メッセージ - みる会図書館

1. UNIX MAGAZINE 1998年11月号

連載 / IJN Ⅸ知恵袋ーの図 1 DHCP による IP アドレス確保の充れーバーの選択クライアントサーバー 2 DHCPDISCOVER DHCPAOK 資源保護完了 DHCPREQUEST サ DHCPOFFER 提供値の決定 DHCPDISCOVER DHCPOFFER 提供値の決定スを効率的に利用することができます。 D Ⅱ CP による IP アドレスの割当て DHCP のクライアントは、 DHCP サーバーにネットワークの設定値を要求します。しかし、クライアントかプートした直後は、自分自身の IP アドレスも DHCP サーバーの IP アドレスも分かりません。このため、 DHCP クライアント計算機は、最初に DHCP サーバーの探索をおこないます。 DHCP サーバーがみつかると、設疋値の要求、確保した IP アドレスの解放要求、再リース要求などをその DHCP サーバーに対して発行します。図 1 に DHCP サーバーとクライアントとのやりとりを示します。クライアントは、最初に DHCP サーバーを探すために、リンク層のプロードキャスト・アドレスに対して DHCPDISCOVER メッセージを送信します。その際、バケットの送信元 IP アドレスには 0.0.0.0 、送信先 IP アドレスには 255.255.255.255 を設定します。うすることで、これまでの IP の枠組みを壊さす、 LAN 上での DHCP サーバー探索ができるようになります。 DHCPDISCOVER メッセージを受信した DHCP サーバーは、返事として DHCPOFFER メッセージを返します。このメッセージには次の↑帯にか含まれています。提供可能な設定情報 ()P アドレス、ネットマスク、プ・ DHCP サーバーの IP アドレス ( サーハー ID) ・リース日ロードキャストなど ) 70 クライアントは DHCPOFFER メッセージに含まれているサーバー ID を取得し、以後のメッセージのやりとりを続けます。 DHCP サーバーが決定したら、クライアントは次に DHCPREQUEST メッセージを送信し、実際に設定情報を取得します。このメッセージを受信したサー石忍として DHCPACK メッセージを返します。これら 4 つのメッセージのやりとりか終れば、割当ては完了です。 DHCPOFFER メッセージさえあれば、 DHCPRE- QUEST メッセージと DHCPACK メッセージは不要だと思われるかもしれません。 DHCPOFFER メッセージに提供可能な設圜青報か含まれているのですから、クライアントが DHCPOFFER メッセージを受信した段階で設定してしまうガ去も考えられます。しかし、このな去では LAN 上に複数の DHCP サーノヾーがあるときに矛盾か生じることになります。 DHCPDISCOVER メッセージは LAN にプロードキャストされることを思い出してください。その際、送信先 IP アドレスは 255.255.255.255 に設定されます。ですから、複数の DHCP サー DHCPDISCOVER メッセージを受信し、それぞれが DHCPOFFER メッセージを返信することになります。 DHCPOFFER メッセージを発行した点で割当てを完了すると、利用されていないにもかかわらす、割当て済みになる IP アドレスができてしまいます。 D Ⅱ CP による再リースの仕組み DHCP は IP アドレスの動的な割当てができるところに最大の利点があります。そのため、使われなくなった IP アドレスを回収する枠組みが必要です。 DHCP では、 IP アドレスの回収方法として次の 2 つを提供しています。・ DHCPRELEASE メッセージによる明カ勺解放・リース日判り切れによる日韶の解放 DHCPRELEASE メッセージは、クライアントがネットワークから離れるときに自主的に発行するメッセージです。 DHCPRELEASE を受信した DHCP サーバーは、解放された IP アドレスを空きアドレスリストに加え、次のリース要求に利用します。 DHCPRELEASE メッセージによる解放は、クライアントか明カ勺に要求しないーは、 UNIX MAGAZINE 1998.11

2. UNIX MAGAZINE 1998年11月号

Daemons & Dragons— 0 指定したユーザーがログインしているときだけメッセージが送られる。メッセージがログとして残るためには、そのメッセージが syslog. conf で指定されたファシリティに属し、さらにレベルも指定されたものと同しか、それよりも高くなけれはならない。たとえ timail.err は、 mail ファシリティでレベルが err 以 -- ヒの syslog メッセージである。 * ですべてのファシリティを表すことができるまた、ので、、、 *. debug " はすべてのログメッセージという意味になる。一方、 none というレベルはファシリティを除外するために用いる。たとえば、、 *. info;mail.none" は、 mail ファシリティのものを除いた info レベル以 .- ヒのすべてのメッセージを意味する。実践的な設定システムに標準で付属している syslog. conf は、おそらく十分なものではないだろう。私の知るかぎり、ほとんどのシステムでは、すべてのメッセージを 1 つのファイルに保存するか、 mail ファシリティのログだけを別のファイルに保存する。標準の設定ファイルでは、 syslog の柔輓匪と用途の広さを活かすことはできない。そのような設定を使うのはやめて、 syslog. conf を作りなおしたほうがいいだろう。データはもともとファシリティごとに分類されているので、記録もそれに従っておこなうほうがいいだろう。ます、各ファシリティのデータを、異なるログファイルに保存するように設疋ファイルを記述する。ログファイル専用のディレクトリ ( たとえß/var/log など ) を選ぶか作成するなどして、ファイルをそこに置くようにする。さらに、すべてのファシリティをⅲ f 。レベルから記録するように設疋する。こうすれば、認証 (authentica- tion) に関するログメッセージを調べたいときは、 auth というログファイルを見るだけで簡単にチェックできるようになる。特定のファシリティの記録か細かすぎると思ったときは、ⅲ f 。レベルのメッセージか記録されないようにレベルを上げればいい。この方針に従って作成した syslog. conf の記述例をリスト 1 に示す。次に、コンソールに出力したり、すべてのユーザーに警告する必要があるメッセージを選択する。ューザーが直接利用する 100 リスト 1 syslog ・ conf の記述例ようなワークステーションでは、コンソールにログメッ /var/log/cron /var/log/lpr /var/log/auth /var / 1 og/ daemon /var/log/user /var/log/mail cron. notice 1pr. notice auth . notice daemon . not i C e user . info mai 1 . debug を定期的に移動し、新しいものと置き換えている。多くんどのシステムでは、 cr 。 n を使って現在のログファイルはあるが際限なく増えていってしまう。そのため、はとログファイルをそのままにしておくと、すこしすつでログファイルの置換えを使えるので間題はない。ようなシステムでも、記録用ホストに別の syslog. conf こなっている。共通の syslog. conf ファイルを使用するムでは、記録用ホストであるかどうかの判定を m4 でお集中管理を実現しているものがある。このようなシステ log. conf ファイルを使用することでログメッセージのよっては、ログサーバーとクライアントが共通の sys- を設定しなおす必要がある。システム (Solaris など ) にアントを新しくインストールしたときは、 syslog. conf 場合は、 syslog ・ conf に設定を追加する。 UNIX クライ特定のメッセージをコンソールに表示する必要がある * ・ debug 記録用ホスト名けでよい。実現するには、 syslog. conf に以下の 1 行を追加するだべて記録用ホストに送るように設定を変更する。これをを必要に応じて設定し、その他のホストはログ情報をすな空き容量がなけれはならない。記録用ホストの syslog 置くパーティション ( 一般的には / usr や /var) に十分用ホストに定める。記録用ホストには、ログファイルをができれはとても楽である。ます、 1 台のホストを記録き、 30 台のホストの状態を 1 台のホストで調べることログを集中管理する必要がある。障害をチェックすると UNIX マシンのネットワークを管理している場合は、セージを出力しないほうがいい場合もある。 UNIX MAGAZINE 1998.11

3. UNIX MAGAZINE 1998年11月号

DAEM 〇 NS& DRAG 〇 NS ⑩ ベルは debug で、デーモンのデバッグ出力用である。レベルはメッセージの重要度を表す。もっとも低いレことができる。タや TCP Wrapper などのサービスのために使用するものがある。 I 。 cal に分類されるファシリティは、ルーシリティを使って sysl 。 g 情報を送るように設定できるションやネットワーク・デバイスのなかには、特定のファ使うためのファシリテイもある。システム・アプリケーらかじめ意味が定義されている。また、独自に定義して auth や mail などのいくつかのファシリティは、あっている。 (facility)" と、、レベル (severity level)" という属性をも syslog に送られる各メッセージは、、、ファシリティ概要ある。実現できるため、セキュリティを強化することも可能でちんと構築すれは、クラッキングされにくいログ機能をすことができるだろう。ログを集中管理する仕組みをきがあるので、うまく使えばシステム管理者の負担を減ら多い。 syslog にはログの情報を系統立てて管理する機能め細かく制御できるが、あまり活用されていないことが syslog は、自由度が高いのでエラーメッセージをき •William LeFebvre syslog の活 from UNIX REVIEW 表 1 syslog のレベルレベノレ emerg alert crit err warmng notice info debug 意味ーックを起こすような状態システムカシヾー早急な対処を要するもの重大なエラーその他のエラー警告工ラーではないが重要なもの通常の報告デノヾッグ用のメッセージれはサー・アプリケーションの開発にはとても便利だが、日常的な運用に使われることはますないだろう。 debug の次に低いレベルは info で、一般情報を提供するメッセージがこれに属する。レベルは重要度に応じて高くなっていく ( 表 1 ) 。 UNIX MAGAZINE 1998.11 設定ファイルの書式 syslog デーモンがメッセージを扱う動作は、 / etc / syslog. conf という設疋ファイルに定義されている。書式は単純である。、 # " で始まる行はコメントとみなされる。設疋ファイルの各行には、動作を 1 っすっ定義する。それぞれの行は、スペースで区切られた 2 つの部分から構成されている。左側の部分には、、、 mail. debug; kernel.info" などのように、ファシリティとレベルの組合ををセミコロン ( ; ) で区切って指定する。その右側には、メッセージの送り先として、ファイル名やユーサー名、あるいはリモートのログ記録用ホストなどを指定する。システムのなかには、送り先の部分に事後処理をおこなうためのフィルタを指定できるものもある。また、ほとんどのシステムではアスタリスク ( * ) を使用することができるが、これは現在ログインしているすべてのューサーにメッセージを送ることを意味する。つまり、行の左側のファシリティとレベルの組合せに該当するメッセージは、その右側に指定した送り先に記録されるのである。送り先がユーサー名 ( 複旨定可能 ) の場合は、 99

4. UNIX MAGAZINE 1998年11月号

図 9 サービスーアカウントをキ諚リスト 4 サフ連載 / 遠隔オフィスとの接続ー 0 00039 : ー 00002 : 00039 : ー 00002 : 00039 : ー 00002 : 00039 : ー 00002 : 00039 : ー 00002 : Socks サーパーのログメッセージ列 Config: Reading config file: c:*Socks5*socks5. conf P1ug-in : 1sPasswdSrvIdent in s5upwd. d11 loaded UPWD : Password file is C : *winnt*s5upwd. txt P1ug—in: 1sNu11SrvIdent in s5nu11. d11 loaded Socks5 Server starting at 98 / 09 / 16 15 : 05 : 38 サービス Sock 5S 第 v ~ ストトアカ・の種頡翁自枷ム ) ログわ 0 ッステムア加ント「一テ決外 , フ・との対話をサツに詳可 ) ゞスワー・スをドの確認入力 0 ・“” OK ヘルフ・権限でおこなえばうまくいきます。しかし、インストールしたファイルをサーピスから ( システムアカウントの権限で ) 実行しようとすると、アクセス権がないので上記のようなエラーか発生してしまいます。セキュリティの問題もあるので、インストール先ディレクトリのアクセス権は正しく設定する必要があります。工クスプローラで設定の必喫なディレクトリやファイルを表示し、そのアイコンの上て右ボタンをクリックします。表示されるメニューから、、プロバティ " を選び、、、セキュリッションを設定します。ティ " でオーナーやパーしかし、試丐剱勺に動かすだけでアクセス権を気にしなくてもよいのなら、インストール時と同じューザー・アカウントで Socks サーバーを起動ける去があります。サービスを起動するアカウントを指定するには、サービスの起動方法を設定するダイアログ・ポックス ( 、、サービス " ウインドウの [ スタートアップ但 ) ] ボタンで表で、 1. 、、ログオン " の項目から、、アカウント " お尺 2. アカウント名 ( ューサー名 ) を入力 3. 指定したアカウントのパスワード ( 2 カ所 ) を入力という言置をおこなってください ( 図 9 ) 。テパッグモードでの Socks サーパーの起動 Socks サーバーがうまく重川しなかったり、成疋ファイルの言当をテストするためにログを参照したい場合は、コ 48 マンドラインからデバッグモードで S 。 cks サーバーを起動しましよう。 Socks サーノヾーの本体は socks5-server. exe ですが、このプログラムは鬲凾カリかないので、 Socks サーバーを起動するためのプログラムである socks5-service. exe をリスト 4 はロコマンドプログメッセージの例です。というログファイルとして保存されます。 server-debug. log トリに、デバッグ用のメッセージは、インストール先ディレク C:Y> socks5—service —debug ンプトから以下のコマンドを入力します。使うはうがよいでしよう。実行するときは、 UNIX MAGAZINE 1998.11 誤った変更を加えると、 OS か起動しなくなることさえあレジストリを不用意に変更するのはたいへん危険です。「え、どうして ? 」いかん」「あ、ちょっと侍った。あんたはレジストリを触ったら「レジストリの変更カ 1 去ってどこに書いてあるのかな」ドプロンプトにログを表示するようになります。標準出力、つまり socks5-service. exe を起動したコマンとなっているはずです。この値を空文字列に変更すれば、 "C : *Socks5*server-debug.10g ” 、、 C:*Socks5" なら、一屬己のキーの値は、ています ) 。たとえは・、インストール先ディレクトリがに設定されています ( 誌面の都合上、で折り返し *Socks5 Server%1. O*Debug Log Fi1e HKEY-LOCAL-MACHINE*SOFTWARE*NEC ログの出力先は、レジストリの、ク畤にタイミングが分かりにくいという間題があります。ところで、ファイルに出力されたログだけでは、デバッ

5. UNIX MAGAZINE 1998年11月号

Daemons & Dragons— 0 リスト 3 newlog 使用時の crontab の例 55 23 * * 6 /usr/lib/newlog /var/log 30 23 * * * /usr/lib/newlog /var/log 45 23 * * 6 find /var/log —mtime + 21 syslog 金庫 user daemon mail —exec rm —f sysl 。 g 金庫 " というおもしろいテクニックがあるので紹介しよう。ます、 sysl 。 g メッセージを受け取って処理するためのマシンを用意する。悪意をもったクラッカーが不正行為の証拠を隠減できないようにするため、このマシンは厳重に保護、管理しておかなければならない。そうすることで、マシンをメッセージ保管用の、、金庫 " として機能させるのである。このマシンに送られたメッセージは、記録はされるが改竄や変更ができないようにしておく。 syslog 金庫を安全なものにするためにこの ? シンにはリモートアクセスができないようにする。リモートログインや sendmail 、そのほかのネットワーク・サーピスはすべて拒否するようにしよう。金庫にアクセスできるのは、マシンにコンソールから直接ログインしたときだけという状況にするのである。これは、ネットワーク・サービスを提供する inetd や sendmail 、 rpcbind (portmapper) などのデーモンを利用しないように設定することで実現できる。クラッカーといえども、アクセスできないものは壊しようがない。 syslog は、ログの保管場所であるマシンのリモートアクセスに対する安全生に景彡響を受けるのである。万全のセキュリティ対策をとりたいのなら、プリンタなどのハードコピー装置を syslog 金庫のマシンに接続し、 syslog. conf を書き換えて重要なメッセージをすべてシリアル回線に出力するようにしてもいいだろう。マシンやプリンタをしつかり鍵のかかった部屋に置いておけば、一度記録された syslog メッセージが削除される可能性はきわめて低くなる。 sysl 。 g 金庫を作ったら、セキュリティにかかわる重要なデータをすべて確実に集める必要がある。そのためには、 syslog のイベントをより多く扱えるようなツールをクライアントにインストールしなければならない。フリーのツールとしては、 TCP Wrapper や logdaemon 102 auth lpr を挙げることができる 1 。このはか、商用のツールを利用する方法もある。最後に syslog 金庫のマシンを記録用ホストとして設定すれば、クライアントのメッセージをすべて集めることができるだろう。ただし、 syslog 金庫は万能というわけではない。メッセージが安全に記録されることを保証できないし、すべての攻撃方法に対処できるわけでもない。しかし、する賢いクラッカーと戦う手段の 1 つになることはたしかだ。まとめほとんどのシステムでは、 syslog を十分に活用しているとはいえない。しかし、ログの集中化や分類の機能は、ワークステーションてオ懾成されたネットワークの管理を強力に補佐してくれる。また、ログの保管用にセキュリティを高めた記録用ホストでは、メッセージをより安全に管理することができる。 sysl 。 g 金庫のようなテクニックと logdaemon や TCP Wrapper などのツールを組み合わせれは、改竄されにくい侵入者検知機能を作ることができるだろう。 ■ William LeFebvre UNIX システムやインターネット技術の研究に 15 年弸秀わってきた技術者。 Group Sys Consulting を経営する。「 Simply syslog 」 UNIX REVIEW 1997 年 11 月号より ◎ 1997 , UNIX REVIEW (). S. A. ) 1 訳注 : TCP Wrapper の最新ノヾージョンは 7.6 (tcp-wrap- pers-7.6. tar. (z) で、国内では ftp://ftp.aist-nara ・ ac ・ jp/pub/ Security/tool/tcp-wrappers/ などから入手できる。また、 log- daemon の最辛斤ノヾージョンは 5.6 (logdaemon-5.6. tar. (z) で、国内では ftp://ftp.aist-nara ・ ac. jp/pub/SecuritY/t001/log- daemon / などに置かれている。 UNIX MAGAZINE 1998.11

6. UNIX MAGAZINE 1998年11月号

連載 / IJN Ⅸ知恵袋ー・図 9 dhcpc コマンドの書式 dhcpc [-d] ツれ可åce 図 10 dhcpm コマンドの書式クライアントの要求を中継するには、次のように起動しま・エージェントも同様です。 ed0 上の DHCP # dhcps edO 次のように起動します。をもっている計算機で DHCP サーバーを運用する場合、たとえば、ネットワーク・インターフェイスとして ed0 なら、 relay コマンドの一 f スイッチで変更します。 dhcpm 可åce [ 面 m 〃五砌す。 # relay edO か設定されます。図 8 に示すパッチを当ててください。されるときに新規作成とみなされるため、正しく経路清報インターフェイスを削除すると、次に IP アドレスか、設定めにバケットの送信ができないという事態が発生します。すると、 IP アドレスは取得できても、糸習各情報がないたません。そのため、カードをいったん抜いてから再度挿入の IP アドレスのサプネットに対する経路情報か追加されイスに IP アドレスを追加したときに、インターフェイス削除する必要があります。 FreeBSD では、インターフェ用いる場合、カードカ黻かれたあとにインターフェイスをなお、 FreeBSD と PAO を使って Ethernet カードをて起動けるとよいでしよう。ので、 rc ファイルなどのスタートアッフ・スクリプト中通常は言算機カワ。ートした直後からサービスを開始するクライアントの起動 UNIX MAGAZINE 1998.11 # dhcpc feO ンターフェイスが fe0 なら次のようになります。ク・インターフェイスを指定します。ネットワーク・イ face は DHCP を使ってアドレスを設定するネットワー -d はテンヾッグモードて起動するスイッチです。 inter- コマンドの書式を図 9 に示します。 DHCP クライアントのコマンドは dhcpc です。 dhcpc 起動後しばらくするとネットワーク・インターフェイスに IP アドレスが付きます。石忍のために ifconfig コマンドて調べます ( 誌面の都合上、てオ斤り返しています ) 。 $ ifconfig feO feO: f1ags=843 く UP,BROADCAST,RUNNING> mtu 1500 inet 10 . 1 . 1 . 3 netmask Oxffffff00 broadcast 10 . 1 . 1 .255 ether 00 : e0 : 29 : Of : 04 : 6b IP アドレスが付いていない場合は、 DHCP クライアントとサーバーがうまく通信できていない可能性があります。 dhcpm コマンドで DHCP メッセージを観測することで、正しくメッセージが飛んでいるかどうかを確認できます。 dhcpm コマンドの書式を図 10 に示します。面〃孕川 e を指定すると、 dhcpm コマンドは標準出力に出力する代わりに、 dumpfile で指定したファイルに結果を出力します。図 11 は正常にメッセージのやりとりができている状況を観測した結果です。図 1 に示したようなメッセージの流れがみえれは正常です。うまく IP アドレスかイ寸かない場合は、次の項目を石忍してください。・ dhcps か起動されているか dhcps を起動した計算機でプロセスの状態をみて、 dhcps が実行中であることを確認します。 dhcps は、起動に失敗しても画面にメッセージを出力しません。必要であ川ま、以下の行を /etc/syslog. conf に追加してログを石忍してください。 syslog の LOCALO ファシリティに対してログカ咄力されます。 10Ca10. * /var/log/dhcp ・ 10g ・サーバーとクライアントか 1 司ーセグメント上にあるか DHCP はプロードキャストをベースにしたプロトコルです。サーバーとクライアントか 1 司ーセグメントに接続しているかどうかを石忍してください。セグメントを越えて DHCP を利用するのであれば、リレー・エージェントか動作していることを石忍します。クライアントのバージョン 77 ジョンを揃えてみましよう。とも Wff)E DHCP を使っているのであれは、きない現象か起きていました。サーバー、クライアントのクライアントのあいだで正常にアドレスの割当てがで私の↓竟では、 dhcp-l. 4P3 のサーバーと dhcp-l. 4P2

7. UNIX MAGAZINE 1998年11月号

連載 / IJN Ⅸの玉手箱ー⑨ pwd—mkdb : corrupted entry pwd—mkdb : at line # 14 pwd—mkdb : /etc/pw. ZE1043 : lnappropriate file type or format re—edit the password file? [y] : ■ こで、、 y " と答えるとふたたびェデイタか起動するので、間違えた部分を修正することができます。一方、、、 n " を入力すると、それまでにおこなった変更を破棄してコマンドを終了します。 vipw がおこなうチェック 5 はフォーマットが正しいかどうかだけであり、エントリの内容まではチェックされない点に注意してください。 adduser と rmuser vipw はパスワード・ファイルのロックやフォーマットのチェックはおこないますが、基本的にはエデイタでファイルを変更するのと大差ありません。初めて使う人にとっては、お世辞にも親切なコマンドとはいえないでしよう。 FreeBSD や BSD/OS では (/usr/sbin/)adduser および (/usr/sbin/)rmuser を用いて、パスワード・ファイルに耐妾変更を加えすにユーサーの追加と削除ができます (Solaris 2. x では、 useradd 、 userdel 、 usermod などのコマンドが用意されています ) 。いくつかオプションがありますが、 adduser を引数なしで実行すると、パスワード・ファイルのフィールドをそれぞれ対言乱勺に指定することかできます。 FreeBSD で adduser を実行した様子を図 3 に示します。 adduser は、ますパスワード・ファイルやグループファイル、 /etc/shells ファイルをチェックし、〕尺可能なグルーフ。やログインシェルなどを調べます。次に、実際に個々のユーサーに関する情報を訊く前にこれから追加するすべてのユーサーに共通するデフォルト設定を u ュてきます。これに相当するのが 7 ~ 13 行目で、それぞオ IJ 以下のような未をもちます 6 。・ログインシェル ( 7 行目 ) デフォルトで設定するログインシェルを入力します。図 5 より正確には、 vipw が pwd-mkdb -c" を実行することによっておこなわれるチェックてす。 6 adduser はパラメータを盟る際に、テフォルト直を、、ロ " のなかに六します。テフォルト以タ P ) 値を指定する場は適切直をキーポードから入力する必要がありますが、デフォルト刎直をそのまま使うのであればたんにリターンを入力します。 168 の例ではデフォルトは sh (/bin/sh) になっているので、変更したけれは表示されている候補のなかから 1 つを選んて指定します。・ホーム・ディレクトリ ( 9 行目 ) ューサーのホーム・ディレクトリを作成するディレクトリを指定します。図刎列ではデフォルト値の /home をそのまま使っているので、ユーサーのホーム・ディレクトリは、、 / h 。 me / ユーサー名 " となります。・設疋ファイルの雛型 ( 10 行目 ) シェルの不鶤頁に応じた設疋ファイルの雛型 (skeleton) が置かれているディレクトリを指定します。デフォルトは /usr/share/skel で、これを指定すると、そのディレクトリにあるすべての雛型ファイルがユーサーのホーム・ディレクトリにコピーされます。、、 n 。 " を指定した場合は、芻豐ファイルのコピーはおこなわれません。雛型ファイルか置かれているディレクトリには、シェルにかぎらすさまざまな設定ファイルを、、 d 。 t. 設疋ファイル名 " という名前 (dot. cshrc など ) で置くことができます。雛型ファイルは、ファイル名から、、 d 。 t " という文字列を削除した名前でコピーされます。たとえば、 bash の雛型ファイルを新しく作った場合、 dot. bashrc という名前でここに置いておけば、新たに追加したユーザーのホーム・ディレクトリに . bashrc という名前で自重加勺にコピーされます。・メッセージ・ファイル ( 11 行目 ) アカウントの作成後、そのユーザーに対してメッセージを送るかどうかを指定します。メッセージか書かれたファイルを指定すると、新たに追加したユーザーに対してメッセージがメールとして送られます。マシンを利用するうえてせひ知っておいてもらいたい注意事項などがあれは、メッセージ・ファイルをあらかし乍ってお n 。 " を指定した場合、メッセージくといいでしよう。は送られません。・パスワード ( 13 行目 ) y を指定すると、ユーザーを追加する際にパスワードを訊かれます。 n と答えた場合、パスワードは設定されす、 /etc/master. passwd のノヾスワード・フィル・ドは闌のままになります。上記の質問に答えると、いよいよ各ューザーの j 助日作業 UNIX MAGAZINE 1998.11

8. UNIX MAGAZINE 1998年11月号

Mic 0 Where 0 yo want t0 go today? w ⅣⅣ . as ね . m ′ 050 化 00E 刀 apa / 機能強化版、新登場。統合ビジネスソリューション構築のためのワークフロー機能、イントラネット機能をはじめ、より高い信頼性を求める企業ユーザーに満足いただけるよう、さまざまな機能を最新のテクノロジーにより大幅に強化しました。・新しいコラボレーション機能が圧倒的な競争力を提供します。 ◎最新の統合クライアント Mic 「 0S0 負 Ou 00 に 98 を標準装備 M 。れ 0 ⅶ 00k 98 は、ユーザーに電子メール、予定表、仕事のリストなど、業務に必要な情報を一元化した新機能「 Ou 面 ok Today 」を新たに搭載。さらに Microso れ 0 ⅲ ce との連携を強化し、 vCa 厄 ndar 、 iCaIendar 、 vcard などの最新のインターネット標準に対応。インターネット時代のあらゆるニーズに応える統合ビジネスクライアントですまた企業での一括導入展開のための「 Ou 面 ok 98 DepIoyment t 」を標準装備しました。 ◎ web プラウザからのアクセスでも優れた機能を同一の操作性で Web プラウザをクライアントとして使う「 OutIook Web Access 」のグループウェア機能の強化を図り、電子メールや予定表などに加えて、連絡先管理などを行うことが可能になりました。 ◎アプリケーション構築と実行もすべてイントラネット対応 Web プラウザを使ったイントラネットアプリケーションの構築を容易にするためのツール「 Ou 面 ok HTML Form Converter 」を装備。標準開発機能である Outl 。 ok フォームを元に、簡単に HTML フォームを作成できます ◎ワークフローアプリケーション構築のための機能を大幅に強化。ワークフローアプリケーション構築のための「 Exchange Routing Objects 」とサンプルプログラム「 Routing Wizard 」を新搭載。全社規模のワークフローシステムを容易に構築できます。 ■管理機能の強化により TCO の大幅な削減が実現。 ◎インターネット標準準拠の高度なセキュリティを実現。 Key Management Se Ⅳ er の機能拡張により、 Microso れ Certificate 立Ⅳ er やその他の認証機関による業界標準 x. 509V3 準拠のセキュリティを使ったメッセージの保護を実現することができますこれによって 0 ⅶ 00k98 などのクライアントから業界標準の S / MIME による高度なセキュリティ機能を使用することができます ◎不要な商用メールや迷惑メールをサーバーで集中排除管理者が不要な商用電子メールやスバムと呼ばれる迷惑メールをサーバー側で排除できる新しい機能を追加しました。サーバー上でメッセージのルーティングを制限したり、メッセージにフィルタを設定することが可能ですので、ユーザーとシステムを迷惑メールから保護することができます ◎メッセージの保存管理や削除にも、柔軟に対応可能。システム管理者によるメッセージの保存管理や、削除の指定、ディスクの空き容量情報の採取など、サーパー管理機能を大幅に向上。・既存の資産からのスムースな移行を可能に。 ◎ Exchange Server と LOtus NOtes との共存を実現 'Exchange Connector for Lotus Notes " を標準装備しました。社内の Exchange Setver と L0tus N0tes のユーザーの間でリッチテキストや文書リンクなどにも対応したメールを相互に送受信したり、アドレス帳を同期させたりすることができます ◎ LotusNotes からのメールポックス移行ツールを装備ウイザード形式によりし tus Notes から Exchange Ⅳ er へのメールポックスとカレンダーの内容を移行することができますこれらのツールにより既存の環境との共存活用を図りながら Exchange Se Ⅳ er の優れた性能や拡張性を活かしたグループウェア環境に段階的に移行することができますすでに Exchange 立Ⅳ e 「 5.5 を導人されているお客様は、機能強化および品質向上モジュール ( Excha 叩 e Server 5.5 Service Pack 1 ) を既存のシステムに適用することができます詳しくは、マイクロソフトのホームページ http://www.asia.microsoft.com/japan/bkoffice/exchange/ex55/SP1/をご覧ください。 seoer 5.69 呵 ) " 、統合グルプウェマイクロソフト工クスチェンシサーバー 0ft Exchange Server Micro 導入に関するビジネスセミナーの詳しい情報は Microsoft Community まで http://www.asia.microsoft.com/japan/community/ ・ FAX 情報サービ 03-5454-8100 ・ Exchange Ⅳ e 「 5.5 2 # 1 # 01838 # * M 09 れ、 Whe 給 you w 聞 t 加 got 町 ? は米国 M 朝 0S0 れ CO 「面 ion の米国及びその他の国における登録商標です。 * 0 ⅶ k は、米国 M 断 0S0 れ Co 「「の米国及びその他の国における商標です。 *Lotus 、 LO sNot は Lotus DeveIopment Co 「「帥 on の登録商標で魂ッケジ内容は、予告なく変更することがあ丿ますのでご了承下さい。・本製品はオープン価格です。販売価格はマイクロソフト製品取扱会社にお問い合わせください。・製品の仕様及び資料請求 No. 040C Exchange Se Ⅳ er 評価キットを差し上げています全国で Exchange Server 導入セミナー好評開催中。評価キットの詳しい入手方法は、 http://www asia. 而C「0S0れ .com/japan/bkoffice/exchange/ マイクロソフト株式会社

9. UNIX MAGAZINE 1998年11月号

連載 / UN Ⅸ知恵袋ーの図 2 デフォルトルート言諚問題を解決するパッチ * * * dhcpc_subr. C. orig dhcpc—subr. c * * * 1856 , 1861 * * * * Thu Sep 10 09 : 06 : 39 1998 Fri Oct 2 11 : 00 : 06 1998 m_rtmsg . m_space ; 1856 , 1866 ー register char *cp register int 1 ; If (param = = NULL) return; 十十十 if (ISSET(param->got—option , ROUTER) & & param—>router ! = NULL & & param¯>router—>addr ! ーー NULL) { bzero(&so—gate, sizeof (struct sockaddr) ) ; bzero(&so—mask, sizeof (struct sockaddr) ) ; bzero(&so—dst , sizeof (struct sockaddr)) ; * * * 1894 , 1899 * * * * 1899 , 1905 write (s , (char * ) &m—rtmsg , close(s) ; #endif 1 ) ; これらの間題を解決するアイデアとして、はかに動的 DNS (Dynamic DNS) のイ」が公開されています。興味のある方は末尾の参考文献 [ 4 ] を参照してください。・ WIDE DHCP のものがあります。フリーで入手できる DHCP ソフトウェアとして、以下 D Ⅱ CP ソフトウェアています。今回は WIDE DHCP をとりあげ、設定から ISC (lnternet Software Consortium) か帽発、公開しして公開されているソフトウェアです。 ISC DHCP は WIDE DHCP は WIDE プロジェクトの研究成果と ftp://ftp ・ isc.org/isc/dhcp/ ・ ISC DHCP ftp://sh.wide.ad.jp/WIDE/free-ware/dhcp/ 応 OS は、 SunOS 、 BSD/OS 、 FreeBSD 、ソニ WIDE DHCP の最辛斤ノヾージョンは 1.4P3 で、インストール運用までを角見します。ーの対 72 NEWS OS です。ソースを展開したら、ます図 2 に示すパッチを当ててください。バージョン 1.4P3 では、 DHCP サーバーからデフォルトルートの設定か配布されなかった場合、 DHCP クライアントが正常に DHCP メッセージを処理できない場合があります。この間題を修正するパッチです。パッチを当てたら、 OS の種類に応じて次のように make コマンドを実行します。 $ make OSTYPE=ostype os には、 news 、 bsdi 、 sunos4 、 FreeBSD のいずれかを指定します。今回は FreeBSD 2.2.7 を例に解説します。なお、 FreeBSD には ports というイ督はみがあり 2 簡単にソフトウェアのコンパイルとインストールができます。ここではすべて手作業でおこなうインストールを説明しますが、 FreeBSD を利用しているなら ports を使ってもかまいません。 WIDE DHCP は DHCP メッセージ・バケットの受信に bpf (Berkeley packet Filter) を使います (BSD 系の場合 ) 。 FreeBSD は、標準ではカーネルに bpf が組 2 詳しくは、 http://www ・jp.freebsd.org/や「 FreeBSD ハンドプック」 ( アスキー、 1997 年 ) を参照してください。 UNIX MAGAZINE 1998.11

10. UNIX MAGAZINE 1998年11月号

連載 / UN Ⅸ知恵袋ー・かぎり発行されません。しかし、リース時間のほうはサーバーで管理されるため、クライアント側て軻もしないでいると、 IP アドレスは一定時間後に回収されてしまいます。 DHCP クライアントか現在取得している IP アドレスを使い続けるには、再リースをおこなう必要があります。再リースのための特別なメッセージはありません。 DHCPREQUEST か再リースメッセージを兼ねています。とくに指定しないかぎり、クライアントはリース時間の 50 % か過したときに再リース要求を発行します。リース時間中に DHCP サーバーが別のコンピュータに移動するような場合があるかもしれません。そうすると、リースの延長ができなくなってしまいます。リース時間の 50 % か経過したときに発行した再リースメッセージに DHCP サーバーか応えなかった場合、クライアントはリース時間の 87.5 % か経過した時点で DHCP サーバーの明架索を開始します。それでもサーバーがみつからないと、残念ながらクライアントの IP アドレスは DHCP からみた場合には無効になります ( その際にも、この IP アドレスを用いた通信はできます ) 。リース時間、再リースを開始する時間、サーバーの叫索を開始する時間は、 DHCP で値を設定して配布することができますから、ネットワークの工竟に合わせて細かく設定することが可能です。 DHCP と DNS DHCP は、 IP アドレスの割当て、各計算機の LAN 接続設定などを完全に自動化します。管理者にとっては有用な技術ですが、 DNS (Domain Name System) との相性か、間題です。 DNS は、もともと IP アドレスが頻繁に変わったり、重加勺に割り当てられることを想定してデサインされてはいません。 DNS では、言 - 算機名と IP アドレスの対応 ( 資源レコード : Resource Record) を間い合わせるプロトコルは定義されていますが、資源レコードの更新や追加のためのプロトコルは存在しません。ですから、 DHCP クライアントに IP アドレスを割り当てたとしても、 DNS の本咎はみを使って言 t 算機名から IP アドレスを検索できないのです。当然、 IP アドレスから計算機名を検索する逆引きに関しても同様です。 UNIX MAGAZINE 1998 ユ 1 この間題は、完全なネットワーク・クライアント計算機、すなわち、ネットワークに対してなんのサービスも提供しない言 1 算機であれば無視して運用できます。サーバーとしてサーピスを提供しない計算機については、計算機名から IP アドレスを検索する必要がないからです。ところが、 DHCP クライアントが Web サーバーやファイルサーを兼ねる場合には、とたんに問題が表面化します。 DHCP で IP アドレスを取得した Web サーーにアクセスするために、 Web クライアントはどんな URL を指定すればよいのでしようか。現在ではどうしようもありません。回避策として以下の 2 通りが考えられます。・重加リ当てをやめる。・ Microsoft の WINS (Windows lnternet Name Ser- vice) を用いる。重加リ当てをやめ、特定の言 t 算機に特定の IP アドレスを付けるようにすれば、あらかじめ DNS の資源レコードに登録しておくことができます。重加リ当ては DHCP の最大の特徴ですが、たとえ動的割当てができなくても DHCP を使うメリットは十分にあります。サプネットマスクやプロードキャスト・アドレス、糸幇旨定などは、静的に IP アドレスを割り当てる場合にも利用できるからです。ただし、 IP アドレスの有抔リ用はできません。 2 番目の WINS を使う方法は、 DNS と DHCP の問題の多くを鮹夬しますが、クライアントからサーバーまで、すべて Microsoft の製品で揃える必要があります。 WINS とは言 - 算機名の重加勺割当てを可能にするためのプロトコル 1 です。各クライアントは、自分か利用する名前を WINS サーバーに中請し、名前の利用権を取得します。名前の衝突は WINS サーバー側で管理され、重複した名前が LAN 上に存在しないことを一正します。 Microsoft の Windows NT Server には、 WINS と DHCP を連携させる仕組みがあります。また、 DNS を用いて WINS や DHCP で割り当てられた計算機名、 IP アドレスを探索するイ督はみも提供されています。もし、 DNS 、 DHCP 、クライアントがすべて Microsoft Windows て漣用されているのなら、一考の価値はあるでしよう。 1 確には、計機名にかぎらす、さまざまな源の名前を動的に管理します。 71