conf - みる会図書館

1. UNIX MAGAZINE 1998年11月号

Daemons & Dragons— 0 指定したユーザーがログインしているときだけメッセージが送られる。メッセージがログとして残るためには、そのメッセージが syslog. conf で指定されたファシリティに属し、さらにレベルも指定されたものと同しか、それよりも高くなけれはならない。たとえ timail.err は、 mail ファシリティでレベルが err 以 -- ヒの syslog メッセージである。 * ですべてのファシリティを表すことができるまた、ので、、、 *. debug " はすべてのログメッセージという意味になる。一方、 none というレベルはファシリティを除外するために用いる。たとえば、、 *. info;mail.none" は、 mail ファシリティのものを除いた info レベル以 .- ヒのすべてのメッセージを意味する。実践的な設定システムに標準で付属している syslog. conf は、おそらく十分なものではないだろう。私の知るかぎり、ほとんどのシステムでは、すべてのメッセージを 1 つのファイルに保存するか、 mail ファシリティのログだけを別のファイルに保存する。標準の設定ファイルでは、 syslog の柔輓匪と用途の広さを活かすことはできない。そのような設定を使うのはやめて、 syslog. conf を作りなおしたほうがいいだろう。データはもともとファシリティごとに分類されているので、記録もそれに従っておこなうほうがいいだろう。ます、各ファシリティのデータを、異なるログファイルに保存するように設疋ファイルを記述する。ログファイル専用のディレクトリ ( たとえß/var/log など ) を選ぶか作成するなどして、ファイルをそこに置くようにする。さらに、すべてのファシリティをⅲ f 。レベルから記録するように設疋する。こうすれば、認証 (authentica- tion) に関するログメッセージを調べたいときは、 auth というログファイルを見るだけで簡単にチェックできるようになる。特定のファシリティの記録か細かすぎると思ったときは、ⅲ f 。レベルのメッセージか記録されないようにレベルを上げればいい。この方針に従って作成した syslog. conf の記述例をリスト 1 に示す。次に、コンソールに出力したり、すべてのユーザーに警告する必要があるメッセージを選択する。ューザーが直接利用する 100 リスト 1 syslog ・ conf の記述例ようなワークステーションでは、コンソールにログメッ /var/log/cron /var/log/lpr /var/log/auth /var / 1 og/ daemon /var/log/user /var/log/mail cron. notice 1pr. notice auth . notice daemon . not i C e user . info mai 1 . debug を定期的に移動し、新しいものと置き換えている。多くんどのシステムでは、 cr 。 n を使って現在のログファイルはあるが際限なく増えていってしまう。そのため、はとログファイルをそのままにしておくと、すこしすつでログファイルの置換えを使えるので間題はない。ようなシステムでも、記録用ホストに別の syslog. conf こなっている。共通の syslog. conf ファイルを使用するムでは、記録用ホストであるかどうかの判定を m4 でお集中管理を実現しているものがある。このようなシステ log. conf ファイルを使用することでログメッセージのよっては、ログサーバーとクライアントが共通の sys- を設定しなおす必要がある。システム (Solaris など ) にアントを新しくインストールしたときは、 syslog. conf 場合は、 syslog ・ conf に設定を追加する。 UNIX クライ特定のメッセージをコンソールに表示する必要がある * ・ debug 記録用ホスト名けでよい。実現するには、 syslog. conf に以下の 1 行を追加するだべて記録用ホストに送るように設定を変更する。これをを必要に応じて設定し、その他のホストはログ情報をすな空き容量がなけれはならない。記録用ホストの syslog 置くパーティション ( 一般的には / usr や /var) に十分用ホストに定める。記録用ホストには、ログファイルをができれはとても楽である。ます、 1 台のホストを記録き、 30 台のホストの状態を 1 台のホストで調べることログを集中管理する必要がある。障害をチェックすると UNIX マシンのネットワークを管理している場合は、セージを出力しないほうがいい場合もある。 UNIX MAGAZINE 1998.11

2. UNIX MAGAZINE 1998年11月号

連載 / BSD をハックする一⑩ 図 1 conf. c の変更 * * * conf . c. org Thu Sep 19 05 : 58 : 37 1996 diff —cl conf . c . org conf . c conf . C Sun Ju1 26 20 : 47 : 15 1998 * * * 119 , 120 * * * * 119 , 127 + / * open, close, read*/ 十 #define cdev_rand—init (c , Ⅱ ) { \ 十十十十十 dev—init(c,n,open) , dev—init (c,n,close) , dev—init(c ,n,read) (dev-type-write((*)) ) enodev, (dev—type—ioctl( ( * ) ) ) enodev, (dev—type-stop( ( * ) ) ) enodev, 0 , seltrue, \ (dev-type-mmap ( ( * ) ) ) enodev } cdev—decl (cn) ; * * * 181 , 182 * * * * 188 , 191 + cdev—decl (rand) ; 十 struct cdevsw cdevsw ロ * * * 231 , 232 * * * * 240 , 242 #endif 十 cdev—rand—init(l ,rand) , / * 44 : rand device * / デバイスドライバの開発えß/dev/rand を読み出すと、要求したバイト数だけのこの装置窈是供する機能は乱数データの発生です。たとというものです。・内猷態をもたない個有のワーキングメモリは不要 ) ・可能な操作は読出しのみ・ユニット数は 1 個に固定キャラクタ・テンヾイス理装置 ) のドライバ・ pseudo device ( ソフトウェアだけて構成されている論簡単な開発の例を挙げて説明します。具イ勺には、イルを作るタイフ。のデバイスドライバについて、もっとも今回は、 /dev ディレクトリにテンヾイス・スペシャルファデバイス名の決定乱数カ碍られるというものです。 UNIX MAGAZINE 1998 ユ 1 reg. h 、 randvar. h などのヘッダファイルは不要です。ル名も rand. c にします。簡単なデバイスなので、 rand- 乱数 (random) を略して、、、 rand" とします。ファイ rand. c は、 4 つの関数を提供します。 randattach() 、、 randread() です。 randopen() 、 rand デバイスは機種に依存しない ( つもり ) なので、ソースファイルは /sys/dev に置きます。コンフィギュレーション・データベースへの登録 config プログラムが参照するソースファイル一覧表は、複数に分かれています。 1 つは機種間で共通の装置に関するもので、 /sys/conf/files です。もう 1 つは機種ごとに異なる部分を記述したもので、 /sys/arch/ 〇〇〇 /conf/files. 00 〇 ( 〇つはアーキテクチャ名 ) です。 files は include 命令を使って複数に分割できます。たとえば files. i386 は、内部で以下の 8 つの files ファイルを読み込んでいます。 133 . / .. /compat/freebsd/files . freebsd . / .. /compat/linux/files. linux .. /.. / .. /compat/ibcs2/fi1es . ibcs2 . /.. /compat/svr4/fi1es. svr4 .. / .. / .. /dev/eisa/files . eisa .. / .. / .. /dev/isa/files . isa .. / .. /.. /dev/pci/files . pci . /.. /scsi/files,scsi

3. UNIX MAGAZINE 1998年11月号

連載 / 遠隔オフィスとの接続ー 0 表 1 インストールされるおもなファイルファイル名 socks5—server. socks5_serV1ce. exe CredentialManager. exe monitor. exe rmng. exe rt raceroute. exe srvuninst. bat ntsocks5. hlp CredentialManager. hlp socks5-conf. txt libso cks5-conf. txt 説明 Socks サーノヾー・プログラム Socks サーバーを起動するプログラム。コントロールバネルの、サービス " から起動される権限の言置をおこなうプログラム Socks サーバーの動作をモニターするためのエージェント・プログラム。コントローノレヾネルの、サービス " から起動される Socks5 対施の ping コマンド Socks5 ヌ羽芯の traceroute コマンド Socks5 サーバーのアンインストール・プログラム Socks5 サーバーのヘルプファイル ( ヘルフ形式のドキュメント ) Socks5 クライアント用の言定ファイルの説明 Socks5 サーノヾー用の設疋ファイルの言見明 CredentiaIManager のヘノレプファイノレところが、ダウンロード用のページには次のような制限頁か記載されています。国内で自由に利用できる Kerberos 5 の情報をおもち Kerberos 5 はみつけられませんでした。ないものもありますが、私の調べたかぎりでは制限のない beros 4 であれは、米国以外で開発された輸出規制などのなので、日本では自由に利用することができません。 Ker- しつは、米国で開発された Kerberos は輸出規制の対象に表示できませんでした。です。しかし、私か調べた時点では、接続状況が悪く満足 http://www.ov.com/ か。 OpenVision のホームページは、それでは OpenVision の Kerberos はどうでしようナダ国籍をもつ人以外は利用できないのです。つまり、米在住の米国国籍をもつ人かカナタ准住のカ in Canada. the United States, or to the Canadian citizens located MIT distributes Kerberos only to US citizens located ⅲ リスト 1 rout e rout e permit socks5. conf 列 172.16. 1 . 172. 16 . 1 . 1 202. 1 . 0 . 1 172. 16 . 1 . の方は、編集部気付でお知らせください。インストールされるファイル表 1 は、インストール先ディレクトリにインストされるおもなファイルです。設定ファイルのイ乍成ーノレ Socks サーバーの基本的な設定去は UNIX 版と同様で、 socks5. conf ファイルに以下の設定を言当します。 UNIX MAGAZINE 1998.11 ・ Socks のを指定する変数の値・いっさいの接続を拒否するホストの指定山じ糸響各制御 ( ルーティンク ) プロキシーの指定・アクセス制御 socks5. conf の言当力 1 去は、付属の socks5-conf. txt ファイルに説明があります。このドキュメントは、スタートメニューから、フログラム→ NEC Socks5 → Socks5 Configuration File D escription を選べは表示されます。 8 月号でも詳しく説明したのて参考にしてください。たとえば、リスト 1 は図 5 のような構成のネットワークで、 LAN からインターネットヘアクセスするための設定です。、 route" で始まる行には、以下の形式で経路情報を記述します。 route ん 0 0 置 interface permit" で始まる行には、以下の形式でアクセス制御 ( アクセス許可 ) 情報をします。 45

4. UNIX MAGAZINE 1998年11月号

連載 / BSD をハックする一⑩ 図 2 rand. c # inc lude #include #include #include #include #include #include #include #include void く sys/param. h> く sys/systm. h> く sys/time . h> く sys/proc . h> く sys/user. h> く sys/file . h> く sys/kernel . h> く sys/uio . h> く sys/conf . h> int randclose(dev, flag, dev_t dev ; int flag, mode ; struct proc *p ; return 0 ; int mode randattach(n) int n; / * nothing t0 d0 * / int randopen(dev, flag, devtype, p) dev_t dev ; int flag, devtype ; struct proc *p; if (minor(dev) ! = 0 ) return (ENXIO) ; if (flag & FWRITE) / * return (EACCES) ; return 0 ; cc, uio)) 0 Ⅱ 1y device randread(dev, ui0, flag) dev_t dev; Struct uiO * u10 ; int flag; int error, r, CC,• return 0 ; else if(error=uiomove( (caddr—t) &r, cc=uio—>uio_resid; cc=4 ; if(uio—>ui0-resid>4) r=random ( ) ; while(uio—>uio—resid > 0 ) { 今回の例に用いる rand デバイスには欟重依存はないの 1 もしかしたら、このカテゴリーは勝手に追加してよいものなのかもしれま struct tty データへのポインタです。 rand は tty 型で ( コンソール、シリアルポート、孑鬮以 tty など ) が用いる enodev にしておきます。第 7 要素は tty 型デバイスルーチンしかもたないので、はかのエントリポイントはでいます。 rand テンヾイスは attach 、 open 、 close 、 read 図を見ると、 cdev-rand-init が多くの enodev を含ん変更に関する diff です。場合は /sys/arch/i386/i386/conf. c)o 図 1 は conf. c のテパイススイッチの定義は conf. c にあります ( i386 のデバイススイッチへの登録が、消去法で残った tape にしておきます 1 。ん。 rand デバイスはもちろん磁気テープではありませんは、 disk 、 tape 、 ifnet 、 tty 、 audio 、 scsi しかありませ files ファイルで用意されているデバイスのカテゴリー rand file dev/rand. c pseudo-device rand: tape で、 /sys/conf/files に以下の 2 行を求します。 134 せん。卩ヾておきます。はないので 0 にしておきます。 rand テンヾイスか読出し待ち状態になることはありません。そこで、 select システムコールに関しては seltrue にしておきます。プログラムの作成図 2 が rand テンヾイスドライバのソースです。 attach ノレーチン attach ルーチンは何もすることがありません。本来ならば乱数の初期化をおこなうべきなのですが、 NetBSD カーネルに組み込まれた乱数ルーチンは簡易型で、乱数の seed ( 種 ) の設定かできません。また、とくに割り当てるべきワーキングメモリ・エリアもありません。 open ルーチン叩 en ルーチンは何もしなくてもいいのですが、いちおう最低限のチェックだけはしています。まず、 rand はシステムに 1 ュニットしか存布しない装置なので、マイナーテンヾイス番号が 0 以外ならエラーにしています。また、ロ丿し出しのみの装置なので、書込み可能なモード ( 書込み専用あるいは読み書き両方 ) でオープンしようとしている場合にもエラーとします。 UNIX MAGAZINE 1998.11

5. UNIX MAGAZINE 1998年11月号

連載 / UN Ⅸの玉手箱この NIS クライアントに限り、 / b ⅲ / csh がログインシェルとして使われます。設定されています。ーサー情報とグルーフ請報に対応する部分は以下のように OS をインストールした状態では、 /etc/irs. conf のユやグループファイルを修正する必要はありません。したがって、 BSD/OS の場合はパスワード・ファイル /etc/nsswitch. conf ファイルて指定します ) 。でまとめて言置できるようになっています (SoIaris では、の不頁や優先頂位などを、 /etc/irs. conf というファイルする情報原 ( ローカルな設定ファイルや NIS 、 DNS など ) BSD/OS では、ユーサーやグループ、ホストなどに関 NIS のユーサー情報の設定 (BSD/OS) YPChpaSS(1) や yppasswd(l) などを参照してください。限がいくつかあるので、詳しくはオンライン・マニュアルや passwd コマンドとはは 1 司じですが、これらとは違う制スワードを変更することができます 21 。使い方は chpass 自分のログインシェルと GECOS 情報、後者は自分のノ、ることが可能です。ー引殳ューサーか実行した場合、前者は ( マスターサーバー ) に登録されたユーサー情報を変更す chpass および passwd コマンドと同しで、 NIS サー属していません ) 。これらのプログラムの実体はそれぞれています (BSD/OS にはこれらに相当するコマンドは付 bin/)ypchpass と (/usr/bin)yppasswd か用意されされている情報を操作するためのコマンドとして、 (/usr/ なお、 FreeBSD では NIS の passwd マップに登録 passwd(5) や group(5) にも詳しく書かれています。ファイルの設定については、オンライン・マニュアル NIS 環境におけるパスワード・ファイルやグルーフフ。の情幸ゞマージされます。ルな /etc/group ファイルの情報に NIS の group マッ末尾に、、十 " だけの行を追加します。これにより、ローカイルを修正します。具イ勺には、 /etc/group ファイルのトで利用するには、 NIS クライアントの /etc/group ファ一方、 NIS の group マッフ。の情報を NIS クライアン #passwd group #group nIS 10Ca1 continue ,merge nxs passwd 10Ca1 continue 21 ただし、これらのコマンドを利用するには、 NIS サーバー上で rpc ・ yppasswdd というデーモン・プログラムが走斷力されていなければなりません。 180 NIS を参照する設定も用意されていますが、デフォルトではコメントアウトされています。 NIS の passwd マッフ。や group マップを利用する場合は、それぞれの行頭の、、 # " を削除するだけです。ただし、 FreeBSD の場合と異なり、パスワード・ファイルに、、十 " や、、一 " て始まるエントリを作成しても無見されてしまい、 passwd マップに登録されオ寺定のユーサーに対するログインの許可 / 不許可を制御することはできないようです。つまり、 /etc/irs. conf で passwd nis" というエントリを有効にすると、 NIS サーノヾーの passwd マップに登録されたすべてのユーサーがログインできることになります。 ☆ 前回から 2 回にわたり、 UNIX におけるユーサーとグループについて、関連する設定ファイルを交えながら紹介しました。パスワード・ファイルを更新するためのコマンドとしては、 vipw や adduser などをとりあげました。後発のコマンドはそれなりに親切で多機能なのですが、昔から UNIX を使っている人にとっては vipw のはうがてっとり早く感しられるでしよう。 vipw ではエデイタを使ってパスワード・ファイルを編集するので、ほかのマシンと同しユーザーを追加する場合は、リモートログインしてエントリの行をカット & ペーストできるというメリットもあります。 NIS クライアントのセットアッブ去も解説しました。 NIS サーバーの設定や、 NIS で提供されるユーサー / グループ以汐 ) 情報の利用ガ去については、機会をあらためて紹介するつもりです。次回は、ネットワークにマシンを接続するときに必要なホスト情報に関する話題をとりあげる予定です。 UNIX MAGAZINE 1998.11

6. UNIX MAGAZINE 1998年11月号

連載 / 倉敷芸術科学大学のネットワーク構築ーの図 13 DNS サーパーでの kusa. ac ・ jp ドメインのゾーンファイル IN ns . kusa. ac ・ JP ・ postmaster. ns . kusa. ac ・ JP 1998081202 Seria1 3600 Refresh ー 1 hour 1200 Retry ー 20 minute 1209600 ; Expire 2 weeks 43200 ) ; Minimum ー 12 hours NS ns . kusa. ac . JP ・ NS ms01. kusa. ac ・ jp ・ NS fs01. kusa. ac . jp ・ NS ns. aist—nara. ac. JP ・ MX 10 mailgate. kusa ・ ac. JP ・ SOA IN $ORIGIN kusa. ac ・」 p ・ %MX_HO STS _START% set up MX hOSt 0 Ⅱ our site soft IN MX 100 chem IN MX 100 ms01. kusa. ac. JP ・ ms01. kusa ・ ac ・ JP ・ MX 200 IN msOI . kusa. ac ・ JP ・ NTP による時刻の同期 XNTPD_OPTS=" -g —x ー 1 /var/log/xntpd" export XNTPD-OPTS メール酉当却芋にメールヘッダに添付される日該リが正確でないと、ユーサーにあらぬ誤解をえることがあります。 NTP の起動は、 start を引数にして /sbin/init. d/ntp 可能なかぎり正確な時刻を刻むように、 NTP などを利用コマンドを実行します。して日骸リ同期をおこなうことをお勧めします。 NTP サーバーは、 stratum と呼はれる階層構造をもったシステムで、インターネットに接続するために契約しこまでで、基本的なメールサーバーとして重川乍する環ている上流プロバイダなどで運用されている上位の stra- 境カいました。あとは、メーリングリストの設定やログ tum サーバーとのあいだて時刻を同期する設疋をおこな管理用のスクリプトなどの設定力戦っています。います。メーリングリストの運用では、 majordomo や distrib- /etc/ntp. conf が NTP の設定を記述するファイルで ute などがよく利用されます。このうち majordomo は、す。倉敷芸科大の場合には、 WIDE の stratum サー遠い昔にエラーメールのループ攻撃を受けた苦い思い出がを上位のサーバーとして指定しています。 /etc/ntp. conf 私にあり、倉敷芸科・大では利用していません ( つまり人間の言当内容は以下のとおりです。が作業しているわけです ) 。 peer 203.178.136. xx peer 203.178.136. yy aliases peer 202.244.162. zz /etc/rc. config ファイルにも NTP の設定を追加するメールに対して別名 (alias) を設定するためのファイルが aliases ファイルです。メーリングリストや、 RFC 必要があります。内容は以下のようになります。 2142 隹奨されている管瓔の特別なユーサー ( 図 14 ) XNTPD_C ONF=YES などをこのファイルに定義することになります。 export XNTPD_CONF メーリングリストの設定 95 UNIX MAGAZINE 1998.11

7. UNIX MAGAZINE 1998年11月号

連載 / 倉敷芸術科学大学のネットワーク構築ーの ( 1 ) /etc/inetd. conf への追加図 11 POP サーパーにするための記述 pop3 stream tcp ( 2 ) /etc/services への追加 nowait root /usr/local/bin/popper # Post Office POPPer P OP pop3 109/.tcp 110/tcp 図 12 popper のインストール # installbsd —c -g bin ー 0 bin -m 1755 popper /usr/local/bin # ls ー 1 /usr/local/bin/popper 1 bin bin —rwxr—xr—t # gzip popper ・ 8 172032 Aug 26 19 : 17 /usr/local/bin/popper # installbsd —c -m 444 popper. 8 /usr/10ca1/man/man8 て再起動し、設定ファイルの内容を再言も囚みする必要があように起動中の inetd デーモンに HUP シグナルを送っ /etc/inetd. conf ファイルを修正した場合には、以下の ( 図 11 ー 2 ) 。ルのポート番号指定を追加しておいたはうがよいでしようまた、 /etc/services ファイルにも、 POP3 プロトコで宿しておきます。め、 POPPer のマニュアルもインストールする前に gzip は、 gzip での圧がデフォルトになっています。このた DIGITAL UNIX V4. OD のオンライン・マニュアル 12 ) 。に合わせて、手動でインストールする必要があります ( 図 /etc/inetd. conf ファイルに成疋する popper の起重ルヾスをインストールするためのルールが記述されていません。 ClPOPPer のキットに付属する makefile には、 POPPer る POP デーモンの名前は popper になっています。 # ps ax ー grep inetd ります。 486 ? ? 25912 ttypl セキュリティ対策 # kill —HUP 486 0 : 00 ・ 04 /usr/sbin/inetd 0 : 00 ・ 00 grep inetd 一度運用を始めてしまうと、メールサーバーは設定の変 94 更がしにくくなります。多くのユーサーに対してサーピスを提供しているため、一印勺な運用休止であってもユーザーに大きな景を与えるからです。また、メールサーピスははとんどの組織で基本アプリケーションとして運用されているため、悪質なクラッカーの標的になりやすいサービスです。とくに、 sendmail プログラムや p 叩 per プログラムは、これまでにも何度もセキュリティ・ホールがみつかっており、そのつど、ネットワーク管理者は対応を迫られます。ネットワーク管理者は、それぞれの糸騰に応じたセキュリティ対策をメールサーバーに施すべきです。 TCP wrapper や Tripwire などのツールがよく活用されています。せひ、がんはって設定してください ( 今月号では解説は省略します。お許しください ) 。メールサーバーでは、不必要なデーモンの起動を可能なかぎり担刷したり、一殳ューサーのログインを許さないように設定するなどの対策をおこなうべきでしよう。 UNIX MAGAZINE 1998 ユ 1 あります ( 図 13 ) 。バーにメールが集まるように、その設定を変更する必喫がコードを利用しているような場合には、新しいメールサーーに集めるために、 DNS の MX (MaiI eXchange) レサブドメインや特定のホスト宛のメールをメールサーバ MX レコードの変更その他の設定

8. UNIX MAGAZINE 1998年11月号

連載 / IJN Ⅸの玉手箱 - ⑨ いすれかの NIS サーバーか故障しても残りの NIS サーバーで運用を続けることができます。ある NIS ドメインに複数の NIS サーバーがある場合、 NIS クライアントはプロードキャストに最初に応答した NIS サーノヾーを利用します。以 E のことを踏まえたうえで、 NIS クライアントのセットアップ去を紹介します。セットアップのガ去は OS によってかなり違います。ここでは、 FreeBSD と BSD /OS の場合に分けて紹介します。今回は NIS サーはすでにあるものと仮定し、 NIS サーバーのホスト名を yps" 、 NIS ドメイン名を、、 nullnet" として話を進めます。 NIS クライアントの設定 (FreeBSD) FreeBSD で NIS クライアントをセットアップする場合、以下の 2 点を設定します ( する BSD/OS の場合も同様です ) 。・ NIS ドメイン名・ ypbind の起重力手動でこれらの設定をおこなうこともできますが、そうするとマシンを起動するたびに設定を繰り返さなけれはなりません。したがって、通常は起重加の設定ファイルに NIS に関する設定を言当主しておき、自重加勺にこれらの言殳定がおこなわれるようにします。 FreeBSD の場合、 NIS に関する設疋は /etc/rc. conf ファイルでおこないます。里載の第 2 回 ( 1998 年 7 月号 ) ですこし触れたように、 /etc/rc. conf はマシンのホスト名や IP アドレス、システムやさまざまなデーモンに対するパラメータを設疋するためのファイルで、マシンの起重加叔こ利用されます。基本的には各パラメータを、変数名 = 値の形式で 1 行すっ記述します。 /etc/rc. conf において、 NIS クライアントのセットアップに必要となるパラメータは以下の 5 つです。・ nisdomamname 値として、 NIS ドメイン名を文字列で指定します。デフォルトでは、 NIS ドメイン名を設定しないことを意 UNIX MAGAZINE 1998.11 味する、、 NO " カ甘旨定されています。・ nis—client—enable NIS クライアントを利用するかどうかを指定します。デフォルトの値は、、 NO " で、 NIS クライアントは使われません。・ nis-client-flags NIS クライアントを利用する場合、必要であれば yp- bind に学える引数をします。デフォルトの値は空になっています。・ nis-ypset-enable -ypset" あるいは、 -ypsetme" というオプ ypbind にションを付けて起重丿けると、利用する NIS サーバーを ypset コマンドによって強制的に変更できます。このパラメータは、 ypbind を起動した直後に ypset も実行するかどうかを指定します。しかし、 ypset の利用はセキュリティ・ホールとなる可能があります。 FreeBSD の ypbind には、利用する NIS サーバーを明示的に指定するオプションがありますから、とくに理由がなけれは ypbind に -ypset オプションを付けたり、 ypset コマンドを利用するのは避けたはうがいいでしよう。デフォルトの値は、、 NO " で、 ypset コマンドは実行されません。・ nis -ypset 一日 ags ypset を利用する場合の引数を指定します。デフォルトの値は空です。通常の利用であれは、 NIS サーバーをプロードキャストて探す設疋にしておけは十分でしよう。この場合、 nis- domainname と nis-client-enable を以下のように設疋し、ほかのパラメータはそのままにしておきます。 nisdomainname="nullnet ー nis_c1ient_enab1e="YES" これで、マシンを再起動すれは NIS ドメイン名が自動的にセットさオ L 、 ypbind を起動して NIS か利用できるようになります。マシンを再起動したくないときは、以下の竹喋をおこなえは手動で NIS をクライアントとして利用できるようになります。・ domainname コマンドク ) 丿を彳 NIS ドメイン名は (/bin/)domainname コマンドを使って設定します。引数として文字列を指定するとその文字列が NIS ドメイン名としてセットさ引数をな 175

9. UNIX MAGAZINE 1998年11月号

連載 1. ⅱ售備コュニケーション用サーパーのインストールと運用ー 0 ・ sendmail か利用するネームサーバーの石忍 UNIX MAGAZINE 1998.11 川じ、 /named なら、ンドが使えます。たとえは、利用しているのが /usr/sbin SCCS (Source Code Control System) の what コマ現在動作している named のバージョンの確認には、系が 8.1.2 です。のム斤バージョンは、 BIND4. x 系が 4.9.7 で、 BIND8. x BIND4. x 系と BIND8. x 系のものがあります。鄲芋点でジョンアップしましよう。現在使われている BIND にはあります ) 。これに該当する場合は、 BIND のはうもバー ( 詳細は http://www.jpcert.or.jp/whatsnew.html にい BIND にはセキュリティ上の欠陥カ甘商されていますはⅲ . named の名前になっているものもあります ) 。旧れか標忝付されている OS もあります ()S によってまれる named プログラムがひろく利用されており、 ware Consortium) の BIND というソフトウェアに含サーバーのソフトウェアとしては、 ISC (lnternet Soft- 前述のとおり sendmail は DNS を利用します。ネームネームサーバーに関する注意点前準備からたどれる場所にあります。す。これは http://www.jpcert.or.jp/whatsnew.html ジで公開されているインストール・ガイドも参考になります。作業の概要に関しては、 JPCERT/CC の Web ペーー E 記のうち、今月は 3(b) までの部分について解説しま 4. デーモンの起動、メールの送信テストなど (d) ( 必要なら ) DNS への MX の登録 (c) aliases ファイルの確訒 (b) CF を利用した sendmail.cf の作成 (a) 各種ファイルの許可モード窈忍 3. 各種の設定作業 (b)su で root になってインストール (a) Build スクリプトの実行 2. コンパイルとインストール・コンパイル時に必要なツールのインストール・ ( 必要なら ) BerkeIey DB のインストール % what /usr/sbin/named のようにタイプすれは、 named プログラムの各種ソースファイルのノヾージョンと、 BIND 自イ本のノヾージョンとが表示されます 9 。 sendmail が DNS を利用する際には、ネームサーバーとして /etc/resolv. conf ファイルに記述されたホストが利用されます。自分のサイトに新たにネームサーバーをインストールした場合には、 /etc/resolv. conf ファイルの設定変更を忘れないようにしましよう。 /etc/resolv. conf ファイルは、 DNS を利用する各アプリケーションカ咽別に読み込みます。通常は起動後に 1 回読むだけなので、デーモンの場合は再起動しなければならないことが多く、注意が必要です。 BerkeIey DB のインストール sendmail は、電子メールアドレスのェイリアス (alias- (s) などの処理にデータベース・ライプラリを利用します。データベース・ライプラリにはさまざまなタイプのものがありますが、 sendmail はそれらのうち ndbm や Berke- ley DB に対応しています。いずれかがインストールされていれば、 sendmail をコンパイルすることができます。 ndbm は多くの OS に添付されているので、通常はこちらを用いればよいでしよう。ただし、メールを頻繁にやりとりするようなホスト上では、ェイリアスなどでデータべース・ライプラリを酷使しがちです。このようなホストで効率的にメールを処理したい場合は、 BerkeIey DB を使います。 Berkeley DB にはいくつかのバージョンがあります。従来からよく使われてきたのは db -1.85 や db ー 1.86 です。 sendmail-8.8. x ではこれよりも新しい Berkeley DB には対応していませんでした。そのため、このバージョンをインストールしているサイトも多いのではないかと思います。しかし、このバージョンにはバグカ甘商されており、 sendmail を運用するうえでのセキュリティ・ホールとなる可能生があります。 sendmail とともにより新しいものに入れ替えましよう。 sendmaiI-8.9. x は、バージョ 9 SCCS はプログラムの開発作 ) バージョン管理を麪爰 - す・るツールです。 SCCS を用いて開発されたプログラムなら、 what コマンドによりバイナリ中からバージョン情報を抽出できます。 SCCS がインストールされていなくても、 what コマンドだけは使える OS もあります。 25

10. UNIX MAGAZINE 1998年11月号

連載 / 遠隔オフィスとの接続ー① ファイアウォールをもつネットワーク図 5 ローカル側 . リスト 2 ipconfig の実彳デ列 C:Y>ipconfig Windows NT IP Configuration Ethernet adapter E1001 : ホスト 1 ホスト 2 LAN 172.16.1. x 172.16.1.1 Socks サーバー 202.1.0.1 : 172 . 16 . 1 . 1 : 255 .255 .255 . 0 IP Address . Subnet Mask Defau1t Gateway Ethernet adapter NdisWan2 : IP Address . Subnet Mask Defau1t Gateway 202.1. x. x インターネット 0 0 0 0 0 0 0 0 0 0 0 0 permit 佖社 t ん cmd s 尾 - ん OS dest-host ℃叩 0 dest- 〃 0 [ れ se ル s ロしたがって、リスト 1 は、・ LAN ( 172.16.1. のネットワーク ) 上のすべてのサービスに対するアクセスは、 172.16.1.1 のインターフェイスを経由するのように、インターネットヘアクセスするときのインター・ LAN 以外のネットワーク上のすべてのサーピスに対すフェイスを IP アドレスて指定することはできません。るアクセスは、 202.1.0.1 のインターフェイスを経由すんなときは、インターフェイスを IP アドレスではなく、る、、インターフェイス名 " て指定してください。・ 172.16.1. のネットワークから任意のネットワークに接 UNIX では ifconfig コマンドを使うと、 ie0 や 1e0 続できるなどのインターフェイス名を表示できます。同しように、・ユーサー認証はおこなわない Windows NT でも ipconfig (C:*winnt*system32* ipconfig. exe) コマンドでインターフェイス名を調べるこという 4 つ、ごく単純な設定であることか分かります。とができます。完成した設疋ファイルは、インストール先ディレクトリリスト 2 は、、、コマンドフロンフト " 上で ipconfig コの下にマンドを実行した例です。 socks5. conf 1 番目の Ethernet アタフ。夕、、 E1001 " は LAN 側のインターフェイス名で、 2 番目の、、 NdisWan2" がインターという名前て保存します。ネット側のインターフェイス名です。この例では、設疋フダイヤルアップ接続への対応ァイル s 。 cks5. c 。 nf の言当はリスト 3 のようになります。小堋莫なオフィスでは、 ISP ( インターネットサービス・ Socks サーパーの標準的な起動方法プロバイ夘との接続を、専用線ではなくダイヤルアップ接続にしているかもしれません。インストールか成功し、 Socks サーバーの設正ファイル (socks5. conf) の作成を終えたら、次は Socks サーバーダイヤルアッフ。接続の場合、 IP アドレスは接続するたを起動しましよう。びに ISP からダイナミックに割り振られるのが一ヨ殳的です。そのため、リスト 1 の 2 行目、ます標勺な起動方法を紹介します。成疋ファイルの作成か完了し、あとは Socks サーインターフェイス名を用いた socks5. confØf 列リスト 3 172. 16 . 1 . 172. 16 . 1 . 1 route NdisWan2 route permit 172. 16 . 1 . 202 . 1 . 0 . 1 route 46 UNIX MAGAZINE 1998.11