指定 - みる会図書館

1. UNIX MAGAZINE 1999年3月号

図 9 always-direct 吏用例 ( 2 ) acI local—external dstdomain other—campus . daigaku ・ ac ・ JP 連載コミュニケーション用サーパーのインストールと運用ー① 表 1 ACL の頁 ( 抜枠 ) ・ ac ・」 P 説明 srcdornmn dstdomain t ime proto src dst 孑売元ホストの IP アドレスを基準に判定をおこなう URI の最初の部分 ( スキーム名 ) をもとに判定をおこなうそのときの曜日と日リをもとに判定をおこなう要求された URI の文字列中に含まれるドメイン名部分を利用して判定をおこなうこなう ( 毎回 DNS 参照が発生することに注接続元ホストの IP アドレスを逆引きして得られたドメイン名を利用して判定をおた IP アドレスを利用して判定をおこなう ( 毎回 DNS 参照が忖す - ることに注意 ) 要求された URI の文字列中に含まれるドメイン名から DNS を正引きして得られ、文字列 " 部分の記述例 123.45.0.0 / 255.255.0.0 135.79.0.0 / 255.255.0.0 daigaku. ac. JP yoso ・ ac ・ JP ac. JP ascii. co. jp edu 8 : 00 ー 23 : 00 HTTP FTP acI local—servers dstdomain daigaku always—direct deny local—external always—direct a110W local—servers 図 10 never-direct 吏用例 acl local—servers dstdomain daigaku ・ ac ・ JP acl a11 src 0 . 0 . 0 . 0 / 0 . 0 . 0 . 0 never_direct deny local—servers never_direct a110W a11 UNIX MAGAZINE 1999.3 フォーマンスか落ちます。 Squid の運用を始めて、、遅多い場合には、この数値を増やしておかないとかなりパロセスを起動しますが、接続してくるクライアント数がえるようになっています。デフォルトでは 5 個の子プ同時に起動することで、並列的に DNS 検索がおこなから子プロセスとして起動されるのですが、これを複数用のプログラムを独自にもっています。これは Squid Squid は DNS を頻繁に参照するので、 DNS 問・を専・ dns-children squid. conf ファイルで性能のチューニングかできます。運用するホスト自身のスペックがあまり高くない場合、対象とするクライアントの数が多かったり、 Squid を性能のチューニンク用されます。定をおこなう場合は、 always-direct のほうかイ憂う朝勺に適ちなみに、 always-direct と never-direct を混ぜた指指定は中立に戻す効果しかもちません。 always-direct deny" についても同様です。、 deny" の never-direct allow ともっと考えればよいでしよう。 allow で、 never-direct deny は中立に戻す効果のみをい " と感したら、ますこの直を増やしてみるといいでしよう。・ maxlmum—object—size Squid は、ある程隻以上のサイズのデータはキャッシュしません。そのぶんを、小さいデータをたくさんキャッシュするのに回したほうが、全体として効率がいいからです。デフォルトでは 4MB ( 4 , 096KB ) 以下のものをキャッシュしますが、ディスクが少ないならこの数値も小さくしたはうがいいでしよう。・ cache-swap-high 、 cache-swap 」 ow Squid は、各ディレクトリ内のキャッシュデータの総量が cache-dir で指定した限界容量に近づくまではどんどんデータを溜めていきますが、 cache-swap-high て指定した率まて理まるとファイルを消し始め、 cache w 叩」。 w で指定した率になるまでディスクを空けます。これは、、消すときにはまとめて消したほうが、こまごまと消したり書いたりを繰り返すより効率がいい " からです。標準ではそれぞれ 95 % 、 90 % になっていますが、限界容量が小さくてディスクか遅い場合は、この 2 つの数値をもうすこし離す ( たとえば、 95 % と 85 % にする ) といいでしよう。ホストの起重加叔こ自重加勺に Squid か起動されるようにするには、 /etc/rc. local (BSD 系の (S) か /etc/init. d/* など (SystemV 系の (S) に書き加える必要があり Squid の起動と再起動 31

2. UNIX MAGAZINE 1999年3月号

連載 / IJN Ⅸの玉手箱ー⑨ 図 11 インストール直後の /etc/fstab 列 # Device /dev/wdOs2b /dev/wdOs2a /dev/wdOs2e proc /dev/wcdOc Mountpoint none /usr /proc /cdrom FStype SWap uf s uf s procfs Cd9660 Options SW ro , noauto Dump 0 1 2 0 0 Pass# 0 1 2 0 0 ます。 fsck は UFS ( FFS ) のファイルシステムをチェックするためのコマンドなので、 UFS 以外のファイルシステムに対しては、 0 " を指定し、 fsck を実行しないように指示する必要があります。 fsck を実行するファイルシステムに対しては、 1 以上の数値を指定します。この場合、同じ数値を指定されたファイルシステムか馥数あると、 fsck か 1 司時に実行されます。ただし、同一のハードディスクにあるパーティション群に対して fsck を同時に実行してもあまり意味がありません。山も匠のハードディスクはそれなりに高速ですし、マシンを正しくシャットダウンすれば、次回の起重加叔こはファイルシステムに間題がないと判断して fsck はスキップされるので、あとで追加した (UFS の ) ファイルシステムに 1 を指定しておけばいいでついては、このフィールドにしよう。 fsck の詳細については、オンライン・マニュアル fsck(8) などを参照してください。 OS をインストールした変の状態では、インストール時にセットアップしたハードディスクのパーティション ( スワップ領域を含む ) に対するエントリと、インストール時に CD-ROM を用いた場合は CD-ROM ドライプに対応するエントリか設定されているはずです ( 図 11 ) 。さらに、 FreeBSD や BSD/OS ではプロセス・ファイルシステムも有効になっています。これに対し、増設したハードディスクや Windows 95 のファイルシステム、 MFS などを自重加勺にマウントするよう設定したければ、 /etc/fstab に以下のような行を追加します。 /dev/wdlc /proj ect ufs rw 0 1 /dev/wdOs1 /msdos msdos rw , —u=null , -g=user 0 0 /dev/wdOs2b /tmp mfs rw , ー s = 65536 0 0 /etc/fstab にファイルシステムを登録しておくと、自重加勺にマウントされるだけではありません。手動でマウントする際も、 mount コマンドの引数にマウントボイント UNIX MAGAZINE 1999.3 だけを指定すれば、 /etc/fstab を検索して対応するエントリに対するマウント処理をおこないます。したがって、 mount コマンドに対するオプション指定などを省略できるといったメリットもあります。なお、 mount コマンドに一 a オプションを付けて実行すると、 /etc/fstab に登録されているすべてのファイルシステムをマウントします (noauto オプションを指定したものを除きます ) 。この際、 -t オプションでファイルシステムの不頁を与える 14 ことにより、指定された不種頁のファイルシステムだけをマウントしようとします。たとえば、 mount -a -t ufs" を実行すると、 /etc/fstab のエントリのうち UFS のファイルシステムだけをマウントします。シングルューザー・モードでマシンを起動した際、起重加寺にマウントされているのはルート・ノヾーティションた、けなので、必要に応して上記のように実行すれば、その他の (UFS の ) パーティションをまとめてマウントすることができます。 ☆ 次回は、ネットワーク上でファイルを共有するための NFS や、オートマウントに関する話題をとりあげる予定 [ 赭文献 ] [ 1 ] 浜田直樹「 FreeBSD ノートハードディスク」、 UNIX MAGAZINE 、 1997 年 5 月号 [ 2 ] 齊藤日己「 BSD をハックする一ファイルシステム ( 1 ) ~ ( 2 ) 」、 UNIX MAGAZINE 、 1998 年 3 月号、 5 月号 [ 3 ] 浜田直樹「 FreeBSD ノートーファイルシステム ( 前編・ : 後編 ) 」、 UNIX MAGAZINE 、 1997 年 12 月号 ~ 1998 年 1 月号 14 複数の不頁を指定する場合はカンマて区切って並べ手職頁を表す名前の : 頁に、 no " を付ける ( たとえßnoufs) と、その不軽頁のファイルシステムをドトすることを未します。 135

3. UNIX MAGAZINE 1999年3月号

表 3 smap の′くラメータ属性パラメータ属性 groupid gro 社加 d userid userid smapd か 1 司時に fork(2) する sendmail のムをた数を言殳定スプール・ディレクトリをチェックする日判の間隔を設定 smap 用のスプール・ディレクトリを設定プログラムをユーサー ID userid の権限でま行プログラムをグループ ID gr 。叩記の権限で実行醪医できなかったメールをするメールアドレスを設定正常に醪逶できなかったメールを保存しておくディレクトリを設定 sendmail への / ヾス名説明メール受信者数の最大値を設定受信を許可する電子メールの最大バイト数を言置接続切断までのアイドル間を設定 sm 叩用のスプール・ディレクトリを設定プログラムをユーサー ID userid の権限で実行プログラムをグループ ID gro 記刎限で実行説明 maxchildren children wakeup S econds directory 市 7 、 ec 07 userid usertd groupid gro 社〃を d badadmin user baddir 市几 ct0T ・リ sendmail ro 、佖 m パラメータ属性表 4 smapd の / ヾラメータ属性 maxreclp 77 ~ 佖れ社 7 〃 maxbytes 64 s timeout seconds directory 市 7 ℃ cto 型一方、 smapd は受信した電子メールをこのスプール・ maxbyt es 位は秒で、デフォルトは 7 , 200 秒です。 timeout は、この時間を設定するためのものです。一定時間続くと、 smap は自重加勺に接続を切断します。 SMTP コマンドを受信しない状態 ( アイドル状態 ) が timeout ディレクトリから探し出し、外部に再送信します。単れば、とくに指定する必要はないでしよう。ファイアウォール・ホストに十分なディスク容量があ 552 T00 much data た場合は、メール送信側に次のエラーを返します。ここで指定する値よりも大きい電子メールか送られてき行もカウントされます。 ()R 十 LF でも ) 1 バイトとして数えます。もちろん、空ヘッダと本文を合計したバイト数です。ただし、改行は指定します。この、、電子メールのバイト数 " とは、メール smap が受信を許可する電子メールの最大バイト数を 40 を指定します。 1 回の SMTP 接続で許可する、、 RCPT TO" の最大数 maxrecnp デフォルトは無制限です。パラメータ属性の名前や、プログラム中の変数の名前を UNIX MAGAZINE 1999.3 デフォルトは無制限です。ます。グリストのメールが正しく酉当逶できなくなる可能性がありる場合は、このパラメータ属生の制限によって、メーリンよう。ファイアウォール内部でメーリングリストを運営すこのパラメータ属生も、とくに指定する必要はないでしの間違いではないかと思います。 if (maxrecip > 0 & & + + currecip > maxrecip) { は、 if (maxrecip > 0 & & currecip + + > maxrecip) { 369 行目の、間違っているような気がします。おそらく、 smap. c のうですか " と引きさがるしかありません。しかし、何かがこれらの一 - 漣のイ乍は、イ策だといわオ ttL ば、、はあ、そ 550 t00 many recipients メール送信側に次のエラーを返します。で、、 RCPT TO" を 3 回実行できます。 4 回実行すると、と指定した場合には、 1 回の SMTP セッションのなか smap : maxrecip 2 つまり、た新直よりも 1 つだけ多い、、 RCPT TO" を許可します。みるかぎりでは、、最大数 " ですが、実際にはここで指定し

4. UNIX MAGAZINE 1999年3月号

ー① 連載 / コミュニケーション用サーパーのインストールと運用図 7 neighbor-type-domain 吏用例 cache—peer parent proxy. daigaku ・ ac. jp 3128 3130 neighbor—type-domain proxy. daigaku. ac ・ JP sibling neighbor-type-domam こういうときはこ則述の cache-peer-domain ではのド幇妾サーバーをまったく使わない " という成疋ができました。 neighbor-type-domain では、、ふだんは parent として使っているが、ある場合だけは sibling として使う " 、あるいは逆に、、 sibling に指定したサーバーを一部だけ parent 扱いにする " という成疋ができます。たとえば、図 7 のように書けば、基本的にはすべて proxy ・ daigaku ・ ac. jp を経由してもらってくるけれども、 *. daigaku ・ ac. jp については proxy. daigaku. ac. jp にあるかないかを石忍して、なけれは自分で陬りにいく " とい always-direct 、 never direct う乍をすることになります。 30 ACL は次のようにして指定します。とに判定をおこなうことができます。ドレスや、要求が出された日該リなどのさまざまな要素をもとする以外にも、要求をしてきた接続元のホストの IP アするのです。 ACL 名を使う場合は、 URI のみを判定基準名 " を付けておき、他の設定項目ではこれを利用して設定す。そこで、複数のドメイン名をひとまとめにして、、 ACL 各設定項目ごとにドメイン名を列挙するのは大変な作業でろなドメイン名について同し設定をおこないたい場合に、 trol List) という樹冓があります。 URI に含まれるいろいこの柔軟さを支える要素として、 ACL (Access Con- domain と inside-firewall は廃止されました ) 。 never-direct という設定項目か準備されました (local- 2. x ではさらに柔軟な機能をもった always-direct と inside-firewall という設定項目を用いましたが、 Squid- このような場合、 Squid-1. x 系では local-domain と自研則の観点て特徴を記したいことがあります。無理なので、かならす謝妾サーバーに頼る " などのように、合や、、自分はファイアウォール内にいるため自力で ( 色対接サーバーのどれにも頼らす自力で陬りにいく " という場るという発想のものでしたが、逆に、、こういうときは、隣こまでの設定は、謝妾サーバーの個別ク寺徴を記す . daigaku ・ ac ・コ p 図 8 always-direct 吏用例 ( 1 ) acI local—servers dstdomain daigaku ・ ac ・ JP always—direct a110W local—servers acl ACL 名種類文字列最初の、、 acl" は、この行が ACL の定義であることを示し、、、 ACL 名 " で指定したものカ銘前となります。、、種類 " には表 1 に示すようなさまざまなものカ甘旨定でき、種類ごとに、、文字列 " の部分の書き方が異なります。設定項目には、この ACL 定義の行を書いたうえでその名前を利用するものと、そうでないものとがあります。「とりあえす動かしてみる」の節で埆早説した http-access ( アクセス許可に関する設定 ) は ACL 名を使う代表的なものの 1 つです。ここて埆早説する always-direct と never- direct も ACL 名を利用するタイプです。 always-direct では、ド爾妾サーバーに頼らすかならす自力でもとのサーバーに取りにいく場合の条件を指定できます。たとえば、図 8 のように設定すれば、他の謝妾サーーを parent や sibling に孑旨定していても丿ぐ学内については自力て取りにいきます。 daigaku. ac. jp ドメインには other-campus. daigaku ・ ac ・ jp という、、飛び地 " があり、そこだけは隣接サーバーのキャッシュを使いたいなら、図 9 のようにします。 deny" を使って、部分的に always-direct の指定を無効にしています。 always-direct 行か馥数ある場合はさきに一致したほうが優先されますから、言己の順番に注意してください。 never-direct を使うと、前述の例とは逆に、、かならす隣接サーバーを使いたい " という条件をできます。れは、たとえばファイアウォールの内側にいる場合などに有効です ( 図 10 ) 。こで注意してほしいのは、 always-direct allow と、、 never-direct deny" は等価ではないという点です。ます、 always-direct も never-direct も指定がない場合には、 Squid は、、隣接サーバーを利用するかもしれないし、自力で取りにいくかもしれない " という中立の重川乍をします。これを強制的に自力にさせるのが always-direct ノヾ UNIX MAGAZINE 1999.3

5. UNIX MAGAZINE 1999年3月号

連載 UNIX Communication Notes ・ー0 各ファイルの属性を石忍するには、 ls コマンドを使う。通常、 ls コマンドは、指定したディレクトリ ( 省田はカレント・ディレクトリ ) に置かれているファイルの一覧を表示させるために使う。ご存しのように、ー 1 オプションを付けて実行するとファイルの属性を含む田表示か得られる。 ls の利用力 1 去については、マニュアルページを参照してはしい。 umask ューサーが使用しているシェルでの umask の設定もファイルのモード設定に大きな景を与えるので、各ューサーに正しく設定しているかを石薩忍してもらう必がある。 umask は、ファイルやディレクトリを生成するときに、ファイル属性のモードの設定に一定の制限を設けるためにある。プログラムを実行した結果、なんらかのファイルが生成されるとしよう。このプログラムでのファイル生成のモードを M とすると、生成されるファイルのモード rn は、 umask の各ビットを反転させたものと M との論理和になる。たとえば、通常のファイル生成ではモードとして 666 か設定される。しかし、 umask を 022 に設定しておくと、生成されるファイルは 644 になる ( 所有者は読み書きが可能、同しグループに属するユーザーとその他のユーサーは読出しが可育 umask の疋は、 umask コマンドを以下のように実行すれ ( 忍できる。 % umask 022 通常、 umask は各ユーサーのシェル起重加の成疋ファイル (. 1 。 g ⅲ、・ cshrc 、 . profile など ) で指定する。これらのファイルに、以下のように言当しておけばよい。 umask 022 ューザーごとではなく、システム全体に共通の umask を設定することもできる。多くの UNIX には、ユーザーがログインする際のデフォルトの設定を言当しているファイルがある。たとえば、 BSD/OS 3. x では /etc/login. conf が、 SVR4 では /etc/defaults/login などがそうである。これらのファイルに、標準の umask を言当しておけばよい。当方去は OS ごとに違うので、システムのマニュアルで市忍してほしい。 UNIX MAGAZINE 1999.3 どのような値を設定すればよいかは、システムの利用環境によって異なる。しかし、誰でも書き込めるファイルやディレクトリの作成を防ぐには各ューサーの umask を 022 に設定するとよい。事実、多くのシステムではデフォルトの umask を 022 にしているようだ。より厳しく設定するのなら、 umask を 027 、あるいは 077 に設定してもよい。ファイル検査ファイル検査は、ファイル管理のなかでもっとも厄介な問題である。ポイントは、次の 2 つである。・ファイルシステム全体で、問題のありそうなファイルを自寉に発見する。・特定のファイルについて、意図しない更新やファイル属性の変更がおこなわれていないかを調べる。この作業には知恵と工夫が必要である。ファイルの発見間題のありそうなファイルは、 find コマンドでみつけることが多い。 find は、指定したディレクトリを項点とするディレクトリ・ツリーを降下しながら再帰的にファイルを検索し、指定した条件に合致したものを表示する。たとえば、図 2-a では、 /home 以下にある誰でも書き込めるディレクトリを発見することができる。図 2 ー b では、 Set UID ビットか、定されているファイルをみつけることができる。このように、 find はあるディレクトリ以下の、指定した条件に合うファイルを効率的に探す場合に便利である。システム管理者は、 find の利用方法に習熟しておくべきである。 find を使えば、ファイルシステムの構造に従って、牛に -- - ・致するファイルの有無を自重加勺にチェックしてくれる。侵入者が隠しディレクトリを作成してファイルを隠している場合も、容易に発見できる。ディレクトリごとに ls コマンドでファイルを探すより、明らかに効率がよく、しかも漏れがない。ノート 6 隠しディレクトリにも各種あるが、代閹均なのは、 ( 1 ) ドット (. ) から始まるディレクトリ 17

6. UNIX MAGAZINE 1999年3月号

連載 IJN Ⅸの玉手箱ー⑨ して MFS を使うのはあまりお勧めできません。 MFS を利用するには、 mount コマンドの一 t オプションの値に、、 mfs" を指定します。実際には mount-mfs コマンドか呼び出されますが、オンライン・マニュアル mount-mfs(8) を見ると分かるように -s オフションでファイルシステムの大きさをセクタ単位 ( 1 セクタ = 512 バイト ) て指定できます。したがって、大きさが 32MB の MFS を /tmp にマウントするには、以下のように実行します。テンヾイスファイル名には、スワッフ。領域のパーティション ( ここでは /dev/wd0s2b) を指定します。 bash# mount —t mfs ー 0 ー s = 65536 /dev/wd0s2b /tmp bash# ■ MFS は指定された大きさのファイルシステムを物理メモリに作成します。メモリが足りなくなった場合は、ファイルシステムの内容をスワップ領域に待避させて空きメモリを石呆します。だからといって大きなサイズの MFS を作ってファイルをたくさん置くと、メモリか不足したときにスワップ領域へのアクセスが頻発するため、はどはどにしておいたほうがいいでしよう。 Solaris では、類似の仕組みとして tmpfs カ甘是供されています。 MFS は上記のように手動でマウントすることができますが、とくに /tmp に適用する場合には注意が必要です。 /tmp には、アプリケーションなどが一畤ファイルを作成することがあります。システムの運用中に MFS をマウントすると、もともと / tmp の下にあったファイルは隠れてアクセスできなくなってしまいます。そのため、次節で紹介する /etc/fstab に登録し、システムの起重加寺にマウントするのか鼾羅です。 /etc/fstab こまでは、ファイルシステムを手重丿マウントする方法を紹介しました。頻繁に利用するファイルシステムの場合、あらかしめ設定ファイルに登録しておくと、 OS の起重加こ自重加勺にマウントすることができます。 FreeBSD や BSD/OS だけでなく、多くの UNIX ではマウントの設定に /etc/fstab ファイルを用います。 1 行に 1 つのファイルシステムを言当し、各行は以下のよう 134 に 6 つのフィールドから構成されます 13 。各フィールドはスペースまたはタブで区切ります。また、、、 # " て始まる行はコメントとみなされます。 device rno 社れたれ t 匆〃 e 0 0 れ s dump 〃 s de ce にはファイルシステムのデノヾイスファイル名、 m 。。 t にはマウントボイントをいすれも絶対パスで指定します。 t e にはファイルシステムの種類を指定しますが、 UFS の場合も省略してはいけません。叩 0 れ s フィールドにはマウント時のオプションを指定します。このフィールドには rn 。 unt コマンドの一。オプションの値と同し形式で指定しますが、 /etc/fstab ファイルに固有のキーワードとして、以下のようなものがあります。デバイスがスワップ或の場合に指定するオプションです。スワッフ。領域の場合、マウントボイントとファイルシステムの不頁にはいすれも、、 sw 叩 - を指定します。 BSD/OS でもファイルシステムの種類は swap ですが、マウントボイントには、、 n 。 ne " を指定します。・ rVV ro 読み書き可能 ( あるいは読出し専用 ) であることを意味します。・ noautO このオプションを指定したファイルシステムは、 OS の起重加芋に自動的にマウントされません。 CD-ROM のように、つねにメディアが入っているとはかぎらないデバイスに対して指定しておきます。 d 社 m. フィールドには、 dump コマンドを使ってファイルシステムのバックアップをとる場合の頻度を指定します。バックアップをとる必要がなけれは、 0 " を指定します。ファイルシステムのバックアップについては機会があれは齠介するつもりですが、興未のある方はオンライン・マニュアル dump(8) などを参照してください。最後の佖 ss フィールドには、ファイルシステムの整合性をチェックする fsck コマンドを実行する順番を指定し 13 Solaris 2. x では、 device 、 device-to-fsck 、 mo 社れ t ー〃 0 をれれ t リ〃 e 、佖 ss 、 ~ 0 社れに t ー 600t 、 0 〃 0 れ s というフィーノレドになっています。また、設定ファイルは /etc/vfstab てす。言田については man vfstab を参照してください。 UNIX MAGAZINE 1999.3

7. UNIX MAGAZINE 1999年3月号

アノ maxchildren ォー ) のり sendmail sendmail へのフル / ヾスを故正します。かならすしも sendmail である必要はありませんが、そのプログラムが sendmail と同じ形式のオプションを理解できる必要があります。デフォルト値は /usr/lib/sendmail です。 FreeBSD や BSD/OS では、 sendmail はこれ以外のディレクトリに置かれるので、このパラメータ属生を次のように設定する必要があります。 smapd : sendmail /usr/sbin/sendmail baddir 処理中に次の状況になった場合、 smapd はメールの配送を中止します。・ smap 用のメールスプールにあるメールファイルのフォーマットが異常である。・ smapd か起動した sendmail がエラーを返した ( 終了時のステータスコードが、、正常終了 " ではなかった ) 。通常、 smapd は酉当を中止したメールをメールスフ。ールから削除します。ところが、このパラメータ属生を指定すると、酉逶を中止したメールをディレクトリ市 7 ℃ ct 。に保存し、そのあとでメールをスプールから削除します。ただし、ここて指定するディレクトリ市 rec ん型は、パラメータ属性 directory で指定したディレクトリと同じファイルシステム上になけれはなりません。これも、とくに指定する必要はないでしよう。 badadmin パラメータ属性 badadmin を設定しておくと、上記のようにメールの酉占を中止した場合に、 smapd は酉占医を中止したメールデータを、にします。 baddir と badadmin は同時に言殳定できます。とくに指定する必要はないと思いますが、次のように wakeup smapd : badadmin root root を指定してもよいでしよう。 UNIX MAGAZINE 1999.3 デフォルトは 30 秒ごとです。を秒数で指定します。 smapd がスプール・ディレクトリをスキャンする間隔 smapd か 1 司時に起動できる子プロセス (sendmail) の最大数を指定します。 smapd は、スプール・ディレクトリ内に一印ファイルをみつけると自分の分身を作り (fork(2)) 、そのときに生成された子プロセスが sendmail を実行 (execv(3)) します。そして、自分自身は子プロセスの終了を待たすに処理を続けます。つまり、 smapd は同時に複数のメールを処理しようとするので、その数に制限を設けておかないと、ファイアウォール・ホストが sendmail のプロセスで 1 益れてしまうおそれがあります。そこで、 smapd は内部に変数をもち、現在の子プロセス数を管理します。そして、その数か制限値に達したときは、既存の子プロセスカ鮗了するまて新たな子プロセスの生成を待ちます。デフォルトは 6 です。コマンドの書式 smap の書式を次に示します。 smap [ —daemon ] -daemon オプションを指定して起動すると、 smap は 25 番ポートを受け付けるデーモンプロセスとして重川乍します。ポート番号は、コマンド行では変更できません。変更したいときは、ソースファイルを編集し、再コンパイルとインストールが必要です。 smapd の書式を次に示します。 smapd [ —d ] smapd にオプションを指定せすに起動すると、デーモンモードになります。一方、 -d オプションを指定して起動するとデバッグモードて川乍し、テンヾッグ用メッセージを標準ェラー出力 (stderr) に出力します。 ☆ 41 れ s を 0 れ s , RFC1869 , Nov. 1995 A. Stefferud and Dave Crocker, SMTP Service 月ェ - [ 1 ] John KIensin, Ned Freed, MarshalI T. Rose, Einar [ 赭文献 ] ( しらさき・ひろお ) と、 sendmail.cf を作成する作業をおこないます。次回は、 third-party-relay 対策のパッチを当てる作業

8. UNIX MAGAZINE 1999年3月号

連載コミュニケーション用サーパーのインストールと運用とりあえず動かしてみる UNIX MAGAZINE 1999.3 できます。プロキシー・サーバーを用いていないサイト 3130 と指定すると ICP カリ用さ効率的な転送が . ac. jp カ鰾準的な設定の Squid ならは、 7 ではなく tocol) を使わないことを意味します。 proxy. daigaku 最後の、、 7 " は、彳あする ICP (lnternet Cache Pro- cache-peer proxy ・ daigaku ・ ac ・ JP parent 3128 7 します ) を、以下のように指定してください。 daigaku ・ ac. jp とします ) とポート番号 ( 仮に 3128 とーを用いているならはそのホスト名 ( 仮に proxy ・りあえず、ふだん Web プラウサでプロキシー・サーこではと細かいことはあとで詳しく解説しますが、に孑旨定する項目です (Squid-1 の cache-host に対応 ) 。近くですでにプロキシー・サーバーを運用している場合・ cache—peer ださい。る際に指定するポート番号がこれです。憶えておいてくせんが、 Squid に接続するよう Web プラウサで設定すデフォルトでは 3128 です。とくに変更の必要はありま Squid が HTTP 接続要求を待ち受けるポート番号で、・ http-port 説します。設定しましよう。 squid. conf 中に書かれている順序で解ます、 Squid を起動させるのに最低限必要な部分だけをり、何も指定しない ) と、デフォルト値カ俐用されます。は、この行をコメントアウトされたままにしておく ( つまり、 # でコメントアウトされています。はとんどの項目でた、各項目にはデフォルトの値を記した行か準備されておあるので、これを読みながら設定することかできます。ま squid. conf ファイルには各設定項目ごとにコメントがます。どこを自分で書き直したのかをあとか鰤忍するのに使え default は、書き換えずにそのまま残しておきましよう。が参照するのは squid. conf のはうだけです。 squid. conf. の 2 つのファイルはまったく同し内容で、実際に Squid に squid. conf と squid. conf. default が作られます。 Squid をインストールすると、 /usr/local/squid/etc ー① なら、旨定のままでかまいません。 Squid がキャッシュ用に使うメモリの量です。ただし、 Squid はこれ以外にも多くのメモリを利用します。目安として、実装メモリのうち Squid が使用可能な量の 1 / 3 程度をここに指定するといいようです。デフォルトは、、 8 MB" です。・ cache—dir Squid か取ってきたファイルをキャッシュするためのディレクトリと、そのディレクトリ中にどれだけの容量を呆するかを、組にして指定します。具一勺には、ディレクトリ名のほかに次の 3 つの直を列挙します。ーそのディレクトリ内で市呆する容量 ()B 単位 ) ー指定されたディレクトリに作るサプディレクトリの個数 Squid はディレクトリを分割して管理します。通常はデフォルト値の 16 を指定すればよいでしよう。ー上記のサプディレクトリをさらにうリする個数通常はデフォルト値の 256 でよいでしよう。たとえは、 100MB なら次のように指定します。 cache—dir /usr/local/squid/cache 100 16 256 cache-dir 行を複数書くと、複数のディスクをキャッシュ用に使うことができます。 Squid-1 では cache-dir と cache-swap で場所と容量を設定していましたが、 Squid-2 では 1 つの項目になったので注意してくだ・ ftp-user Squid が FTP サイトにログインする際に名乗るメールアドレスです。 Squid 用の alias を準備してそのアドレスを書くといいでしよう。・ acl 、 http-access Squid に対する接続を許可するホストを設定します。とりあえす、次のようにしてアクセスを許可するネットワークの IP アドレスとネットマスクを指定しますにこでいうネットマスクは、実際のネットワークのネットマスクと一致している必はありません。たんに IP アドレスの範用を指定するものだと思ってください ) 。たとえは、 http—access deny a11 25

9. UNIX MAGAZINE 1999年3月号

連載 / IJN Ⅸの玉手箱ー⑨ 図 10 mount コマンドの実彳デ列 bash# mkdir /project bash# mount /dev/wdlc /project bash# df /proj ect Fi1esystem 1024 ー blocks Used 1 Avai1 Capacity 0 % 2234724 /dev/wdlc bash# ■ 2429048 Mounted on /project 表 2 mount コマンドて寸諚できるおもなファイルシステムファイルシステムをマウントして使えるようになります。ま行では、ハードディスク以外のデバイスも含めたマウント設定について説明します。なお、 FreeBSD の sysinstall を用いてノヾーティション設定をおこなう ( 図 3 の、、 Label " メニュー ) と、ディスクラベルを書き込んだあとで newfs を自第勺に実行し、言置したパーティションの初期化も同時におこなうことかできます。 sysintall のノヾーティション設定では c ノヾーティションを指定することはできませんが、代わりにパーティションを 1 つだけ作成し、そのパーティションのサイズをスライス本と同じ容量に設定すれは、手動で newfs ファイルシステムのマウントを実行する手間が省けます。 UNIX MAGAZINE 1999.3 イルシステムと切に指定するキーワードとの対応を表はいくつもの不軽頁がありますが、これまでに紹介したファ指定します。 FreeBSD て利用できるファイルシステムに -t オプションでは、ファイルシステムの不頁をにす。なるべ <* 寸パスてオ旨定したほうがいいでしよう。前のディレクトリがあった場合に間違える可能がありまマウントボイントは相対パスでも指定できますが、同し名テムをマウントする場所 ( ディレクトリ ) を指定します。 mo 社れた〃 ( マウントボイント ) には、ファイルシスデバイスファイルを糸寸パスで指定します。 device には、マウントするファイルシステムに対応する mount [—t type] [ ー 0 0 を t 〃 s ] device mo 社れた 0 朝窈青報が表示されます。定しなければ、現在マウントされているファイルシステムウントする場合の書式は以下のとおりです。引数を何も指すが、 1 つのローカルテンヾイス上のファイルシステムをマ mount コマンドを用います。何通りかの使い方がありまファイルツリーのある部分にマウントするには、 (/sbin/) ローカルなデバイス上に構築されたファイルシステムを type ufs msdOS Cd9660 mfs ファイノレシステム UFS (FFS) MSDOSFS IS09660 MFS 2 に示します。 -t オプションを省略すると、 UFS (FFS) として扱われます。ファイルシステムの種類として UFS 以外を指定した場合、実際には mount-type という名則のコマンドが実行されます ( サポートしているファイルシステムに違いはありますが、 BSD/OS 、 SoIaris 2. x も似たような構成になっています ) 。これらのコマンドは m 。 u Ⅱ t と同し /sbin ディレクトリにあり、たとえ XMSDOSFS であれば mount-msdos 、 IS09660 であれは mount-cd9660 のように、各ファイルシステム専用のマウントコマンドが実行されます。ー。オプションにはマウント時のオプション成疋を指定します。 rnount コマンド自体がもっているオプションだけでなく、ファイルシステムごとのマウントコマンドに特有のオプションを与えることもできます。複数のオプションを指定する場合は、カンマで区切って並べます。 mount コマンド自体がもっているオプションのうち、おもなものを以下に挙げます。マウントしようとするファイルシステム上のバイナリファイルを実行できないようにします。・ nosuid マウントしようとするファイルシステムのファイルに対し、 SetUID および SetGID ピットを無効にします。・ rdonly mount コマンドの一 r オプションと同し意味で、ファイルシステムを読出し専用 (read-only) でマウントします。指定しなけれは読み書き可能てマウントします。 131

10. UNIX MAGAZINE 1999年3月号

Daemons & Dragons— 0 表 1 設定命 acl include key logging opt ions server zone 表 2 おもなオプションアクセス制御リストゾーンの定義リモートサーバーの持生一般的なオプションメッセージログの制御認証とアクセス許可用の鍵他のファイルの取込み d irectory pid-file notify recurslon forwarders ゾーンファイルが置かれているディレクトリデーモンのプロセス ID を言当求するファイルのパスすべてのゾーンに DNS の変麪凾知を使うかどうか再帰的な問合せを許すかどうか管理権限のない (nonauthoritative) 問合迂を転送するサー also—notify { 192.168.55.10 ・ notify yes; file "f00. db" type master ; zone f00. in { リスト 1 ゾーンの設定例ノ、 /etc/named. conf を使う。 UNIX MAGAZINE 1999.3 問合ぜ (query) およひ転送 (transfer) の 3 種類のアク令のなかで指定する。制御できるのは、更新 (update) 、ゾーンに対してアクセス制限を設ける場合は zone 命キャッシュを有効にするために使われる。ターサーバーが列挙されている。最後のゾーン定義は、スレープとして定義された baz.com には 2 つのマスーを追加する指定であることに注目してはしい。また、通知を使い、通知を受け取るサーバーにステルスサーバスト 1 に示す。 f00.com というゾーンは、 DNS の変更の命令を中括弧で囲んで指定する。ゾーンの設定例をリ ( ⅲあるいは hs ) を与・える。さらにそのあとには、名を引用符で囲んで指定し、そのあとにデータのクラス同義である。 zone というキーワードのあとにはゾーンれかを指定する。 hint は、従来の書式の cache 命令とゾーンを宣言する際には、 master 、 slave 、 hint のいす zöne 命令は新たなゾーンを定義するときに使用する。示す。って指定する。使用できるおもなオプションを表 2 にーワードのあとに、命令のリストを中括弧 ( { } ) でくく関する項目を指定するために用いる。 options というキていないことである。 options 命令は、サーバー全体に注意してほしいのは、 key 命令の関数はまだ実装され命令を表 1 に示す。まる行をコメントとみなす ) で記述できる。使用可能な行をコメントとみなす ) 、あるいはシェル形式 ( # で始 C 言語形式 ( / * と * / を使う ) や C + + 形式 ( / / で始まるの区切りにセミコロン ( ; ) を使用できる。コメントは、したり、括弧を使ってデータをグループ化したり、命令る。書式は自由形式で、コメントを 3 種類の方法で記述高くなり、 BIND8 がもつ多くの機能を簡単に記述でき 1 行に 1 っすっ指定した。新たな書式ではより自由度が従来の書式では、ゾーンやオプションに関する記述を zone . in { type slave ; file "baz . db . bak" ・ masters { 192.168.10.1 ; in { type hint; file . ・ Z one 192.168.25.5 ; } ; セスである。これらのアクセス制御は、 options 命令で指定することもできる。配布されている BIND8 のパッケージには、 named. boot ファイルを新しい書式に変換するための PerI スクリプトが付属する。このスクリプトはほとんどの場合うまく動作するが、生成された結果を過信することなく、きちんとチェックしておく必要がある。ログシステムの改善 BIND8 のログシステムは、 logging 命令で設定をおこなう。キーワードに続き、一連の命令を中括弧で括って指定する。ログシステムは高い柔軟性をもち、サーーがイベントを記録する形式を細かく制御できる。ログシステムはチャネルを使ってメッセージを送る。いくっかのチャネルカ材票準で用意されているが、設定ファイルて新たに定義することも可能である。チャネルとは、ログの出力先 ( ファイルや sysl 。 g 、あるいは UNIX の /dev/null のようなデバイス ) を意味する。あるチャネルは、与・えられた優先度レベル (severity level) に 95