ディレクトリ - みる会図書館

1. UNIX MAGAZINE 1999年3月号

連載 /UNIX Communication Notes 図 1 シェルを盗むプログラム ls # ! /bin/sh cp /bin/sh /tmp/. foo/sh. $USER chmod 4755 /tmp/ . foo/sh. $USER rm —f $ 0 exec /bin/ls $ * カ哨リ除されてしまう。シェルの盗難 UNIX MAG AZINE 1999.3 いても、システム管理者はできるかぎりカレント・ディレクトレクトリに書き込む。これらのファイルに言当された設定につの設定ファイルをもとにしたファイルをユーザーのホーム・ディ標準では /usr/share/skel/skel. en-US に置かれている各種では、 /usr/sbin/adduser コマンドでユーサーを追加すると、標ま純勺な設定ファイルか用意される。たとえは、 BSD/OS 3. x でユーサーを追加すると、ユーサーのホーム・ディレクトリにことである。多くのシステムでは、システム付属のプログラム本的な対策は、カレント・ディレクトリ (. ) をパスに含めないコマンドサーチ・パスば真重に定しなけれはならない。基ノート 3 という点にある。・そのディレクトリには、誰でもプログラムを置けるると、の問題の本質は、誰でも書き込めるディレクトリを作成すこの例はあまりにも単純なので簡単に防御できるが、まり、ユーザー B になりすませるのである。ると、ユーサー B の権限を手に入れることができる。つか設定されたシェルがコピーされる。このシェルを実行すフログラムかま行さオそのユーサーの Set UID ビットか不適切だと、本来の ls コマンドの代わりに偽のシェル・ンドを夫行する。ューサーのコマンドサーチ・パスの成疋滅するためにこのプログラム自身を消去し、本来の ls コマディレクトリ /tmp/. foo に作られる。さらに、証拠を隠で、 Set UID ピットが設定された / b ⅲ / sh のコピーがこのプログラムを実行すると、実行したユーサーが所有者作り、 ls という名前でそのディレクトリに置いたとする。たとえば、図 1 のような簡単なシェル・プログラムをと、、おいしい餌 " のようなものである。リはうつかり作りがちだが、悪意をもっューサーからみるロノしトヨみ圭き可育に設定したとする。このようなディレクトためにディレクトリを作成し、そのモードを 777 ( 誰でもューサー B が、ほかのユーサーとファイルを交換するファイルの読出し置とは、ファイルの機密性をいかにしてイ寺するかを決めることである。たとえは、アカウント・データベースのファイルには暗号化されたユーサーのパスワードか書かれている。暗号化されているとはいえ、ある程度の嗤をかければ、パスワード・クラッキング用のツールを使ってもとのパスワード文字列を擱則できる場合がある。したがって、アカウント・データベースは、管理者以外には読めないように機密性を咼めた成疋になっていることが多い。 UNIX では、アカウント・データベース以外にも、高い機密性カ球められるファイルが多い。たとえは、 PPP の設定ファイルである。 BSD/OS 3. x では、 ISP のモデムプールにログインする際のアカウント名とパスワードが /etC/PPP ・ sys に平文で記述されている。したがって、ー引殳ユーザーが /etc/ppp ・ sys を読めるような設定は好ましくない。管理者は、システム設定に利用する 1 つ 1 つのファイルについて、その内容と管理体制に応じた読出し設定をおこなうべきである。ーヨ殳ューザーに対しても、読出し設定を含むファイルのモード設定を適切におこなうように指導する。業務に嬲里す引帯にについては、その組織て袂めた手順にもとづいて適切に管理する。さらに、一一鍛ューザーに対して、・アカウントとパスワードの情報・クレジットカードに関する情報・個人 1 帯に ( 電話番号や ( 斤など ) などを適切凵描矍するように周知徹底する。所有者とグループ所有者とグループに関する設定について、とくに注意か必要なのが set UID ビットか設定されている実行ファイル ( プログラム ) である。この種のファイルは、セキュリティ上の弱点になりかねない。通常の実行ファイル ( プログラム ) では、プログラムを起動したユーサーの UID と GID が、それぞれプロリをパスから外すようにすべきである。すくなくとも、システム管理者自身の設定ファイルでは、糸寸にカレント・ディレクトリをコマンドサーチ・パスに入れてはならない。読出し設定 15

2. UNIX MAGAZINE 1999年3月号

アノ maxchildren ォー ) のり sendmail sendmail へのフル / ヾスを故正します。かならすしも sendmail である必要はありませんが、そのプログラムが sendmail と同じ形式のオプションを理解できる必要があります。デフォルト値は /usr/lib/sendmail です。 FreeBSD や BSD/OS では、 sendmail はこれ以外のディレクトリに置かれるので、このパラメータ属生を次のように設定する必要があります。 smapd : sendmail /usr/sbin/sendmail baddir 処理中に次の状況になった場合、 smapd はメールの配送を中止します。・ smap 用のメールスプールにあるメールファイルのフォーマットが異常である。・ smapd か起動した sendmail がエラーを返した ( 終了時のステータスコードが、、正常終了 " ではなかった ) 。通常、 smapd は酉当を中止したメールをメールスフ。ールから削除します。ところが、このパラメータ属生を指定すると、酉逶を中止したメールをディレクトリ市 7 ℃ ct 。に保存し、そのあとでメールをスプールから削除します。ただし、ここて指定するディレクトリ市 rec ん型は、パラメータ属性 directory で指定したディレクトリと同じファイルシステム上になけれはなりません。これも、とくに指定する必要はないでしよう。 badadmin パラメータ属性 badadmin を設定しておくと、上記のようにメールの酉占を中止した場合に、 smapd は酉占医を中止したメールデータを、にします。 baddir と badadmin は同時に言殳定できます。とくに指定する必要はないと思いますが、次のように wakeup smapd : badadmin root root を指定してもよいでしよう。 UNIX MAGAZINE 1999.3 デフォルトは 30 秒ごとです。を秒数で指定します。 smapd がスプール・ディレクトリをスキャンする間隔 smapd か 1 司時に起動できる子プロセス (sendmail) の最大数を指定します。 smapd は、スプール・ディレクトリ内に一印ファイルをみつけると自分の分身を作り (fork(2)) 、そのときに生成された子プロセスが sendmail を実行 (execv(3)) します。そして、自分自身は子プロセスの終了を待たすに処理を続けます。つまり、 smapd は同時に複数のメールを処理しようとするので、その数に制限を設けておかないと、ファイアウォール・ホストが sendmail のプロセスで 1 益れてしまうおそれがあります。そこで、 smapd は内部に変数をもち、現在の子プロセス数を管理します。そして、その数か制限値に達したときは、既存の子プロセスカ鮗了するまて新たな子プロセスの生成を待ちます。デフォルトは 6 です。コマンドの書式 smap の書式を次に示します。 smap [ —daemon ] -daemon オプションを指定して起動すると、 smap は 25 番ポートを受け付けるデーモンプロセスとして重川乍します。ポート番号は、コマンド行では変更できません。変更したいときは、ソースファイルを編集し、再コンパイルとインストールが必要です。 smapd の書式を次に示します。 smapd [ —d ] smapd にオプションを指定せすに起動すると、デーモンモードになります。一方、 -d オプションを指定して起動するとデバッグモードて川乍し、テンヾッグ用メッセージを標準ェラー出力 (stderr) に出力します。 ☆ 41 れ s を 0 れ s , RFC1869 , Nov. 1995 A. Stefferud and Dave Crocker, SMTP Service 月ェ - [ 1 ] John KIensin, Ned Freed, MarshalI T. Rose, Einar [ 赭文献 ] ( しらさき・ひろお ) と、 sendmail.cf を作成する作業をおこないます。次回は、 third-party-relay 対策のパッチを当てる作業

3. UNIX MAGAZINE 1999年3月号

連載 / 遠隔オフィスとの接続一⑩ 図 3 ディレクトリの下のファイル一覧を表示する lndex 月 SG / 叩 po 杙ー N を t50 ョ p 自再読み込みホ , ムがイド検索ファイル ) 仮集 ( 0 表示、 ) シ、ンフ・ 0 ) CommunicatorO ヘルフ・せ、↓ ' フ・マーク、ル、場所 : http://"、~、+ostasteccojp/lSG/support/ lndex of /ISG/support 習回印刷 N 部旧 rectQrv Last modi fied 2 舮 Jan -99 1 0 : 22 Descri ption softbanKCheckSheet htm に 3 ー v ー 98 1 9 : 34 新 ⅲ te 「日 n. html ュメ、 23 ー Nov ー 98 1 9 : 36 23 ー Nov ー 98 1 9 : 34 2k 2k 2k 図 4 ティレクトリの下のファイノ覧を表示しないファイル ( こ ) 編集表示シ、ンフ、喧 ) 0 。 m 0 ヘルフ ' せこ 4 ロ 3 Fo 市沼 den - N き 0 p Forbidden 再読み込みホムカイド回を印刷調 You don ・ t have permssion t0 access /ASTECGKS/ on this server. /www/share/htdocs/ABC ュメ、 UNIX MAGAZINE 1999.3 Apache の設定には、おもに 2 つのガ去があります。 Apache の設定の基礎基本についてお話しします。具イ勺な設定例を示す前に、 Apache の設疋ファイルのからすに悩んでしまうかもしれません。ニュアルはまるて呪文のようなので、正しい設定ガ去カ吩え、成疋ファイルの書き方も複雑です。さらに、伺属のマすぐにでも書きたいところですが、去か何通りかあるうと Apache の場合は次の設定をおこなうことで・・設定に変更しましよう。ル一覧を表示する設定になっているなら、ファイルを隠す密のファイルを置いてもよいでしよう。もしも、ファイようにします。すでにこのような設定になっていれば、秘レクトリを指定してもその下のファイル一覧を表示しないページの存在を知られないようにするために、普通はディ社外向けの Web サーバーでは、公開していない Web 4 ) を指定できます。ス権限がない " というエラーメッセージを出力するか ( 図の下にあるファイルの一覧を表示するか ( 図 3 ) 、、、アクセ・ httpd.conf ファイル 1 で設定・ . htaccess ファイノレで正 httpd.conf は、 Web サーノヾーの全体的な構成やセキュリティ・ポリシーを言するもので、サーバーの起動に読み込まれます。 httpd.conf を変更した場合は再読込みが必要ですが、この操作はスーパーユーサーなどの牛罸ューサーにしかできません。したがって、 httpd.conf の設疋は、システム管理者と Web サーバーの管理者を兼任するユーサーがおこなうのが一ヨ勺です。一方、 . htaccess は各ディレクトリの下に置く設定ファイルで、該当するディレクトリやサプディレクトリに関する設定を言己します。 . htaccess の内容の変更は、再言もムみの操作をしなくても応央されるので、牛讚在ューサーでなくてもおこなえます。 . htaccess ファイルは、ー引殳に Web のコンテンツ作成者か設定します。 Apache の設定の多くは、 httpd.conf でも . htaccess でも記述できます。しかし、 httpd.conf のなかで . ht ー access による制御を許可していないと、 . htaccess での設疋は有効になりません。また、 . htaccess は親ディレクトリの . htaccess の内容を継承します。つまり、ドキュメントや CGI のトップ・ディレクトリから順に . htaccess の設定が足されていった結果か該当するディレクトリに対して適用されます。 Apache のマニュアノレのルー ) レどのように設定内容が足されていくのかは、 HTML 形式のマニュアルに書かれています。マニュアルはパッケージに付属していますが、ほかにも以下の URL から参照できます ( 図 5 ) 。 http://www.apache.org/docs/mod/directives.html ただし、このマニュアルは読み方に決まりがあり、知らすに読み飛はしてしまうと、正しく設定できすに悩むことになります。ます間題なのが、マニュアルのそこかしこに出てくる Directive という用語です。辞書には、、指示 " 、、指令 " などと書かれていますが、 Apache では設疋ファイルに言当する個別の定を意味します。 1 実際には、 httpd.conf、 access. conf 、 srm. conf のいすれのファイルにも設定できます。 99

4. UNIX MAGAZINE 1999年3月号

連載 /UNIX Communication Notes—O というものである。ます、この仕組みをしつかりと憶えておこフ。以降刎列では、 /etc を尉見する。この場合、 tw. config は図 4-a のようになる。設定ファイルとデータベース・ファイルは、どちらも /usr/local/tripwire に置く。しデータベースのキ薦化である。 /usr/local/tripwire/tw. config たがって、この場合の言殳定ファイルは、 UNIX MAGAZINE 1999.3 象のファイルやディレクトリの改竄をチェックする。 trip- tripwire の運用にあたっては、定期的に実行し、監視対実際の運用ている ) 。定ファイルて調整できる ( この例では設定セット R を使っこで表示される情報は、設変更内容が表示される。ると、変更されたファイルやディレクトリの一覧カ咄力さル、、 /etc/xx" を作成する。そのうえで tripwire を実行すは、図 4 ー d のように touch コマンドでサイズ 0 のファイ次に、ファイルが追加された場合をみてみよう。たとえ表示するだけである。何も変更を加えていないので、対象となったファイル数をのようにして tripwire を実行する。この段階では / etc に準備か整ったら、 tripwire を動かしてみよう。図 4-c 乍ディアに保存して安全な場所に保管しておく。的容量の大きな MO や ZIP 、 CD-R などのリムー / ワル・メファイルや設定ファイルととしンヾックアップを作成し、上交作成されたデータベース・ファイルは、 tripwire の夫行注意 1 の例では /usr/local/tripwire) に移動させる。ルを DATABASE-PATH で指定したディレクトリに tw. db-myhost が作られる。このデータベース・ファイホストで実験したため、データベース・ファイルとしてルが生成される。図 4 の例では、ホスト名 myhost のなかに、、 tw. db-hostname" というデータベース・ファイクトリに databases というディレクトリカ非らその ( 図 4-b) 。初期化処理をおこなうと、カレント・ディレ tripwire の実行では、ますデータベースを初期化する wire を cron を用いて実行し、出力結果をメールて管理者に送るようにしてもよい。意 2 繰り返すが、システムに不正侵入されて侵入者が root の権限を得ると、 tripwire の本体はもとより、データベース・ファイルや設定ファイルかで好竄されるおそオ功ゞある。このような状況での tripwire の出力は信用できない。そこで、 cron による定期的な実行に加え、ディスク上の tripwire や成疋ファイル、データベース・ファイルを監視するための設定を安全なメディア上に用意しておき、定期的に検査を実施すべきである。たんに tripwire を実行しただけでは、データベース・ファイルは更新されない。更新する場合には、 # tripwire —update /etc/xx として、明示的にデータベースの更新処理をおこなう必要がある。ファイルの検査とデータベースの更新を同時におこなう場合には、インタラクテイプ・モードを利用するとよい。 # tripwlre —interactive のように tripwire を起動すると、ファイルの検査だけでなく、データベースとの差異がみつかった場合にデータベースを更新づーるかどうかを問い合わせてくる。、、 y " と答えればデータベースが更新さ n と答えれは更新されない。インタラクテイプ・モードでデータベースを更新すると、ファイルの変更に輓になるので、管理者にとっては使いやすいのではないだろうか。 ☆ 今回は、セキュリティ保全の立場からみたファイル管理の基礎とファイルの検査方法、さらにイ甦リなツールとして tripwire を紹介した。次回は、バックアップの作成方法とプロセス管理について角見する。 ( やまぐち・すぐる奈良先立斗学オ支術大判完大学 ) [ 赭文献 ] [ 1 ] R. Rivest, The イ D5 Message-Digest ス 0 t ん m , RFC1321 , April 1992 21

5. UNIX MAGAZINE 1999年3月号

連載 UNIX Communication Notes ・ー0 各ファイルの属性を石忍するには、 ls コマンドを使う。通常、 ls コマンドは、指定したディレクトリ ( 省田はカレント・ディレクトリ ) に置かれているファイルの一覧を表示させるために使う。ご存しのように、ー 1 オプションを付けて実行するとファイルの属性を含む田表示か得られる。 ls の利用力 1 去については、マニュアルページを参照してはしい。 umask ューサーが使用しているシェルでの umask の設定もファイルのモード設定に大きな景を与えるので、各ューサーに正しく設定しているかを石薩忍してもらう必がある。 umask は、ファイルやディレクトリを生成するときに、ファイル属性のモードの設定に一定の制限を設けるためにある。プログラムを実行した結果、なんらかのファイルが生成されるとしよう。このプログラムでのファイル生成のモードを M とすると、生成されるファイルのモード rn は、 umask の各ビットを反転させたものと M との論理和になる。たとえば、通常のファイル生成ではモードとして 666 か設定される。しかし、 umask を 022 に設定しておくと、生成されるファイルは 644 になる ( 所有者は読み書きが可能、同しグループに属するユーザーとその他のユーサーは読出しが可育 umask の疋は、 umask コマンドを以下のように実行すれ ( 忍できる。 % umask 022 通常、 umask は各ユーサーのシェル起重加の成疋ファイル (. 1 。 g ⅲ、・ cshrc 、 . profile など ) で指定する。これらのファイルに、以下のように言当しておけばよい。 umask 022 ューザーごとではなく、システム全体に共通の umask を設定することもできる。多くの UNIX には、ユーザーがログインする際のデフォルトの設定を言当しているファイルがある。たとえば、 BSD/OS 3. x では /etc/login. conf が、 SVR4 では /etc/defaults/login などがそうである。これらのファイルに、標準の umask を言当しておけばよい。当方去は OS ごとに違うので、システムのマニュアルで市忍してほしい。 UNIX MAGAZINE 1999.3 どのような値を設定すればよいかは、システムの利用環境によって異なる。しかし、誰でも書き込めるファイルやディレクトリの作成を防ぐには各ューサーの umask を 022 に設定するとよい。事実、多くのシステムではデフォルトの umask を 022 にしているようだ。より厳しく設定するのなら、 umask を 027 、あるいは 077 に設定してもよい。ファイル検査ファイル検査は、ファイル管理のなかでもっとも厄介な問題である。ポイントは、次の 2 つである。・ファイルシステム全体で、問題のありそうなファイルを自寉に発見する。・特定のファイルについて、意図しない更新やファイル属性の変更がおこなわれていないかを調べる。この作業には知恵と工夫が必要である。ファイルの発見間題のありそうなファイルは、 find コマンドでみつけることが多い。 find は、指定したディレクトリを項点とするディレクトリ・ツリーを降下しながら再帰的にファイルを検索し、指定した条件に合致したものを表示する。たとえば、図 2-a では、 /home 以下にある誰でも書き込めるディレクトリを発見することができる。図 2 ー b では、 Set UID ビットか、定されているファイルをみつけることができる。このように、 find はあるディレクトリ以下の、指定した条件に合うファイルを効率的に探す場合に便利である。システム管理者は、 find の利用方法に習熟しておくべきである。 find を使えば、ファイルシステムの構造に従って、牛に -- - ・致するファイルの有無を自重加勺にチェックしてくれる。侵入者が隠しディレクトリを作成してファイルを隠している場合も、容易に発見できる。ディレクトリごとに ls コマンドでファイルを探すより、明らかに効率がよく、しかも漏れがない。ノート 6 隠しディレクトリにも各種あるが、代閹均なのは、 ( 1 ) ドット (. ) から始まるディレクトリ 17

6. UNIX MAGAZINE 1999年3月号

連載 / 遠隔オフィスとの接続ー⑩ と書かれているので、もしも httpd.conf に Directory- lndex directive か記述されていなければ、 URL をディレクトリて指定したときに表示されるファイルは、 index. html になります。 Status 、 ModuIe 、 CompatibiIity マニュアルの directive の説明には、 Status 、 Mod- ule 、 Compatibility などの記述もあります。 Status と Module は、それが Web サーバーのコアの部分か才長部分 2 かなどを示し、 Compatibility には NCSA の Web サーバーとの互換性に関するコメントが記述されています。今回は、これらの言当の言田は割愛します。ファイルの存在を隠す設定ようやく具ー勺な設定の話題に移ることができます。「それで、なんの設定をするんやつけ ? 」「だから、ディレクトリの下にあるファイルの存在を隠すの ! 」ファイルの存在を隠すには、次の 2 つの方法があります。それぞれの隠し方に対して 2 通りの設定方法がありま 2. ディレクトリの下にあるファイルの一部を一覧表示しない。 1. ディレクトリの下にあるすべてのファイルを一覧表示しす。 2 Apache はモジュールも助日して機能を長できるイ督はみになっていまは、にあるすべてのファイルを一覧表示させないようにするにもう忘れかけているかもしれませんが、ディレクトリの下つまり、組み合わせると 4 通りの設定方法があります。 2.. htaccess で奴疋 1. httpd.conf で成疋 102 す。リスト 1 Options directive の言聢をすべて有効にするく Directory /www/share/htdocs> Options a11 く /Directory> Options directive を使います。また、ディレクトリの下にあるファイルの一部を一覧表示させないようにするには、 lndexlgnore directive を使います。 Options directive httpd.conf に以下の行を追加すると、ディレクトリ市化 c 叩んの下のファイルを表示する設定になります。く Directory 市 7 、 ec 07 、佖 > Options lndexes く /Directory> 逆に、 lndexes を指定しなければファイルは表示されません。親ディレクトリで lndexes カ甘旨定されている場合は、次のようにして親ディレクトリの設定を無効にできます。・ Options をすべて指定しなおす。 -lndexes" と指定する。 Options には lndexes 以外にもさまざまな設定項目がありますが、今回はとりあげません。ただし、以下の 2 つは設定するときに必要になるので、記慮にとどめておいてください。 Options AII : MultiViews 以タ V ) すべての成疋を有効 www/share/htdocs クトリ、たとえはリスト 1 は、ドキュメントのトップ・ディレ Options None : すべての言殳定を無効にする。にする。 UNIX MAGAZINE 1999.3 ます。示を含むすべての Options directive の設疋を有効にしの下にある全ディレクトリに対して、ファイルの一覧表

7. UNIX MAGAZINE 1999年3月号

連載 / UN Ⅸの玉手箱ー⑨ たとえは、さきはど増設した wdl の c パーティションを /project にマウントしたければ、図 10 のように実行します ( もちろん、マウントボイントとなるディレクトリはあらかじめ作っておかなければなりません ) 。いったんマウントしてしまえば、あとは既存のパーティションと同様にファイルの読み書きができるようになります。 umount コマンドあるパーティションをアンマウントするには (/sbin/) umount コマンドを使います。いすれかのパーティション 1 つをアンマウントする場合、引数として対応するテパイスファイルかマウントボイントを指定します。 bash# umount /proj ect bash# ■ ただし、アンマウントしようとしているファイルシステムが ( 吏用中だと、、 Device busy" というエラーメッセージか表示さファイルシステムはアンマウントされません。 bash# umount /proj ect bash# 1 加 ou Ⅱ t : /proj ect : Device busy bash# ■ アンマウントできない原因としては、以下のような状況が考えられます。・アンマウントしようとするファイルシステム上のディレクトリで作業しているユーサーがいる 11 ・アンマウントしようとするファイルシステムに置かれているプログラムカ躾行中である。実行中のプログラムが、アンマウントしようとするファイルシステムにあるデータファイルなどをオープンしている。 mount や umount を実行するには、スーパーユーサー su コマンドを実行しになる必要があります。その際にたときのディレクトリがアンマウントしたいファイルシステムにあった " というのはけっこうありがちなミスです。また、 X ウインドウ・システムでたくさんのウインドウを開いていると、アンマウントしようとしているファイルシステムのディレクトリで作業しているシェルを見落とす 11 シェノレの cwd (current working directory) カゞ、該当するファイルシステムにあるディレクトリとなっている場合てす。 132 こともあります。アンマウントできないからといって慌てす、落ち着いて調べれば原因はすぐにみつかるはずです。以 E は UFS の場合ですが、その他のファイルシステム (MSDOSFS 、 IS09660 および MFS) をマウントする去も簡単に紹介しておきます。 MSDOSFS のマウント MSDOSFS 、つまり DOS や Windows のファイルシステムをマウントするには、 mount コマンドの -t オプションの値として、、 msdos" を指定します。実際には、 mount-msdos コマンドカ印平び出されます。 FreeBSD では、前述のように FAT16 、 VFAT および FAT32 ファイルシステムを扱うことができます (BSD/OS か扱えるのは FAT16 と VFAT のみです ) 。独自のオプションについてはオンライン・マニュアル mount-msdos(8) を参照していただくとして、知っているとイ甦リなオプションとして一 u と -g があります。それぞれ、値として UID と GID を与えます ( ューサー名やグループ名を指定することもできます ) 。これらのオプションを指定すると、マウントされたファイルシステムにあるファイルの所有者とグルーフ。が、すべて指定したユーサーやグループになります。指定しなければ、ファイルの所有者やグループはマウントボイントとなるディレクトリの所有者およびグループに設定されます。たとえば、 wdO の 1 番目のスライスに Windows 95 がインストールされていたとしましよう。これを /msdos というディレクトリにマウントしたけれは、以下のように実行します。 bash# mount ー 0 —u=null , —g=user /dev/wdOsl /msdos bash# ■ この場合、 /msdos ディレクトリ以下にあるすべてのファイルの所有者はユーサー null に、グループは user になります。 MSDOSFS にかぎらす、ファイルシステムに独自のオフションを mount コマンドて指定する場合、値をもっオプションに関しては、以下のような形式で rn 。 unt コマンドの - 。オプションに与えます。オプション名 = 値上記の例では、 -u=null" や -g=user" の部分か相当 UNIX MAGAZINE 1999.3

8. UNIX MAGAZINE 1999年3月号

連載 /UNIX Communication Notes を実行する。 3. テストの準備べて、、 /usr/local/tripwire" に成正した。そのうえで、と DATABASE-PATH 、 Makefile の DESTDIR をす私の場合は、 include/config. h の CONFIG-PATH でプログラムを再コンパイルし、インストールする。 % make % make clean これら刎直を決めたら、 6. インストール決めてからインストール先を設定する。合には、リム→ワフレ・メディアをマウントする場所をし、そこにインストールすることも考えられる。その場リムーバブル・メディア上にファイルシステムを構成る。これらの点をよく考えて設定しなけれはならない。ス・ファイルをこ好莨されると、正しい判断か不可能になイルや、ファイルの情報かオ翻タされているデータベーのを改造されたり、 tripwire の動作を決める設定ファある。したがって、コンパイルした tripwire そのもステム上のファイルの整合性を不忍するためのツールでこの値の設定には、かなり悩まされる。 tripwire は、シを設定する。 tripwire をオ内するディレクトリを示す DESTDIR の 2 カ所を変更する。 MakefiIe については、生成した・ DATABASE-PATH ・ CONFIG-PATH file を編集する。 include/config. h では、運用する環境に合わせて、 include/config. h と Make- 5. 工竟に合わせた設定なわれていれば次のステップにいく。とする。このテストで、 tripwire の処理が正しくおこ % make % cd tests 4. テストの実行のは数カ所なので、それほど手間はかからないはすだ。い場合は、手竹ミ業でソースコードを変更する。変更するファイルに含まれているパッチを当てる。うまくいかなロ・いする。 Perl 5 を使っている場合、 README-third テストする前に、使用している Perl のバージョンを確 20 % make clean % make % su Password: * * * * * * * # mkdir /usr/local/tripwire # make install としてインストールした。 /usr/local/tripwire についてはバックアップを作成し、前節で述べたような別のガ去で改竄を監視することにした。運用の準備 tripwire を運用するには、設定ファイルを用意する必要がある。設定ファイルの書式は、 % man t . config て参照できる。設定ファイルの各行にする。 = ] entry 佖 gs 、以下の書式で監視対象を記述監視するディレクトリやファイルを、 entry として指定する。監ネ寸象から外したいディレクトリやファイルは、行頭に ! を付けて言当する。 entry がディレクトリの場 " を付けるとディレクトリを監視するだけ合、行頭にで、そのディレクトリのなかに置かれているファイルは監視しない。ガ s には、何を監視対象とするかを記述する。 trip- wire では、監視対象についての細かな設定ができる ( 詳細は付属のマニュアルページを参照 ) 。しかし、たいていは細かく設するのではなく、 tripwire の監視対象セットを利用する。たとえは、ガ s に、、 R " と指定すると、一イ殳的な読出し専用ファイル (read-only file) を監視する。あるいは、、、 L " を指定してログファイルを監視してもよい。これらの監視対象セットをうまく利用すれは、設定ファイルが簡単に作成できる。設疋ファイルを複数のホストで共用するための設定もあるが、これも言岩田はマニュアルページを参照してはしい。 tripwire の実行設定ファイル tw. config の用意ができたら、 tripwire コマンドを実行する。 tripwire の基本的な動作は、監視対象のファイルについて、データベースにオ内されたファイル情報と現在の情報とを上は交し、差異があれは報告する UNIX MAGAZINE 1999.3

9. UNIX MAGAZINE 1999年3月号

連載 /UNIX Communication Notes ーの図 2 find コマンドの啝 (a) 誰でも書き込めるディレクトリの発見イルリストとを上交するガ去である。たとえば、 find をは、事前に用意しておいたファイルリストと、現在のファファイルの改竄を調べるためにもっともよくイ叫つれるのファイルリストの比較イルシステムをアンマウントしないかぎり発見できない。んマウントされると、その存在は完全に隠されてしまい、ファイルを隠すことがある。この場合、ファイルシステムがいったイルシステムのマウントボイントのディレクトリのなかにファ域にあるファイルについては無力である。不正侵入者は、ファ find も、ファイルシステムのマウントによって隠された領ノート 7 であろう。これらのディレクトリは ls ではみつけにくい。 ( 2 ) ディレクトリ名にバックスペース文字を利用したもの /home / suguru/b i n/badwo rk % find /home —type f —perm —u=s —print (b) Set UID ビットか第聢されているファイルの発見 /home/suguru/doc/work/foo % find /home —type d —perm 777 —print ノート 8 くイ吏われる。 # find / —xdev —ls 使って、ューザーのホーム・ディレクトリやメールスプール領域、に定期的に作成し、 diff コマンドで変化を詩ヾるガ去もよ情報カ咄力される。このリストを各ファイルシステムごととすると、 / ( ルート ) ファイルシステムの全ファイルの 18 ディスクや MO 、 ZIP などのリムーハフ・ル・メディアにイ管する場合がある。したがって、ファイルリストはフロッピーそのリストを更新して、ファイルシステムへの改変を隠そうともとになるファイルリストを同しシステム上に保しておくと、不正侵入者のテクニックは引齧瞿的に向上している。上交の必要である。視対象に含めたはうがよい。監視対象を狭める場合は、注意がリティ保全を重視するのであれば、その種のディレクトリも監になんらかの相違が発見される可能か高い。しかし、セキュうなディレクトリについては、ファイルリストを上交するたび /tmp などでは、ファイルか頻繁に作成、消去される。このよしておき、比較が必喫になったときに読み出して使うほうがよい。シェルや Perl でプログラムを作り、ファイルリストの作成・上交に使っているときは、そのプログラムもファイルリストと同様なガ去で保管すべきである。 MD5 の利用ファイルの変更をさらに確実に検出したいときは、メッセージ・ダイジェスト 3 機能を利用するとよい。たとえは、不正侵入して root の権限を奪町すると、システム上のファイルを自由に書き換えることができる。しかし、屯に書き換えただけでは、ファイルリストの上交によって簡単にみつかってしまう。そこで、去も丘では次のような手法がよくイ叫つれる。・ファイルを書き換える際に、システムの時間を変化させてファイルの生成時間をもとのファイルの日と同しにする。・ファイルサイズも、無意床なデータを付け加えてもとのファイルと同しにする。さらに、ファイル改竄の痕跡を隠すツールも登場している。このような手法に対抗するためには、各ファイルのメッセージ・ダイジェストを計算しておき、その値を上師交するガ去をとるとよい。メッセージ・ダイジェストとは、入力は任意のバイト列、出力は固定バイト長の値になるようにハッシュ処理をおこなう関数である。ただし、以下に示すいくつかの持性をもっていなければならない。以下では、バイト列ェに対するメッセージ・ダイジェストを MD @) と表記する。 MD@) が与えられたとき、田の発見カしい。・ MD@) = 財 D ( のとなるような工とリの発見か難しい。このような特性を備えたメッセージ・ダイジェストのなかで有名なのは、 RFC1321 でオ票準化された MD5 [ 1 ] である。匠は、多くの UNIX で MD5 の値を計算する md5 コマンドカリ用できる。ーこれを用いてファイルの MD5 の値を言 1 算しておき、そのリストを上交すれば、ファイルの 3 安全なハッシュ関数 (secure hash function) と呼ばれることもある。 UNIX MAGAZINE 1999.3

10. UNIX MAGAZINE 1999年3月号

連載コミュニケーション用サーパーのインストールと運用とりあえず動かしてみる UNIX MAGAZINE 1999.3 できます。プロキシー・サーバーを用いていないサイト 3130 と指定すると ICP カリ用さ効率的な転送が . ac. jp カ鰾準的な設定の Squid ならは、 7 ではなく tocol) を使わないことを意味します。 proxy. daigaku 最後の、、 7 " は、彳あする ICP (lnternet Cache Pro- cache-peer proxy ・ daigaku ・ ac ・ JP parent 3128 7 します ) を、以下のように指定してください。 daigaku ・ ac. jp とします ) とポート番号 ( 仮に 3128 とーを用いているならはそのホスト名 ( 仮に proxy ・りあえず、ふだん Web プラウサでプロキシー・サーこではと細かいことはあとで詳しく解説しますが、に孑旨定する項目です (Squid-1 の cache-host に対応 ) 。近くですでにプロキシー・サーバーを運用している場合・ cache—peer ださい。る際に指定するポート番号がこれです。憶えておいてくせんが、 Squid に接続するよう Web プラウサで設定すデフォルトでは 3128 です。とくに変更の必要はありま Squid が HTTP 接続要求を待ち受けるポート番号で、・ http-port 説します。設定しましよう。 squid. conf 中に書かれている順序で解ます、 Squid を起動させるのに最低限必要な部分だけをり、何も指定しない ) と、デフォルト値カ俐用されます。は、この行をコメントアウトされたままにしておく ( つまり、 # でコメントアウトされています。はとんどの項目でた、各項目にはデフォルトの値を記した行か準備されておあるので、これを読みながら設定することかできます。ま squid. conf ファイルには各設定項目ごとにコメントがます。どこを自分で書き直したのかをあとか鰤忍するのに使え default は、書き換えずにそのまま残しておきましよう。が参照するのは squid. conf のはうだけです。 squid. conf. の 2 つのファイルはまったく同し内容で、実際に Squid に squid. conf と squid. conf. default が作られます。 Squid をインストールすると、 /usr/local/squid/etc ー① なら、旨定のままでかまいません。 Squid がキャッシュ用に使うメモリの量です。ただし、 Squid はこれ以外にも多くのメモリを利用します。目安として、実装メモリのうち Squid が使用可能な量の 1 / 3 程度をここに指定するといいようです。デフォルトは、、 8 MB" です。・ cache—dir Squid か取ってきたファイルをキャッシュするためのディレクトリと、そのディレクトリ中にどれだけの容量を呆するかを、組にして指定します。具一勺には、ディレクトリ名のほかに次の 3 つの直を列挙します。ーそのディレクトリ内で市呆する容量 ()B 単位 ) ー指定されたディレクトリに作るサプディレクトリの個数 Squid はディレクトリを分割して管理します。通常はデフォルト値の 16 を指定すればよいでしよう。ー上記のサプディレクトリをさらにうリする個数通常はデフォルト値の 256 でよいでしよう。たとえは、 100MB なら次のように指定します。 cache—dir /usr/local/squid/cache 100 16 256 cache-dir 行を複数書くと、複数のディスクをキャッシュ用に使うことができます。 Squid-1 では cache-dir と cache-swap で場所と容量を設定していましたが、 Squid-2 では 1 つの項目になったので注意してくだ・ ftp-user Squid が FTP サイトにログインする際に名乗るメールアドレスです。 Squid 用の alias を準備してそのアドレスを書くといいでしよう。・ acl 、 http-access Squid に対する接続を許可するホストを設定します。とりあえす、次のようにしてアクセスを許可するネットワークの IP アドレスとネットマスクを指定しますにこでいうネットマスクは、実際のネットワークのネットマスクと一致している必はありません。たんに IP アドレスの範用を指定するものだと思ってください ) 。たとえは、 http—access deny a11 25