実行 - みる会図書館

1. UNIX MAGAZINE 1999年2月号

連載 / WWW サーパーの育て方一① Apache HTTP サーバー UNIX MAGAZINE 1999.2 具合カ埆肖されましたた。 6.4 からの新た新皀加はなく、既存の機能におけるいくつかの不 2 1998 年 12 月 22 日にバグフィックス版の 6.4.1 がリリースされまし ftp.postgreSQL.org/pub/です。ここから postgresql- PostgreSQL のオフィシャル FTP サイトは ftp:// た用途に使うことができます。テープル名やカラム名、正見表現検索、 LIKE 検索といっ日本語を扱えるようになりました。マルチバイト文字を、ではマルチバイト文字がサポートされたので、そのままで PostgreSQL の山辭斤バージョンは 6.4 です 2 。山懿斤版いへん高機能でイ囀生もあります。ます。 PostgreSQL は、フリーの RDBMS としてはたバックエンドのデータベースには PostgreSQL を使い PostgreSQL のモジュール・コンポーネントをそのまま利用します。ります。今回はとくに必要なモジュールはないので、標鴟のモジュールをコンパイルできるようにしておく必要があこの段階で、標準でコンパイルされないモジュールや自作これでコンパイルとインストールの準備は整いました。 # . /configure ——prefix=/usr/local/httpd ます。を指定できます。ここでは、 /usr/local/httpd としていオフションで、 Apache をインストールするディレクトリ下のように configure スクリプトを実行します。 --prefix Apache のアーカイプを展開したディレクトリで、以インストールの準備だけしておきましよう。こではルとともにおこなわれるからです。したがって、のコンパイルとインストールは、 mod-perl のインストーなぜ「準備編」かというと、 mod-perl 対応の Apache Apache のインストール ( 準備編 ) なミラーサイトを示します。に近いミラーサイトから入手してください。表 1 に代表的 apache/dist/apache-l. 3.3. tar. gz か、ネットワーク的新版はバージョン 1.3.3 です。 ftp://www.apache ・ org/ ーとして、依然 Apache に分があるように思います。最い評 1 司を聞きませんが、フリーで誰もが使いやすいサーバ HTTP サーバーには Apache を使います。去も匠はよ表 1 Apache の代表的な国内ミラー FTP サイト ftp://ftp.jaist ・ ac ・ jp/net/apache/dist/ ftp://ring ・ aist ・ go. jp/archives/net/apache/dist/ ftp://ring.asahi-net.or.jp/archives/net/ apache/dist/ ftp://sunsite.sut.ac.jp/pub/archives/WWW/ apache/dist/ ftp://ftp.infoscience ・ co ・ jp/pub/net/apache/dist/ ftp://ftp.lab.kdd.co.jp/infosystems/apache/dist/ ftp://mirror.nucba.ac.jp/mirror/Apache/ ftp://ftp.meisei-u.ac.jp/pub/www/apache/dist/ 表 2 PostgreSQL の代表的な国内ミラー FTP サイト ftp://ftp.jaist ・ ac ・ jp/pub/dbms/PostgreSQL/ ftp://ftp.sra ・ co ・ jp/pub/cmd/postgres/6.4/ ftp://ftp.u-aizu.ac.jp/dbms/postgreSQL/jp/6.4/ v6.4. tar. gz3 をもってくるか、表 2 に示した国内のミラーサイトから入手してください。 flex のパーションにラも意 PostgreSQL はコンパイル時に lex を使います。その際、 GNU カ甘是供する lex である flex を使う場合はバージョンに注意してください。ノヾージョン 2.5.2 か 2.5.4 ↓淡十 . を使うようにする必要があります ( 2.5.3 は使えません ) 。 PostgreSQL 用アカウントの作成絶対条件ではありませんが、できれは PostgreSQL 専用のアカウントを作りましよう。私は、 postgres という名前のユーサーを作るようにしています。 root では、データベースのインストールがうまくできません。 PostgreSQL のインストールインストール作業は PostgreSQL 専用のユーザーでおこなうことをお勧めします。 postgresql-v6.4. tar. gz を展開したら、 src/Makefile. custom というファイルを作り、次の 1 行を追加します。 MB=EUC_JP 続いて configure を実行すれは、コンパイルの準備か整います。これも、 --prefix オプションでインストールするディレクトリを指定できます。以下の例では、 /usr/local /pgsql にインストールするように指定しています。 % . /configure ——prefix=/usr/local/pgsql 3 去辭斤の postgresql-6.4.1. tar. gz を使ってください。インストール方法などに変更はありません。 37

2. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① 図 9 NIS マップ乍成 bash# cd /var/yp bash# make NIS Map update started 0 Ⅱ Fri Dec 18 17 : 04 : 33 JST 1998 for domain paradise ypservers . failed t0 send 'clear' tO 10Ca1 ypserv: RPC: Updating hosts . byname . failed tO send 'clear' t0 10Ca1 ypserv: RPC: new /var/yp/passwd file from /var/yp/master. passwd. Updat ing yp—mkdb : yp—mkdb : Creating yp—mkdb : yp—mkdb : yp—mkdb : yp—mkdb : Updating yp—mkdb : Updat ing yp—mkdb : Updating netid. byname . failed tO send 'clear' t0 10Ca1 ypserv: Updating hosts . byaddr. master master failed Updating passwd. byuid. failed Updating passwd. byname . failed tO send 'clear' tO 10Ca1 ypserv: tO send 'clear' tO 10Ca1 ypserv: tO send 'clear' tO 10Ca1 ypserv: . passwd. byname . failed tO send 'clear' tO 10Ca1 ypserv: . passwd. byuid. failed tO send 'clear' tO 10Ca1 ypserv: RPC : RPC : RPC : RPC : RPC : RPC : Program not registered Program not registered Program not registered Program not registered Program not registered Program not registered Program not registered Program not registered NIS Map update completed. bash# ■ か稼動するマシンが独自にもつべきパスワード情報を分ける必喫があるのです。とはいっても、パスワード情報は暗号化されたパスワードを含むため、ソースファイルである /var/yp/master ・ passwd を自力で用意するのは困難です。そこで、 NIS バーカ醍供するパスワード情報は、 vipw コマンドなどでいったん /etc/master. passwd に作成し、そのあとで必要なエントリを /var/yp/master ・ passwd に移すといった方法を使えばいいでしよう。その際 / /yp 小、 /master. passwd には一般ユーサーのアカウントなど、 NIS を用いて共有したいものだけを一求します 7 。なお、旧いパスワード形式である /var/yp/passwd は、マップの作成時 (make の実行時 ) に /var/yp/master. passwd から自重加勺に生成されます。 Makefile のデフォノレトの言定では、 passwd マップ (/var/yp/passwd) のパスワード・フィールドはすべて * になります。 NIS クライアントがすべて FreeBSD8 であれは問題ないのですが、 FreeBSD 以外の NIS クライアントか存在 7 Solaris でも同様のことをしたければ、同しような MakefiIe と連用ツールを作及すればよいでしよう。 8 より正確には、 "master ・ passwd によるシャドウ・パスワードをサポートしている OS " です。 FreeBSD 以外では、 BSD/OS や NetBSD 102 などカ咄当します。する工竟では、 passwd マップのパスワード・フィールドカ剛号化されたパスワードである必要があります。 passwd マップのパスワード・フィールドに暙号化されたパスワードを挿入するには、 MakefiIe 中の以下に示す行の地寬こ付いている、 # " を削除します。 #UNSECURE = "True" すると、 make を実行してマップを作成する際、 /var/ yp/master. passwd ファイノレのノヾスワード・フィーノレドが /var/yp/passwd にそのままコピーされ、暗号化されたパスワードを含む passwd マップが自動的に作成されます。なお、 FreeBSD はパスワードの暗号化に MD5 を利用していますが、その他の多くの OS は DES を利用してパスワードを暗号化します。したがって、このような OS の稼動するマシンが NIS クライアントに含まれる場合は、 NIS サーバーに国際版の DES パッケージをインストールし、すくなくとも NIS で共有するアカウントに関しては DES で暗号化されたパスワードに変更する必要があります。国際版 DES パッケージのインストールについては、お里載の第 5 回 ( 1998 年 11 月号 ) を参照してください。パスワード情報 ( およびするネットグルーフつ以外 UNIX MAGAZINE 1999.2

3. UNIX MAGAZINE 1999年2月号

INTEG RATION ミングについて書かれた本の多くは、伊題に C を使っていドをリンクさせるのではなく、牛朱なスタブライプラリをる。 curses から M 。 tif にまで用いられている標準ライプリンクさせて須勺な結合をおこなう。各ライプラリは 1 つラリは C のインターフェイスを備えている。 Windows のまたは複数の . DLL ファイルと関連している。プログラコードも C で書くことかできる。 WindowsAPI は C かムの実行時には、リンクしたスタブコードが DLL を探ら呼び出すように書かれているし、多くの解説書も、 C のしてロードする。正確には、 DLL のコードやデー . タをプソースコードを扱っている。 32 ビット Windows ( つまりログラムのアドレス空間で利用できるようにする。すでに Windows 95 / 98 / NT ) の機能にアクセスするためのライ DLL がロードされている場合、アプリケーショ・ンはそれプラリやヘッダファイルは、 W ⅲ 32 API をもとにしていを使っているほかのアプリケーションとライプラリを共有る。 VisuaI C 十十でインストールされるヘッダファイルする。 DLL を使うプログラムか残っているかぎり、 DLL を使えば、 Windows は C や C 十十で操作できるようになはメモリから消去されない。る。多くの場合、これは #ifdef プロックでその言語に特 COM (Cornponent Object Model) オプジェクト有の機能を区別している。 W ⅲ 32 API のヘッダは C 十十は、オペレーティング・システムに名前や位置などの清報のクラスを定義していないが、 Visual C 十十にはⅥⅱ n32 をる当している DLL や実行ファイルである。 COM オプ API の鍵となる部分をクラスにもっオプジェクト・ライジェクトについての / 」難しい角見カヾ益れているが、そのせプラリがある。 MFC (Microsoft Foundation CIasses) いで単純さと有用性か暖昧になっているのは残念だ。単純は Windows の C 十十プログラミングの基本だ。面接でなのはよいことである。 COM はランタイムリンクよりも MFC に関する質問に答えることができないのなら、履歴柔軟である。 DLL には、外部呼出しで DLL 中のシンポ書の牛罸支欄に Windows C 十十プログラミングと書くのはルを結びつけるためのライプラリが必要だが、 COM オプやめたほうがいい。ジェクトでは不要である。 CO オプジェクトはシンポルこれから Windows プログラミングを学べることをあとその型のリストをもっており、実彳郛に必要な清報を引りがたく思うべきだ。 MFC は比較的最近の技術であり、き出すための仕組みを内蔵している。 COM オプジェクト複雑て気まぐれな W ⅲ 32 API を勉強する手間を省いてを利用するアプリケーションは、コンパイル時にライプラくれる。 MFC 自体が巨大で複雑ではあるが、シンプルでリをリンクしておく必要はない。たんに、 Windows にオ実用的な Windows アプリケーションを作るために必要なプジェクトとアプリケーションのリンクをイ嶽頁するだけで労力と知識が MFC のおかげでかなり咸された。 MFC ある。この本来の意味でのランタイム結合により、型と引については、あとでグラフィカル・プログラミングに挑戦数のチェックをおこないつつも、驚くほどの柔軟性か得らする際に紹介する。れるようになる。 Microsoft は、ヘッダとライプラリを使う従来の DLL ではなく、 COM オプジェクトを使ってオペレーティング・システムを強化しようとしている。、、 Active"%{i まこまで読んだところで、中級レベルの Windows プる Windows 技術を調 , ヾてみると、たいがいは COM をログラミングの本を買ったりすると、 UNIX にはないい利用している。 DCOM (Distributed COM) は、 COM くっかの用語に頭を悩ますことになる。オプジェクトをネットワーク用に拡張したもので、オプジェクトをリモートからロードしたり、間接的に使用する VisuaI C 十十でも、プログラムの外部関数の集まりでことができる。 DCOM はまだ完全ではなく、 UNIX のある . LIB ファイルをバインドする従来の手法が使える。 Remote Procedure Call よりも扱いにくい。しかし、今だが、もっと効率的で広範に利用されているのが、 Win- 後は DCOM が Microsoft のリモート機能にアクセスす dows DLL (DynamicaIIy LoadabIe Libraries) を使っるための標ま勺な手法になっていくだろう。た重加勺な結合である。多くの UNIX てイ吏われている ld. so ランタイムリンカに馴染んでいるなら、 Windows DLL COM は Visual Basic のプログラムと低レベルで通も問題なく使える。 VisuaI C 十十は、外部関数用のコー信できるため、一般に VisuaI Basic 向きと考えられて五ロ用 87 UNIX MÄGAZINE 1999.2

4. UNIX MAGAZINE 1999年2月号

INTEG RATION 吾やツールを追加インストールするにはさらにスペースが開発をする場合は自分のコードの間違いを調べるためにラ必要になる。困ったことに、 VisuaI Studio のエンターイプラリを参照することもある。フライズ版には、開発者用の SQL Server など、館旨を Visual C 十十には、イ研鶤頁かのランタイム・ライプラリ動かされそうなデータベースやクライアント / サーバー製が伺属している。通常の開発では、マルチスレッドの共有品が数多甦求されている。 SQL Server には心を惹かれライプラリさえあれは一ト分である。アプリケーションの配るが、開発用マシンで生しるオーバーヘッドを考えると、布を考えているなら、ランタイム・ライプラリを実行ファ専用のマシンにインストールしたほうがいい。イルに青勺にバインドする。こうすると、実行ファイルと VisuaI C 十十と VisuaI Studio は同しインストール・いくっかのサポート・ライプラリではなく、 1 つのファイプログラムを使う。新しいモジュールの追加は簡単にできルとしてアプリケーションを配布できる。ただし、物版るので、初めは最小限のインストールにとどめておこう。の Visual C 十十では肖勺バインドはできない。 Visual C 十十のインストールでは、標準インストールとオンライン・ドキュメントには、サンフ。ルのソースコーカスタム・インストールのどちらかを選択する。パッケードとチュートリアルが含まれており、 CD-ROM から参ジの複雑さを考えれば、標準などないようなものだ。十分照できる。ファイルをハードディスクに移せば、高速にな時間をかけてオフションを選んだほうがよい。アクセスできるし CD-ROM ドライプを空けておけるが、 Microsoft の標準インストーラはすべての機能を階層的かなりのディスクスペースか必要だ。ハードディスクにイに表小する。尺した機能はチェックポックスを見れば分ンストールするのは、よく使うものだけにしておいたほうかる。チェックしなけれは、その機能はインストールされがいいだろう。ない。チェックの付いたポックスが灰色なら、そのグループの機能のいくつかが、白ならすべての機能か〕尺されて IDE の機能いることを示す。インストーラの階層構造は、最初は分かりにくいかもし Visual C 十十の IDE ( 見在は VisuaI Studio の IDE れない。見れた Windows のツリー表示ではなく、構と同し ) にはいいところも悪いところもあるが、徐々に進造はフラットに表示される。そのグループロ尺可能な副化してきている。コンパイラ、デバッガ、ドキュメント・機能があるかどうかは、機能グループ名 ( チェックポックプラウサ、コードエデイタ、プロジェクト・マネージャースではない ) をクリックすれは分かる。 [DetaiI... ] ボタンのすべてを表示させるには、大きな画面 ( 最低でも 1 , 024 x 768 ) が必要だ。 VisuaI Studio の目標は、プロジェクがアクテイプになるときは、〕尺 - 可能な機能がある。インストーラはさらに複数の階層をもっている場合もある。トの立ち上げから完了までをサポートすることだが、これはほば達成されている。チェックポックスは、すべて選択するかまったくしないかのトグルスイッチになっている。グルーフ。のいくっか IDE は、かならすしも使う必要はない。 Visual C 十十の機能を選択したあとで、灰色のチェックポックスをクには、コマンドラインのツールがひととおり含まれていリックすると、すべてがクリアされてしまう。もとに戻する。これらは UNIX と同し引数をとるわけではないが、には、 [Detail... ] ボタンをクリックして 1 っ下の階層にサードノ、一ティーの UNIX ツールキット (Softway Sys- 移り、インストールしたいオプションをチェックするしか tems の OpenNT や Mortice Kern Systems の MKS TooIkit) を使えば、 VisuaI C 十十を cc のように扱うことができる。これらの製品を利用しなくても、 Visual C 十十ディスクスペースを節約するには、おもに 3 つの j 尺ではおⅧ染みの makefile かイ吏える。 Microsoft の nmake 肢がある。ソースコードとライプラリ、それにオンラインは make とまったく同しではないが、十分満足できる仕ヘルフである。ライプラリのソースコードをインストール上がりである。 IDE で makefile を生成したり、 makefile しておけばデバッグか楽になる。インストールしていないを IDE の専用形式て取り込むことができる。と、ライプラリのコードはアセンプリ言語で表示される。簡単なプログラミングであ川題にならないが、凝った VisuaI C 十十による開発の詳細はあとで詳しくとりあ一三ロ 85 UNIX MÄGAZINE 1999.2

5. UNIX MAGAZINE 1999年2月号

図 4 メールの言 ( その 3 ) 外部のメールサーバー : POP ファイアウォール図 5 メールの言 ( その 4 ) fetchmail ー POP ーロ /var/mai1/userB /var/mai1/userA 外部のメールサーバファイアウォー popclient ロロロロ 4 ) 。ファイアウォール・ホスト上で、 POP の通信を中継するフロキシー・サーバーを運用する必要がありますが、この力法も作業的には簡単です。「セキュリティ的なリスクを負うのは嫌ゃな。せやけど、自分宛のメールはやつばり手許に酉当してもらわんと」ちょっと手間はかかりますが、この方法も実現できます。外部のメールスフール・サーバーから pop でメールをダウンロードし、そのメールを内部のメールスプールに書き込みます ( 図 5 ) 。通常の POP クライアント・フログラムは、ダウンロードしたメールをユーサーのメールポックスに書き込みますが、 fetchmail や popclient を利用するとダウンロードしたメールをメールスフールに書き込むことができます。しかし、あくまでも POP なので、外部からメールカ艚当医されるわけではありません。内部から、一定時間おきにこれらのプログラムを実行する必要があります。しかし、電子メールにはリアルタイム性を求められないので、大きな間題は生じないでしよう。この方法を利用する場合、ファイアウォール・ホスト上では、 POP の通信を中継するプロキシー・サーバーを運用する必要があります。 POP を使用する方法では、外部からメールを受信する UNIX MAGAZINE 1999.2 内部のメールサーバー /var/mai1/userA /var/mai1/userB ロロロロ必要がありません。したがって、サーバーを不正中継にロ 27 メールの送信にもコストとリスクが発生します。受信用を決定します。電子メールの内部から外部への送信を許可するかどうか電子メール週言の可否る価値は十分にあるでしよう。このようなサービスの利用も、 1 つの j 尺肢として検討すいる ISP (lnternet Service Provider) もあるようです。ればなりませんが、現在ではこの種のサービスを提供してルスプール・サーバーは、信頼のおけるところを選はなけいのて堂々と文句を言うことができます。もちろん、メープール・サーノヾーに障害カ起きても、こちらの責任ではなのこうのと心配する必要もありません。さらに、メールスを受信してくれるので、 MX (Mail eXchanger) がどういるあいだも、外部のメールスプール・サーバーがメールです。しかも、停電などで自サイトのサーバーかイ亭止しての侵入など ) を受けたりする可能生がなく、かなりお勧め利用されたり、サーバーの遠巣作による攻撃 ( 外部から

6. UNIX MAGAZINE 1999年2月号

ロプログラミング・テクニック公開鍵暗号多治見寿和ネットワーク経由で ~ 里図 1 ローカル telnet ソケット TCP/IP ハードウェア前回は、ネットワーク経山でログインする際にパスワードするワンタイム・パスワードの仕組みを紹介しました。このオ対冓では、パスワード・ファイルの場合と同様に、一方向関数を用いてパスワードを暗号化します。ただし、関数の適用回数に工夫を施してネットワーク経由のログインの安全性を高めています。ネットワーク上を流れるパスワード情報はかならす暗号化されるため、ネットワークか覗き見されていても安全です。さらに、このパスワードは 1 回しか使えないので、同し情報を用いて再隻ログインすることはできません。今回は、ネットワーク経由でログインするときに使われを守るようにすれば、情報の不鶤頁にかかわらす安全に作業る暗号化について説明します。を進めることができます。ネットワーク経由の処理には、すくなくとも 2 つのフログラムが介在します。 1 つは目の前にある ( ローカルな ) 計算機 - E て動くプログラムで、ユーサーカ髞作します。たとえば、適隔ログイン時に使う telnet コマンドなどがそ前回とりあげた S/Key では、パスワードを暗号化するうです。もう 1 つはサービスを提供する telnetd などのことによって一隻していました。しかし、守らなけれはなフログラムで、ネットワークの向こう側にある ( リモートらないのはログイン時にやりとりされる情報だけではありの ) 言 1 ・算機ーヒて動くものです。 UNIX では、これらのフロません。ログインしたあとも、重要な情報がネットワークグラムはソケット (socket) というイ目みを介してネット上を流れることがあります。たとえは、ネットワーク経由ワークを利用します。ソケットは TCP/IP を使い、さらで竹喋をしているときに管理者の権限が必要になったとしに TCP/IP は Ethernet インターフェイスなどのハードます。このような場合、そのまま su コマンドを実行するウェアを用いて実際の通信をおこないます ( 図 1 ) 。と、スーパーユーサーのパスワードがネットワーク上を流れてしまいます。企業秘密などか書かれたメールをやりとこの図は説明のために簡略化してありますが、重要なのりするのであれは、これも守らなければなりません。はいくっかの要素カ啾み上げられている点です。各要素が互いに上下の要素とやりとりすることにより、結果的に通 su コマンドは、前回紹介した OPIE などのワンタイ信が - 可能になります。・ - ドイ則の要素とのあいだで受け渡されム・パスワードを利用したものを使えはいいでしよう。る情報は、対応するレベルの要素と妾やりとりしている子メールについては、 PGP (Pretty Good Privacy) なとみることもできます。つまり、左イ則の telnet は右側のどでイ描隻できます。しかし、このように個々に対応してい telnetd と、左側のソケットは右側のソケットと、左側のたのではきりがありません。通信路を流れるすべての情報リモート telnetd ソケット TCP/IP ハードウェア通信路の保護 62 UNIX MAGAZINE 1999.2

7. UNIX MAGAZINE 1999年2月号

連載 / WWW サーパーの育て方一① リスト 1 カレンダー・テーカレを作成する SQL 文 CREATE TABLE schedule ( date date , begin—time time , end_time time , description varchar(80) , 6 5 4 3 2 1 ァータベースの準備 note varchar ( 80 ) ・予定の言岩田・予定の概要・終了時刻開始時刻・日付考えられます。ダーは、以下の要素から成り立つレコードの集合であるとますは、基本言気 t を石忍しましよう。ごく単純なカレン 40 テープルが作成されます。あとは、プロンプトにリスト 1 の SQL 文を入力すれは calendar=> % /usr/local/pgsql/bin/psql calendar ス名を指定します。います。 psql のオプションとして、接続するデータベー greSQL のフロントエンド・プログラムである psql を使る SQL 文がリスト 1 です。テープルの作成には、 Post- ルを作成しましよう。さきはど言気 t したテープルを作成す続いて、この calendar というデータベースにテープ % /usr/local/pgsql/bin/createdb calendar という名前のデータベースを作成しています。っューサーで実行してください。以下の例では、 calendar 用います。このコマンドは、データベースの伽限をもデータベースの作成には、 createdb というコマンドをりません。ろですが、その前にデータベース自体を作成しなければなタベース上に作成することにしましよう。といいたいとこす。ではさっそく、上記の条件を満たすテープルをデーとなってきますが、とりあえすは考慮しないことにしまほかにも、ユーザーやレコードの書換え念などが必要登録フォームを作ってみる登録フォームには次の項目を入力できるようにします。 UNIX MAGAZINE 1999.2 を介しておこないます。以降のデータベースに対する操作は、このオプジェクト $conn = Pg: : connectdb ("dbname calendar") ; います。以下の例では、 calendar というデータベースに接続してべースに接続できなかった場合には、 undef カります。ことで、接続済みのオプジェクトを取得できます。データ Pg モジュールは、 connectdb という関数を呼び出す Pg モジューノレ $cgi—>param ( 'year' ) 以ドの例は、 year という変数の値を参照しています。名をなえることで、変数名に対応する値カ陬り出せます。 POST されたデータは、 param というメソッドに変数 $cgi = new CGI ; 生成して使用します。 CGI モジュールは、 new によってそのオプジェクトを CGI モジュールに登録するというものです。け取り、 Pg モジュールを使ってその清報を PostgreSQL CGI モジュールでフォームから POST されたデータを受リプト (regist-cal) がリスト 3 です。おおまかな言気 f•は、このフォームの ACTION として指定されているスク出力しているだけなので説明は不要でしよう。ュールを使っている以外は、フォームのための HTML を ( リスト 2 ) 。日付情報を取得するために DateManip モジ付のデフォルト値を自重加勺に入力するようにしてみましたもかまいません。しかしせつかくなので、フォームの日登録フォームは、いわゆる普通の HTML ファイルで・予定の概要・終了時刻・開女都学刻・予定の日付

8. UNIX MAGAZINE 1999年2月号

連載 /UNIX Communication N0tes 図 1 S/KEY でのやりとり host: vax UserlD SUglNl-I Count and Seed 29 vaxl 5 One-Time Password cat sun gaur tuft noun soon 4. システム側では、送られてきた一 1 ( t ) をもとにして S/KEY / げ " ー 1 の ) = のを引算する。メッセージ・ダイジェストを用いた代表的なシステム 5. システム側で事前に計算した / れ (s) と、ユーサーからに、 Bellcore が開発した S/KEY [ 5 , 6 ] がある。 S/KEY 送られてきた値をもとに計算した ff(t) の値を上交すは、次のような構成になっている ( 図 1 ) 。る。比較した 2 つの値が一致していれば、システムとユ・ Secure Hash 関数に MD4 を使う。ーサーは同一のパスフレーズを知っていることになり、・パスフレーズ s には、 seed と特定の文字列をつなげたログインを許可する。ものを使う。これは UNIX パスワードてイ月している l(s) を記 6. 次のログインのために、システム側では工ソルトと同しで、特定の文字列 ( パスフレーズ ) を変更録しておく。しなくても、 seed を変えるだけで生成される系列も変このオ冓を利用すると、次のようになる。更できる。・システム側からは challenge として、れ一 1 と seed をこの値か漏・システム側で fn(s) を言当求しているので、与・える。洩してもパスフレーズ s 隹測は難しい。・計算結果は、直だけでなく、共通の辞書に定義された・ユーサー側でー 1 ( のの言算を安全におこなえは、パ複数の単言リとしても表現される。これを結果として与・スフレーズ t ( 正しければ s と一致 ) か漏洩することはえてもよい。・システム側では、一記の単言リを言求している。・ユーザー側からシステム側に送られる工 " 1 のを盗聴しても、パスフレーズ t ク隹測は難しい。 S/KEY の特徴は、 Secure Hash 関数の言算結果が、・ / " ー 1 のから ff(t) を言算するところではパスフレー S/KEY の辞書で定義された単語を用いて表現されているズ t は不要なので、安全に言算できる。点である。 S/KEY を開発した Bellcore は、実装プログラムを無つまり、ほかのユーザーがログインしていないラップ料で配布したため、多くのサイトで S/KEY が運用されトップ PC 、あるいはパームトップ PC などで安全生にるようになった。 S / KEY のパッケージは、注意して言 1 ・算すればよい。・ ftp://ftp.bellcore.com/pub/nmh/skey/ ノート 11 ログイン時にシステム側からなんらかの値をえ、その値から入手できる。このパッケージは、 UNIX のログインをもとにユーザー側で事前に合意しておいた演算を実行し、そプロセスで使われる /usr/ucb/login を置き換えるプログの結果をシステム側に送り返してログインの可否を判断する仕ラムと、いくつかのユーティリテイから構成される。構造組みを challenge-response 方式と呼ぶ。 UNIX MAGAZINE 1999.2 20

9. UNIX MAGAZINE 1999年2月号

連載 / UN Ⅸの玉手箱ー① 図 8 NIS マップのソースファイルの言聢部分 (/var/yp/MakefiIe) ETHERS BOOTPARAMS= HOSTS NETWORKS PROTOCOLS RPC SERVICES GROUP ALIASES NETGROUP PASSWD # ethernet addresses ( f0 て rarpd) $ (YPSRCDIR) /ethers $ (YPSRCDIR) /bootparams # fo て booting Sun boxes (bootparamd) $ (YPSRCDIR) /hosts $ (YPSRCDIR) /networks $ (YPSRCDIR) /protocols $ (YPSRCDIR) /rpc $(YPSRCDIR)/services $ (YPSRCDIR) /group $ (YPSRCDIR) /aliases $ (YPDIR) /netgroup $ (YPDIR) /passwd . if ! defined (MASTER—PASSWD) MASTER . else MASTER . endif YPSERVERS PUBL 工 CKEY NETID AMDHO ST $ (YPDIR) /master. passwd = $ (MASTER_PASSWD) $(YPDIR)/ypservers # List of a11 NIS servers for a domain $ (YPSRCDIR) /publickey $ (YPSRCDIR) /netid $ (YPSRCDIR) /amd. host # List 0f maps that are always built . # If you want to omit some of them, fee1 free tO comment # them out from this 1ist . TARGETS= servers hosts networks protocols rpc services group #TARGETS + = aliases /etc 、 /var/yp に設定されているので、各マップとソースファイルの対応は表 1 のようになります。 SoIaris ではやや異なります。詳しくは MakefiIe を参照してください。しつにさまざまなマップがありますが、実際にはすべてのマップが作成されるわけではありません。図 8 の最後にある TARGETS 変数で指定されたマップはかならす作成されますが、それ以外はソースファイルが存するマップだけカイ乍成されます。したがって、デフォルトの状態では以下のマッフ。が作られることになります。 ypservers hosts networks protocols rpc servlces group デフォルトで作成されるマップのうち、 ypservers マップには NIS のスレープサーバーを登録します。今回はマスターサーバーのみを構築しますが、ソースファイルである /var/yp/ypservers を用意しておかないと make が実行できません。こでは、 touch コマンドを使って空 UNIX MAGAZINE 1999.2 の /var/yp/ypservers ファイルを作っておきます。 bash# touch /var/yp/ypservers bash# ロ ypservers マップは、 Makefile の TARGETS 変数では、、 servers" というキーワードに対応しているので、空のソースファイルを作る代わりに TARGETS 変数から servers" を削除することもできます。パスワード情報のマップデフォルトの状態で作られるマップのなかには、パスワード 1 青報に関するマッフ (passwd と master. passwd) がありません。これらのソースファイルは / etc ではなく /var/yp の下にあることを想定しているため、デフォルトの状態では作成されません 6 。 /etc/master ・ passwd を使わないのは、このファイルに NIS サーバーのスーパーユーサー (root) やシステムのアカウントが登録されているからです。また、 NIS サーーにだけ独自のアカウントを設定したい場合もありうるので、 NIS て才是供するパスワード情報と、 NIS サー 6 Solaris の場合は /etc/passwd と /etc/shadow を参照します。 101

10. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① 図 1 inetd のみを用いた場合ホスト A FreeBSD の場合、 OS 本体にはイ寸属しておらす、バイナリ・パッケージとして提供されています。そこで、まずはバイナリ・パッケージを FreeBSD マシンにインストールするところから始めましよう。バイナリ・パッケージのインストール tcp-wrappers のノヾイナリ・ノヾッケージは FreeBSD の CD-ROM に鸞求されています。ファイル名は tcp- wrappers-7.6. tgz です。 CD-ROM の構成によって多少違うかもしれませんが、 CD-ROM を /cdrom にマウントした場合は /cdrom/packages/All に置かれている、はすです 1 。〇バイナリ・パッケージは FreeBSD 関連の FTP サイトからも入手できます。国内であれは、・ ftp://ftp[1-6].jp.freebsd.org/pub/FreeBSD/ packages-stable/AII/ などにあるので、 FreeBSD の CD-ROM が手許にない場合はこちらから入手するといいでしよう。こでは、ノヾイナリ・ノ、ツケージを / tmp に置いたことにします。インストールは、バイナリ・パッケージのインストーラである pkg-add を実行するだけで自重加勺におこなわれます。図 3 のように、、、一 v " オプションを付けるとともできます。インストールの様子か詳しく表示さプログラム・ファ tcp-wrappers の最新バージョンは 7.6 です。国内でイルのほか、ライプラリやオンライン・マニュアルなどがは、以下に示す FTP サイトなどからソースパッケージどこに置かれるのかが分かります。 (tcp-wrappers-7.6. tar. (z) が入手できます。以 E ぞインストールは完了です。しかし、このままの状・ ftp://ftp.jpcert.or ・ jp/pub/security/tools/ 態ではインストール前と何も変わりません。 tcpd の機能 tcp-wrappers/ を利用するには、すくなくとも以下の設定が必要です。・ ftp://ftp.win.or ・ jp/pub/network/security/ ・ (inetd カ甘是供する ) どのサーピスに対して tcpd を適 tcp-wrappers/ 用するか。・あるサービスに対して、 tcpd をどのように動作させる BSD/OS に付属の tcp-wrappers は、ノヾージョン 7.3 をもとに BSD/OS 独自の拡張が施されたものです。具ー勺には、、、 nolog" および、、 exec" というオプションか前者は inetd の設定ファイルである /etc/inetd. conf 加されています。詳しくは、 BSD / OS のオンライン・マを編集し、特定のサービスに対して tcpd を起動するようニュアル hosts-options(5) などをご覧ください。機育顎勺に変更します。後者は tcpd が参照するアクセス制御デーには肄 i バージョンとあまり変わりませんが、必要であれタベースを作成し、アクセスを許可 ( あるいは拒否 ) するは・ソースパッケージを入手してインストールするといいでホストを設定します。しよう。去斤バージョンは BSD/OS にも対応している 1 これと異なる場合は、 "packages" というサプディレクトリを探してみので、すんなりコンパイルできます。てください。 fingerd i netd ホスト B telnetd 図 2 inetd と tcp-wrappers を組み合わせた場合ホスト A tcpd ftpd i n etd ホスト B telnetd アクセス制御テータベースアクセスログ 93 UNIX MAGAZINE 1999.2