは Windows 完全 : 圧 換である。 1991 年に初めて登場した TurboCom ドライ バは、最第度での通信とイ応生刎焉正をも望むのであれ ば、 100 % の価値がある。阪である TurboComman- UNIX MAGAZINE 1996.6 der では、 COM ポートへのビジュアルアクセス・マネー ジャーが追加されている。この製品は設定が簡単で、送 受信の両方作における回糸大態と実日判日スルーブット を、ディスプレイ表示によりモニタリングすることがで きる。 Pacific CornmWare は、リモートアクセスのソフトウ ェア開発者や、トラブルシューティングにあたる管理者向 けに、いくつかの強力な Windows 析ツールの入ったフ ロフェッショナル版を提供している。 TurboCommander Pro のノヾッケージには、 Windows COMM API のルー チンやパラメータを監視する機能、 comm ドライバか管理 する内部データ構造を重加勺にみる機能、シリアルポートを 流れる生データをみる機能が追加されている。 当初の予定から一 - - 印寺外れてしまったが、ネットワークに 関する山斤の話題について調査すべきことはまだまだ残っ ている。来月は PC と UNIX の接続の話題から離れて、 新しい咼速ネットワーク・ハードウェアについて述べよ う。それでは、次回までシリアル接続でネットワークを拡 げよう。 州の建物のエネルギー管理をおこなうオレゴン州エネルギー省勤務。 rProgrammer's JournalJ の丿届集者であり、 rExtending DOSJ ■ M. Steven Baker @1995 , UNIX REVIEW (). S. A. ) UNIX REVIEW 1995 年 6 月号より 「 PC Remote-access Troubles 」 (Addison-Wesley 刊、 1990 年 ) の著者の 1 人でもある。 119