ssh - みる会図書館


検索対象: UNIX MAGAZINE 1998年7月号
21件見つかりました。

1. UNIX MAGAZINE 1998年7月号

連載 / IJN Ⅸの玉手箱ー② 図 2 BSD/OS の /etc bash$ ls —F aliases amd—samples/ boot . default changelist chap—md5—secrets crontab csh. cshrc csh. login csh. logout daily daily. 10Ca1 dhcp—samples/ dialer . rules dialer . rules .10Ca1 disktab dm . conf dumpdates fstab fstab. sample fstab. sample . sdO fstab. sample . wdO ftpconversions ftpd—samples/ ftpusers getty/ gettytab group hosts hosts hosts ・ 1pd inetd bash$ inetd. conf . nowrappers . conf . eqUIV irs . conf kerberosIV/ keyboard. map license 10ca1time login. conf mail . rc mailcap mailcap ・ sample man . conf master. passwd mime. types monthly monthly. 10Ca1 motd mtools . conf mtree/ namedb/ netgroup netscripts/ netstart netstart . proto networks pccard. conf phones PPP ・ SYS ppp ・ sys ・ sample printcap protocols pwd. db raddb/ ューザーとグループという 2 つの概念を組み合わせて、フ 156 いえ、 /etc/passwd ファイルは基本的には誰でも読めま のファイルに書かれていました。暗号化されているとは で管理され、各ューザーの暗号化されたパスワードがこ すこし前までは、ユーサー情報はすべて /etc/passwd と呼はれる管理者用のアカウントもあります。 プログラムか利用するアカウントや、、スーパーユーザー には、一殳ューサーのアカウントだけでなく、システム・ ィレクトリなどの清報カ刈乂められています。 /etc/passwd おもに属するグループ (GID) やパスワード、ホーム・デ れます。このファイルには、ユーザー名と UID のほか、 ザー名と UID は /etc/passwd というファイルて管理さ FreeBSD や BSD/OS にかぎらす、 UNIX ではユー することができます。 ァイルへのアクセスやプログラムの実行などを細かく制御 rc. configure/ rc . hardware/ rc .10Ca1 remot e resolv . conf rpc samba—samples/ security sendmail . cT sendmail . cf sendmail . CW servlces she11s shlib. map skeykeys sliphome/ spwd. db ssh—config ssh—host—key ssh—host—key. pub ssh_random_seed s shd— c onf ig syslog. conf termcap@ ttys weekly. 10Ca1 weekly uucp/ ttys. conf .10Ca1 ttys. conf 5 パスワード↑静を保存するだけでなく、アカウントの有期限なども言 式のファイルですが、 FreeBSD や BSD/OS では、シ /etc/passwd や /etc/master. passwd はテキスト形 められています。 (SystemV (4) べースの OS では /etc/shadow に収 master. passwd ファイノレに SoIaris などの SVR4 パスワード情報は、 FreeBSD や BSD/OS では /etc/ か読めないファイルに保存しています。 を /etc/passwd ファイルではなく、スーパーユーサーし す。そこで、山も匠の多くの UNIX では、パスワード情報 て時間をかけれパスワードカ弱洩するおそれがありま の第三者にこのファイルを盜まれた場合、 ( 総当り法など ワークに接続されたマシンでは、なんらかの方法で外部 す ( 書き込めるのはスーパーユーザーだけです ) 。ネット できます。 UNIX MAGAZINE 1998.7

2. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 10 ssh-agent の出力 B シェル系の場合 $ ssh—agent $ ssh-agent C シェル系の場合 ech0 Agent pid 3517 ; SSH-AGENT-PID=3517 ; export SSH-AGENT-PID ; SSH-AUTH-SOCK=/tmp/ssh—keiichi/agent—socket—3516 ; export SSH-AUTH-SOCK ; setenv SSH-AUTH-SOCK /tmp/ssh—keiichi/agent—socket—3570 ; setenv SSH-AGENT-PID 3571 ; ech0 Agent pid 3571 ; 図 11 ssh-add C)* 式 ssh-add [-p] ト 1 ] [-d] [-D] 記 e 浦 - 川 e 定するシェルコマンドを生成します。なお、図 10 は例と して引用するために eval 命令を実行していませんが、 のようにすると、デーモンプロセスだけが残ってしまい、 実際には環竟変数か第殳定されないので注意してください。 ssh-agent コマンドのスイッチを解説します。 ssh-agent を終了します。終了するのは、環境変数 SSH-AGENT-PID てオ旨定されたプロセス ID をもつ ssh-agent です。 SSH-AGENT-PID は、 ssh-agent コマンドを実行したときに SSH-AUTH-SOCK と同 時に設定されます。 強制的に C シェル形式の竟変数設定コマンドを出力 します。 ssh-agent コマンドがシェルの判別に失敗する 場合に指定します。 強制的に B シェル形式の環竟変数設定コマンドを出力 します。 秘密鍵の登録 ェージェントか起動したら、次に鍵を当求します。鍵の 登録には ssh-add コマンドを使います。とくに指定しな ければ、 $HOME/. ssh/identiy で示される秘密鍵を登 録します。図 11 に書式を示します。 各スイッチの意味は以下のとおりです。 UNIX MAGAZINE 1998.7 パスフレーズを標準入力から読み込みます。 現在求されている鍵の一覧を表示します。 登録されている鍵を消去します。消去する鍵は記 e れ - 川 e て指定します。 当求されているすべての鍵を消去します。 図 12 にコマンドの実行結果を示します。 ssh-add コマンドで鍵を登録すると、以後 ssh や scp を予するとき ( ンヾスフレーズを訊いてこなくなります。 鍵の操作 SSH で用いる RSA の鍵は ssh-keygen コマンドで作 成しました。 ssh-keygen は、鍵の作成のはかに、パスフ レーズ、コメント、鍵ファイルク普号アルゴリズムの変更 ができます。 ssh-keygen の書式を図 13 に示します。 ます、鍵の生擲に使うスイッチを説明します。 -b bits 鍵のビット数を指定します。最短のイ直は 512 です。デ フォルトは 1 , 024 です。 -f 記 e 〃 le 鍵を保存するファイルを指定します。デフォルトは $HOME/. ssh/identity です。 ・ -N 2 佖 s 夘ん r e パスフレーズを指定します。 67

3. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 8 scp の書式 scp [-prvBC] [-S at ん - to - ss ん ] ト 0 ss ん - 夘 0 れ司 [-p 0 ] [-c c ゅん e 司 [-i 記 e れ t 切 [user@]hostl : ] 川 e れ ame プ ... [[user@]host2 : ] 川 e れ ame2 図 9 ssh-agent C)* 式 ssh—agent C07 〃〃 ~ 0 れ d あるいは、 eval ( ssh—agent [-k] [—c ・一 0 ss ん -0 0 れ s たとえば、 host-a から test. txt をコピーする場合は、 れます。 くに指定しなければ、 $HOME/. ssh/identity が使わ 秘密鍵の報をオ内しているファイルを指定します。と ・—i を de れ t リ ジに含まれています。 fish 、 triple DES の 3 つの cipher が SSH のノヾッケー 通信路ク音号アルゴリズムを孑定します。 idea 、 blow- —c cipher いる sshd と孑Æする場合のポート番号を指定します。 リティ上の理由などで、 22 番ポート以外で待ち受けて sshd は通常 22 番ポートで待ち受けています。セキュ ・ -P 20 ます。 ssh コマンド起重加のオプション・スイッチを指定し $ scp keiichi@host—a:test . txt test. txt 名と異なる場合、明示的にユーザー名を指定します。 host-a でのユーサー名がローカル計算機でのユーサー $ scp host—a:test. txt test . txt 次のように scp コマンドを起動します。 ンドでファイルをコピーするときに、いちいちパスフレー スフレーズの入力は煩わしいものです。とくに、 scp コマ 鍵のセキュリティを高めるものと分かってはいても、パ パスフレーズの自動入力 たファイルをコピーします。 す。正しく入力すると、暗号イし甬信路か確立さ指定し scp コマンドを起重丿けると、パスフレーズを訊いてきま 66 ズを入力しなければならないのばです。 SSH では、ユ ーザーの秘密鍵を保持するエージェント・プログラムに よって、この煩わしさを鮹肖します。 工ージェントの起動 工ージェントを起動するコマンドは ssh-agent です。 図 9 に書式を示します。 ssh-agent コマンドは、 ssh コマンドや scp コマン ドと通信するためのソケットを作り、各コマンドから の秘密鍵取得要求を待ち受けています。 ssh は SSH- AUTH-SOCK という竟変数から ssh-agent の通信ソ ケットを取得します。ですから、 ssh などのコマンドを起 動庁る前に、適切に環境変数か設定されていなけれはなり ません。次の 2 つのガ去のどちらかを用いて設定します。 ・ ssh-agent のサフフ。ロセスとしてコマンド ( 通常はシェ ル ) を起重丿庁る。 ・ ssh-agent の出力を詔面する。 前者のガ去を使う場合、たとえは次のようにコマンドを 実行します。 $ ssh—agent tcsh tcsh が ssh-agent のサププロセスとして実行され、 ssh-agent か設定した竟変数を受け継ぎます。ふだん X ウインドウを使っているのであれば、 $ ssh—agent startx とす川まよいでしよう。 後者のガ去を使う場合は、次のようにします。 $ eval ( ssh-agent サフフ。ロセスとして起動するコマンド名を与えすに実行 すると、 ssh-agent コマンドは環竟変数を言定するための シェルコマンドを出力します。図 10 に実イ列を示します。 ssh-agent コマンドは、ユーサーのシェルが B シェル 系か C シェル系かを判別し、適切な書式で環竟変数を設 UNIX MAGAZINE 1998.7

4. UNIX MAGAZINE 1998年7月号

連載 / IJN Ⅸ知恵袋ー⑩ 図 12 ssh-add の実行結果 $ ssh—add ssh-keygen [—b bits] [-f 記 e れ ] [—N 〃佖 s 夘ん r 碼司 [-C comment] 図 13 ssh-keygen の書式 72804438395258928669891738392326131327110298573172560881 shima@soft . sharp. co ・ jp 478518541868635704304683339042930380323937174966142539843866055646697537145095531669894 074827359689785777222798989833083054614107464226624803163318048616928796299618143555488 1024 37 1262921679998861754167547856748683919913647651175386465742819155795420469531167 $ ssh—add ー 1 Need passphrase for /home/shima/. ssh/identity (shima@soft. sharp. co ・ (p) ・ ssh-keygen —p [—p old-passphrase] [-N れ e 社ト〃佖 s 夘ん rase ssh-keygen —c [—p passphrase] [—C comment] ssh-keygen —u [—f を de れ匆 - 五 le ] [—p as 夘ん、 ase ・—C C07 れ 7 〃 e れカ コメントを指定します。デフォルトは、、ユーザー名@計 算機名 " です。 パスフレーズの変更には一 p スイッチを使います。 ・ -P 0 叩 as 夘ん rase 68 ホスト鍵の収集 必要があります。鍵は /etc/ssh-known-hosts に↑内し のホスト鍵 ( 正確にはホスト鍵の公開鍵 ) を登録しておく グインするためには、ログイン元の計算機に、ログイン先 ssh-host-key. pub に保存されています。 SSH を使って口 に自動的に生成され、 /etc/ssh-host-key および /etc/ が必要です。この鍵は、 SSH をインストールするとき SSH を利用する計算機には、計算機自身のホスト鍵 では、 triple DES カ甘采用されています。 暗号アルゴリズムを最新のものに変更します。 ssh -1.2.23 ー u スイッチは、秘密鍵のファイルを暙号化するときの 新しいコメントを指定します。 —C C07 〃 7 〃 e れ コメントの変更には一 c スイッチを使います。 た場合は、端末から入力するように促されます。 コマンドライン・スイッチでパスフレーズをなえなかっ 新しいパスフレーズを指定します。 —N new-passphrase 現在のパスフレーズを指定します。 ます。このファイルは通常、計算機管理者によって管理さ れます。管理者は、定期的に各ホスト鍵が正しいものかど うか、すなわち、計算機羽可者かの攻撃を受け、鍵か改竄 されていないかどうかをチェックしなければなりません。 なお、ログイン先の計算機が /etc/ssh-known-hosts に存在しなかった場合、 ssh コマンドか認証の過程で相 手計算機から受け取ったホスト鍵を召固人のホスト鍵ファ イルに登録します。ですから、まったく口グインができ ないわけではありません。各自のホスト翻タファイルは $HOME/. ssh/known-hosts です。ただし、相手言 t 算機 の sshd が送ってきたホスト鍵を信用するかどうかはユー ザーにイモをられています。 各計算機のホスト鍵を集める竹喋は、屯ですがたいへ ん骨が折れます。 make-ssh-known-hosts コマンドは、 この作業の手助けをしてくれます。図 14 に書式を示し ます。 スイッチの数が多く、使い方か難しくみえますか : 基本 的には次のように実行するだけです。 $ make-ssh-known-hosts soft . sharp ・ co. jp \ \ > ssh-known-hosts soft. sharp. co. jp の部分 ( dom れ - れ ame ) を、自分の DNS ドメイン名に変更して実行してください。指定され たドメインを管理しているネームサーバーから言 t 算機名の 一覧を取得し、各計算機から公開鍵を入手します。もち ろん、 make-ssh-known-hosts を使ったからといって、 信用できるホスト多ゞ手に入るとはかぎりません。ですか ら、最初に実行するときにはすべての言 t 算機か攻撃を受け UNIX MAGAZINE 1998.7

5. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 14 make-ssh-known-hosts C)* 式 make ー s sh—known—ho st s —initialdns を t を佖 I - d れ s ] ト —server a07 れ 0 れ - れ佖行 ~ e - ser•t er —subdomains comma - s 叩佖 rate -0 s 社 om 硯れ s ト—t ime out ssh- ecec-timeout] [——pingt imeout 2 をれ 9- meo 社司ト—pas swordt ime out meout -3 ん e れ - 佖 s んれ 9 叩 0SS30 ] ] [——domainnamesplit] [——silent] [——nslookup 製佖 t ん - - れ s あ 0 ん一 rogram —notrust daemon —norecurslve —ssh 佖 t ん - - ss ん - 〃 r09 am ] dom れ - れ ame [ ta ん e - r e 工 [ mo ゼ e - e 工 ] ていないことを確認しておく必要があります。「戸締りを したのはいいけれど、すでに家のなかに泥棒がいた」では すみません。あとは、定期的に鍵を収集し、鍵かで煉され ていないかどうかを見張ってください。 各スイッチを解説します。 ・——initialdns 検索を開始するネームサーバーを指定します。このス イッチの引数の s からたどり始め、燧冬的に は面 m ルれ。 me で指定されたドメインを管理するネ ームサーバーにたどり着きます。 d 。 m ルれ me を管理しているネームサーバ します。 ・——subdoma111S ーを指定 ssh-known-hosts に計算機のエントリを追加する際、 ドメイン名部分に付け加える文字列を指定します。た とえば、 soft,soft. sharp,soft. sharp ・ co ・ jp と 指定しておいて、 DNS のエントリに altair という 言算機があった場合、 altair 、 altair. soft 、 altair. soft. sharp 、 altair. soft. sharp. co. jp というエントリが旦加 されます。 ・——timeout ssh コマンドを実行するときのタイムアウト値を秒単位 て指定します。デフォルトは 60 秒です。 ・——pingtimeout sshd のポート ( 20 番 ) に接続を試みたときのタイムア ウト値を指定します。デフォルトは 3 秒です。 ・¯¯passwordtimeout パスワードを訊かれたときのタイムアウト値を指定しま す。デフォルトでは設定されていません。 ・——notrustdaemon 通常、公開鍵の取得に失敗した場合、ローカルにイ尉寺し ている公開鍵ファイルのエントリを代わりに付け加えま す。このスイッチを指定すると、それらのエントリがコ UNIX MAGAZINE 1998.7 メントアウトされます。 ・——norecurslve 面 m ルれ。 me のサブドメインに存在する計算機の公 開鍵を収集しません。デフォルトでは、すべてのサプ ドメインの計算機の公開鍵を取得します。 ・——domalnnamesplit ドメイン名の切分け方法を変更します。たとえは、 soft. sharp. co ・ jp というドメインに mail.server と いう計算機が登録されているとします。この場合、 69 ( しま・けいいちシャーフ ) ンでの SSH を紹介します。 次回は、設疋ファイルを角見するはか、 Windows マシ う、紐じつ注意を払う必喫があります。 はよいのですが、端末を開けつばなしにすることがないよ といわれます。 ssh-agent コマンドを使って便利になるの し、一勺に便利さとセキュリティは反比例の関係にある での煩わしさを軽減してくれる便利なコマンドです。ただ た。とくに、 ssh-agent プログラムは、 SSH を使ううえ 方と、里するユーティリティ的なコマンドを解見しまし 今回は、 ssh コマンドによる安全な TCP 接続の使い ☆ ssh コマンドのパス名を指定します。 ・——SSh nslookup コマンドのパス名を指定します。 ・——nslookup 標準ェラー出力を抑制します。 ・——silent トリを生成します。 soft. sharp 、 mail. server. soft. sharp. co. jp というエン づーると、 mail. server 、 mail. server. soft 、 mail. server. いうエントリが生成されますが、このスイッチを指定 . server. soft. sharp 、 mail. server. soft. sharp. co. jp と 通常は、 mail 、 mail. server 、 mail.server. soft 、 mail

6. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 3 POP サービス念図 pop サーバー 計算機 POP サーバー 1 1 0 I/F POP version3 の サービスを提供するポート 図 4 インターネット POP サーバー SSH を使った安全な POP サービス POP クライアント 計算機 POP クライアント I/F 計算機 POP クライアント 計算機 ssh POP 1 1 0 ssh POP クライアント 22 ホスト B が任意に 割り当てたポート 割り当てたポート ホスト B が任意に 転送に使うポート POP version3 の サービスを提供するポート 実際の手順 インターネット 実際に ssh コマンドを使ってポートの転送をしてみま 64 になっている必喫があります。 イアント側が 110 番ポート以タポートに対して POP 孑できるよう 2 ただし、ポートの輔医を使って POP を利用するためには、 POP クラ 図 5 では、 pophost. some. domain という POP サ 転送する例を図 5 に示します 2 。 スイッチを使って指定します。 POP サーピスのポートを ればよいのです。転送に使うポートは、 ssh コマンドの一 L ドは必喫ありません。ふつうに ssh コマンドでログインす 実現されます。ですから、ポートの転送用ク寺別なコマン た。これは、通常の ssh コマンドによるログインによって な通信路を確立しておく必があることはすでに述べまし す。ポートの転送を利用するためには、計算機間に安全 ー計算機とのあいだに暗号通信路を作っています。転 送に使うポートは 40000 番ポートです。 -L スイッチの 書式は、一 Lloc 叩 0 : remote-host : mote 叩 0 です。 あ c - 四て転送に使うポート番号を、几 m 尻 e - ん。 st て転 送先の言 t 算機名を、 m 尻 e - で転送先のポート番号を 指定します。本当に転送されているかどうかを石忍してみ ましよう。ローカル言算機の 40000 番が POP サーバ 一言算機の 110 番に転送されます。ローカル言算機名が mobile-pc であるとして、 telnet コマンドで mobile-pc の 40000 番ポートに繋いでみます。図 6 に telnet の実 行結果を示します。 mobile-pc の 40000 番ポートに接続 ( 1 ~ 3 行目 ) したにもかかわらず、 pophost から POP の 応答メッセージ ( 5 行目 ) カってきていることカ薩忍で きました。 この瞬間の TCP ポートの接続状況を表示したものが UNIX MAGAZINE 1998.7

7. UNIX MAGAZINE 1998年7月号

連載 / IJN Ⅸ知恵袋ー⑩ 図 2 SSH による暗号回線Ø•% 図 1 VPN ホスト A ホスト B ポート 1 ポート 2 ポート 3 ホスト B ホスト A ポート 1 ポート 2 ポート 3 I/F 3 I/F 2 I/F 3 レ F 2 I/F 1 I/F I/F 暗号化 / 復号化 暗号化 / 復号イヒ 暗号化 / 復号化 暗号化 / 復号イヒ インターネット インターネット POP サーバー t 機の 22 番ポートと POP クライアン 号回線と VPN カ非る暗号回線の違いは、暗号化する層に ト計算機の″〃番ポートを結んでいる線が安全な通信路を あります。 VPN はネットワーク層 ( いわゆる IP 層 ) で 示しています。 22 番は SSH プロトコルが用いるポート番 暗号化をおこないますが、 SSH カ黯号化をおこなうのは 号です。〃″番のポートは TCP のプロトコル制行喞が自 アプリケーション層です。 SSH での暗号回線の概念図を 酌に割り当てるのでユーザーが気にする必要はありませ 図 2 に示します。 ん。この通信路の一 - ヒを流れるデータはすべて暗号化される VPN では 2 つのネットワーク・インターフェイス間に ため、たとえ覗き見ても内容を知ることはできません。 トンネルを作りますが、 SSH では 2 つのポート間にトン の通信路は、ふつうに ssh コマンドを使ってログインした ネルを作ります。ポート間にトンネルを作ることを、 SSH ときに作られるものと同しです。 では、、ポートの転送 " と呼びます。ポートを転送すること 次に、この暗号通イ譴各を使うために、ポートの転送の準 で、 TCP を用いた安全な通信ができるようになります。 備をします。 POP サーバー言算機側で、 ssh プログラム ポート転送の仕組み と POP サ→ヾー・プログラムとのあいだに通イ各を確立 します。 POP サーバー計算機の 110 番ポートとんんんん番 POP (Post Office Protocol) によるメールの受信を ポートを結んでいる線がこれにあたります。そして 22 番 例にとって具イ純勺に説明します。 POP を利用してメール ポートと炳炳ポートを繋ぎます。つまり、 22 番ポートか を取得する場合、メール尉寺している POP サーバーに ら受信したデータは炳炳番ポートへ中幻医し、んん炳番ポー 接続しなけれは・なりません。現在もっとも多く採用されて トから受信したデータは 22 番ポート , 云送します。 いる POP version3 では、 TCP の 110 番ポートを使っ POP クライアント計算機側でも同しような手順が必要 て POP サービスカ甘是供されます。 POP サーバーはつね です。ます、ユーサーから窈妾続要求を受け付けるための に 110 番ポートを見張っており、接続してきたクライア ポートとして、 mrnmrn 番ポートを準備します。そして、 ントからの命令に従ってメールの配信や削除などのサービ mrnrnrn 番ポートと〃″番ポートを繋ぎます。 POP サー スを提供します。図 3 に POP サーバーとクライアント ・プログラムと接続したいユーザーは、 POP サーバー の関係を示します。 計算機の 110 番ポート / 材妾続する代わりに、 POP クライ このままではまったく暗号化されていませんから、悪意 アント計算機の mmmrn 番ポート , 材妾続すればよいので のある人にメールの内容を盜み見られてしまう可能性があ す。 POP クライアント計算機の mmmm 番ポートへ送っ ります。このやりとりを、 SSH を使って安全なものにし たデータは、 POP クライアント計算機の″″番ポート、 POP サーバー言 t 算機の 22 番ポート、 pop サーバー計 ます。 算機のん炳ん番ポートへと転送されていき、最糸勺に POP まず、 SSH は POP サーバー言 t 算機とクライアント計 算機のあいだに安全な TCP 通イ謡各を確立します。図 4 で サーバー計算機の 110 番ポートへたどり着きます。 63 UNIX MAGAZINE 1998.7

8. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 5 POP サービスの車謎 Enter passphrase for RSA key 'shima@soft . sharp. CO ・ JP' : * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * $ ssh ー L40000 : pophost . some. domain : 110 pophost . some . domain Last login: Thu May 1 22 : 38 : 07 1998 Escape character iS Connected t0 mobile—pc. Trying mobile—pc . $ telnet mobile—pc 40000 図 6 POP サービスか陣る医されていることを確認する No mail . + OK QPOP (version 2.2 ) at pophost . some . domain starting ・ く 4906.8951554949POPh0St . some. domain> 図 7 ポートの車医中の TCP 宀テーカレ Active connections Proto Recv-Q Send—Q Loca1 Address tcp tcp tcp 0 0 0 0 10Ca1 ost .40000 0 localhost . 1026 0 mobile—pc .1020 Foreign Address localhost .1026 10Ca1 ost .40000 pophost . 22 (state) ESTABLISHED ESTABLISHED ESTABLISHED Active UNIX domain sockets Address Type Recv-Q Send-Q lnode CO 石れ 図 7 です。このなかで、 localhost(mobile-pc) の 40000 番ポートと 1026 番ポートのあいだに TCP の接続があ ります。これは、図 4 では、 POP クライアント計算機 の襯れ番ポートと mrnrnm 番ポートのあいだの接続に 相当します。もう 1 つ、 mobile-pc の 1020 番ポートと、 pophost の 22 番ポートのあいだに TCP の接続があり ます。図 4 では、 POP サーバー計算機と POP クライア ント計算機のあいだの接続にあたります。つまり、 POP クライアント・プログラムが POP クライアント計算機の 40000 番ポートに送ったデータが 1026 番ポートへ送られ て、 ssh プログラムに渡ります。 ssh プログラムは、受け 取ったデータを 1020 番ポート , 云送し、結 : 勺に POP 一言 t 算機 (pophost) の 22 番ポートへ出ていくと サー いうわけです。 POP サーバー言 t 算機でも同様の手順がと 安全なファイルのコピー 着します。 ら最糸勺に POP サーバー・プログラムヘデータか到 UNIX MAGAZINE 1998.7 コピーをおこなうためのコマンドです。 SSH には scp と 計算機とローカル計算機のあいだでシームレスにファイル R 系のコマンドの 1 つに rcp があります。リモート いうコピーコマンドカまれています。 scp は、 rcp と同 様の機能を提供しつつ、暗号化をおこなうコマンドです。 rcp の使い方を知っていれば、 scp を使うためク芋別な知 識は必要ありません。 scp の書式を図 8 に示します。 Refs Nextref Addr 保存したままコピーします。 ファイルの属性 ( ファイルモード、タイムスタンフ ) を 各スイッチの意味を解説します。 冗長 (verbose) モードにします。処理の経過を逐ー画 ディレクトリを再帰的にコピーします。 かなくなります。 バッチモードにします。パスワードやパスフレーズを訊 面に出力するようになります。 能力カ皜く、通イ譴等の物理的な通信速度か遅い場合に効 通信路を流れるデータ &l します。プロセッサの処理 ssh コマンドのパス名を指定します。 ・ -S 観ん - t0- ss ん 判勺な通信ができます。 65

9. UNIX MAGAZINE 1998年7月号

連載 / IJN Ⅸの玉手箱ー② ステムがユーザー情報を高速に参照できるように特殊 なデータベース形式に変換して保存されています。デ ータベース形式のファイルは、それぞれ /etc/pwd. db 、 /etc/spwd. db です (Solaris には、このようなイ督はみは ありません ) 。 グループ名と GID は /etc/group というファイルで対 応づけらそのグループに属するユーサーなどを指定す ることができます。 /etc/passwd や /etc/group などは、ローカルマシン のアカウント情報だけでなく、 NIS (Network lnforma- tion Service) などを用いてアカウント情報をネットワー クで共有する場合にも使われます。 ューサーやグルーフ情報の設定については、ツールも凸 めて次回以降で詳しく説明します。 シェルに関する設定 ューザーがログインすると、ます、、シェル (shell: 貝 " と呼ばれるプログラムか起動されます。シェルは、ユ ーサーとシステムの仲立ちをするプログラムです。ログイ ンすると端末に表示されるプロンプトは、システムではな く、シェルがユーザーの入力を促すサインです。たとえ ば、シェルのプロンプトに対して、、 ls" という文字列を入 力してリターンキーを叩くと、シェルは ls というプログ ラムを探し、あればそのプログラムを起動します。起動さ れたプログラムはプロセスとしてシステムの管理下に置か 実行結果がシェルを通して表示されます。ューサー側 からみると、シェルはシステムの中身を覆う、、殻 " のよう な彳難リを担っているのです。 UNIX にはいろいろなシェルがあります。基本的なも のとしては sh や csh 、これらをベースに拡張した bash や tcsh 、 zsh などがあり、ユーサーカ軒みに応じて選ぶこ とができます ( 商用の UNIX で標勺にインストールさ れているのは、 sh 、 csh 、 ksh くらいでしよう ) 。ユーザー がログインしたときに起動されるシェルを、とくに、、ログ インシェル " と呼びます。ログインシェルは、ユーサー情 報の一部として /etc/passwd などに書かれています。ュ ーザーカリ用できる正当なシェルは、 /etc/shells という ファイルに当求されています 6 6 "/bin/sh" のよ引シェルの名前を絶対パスで 1 行に 1 っすっ言己主 UNIX MAGAZINE 1998.7 します。 /etc/shells に登録されていないシェルをログインシェ ルに設定していても、普通にログインするかぎりは問題あ りません。しかし、 ftp コマンドてマシンにアクセスする と /etc/shells がチェックさそこに登録されていない シェルを使っているユーサーはアクセスできないイはみに なっています。 すべてのユーザーに共通するシェルの設定ファイル として、 /etc/profile ()h の場合 ) 、 /etc/csh. cshrc と /etc/csh. login 、 /etc/csh. logout (csh の場合 ) が用意 されています 7 。これらの設定ファイルは、ユーサー との設定ファイル ( ホーム・ディレクトリの . pr 。 file や . cshrc 、 .login など ) より則に読み込まれるため、すべて のユーザーに共通して使わせたいシェルの設定を書いてお くと便利です。ただし、この仕組みは UNIX のシステム やシェルごとに違うので、マニュアルなどて市忍してくだ プリンタに関する設定 ローカルマシンにプリンタをつないだり、リモートマシ ンに接続されたプリンタをネットワーク経由で利用する場 合は、 /etc/printcap というファイル (Solaris 2.6 では /etc/printers. conf) に成疋を言当します。プリンタごと に、プリンタ名や接続しているデバイスの名前、スフ。ール・ ディレクトリのパス名などを指定します。 このファイルについては、プリンタの設定方法やー里コ マンドを説明するときにとりあげます。 ファイルシステムの構成に関する設定 前回、ファイルシステムの構造を簡単に説明しました。 そのなかで、 UNIX ではディスクをパーティションに分 け、各パーティションのファイルツリーを、、マウント ' という操作で接ぎ木することにより、 1 つの大きなツリ ー構造を形成していると書きました。どのパーティショ ンをどのディレクトリにマウントするかは、 /etc/fstab というファイルに書かれています (Solaris などでは、 /etc/vfstab というファイルを使います ) 。マシンは起動 時にこのファイルを参照し、必要なパーティションを自動 的にマウントします 8 。 7 インストール直後は、これらのファイルの中身はすべてコメントアウトさ れています。 8 自重加勺にマウントするカ驕かはパーティションごとに誕定できます。 157

10. UNIX MAGAZINE 1998年7月号

UN Ⅸ知恵袋 島慶ー Secure SheII(2) 私はメールを頻繁に利用しています。パソコンを持たす 理するだけで、強力な暗号技術の恩恵を受けることかでき に 1 泊以 E の出張をすることはほとんどありません。も るのですから、導入する懣未は十分にあると思います。 っとも、メールを読まなかったために : リな問題か起きた なお、 5 月の中ごタンヾージョン 1.2.231 の配布が始ま ことがあるのかというと、かならすしもそうではありませ りました。バージョン 1.2.22 の設定を引き継いだまま、 ん。緊急に ; 叫各しなけれはならない事態が発生したときに 簡単にアップデートできます。せひインストールしてくだ は、電話をかけてもらえばいいのですから。しかし、最新 さい。 の資料・の内容や、スケジュールの変更通知といった、電話 仮想暗号回線の構築 による音声通話では聞き損ねかねない情報が、メールを使 えは電子書類として残ります。このような利点を考えて、 インターネットを使ってイントラネットを長するため 私はパソコンを持ち歩くという尺肢をとっています。 に、 VPN (VirtuaI Private Network : イ瓦想フ。ライベー メールを読むためには当然、メールサーバーに接続しな ト・ネットワーク ) 技術力鯛発されました。多くのルータ ければなりません。部門のモデムサーバー経由で部門のネ メーカーが、すでに VPN を実装しています。また、 Mi- ットワークに妾続する場合もあれば、プロバイタ経由 crosoft の尠び月 Windows にも実装されることが公表され で部門の公開サーバーから接続する場合もあります。後者 ています。 VPN は 2 つのネットワーク・インターフェ のガ去は、最寄りのアクセスポイントまでの電話 ( せごけで イス間にトンネル ( 保想的な専用回を作ります。トン すむので、物理的に遠い場所へ出かけたときなどに利用し ネルに送信されるデータは自重加勺に暗号化さトンネル ます。プロバイタ経由でメールを読むときの最大の懸念が から受信されるデータは自重加勺に復号化されます。ですか 盗聴の可能性です。もちろん、部門のサーバーと茁妾、電 ら、トンネルを利用するアプリケーションは、通常のネッ 舌回線を通じて通信したとしても、安全だとはいいきれま トワーク・インターフェイスを使う場合とまったく同しよ せん。しかし、すくなくともプライバシークメ描を明言し うに暗号通信路を利用することができるのです。図 1 に ている NTT の回線しカ経由していないという安じ、感があ VPN の概念図を示します。 VPN を利用すれば、危険な ります。それに対して、プロバイタ経由の場合、自分では インターネットの上に安全なイントラネットを構築するこ 屋できないネットワークを経由する可能性がゼロではあ とができます。 りません。企業に籍を置いていると、たとえメールでもそ のままではインターネット経由で読むことカてきないとい う場合も多いのではないでしようか。 暗号技術を使えば、大切な情報やプライバシーを守るこ とかできます。ただし、鍵の管理など、これまでは必要の なかった管理項目か増えるのも事実です。 SSH (Secure SheII) も例外ではありません。しかし、秘密靆を大切に管 1 三ロ ポートの転送 SSH は遠隔ログインのためのプログラムですが、孑以 的に暗号回線を作る機能をもっています。 SSH が作る暗 1 ftp.//ftp.kyoto.wide.ad.jp/pub/security/ssh/ 62 UNIX MAGAZINE 1998.7