MAGAZINE - みる会図書館

1. UNIX MAGAZINE 1998年9月号

Daemons & Dragons— テーモンの機能 1 00 rlogind や rshd などのリモートアクセスのデーモンは、 logdaemon の一部として提供される。既存のデーモンと置き換えることで、 TCPwrapper のライプラリを利用してより優れたログ機能とアクセス制御を実現する。さらにこれらのデーモンは、 . rhosts や hosts. equiv ファイルに書かれたワイルドカードによる指定を故意に無視する 1 。置き換えたデーモンには一 I オフションが追加されており、 . rhosts ファイルを完全に使えないようにすることもできる。 SSH (Secure Shell)[2] は特別な認証機構を提供する。アクセスは sshd という独自のデーモンを介しておこなわれる。 sshd デーモンは login を使わないため、 logdaemon のノヾッケージで 10g ⅲを置き換えても SSH を使用したログインには効果がない。 logdaemon のインストール logdaemon のパッケージはソースコードの形で配布されており、 COAST2 のサイト (http://www.cs. purdue.edu/coast/) や Venema のサイト (ftp: 〃 ftp. win. tue. nl/) などから入手できる 3 。パッケージは tar アーカイプを圧縮した形式で、 configure スクリプトなどは付属していない。カスタマイズする場合は、 Make- 61e やヘッダファイルを変更しなければならない。しかし、ほとんどのシステムでは変更する必要はないだろう。トップレベルにある Makefile には、さまざまなフラットホームに対応したルールか書かれているので、特定のフラットホーム上でコンパイルするには、、、 make bsdi" などのように指定するだけでよい。デフォルトの状態では、実行ファイルは S/Key をサポートするようにコンパイルされる。これは S/Key を 1 たとえばプラス記号 ( 十 ) かイ吏われているのは問題である。いくつかのべンダーは hosts. equ ⅳにデフォルトで使用しているが、システムを悪用される危険がある。 2 訳注 : Computer Operations, Audit, and Security Tech- nologyo 米 Purdue 大学のセキュリティ関連の研究辮し 3 訳注 : 現時点 ( 1998 年 7 月 ) での最新バージョンは 5.6 (log- daemon-5.6. tar. (z) で、国内では、 ftp://ftp.aist-nara ・ ac ・ jp /pub/Security/tool/logdaemon/ や、 ftp://ftp.win.or.jp/ pub/network/security/logdaemon/ などから入手できる。 106 かならず使用しなければならないのではなく、使う必要があれば対応できるということである。 Makefile にはインストールに関するルールは記述されていないので、実行ファイルは管理者がインストール先にコピーする必要がある。まとめ logdaemonzs ッケージは、システムのセキュリティを強化するための優れた手段である。 SVR4 べースのシステムも含むさまざまなプラットホームに対応している。システム標準の login や ftpd プログラムとの互換陸を保つことに大きな注意が払われている。プログラムを異なるシステムに対応させるこのような作業は、けして容易なものではない。システムの種類によってはすべてのプログラムを置き換える必要はないかもしれないが、 login と ftpd だけでも置き換える価値はある。企業によっては、コンピュータのセキュリティ管理に厳格なポリシーをもち、ログインの失敗回数の監視やパスワードの使用期限の設定をおこなっているところもある。 UNIX を組織のセキュリティ・ポリシーに対応できないでいるのなら、 logdaemon がすべてソースコードで提供されていることを考慮してみよう。経験豊富なシステム・フログラマーなら、必要に応じてログイン処理をカスタマイズできるだろう。 UNIX システムやインターネット技術の研究に 15 年弸わってきた技術者。 Group Sys ConsuIting を経営する。 [ 参考文献 ] [ 1 ] Petra Hahnke 「 TCP wrapper を用いたセキュリティ」、 UNIX MAGAZINE 1998 年 1 月号 [ 2 ] 島慶ー「 UNIX 知恵袋ー Secure SheII ( 1 ) ~ ( 3 ) 」、 UNIX MAGAZINE 1998 年 6 月号 ~ 8 月号・ William LeFebvre 「 Logging Logins 」 UNIX REVIEW 1997 年 10 月号より ◎ 1997 , UNIX REVIEW (). S. A. ) UNIX MAGAZINE 1998.9

2. UNIX MAGAZINE 1998年9月号

図 15 図 1 6 Ethernet の物理層と MAC 副層 OSI 参照モテルアプリケーション層プレゼンテーション層セッション層トランスポート層ネットワーク層テータリンク層物理層 1000Base Ethernet の物理層の詳細 TXD<7:0> TX EN TX ER GTX CLK PCS COL NETWORKTECHNOLOGY 10 RECONC 旧 ATION RECONCILIATION RECONCILIATION MAC (Media Access ControI) MAC コントロール ( オプション ) LLC (Logical Link Control) 上位層 (LAN 、 CSMA/CD など ) PCS 4B/5B PMA NRZ/MLT GMII AUI MDI P LS PMA MEDIUM 10Mbps MDI PCS PMA PMD MEDIUM 1000Mbps RXD<7:0> RX DV RX ER RX CLK PHY PMD MEDIUM 100Mbps recelVlng MDI GMII CRS CARRIER SENSE transmitting TRANSMIT tx code_group<9:O> MDI Transmit tx bit TRANSMIT RECEIVE リンクモニター rx code_group<9:0> PMA PMD RECEIVE rx bit Receive UNIX MAGAZINE 1998.9 27

3. UNIX MAGAZINE 1998年9月号

■殳情報連載 / 凵 nux でリラックスー図 3 ハードウェア情報のワークシート CPU 型名クロック速度メーカー名マサーポードメーカー名チッフ。セットマウスメーカー名 ( シリアルの ) ポート番号ハードティスク 386 、 486 、 Pentium 、 Pentium Pro lntel 、 AMD 、 Cyrix 、その他バスマウス、 PS2 、シリアル、ポート COMI (ttyS0) 、 COM2 (ttySI) IDE 、 MFM 、 RLL 、 ESDI 、 SCSI 容 (SCSI コントローラの ) メーカー名 (SCSI コントローラの ) 型番力する OS CD-ROM メーカー名名 ■ X ウインドウ・システムビデオカードメーカー名型名 RAM 容里メーカー名雪 ! 名最大スキャンレート Linux 、 DOS/Windows 、 OS/2 、その他独自・日 IDE/ATAPI 、 SCSI 、 IMB 、 2MB 、 4MB 、 8MB 、 16MB ・ネットワークモデムメーカー名型名シリアルポートホスト名ネットワーク・カードメーカー名型名ドメイン名 IP アドレスネットワーク・アドレスネットマスクプロードキャスト・アドレスデフォルトゲートウェイ・アドレス DNS サーバー・アドレス COMI 、 COM2 、 COM3 、 COM4 Ethernet 、 TokenRing 、 FDDI 、その他 72 UNIX MAGAZINE 1998.9

4. UNIX MAGAZINE 1998年9月号

NETWORKTECHNOLOGY 1 0 図 30 全ニ重リピータの構造全ニ重リヒ。ータホスト日 FO TD CSMA/CD RD フロー制御フロー制御 RD TD 00 ~ の 0 凵非ホスト日 FO CSMA/CD RD TD フロー制御フロー制御 TD RD リピータ 10Base T 、 1 OOBase TX ではリピータを多段に接続 A して LAN を組むことができます ( 図 3 ) 。この場合、リピータの接続段数の制限が ] OBase T と 1 OOBase TX で異なっているので注意が必要です。 1 OBase T では、リピータの接続段数の制限は「任意の 2 つのホストのあいだに設置可能なリピータは最大 4 個」となっています。一方、 ] O O B a s e TX のリピータには 0 a s s 1 と Class 2 という 2 種類のクラスが存在します。 Class ] のリピータは「あるコリジョン・ドメイン内に 1 台だけ存 A カスケード ( cascade ) 接続といいます。 cascade はもともとは多段の滝 ( の 1 つ ) という意味です。在可能」です ( 図 a) 。すなわちカスケード接続をすることができません。これに対して、 CIass 2 のリピータは「あるコリジョン・ドメイン内に 2 台もしくは 1 台存在可能」です ( 図 b) 。すなわち、 1 段のカスケード接続が可能です。図 a ホスト Class 1 ホスト 100m 100m 図 b Class 2 ホストホスト 100m 100m Class 2 38 UNIX MAGAZINE 1998.9

5. UNIX MAGAZINE 1998年9月号

NETWORK TECHNOLOGY 10 図 18 日 hernet で用いられる符号化方式データ : 10110010 0 1 0 0 1 1 0 1 システムクロック ( 単純な符号 ) システムクロック ( 2 ) ( マンチェスタ符号 ) システムクロック十 V データ 0 - ( 3 ) ( N 日 Z 符号 ) システムクロック ( 4 ) (PAM 符号 ) 10 : -2 00 ・ 1 OBase T 符号化副層 IOBase では物理層の信号にマンチェスタ符号 (Man- chester Cod ⅲ g ) と呼ばれる信号が用いられます。もっとも単純な符号化では、信号レベルが送信クロックの 1 クロックサイクルのあいだ 10W ならデータ 0 信号レベルが送信クロックの 1 クロックサイクルのあいだ high ならデータ 1 を示します ( 図 18-1 ) 。しかし、この方式ではデータ 0 あるいはデータ 1 が連続した場合は信号レベルが変化しないため、電磁雑音に弱くなってしまいます。マンチェスタ符号は 1 ビットの情報を表す際に送信バンド幅の 2 倍のクロックを用いて、ば coding error) を検知したことを MAC 副層に伝える。・ RX-CLK : 物理層から MAC 副層に送られる信号に対する同期クロック。・ RX_DV : 受信 data valid 物理層が MAC 副層に対してデータの送信をおこなっていることを示す。・ CRS : carrier sense 他のインターフェイスが現在通信をおこなっていることを示す。・ MDIO : management data I/O MAC 副層と物理層のあいだでやりとりされる管理データ用のバス。 MDC : management data clock MDIO に対する参照クロック。 29 UNIX MAGAZINE 1998.9

6. UNIX MAGAZINE 1998年9月号

148 156 162 54 1 18 128 RFC ダイジェスト・・・・・・宇夫陽次朗インターフェイスの街角・・・・・・増井俊之ビジュアル・プログラミング UN Ⅸへの招待・・・・・・坂本文 SoIaris for X86 ( 13 ) Web サイトの負荷分散テクニック・・・・・・ Ra げ s. EngelschalI UNIX と Windows NT のセキュリティ " ・・ " Jay Heiser 単 3 電池 2 本で使えるメール端末・・・・・・小黒玲 News ・・ CoIumn MateriaIfrom UNIX REVIEW & WEB Techniques in this issue is published in cooperation with Miller F 「 eeman,lnc. , IJ. S. A. , 1997 , 1998. AII rights reserved. 印刷 / 東京書籍印刷株式会社 P 「 inted in Japan 禁転載◎ 1998 ASCII CO 「 poration 1079809 ・出版広告担当 / 山本理一郎佐々木智子杉本玲子・製作購買担当 / 稲垣勢津子・出版営業部長 / 宮川洋・出版営業担当 / 三田秀雄井上大介藤本典子・編集 / 川崎通紀岸竜次久保田考田代真理石川耕嗣長谷川光広・発行人 / 戸島國雄・編集人 / 遠藤諭・編集長 / 大久保讓治・ Edito 「・ s Netwo 「 k Address: unixmag@ascii ・ co.jp 発行所・株式会社アスキー〒 151-8024 東京都渋谷区代々木 4-33-10 電話 03-5351-8111 UNIX MAGAZINE 0 廴 .13 # 9 1998 年 9 月号 ( 通巻 143 号 ) 1998 年 9 月 1 日発行 146 BooksheIf NEWS from jus " " " 法林浩之 65 NetNews 便り・・・・・・みるく 140 ワークステーションのおと・・・・・・坂下秀 1 13

7. UNIX MAGAZINE 1998年9月号

図 3 PF-KEY 、 PF-INET とアプリケーの系鍵管理デーモンなどのアプリケーションション / カーネル SC 翡たのしい LJN Ⅸ CJN ー X への招待坂本文著本体し 845 円たい [ 腿 X のい取への物の LJN Ⅸをつどたのしくる入門書 QJNIX MAGAZINE. 」連載当初から好評の「 UNIX への招待」を単行本化。 UNIX の根民にある文化や流儀をまじえつつ再構成大幅加筆。ワークステーションの急漣な普及によって UNIX の習得が急務と言われる現在、まさに必言 ) 1 冊。 PF KEY ことを挙げている。または SADB 鍵工ンシンアプリケーション OS カーネル PF INET TCP/IP 、 lPsec を含むネットワークインターフェイス続・たのしい IJN Ⅸ シェルへの招待坂本文著本体し 845 円物・たのしし山 N Ⅸ rLJN Ⅸへの招待」単行本化第 2 弾シェルは UNIX の世界のいわば「裏方さん」。その動きや仕組みを知れば、 UNIX がいっそう楽しく、便利に使えるようになる。本書は、ひろく使われている C シェルを中心に、シェルの使い方から仕組みまて、を分かりやすく解譓前巻とともに入門者必孑 ) 1 冊。 PF-KEY と PF ー INET およびアプリケーション / カーネルの関係を図 3 に示す。 PF-KEY を利用するのはイ頁性の高い裔理デーモンやセキュリティ的な機能をもつ経路制御デーモンなどのアプリケーションだけであり、一ヨ殳 PS. 、 G. Gross 他 AAL5 上の PPP RFC2364 PPP over AAL5 PS. 、 G. Gross 他 FUNI 上の PPP RFC2363 PPP Over FUNI PPP 関連のアプリケーションは利用しない。用する媒体が異なる点を除けば内容の約 8 割は同一であ RFC2363 と RFC2364 は双子のような RFC で、利る。いすれも 1998 年 7 月 2 日に公開された。法を定義している。現在の状態は、、標準化への提唱 " であび AAL5 (ATM Adaptation Layer5) を利用する方して FUNI (Frame User Network lnterface) およに、フレーミング PPP カプセル化バケット用の媒体と ATM ネットワークにおいて PPP 接続をおこなう際 UNIX MAGAZINE 1998.9 Ethernet-Iike lnterface Types RFC2358 Definitions of Managed Objects for the SNMP 関連る。 Life with IJNIX IJ N ー X を愛するすべての人にドン・ライプ、サンディ・レスラ共著、坂本文讎尺、ネ俊博訳本体 2 ′引 3 円 Lifc with ! ーだれも知らオ功、った IJN Ⅸの魅力の世界 UNIX の歴史的背景や社会動向とともに、 UNIX の技術面や市場面、今後の展望などを幅広く解説。また UNIX 人名辞典、アングラ情報、名言などの貴重なデータや一風変わっを提供する好言彌勿。た情報を満載、 UNIX ューザーに新しい視野文書処理システムレスト・ランポート著、エドガー・クック、倉沢良一監訳、大驟治、小暮博道、藤浦はる美訳本体 2 川 3 円物ルート、やすさと豊富な機能を備えたマクロ・バッケージい X は、もっとも進歩した糸目版システムといわれる TEX の実用性をさらに高め、使いやすくしたマクロ・パッケージ。これを利用すれば、複ょ数式すらユーザー自身の手て、自在にレイアウトて、きる。開発者の手による解説書の決定版。ルート「 00t から / へのメッセージ高野豊著本体し 553 円以、しへのメッセーシ人とコンビュータを観察するスーバーユーサーの目日本に UNIX が導入されたばかりの頃、突然管理者を任された著者の悪鹹苦闘の経験をつづる。著者が、今日まて、めぐりあったさまざまな工ヒ。ソードを紹介。夋に富も若白談と、飽くなき探求心つ物語は、システム管理者に限らず多くのユーザーの共感平ぶだろう。 ※表示価格には消費税は含まれません。〒 151-8024 東京都渋谷区代々木 4-33-10 株式会社アスキー出版営業部電話 ( 03 ) 5351- 田 94 株式会社アスキー 153

8. UNIX MAGAZINE 1998年9月号

NETWORKTECHNOLOGY 10 図 27 ELFEXT ratio Of: VxTALK FEXT VxTALK ELFEXT VxTALK VxTALK out out 1000Base T のトランシーバのプロック図 28 Magnetics 「く」 COJ UWJ UWJ っ n 「一 33 送信テータ (2bit) Di rectional Coupler Filter Pair 1 Echo Canceller Viterbi Decoder + 6dB の S/N 比マーシン Decision Feedback Equalizer (DFE) A/D Pair 2 Feed Forward EquaIizer (FFE) 受信テータ (2bit) - 十 Pair 3 NEXT Canceller Pair 4 NEXT Canceller Pair 3 NEXT Canceller Pair 2 Pair 4 に分類される。これらの雑音のうち、反射と近端漏話は信号処理で除去できます。しかし減衰と 2 種類の遠端漏話は信号処理 ◆ NEXT (Near End Crosstalk) 受信部近隣で発生する漏話 ( 近端漏話 ) で除去できませんので、さきに述べた PAM -5 のような符号化法やその他の方法を用いて S / N 比を上げることで対 ◆ FEXT (Far End Crosstalk) 受信部の遠方で発生する漏話 ( 遠端漏話 ) 応します。図 28 に 1000Base T のトランシーバのプロック図を示します。これから分かるとおり、 1000Base T のト ◆ ELFEXT (Equal Level Far End Crosstalk) ランシーバは非常に複雑な DSP (Digital SignaI Proc- FEXT は雑音源の入力電圧に対する値であるが、 ELFEXT は雑音源の出力電圧に対する値である essor) です。参考文献卩 2 ] によれば、 1000Base T のトラ ( 図 27 ) 。ンシーノヾは lntel 486 と同程度の複雑さ ( 約 20 万トランジ・環境雑音 (Ambient Noise) スタ ) で 2 ~ 4W の消費電力になるそうです。電源線からの雑音、静電気雑音など 36 UNIX MAGAZINE 1998.9

9. UNIX MAGAZINE 1998年9月号

・ Web サイトの負荷 . f00. dom / . f00 . dom/ f00 . dom/ . f00 . dom/ ServerRoot DocumentRoot CacheRoot RewriteLog TransferLog TypesConfig AccessConfig ResourceConfig /tmp /tmp /tmp /dev/null /dev/null /dev/null /dev/null / dev/nul 1 # speed up and secure processing く Directory / > Options —F0110wSymLinks -SymLinksIfOwnerMatch A110wOverwrite None く /Directory> # the status page for monitoring the reverse proxy く Location /rproxy—status> SetHand1er server—status く /Location> # enable the URL rewriting engine RewriteEngine RewriteLogLeve1 0 # define a rewriting map with value—lists where # mod—rewrite randomly chooses a particular value server rnd : /path/to/apache—rproxy ・ conf—servers RewriteMap # make sure the status page is handled 10Ca11Y # Ⅱ 0 except ourself RewriteRu1e RewriteRu1e A/rproxy—status . * *(httpl ftp) : / / . * # now choose the possible servers for particular URL types RewriteRu1e RewriteRu1e ン (. * \. (cgil shtml))$ to: //${server:dynamic}/$l to: //${server: static}/$l [S=I] # and delegate the generated URL by passing it through the proxy module # when it should survive the above rules . # and make really sure a11 Other stuff is forbidden RewriteRu1e RewriteRu1e # enable the Proxy module without caching CF] ProxyRequests NoCache on setup URL reverse mapping for redirect responses ProxyPassReverse ProxyPassReverse ProxyPassReverse ProxyPassReverse ProxyPassReverse ProxyPassReverse 62 ・ //wwwl . f00. dom / ・ //www3. foo . dom/ http http. http. http. http. http. : //www6 ・ //www5. ・ / /www4 ・ / /www2 UNIX MAGAZINE 1998.9

10. UNIX MAGAZINE 1998年9月号

NETWORKTECHNOLOGY 10 OSI モテルにおける Ethernet 、 802.3 規格の位置図 6 図 7 03 参照モデルアプリケーション層プレゼンテーション層セッション層トランスポート層ネットワーク層データリンク層物理層 D Ⅸ日 hernet のフレーム・フォーマット OCtet Ethernet MAC 層 (CSMA/CD) 物理層 DIX ( 3 ) 802.3 (SNAP あり ) ( 2 ) 802.3 (SNAP なし ) 6 MAC DA 6 MAC DA 6 MAC DA 6 MAC SA 6 MAC SA 6 MAC SA 2 802.3 LLC 副層 MAC コントロール副層 ( オプション ) 43 ~ 1497 DATA 46 ~ 1500 物理層 MAC 副層 (CSMA/CD) DATA 38 ~ 1492 DATA 0 4 C RC 4 CRC 4 CRC OUI SNAP いう要望に応えるかたちで、 1000Base T に関する標準化かれています。 Ethernet には、 MAC コントロール副層おコントロール副層、 LLC (LogicaI Link control) 副層に分リンク層は、 MAC (Media Access control) 副層、 MAC および物理層 ( 第 1 層 ) の規格 ( の 1 っ ) です。データおよび 802.3 規格は OSI モデルのデータリンク層 ( 第 2 層 ) 格の占める位置を示します。図から分かるように、 Ethernet 図 6 に、 OSI モデルにおいて Ethernet および 802.3 規 03 の 7 階層と Ethernet 各種 Gigabit Ethernet の仕様に関しては後述します。についてはまだ検討事項が残っているようです。本的な方式に関しては決まっていますが、技術的な詳細も現在 802.3ab として進められています。 802.3ab は、基 20 よひ工 LC 副層はありません。 LLC 副層の有無はフレーム・フォーマットの差になります。前述の CSMA/CD は MAC 副層で使用される通信制御方式です。 8023 規格のフレーム・フォーマット DIX Ethernet のフレーム・フォーマットを図 7-1 に示します。・宛先 MAC アドレス / 始点 MAC アドレス各 Ethernet インターフェイスは、 MAC アドレスと呼ばれる 6 オクテットのアドレスで識別される。 MAC アドレスは、各インターフェイスについて一意になるように割り当てられている ( 割り当てなければならない ) 。 MAC アドレスの構造についてはコラムを参 UNIX MAGAZINE 1998.9