アクセス - みる会図書館

1. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① 張フォーマットを利用可能にするかどうかは、ソースパッケージのコンパイル時に決まります。 BSD/OS に付属する tcp- wrappers と FreeBSD のバイナリ・パッケージは、刻長フォーマットを利用するようにコンパイルされます。 spawn" は長フォーマットに特有のキーワードなので、拡張フォーマットを利用しないようにコンパイルした工竟では、のキーワードを指定してはいけません ( 指定するとエラーになこでは基本的なフォーマットを中心に説明するのります ) 。で、拡リ長フォーマットの詳細については、 tcp-wrappers に伺属のオンライン・マニュアル hosts-options(5) などを参照してください。キーワードによるキ諚これらのフィールドのうち、デーモンとホストのリストについてはキ幇朱なキーワードが用意されています。これらのキーワードをうまく使うと、効率よくアクセス匍脚データベースを記することができます。詳しくは前出のオンライン・マニュアルをご覧いただくとして、知っておくと便利なのは、、 ALL" と、、 EXCEPT" という 2 つのキーワードです。 ALL は、、すべて " を表すキーワードです。たとえは、以下のように指定すると、、、すべてのサービス " と、、すべてのホスト " が対象となります。 ALL : ALL 一方、 EXCEPT は、、例外 " を表すキーワードで、リストから特定のサーピスあるいはホスト ( のリスト ) を除くために使います。たとえは、ホストのグループとしてドメイン名を指定する際、特定のホストを除きたければ以下のように指定します ( 誌面の都合上、で折り返していま . f00. co. jp EXCEPT baystars . f00. co. lions . f00 . co ・ jp この例では、 foo. co. jp に属するホストのうち、 bay- stars. f00. co. jp と lions. f00. co. jp 以、タ ) ホストが対象となります。言聢時のも意点 tcpd がアクセス制御データベースを参照する際には、、、アクセスのあったサービス " と、、リモートホスト " の組をキーとして hosts. allow および hosts. deny ファイルを検索します。検索の手順は以下のようになります。 98 1. hosts. allow ファイルをク頁から検索し、マッチする工ントリがあれはリモートホストからのアクセスが許可され、対応するサーバー・プログラムを起動する。 2. hosts. deny ファイルをク曰頁から検索し、マッチするェントリがあれはアクセスは拒否される。 3. いすれのファイルを検索してもマッチしない場合はアクセスか許可されているとみなし、対応するサーバー・プログラムを起動する。したがって、アクセス制御データベースを設定する際は、以下の点に注意してください。・ hosts. deny で明示的に拒否しないかぎり、リモートホストからのアクセスか第忍められる。・ hosts. allow と hosts. deny の両方にマッチするエントリがある場合は hosts. allow が優先されるため、アクセスか認められる。より安全な設定にするには、 hosts. deny ですべてのアクセスを拒否し、許可するものだけを hosts. allow に言当するのがいいでしよう。この方針に従うと、 hosts. allow と hosts. deny はたとえは以下のようになります。・ hosts. allow rlogind,rshd,telnetd: 192 . 168 . 1 . ftpd: nullpc ,somepc ・ hosts. deny ALL : ALL ローカルホストが 192.168.1.0 というネットワークに接続されており、 nullpc と somepc4 も同一ネットワークに属しているものとします。このように設定しておくと、同しネットワークに属するホストからの rlogin や rsh 、 telnet と、 nullpc および somepc からの ftp アクセスだけか許可され、それ以外はすべてアクセスを拒否します。ログファイルの言諚アクセスの許可 / 拒否にかかわらす、 tcpd を利用した場合は syslog デーモンにアクセス言当求がメッセージとして送られ、 syslog の設定に応してログファイルに保存されます。 BSD/OS に付属する tcpd では /var/log/daemon. 1 。 g にログが残りますが、 FreeBSD のバイナリ・パッケー 4 ホスト情報の設定にもよりますが、ドメイン名を設定している場合は FQDN て才彳定したはうがいいでしよう。 UNIX MAGAZINE 1999.2

2. UNIX MAGAZINE 1999年2月号

連載 / UN Ⅸの玉手箱 - ① 図 5 テフォルト・ティレクトリ以外のサーバー・プログラムを指定する場合 finger stream tcp 変史後 finger stream tcp nowait nobody /usr/local/libexec/tcpd fingerd —s nowait nobody /usr/local/libexec/tcpd /usr/local/libexec/in. fingerd 制御データベースて軻も指定しなけ川ま従来の inetd と同し重川をするので、サンプルファイルを /etc/inetd. conf にコピーするのがてっとり早いでしよう。また、第 7 フィールドのサーバー・プログラム名を絶対パスて指定すると、デフォルト・ディレクトリ以外にあるプログラムを実行できます。たとえは、 GNU finger のように、 OS に伺属する fingerd とは異なるバージョンの finger サーバーを導入する場合を考えてみましよう。 FreeBSD で提供されている GNU finger のバイナリ・ノヾッケージ (gnu-finger-l. 37. tgz) をインストールすると、従来の fingerd に相当するサーバー・プログラムは /usr/local/libexec/in.fingerd となります。これを /usr/libexec/fingerd にコピーしてしまう方法もありますが、できるだけファイルの構成を変えたくなけれは、 /etc/inetd. conf の finger サービスに対応する行の第 7 フィールドを、図 5 のように変更します。 /etc/inetd. conf を変更したら、それを inetd に反映させなけ川まなりません。 inetd は、 SIGHUP シグナルを受け取ると /etc/inetd. conf の内容を読み込みなおすので、マシンを起動したくなければ以下のように実行しまアクセス制御データベースの設定 bash# ■ bash# kill -HUP 130 130 ? ? IWs 0 : 00.00 (inetd) bash# ps ax ー grep inetd す。 96 を拒否するサービスとホストの組をそれぞれ言当します。ーピスとホストの組、 hosts. deny ファイルにアクセスれます。 hosts. allow ファイルにアクセスを許可するサアクセス制御データベースには 2 つのファイルが用いらサーピスとホストの組を指定します。タベースを設定し、アクセスを許可 ( あるいは拒否 ) するか決まったら、次は tcpd が参照するアクセス制御デー /etc/inetd. conf を変史して tcpd を適用するサーピスこれらのファイルは、 BSD/OS に付属する tcpd であれは /etc 、 FreeBSD てオ是供されるバイナリ・パッケージでであれß/usr/local/etc に作成します。両方とも存在しなかったり空の場合はアクセス制彳卸がおこなわれす、従来の inetd と同じ重川乍になります。アクセス制御の対象はホスト単位だけでなく、ネットワークやネットグループなどのグループ単位て指定することができます。これらはテキスト形式のファイルで、以下に示すフォーマットに従って 1 行ずつ工ントリを書きます。 d 佖 emo れ」な信 client-list [ : shell-command] 各フィールドの意味は以下のとおりです。・ d 佖 emo れ」なアクセス制御の対象となるデーモンを指定します。でいうデーモンとは、サーバー・プログラムのプログラム名を指します。 /etc/inetd. conf の第 7 フィールドに絶対パスで指定した場合も、こにはプログラム名のみを言当しなけれはなりません。絶対パスて指定すると、 tcpd がアクセス制御データベースを検索してもマッチしないので注意してください。複数のデーモンを指定するには、以下のように空白またはカンマで区切ります。 rlogind,telnetd ・ c 〃 e れた〃アクセス制御の対象となるホストを指定します。ホスト単位でもグループ単位でも指定でき、ホスト単位の場合は該当するホストのホスト名か IP アドレスを言当します。れ ullpc , somepc , 192.168.1.12 グループ単位での指定には 3 つの去があり、ネットワークかドメイン、またはネットグループを記主します。ネットワークを指定する場合はドット表記でネットワーク番号を言当します。このとき、ホスト番号の部分は省 UNIX MAGAZINE 1999.2

3. UNIX MAGAZINE 1999年2月号

U N Ⅸの玉手箱 null tcp—wrappers と NIS サーバーの設定前回は、ホスト名と IP アドレスを対応づけるための仕組みとして、ローカルな /etc/hosts ファイルと NIS 、 DNS の概要、クライアントとしての設定について説明しました。さらに、リモートホストからのアクセスを制彳卸するための方法として、 inetd カ壻理するサーピスに対するアクセス制御の設定などを紹介しました。オリジナルの /etc/inetd. conf ファイルをカスタマイズすることにより、あるサービス ( ポート ) に対応するサーバー・プログラムを起動しないように設正できます。しかし、この方法では、あるサービスを提供する / しないという単純な制御しかおこなえません。これに対し、あるサービスへのアクセスをホストごとに制御する機能を、従来の inetd を拡張するかたちで実現する方法がいくつか提案されており、 BSD/OS には tcp-wrappers というパッケージが組み込まれています。 FreeBSD では OS にバンドルされてはいないものの、バイナリ・パッケージを利用すれは簡単にインストールできます。そこで、はしめに前回の続きとして tcp-wrap- pers の概要と設定について説明します。後半では、 NIS サーバーの設定方法を紹介します。れまでにも述べたように、ネットワークに接続されたマシンが数台を超えると、アカウントやホスト情報の管理はかなり煩雑になってきます。 NIS を導入すれは、 NIS サーバーがこれらの↑帯にを集中管理するので、更新の手間を軽減できるだけでなく、設疋ミスの可能性を減らし、情報の整合をより確実に保つことができます。残念ながら、 BSD/OS には NIS サーバーに必要なフログラムなどが付属していないため、今回は FreeBSD を対象に NIS サーバーの設定去を説明します。 92 tcp wrappers inetd と、 tcp-wrappers は、大雑把に表現すると、 inetd か管理するサー・プログラムとの仲介役として機能し、サーバー・フログラムの起動を制御する " プログラムです。 inetd は各サーバー・プログラムを直接起世す、最初に tcpd を起動します。 tcpd はリモートホストのホスト名 ( または IP アドレス ) をもとに独自のアクセス制御データベースを参照し、許可されているホストなら対応するサーバー・フログラムを起動し、そうでなけれはアクセスを拒否します。ちょうど tcpd が inetd を包み込むようなかたちて機能するため、、、 wrapper" と名付けられています。たとえは、リモートホストであるホスト A およびホスト B が、ローカルホストに対して ftp コマンドを実行したとしましよう。オリジナルの inetd は、 /etc/inetd. conf で ftp に対応する行をコメントアウトしていないかぎり、どちらのホストからのアクセスも許可しサーノヾーー・、フログラムである ftpd を起動します ( 図 1 ) 。この場合、ホスト A とホスト B にかぎらす、すべてのリモートホストからの ftp リクエストを受け付けます。もちろん、 ftpd の言立によって特定ユーサーからのアクセスを拒否することはできますが、すくなくとも ftpd は起動されます。一方、 tcp-wrappers を導入し、ホスト A からの ftp リクエストのみを許可するようにアクセス制御データベースを設定しておくと、ホスト B からの ftp リクエストは拒否さ ftpd は起動されません ( 図 2 ) 。さらに、 syslog デーモンやメールなどを利用してアクセスの言当求を残すこ UNIX MAGAZINE 1999.2

4. UNIX MAGAZINE 1999年2月号

連載 / UN Ⅸの玉手箱ー① 図 6 リモートホストからのアクセスに対して外部コマンドを実行する言聢 spawn (/usr/local/bin/safe-finger @%h ー /usr/bin/mail telnetd: somepc -s %d-%h root ) & 略し、最後はドットで終っていなけ川まなりません。以下の例は、 IP アドレスが 192.168.1. * というパターンにマッチするすべてのホストを意味します。 192 . 168. 1 . サプネットを利用している環竟で、ネットマスクまて厳密に指定したけれは、ドット表記によるネットワーク番号とネットマスクをスラッシュで区切ります。たとえば、 192.168.1.0 というクラス C のネットワークがサプネットにうリされており、ネットマスクの長さが 28 ビットであったとしましよう。 192.168.1.16 というサプネットを指定する場合は以下のようにしますにの例では、 192.168.1.17 ~ 192.168.1.31 のホストが対象となります ) 。 192.168.1.16 / 255.255.255.240 ただし、ネットワーク番号だけを指定するときとは異なり、ネットマスクを組み合わせて指定する場合はホスト部分を省略せすに 0 を指定します ( たとえは、、 172.16.1.0 / 255.255.255.0 " など ) 。次に、ドメインて指定する場合は対象となるドメイン名を記します。ドメイン名の地頁にはかならすドットを・ shell-command ホスト " が対象となります。この例では、 project というネットグループに属する @proj ect ループの名前のう頁に、、@" を付けます。最後に、ネットグループを指定する場合は、ネットグすべてのホスト " が対象となります。このように指定すると、、、 foo. co. jp ドメインに属する . f00 ・ co ・ JP 付けなければなりません。 UNIX MAGAZINE 1999.2 あったとします。たとえば、 hosts. deny ファイルに以下のような言当がします。アクセスに対して外部コマンドを実行したい場合に指定このフィールドはオプションで、リモートホストからの telnetd: somepc に適当な値に置き換えられます。、、 % d " はアクセスの、、 % d " や、、 % h " などの変数は、外部コマンドの実行時ウンドで実行することを未します ) 。定します ( 最後の、、 & " は、外部コマンドをバックグラで、それに続けて実行したいコマンドを括弧で括って指 spawn " は外部コマンドを実行するためのキーワードます。宛にメールしたければ、この行を図 6 のように変更しがログインしているのかを finger で調べて結果を root たアクセスか拒否されます。これに対し、 somepc に誰この場合、 somepc というホストからの telnet を使っあったサービスに対応するサー・プログラムの名前を意味し、図 6 の例であれば、、 telnetd" という文字列で置き換えられます。、、 % h " はリモートホストのホスト名で置き換えられます ( ホスト名が分からない場合は IP アドレスになります ) 。これ以外の変数の不亟頁と詳しい意味については、 tcp-wrappers に付属のオンライン・マニュアル hosts-access(5) などを参照してください。なお、図 6 の例で使われている safe-finger は tcp- wrappers にイ寸属するコマンドで、 finger サーノヾ対してより安全にアクセスできるような工夫か施されています 3 。 tcpd から finger を実行する場合は、オリジナルの finger の代わりに safe-finger を使うことか推奨されています。ただし、リモートホストに対して fin ー ger を実行する場合には設定が必要です。なぜなら、リモートホストでも tcpd カイ吏われていて、 finger サーヒ、スに対するアクセスがあったら相手に finger を実行する設定になっており、こちら側の finger も同様の設定にしていたら、互いに finger を実行しあって無限ループに陥ってしまうからです。アクセス制卩データベースのフォーマットはバージョンが新しくなるにつれて手カ功日えられており、基本的なフォーマットとは独立した刻長フォーマットとして定義されています。拡 3 BSD/OS では /usr/libexec/tcpd-bin/safe-finger てす。 97

5. UNIX MAGAZINE 1999年2月号

連載 / 遠隔オフィスとの接続 - ⑨ 図 10 anonymous FTP てアクセスした状態フ言ル [ ) 編集表示、辺シ ' ャンア 0022 オ酬” ) 今ルア ( 当再読み込みホーム図 11 匿名ではない FTP でアクセス ftp & 0n20n 日朝。 meon e 朝圧 0 「のに対するユナ、名を入力してください someone ユーナ名とハ ' スワードの入力国← 5 こ叩をロ X 印刷セキュリティ亠一ゴ Network Worki ng Group Request for Comments. 240 〕 0bsoletes 238 , 2200. 2 価 0 1920 18 ユ 1 . 17 , 1720. 1610. 168. 1540. 158. 1 410 1360. 12 , 1250. 128. 1140 , 1130. 1 1 の 183 STD 1 Category. Standards Track INTERNET 日引乢 PROTIDI_ STAtOARß lnternet Archi tecture æard J. Postel ↓ Reynolds Editors September 1998 てくるので ( 図 11 ) 、ユーサー名、、 someone" に対応するパスワードを入力します。 FTP のパスワードは、以下の形式で URL に含めてしまうこともできます。 ftp : / / 社 se 卿田 me 挈碼“ .10 司@dom ルれ ame / 五 / e 叩んしかし、パスワードがクリアテキストのまま Web プラウサに表示されたり、ドロップダウン・リストに保存されるのはかなり婦寺ちか懇いので、通常は上記の形式を使わないはうがよいでしよう。 “ ) 。項目を含む URL を使うのは、 anonymous FTP で電子メールアドレスを指定するときだけにとどめておくほうか無難です。 Status of this M 部にュメン引き継がれており、 Communicator でも lnternet Ex- plorer でも FTP が使えます。ですから、本社側で FTP サーバーを起動しておけは、適隔オフィス側では Web プラウサの機能を使って FTP でファイルを取得できます。おなしみの、 ftp://dom ルれ ame / 五 / e 叩観んという形式の URL を指定すると、 anonymous FTP によるファイルのダウンロードがおこなわれます。たとえは、図 10 はインターネット上で公開されている anony- mous FTP サイトのファイルに、 Web プラウサでアクセスした状態です。ただ、 anonymous ( 匿名 ) ということは、自社の遠隔オフィスのユーサーだけでなく、外部のユーサーでもファイルを取得できてしまうので、外部に公開したくないファイルに対しては適用できません。 FTP 匿名がいけないなら、匿名ではない FTP を使えばいいと思うのは自然でしよう。 Web プラウサから匿名ではない FTP にアクセスするには、 ftp://username@dom ルれ佖 me / 五 / e 叩んという形式の URL を指定します。たとえは、 some— one" というユーサー名で、 www.ietf.org ' ヘアクセスするには、 URL は次のように指定します。 ftp://someone@www.ietf.org/ 匿名ではない FTP の場合は、続けてパスワードを訊い ☆ 今回は、遠隔オフィスと接続する方法の 1 っとして、 Web の利用をとりあげました。ま Web プラウザを使ったファイル転送にいくつかの手段があることもみてきました。次回は、 Web のアクセス制限の機能と、 Web サーに Apache を使った場合の設定について紹介します。 ( あらい・みちこ ASTEC) 51 UNIX MAGAZINE 1999.2

6. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① 図 7 tcpd のアクセス言彖 Dec 17 19 : 55 : 22 mypc rshd [ 14918 ] : connect from herpc Dec 17 19 : 48 : 12 mypc te1netd[14832] : connect from somepc Dec 17 18 : 09 : 07 mypc ftpd [ 14421 ] : refused connect from herpc Dec 17 15 : 22 : 52 mypc ftpd [ 10418 ] : connect from nullpc ジで提供される tcpd の場合、 syslog デーモンの設疋ファイル (/etc/syslog. conf) を修正しないとログは残りません。 syslog については機会を改めて詳しく紹介する予定なので、今回は tcpd のアクセス言当求をファイルに残す手順だけを簡単に紹介します。 1. ログファイルを決めるます、アクセス記録を保存するログファイルを決めます。ここでは、、 /var/log/tcpd. log" にします。 2. 空のログファイルを作成する touch コマンドを使って、空のログファイルを作成します。 bash# touch /var/log/tcpd. 10g bash# ■ 3. /etc/syslog. conf を修正 syslog の疋ファイル /etc/syslog. conf をエデイタで編集し、ファイルの地頁に以下の 1 行を加えます。 /var/log/tcpd. 10g auth . info 4. syslog デーモンに変更を反映させる syslog デーモン (syslogd) に SIGHUP シグナルを送ると、設定ファイルを読み込みなおします。 syslogd のプロセス ID は /var/run/syslog. pid に言当求されているので、以下のように実行します。 bash# kill -HUP 'cat /var/run/syslog. pid' bash# ■ 以上の作業をおこなえば、 tcpd を利用しているサーピスのアクセス記録が /var/log/tcpd. log に残ります。 FreeBSD と BSD/OS とではメッセージの形式か彳妙に異なり、 FreeBSD のログファイルの内容は図 7 のようになります。あとは定期的にログファイルを詩ヾ、おかしなアクセスがないかどうかをチェックします。このほかにも、 tcp-wrappers のパッケージには、アクセス制御データベースのチェック・プログラムである tcpdchk や、与・えられたサービスとホストの組に対して UNIX MAGAZINE 1999.2 アクセスの可否を調べる tcpdmatch といったフグラムが用意されています。これらのプログラムは、 FreeBSD では /usr/local/sbin に、 BSD/OS では /usr/libexec/ tcpd-bin の下にあります。詳しい使い方については、オンライン・マニュアル tcpdchk(8) や tcpdmatch(8) などを参照してください。なお、 tcp-wrappers と似たような機能を実現するソフトウェアとして、 xinetd と呼はれるパッケージがあります。 xinetd は tcp-wrappers と違い、 inetd そのものを置き換える去がとられています 5 。 BSD/OS には tcp-wrappers が付属しているため、今回は tcp-wrappers のみを紹介しましたか : 両者の機能面での上交については本誌の「転ばぬ先のセキュリティ TCP wrapper と xinetd 」 [ 1 ] に詳しく書かれています。興未のある方は参照してください。 NIS サーバーの設疋これまでにも、 NIS て提供されるユーサー情報やホスト情報などを扱うガ去は紹介しました。しかし、とりあげたのは NIS の情報を利用する側、つまり NIS クライアントとしてマシンを重川乍させるための設定だけでした。この節では、 NIS の清報を提供する側、つまり NIS サーを構築するための設定を紹介します。マシンが 2 ~ 3 台しかなく、ユーサーが自分 1 人だけという自宅のネットワークのような竟だとあまり有効ではないかもしれませんが、マシンがそれなりに増えてくると、 NIS サーバーで情報を集中管理することのありがたみが分かるでし NIS サーバーには 2 種類あり、情報のオリジナルデータをイ尉寺する、、マスター (master) サー " と、マスターサーバーからコピーされたデータをもつ、、スレープ (slave) サーバー " に分かれます。 5 FreeBSD には、 xinetd のノヾイナリ・ノ、ツケージ (xinetd-2.2.1. tgz) が用意されています。 99

7. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① 図 3 tcp-wrappers のインストール (FreeBSD) bash# pkg—add —v /tmp/tcp—wrappers—7.6. tgz Requested space: 224392 bytes, free space : 136899584 bytes in /var/tmp/instmp. R26578 extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : extract : Package name is tcp—wrappers—7.6 CWD to /usr/local /usr/local/include/tcpd. h /usr/local/libexec/tcpd /usr/local/sbin/tcpdchk /usr/local/sbin/tcpdmatch /usr/local/bin/safe—finger /usr/local/bin/try-from /usr/local/lib/libwrap. a execute ' ranlib /usr/local/lib/libwrap. /usr/local/lib/libwrap. so . 7.6 execute '/sbin/ldconfig —m /usr/local/lib' /usr/10ca1/man/man3/hosts—access . 3. gz /usr/10ca1/man/man5/hosts—access . 5. gz /usr/IocaI/man/man5/hosts—options.5. gz /usr/10ca1/man/man8/tcpd.8. gz /usr/10ca1/man/man8/tcpdchk.8. gz /usr/10ca1/man/man8/tcpdmatch.8. gz /usr/local/etc/inetd. conf . wrapped. sample CWD t 0 Running mtree for tcp—wrappers—7.6. mtree —U —f + MTREE—DIRS —d —e —p /usr/local Attempting to record package int0 /var/db/pkg/tcp-wrappers-7.6. Package tcp-wrappers—7.6 registered in /var/db/pkg/tcp—wrappers—7.6 bash# 日 BSD/OS の場合、いくつかのサービスに対して tcpd を起動する言定があらかしめ /etc/inetd. conf にⅱ当されています。しかし、 OS のインストール時にはアクセス制御データベースか存在しないため、そのままでは従来の inetd と同じ重川をします。したがって、 BSD/OS でもアクセス制御データベースを作成する必要があります。以降では、それぞれの設定を順に説明します。 /etc/inetd. conf の設定 inetd の成疋ファイル /etc/inetd. conf には、どのサービスに対して tcpd を起動するのかを指定します。具イ勺には、 /etc/inetd. conf の第 6 フィールドと第 7 フィールドを書き換えることにより、 tcpd 経由てサーバー・プログラムを起動するように設定します。オリジナルの inetd を利用する場合、第 6 フィール 94 う意味でした。ドは、、サーノ、フィールドは、、 tcpd のパス名 ( 絶対パス ) " 、第 7 フィーこれに対し、 tcpd を利用する場合、第 6 フィールドは、、サーバー・プログラム夫行時の引数 " とい・プログラムのパス名 ( 糸寸パス ) " 、第 7 ルドは、、 ( アクセスカ午可されていれは ) tcpd か起動づ - るサーバー・プログラムの名前と引数 " という意味に変化します。また、 tcpd ではコンパイル時に、、サーバー・プログラムが置かれているディレクトリ " が定義されていますにこでは、、、デフォルト・ディレクトリ " と呼ぶことにします ) 。第 7 フィールドのサーバー・プログラムをプログラム名のみで指定すると、サーバー・プログラムはデフォルト・ディレクトリにあるものとして扱われます。この性質を利用すると、あるサービスに対して tcpd を適用するための設定に 2 不頁のガ去カ硬えます。具ー勺には、それぞオ LJ ユ下のようになります。サーパー・プログラムを tcpd で置き換えるデフォルト・ディレクトリが、オリジナルのサーバープログラムが置かれているディレクトリにこでは、、、オリジナル・ディレクトリ " と呼ぶことにします ) とは異なる場合、このガ去を使うと /etc/inetd. conf をまったく変更する必要がありません。デフォルト・ディレクトリが /usr/local/libexec で、 UNIX MAGAZINE 1999.2

8. UNIX MAGAZINE 1999年2月号

ファイアウォールの作り方白崎博生す。しかし、設定ファイルの言当を間違えると、外部から - 透過機能の実装 ( その 3 ) もファイアウォールの存在を意識せすに侵入される可能性があります。仕様上の制限と使用上の注意疋ファイルの言当ミス " は透過機能に限った間題では前回までで、ファイアウォールに透過機能を実装しましありませんが、する際は十二分に注意してください。た。今回は、透機能を使うときの注 . 意事項を説明します。 ping と traceroute はイ吏えないないはずの IP アドレスが充れるときどき、ファイアウォールの内側のユーサーからこん通常、外部と内部のネットワークを接続するルータ上でなことを言われます。 IP forwarding の機能を停止すると、内部ネットワーク「 ( ファイアウォール外部の ) ホストにアクセスでけへんに流れる IP'S ケットの送受信アドレスには、内部ネットで。 ping の応答はちゃんと返ってくるから生きてるとはワークの IP アドレスしか書かれていないはすです。とき思うんやけど。もしかして、ファイアウォールがおかしいどき、誰かが IP アドレスを付け間違えたりして外部の IP んとちゃう ? 」アドレスか書かれたバケットか流れることはあっても、そ前々回に説明したとおり、ファイアウォールの内部かのアドレスで通信がおこなわれることはありません。ら外部に対して p ⅲ g を実行すると、ファイアウォール・しかし、ファイアウォール上で透過機能をイ月すると、ホストがそれに応えてしまい、意図どおりの結果か得られ送受信アドレスに外部ネットワークの IP アドレスか書かません。れたバケットがファイアウォールの内側のネットワーク p ⅲ g の出力を注意深く見ると、 IP アドレスが違ってに流れます。しかも、通信もできます。そこで、ファイアいることに気づくはすですが、多くのユーザーはそんなとウォール内部で tcpdump を実行すると、、外部からパころは見ません。さらに、デフォルトでは IP アドレスをケットカヾ充れてきている " かのような痕跡を発見してびっ表示しない ping コマンドもあるので、普通のユーザーはくりすることがあります。ますますだまされてしまいます。たとえば、 BSD/OS や逼機能のイ督はみを十分に理解して、内部のユーサーか FreeBSD に付属する ping では図 1 ー a のように IP アドら「フィルタリングに穴がある」という報告を受けたときレスか表示されますが、 solaris の ping は、、生きてるで " も、きちんと説明できるように準備しておいてください。のメッセージしか表示しません ( 図 1 ー b 。オプションを指ユーサー認証を忘れると大変定すると BSD と同様な表示になります ) 。茴機能は、外向きのアクセスにも内向きのアクセスにこれを見たユーサーは、も使用できます。ファイアウォールの存在を意識せずに、ファイアウォールの内部から外部へアクセスできるのはたしかに便利で ping は通る ↓ 22 UNIX MAGAZINE 1999.2

9. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① 図 1 inetd のみを用いた場合ホスト A FreeBSD の場合、 OS 本体にはイ寸属しておらす、バイナリ・パッケージとして提供されています。そこで、まずはバイナリ・パッケージを FreeBSD マシンにインストールするところから始めましよう。バイナリ・パッケージのインストール tcp-wrappers のノヾイナリ・ノヾッケージは FreeBSD の CD-ROM に鸞求されています。ファイル名は tcp- wrappers-7.6. tgz です。 CD-ROM の構成によって多少違うかもしれませんが、 CD-ROM を /cdrom にマウントした場合は /cdrom/packages/All に置かれている、はすです 1 。〇バイナリ・パッケージは FreeBSD 関連の FTP サイトからも入手できます。国内であれは、・ ftp://ftp[1-6].jp.freebsd.org/pub/FreeBSD/ packages-stable/AII/ などにあるので、 FreeBSD の CD-ROM が手許にない場合はこちらから入手するといいでしよう。こでは、ノヾイナリ・ノ、ツケージを / tmp に置いたことにします。インストールは、バイナリ・パッケージのインストーラである pkg-add を実行するだけで自重加勺におこなわれます。図 3 のように、、、一 v " オプションを付けるとともできます。インストールの様子か詳しく表示さプログラム・ファ tcp-wrappers の最新バージョンは 7.6 です。国内でイルのほか、ライプラリやオンライン・マニュアルなどがは、以下に示す FTP サイトなどからソースパッケージどこに置かれるのかが分かります。 (tcp-wrappers-7.6. tar. (z) が入手できます。以 E ぞインストールは完了です。しかし、このままの状・ ftp://ftp.jpcert.or ・ jp/pub/security/tools/ 態ではインストール前と何も変わりません。 tcpd の機能 tcp-wrappers/ を利用するには、すくなくとも以下の設定が必要です。・ ftp://ftp.win.or ・ jp/pub/network/security/ ・ (inetd カ甘是供する ) どのサーピスに対して tcpd を適 tcp-wrappers/ 用するか。・あるサービスに対して、 tcpd をどのように動作させる BSD/OS に付属の tcp-wrappers は、ノヾージョン 7.3 をもとに BSD/OS 独自の拡張が施されたものです。具ー勺には、、、 nolog" および、、 exec" というオプションか前者は inetd の設定ファイルである /etc/inetd. conf 加されています。詳しくは、 BSD / OS のオンライン・マを編集し、特定のサービスに対して tcpd を起動するようニュアル hosts-options(5) などをご覧ください。機育顎勺に変更します。後者は tcpd が参照するアクセス制御デーには肄 i バージョンとあまり変わりませんが、必要であれタベースを作成し、アクセスを許可 ( あるいは拒否 ) するは・ソースパッケージを入手してインストールするといいでホストを設定します。しよう。去斤バージョンは BSD/OS にも対応している 1 これと異なる場合は、 "packages" というサプディレクトリを探してみので、すんなりコンパイルできます。てください。 fingerd i netd ホスト B telnetd 図 2 inetd と tcp-wrappers を組み合わせた場合ホスト A tcpd ftpd i n etd ホスト B telnetd アクセス制御テータベースアクセスログ 93 UNIX MAGAZINE 1999.2

10. UNIX MAGAZINE 1999年2月号

連載 / IJN Ⅸの玉手箱ー① して NIS に登録された自分のパスワードを変更できるようになります。 rpc ・ yppasswdd を経由してパスワードを変更すると、変更は自動的に master. passwd マップにも反映されます。・ rpc. ypxfrd ・プログラムです。マスターサーバーで起動するサーマスターサーバーからスレープサーバーに対するマップのコピーをより高速におこなえます 10 今回はマスターサーバーのみで漣用するのですから、起動するのは ypserv と rpc ・ yppasswdd だけでいいでし /etc/rc. conf のパラメータ言聢 FreeBSD の場合、マシンのプート時にこれらのデーモンが自重加勺に起動されるようにするには、 /etc/rc. conf ファイルの以下のパラメータを設定します (Solaris では、これらの設定は不要です ) 。・ nis—server—enal)le ypserv を起動するかどうかを指定します。デフォルトの値は、、 NO " になっているため、起動する場合は、、 YES" に変更します。・ nis—server—flags ypserv を起動ける際、オプションが必要であれは指定します ( デフォルト値は空 ) 。・ nis-yppasswdd-enable rpc ・ yppasswdd を起動するかどうかを指定します。 nis-server-enable と同じく、起動ける場合は、、 YES" ・ nis-yppasswdd-flags に変更します。 104 Solaris では ypxfrd です。 10 このデーモンを起動しなくても、マップのコピー自体はおこなえます。で次のように実行します。これらのデーモンを手動て起動ける場合は、コマンド行や rpc. yppasswdd(8) など ) をご覧ください。いては、それぞれのオンライン・マニュアル (ypserv(8) 各デーモンの起重加叔こ指定できるオプションの講田につ定します。 rpc ・ yppasswdd 起重加寺のオプション ( があれは ) を孑日 bash# /usr/sbin/ypserv bash# /usr/sbin/rpc ・ yppasswdd bash# ■ NIS サーバーの動作をてっとり早く確認したければ、 ypserv の起動後に ypbind も起動し、 ypcat や YP- match などを使って各マップが正しく引けることをチェックします 11 /var/yp/securenets によるアクセス制御 FreeBSD に付属する NIS サーバーのプログラム群に関しては、 /var/yp/securenets というファイルを用意しておくと、スレープサーバーや NIS クライアントからのアクセスを制限することができます。具ー勺には、アクセスを許可するネットワーク・アドレスとネットマスクの組を 1 行すっ指定します。たとえは、 NIS サーバーの属するネットワークが、、 192. 168.1.0 " であるとすると、ローカルなネットワークからのアクセスのみを許す場合、 /var/yp/securenets の内容は以下のようになります。 127.0.0. 1 192. 168 . 1 . 0 255.255.255.255 255.255.255.0 最初の、、 127.0.0.1 " で始まる行は、かならす指定しなけ川まなりません。さもないと、 NIS サーバーマシンのフロセスがルーフ。 / ヾック・インターフェイスを使って ypserv などにアクセスできなくなってしまいます。ネットグループの設定 NIS サーバーの設定とは直接関係ありませんが、最後にネットグルーフの設疋について簡単に紹介します。ネットグループ (netgroup) はホストやユーザーをグループ化するための概念で、 /etc/netgroup ファイルで定義します。ファイルのフォーマットは以下のとおりで、 1 つのネットグループに対するエントリを 1 行すっ旨定します。ネットグループ名メンパーメンパー 1 行に書ききれない場合は、行末に \ ( バックスラッシュ ) を付けると次の行に続けることができますが、 FreeBSD では 1 工ントリにつき最大 1 , 024 文字という 11 NIS サーバーになっているマシンで NIS 青報を利用したけ川ま、同時に N IS クライアントとしてもセットアップしなけれはなりません。 UNIX MAGAZINE 1999.2