Web - みる会図書館

1. UNIX MAGAZINE 1998年2月号

SoIaris 2 6 のインストール① 城谷洋司図 1 Solaris 、 veb Start 0 0 0 ) C ) 0 ) 0 ) C ) 0 ) 新ま″ー侊引 hO / れ石矼 bbi / い / 01V / h 0 んま t/hom 日 02 上 tm にインストール方法次のような去があ Solaris 2.6 のインストールには、 SoIaris Web S ねれ 0 0 ををを 0 きツー、、ようこそる。・ Solaris Web Start ・対話式インストール・プログラムを使用した新規のインストーノレ・対話式インストール・プログラムによるアップグレード・インストール・対話式インストール・プログラムを使ったネットワーク・インストールカスタム JumpStart ・ JumpStart 文舌式の新規インストールそれぞれを簡単に説明していく。従来からあるもっとも一般的な Solaris 2. x のインストールガム SoIaris 2.6 でもサポートされていて ( 図 2 ) 、 Solaris Web Start ウインドウべースでインストール作業がおこなえる。 SoIaris 2.6 からサポートされた新しいインストール・日本語システムの場合はすべて日本語で操作できる。イューティリティである ( 図 1 ) 。ューサー・インターフェンストール時に、システムディスク以外のディスクを設疋イスに sun の Web プラウサである HotJava を使ってすることもできる。いるのか特徴で、 Solaris 2.6 を新規にインストールする対話式のアップグレード・インストールにはもっとも簡単なガ去である。 Solaris Web Start カ斤規のインストールにしか対応これを使うとサーヾー・パッケージに入っているアンしていないのに対し、対話式インストール・プログラムバンドル・ソフトウェアや AnswerBook も同時にイン (lnteractive lnstallation プログラム ) は、アップグレーストールできる。 Java 対応の Web プラウサを使って、ド・インストールにも対応している。ローカルにディスプレイをもたないサーバーマシンのイン SoIaris 2.4 以降の OS がインストールされており、すストールをネットワーク上の別のマシンからおこなうといでに使用環境に合わせて設定されているシステムに対してった使い方もできる。ただし、 HotJava による操作は現は、アップグレード・インストールがおこなえる。この方状ではまだ重い。印」を良リまシステムソフトウェア ( ) - とフプリケンヨンソフをウアの両方をインストトルしますヶ、タンクリッてくだいを上級ユーザ - の方へ : しさこ壑をき . を行うには、印 Web 田一の詳インストーえぞー 11 UNIX MAGAZINE 1998.2

2. UNIX MAGAZINE 1998年2月号

from WEB Techniques Web サイトのセキュリティ対策 Jay Heiser この 1 年のあいだに、強く印象に残る Web サーバーへの攻撃がいくつか発生した。 Microsoft や CIA といった注目度の高い糸目織が電子的な破壊行・為の標的にされても驚きはしないが、どちらかというと目立たない Web サイトがよく狙われたのである。高度な技術を用いた巧緻きわまる攻撃の話題を読むのはおもしろいが、それも自分のサイトか侵入を受けるまでの話である。そして、攻撃のほとんどはひどくうんざりするようなものだ。 0 FTP/We b サーバーの重要性ひと月はど前、ある小さなソフトウェア・べンダーから叫各があった。その会社ではインターネット・サーバーを運用しており、 Web 上で製品情報の提供、 FTP によるソフトウェアの販売やアップデート・サーピスをおこなっていた。そのサーバーに何者かカイ受入してチャット用サーバーをインストールしバーチャル・パーティーを開くために利用していたのである。同社は IRC サーバーやクラッカーのアクセスポイントらしき箇所を削除したが、ふたたひ侵入を許し、報復として FTP サーバーと Web サーバーの設定を改変さ再起動できなくなってしまっ FBI はデジタル侵入者の探知に精力的に取り組んでいる。この会社のサーバーでは、半商用の UNIX か稼動していた。攻撃を受けたシステムはもはやイ囀衄生を回復できないと考えられたため、最初から構築しなおすことが必要だと思われた。しかし私は、ともかく現システムをみなおして、攻撃に関する↑帯にをさらに得ることを提案した。会社側の意向は、 Windows NT ( 以下、 NT と略 ) でシステムを明冓築し、早急に移行したいというものだった。侵入以前のインターネットとの接続はごく限られていたので、彼らは Web サーバーと自社 LAN のインターネット接続をファイアウォールで守ることにした。われわれは Watch- guard Technologies[1] のファイアウォール製品 Watch- Guard をインストールした ( 図 1 ) 。これはハードウェアとソフトウェア・パッケージがセットになっており、さはど専門知識がなくとも設定や管理ができて、時間もかからない。われわれは、 Web サーバーを 3 番目の Ethernet アタフ。タにつないだ。インターネットを経由したさまざまな攻撃 (SYN floodingl など ) をファイアウォールで防げるようにするためだ。 0 駘攻撃た。それで、私にアドバイスを求めてきたのである。 2 度目の侵入を受けて私に相談をもちかける前に、会社は 3 つの有力な措置を講していた。・サーバーのインターネット接続の遮析この同し事態の再発に備えた、サ→ヾーの全面バックアップ UNIX MAGAZINE 1998.2 フトウェア・べンダーは海外の競争相手も疑っていたし、 3 番目は極端な措置に思えるかもしれない。しかし、・ FBI への通報ソある Web ホスティング・サイトの管理者がクラッカーの存在に気づくまでに、そのサイトは踏台として利用されており、すくなくとも 10 以止のサイトか被售を受けていた。その Web サイトからやってきた何者かに侵入されたとの苦清を寄せてきた Web ホスティング・サービスもあった。双方とも、 Web の世界て普及している BSD UNIX 1 訳注 : 岩田は、 ftp://ftp.cert.org/pub/cert-advisories/CA- 96.21. tcp-syn-flooding を参 139

3. UNIX MAGAZINE 1998年2月号

0 0 FTP は必要か ? ァイアウォール ) を用いて、システム管理に必要な telnet とと、なんらかのアクセス制御欟冓 (TCP wrapper かフわれていないネットワーク・サーピスをすべて遮断するこかった。われわれはいつもどおりのアドバイスをした。使でレポートが通常より長くなったために、調べられていな回刎列でもそれは実行されていたのだが、マシンの構築中ティ関連のシステムファイルの変更をチェックする。今る。通常、管理者は /etc/security を利用して、セキュリめられる。システムファイルの改変などの監視も重要であドによる被害をそのユーサーのディレクトリだけて食い止限定することができる。こうしておけば、 FTP'NOスワー FTP セッションを各ューサーのホーム・ディレクトリにことだ。システム管理者は wu-ftp の設定で、着信するればそれぞれのホーム・ディレクトリ ) 内にとどめておくら、もっとも重要なのはユーサーを管理された↓竟 ( できわれわれは対策を用意していた。ます、 FTP が必なようになる。プロードすることで、簡単に root としてアクセスできるループに自分を加えた新たな / etc / gr 。 up ファイルをアッされていたのである。したがって、侵入者は、、 wheel" グッションか書込み可能に変更より、 /etc/group のパー回れただけでなく、ユーザー管理ューティリティのバグに点は幸いだった。 FTP ューサーはシステムを自由に歩きした出来事だが、別のところから侵入されたわけではないだ。サイトの管理側にとってはたいへんばつの悪い思いをが、管理がいかにすさんであるかを示したいと申し出たの全な設定にする予定だった。しかしテストユーサーの 1 人に関しては、サイトか完成して運用を始めてから、より安ルをアップロードできるようにしていたのである。 FTP て侵入された。 Web ページ制作者が FTP によりファイ構築中の BSD 製の Web サーバーが、 FTP を経由しなどのサーピスを外部の人間から守ることである。 0 0 弱点のチェックシステムの弱点を知る最善策として、専門家を雇って侵入テストを実施するガ去がある。言い換えれは、金を払っ UNIX MAGAZINE 1998.2 Web サイトのセキュリティ文・てシステムに侵入してもらうわけである。 Web の更新を進めていたある金融機関から、 Web サーバーの強度を試すために雇われたことがある。そのサイトは有名な Web ホスティング・サーピスが運営していたが、当社の月リきか侵入するのに 2 時間もかからなかった。われわれはます、 lnternet Security System の lnter- net Scanner を使ってシステムの弱点をチェックした。これはシステムに侵入するわけではなく、運用されているサーピスや、手作業で侵入テストを始められそうな明らかに弱い部分をリストアップしてくれる。只日の弱点を系糸勺に調べていく過程で、多くの欠陥をみつけることができた。それらをまとめて利用すれは、マシンを全面的な支配下におくことも可能である。もっとも重大な弱点は、 phf のバグ 2 だった。 1996 年の初めからひろく知られている問題であるにもかかわらす、バグのあるコードが NCSA や Apache などのホピュラーな Web サーバーに含まれている。このバグにより、 ( 多くは root として ) コマンド行から Web サーバーを起動できる。の弱点だけでも、 root として Web サーバーにアクセスするには十分な場合が多い。しかし、このサーバーの httpd は SUID root を実行していなかった。このサーバーはインターネットからの NFS アクセスを許可していたので、われわれはコンパイラを利用することができた。また、利用可能なバグが rdist にあった。 1996 年秋に起きた CIA と司法省の Web サイトに対する攻撃は、明らかに同し phf のバグを利用したものだった。サイトの設定を直接知っているわけではないのてオ僻則にすぎないが、おそらく Web マスターは、攻撃手段を有する者にとって、こうした組織の清報がどオけごけ価値をもつかを過小言面したのだろう。セキュリティを重視する組織では、情報はその機密生の度合いにもとづいて慎重に区分さ適正に処理される。 CIA と司法省の広報用 Web サーバーに置かれていたのは、明らかに機密ではないーイ殳のアクセス用の情報だったため、そのイ描県こ関しては優先順位カイ氏かったのである。しかし、データの機密性の点では間題にならなかったにせよ、その保全についてはきわめて重視された。人目に触れる機会の多いインターネット・サイトは攻撃対象となりやすいため、その管理者は最悪の事態に備えるべきである。 2 調主 : http://www.jpcert.or ・ jP/ⅲf0/97-0003/ 参月生 141

4. UNIX MAGAZINE 1998年2月号

・ Web サイトのセキュリティ文 Denial Of Se 「 vice 攻撃インターネットにおける DoS (DeniaI of Service) 攻撃は、ネットワーク・プロトコルやその実装の特羅を悪用して、システムへのアクセスや利用を妨害するガ去である。たとえば、 SYN flooding は接続リクエストを艮なく送り続けるガ去である。ホストは各リクエスト窈忍をおこない、リクエストを送ってきたシステムからその石忍に対して応答してくるのを待つが、けして送られてはこないのである。通常、ホストは 255 の接続リクエストまでにしか対応できないデータ構造になっている。そのため、偽の接続リクエストか齲リすると正当なリクエストの処理か効害されてしまう。タイムアウト設定を上回るべースでリクエストの集中砲火を浴びせることで、リクエストは時間切れとなり、トラフィックが受信できなくなる。事実上すべての TCP/IP べースの製品は DoS 攻撃に弱いが、この夏とくに狙われたのが Microsoft の製品である。 OOB (Out of Band) や WINNUKE 攻撃は、 Mi- crosoft の OS 特有のものだ。 Microsoft の TCP/IP スタックには、ほとんど使われない TCP バケットヘッダ・オプションか設って実装されている、これを利用すれは、パッチを当てていない NT4.0 システムを、誰でも簡単なツールでリモートからクラッシュさせられる。 NT を採用しているサイトは、最新の Service Pack ( この原稿の執畤点では SP3) にアップグレードすべきだ。もう 1 つ例を挙げよう。 IIS (lnternet lnformation Server) は、長い URL とクラッカー用の各種ューティリティを用いれば機能を麻痺させられる。 IIS の管理者は、最新のパッチを当てて更新しているかどうかを石忍する必要がある。 DoS 攻撃は」毆亦か難しく、おそらく本色はできないだろう。とはいえ、この 1 年間で TCP/IP を利用する OS やデバイスの大半はアップグレードされて、ありふれた攻撃には耐えられるようになった。優れたファイアウォールなら、既知の D 。 S 攻撃は防ぐことができる。まとめ 0 web サーバーへの侵入を防げない原因はなんだろうか。 Web サーバーはひどく脆弱で、適切に管理されていない 142 ことが多いためである。バグのあるソフトウェアはセキュリティ・ホールのもととなる。バグフィックス版を入手しないかぎり、それをサーバーに置き続けるのは管理者の落度といえる。複雑な電子商取引に用いるサーバー向けの適切なセキュリティ・アーキテクチャを開発するのは容易ではないが、弱点カ吩かっている Web サーバーの守りについては弁解の也はない。叫屯な HTTP サービスなら、 UNIX でも NT でも最小の努力で - ト分に安全なシステムを構築できるのである。 Web サーバーて才是供するサーピスか増えるにつオ cgi- b ⅲディレクトリで実行可能なことも増えてくる。そオけごけシステムか皮害を受ける確率も高くなるわけだ。組織の知名度が ( よくも悪くも ) 上がれば、それだけ悪意を含む注目度も高まるだろう。しかし、どのサーバーもいすれはクラッカーにみつかり、ちょっかいを出されるのである。ほとんどの攻撃は、 Web や OS のセキュリティに関する FAQ にあるヒントや CERT (Computer Emergency Response Team)[4] の警告 ( ここでとりあげた問題のほとんどを最初に手甜商している ) に従えは、簡単に防げる。攻撃にさらされた Web サーバーのセキュリティを確保するガ去はきっとみつかる。悩んでいる日勸ゞあったら、ただちにセキュリティ石呆のための日判にあてるべきだ。 1993 年から Web サーバーの構築に携わるセキュリティ・コンサルタント。「 Java Developer's Journal 」誌でセキュリティに関する連載をもっている。 [ 赭 U RL] [ 1 ] Watchguard Technologies http://www.watchguard.com/ [ 2 ] TCP wrapper http://cs.weber.edu/htdocs/sysadm-book/sysadm- b00kー33. html [ 3 ] lnt ernet F irewalls FAQ http://www.clark.net/pub/mjr/pubs/fwfaq/ [ 4 ] Computer Emergency Response Team http://www.cert.org/ [ 5 ] FirewaIIs MaiIing List http://www.greatcircle.com [ 6 ] Computer and NEtwork Security Reference lndex http://www.telstra.com/au 「 Web-Site Security Failures 」 Web Techniques 1997 年 11 月号より ◎ 1997 , WEB Techniques (). S. A. ) ■ Jay Heiser UNIX MAGAZINE 1998.2

5. UNIX MAGAZINE 1998年2月号

0 図 12 テフォルト・インストールなインズト ~ こル、了ア「「一 ' ー「「一 - 7 ー (0) ) 0 ) 0 ) 0 ) Appletstarted. SoIaris Web S ねれ P 0 W E R E 0 8 Y →デフォルトインストー儿殳定 50 「 is Web 5 ね「 t は冫大のソフトウェアをインストールします En 朝・ 8 50 ねⅵ 5 50 w 町日 0 「 oup Japanese EUC (ja) フす一 1 Ⅲンム S 0 ー ar i 、 : ノフま自 1 こ行れます。ファルシステム 50 web sta 代は、ます始めこ 50 i & をインストールします。システムをリブートしたあと 50 ね「 is web 5 ね杙の要求に応じて CD を入してください。デフォルトインストール、およびインストールされる製品こ関する情こは「詳縄」をクリックして、ださいーすぐにインストールする」 ~ 」一一」一 ~ - ー - 、一 . ドる 0 図 13 カスタム・インストールンヨ Appletstarted. SoIaris Web S ね 0 1 . 丿フトウェアを析するカスタマイズム S i 、を設定する 3 ァイルシステムを配する P 0 W E E 0 8 Y ソフ「・エアの : SOlariS の : ていせ E n 目田 5 引町 is Software 朝・ oup japanese EUC 02 コアン / 。丁ム : されていません O k 厄 55 およひ A リ t 、ⅱ 2 れ t シスデムが設定ールは完了する。途中で意味の分からない用語力咄てきても、 GUI 上でヘルプを参照すれはほとんどは解決できる。 Solaris Web Start を使用する場合 1. OS の CD-ROM からのプート Solaris Web Start プログラムを使う場合は次のようにする。 ok boot cdrom 2. 上記の手順と同一 3. 」「記の手順と同一 browser 4. インストーノレに関する聞青報の設定こで H 。 tJava か起ける。すでに OS がインストールされている場合は、 HotJava の起動前にアップグレード・インストールができない旨ク寉認め球められる。 (a) 「ネノ期 j 尺」画面で購入した製品のタイプを指定 (b) 印期 j 尺」画面で root のパスワードを設疋 (c)i インストールガ去お尺 ( 図 11 ) 「インストールカ法の選才心で、デフォルトのインストールを選ぶと以下の処理の開始を孑できる。・ルートとスワップエリアの作成・ /opt ノヾーティションのイ乍成 22 インストール」行われます。・サーバーの場合は、、本ディストリビューション " を、デスクトップの場合は、、エンドユーサー " ソフトウェア・グループをインストールする・製品のタイプで選択している場合は、 Solaris Server plus lntranet Extension に含まれるすべてのソフトウェアのインストール・サーバーの場合は AnswerBook2 をインストールデフォルト・インストールでは、複数のディスクがある場合でもインストールはシステムディスクに対してしかおこなわれない点に注態 c)ii 「インストールカ 1 去の選おもで、カスタム・インストールを選ぶと以下の設定をおこなう ( 図 13 ) ・ Server lntranet Extension を j 尺している場合・ AutoClient 用にディスク容量を確保するかどうど ) 窈尺 ( 図 15 ) ・デフォルト以外に追加したい言語 (ja-JP. PCK な・ソフトウェア・グルーフ。窈尺 ( 図 14 ) するかを尺は、そのなかのどのソフトウェアをインストール UNIX MAGAZINE 1998.2 ト数などを指定 ( 図 16 ) 。確保する場合は、続けてそのサイズやクライアンか

6. UNIX MAGAZINE 1998年2月号

Bookshelf eb ヘージスクリフトテクニックインターネットワーキング技術ハンドブック』・ Merilee Ford 、 H. Kim Lew 、 Steve SpaniersTim Stevenson 著 Jason BIoomberg 、 Jeff Kawski 、 Paul Treffers 著・日本シスコシステムズ監訳・安藤慶ー、武舎広幸訳阿瀬はる美訳プレンティスホール出版・プレンティスホール出版 B5 判変型、 366 ページ・ B5 判変型、 601 ページ 3 , 000 円・ 5 , 400 円 1997 年 10 月 25 日・ 1997 年 12 月 20 日 HT 、化の基本的な知識をもつ読者を対象に、 web おもに Cisco の製品でサポートされているインページのスクリプト技術を実例を挙げながら解説ターネットワーキング技術を解説。 LAN プロトしている。 HTML 、 JavaScript 、 VBScript の 3 部に分コル (Ethernet 、 FDDI など ) 、 WAN テクノロジー ( フかれる。各サンプルの実行画面とソースコードをレームリレー、 PPP 、 ISDN など ) 、プリッジング掲載し、コードの概要や注意事項、コーディングとスイッチング (ATM 、 DLSw など ) 、ネットワー方法の実際、ほかでとりあげている関連テクニック・プロトコル ( IP 、 NetWare など ) 、ルーティンクなどを紹介している。サンプルページのコードグ・プロトコル (BGP 、 IP マルチキャストなど ) 、 ( 画像を含む ) を収録した CD-ROM (Windows 95 / ネットワーク管理 ( RMON 、 SNMP など ) の各部に Macintosh 版 ) 付き。分かれ、 1 部ではこれらの基礎について説明。『 XML 入門』『日本語 TEX2€インストールリ第・つ←第を・ Weba;-- ジスクリプトテク : ックー物 S 吶礼 VBS 吶活用事制集インターネットワーキング技第ハンドブック日本語いル X インスト→レキット入門日 TML の新界をちるインタ -- ネノトの新談術 æXML 村田真編著日本経済新聞社 A5 判、 216 ページ 2 , 800 円 1998 年 1 月 7 日・中野賢、淺山和典、内山孝憲共著・アスキー・ B5 判、 133 ページ・ 3 , 800 円・ 1997 年 12 月 21 日 WWW のための文書記述言語 XML (eXtensible TEX システムを構成するプログラム群 (TEX Markup Language) に関連する技術を紹介している。 3.14159 、 pTEX 2.1.5 , based on X 3.14159 、 XML の意義、実用化アプリケーション、言語仕いル X28 、 p いル X28 など ) と使用頻度が高いと思様、リンクとスタイルシート、各種ツール、アプわれるフォントやライプラリ ( い x パッケージ、 15 種類のデバイス用の PK フォントなど ) をリケーションの構築法、構造化文書としての意義、 RDF と DOM の各章で構成される。付録で CD - ROM に収録。インストール・ガイドでは、ル X www と日本語についての説明、関連用語集、関システムの概要と UNIX 、 Windows 、 Macintosh で連 web サイトと書籍の紹介を掲載。編著者は W3C のインストール、環境設定、文書ファイルの処理、プレビュー、印刷などの手順を説明している。の XML ワーキング・グループのメンバー 138 UNIX MAGAZINE 1998.2

7. UNIX MAGAZINE 1998年2月号

理経 (Tel 03 ー 3345 ー 2170 ) は、日本ディジタルイクイップメントの WS 、 \DIGITAL PersonalWorkstation a シリーズクに Linux をプレインストールした「 Alpha/LINUX ノヾッケージ」の販売 AIphaWS + Linux HTML 4.0 World Wide Web Consortium (W3 C) は、 HTML 4.0 を W3C Recommen- dation として勧告した。 HTML 4.0 は、最初のドラフトが 1997 年 7 月に公開されて以来、メンバーによアステック (Tel 03 ー 5804 ー 1853 ) は、 Windows 95/NT 対応の PC X サーバー「 ASTEC—X バージョン 2.00 」を販売する。描画性能の向上を図った。 X11R6.3 を ASTEC-X 照明解析モジュール CRC 総合研究所 (Tel 03 ー 5634 ー 5684 ) は、米 Optical Research Associates の照明シミュレーション・ソフトウェアを開始した。 64bit AIpha 用 Linux 「 Statabo Ware 1.0 」「 Red Hat Linux/AIpha 4.2 」をプレインストール (CD-ROM を添付 ) 。プートメニューにより Windows NT の・ W3C 投票がおこなわれてきたが、るレビュー今回の勧告で、 W3C が提唱する規格として確定されたことになる。 3.2 からの変更点は、フォームやテープルの拡張、インライン・フレームの採用、オプジェクト、 •ASTEC べースに開発。 LBX (LowBandwidth X extension) プロトコル、イメージ拡張機能 XIE に対応。 NFS によるフォントファイルへの直接アクセスが可能。動作環境は、主記憶が 16MB 以上 ( 推 •CRC 総研「 LightTooIs 」の照明解析モジュールの販売を開始した。動作環境は、 OS が Solaris 2. x または •Oracle ネットワーク・アフリケーション開発ツール日本オラクル (TeI 047 ー 352 ー 6444 ) は、ネットワーク・アプリケーション開発ツール「 OracIe DeveIo r / 2000 R2.0 」の販売を開始した。 RI. 5 とくらべ、開発生産性の向上、 Or- acle8 との連携、レポーティング機能などがおもな強化点。画面設計、帳票設計、 UNIX MAGAZINE 1998.2 チャート作成などに対応したウィサード機能、右クリックによるトリガー表示など、操作性を向七デバッグ、スキーマ作成用の新コンポーネントとして、、、プロジェクト・ピルダーク、、プロシージャ・ピルダー〃ゞスキーマ・ピルダークを追加。複数行のデータの一括挿入 / 削除 / 更新が NEWS 起動も可能。ソフトウェアの初期設定を無償でサポート。オプションの年間サポートにより、アップデート、電子メールによる情報サーピスを提供。ハードウェアは日本 DEC による 3 年間の無償保証。価格は、本体価格十 100 , 000 円。スクリプト、スタイルシートのサポートなど。各国言を、の対応、テキストの点字化や読 . E げの機能も追加。 URL は、 http://www.w3.org/Mark Up/0 http://validator.w3.org/で、作成した Web ページが HTML 4.0 の規格に適合しているかをテストできる。奨 20MB ) 、 HD の空き容量が 20MB 以上、 OS が Windows 95/NT 3.51 / NT 4.0 の PC 、 PC98 、 Alpha AXP 、 MIPS 、 Power PCO 価格は 78 , 000 円 ( 1 ライセンス ) 。 Web で無償バージョンアップをおこなう。 http://www.astec.co.jp/から評価版のダウンロードが可能。出荷時期は 2 月。 Windows 95 / NT 、主記憶が 64MB 以上 ( 推奨 ) 、 HD の空き容量が 100MB 以上の Sun WS か PCO リース科 ( 保守を含む ) は月額 200 , 000 円から。可能な配列型 DML (Data Manipulate Language) 、ストアド・プロシージャにもとづいたデータブロックなどを容易に扱うことができる。同時出荷の「 Oracle Developer/2000 Server R2.0 」では、既存のクライアン・アプリケーションを Web ト・サー上で実行することができる。サポートする Web サーバーは、 OracIe Web AppIi- cation Server R3.0 。動作環境は、 OS が Windows 95/NT 3

8. UNIX MAGAZINE 1998年2月号

・ Web サイトのセキュリティ文図 1 、 VatchGuard によるシステム SMTP トラフィックのみ HTTP と FTP トラフィックのみすべてを拒否 Web サーバー LAN メールサーバー LAN 上の WS とメールサーバーはインターネットと Web サーバーアクセスできるを探した。 UNIX の find コマンドを使って、 5 分と経た入されたシステムの 1 つにログインしてみた。ます、裏口チを当てているあいだ、私は何カ吩かることはないかと侵の Web サイトである。管理者が全システムの lpr にパッ侵入者の物旦と再発防止の手助けを求めてきたのは最初はきわめて困難だった。ューゴスラビアのホストからログインしていたため、」毆亦た顧客のアカウントの 1 つを使っていた。そのサイトには初のサイトへのログインには、 telnet アクセスを許可されて、最初のサイトからそのサイトにログインしていた。最いた。クラッカーは最近公表された lpr のバグを利用し一貫性を監視しており、すぐに不正な訪問者の存在に気づんだ UNIX の専門家だった。彼は定期的にマシン内部のたはずだが、 2 番目のサイトを管理していたのは経験を積クラッカーはもうしばらくこのサイト力を続けられステムへのログインに必要なあらゆる情報を得ていた。別のシステムにログインするたびに、クラッカーはそのシ日常的にオフィスからそちらにログインしていた。彼らが者は、他のインターネット・サイトのアカウントをもち、サービスの開発者や制作スタッフ、さらに一都の営日当クの全トラフィックをモニターしていた。ホスティング・ログイン名とパスワードの組合せを知るためにネットワー得したクラッカーは、盜聴プログラムをインストールし、クセスできてしまう。 UNIX サーバー上で r 。。 t 牛を取グがあり、誰でもコマンド・プロンプトから r 。。 t としてアを稼動させていた。これにはプリントサービス (lpr) : ンヾ 140 ぬうちに Bourne シェル (sh) のコピーをいくつかみつけた。それらは前任の管理者が残していったもので、 root 権限で実行されるように設定されていた。これではたとえバグがなくても、誰もカ単にシェル・プロンプトから r 。。 t としてアクセスできてしまう。私は root としてログインし、管理者にメッセージを送った。最初の攻撃の釜茴をみていないので、侵入者がどうやってシステムに危害を加えたのかは分からないが、裏口と lpr のバグのいすれも利用可能だった。 2 っともすぐに寒がれたものの、システムにほかの弱点がないとい引正にはならなかった。私がログインしているあいだに、当のクラッカーがふたたひ現れた。私は管理者に、当人と話してみて手口を探るよう勧めた。彼が talk コマンドでクラッカーに呼びかけると、すぐに返答してきた。しばらくのやりとりのあと、管理者は「 OK 、きみはうちに入り込めたわけだが、いったいどうやったんだい ? 」とタイプした。自らの才を卩知思したがるクラッカーは多いが、この人物はなんの情報も明かさなかった。われわれは全システムを最初から構築しなおす ( システム管理者なら誰もがいやがる ) ことを強く勧めたが、このホスティング・サーピスはそれに従わなかった。しかし、システムを強化するという案は受け入れた。とりわけ重要なのは、 UNIX に習熟した管理者を雇ったことと、 Web ホスティング業務と OS の管理を切り離したことである。ソフトウェアを去斤版と同じ状態まで更新したことを石忍したあと、外部からの telnet アクセスを許可されている若干名のユーザーに対し、変は利用できなくなる旨を通知した。このシステムには TCP wrapper[2] がインストールされていたが、相変わらすはとんどのインターネット・トラフィックを素通りさせていた。われわれの助言により、 LAN 外部の IP アドレスからのトラフィックは HTTP と FTP だけを許可するように設定した。 IP パケットの偽造 ()P spoofing) はめったにないが、 IP ヘッダオプションを用いているバケットはすべて拒否するようにルータを設定した。モニタリング装置によってサイトの安全性は向上し、実行されるネットワーク・デーモンの数も減っている。この Web サイトのように大きなところが攻撃対象となるのは致し方ない。しかし、警戒を強化し、セキュリティ上の手続きを細かく決めたことで、これまでのところ事件の再発は防げている。 UNIX MAGAZINE 1998.2

9. UNIX MAGAZINE 1998年2月号

プログラマー入門・・・・・・荒井美千子 1 13 Microsoft の Web 技術 ( 6 ) 124 INTEGRATION ・・・・・・ Tom Yager レジストリの深奥 UN Ⅸへの招待・・・・・・坂本文 154 SoIaris f0 「 X86 ( 6 ) Web サイトのセキュリティ対策・・・・・・ Jay Heiser 139 スマートカード技術とセキュリティ・・・・・・ J 。 nny Goldman 143 News ・・・・・・ 1 CoIumn ワークステーションのおと・・・・・・坂下秀 98 AUTONOMOUS ZONE ・・・・・・粉川哲夫 149 NetNews 便り・・・・・・みるく 130 NEWS from jus " " " 法林浩之 69 BooksheIf 136 読者プレゼントのお知らせ・・・・・・ 104 UNIX MAGAZINE 0 し .13 # 2 1998 年 2 月号 ( 通巻 136 号 ) 1998 年 2 月 1 日発行発行所・株式会社アスキー〒 151-24 東京都渋谷区代々木 4-33-10 電話 03-5351-8111 振替東京 4-161144 ・発行人 / 橋本孝久・編集人 / 三橋昭和・編集長 / 大久保讓治・ Edito だ s Network Address: unixmag@ascii ・ co ・ jp ・編集 / 川崎通紀岸竜次宮崎秀治久保田考田代真理石川耕嗣長谷川光広・出版営業部長 / 宮川洋・出版営業担当 / 三田秀雄井上大介津吹玲・出版広告担当 / 山本理一郎佐々木智子杉本玲子・製作購買担当 / 稲垣勢津子禁転載◎ 1998 ASCII Corporation 1079802 印刷 / 東京書籍印刷株式会社 printed in Japan Material from UNIX REVIEW and WEB Techniques in this issue is published in cooperation with Mille 「 Freeman,lnc. U. S. A. 1997 AII rights reserved.

10. UNIX MAGAZINE 1998年2月号

0 メモリ (MB) 16 ~ 64 64 ~ 128 128 ~ 512 512 以、 - E /tmp スワッフ。領域のサイズ (MB) 32 64 128 256 図 7 ディスク : C0t5dO 1 人 / n を 2 日印 7 / 聖加空き : 割り当て : 容量 : インストール日ティスクエデイタ推最小 4118 バイト 40 4 載 4119 23 UNIX ファイルシステムとしてルート・ファイルシステムに含める、 tmpfs タイプを指定しメモリべースのファイルシステムとする ( デフォルト ) 、 /var/tmp などへのシンポリック・リンクとする、といった 3 つの確 f : ) パターンがよく使われる。 Solaris 2.6 の場合、 4. IGB のディスクでのデフォルトのパーティション構成で必要となるディスク容量は表 3 ティを使った、標勺なインストール去を紹介する。こではスタンドアローンのインストール・ユーティリ OS のインストール方法新規インストールの手順 0 のとおりである。その場合のカスタマイズ画面を図 7 にやネットワーク経由でインストールする場合はもっと矢宿場合で約 40 分である。より高速の CD-ROM ドライプ ROM ドライプを使って SS20 にフルインストールする新規のインストールは、 Solaris 2.6 を 2 倍速 CD- いだろう。えるマシンなら、 Solaris Web Start を使ったほうがよ図られている。 HotJava か軽決に重川するスペックを備ージをまとめてインストールできるなど、竹業の効率イゞしかし、 Web プラウサを使うほうがサーバー用のパッケースのものも Web プラウサを使うものも変わりはない。インストールの手順や設定内容は、通常のウインドウべ・ Solaris Web Start ( 図 1 ) ・ウインドウべースのインストール・プログラム ( 図 2 ) つのユーティリテイから尺できる。新規インストールをおこなう場合、 SoIaris 2.6 では 2 できる。 20 OS の情報をまったく使用しないでインストールをおこな新しいディスクに OS をインストールするか、以前の釭 3 4113 M バイート 411S バイト 0 M バイトブートデバイス : c0t 0 了解肖しうときは、インストール時に、匆期オプション " も尺する。この場合は次の手順でおこなう。 Solaris 2.6 の文舌式インストール・プログラムを使う UNIX MAGAZINE 1998.2 ・サプネットワークの一部かどうか ( はい、いいえ ) NIS 十、 NIS 、そのなし、から〕尺。・ネームサービス窈尺ネットワーク管理者に割り当ててもらう。・ IP アドレス・ネットワークに接続するカか ( はい、いいえ ) が使用できる。 2 文字以 E 、アルファベット、数字、マイナス記号・ホスト名ム ) 3. インストールに必要な情報の入力 (sysidxm プログラ Japanese EUC(ja) を尺。 2. ロケーノレの設定つ。 CD-ROM からウインドウ環竟か起動するまで数分待 ok boot cdrom 1. OS の CD-ROM からのプート