usr - みる会図書館

1. UNIX MAGAZINE 1998年12月号

図 1 透昼磁皀のデモ用パッチ * * * tn-gw ・ c ・ org 1998 / 08 / 28 13 : 57 : 57 1998 / 10 / 17 13 : 11 : 57 tn¯gw. c 1 . 1 40 , 47 extern char *index ( ) ; #endif / * SYSV * / + #include 十 #include #ifndef く arpa/inet . h> "firewall . 五 " BSIZ * * * 323 , 328 * * * * 325 , 341 exit(l); struct sockaddr_in sys10g(LLEV, "exit host = %. 512S / %. 20S Ⅱ 0 auth" ,rladdr, dst ; riaddr) ; int len sizeof (dst) ; len; getsockname(), (struct sockaddr*)&dst , &len) ; strcpy(dest, strcat(dest, while (argc > 1 ) { 図 2 昼磁皀のデモ用ルール inet—ntoa(dst . sin—addr) ) ; # ローカルホストからの接続は tel Ⅱ etd を起動 netacl—telnetd: permit—hosts 127 . 0 . 0.1 —exec /usr/libexec/telnetd netacl—telnetd: permit-hosts 192 .168.255. * —exec /usr/local/etc/tn—gw # ファイアウォール内部からの接続は許可、 netacl から tn—gw を起動 netacl—telnetd: permit-hosts 192.168.255.1 —exec /usr/libexec/telnetd netacl—telnetd: permit—hosts 192.168.1.100 —exec /usr/libexec/telnetd # tn—gw のルール # ファイアウォール外部からの接続は拒否 tn-gw: permit—hosts * 最後に、プロキシー・サーバーの設正ファイルをデモ用に変史します。図 2 のルールを netperm-table に言当主してください。これでデモの準備は完了です。ます、実験用言 1 算機から pepper に telnet でログイン UNIX MAGAZINE 1998 ユ 2 します。当然ですが、 IP バケットがファイアウォールを越えられないため、実験用計算機から pepper に telnet で直接接続することはできません ( 図 3 ー b ) 。ただし、 tn- gw の中継機能を使って pepper にアクセスすることは可能です ( 図 3- c ) 。 39

2. UNIX MAGAZINE 1998年12月号

図 2 login. conf 部 staff:\ : ignorenologin:\ : ignoretime : \ : requirehome@: \ : accounted@ : \ :path=&/bin /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin:\ :umask=022:\ : tc=standard : 定がないユーサーは、 default キーのエントリカ甘旨定されたものとみなされます。ューザー ID が 0 のユーサーの場合は、指定がなければ root キーのエントリカ甘旨定されたものとみなされます。こでは設定の言物日には立ち入りませんが、概要を把握するために I 。 g ⅲ . c 。 nf の一部を見てみましよう ( 図 2 ) 。このエントリは、システムの管理者 (staff) クラスのユーサーへの適用を念頭において作られています。 ig- norenologin や ignoretime は真偽値の特匪です。通常、 /etc/nologin ファイルがあると、ユーザーはそのシステムにログインできません。しかし、 ignorenologin カ甘旨定されている場合には、このファイルを無視します。一方の ignoretime については、マニュアルにも記載がなく、どのような働きをするものなのかは分かりませんでした。次の requirehome と accounted も真イ為イ直の牛罸生てす。こちらは、、@" カ咐いているので、これらの特性が適用されないことを意味します。 requirehome カ甘旨定されている場合、ホーム・ディレクトリがないとログインできません。しかし、 requirehome@ と指定されていればホーム・ディレクトリがなくてもログインできます。つまり、システムに障害か起きてホーム・ディレクトリがなくなっても、ログインクラス staff に属するユーザーならログインを許すという設疋です。マニュアルによれは、 accounted@はこのクラスのユーサーには時間による課金をしないことを意味すると書かれています。次の path や umask では、ログイン直後のパス変数や umask の値を指定しています。最後に、 tc 工ントリを使って標準的なユーザー用の standard 工ントリを読み込んでいます。ログインクラスや 10gⅲ . conf ファイルの読込みには、専用のライプラリ関委羊を利用します。詳細は、い gin. conf や login-cap のマニュアルページを参照してください ( 本誌 10 ~ 11 月号の「 UNIX の玉手箱」でも詳 70 しく説明されています ) 。有効期限新たに追加された、、パスワード変更時刻 " と、、アカウントの有効期限 " により、これまでより厳密なアカウントの管理が可能になりました。パスワード変更時刻は、パスワードを変更しなけ川まならない期限を指定するフィールドで、 1970 年 1 月 1 日 0 時 (GMT) からの秒数で指定します。何も指定されていなかったり 0 か指定されている場合には、このフィールドは無効になります。つまり、パスワードの有刻測限はなく、いつまでも有効になります。アカウントの有効期限も 1970 年 1 月 1 日 0 時 ( GMT ) からの秒数で指定します。指定した期限を過ぎるとログインできなくなり、期限切れを示す下記のようなメッセージカ俵示されます。 % telnet localhost Trying 127.0.0.1. Connected to localhost . Escape character iS FreeBSD (hostname . domainname) (ttypl) アカウントの有効月限カ墹近に迫ってきた場合には、その旨を警告するメッセージカ咄力されます ( 図 3 ) 。アカウントの有測限は、システム管理者でなけれは変更できません。もしこれらのメッセージが出力されたら、管理者に相談しましよう。一方、パスワードの変史刻が設定されている場合にはどうでしようか。変更日リか近くなると、アカウントの有期限の場合と同様に警告メッセージが出力されます。た login : logname Sorry your account has expired. Connection closed by foreign host . UNIX MAGAZINE 1998.12

3. UNIX MAGAZINE 1998年12月号

連載 / コミュニケーション用サーパーのインストールと運用これは、より柔軟にメールを処理したいときに便利です。各種のメール自動処理プログラムを用いて、次のような処理をおこなうことかできます。・メールを自重加勺に仕分けする。特定のメッセージに自莇区送する。・自動登録機能などをもったメーリングリストを運営する。工イリアス・ファイルの更新 sendmail は、多くのメールのェイリアス処理を効率的にこなすため、ェイリアスを定義したテキストファイルを毎回読む代わりに、データベース・ライプラリを利用します ( どのようなデータベース・ライプラリを使用するかは sendmail のコンパイル時に決定されます ) 。データベース・ライプラリでは、もとのテキストデータに対して、高速に検索できる構造をした別のファイルを作ります。たとえは、 NDBM ライプラリを利用する場合には aliases ・ pag と aliases. dir というファイルが作成され、 Berkeley DB ライプラリを利用する場合には aliases. db というファイルが作成されます 5 。検索が必要なときにはこれらのファイルを用います。ですから、ェイリアス・ファイルを編集して変更した場合には、データベース・ライプラリの作るファイルも更新しなければなりません。そのためには、 sendmail に -bi オプションを付けて起動します ( 表 2 参照 ) 。あるいは、 sendmail をインストールしたときに newaliases というコマンド名でシンポリック・リンクカ男長られるので、この名前で実行しても同じことか可能です。ただし、 :include: で外部のファイルを参照している場合にそのファイルの内容を変更したときや、 . forward の内容を変更した場合には、これを実行する必要はありません。私の経験では、データベース・ファイルがまだ存在しない状態で newaliases を実行すると、 1 回目はなぜか工ラーのようなメッセージが出力されるが、もう 1 度 new- aliases を実行すると間題なく実行できる、ということがありました。新たに sendmail を利用する場合や、違うデ 5 sendmail に - d(). 1 というオプションを付けて力すると、コンパイル時のオプションか表示されます。これにより、 sendmail がどのタイプのテタベース・ライプラリを使っているかを石忍できます。 36 ータベース・ライプラリを使い始めた場合などには、 new- aliases を 2 回続けて実行してみてください。ループの回避ェイリアス・ファイルによって変換されたアドレスかやはり口一カルに受信すべきアドレスであった場合、変換後のアドレスについても再度ェイリアス・ファイルが適用されます。この作業は、そオび丿ま変換できなくなるところまて繰り返されます。ですから、ェイリアス・ファイルではルーフ。か当ーするような定義をしてはいけません。よくあるのが、 . forward で次のような記述をしてしまう場合です ( ューサー名が koyama だとします ) 。 koyama , /usr/lib/mh/slocal -user koyama" これは、 MH に付属の slocal というプログラムを用いて自重加勺に仕分けをすると同時に、念のために仕分け前のメールをスプールに残しておく設定ですが、このままではうまくいきまぜん。 1. koyama が koyama と /usr/lib/mh/slocal ・の 2 つに展開される。 2. そのそれぞれについて、再度ェイリアスの処理がおこなわれるため、 koyama に展開されたものが、もう 1 度 koyama と /usr/lib/mh/slocal ・・・ " の 2 つに展開される。 3. さらに同じことか繰り返される。実際には sendmail によってループの存在か検出さこのェイリアス設定自体が無効扱いになるので、不幸なルーフ事故は起こらすにすみます。しかし、工イリアスか無効になるため、けっきよく slocal は 1 回も起動しません。こういう場合は次のようにします。 \koyama, /usr/lib/mh/slocal ¯user koyama" 先頭に、、 \ " を付けると、そのアドレスについてはそれ以 E 工イリアスの展開がなされません。これにより、はしめの目的が達成できます。必須工イリアス sendmail では、以下の 2 つのメールアドレスに対するェイリアスをかならす定義しなくてはなりません。 UNIX MAGAZINE 1998.12

4. UNIX MAGAZINE 1998年12月号

述があるはすです。この部分の if 文のプロックのなかに則々回と則回は、 DNS (Domain Name System) に次の 1 行を追加します。 goto 文を挿入したので、その次関連する設疋について説明しました。プロキシー・サーバーの設定からすこし離れますが、今回から 2 回に分けて、の 2 行は永遠に実行されす、メモリを消費するだけのプログラムになるような気がします。しかし、細かいことは気 FWTK に透過機能を追加する方法を紹介します。にせす、そのままさきに進みましよう。 - 透過機能の実装 if (ipforwarding goto ours ; / * added for FWTK * / ipstat ・ ips—cantforward 十十 ; 本論に入る則に、言葉を定義しておきましよう。英語で m—freem(m) ; は transparency や transparent 、 transparent proxy などといわれていますが、日本語ではどう訳されているの変更カ鮗ったら、ファイルを保存してエデイタを終了でしようか。 Web て調べたところ、、、透 ; 顳勺にアクセス " します。そして、以下のようにカーネルを明冓築します。とか、、透過接続 " 、あるいは、、透過性 " などと呼ばれているようです。どうも綣ーした名称はなさそうなので、この # cd /usr/src/sys/compi1e/FW/ # make depend 連載では、、茴機能 " ということにします。 # make 言葉だけで説明するより、竹喋を進めながらま早するは (FreeBSD の場合 ) うが感 : 勣勺に把握しやすいと思うので、簡単なデモをしな # mv /kernel /kernel .01d がら透過機能の概要を紹介していきます。 # cp kernel /kernel (BSD/OS の場合 ) 透過機能のデモ # mv /bsd /bsd. 01d # cp bsd /bsd ます、カーネルのソースコードに含まれる次のファイルをエデイタで開きます。ファイルの変更は root の権限で次に、 tn-gw. c に図 1 のパッチを当てて tn-gw を再コおこないます。ンパイルします。 usr/src/sys/netinet/ip- input. c 冫王思、このファイルでは関数 ipintr() カ綻義されていますが、そのなかに次のような部分があります。 if (ipforwarding ipstat . ips—cantforward 十十 ; m—freem(m) ; } else FreeBSD 、 BSD/OS 2.1 と 3.1 のいすれにも同じ記フプイアウォ = ルの作り方 1 崎 } else このパッチはデモ用の tn-gw を作るためのものです。オリジナル・ファイルはあとで使うので、かならす残しておいてください。コマンド行での一当里の操作の例を示します。 # cd /usr/local/src/fwtk/tn-gw/ # patch —p くノヾッチファイル # make 38 UNIX MAGAZINE 1998.12

5. UNIX MAGAZINE 1998年12月号

連載 /FreeBSD ノートー② 図 1 CAM によるソフトウェア成 dump cat file system syste m call inte rface SCSI driver CD-ROM X PT Adaptec driver AHA -2740 tape SC200 Symbios driver デバイスのうち一日勺に利用できなかったり、重川勧鮟定しないものもあるので注意が必要である。 CAM によるソフトウェアの構成を図 1 に示す。 SCSI コントローラが複数接続され、それぞれに SCSI 機器が接続されている状況を想定している。 CD-ROM やテープなどの各 SCSI 機器に対応するドライバと、 SCSI コントローラに対応するドライバが用意されているのが分かる。この 2 つのあいだでデータのやりとりを媒介するのが XPT (transport) で、 CAM で規定されているコマンドとその ) 芯答ク辰分けをおこなう。 FreeBSD の CAM 関連のソースコードは /usr/src/ sys/cam に、 SCSI ドライノヾは /usr/src/sys/cam/scsi に、 SCSI コントローラのドライバは対応するバスのディレクトリ (PCI なら /usr/src/sys/pci) に置かれている。 CAM の規格をまとめた文書「 lnformation Tech- nology ー SCSl-2 Common Access Meth0d Trans- port and SCSI lnterface M0dule 」は、 ANSI (Amer- ican National Standards lnstitute 、 http://www. ドラフト段階のも ansi ・ org/) から入手できる。また、のが ftp://ftp.symbios.com/pub/standards/io/tl()/ drafts/cam/ に置かれているので参考になる。去も匠では ATAPI (IDE を拡張した記慮装置用のインターフェイス ) が、従来 SCSI か使われていた用途にも進出してきている。 FreeBSD でもハードディスクや CD ー ROM のほかに、 100MB フロッピーディスクの LS ー 120 58 や Zip ドライプ、 CD ー R やテープなど、サポートされるテンヾイスか増えてきている。とはいえ、汎用のバスである SCSI にくらべて拡張や柔軟性に欠けるので、用途はどうしても限られてしまう。最近のマザーポードは ATAPI を内蔵しているものも多い。性能にくらべて安価であることから、 j 尺肢としての魅力を増してきている。 ELF への移行 3. O-RELEASE では、実行形式のデフォルトが a. out 形式から ELF 形式に移行した。 a. out 形式という名称はコンパイラ出力のデフォルトである a. out に由来しており、歴史はたいへん古い。一方、 ELF は、、 Executable and Linking Format" の略で、上ヒ較的ムも丘になって定められた統一規格にもとづいて作られている。 a. out と ELF は、機能にこれといって差があるわけではないが、去も丘の UNIX の世界では ELF が三ⅱ充になってきている。それにともない実行形式に関連する各種のプログラム、なかでも GNU の binutils ノヾッケージが ELF のみにヌ寸応するようになった。 FreeBSD ではこれまて豸虫自に a. out 対応をおこなってきたが、負担が大きいため 3.0 を機会に ELF へと移行することになった。 a. out と ELF は互換性がなく、実行時のライプラリの形式も違う。そのため、両方の形式のプログラムを実行するにはそれぞれに対応するライプラリを準備する必要がある。 3. O-RELEASE ではカーネルが両方の形式に対応し、さらに /usr/lib/aout というディレクトリを作成して a. out 形式のライプラリを用意することで a. out 形式のコマンドの実行を可能にしている。これにともない、パッケージ・コレクションも ELF に移彳丁することになった。鄲点では移行していないものもあるが、これは過渡期的な状態で、いすれはすべて ELF 形式で用意される。なお、カーネル自体は現在 a. out 形式で作成されている。カーネルを読み込んで実行を移すプートローダか対応してい川まよく、通常のプログラムを実行する欟冓とは無関係である。そのため、カーネルが a. 。 ut かどうかということと、そのカーネルで a. 。 ut か夫行できるかということは直接の関係がない。現在はプートローダが ELF に対応していないためカー UNIX MAGAZINE 1998.12

6. UNIX MAGAZINE 1998年12月号

連載 / IJN Ⅸ知恵袋ーの図 2 フォントエンジンによる表現力い MagiC POint フォントエンジンが .. プトが付属しているので、コンパイルやインストールで問題が生しることはないと思います。次に VFlib をインストールしてください。 VFlib は FreeType をリンクするので 4 、 FreeType のインストールか完了してからコンノヾイルします。なお、 VFlib にはバージョン 3 とバージョン 2 の 2 つの系列があります。 MagicPoint が対応しているのはバージョン 2 ですから、この系列の去辭斤のものを利用してください。責斤バージョンは 2.40.0 です。 VFlib にも configure スクリプトが伺属しています。アウトラインフォント・エンジンがインストールできたら、必なアウトライン・フォントを入手します。去も丘は商用の TrueType フォントが上交的安価に入手できるので、それを購入してもよいでしよう。ただし、とりあえす英語に関しては x 刊属のピットマップ・フォントを使い 5 日本言韶 ) みフリーのアウトライン・フォントを使えばある程度の品質か得られます。通称「渡辺フォント」と呼はれる日本語アウトライン・フォントが ftp://ftp.jp.freebsd .org/FreeBSD/distfiles/watanabe-vf.tar.Z から無償で入手できます。アーカイプを展開して得られるファイルを、 VFlib の設定ファイルである vfontcap 内でオ旨定された位置へコピーしてください。 vfontcap は、とくに指定しなければ、、 /usr/local/share/VFlib/ バージョン番号 /vfontcap" にインストールされています。デフォルトの vfontcap に指定されている渡辺フォントのパス名は、 /usr/local/share/fonts/watanabe-font/ です。 $ uncompress —c watanabe—vf . tar. Z ー tar xf $ cp mincho. vf 1 mincho . vf2 - /usr/local/share/fonts/watanabe-font 最後に MagicPoint をインストールします。 Magic- Point にも configure スクリプトが伺属しています。 con- figure スクリプトを実行すると lmakefile が生成されます。 xmkmf を使って Makefile を生成したあと、 make を実行してください。 sh configure $ xmkmf —a make 4 FreeType をリンクしない設定にもできますが、あえてそうする理由がないかぎり FreeType をリンクしておいてかまいません。 5 X には Adobe や Bitstream のアウトライン・フォントが伺属しています。これらのアウトライン・フォントを使ってきれいな英才 : を出力することもできます。ある日 Magic POint フォントエンジンか .. ーない日 —BDF フォント —Sony NEWS 用べクトルフォント —FontWave フォント —HBF フォント英語のプレゼンテーションしかおこなわないなら、 FreeType だけを準備すれば大丈夫です。日本語も使うのであれば VFIib もインストールしましよう。 FreeType と VFIib は http://www.se.hiroshima-u ・ ac ・ jp/&kakugawa/VFIib/ から入手できます。このページには、アウトラインフォント・エンジンに関するさまざまな情幸にのリンクや、各工ンジンの去斤版が収められている FTP サーバーへのリンクがあります 3 まず FreeType をインストールします。 FreeType の最啼斤バージョンは 1.1 です。近いうちに 1.2 が出るようですが、いまのところバージョン 1.2 はプレヒ、ユーリースしかありません。 FreeType には configure スクリ 3 ただし、原稀卍印引点では FTP サーバーへのアクセスがうまくいきませんでした。 112 UNIX MAGAZINE 1998.12

7. UNIX MAGAZINE 1998年12月号

トがもつ経路テープルのエントリも更新しなけれはなりません。経路テープルの管理には 2 不鶤頁の去があります。 1 つは勺な里と呼はれるもので、ホストの管理者が手動で経路テープルを操作します。 FreeBSD や BSD/OS では、経路テープルを操作するコマンドは (/sbin/)route です (SoIaris の場合は、 /usr/sbin にあります ) 。 route コマンドはいくっかのサプコマンドをもち、経路テープルに対して経路情報の追加や削除、変更、検索などの操作をおこなうことかできます。詳しい利用ガ去はオンライン・マニュアル route(8) などを見てください。経路情報窈助日と削除については、以下のような使い方になります。 route s 社 6C07 れ 7 れ 0 れ d —net des れ佖 0 れ 9 佖 e 0 リ subcommand は操作の種類 ( サプコマンド ) で、追加の場合は、、 add" 、削除の場合は "delete" を指定します。 dest 佖 0 れにはデスティネーションのネットワーク・アドレスを、四 t には対応するゲートウェイの IP アドレスを指定します。デフォルト経路の場合は、 destina- 。れの部分に、、 default" を指定します。たとえば、経路テープルに新たな経路清報を追加するには以下のように実行します。この例では、、、デスティネーションが 192.168.5.0 というネットワークにある場合、 192.168.1.1 というゲートウェイ 0 ンヾケットを送る " という経路情報を追加しています ( 誌面の都合上、て折り返 168.1. 1 連載 / IJN Ⅸの玉手箱ー① bash# 目 add net 192.168.5.0 : gateway 192. default 192. 168. 1 . 1 bash# route add -net 192 . 168.5.0 しています。以羽司様 ) 。 default 192. 168. 1 . 1 bash# route delete -net 192. 168.5.0 一方、糸各情報を削除するには次のように実行します。 netstart ファイルです。 SoIaris の上昜合は /etc/rc2. d/S69inet に 7 FreeBSD の場合は / etc / rc. conf ファイル、 BSD/OS ならは・ / etc / OS の起動設定ファイル 7 に言当しておきます。デフォルたびに route コマンドを実行するのは面倒なので、通常は経路テープルを青 J に管理する場合、マシンを起ける bash# ■ delete net 192.168.5.0 : gateway 192.168.1.1 88 記します。ト経路も含め、 FreeBSD や BSD/OS の起動設定ファイルで経路を設定するガ去はあとて紹介します。経路テープルのもう 1 つの管理ガ去は動的な褌里と呼ば (/sbin/)routed というデーモン・プログラムか経路テープルを管理します 8 。 routed には大きく分けて 2 つのモードがあります。 1 つは経路情報をネットワーク内に共するモード 9 、もう 1 つは提供される経路情報を、、聴く " だけのモード (listen モード ) です。多くの場合、経路情報を提供するデーモンはネットワーク上に 1 つだけ存在します。残りのホストは routed を listen モードて起動し、提供される糸習各情報を聴いて経路テープルを自勺に管理します。ー殳に、提供される経路情報にはデフォルト経路も含まれるため、その他のホストは routed を listen モードで起動しておけは、個々のホストで経路情報を静的に管理する必要はありません。 routed を listen モードて ) 起動するには、 -q オプションを付けるだけです。通常、 routed デーモンはマシンの起重加芋に自重加勺に起動されます。 FreeBSD や BSD/OS に関しても、 /etc/rc. conf や /etc/netstart などの成疋 routed デーモンを使う " ことと、、 listen モファイルにードて起動する " ことを記しておけば、あとは何もする必がありません。もちろん、 route コマンドを使って経路テープルを操作したり、 routed を起動できるのはスーパーユーサーのみです。経路情報の管理形態にかかわらす、現在の経路テープルを確認するには netstat コマント 10 を使います。 net- stat は経路テープルだけでなく、現在の接続状態や糸兤目青報ネットワーク・インターフェイスに関する情報など、ネットワークの状態についてのさまざまな情報を表示することができます。多くのオプションがありますが、経路テープルを確認するには一 rn オプションを指定します 11 たとえは、則記の nullpc で、、 netstat -rn" を実行すると、図 3 のようになります。 8 経路テープルを管理するデーモンとしては、 routed のはかに gated などもあります。 Solaris なら /usr/sbin/in. routed です。これらのデーモンを糸して、ーモンとも呼びます。 9 ネットワークに対して糸各↑帯匱を流すだけでなく、ほかの routed と経路情報を交換することもできます。 10 FreeBSD や SoIaris では /usr/bin 、 BSD/OS では /usr/sbin に置かれています。 11 - r だけを指定すると、ゲートウェイの IP アドレスなどを名前に変換してします。 UNIX MAGAZINE 1998.12

8. UNIX MAGAZINE 1998年12月号

ワークステーションのおと一 0 B . 11.00.01 B . 11 B . 11 B . 11 B . 11 B . 11 図 3 /usr/sbin/swlist の実行結果 XSWGRI 100 UXCoreMedia—J B . 11.00 HPUXJpn32RT HPUXEng32RT B4580AA B3911DB B3911CB B3907CA B3899BA B3392BA 64—bitDevLibs B . 11.00 # Bund1e(s) : B. 11.00.38 HP-UX Extension Pack, Apri1 1998 HP-UX Japanese Media Kit Japanese HP—UX 32—bit Runtime Environment Eng1ish HP—UX 32—bit Runtime Environment B . 11.00.01 HP—UX 11.00 Software Transition Kit HP aC + + Compi1er ( S700 ) HP C + + Compi1er ( S700 ) HP FORTRAN Compi1er and associated products ( S700 ) HP C/ANSI C Deve10per ) s Bund1e for HP-UX 11.00 ( S700 ) HP—UX Deve10per ' s T001kit for 11.0 Cross PIatform DeveIopment Kit .00 .00 .00 .00 .00 B . 11.00 ます。ただし、 CPU か遅かったりメモリか少ないと性 96 で、、、 Source Depot Type:" で、、 Local CD-ROM" をします。今回はローカルの CD-ROM ドライプを使うので、インストールするソフトウェアがどこにあるかを指定 Source" というタイトルのウインドウが開きます。 swinstall コマンドを起動すると、最初に、、 Specify mount -F hsfs /dev/dsk/cOt4dO /SD—CDROM 、、 mkdir /SD-CDROM" として作ります ) 。おきます (/SD-CDROM ディレクトリがない場合は ROM を /SD-CDROM ディレクトリにマウントしています。その則に、次のようにして、 Application"CD- インストールには、 /usr/sbin/swinstall コマンドを使めに読んでおけは、間違うことはないはずです。よるソフトウェアの管眦に目をとおしておきます。まじトウェアです。インストールの前に、マニュアル「 SD に OS のインストールか終ったら、次はオプション・ソフ swinstall を使うます ( 図 2 ) 。る config や install. 10g などのファイルに言当求されていそのマシンの /var/opt/ignite/local ディレクトリにあ Ignite-UX での設定は、 HP-UX のインストール後、ストールした B132L では 30 分ほどて終りました。ールを始めます。マシンの生能にもよりますが、私がインこれらの項目を確認したら、、、 G 。 ! " を選んでインスト 11.0 は正しく動きません。かを確認します。これが選はれていないと、 HP-UX ・ Software タブで、、 General Patches" か選ばれている能力イ氏下する場合があります。 " が /SD-CDROM 選ぶと、 Source Depot Path. になっているはすです。 /SD-CDROM はデフォルトの成疋ですが、 swinstall コマンドのオプションで変えることもできます。次に、 Actions メニューの、、 Add New Codeword を開き、インストールするソフトウェアのパスワード (Codeword) を入れます。購入したオプション・ソフトウェアには、かならす Codeword か書かれた紙が付いているはすです。紛失しないように注意しましよう。 Codeword を入力すると、インストール可能なソフトウェアの一覧が表示されます。ここでマークを付け、 Ac- tions メニューから、、 lnstall" を選ぶと、インストールするソフトウェアの前処理カ始まります。この処理か終ったら [OK] ボタンを押します。これで、インストールか始まります。インストールの記録は、 /var/adm/sw ディレクトリに残っています。どのようなソフトウェアがインストールされているかは、 /usr/sbin/swlist コマンドで分かります ( 図 3 ) 。今回は、 HP-UX 11.0 のインストール上の注意点を簡単にまとめてみました。この記事を書くためにマニュアルを読み返してみましたが、竹喋に必喫な事柄はちゃんと書かれています。私のように、とりあえすインストールを始めて分からなくなったらマニュアルを読むのでは、かえって時間か駄になるような気がします。 ☆ UNIX MAGAZINE 1998.12 ( さかした・しゅう ASTEC)

9. UNIX MAGAZINE 1998年12月号

プログラミング・テクニック 14 図 5 パスワード・ファイルー里 (/usr/src/usr ・ sbin/vipw/pw-util. c 部 ) void pw—edit (notsetuid) int notsetuid ; int pstat ; char *P , *editor ; if ( ! (editor = getenv("EDITOR") ) ) editor _PATH_V I ; if ()p = strrchr(editor, ' / ' ) ) ) else p = editor; if ( ! (editpid = vfork())) { if (notsetuid) { (void)setgid(getgid()) ; (void)setuid(getuid()) ; execlp (editor , p , tempname , NULL) ; -exit(l); editpid = waitpid(editpid, (int *)&pstat, if (editpid pw—error(editor, 1 , 1 ) ; else if (WIFSTOPPED (pstat) ) raise(WSTOPSIG(pstat) ) ; for ( ; WUNTRACED ) ; else if (WIFEXITED (pstat) & & WEXITSTATUS (pstat) break ; else pw—error (editor , 1 , 1 ) ; editpid = その他のプログラムでの変更このように、 vipw を使えば master. passwd をエディタで編集できます。しかし、パスワードの変史時刻やアカウントの有期限を指定するには、 1970 年からの秒数を当しなけれはなりません。そのたびにいちいち手イ乍業で計算するのではたまりません。ある日時を指定すると、 1970 年からその時刻までの秒数を計算するようなプログラムを作ることもできます。しかし、システムの作成者もそのあたりは心得ていて、より簡単にこれらのフィールドを指定できるコマンドか準備されています。たとえば、 vipw のところで触れた chpass コマンドを使えは、より分かりやすい記法で日イ寸が指定できます。 chpass コマンドで任意のユーザーのパスワード情報を変更する場合は root の権限で実行します。引数には、パスワード・エントリを変史したいユーサーのログイン名を指 UNIX MAGAZINE 1998 ユ 2 定します。すると、指定したユーサーに関する情報を 1 つのファイルとして編集できるようになります。 #Chang1ng user database information for logname . Login: logname Password: * 1003 Gid [ # or name] : 1001 Change [month day year] : Oct0ber 23 , Exp i re [month day ye ar] : C1ass: standard Home directory : /home/logname S e11 : /bin/csh Fu11 Name : User & Location: Office Phone: Home Phone : 1998 chpass では、編集後に各フィールドか正しい値になっているかを十ヾ、パスワード・ファイルに 0 当求できる形式 73 に変換します。このプログラムでは、年月日が一信己の順番

10. UNIX MAGAZINE 1998年12月号

次に、ファイアウォール・ホストをリプートして新しいカーネルを起動します。 # sync # sync # sync # reboot UNIX MAGAZINE 1998.12 Escape character iS Connected tO sugar. raccoon. doubutsu. CO ・ JP ・ Trying 192.168.1.100. pepper% telnet sugar net でオ妾続しようとすると、次のように拒否されます。ためしに pepper からファイアウォール・ホストに tel - イアウォールに穴カ鯛いてしまったのでしようか・はすなのに、図 3 ー d では telnet に成功しています。ファ機から pepper へは telnet で直接アクセスできなかったファイアウォールを越えられないためでした。実験用引算図 3 ー b で telnet の接続に失敗したのは、 IP バケットがたしかにイ叫リですが、何かおかしいと思いませんか。ちょっと待てよれを、、透勺 " と呼ぶようです。カ硬えるわけです。日本のファイアウォール市場では、らにいえばファイアウォールの存在を意識せずに telnet これは便利ですつまり、プロキシー・サーバーセスも可能です。 pepper だけではなく、その他の言算機への telnet アク実行 " することなく、いきなり pepper に接続できます。ろが、改造後は、、 tn-gw に接続し、 connect コマンドをドモードで connect コマンドを実行していました。とこォール・ホスト上の tn-gw に接続し、 tn-gw のコマンクセスする場合、匿する前は図 3 ー c のようにファイアウファイアウォールの向こうにある計算機に telnet でアでアクセスすると、今度は接続できました ( 図 3 ー d ) 。こで、もう 1 回夫馬用計算機から pepper に telnet # make insta11 # cd /usr/local/src/fwtk/tn-gw/ てて再コンパイルした tn-gw をインストールします。ファイアウォール・ホストか起動したら、パッチを当 ( 詳しくは彳します ) 。みえますが、ネットワーク機能が大きく変わっていますこでプートしたカーネルは、なんの変化もなさそうに一方を第 - 広可の - ド Connection closed by foreign host . pepper% こで、 netperm-table の次のルールをコメントアウトし、 tn-gw を起動しないように設定を変更します ( 誌面の都合上、て折り返しています ) 。 netacl—telnetd: permit—hosts 192.168.255. * 疇 - —exec /usr/local/etc/tn—gw ふたたび実験用言 t 算機から pepper に telnet でアクセスすると、図 3- b のようなタイムアウトによる失敗ではありませんが、やはり接続できません。どうやら tn-gw に関係がありそうですが、本当に tn- gw が telnet の接続を中継しているのでしようか。ファイアウォール・ホスト上には、図 3 ー d を実行したときのログか求されています。 Oct 17 23 : 55 : 47 sugar netacl [ 12394 ] : permit host=exp. raccoon. doubutsu. CO. jp / 192.168.255.2 service=telnetd execute=/usr/local/etc/tn—gw Oct 17 23 : 55 : 47 sugar tn ー gw [ 12394 ] : permit host=exp ・ raccoon. doubutsu. co. jp / 192.168.255.2 use Of gateway Oct 17 23 : 55 : 47 sugar tn—gw [ 12394 ] : permit host=exp ・ raccoon. doubutsu. co. jp / 192.168.255.2 destination=192. 168 . 1 . 20 Oct 17 23 : 55 : 47 sugar tn ー gw [ 12394 ] : connected host=exp ・ raccoon. doubutsu. co ・ jp / 192.168.255.2 destinatio Ⅱ = 192. 168. 1 .20 Oct 17 23 : 55 : 51 sugar tn ー gw [ 12394 ] : exit host=exp. raccoon. doubutsu. CO. jP/192.168.255.2 dest = 192. 168 . 1 .20 in=78 out = 42 user=unauth duration=4 これを見ると、 netacl から tn-gw か起動さ tn-gw が pepper ( 192.168.1.20 ) に接続しています。 telnet ポートにバケットか届くと、ファイアウォール・ホスト上で tn-gw か起動されています。そして、誰かが telnet の接続要求先は pepper だと判断し、コマンドモードの connect を実行したようです。さしあたり、ファイアウォールに穴はなく、 tn-gw が接続を中継したことは分かりました。しかし、「実験用言 t 算機から送出されるバケットは pepper 宛やのに、なんでファイアウォール・ホスト上で tn - gw か起動すんねん ? 」「誰が connect コマンドを実行してるんや ? 」という新たな疑問カヾ孚かびます。 41