アクセス - みる会図書館

1. UNIX MAGAZINE 1999年7月号

連載 UNIX Communication Notes—O アクセス制笹財冓を用いて実装されている場合、対象となる計算機ー E て他人のアカウントを無析て使用し、ネットワークを介して引算機を利用する行為、ログインを許可されていないシステムに対要するに、して、正当な許諾を受けすになんらかのガ去でログインすること " である。つまり、この法律で定義されている不正アクセス行為とは、アクセス制御機能を用いたネットワーク・サービスに対する嚇限アクセス (unauthorized ac- cess) に限定されている。この定義には大きな問題がある。大量の SPAM 中継や使用不能攻撃 (denial-of-service attack) といった、ほかのシステムの運用に重大な景グを与えるアタックは、、不正アクセス行為 " に含まれていない。使用不能攻撃が、インターネットにとって大きな脅威であるという認識はすでに定着している。しかし、この法案ではそれに対処できないのである。不正アクセスの定義をこのように限定したのでは、法の実効性に疑問が生しる。しかも、いったん作られた法律は簡単には改正できない。したがって、将来インターネットに大きな景グを与える新たな攻撃去が考えられた場合にも、即座に対処でき第 1 条をあらためて読み直すと、目的と意義るような態勢か作られるとは考えにくい。 UNIX MAGAZINE 1999.7 法行為はこれらの法にもとづいて処罰できるはすだ。法にに対処するための法律 ( 刑法など ) はすでにあるから、違不正アクセス行為カヒ罪に直結した場合でも、そのリド行為に該当しても、豸リドに直結しないケースといえる。ほど珍しくない。これは、法案で定義された不正アクセスたが、怖くなってログアウトした、というような状兄はさが、このアカウントどおりに入力したところログインできォルト・アカウントか残っていたとする。あるユーザーアカウント名とパスワードが多くの人に知られているデフたとえば、たまたまアクセスした UNIX システムで、ースがい浮かぶ。で定義されている不正アクセス行為か犯罪に直結しないケという疑問が生しる。ほんのすこし考えただけでも、法案リドに直結するものなのだろうか ( 第 3 条で定義されている ) 不正アクセス行為は、本当による抑止効果もあるだろう。こういった点を考えあわせると、このような法律を新たに作る意味はあるのだろうかと疑問に思う。疑問はこれだけではない。この法案は、昨年 11 月の意見募集に対して提出された意見書で述べられている疑問点や主張を十分に勘案したうえで作成されたものとは思えな。たとえは、日弁連 ( 日本弁護士連合会 ) が Web ページで公開している意見書 2 を読んでも、そのなかで孑商されている法的な間題に関する疑念は払拭されていない。このような中途半端な法案では、成立しても踝があるとは思えないのだが・・管理者の努力もう一度法案に戻って第 5 条を見てみよう。システム管理者がおこなうべぎ恥頁が述ーヾられている。 ( アクセス管理者による防御措置 ) 第五条アクセス制御職能を特定電子言 t 算機にイ寸加したアクセス管理者は、当該アクセス制徊職能に係る識別符号又はこれを当該アクセス制行曦能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御職能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講するよう努めるものとする。ひらたくいえは、管理者は、パスワードを適切に管理し、アクセス制御機能力働力を失わないように適宜アクセス制彳印欟冓を整備しなさい、ということである。管理者に対し、不正アクセスからシステムを守るための努力目標を明示している点は評価できる。しかし、内容が問題である。たしかに、アクセス制御冓に関する部分を適正に管理すれは、システムに対する脅威の多くを無効化できる。だが、そオレごけでシステムのセキュリテイか万全に守れるわけではなく、さまざまな樹冓を用いた総合的な対策が必要である。管理者はアクセス制彳珊冓だけではなく、システム内のさまざまな部分を強化しなけ川まならないからだ。この条文によって、管理者はアクセス管理さえしていれは寸・分と誤解する人がいるのではないかと心配である。政か不正アクセス対策に着手したこと自体は評価して 2 http://www.nichibenren.or ・ jp/sengen/iken/9812-02. htm こでは、 41

2. UNIX MAGAZINE 1999年7月号

UNIX Communication Notes 山口英ネントワーク・セキュリティをめぐる動き前号まで、数回にわたってネットワーク管理におけるセキュリティ保全作業について、おもに技術面に絞って解説してきた。今回は技術からすこし離れ、法律など、ネットワーク・セキュリティをめぐる動きを紹介する。不正アクセス対策法制描匠は、一般の新聞やテレビなどでも、、不正アクセス " という言葉をよく見聞きする。政か不正アクセス対策のための法整備に着手し、その動きか報しられる機会か増えたからであろう。不正アクセス文法案の概要 1998 年 11 月、警察庁と郵政省は、それそれ独自に進めていた不正アクセス対策のための法案について一ヨ殳から意見募集を始めた。これらの法案か我々の目に触れたのは、このときか初めてである。意見募集終了後政内て各、法案の整備か進めら最糸勺には警察庁、郵政省、通産省の 3 者カ哄同で去案を作成し、「不正アクセス行為の禁止等に関する法律案」としてまとめられた。この法案は 4 月 16 日に翻共定され、国会に上程された。執筆時点では需義待ちの状態で、開催中の国会で成立するかどうかは不明である。この法案の骨子および全文は、警察庁と郵政省の web ページ 1 で公開されている。潔なものである。・法案の目的・不正アクセスの定義・不正アクセスの禁止 1 http://www.npa ・ go ・ jp/ 、 40 その構造は、下記のように簡 http://www ・ mpt ・ go ・ jp/ ・不正アクセスを助長する行為の禁止・管理者カ癆めておこなうべきこと・都道府県公安委員会による援助政の・罰則不正アクセス行為とはます、第 1 条の全文を示す。 ( 目的 ) 第一条この法律は、不正アクセス行為を禁止するとともに、れについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電郊凾信回線を通して行われる電子計算機に係る犯罪の防止及びアクセス制御腰能により実現される電気凾信に関する稗の系財寺を図り、もって高度情報通イ上会の健全な発展に寄与・することを目的とする。法彳寺有の分かりにくい文章だが、ここで述べられているのは、、、不正アクセス行為 " を罰則をともなう禁止恥頁とする、その目的は、、犯罪防止 " および、、電気凾信に関する秩序財寺 " にある、といったことである。つまり、この法案で定義されている、、不正アクセス行為 " とは犯罪に直結する行為にはかならない。こでもっとも興架い、、不正アクセス行為 " は、第 3 条で一ド記のように定義されている。 1. アクセス制御冓を有する引算機において、他人のアカウントを無析で使用し、ネットワークを介して計算機を使用する行為 2. アクセス制笹曜財冓を有する引算機において、システムが有するセキュリティ・ホールを悪用し、システムを不正に利用する行為 3. 対象となる言算機のアクセス制御欟冓か、他の・算機の UNIX MAGAZINE 1999.7

3. UNIX MAGAZINE 1999年7月号

ク 3 PC UN Ⅸのヘンチマて性能か劇的に矼 E することもあるため、サポートの有無メモリレイテンシ、パンド幅も評価対象になる。メモリアクセス時のレイテンシおよびバンド幅は、ハードウェアによるメモリ・サプシステムの構成に依存する。ファイ ) レシステム性肯皀山もの PC では、メモリ階層が多段になったシステムファイルシステムに関する性能は、 OS の 2 次記憶サが一ヨ殳的であり、キャッシュの挙動によってさまざまなポートのうち上位 ()S 寄り ) の部分の性能である。場合がある。たとえば、ある階層のキャッシュのヒット / ソフトウェア的な景グ礬か大きいため、ファイルシステムミスが発生すると、メモリのさらに奧の階層の遅いメモリに関する性能評価は、そのファイルシステムて提供されるに対するアクセスが発生するため、レイテンシおよびバン機能や実現アルゴリズムを謝面することになる。ド幅生能が 1 ~ 2 桁悪くなる。こで評価される機能としては、したがって、システムのメモリ帯域といった場合は、あ・安全性る使用場面を想定したイ瓦想的なメモリアクセス・パターンを実行した際の平均的帯域を孑ーことが多い。ハードウェア的なキャッシュの挙動については、の 2 つがある。これらは互いに相反する要素で、 OS 言のポリシーが色農く反映される部分でもある。・メインメモリの生能ファイルシステムの速度についての性能を評価するに・チップセットの性能は、提供されているオフションのいくつかを試してみると置換アルゴリズムの処理生能よい。結果の分析により、有意義な情幸師碍られるかもしなど、 CPU やチップセットによるところが大きいため、れないからである。ードウェアの匪能として扱う。カーネルか闕与・するほかのサプシステムと同様、カーネ lmbench などでは、、、アクセス量 " や、、アドレスのスルのはかの部分との里を理解しなけれは正確な分析はでトライド " を変えたさまざまなパターンで言れ則することで、きない。たとえば、バッフア・キャッシュとイ瓦想記慮なある範囲におけるメモリアクセスに関する動向かオ当屋できどの煢力によって、ファイルアクセスの速度か変化する場る。したがって、最初の足がかりとしてはきわめて有用で合などがある。ある。メモリアクセス性能 lmbench におけるメモリレイテンシは、メモリ・サプシステムの性能は、大きく分けて、・アドレスの連続するメモリ領域を確保・ストライド何変 ) 分離されたアドレスへのアクセスの・ OS のメモリ管理樹冓 ( 佖想記慮樹冓 ) 区し・ハードウェアの性能によって測定 (lat-mem-rd. c) される。また、 lmbench によって決定される。のバンド幅 : 則定のメモリアクセス・パターンを表 16 に示また、性能孑票としては、す。・レイテンシ : メモリアクセスに伺髄する遅延要素・バンド幅 : メモリからのデータストリームの量こでは扱わなかったが、はかにも、演算性能、各種デの 2 つがある。バイスドライバの生能などか引側封象となる。べンチマークの結果は、これらの組合を反映したものハードウェアからて抽象イゞ進む上位層になればなになる。したがって、目的の要素を示す部分を抽出する必るはど、かかわる要素の数は増加するため、べンチマーク要がある。の対象および結果に対する綿密な謝面が必要となる。たとえば、演算匪能を調則する場合には、そ也 27 UNIX MAGAZINE 1999.7

4. UNIX MAGAZINE 1999年7月号

連載 /Cyber Kansai Project—② 図 8 8 月 12 日 ~ 22 日のアクセス総数とネ繝アクセス回数 1 , 400 1 , 200 1 , 000 800 600 400 200 0 アクセス数アクセス時間 8 / 12 8 / 13 8 / 14 8 / 15 8 / 16 8 / 17 8 / 18 8 / 19 8 / 20 8 / 21 ・ファイアウォールがあると、うまく見られないことがあった (RTSP (Real-Time Streaming ProtocoI) で使用される tcp : 554 、 UDP のいくっかのポートを開けていないとうまく見られなかったり、 RTSP の HTTP 経由でも見られないことがあった ) 。 0 版のためか、よく落ちるといった現象に悩まされ、運用にはかなり苦労しました。しかし、最新の SMIL を用いた表現や RTSP の実証ができた点で大きな意義がありました。燧変に、今回の咼オ難工球中継伏会 7 日目 ~ 最終日 ) におけるアクセス回数とアクセス時間を図 8 に示します。サーバーの不調により、しはしばサービスの提供を中断せざるをえず、それがアクセスのばらっきに表れています。決勝戦がおこなわれた最終日のアクセスが少ないのは、 . 瞿日ということもあって、自宅の TV などで観戦した人が多かったからではないかと思います。まとめこのような複合コンテンツは、次世代のサーピスの充になるかもしれません。というのも、現在、各放送局がデジタル放送の実験をおこなっているからです。 2003 年には本医カまります。デジタル医ク芋徴として、画宿によりチャンネル数か増える、 HDTV のような高品質な番組カ甘是供できるといった点がよく強調されています。しかし、このような複合コンテンツの配信が可能になることのほうが大きな利点ではないでしようか。それによって、たとえば TV の UNIX MAGAZINE 1999.7 アクセス時間 ( 単位 : 分 ) 1 , 000 900 800 700 600 500 400 300 200 100 0 8 / 22 番組表や料理番組のレシピといったイ寸加的な情幸師ゞ TV で見られるようになるだけでなく、オンライン・ショッピングなどの積極的な商品広告も可能になり、 TV 局の収支改善にもつながる可能性があります。櫻井智明さん ( 当時 RealNetworks 、現在 KeelNet- works) の助力により、いち早く G2 サーバーおよび pro- ducer を利用した実験をおこなうことができました。朝日放送の方々にはたいへんお世話になりました。誌面を借りてお礼を申しあげます。 ( うえだ・かすのり、しもしよう・しんし反大学、おきもと・ただひさ NTT-TE 関西 ) [ 赭文献 ] [ 1 ] Synchronized イ社 me 市 0 / 襯 egra 厖 0 れカ 0 れ 9 社佖 ge (SM- ル丿 7.0 S 〃 ec c 観れ , W3C Recommendation 15- June-1998 (http://www.w3.org/TR/REC-smil/) [ 2 ] ReaISystem G2 ルん e Pa er 、 s (http://www.real.com /devzone/library/whitepapers/index. html) [ 3 ] SureStream ー De 肥れ 9 S 社 e ロ or Q 社 0 佖れ d Reli- 06 市切 (http://www.real.com/devzone/library/white papers/surestrm. html) 153

5. UNIX MAGAZINE 1999年7月号

日 FC ダイジェストー⑩ 図 3 SNMP メッセージタ里フロー SNMP 工ンティティアプリケーション亘三プロキシーその他のアプリケーションメッセージ処理 ( MP ) サプシステム v1MP v2MP セキュリティサプシステムその他のセキュリティ・モデルティスパッチ器 PDU ティスパッチ器メッセージティス / ヾッチ器 . 配送マッピング ( 例 : RFCI 906 ) v3MP 他の MP もユルにキデ一セモザた・一いイュづテ RFC2574 User-based Security Model (USM) for ver- ・ CBC-DES sion 3 of the SimpIe Network Management Protocol が利用できる。 (SNMPv3) SNMPv3 におけるユーザー型セキュリティ・モデル RFC2575 View-based Access Control Model (VACM) DS. 、 U. Blumenthal 他 ( RFC2274 置換 ) for the Simple Network Management ProtocoI (SNMP) SNMP アーキテクチャて利用される、 SNMPv3 用の SNMP における View によるアクセス胸モデル USM (User-based Security Model : ューサー型セキュ DS. 、 B. Wijnen 他 ( RFC2275 奐 ) リティ・モデル ) を定義している。現在の状態は、、標準化の SNMP アーキテクチャの一部である、 VACM (View 草稿 " である。 RFC2274 を置き換える RFC として 1999 によるアクセス制御モデル ) を利用したアクセス制御サプ年 4 月に公開された。システムと、関連パラメータを遠隔から管理するための RFC2574 は、 MIB を定義している。現在の状態は、、標準化の草稿 " で・ SNMP メッセージレベルのセキュリティを提供するたある。 RFC2275 を置き換える RFC として 1999 年 4 めの手続き要素月に公開された。・セキュリティ・モデルの構成パラメータを遠隔から監 SNMP 工ンジン内のアクセス制御サプシステムは、視 / 管理するための MIB あるオプジェクト ( インスタンス ) に対するアクセス (read 、 write 、 notify) が適用可能かを確認する欟冓であを定義している。る。 VACM は、 SNMP て利用されるアクセス制御腰構利用可能なセキュリティ・プロトコルは特定されておらの 1 つである。す、将来拡張できるような構造になっている。工第点では、 RFC2578 Structure of Management lnformation Ver- ・ HMAC-MD5-96 sion 2 (SMlv2) SMIv2 : 里情報用告第 2 版・ HMAC-SHA-96 163 UNIX MAGAZINE 1999.7

6. UNIX MAGAZINE 1999年7月号

一方、サービスを提供する場合は、 netperm-table の中継先のサーバープロセスに接続したあとは、 plug-gw ルールで指定された計算機に接続します。 FWTK に含はクライアントとサーバーとのあいだの通信を中継し、コまれる plug-gw では、接続先の計算機とポート番号をネクション切陸に下記のデータをログに言当求して終了し netperm-table のルールのなかで静的に設定します。つます。まり、「計算機〇〇から接続を受けた場合は、言 t 算機 x x ・クライアントのホスト名と IP アドレスのポート番号△△に接続せよ」といったルールを言しま・中継先のホスト名とポート番号す。したがって、ファイアウォールの内側にある計算機・中継したデータのバイト数のユーサーには、外側のサーバー計算機やポート番号を指接続嗤 ( 開始から終了までの秒印定する権利はありません。動かしてみようファイアウォールの内側にある計算機のユーサーに、外側の NetNews サーノヾーへのアクセスを許可する場合を考いつものように、 plug - gw の重川乍テストをしてみましょえてみましよう。 plug-gw を、この NetNews サーーでは、 NNTP を中継する plug-gw の例を紹介しへの接続に利用します。 NetNews サーバーが 1 つしかなます。以降の説明では、 NetNews サーバーか力していいときは設定は簡単です。しかし、複数の NetNews サーる計算機のホスト名を news. doubutsu ・ co. jp とします。バーがあり、それぞれのサーバーか配信するニュースグノレます、前回までの netperm-table ファイルに次のルーーフ。が異なっていたり、あるいはアクセスの負荷を分散さルを追加します ( 誌面の都合上、で折り返しています。せたいといった場合には、ファイアウォールの内側のユー以ー l'l 司椥サーに NetNews サーバーお尺するオリをなえる必要が # plug-gw に対するルールー NNTP を中継あります。これには、すこし頭をひねらなけれはなりませ plug-gw: port nntp 192 .168.255. * ん。たとえは、 ¯plug—to news . doubutsu. CO ・ JP —port nntp t 算機 A からのアクセス→ NetNews サーファイルの修正が終ったら、次のコマンドを実行して t 算機 B からのアクセス→ NetNews サーバー Y plug-gw を起動します。 # /usr/local/etc/plug-gw —daemon nntp & といったふうにアクセス元に応して振り分けたり、これて準備完了です。・ 119 番 (nntp) ホートへのアクセス→ NetNews サーバそれでは、実験用言算機 exp から telnet コマンドを使って外部の NetNews サーバーに接続してみましよう・ 120 番ポートへのアクセス→ NetNews サーノヾー N ( 図 1- b ) 。サーバーからのバナーメッセージが表示されることを石忍したら、 quit コマンドで接続を終了します。のように接続ポートごとに振り分けたりする去が考えらのとき、ファイアウォール・ホスト上には次のようなログれます。しかし、どちらのガ去もあまりカッコよくありまか第当求されます。せん。この問題は、 plug-gw に手を加えて透茴機能に対応させることによって角夬したはうがスマートでしよう。 May 15 14 : 55 : 11 sugar plug ー gw [ 11865 ] : connect host=exp. raccoon. doubutsu. co. jP/192.168.255.2 一方、 plug-gw が SSL プロキシー・サーバーとして働 destination=news . doubutsu ・ co ・ jp / 119 くように設定されている場合、 plug-gw は HTTP リク May 15 14 : 55 : 15 sugar plug ー gw [ 11865 ] : disconnect host=exp. raccoon. doubutsu. co ・ jP/192.168.255.2 工ストの文字列を受信します。そして、受け取った文字列 destination=news. doubutsu. co ・ jp/119 in=95 out=6 を語斤し、リクエストの中継先である Web サーバーのホ duration=6 スト名を調べます。ここで再隻 netperm-table の設定内次は、 SSL プロキシー・サーバーとして重川させる実容を参照し、その Web サーバーにアクセスしてよいかど験です。さきほどと同様、 netperm-table に次のルールうかを決定します。アクセスを拒否する場合は、ログに記を」助日します。録してコネクションを切断します。一三卩 47 UNIX MAGAZINE 1999.7

7. UNIX MAGAZINE 1999年7月号

3 PC UN Ⅸのべンチマークあった。演算性能の差異は、標準入出力ライプラリと直 2 つ以上のプラットホーム間での挙動の差異を分析するこ演算ライプラリの実装に依存する。とで、おおまかな特徴が分かる。、、おおまかな " というのは、分析によって得られるのは固定できた部分 ( OS 竟 ) SPEC CPU95 の見方以タ P ) あらゆる景含むからである。より田な分析糸 SPEC CPU95 による PC UNIX のべンチマークの果を得たいのなら、複数の異なるべンチマークを実行しオ特徴は次のようなものである。り、ソースの分析などのガ去と組み合わせる必要がある。・ハードウェアクを徴が表れるメモリアクセス性能計測データの全体的傾向はハードウェアの影響が大き NetBSD 1.4 の lmbench の言れ則結果を用いて、ハー鋤生能測定か主眼ドウェア間でのメモリアクセス特生をテストマシン 1 とテコンパイラ、ライプラリによる差異は表れるが、その内ストマシン 2 について上交する。容の田は分析できないため、講田分析には別の手段をメモリのレイテンシ用いなければならない。 NetBSD のメモリレイテンシをグラフ化した図 7 ( 20 ・カーネルの差は特徴ープけられないページ ) を検討してみる。メモリレイテンシの各パラメーューサーコードの実行にはとんどの計算時間を費やす単タは次のような愈未をもつ。体プログラムによるべンチマークであり、カーネルの機能差は景斧化ない。アレイサイズ ( グラフ横軸 ) : べンチマークがアクセスする・定量的言平価結果で分かりやすいが、断定は危険メモリ領域のサイズ。アレイサイズか大きいと広い範用単一票カ甘是示されるため、システム間の上交をする場をアクセスすることになり、逆に小さいとアクセスする合に、総・勺演窮生能としてク寺徴は捉えやすい。しかメモリの局所生か高まる。し、あくまでも SPEC という限定されオ危囲内での比レイテンシ ( 遅延 ) ( グラフ縦軸 ) : 1 バイトのデータをア較であり、深ぐ阜未せすに汎用性を求めるのはきわめてクセスしたときの遅延を表す。危険である。ストライド : 次にアクセスするときにどオレごけ離れたアドレスにアクセスするかをバイト数て表している。数値がハードウェア間の性能比較分析大きくな川まアクセスのランダム性が上がり、小さくなれば局所生か高まる。ハードウェアに起因する要素について分析しなければならない場合もある。たとえば、図 7 からは、以下ク芋徴か読みとれる。屯にプラットホーム間の上交をしたい場合・アレイサイズとキャッシュサイズの関係・ある要素を上交するとき、その要素と無関係な部分 ( たアレイサイズが小さいあいだは、レイテンシがきわめてとえばハードウェアの差異 ) を除去したい場合小さく一定である。しかし、 1 次キャッシュの大きさよなどがある。りアレイサイズが大きくなった時点、同一の言算機竟を用意できす、複数の言れ則竟を利用テストマシン 1 : アレイサイズ 16KB する場合などには、プラットホームの差異を明らかにしなテストマシン 2 : アレイサイズ 32KB ければ正確な上交は不可能である。こでは、ハードウェアに依存する部分を発見するガ去で、レイテンシが大きくなっている。キャッシュサイを説明し、テストマシン 1 とテストマシン 2 の差異を明ズより小さい場合には、キャッシュにヒットし続けることになる。 2 次キャッシュでも同様に、キャッシュサらかにする。このような場合に共通するのは、、、測定対象以外は固定イズを超えるあたりでレイテンシが大きくなっている。する " 方法である。ソフトウェア環境を固定したうえで、ただし、 1 次キャッシュと上罅交してキャッシュサイズ士ロ、」 33 UNIX MAGAZINE 1999.7

8. UNIX MAGAZINE 1999年7月号

連載 / IJN Ⅸの玉手箱ー・表 2 おもなサービス・パラメータパラメータ名 browseable comment create mask directory mask guest account guest 0k read list valid users write list writeable hide dot files hosts allow hosts deny path printable 型わ 0 司 stT 、 str str str 600Z 60 司 str str s 行、 stT 、 str str str 60 司クライアントで samba サーバーのサーピス一覧を表示する際、ファイル作ー ) マスク値セクションで定義されたサーピスに対するコメントサーピス名をみせるかどうか path でオ旨定したディレクトリを書込み可能で提信い - るかどうか書込みを許可するユーサーのリストアクセスを許可するユーザーのリスト書込みを許可しないユーサーのリストレクトリに印刷したいファイルを書き込めるかどうかサーピスカワ。リンタである場合、クライアントがスプール・ディ場合はスプール・ディレクトリク色対パスサービスがファイルの場合は提供するディレクトリ、プリンタのアクセスを拒否するユーサーのリストアクセスを拒否するクライアントのリストてのクライアントかアクセス可能アクセスを許可するクライアントのリスト。省略した場合はすべントにみせる名前がドットで始まるファイルを隠しファイルとしてクライアたユーサーになるか。 yes にした場合、アクセス権限は guest account てオ定しパスワード・チェックなしでサーピスにアクセスできるかどう guest ok 刎直を yes にした場合のアカウント名ディレクトリ作成時のマスク値 yes ( なし ) 0744 0755 nobody ( コンノヾイル時に変ー更可 ) yes ( なし ) ( なし ) ( なし ) ( なし ) デフォルト値 ( なし ) ( なし ) ( なし ) したがって、 /etc/printcap ファイルをどこかにコピーし、クライアントに提供したいプリンタのエントリ以外の部分は削除してそのファイルをパラメータで指定すれは、 samba サ→ヾーて利用可能なプリンタの一部だけを提供することもできます。以 E のように、ホーム・ディレクトリとプリンタに関してはそれぞれ homes および printers セクションでまとめて言殳定できるため、ホーム・ディレクトリ以外のディレクトリを提供する場合にのみ、ディレクトリごとに異なるセクションを定義すオ L ばいいでしよう。これらのセクションで指定できるパラメータにはさまざまなものがあります。なかには、まったく同し制御をおこなうのに複数のパラメータ名が使えたり、正反対の意味をもつパラメータが使えるものがあります。たとえば、ディレクトリに対する書込みを制御するには、 writeable 、 writable 、 write ok というまったく同し意味をもつ 3 つのパラメータと、これらとは反対の未をもつ read only というパラメータがあります。したがって、書込みを許可する場合は以下の 4 通りの記主去があります。 UNIX MAGAZINE 1999.7 writeable = yes writable = yes write Ok = yes read 0 Ⅱ 1y = no 59 10 空白を含む文才 : 列であっても、引用符などても必要はありません。ータはかなりの数になります。パラメータは、 global セメータを考慮に入れても、 smb. conf で指定できるパラメこれら、、同義語 " 的なパラメータや、、反対語 " 的なパラずれか 1 つに統一して言当主するはうがよいでしよう。くなります。したがって、パラメータ名喇直の書き方はい題はありませんが、設定ファイルを石忍する際にややこしこれらの書き方を混在させても設定自体が正しけれは問ます。述するのに 4 x 3 = 12 通りの書き方かできることになり書込み制御用のパラメータは 2 値型なので、同し設定を記 0 / 1 、 true/false という 3 不鶤頁があります。さきはどのます。 2 値型のパラメータでは、値の書き方に yes/no 、定します 10 。もう 1 つは 2 値型で、オン / オフを指定しことができます。 1 つは文字列型で、値として文字列を指さらに、パラメータは値の不鶤頁によって 2 つに分ける

9. UNIX MAGAZINE 1999年7月号

図 4 特定のドメインへのアクセスを拒否 plug¯gw: port ssl 192.168.255. * 表 1 plug-gw のパラメータ属性 -dest ! * . dameyo ・ co ・」 p 説明 —dest * パラメータ属性 port 0 d hostname port 〃 0 記 lPaddress オプション ¯plug—to hostname -pr ivport —port 0 記 —ssl —dest ん OS れ佖 7 〃 e timeout seconds 特定のポートの中継 IPaddT 、 ess からの孑Æを許可 hostname からの孑Æを許可孑第先のホスト名を指定樹ポートを使用孑先のポートを指定 SSL プロキシー・サーバーとして重川信接続先を制限接続町析までのアイドルを言置特定のホストからのポート浦 d を中継するためには、 port パラメータ属性に一 plug ー t 。オプションを付け、その引数として中継先のホスト名を言当します。 plug-gw: port 207 、 d ん os 田 me —plug—to hostname SSL の中継特定のホストからの SSL を中継するには、 port パラメータ属生に一 ssl オプションを言当します。 plug-gw: port ssl ん os me -ssl 接翫リ限 plug-gw への接続元を制限する場合は、パラメータ属性 port の引数に該当する接続元を言当します。たとえば、 plug-gw: port 0 乞 d 192.168.255. * とすると、 IP アドレスが 192.168.255. で始まる計算機からのアクセスを許可します。次のようにホスト名の前に、、 ! " をすると、そのホスト名に該当する計算機からのアクセスを拒否します。 plug-gw: port 0 乞 d 192.168.255. * ! * 複数のホスト名を列挙した場合は、した順に詔面されます。接跣リ限特定のホストから plug-gw への接続を許可し、さらにそのホストから接続する先の計算機を制限するためには、 port パラメータ属性に一 dest オプションを日己します。 50 これは、 SSL の中継先を制限するときに利用すると便利 plug-gw: port 0 記 hostname -dest ん os 佖 me -dest オプションの引数として、接続を許可するホスト名を指定します。引数では、ワイルドカードを使ったり、中括弧 ( { } ) のなかに複数のホスト名を列挙することかできます。否定の意味で、、 ! " も利用できます。複数のホスト名や、複数の -dest オプションを列挙した場合は、記した順に言面されます。たとえば、 dameyo ・ co ・ jp ドメインへのアクセスを拒否したい場合は、図 4 のように言当します。パラメータ属性 plug-gw に指定できるパラメータ属性の一覧を表 1 に示します。各パラメータ属性の未と、オプションについて説明します。 port ポート浦 d に関するルールを設定します。四 7 イ記には、 /etc/services に登録されたサービス名または数字を記述します。文字列 any" には特別な意味があり、すべてのポートにマッチします (any の使用例は、彳の「コマンドの書式」の項で紹介します ) 。 hostname と IPaddress には、接続を許可するホスト名や IP アドレスをします。ワイルドカード ( * ) を用いた指定も可能です。ホスト名と IP アドレスを複旨定する場合は、叫屯に列挙して言当します。あるいは、同一ポートに関するルールとして複数行に分けて書くこともできます。たとえは、 UNIX MAGAZINE 1999.7

10. UNIX MAGAZINE 1999年7月号

特集表 14 テストマシンのキャッシュいテストマシン 2 テストマシン 1 サイズ LI L2 L3 LI L2 L3 LI (CeIeron) DIB (K6-111) チッフ上 16KBI 十 16KBD 128KB 400MHz 400MHz 重丿胙周波数 L2 L3 ラインサイズ書込み方式チッフ上ポード上 32KBI 十 32KBD 256KB 2MB 400MHz 400MHz 100MHz ライトバック 32 バイトライトアロケートライトバック 7 を利用した CPU) では、 CPU チッフ上に 1 次キャッシュおよび 2 次キャッシュを統合しているため同様の効果か得られる。キャッシュの容量を考慮に入オせしば、キャッシュの多い K6 ー III のはうか有利という見方もできるが、正確に評価するためにはその他の周辺オとあわせて検討する必要がある。キャッシュ里機構キャッシュの容量だけではなく、キャッシュに関する言も異なっている。キャッシュ更新単位のキャッシュラインが 32 バイト長であるのは共通である。 K6-III では、セクタ管理方式と呼ばれる機構を用いている。この方式では、 2 つのキャッシュを束ね、 1 つのタグ番号を付けて管理する。 1 セクタは 64 バイト構成供通のタグ番号をもった 2 本の 32 バイト・キャッシュライン ) となる。あるキャッシュラインがキャッシュミスとなり、タグ番号も一致していなかった場合には、セクタ全体の置換えがおこなわれる。キャッシュミスしたキャッシュラインの 32 バイトだけでなく、その連続した領域をもう 1 つのキャッシュラインにプリフェッチする。 Celeron では、メモリオーダー・バッフアと呼ばれるオ冓があり、 2 次キャッシュまたはメモリへのメモリアクセス要求に対する Out-of-Order 処理をおこなっている。この処理により、メモリアクセス要求のプロックをイ瓊咸させ、メモリアクセスのスルーブット向上を図っている。キャッシュの機育計交を表 14 に示す。 24 チップセット去も丘の PC アーキテクチャでは、基本的な周辺デバイスを 1 ~ 2 個の VLSI チップに統合したものを、、チッフセット " と呼んでいる。チップセットには、 PC を構成する際に必な下記のデバイスのほかに、周辺 I/O (IrDA など ) を含む場合が多い。・メモリ・コントローラ・ EIDE コントローラ・ PCI プリッジ・ RTC (Real-Time Clock) ・ DMA コントローラ・キーポード・コントローラ・ PS / 2 マウス・コントローラ・ 2 次キャッシュ・コントローラ・低消費電力 CMOS SRAM チッフ。セットは、 CPU からメモリに保存されるデータ、あるいは CPU から I / O テンヾイスに渡されるデータを橋渡しする彳難リをもっており、システムの中心としてデータのやりとりのすべてにかかわっている。したがって、その特は、 CPU からのメモリアクセスに関する性能やディスクに対しての DMA 転送などに景グする。チップセットの持生として、パフォーマンスに大きくなどがある。・ AGP バスの重川周波数・メインメモリへのアクセス・タイミング・サポートするメモリ方式・メインメモリバスの重川周波数・システム・べースクロック景グする項目には、用したチップセットの上師交を表 15 に示す。うかで、システム性能が大きく変わることもある。今回使アロケート機能をチップセット側でサポートしているかどたとえは、 K6-III のキャッシュ更新方式であるライト UNIX MAGAZINE 1999.7 ースクロックは、テストマシン 2 : 100MHz テストマシン 1 : 66MHz システムのべ