ネットワーク - みる会図書館

1. UNIX MAGAZINE 2001年3月号

平文てパスワードをやりとり図 3 図 4 を入力 unmaga バスワードクライアントを入力 unmaga / ヾスワードクライアントパスワードを暗号化してやりとりセキュリティ疋ネットワーク平文 unmaga 暗号ネットワーク H("unimaga") ハッシュ化済みパスワードファイル共有と印刷サーバーハッシュ関数 H("unimaga") の結果と登録パスワード ( ハッシュ化済みで登録 ) を比較受信したパスワード H("unimaga") とサーバー内部の平文パスワードをハッシュ化したものを比較認証に関する設定と、アクセスできるホストの制限をおこないます。今回は、 VMware 上の NetBSD のユーザー名とパスワードを利用して認証する設定にします。 = user yes : SMB の認証が暙号化パスワードでおこなわれる。ハッシュ化されたパスワードカまれても安全 ( 図 3 ) 。ドをハッシュ化したものを保存するため、サーバーでが分かってしまう。しかし、サーバー側ではパスワーなわち、ネットワークをモニターされるとパスワード no : SMB の認証が平文パスワードでおこなわれる。す smbpasswd によって設疋する必要があります。ります。、、 yes" とした場合は、 Samba 用のパスワードを場合は、、 encrypt passwords" を、、 n 。 " とする必要があューサー名とパスワードを NetBSD 上と一致させたいモードと暗号化しておこなうモードの 2 不鶤頁があります。 SMB では、この認証を平文のパスワードでおこなうめ、サーバーでパスワードか盜まれれば終り ( 図 4 ) 。バーでは平文のパスワードを保存しなければならないたされているのでパスワードの解読は困しかし、サーネットワークをモニターしても、パスワードか、暙号化 UNIX MAGAZINE 2001.3 Samba は暗号化 (yes) を推奨しており、 Windows 側においても、 Windows NT SP3 や 2000 以降では暗号化されたパスワードの利用がデフォルトになっています。私は、、 yes" としています。 encrypt passwords = yes 次に、 Samba サーバーにアクセスできるホストを限定する設定をおこないます。今回の例の韆竟には 2 つのネットワーク・インターフェイスがありますから、ホストべースの、、ローカルエリア接続 " 側のネットワーク (lel: 192. 168.0.3 / 24 ) に対してのみ Samba サービスを提供する設定にします。そして、ホスト OS である Windows ( 192. 168.0.1 / 24 ) のみがアクセスできるようにします。 hosts a110W = 192. 168.0. 1 192.168.0.3 / 24 interfaces 最後に、共有するディレクトリです。デフォルトでは、 UNIX 上のホーム・ディレクトリとプリンタが共有され writable = yes browseable = Ⅱ 0 comment = Home Directories [homeB] るようになっています。 47

2. UNIX MAGAZINE 2001年3月号

物 00 S IJN ー X マシンと Windows ネットワークとの総合環境を実現。実績で選ぶなら信頼で選ぶならネットワーク上の LJN Ⅸアプリケーションを Windows ネットワークのファイルサーバーとして Windows マシンからシームレスに実行高信頼な LJN Ⅸマシンの導入を実現。・業界最高クラスのハイパフォーマンス、高安定性を実現・安心できる技術サポートが信頼性の高い UN Ⅸサーバの導入を的確に支援。・ Windows の操作感覚そのままに UN Ⅸと Windows の混在環境を創出・ UN Ⅸマシンへのインストールだけで導入でき、メンテナンスコストを大幅に削減。・ 3 次元アプリケーションに欠かせない OpenGL に対応。・ Windows の共有フォルダ / プリンタに UN Ⅸからもアクセス可能。 Windows / UN Ⅸ混在環境でのシームレスなリソース共有を実現。・ Windows Me 対応予定・ ESP 総研調べ 1999 年度充実したサホートが活用を支援国内 PC X サーバ市場シェア No * XVision EcIipse 3 VisionFS ■標準小売価格 : XVision EcIipse 1 -User Base pack V7 町 000 ( 税別 ) ※マルチューザパックもご用意しています。詳しい情報は下記へ。評価版をタウンロードできます。 Windows 2000 対応 UN ー X サーパソリューション for Windows ネットワーク Windows95/98/NT/TSE/2000 対応 PC X サーバ TM 3 ■標準小売価格 : SCO VisionFS l-user Base PackV24 800 ※マルチューサバックもこ用意しています。詳しい情報は下記へ。評価版をダウンロードできます。 ( 税別 ) http://www.csk.co.jp/psi/xvision/ http://www.csk.co.jp/psi/visionfs/ トーメンサイノ←ビジネス株式会社・日本語版開発元インターネットプロダクツ事業本部〒 108-0075 東京都港区港南 2-11-19 TOMEN TEL. 03-5715-0822 FAX. 03-5715-0830 URL : http://www.sco.tomen-g.co.jp/sco/ E-Mail: scoinfo@tomen-g. CO. jp 株式会社 CSK ビジネスシステム事業本部ビジネスプロダクト第一事業部プロタクトソリューション営業所プロダクトグループ〒 170-0013 東京都豊島区東池袋 3-22-17 CSK コンピュータビル 2F TEL. 03-5956-9360 FAX. 03-3986-7239 URL: http://www.csk.co.jp/psi/ E-mail: vision@pi.csk. CO. ゆ・販売代理店 CS K CYBER BUSI NESS

3. UNIX MAGAZINE 2001年3月号

ーの連載 /Cyber Kansai Project 図 3 サーパーの負荷分散 1. Web サービス (Web ホスティンクつ 2. 会員情報データベースの管理 3. メールマガジンの配信・管理 4. EC サイト ( 商品管理、個人認証、課金、斉など ) ASP のメリットをまとめると、次のようになります。アプリケーションがすぐに使える。サーバーやソフトウェアの運用・保守管理か不要。定額言 t. ー E できる。ただし、 ASP を利用する場合には、あらかしめ用意されたアプリケーションを使うことになるので、きめ細かいカスタマイズは困難です。 ASP までのネットワーク接続ユーザーにかかるコストも引に入れる必要があります。ネットワークとしてインターネットを利用するのなら、通信 ) 暗りました。これほどのアクセスが集中すると、 Web サー号化など、セキュリテイも考慮しなけれはなりません。バーやストリーム配信サーバー、ネットワークにかかる負荷の総量は膨大ですから、負荷を通切に分散させなければ動画コンテンツの配信なりません。それには、高度なサーバー / ネットワークのビジネスとして重丿コンテンツをインターネット経由で運用管理能力カ球められます 5 。 CKP 関連では、高校野配信する場合、ストリーミング・サーピスか利用できます。球のインターネット中継でネットワークの運用を担当してこれは、必喫な機材や技貧諸を石呆し、素材のエンコードいる NTT スマートコネクト 6 が、これまでに培ったノウやホスティン久サーバー類の運用や管理を f してくれハウを活かし、昨年から SmartStream という商品名でるものです。配信のための代表的なアプリケーションにはストリーミング・サービスを提供しています。 Windows Media3 や Rea14 などがあり、ほとんどのサー軽快で↑題なコンテンツ配信ビスはこれらをベースとしています。ストリーミング・サービスには、オンデマンド型とラ Web サイトが順調にスタートし、人気が出てくると、イフ型があります。前者はユーサーからの要求に応して個サーバーの負荷が・己になってきます。大量のリクエスト別にコンテンツを配信するもので、ニュースやドラマなどを受けても応答性能を低下させす、・商な閲覧を糸旧寺しなの配信に向いています。後者は決まった時刻に複数のユーけ川まなりません。 EC サイトでは、頻繁にサーバーがダサーに対して同時にコンテンツを配信するサービスで、コウンすると、ビジネスチャンスを逃してしまいます。ンサートやスポーツなどのイベント中継に向いています。 CDS (Content Distribution Service) 事業者とくにライプ中継の場合は、人気のあるコンテンツにはは、以下のようなかたちでコンテンツ配信を高度化し、相当な量のアクセスが集中するため、寸・分なネットワークれらの課題を鮹夬するためのサービスを提供します。帯域と高い負荷に耐えうるシステム、それらを適切にコンサーパーの負荷分散トロールする運用技術が必要です。大量のリクエストに対し、大規模なサーバーを用意する昨年の夏、椎名オ禽のインターネット・ライプ中継がのは 1 つの角夬策かもしれません。しかし、これらのサー同時アクセス 17 , 300 の日本言当求を作ったことか話題にな 5 業界大手の J ストリーム (http://www.stream ・ co ・ jp/) では、最 3 http://www.microsoft.com/japan/windows/windows- 大て時に 3 万人に配信するキャパシティを用意しているそうです。 media/default. asp 6 http://www.nttsmc.com/ 4 http://www.real.com ストレージサーバーの負荷や動作状況を監視 = 三 = = = 三三三受け付けたリクエストをクラスタ化されたサーバーに分散負荷分散装置 180 UNIX MAGAZINE 2001.3

4. UNIX MAGAZINE 2001年3月号

USENIX 2000 AnnuaI TechnicaI ( on 「 e e 現在実行中のプロセスのものとされるか、まったく関係ないものとされるかのどちらかである。したがって Q 。 S の保証は不可能である。もう 1 つの間題は、バケットの保存に使えるバッフア空間がなくとも、受信したすべてのパケットをシステムか処理しようとするために起こるロックである。 BSD の受信処理の 1 つの代替手段は、遅延受信処理 (LRP) である。 LRP は受イ訓芋のロックを防止するため、バケットの振分けをおこない、できるだけ早くバッフアの溢れを検出して、バケットを落としてしまう。 UDP'S ケットは受イ芋に同期処理される。 TCP バケットはプロセス単位の郵のカーネルスレッド経由、もしくは、、資源コンテナ " を用いるシステムに共通なプロセス経由で非同期処理される ( 資源コンテナは資源とイ描領域を分離するために使われる抽象イに分である。カーネルレベルのコードか硬用する資源はユーザープロセスに関連つ、けることができる ) 。この UDP と TCP?S ケットの処理により、 LRP は BSD の受信処理のスケジューリングの不整合を回避できる。 LRP にはいくつか不都合な点がある。第 1 に、カーネルスレッドや資源コンテナを実装しないシステムでは機能しない。第 2 に、 LRP では TCP はつねに非同期で、アプリケーションと同等に資源を共有する。第 3 に、 LRP はホスト向けに言されており、ゲートウェイ向けではない。 - 早期のバケットの振分けも、ゲートウェイ用としては単純すぎるし、タイムシェアリング・スケジューリングもゲートウェイには不適当である。 LRP は、リアルタイム・スケジューラやプロホーショナルシェアリング・スケジューラといかに叫秀するかという間題が未鮹夬である。通知による受信処理 (SRP) は、 LRP の問題点を回避する代替法である。バケットが着信すると、 OS は受信アプリケーションにそれを知らせる。そのバケットはデフォルトでは非同期的に処理されるが、次の受信まで処理を延期するために、アプリケーションはそのバケットを受け取ったり、プロックしたり無視するかもしれない。 SRP は着信バケットを数段階て処理する。現実のハードウェア入力のみカ」込みレベルて処理される。処理は MED (Multi- stage Early Demultiplexer) 経山で扱わオし NSS (Next Stage Submit) 機能を通して、ある段階から次の段階へと移行する。 NSS 機能は SIGUIQ (Unprocessed ln- UNIX MAGAZINE 2001.3 terrupt Queue) を送信して、そのことをアプリケーションに知らせる。性能テストによると、 Eclipse/BSD による SRP と FreeBSD による BSD の受イ言処理とでは、スルーブット、 CPU 利用率、ラウンドトリッフ時間は事実上同しであった。また、 SRP は受イ訓寺のロックをうまく防ぐことも分かった。この容易に移植できる技術により、柔軟なスケジューリングや、ゲートウェイによる利用か可能になり、招待講演 QoS も保証される。報告 :Josh Simon れたセキュアなディスク (NASD : Network Attached の、、信頼ホスト " をもつ ) 、そしてネットワークに接続さ有する SCSI デバイスで、書込みをおこなうための 1 っノ、ーに統合されたディスク、 netSCSI ( 多数のホストが共たディスク、ネットワーク・アプライアンスのようなサー分類法もある。 SoIaris マシンのようなサーバーに接続しが含まれている。 Garth Gibson による 4 つのケースのか、可用性、拡張生、ネットワーク、性能、セキュリティなかには、名前付け、扱う単位、利用する場戸励ミ移重丿けるの特徴を表すものとして提案した 19 の原則がある。その考えるべきだろうか。 Levy と SiIverschatz がファイルネットワークを通してデータを共有するときには、何をトカ鉢リ用するかて違ってくる。のか、どのようなネットワーク構成か、どんなクライアンるのかなどによって異なる ) 、どの程度の性能のマシンな出しのみか、書込みもあるのか、どれくらい同時に使われどれくらいの範囲で利用するのか、応答性、耐古郊章性 ( 読データ共有のパターンはさまざまである。ューザー数、ものである。 nel インターフェイスを備えたディスクの集まりのようなおり、 SAN (Storage Area Network) は Fibre Chan- Attached Storage) は LAN から利用する NFS に似てるためのヒントを提供することだった。 NAS (Network- この講演の目的は、 SAN および NAS について考え Rod Van Meter (Network AIchemy) ネットワークとストレージの融合 SAN か NAS か ? 159

5. UNIX MAGAZINE 2001年3月号

いつでも使えるインター図 16 なんちゃって DMZ ネット者から、、攻撃された " と誤解される場合もあります。その未でも、設定しておくことをお勧めします。設疋の手順は、、、 Block TCP or UDP Service" をクリックし、図 15 のように入力したあと、 [Submit] ボタンをクリックするだけです。ロ問題点 110 2 もちろん、をめヨ手に新ナた名称てす。ように物理的に接続したネットワークを図 16 ー b のように、、なんちゃって DMZ " 2 の機能を使用すると、図 16 ー a のはない」と書かれています。ンターフェイスにも「危険生を重視するのなら使うべきでこの機能の使い方に関する説明はなく、図 17 の Web イり、ただのハプになってしまいます。ューサーガイドにはから、Ⅵ石 SOHO はファイアウォールとして働かなくななってしまいます。つまり、この機能を有効にした時点効にすると、万一侵入された場合に害の拡大が防げなくこの機能は第寸に使ってはいけません。この機能を有なんちゃって DMZ ます。いくつかあります。以下では、それぞれについて説明し WSOHO には、単体で使用する場合に重大な間題がみせることができます。分かりやすいように、具イ勺な IP アドレスを使って説明しましよう。たとえは、各ホストに次の IP アドレスを割り当てたとします。 WSOHO 外側 : 10.0.0.2 WSOHO 内側 : 192.168.111.1 ホスト A ホスト B : 192.168.111.2 : 10.0.0.3 ファイアウォールの内側のネットワーク・アドレスが 192.168.111.0 / 24 なのに、アドレスのまったく異なるホスト B ( 10.0.0.3 ) を内側のネットワークに接続するのはおかしいと思うかもしれません。しかし、違和感には目をつって、とりあえずコネクタにケープルを接続します。次に、 WSOHO の管理用 Web インターフェイスにアクセスし、、 System Administration ・→、、 DMZ Set- tings" をクリックします。すると、図 17 の画面か表示されます。ここで、、、 Enable IP DMZ Pass Through をチェックし、その下にホスト B の IP アドレスを入力します。入力か終ったら、 [Submit] ボタンをクリックしてから WSOHO を再起動してください。 WSOHO か起動すると、なんとホスト B がファイアウォールの外側に接続されているように動きます。つまり、図 16- b のような構成になるのです。 UNIX MAGAZINE 2001.3

6. UNIX MAGAZINE 2001年3月号

図 17 DMZ もどきの言聢 [ 0 C ′、 L 日、 0 5 い V を、い」村はイ SOHO W トいを、を ( ル、 E 第Ⅵぐ第、 P 0 員 T E 0 し一し 5 Confiquraüon: 週 ! ! 当型匹 ! 0 ÜMZ pass 第し吶に Addtess は” S ”ⅷ目 oms Ⅱ C 処リ Qn 上凵い : ⅡなⅡは第 ] マ ableIPD) a ”窘′は一 enab 厄 tl a れを正 en 止 concem & yo 江誕ヴ , d ー gl b にに d hac stoneg 亜ツ pa は yo 皿 20 ⅸ c 町一ツ Do れ ot fO ! 師 dedo 斌 0Y0 lo こ載 n に 20 。飛 W にト D142C0 れ駅砠れ otb ぐ 0 Ⅳ d 丘 0 れ tof 出 e 丘 0 Ⅳ凪 c 印 t 山 at p を om 山 epu 阯 c n02 。ⅸ此 5 mac 恤肥“ ⅳ rn 5 聞こ - 窘” acbo 辷 eq 山印い oplac g 山 0 W 山 D ~ み comp リ旧、 0 れ a btn に n 心 sop 0 れ観 dco 0 0 ofyo い叩ーな閉山山 e 北 co れ d Ⅳ d es 0h0 靆 y 。リ ha ” mo 化衄 0 ”まね . 」 eIPad 士 0 “ asstgnedtoyoubyyourISPyoucan ノヾ「お互いのネットワーク・アドレスが違うのに、簡単にアセスできてしまうのです。き、ホスト B に侵入した攻撃者は簡単にホスト A にアクて、その言置にミスがあって侵入されたとします。このとたとえは、ホスト B 上で Web サーバーを運用していのがない ( 守れない ) ことです。それは、ホスト B に侵入された場合、ホスト A を守るもところで、この機能の何が、、いけない " のでしようか。の主目的なのではないかと思います。ので、、、ハプを置く手間か省けます " というのがこの機能って DMZ " の機能を使うと図 16- a のように接続できる DMZ ネットワークを作ります。しかし、この、、なんちゃウォールのあいだにハプを置き、図 16 ー b のような構成のーを運用します。このとき、通常はモデムとファイアう 1 つをホスト B に割り当てて、ホスト B 上で公開サーつは WSOHO の外側インターフェイスに割り当て、もを割り当てられているときに使用できます。そのうちの 1 この機能は、 ISP から 2 個のグローバル IP アドレスリティ対策を施さなければなりません。く適用されません。このため、ホスト B では独自にセキュ通信では、ファイアウォールのフィルタルールはまったり返しますが、インターネットとホスト B とのあいだのネットとホスト B のあいだは、、スカスカ " なわけです。繰に接続されているような乍をします。つまり、インターに接続していますが、言軸勺にはファイアウォールの外側は、物ま軸勺にはファイアウォールを介してインターネットファイアウォールで守られていないことです。ホスト B このとき、注意しなければならないのは、ホスト B は UNIX MAGAZINE 2001.3 クセスできるわけないやんか」個人の常時接続環境を考える ( 8 ) と思うかもしれません。しかし、よけいなお世話というべきか、 WSOHO はホスト B とホスト A のあいだの通信をうまく中継してしまうのです。つまり、ホスト B とホスト A とのあいだの通信は、ホスト B - = - WSOHO - = - ホスト A のように WSOHO が中継するため、 ping も telnet もごく普通にアクセスできてしまいます。ファイアウォールの彳難リは、外部と内部のネットワーク間のアクセスを卸するだけではありません。万一、公開サーバーのような外部からのアクセスを許可しているホストに侵入された場合には、その被害の拡大を防ぐ、すなわち内部ネットワークに霰害が皮及しないように言妬 1 ・すべきです。そして、そのように言したネットワーク本がファイアウォールとなります。この、、なんちゃって DMT の機能は、ファイアウォールの肝腎の働きを無効にしてしまうものです。繰り返しますが、系寸にこの皀を使用してはいけません。んつ、なし、の ? WSOHO には、レポーティングの機能がありません。おそらく、前述のリモート管理ソフトウェアには含まれているのではないかと思いますが、 WSOHO 自体にはありません。図 2 の Network Statistics がそれらしくみえますが、これで得られるのはたんなる送受信バイト数とパケット数の糸 t だけです ( 図 18 ) 。これにも、ちょっとがっかりしました。さらに、 WSOHO のシステムログをほかのホストに syslog で送信する機能もありません。システムログをはかのホスト上のログサーバーに送る機能はあるのですが、 WatchGuard 独自のプロトコルを用いて独自のログサーバーに送信します。これも、前述のリモート管理用ソフトウェアには含まれているのかもしれません。しかし、 SOHO ューサーは Web インターフェイスでアクセスするしかないようです。図 19 にログの例を示します。この図は、ポートスキャンをおこなった言当求と WAN 側のネットワーク・ケープルを抜き挿ししたときに DHCP がそれを本鎹日した言当求が残されています。図の 1 列目の日該リらしき数値カ舸をどう 111

7. UNIX MAGAZINE 2001年3月号

サイバー関西プロジェクト山口陽ー NGI プロジェクト ( 1 3 ) 5 インターネット上のコンテンツ・サービスはじめにコンテンツ中心の時代へそれからしばらくして、パソコン通信か普及し始めましなっていました。をできるかぎり多くの機不董に樹直することが重要な業務とした。ソフトウェア・べンダーにとっては、ソフトウェア列ごとにアプリケーションを開発しなけ川まなりませんでろの PC は各メーカーのオ間の互換性がなく、機種の系処理など ) 、ゲーム、プログラミングなどでした。そのこ時、 PC を購入するおもな目的は仕事 ( 文書の作成や会言ピューティングを楽しめる、 PC の時代の到来です。当システムに触ることのできない一殳の人たちも気軽にコン下がり、急速に普及しました。会社や研究機関の高価なル・コンピュータ ) の価格かイ固人の手の届くところまでいまから 15 年はど前、いわゆるパソコン ( パーソナネット上でのコンテンツ・ピジネスについて説明します。の内容を紹介する前に、とくに重要な概念であるインター Media Hub) 、 A2SP (Advanced ASP) プロジェクトで、 NGI の次のプロジェクトである IMH (lntelligent テンツ・ピジネスのビジョンをもっことが重要です。そこした。次のステップに進むためには、なによりもまずコンまな基財支彳の開発が不可欠であることも明らかになりまをおこなうには、ポリシーサーバーをはしめとするさまざであることを示しました。同時に、コンテンツ・ピジネスクがコンテンツ・ビジネスのべースとしてヨ - 分に利用可能 NGI プロジェクトは、その第 1 段階で QoS ネットワー 176 た。パソコン通信は、原則として文字べースのコミュニケーション・サーピスで、電子メールや電子掲示板、電子会議室などの機能力甘是供されていました。また、アプリケーションや画像、音楽などの交換も可能になりました。つまり、個人の作ったコンテンツを、物理的な媒体を介さずにネットワーク越しに共有できるようになったわけです。通信に熱中するあまり、目の飛び出るような電言辞ト金を請求される人か現れ始めたのもこのころです。その後、 PC のプラットホームが規格化さ異なるメーカーの機種でも共通の OS 、アプリケーションか利用できるようになりました。ハードウェアもメーカー間の競争によって性能が向ー E し、価格も下がりました。それまではおもに UNIX 上で使われてきた TCP/IP が性能の上がった PC に実装されて普及し、やがてインターネット・プームが到来します。通信プロトコルやデータ・フォーマットカ鰾準化されたこともあって、数多くの優れたプログラムか無償で配布されるようになりました。世界中が 1 つのネットワークてつながることの意義がひろく認めらインターネットがコミュニケーションや商取引など、さまざまな社会活動の基盤として活用されるようになりました。いまでは、インターネットを楽しみたいから PC を買うという人も多いようです。現代は、まさにネットワークの日にといってもいいでしよう。 PC の日罸に、ネットワークの日にときて、次にくるのは何でしようか ? それは、コンテンツの日罸にではないかと考えます。ここでいう、、コンテンツ " とは、無線や有線のネットワークを経由して配信される画像や音声、文字などの 1 帯にです。そういった日罸弋の流れのなかで、 i* 勺な価値のあるデジタル・コンテンツをどう扱うかか重要になってきました。現在は、 PC に限らす、携帯電話や Set Top UNIX MAGAZINE 2001.3

8. UNIX MAGAZINE 2001年3月号

SC 北時代は、オープンソース¯¯Linuxo Miracle Linux Standard E on レ 1.0 ( F ア P 版 ) ほか多数収録 ! ビジネスで使うリナックス活用マカジン Linux business Vine Linux2. 7 を完全収録 Vine linux 21 スタートブックリ n リ x をビジネスで使う人への強力なサポーター 0 オラクルで作る L x テータベースシステム Web クループウエマ仕事の齪第一 S ねな Lnux 0 0 ÄSCII 使いやすい日本語環境ならⅥ ne Linux! A4 変型判 / 208 ページ CD - ROM2 枚付属本体価格 1 , 900 円新刊野村直著 B5 変型判 / 288 ページ CD - ROM2 枚付属本体価格 2 , 600 円 DB と連携した W 由サーバ構築法から、旧 M 、オラクルの Linux 戦略分析、グループウェアやウイルス対策など、ビジネスシーンでの Linux 活用を力強くサポートする初の Linux ビジネス専門誌。システム管理し inux システム管理日本人にもっとも使いやすいディストリビューション一 Vine Linuxo 本書は熟成がすすんだ Vine Linux 2.1 を 2CD ( バイナリ、ソース ) で収録。 Linuxconf も徹底解説。 0 Jochen Hein 著吉川邦夫訳 B5 判 / 560 ページ本体価格 5 , 800 円 0 オフィスで使うなら知らなくてはいけない ! 市販 OS をもしのぐ多機能と自由度を誇り、ビジネスでも注目されている Linux 。インストールから環境設定、より高度な使い方までアスキーの本で徹底的に Linux を使いこなそう ! Vine し i れ ux2.0 各種設定ファイルの書き方からツールの解説、ネットワーク関連の設定まで、凵 nux のシステム管理を初心者でも読めるように懇切丁寧に解説。し i れ ux サーバ入門 Red Hat 系対応 Linux ネットワーク丿 Ⅱ皿 x ネットク Vine Linux 加サーバー構築ブック帳同ル " 系応し i れ ux サ - ハ入門・」、一」清水正人著 A5 判 / 208 ページ本体価格 1 , 900 円係をメインに、サーバためー法 Linux マシンを TCP / 旧ネットワークに接続するためのインターネットサーバー構築は、日本語オンラインドキュについてコンバクトに解説する。基本となるサーバブログメントや、全文検索システムを備えた最高の日本語環境ー作業から、ネットワークアプリケーションの設定と使用法、 PPP によるインターネット接続に至るまで、幅広い話題ラムの設定、メンテナンス、セキュリティなど、これから PC Vine 凵 nux2.0 で始めたい。最新アップデートを含む 2CD サーバを構築する人には最適である。を懇切丁寧に解説。でセキュリティ対策も確実に小山裕司、斉藤靖小島三弘ほか著 B5 変型判 / 660 ページ本体価格 4 , 600 円堀ロ幹友著 B5 変型判 / 272 ペーン CD - ROM2 枚付属本体価格 2 , 800 円サーハ構築の基本をコンハ。クトに解説 Linux ネットワークの全体像がみえてくる ! インターネットサーバーは Vine Linux でたてる ! Linuxøuo XFr 86 入門 Turbo Linux 入門ハンドブック基礎、℃ 2 Linux のための XF 「 ee86 入門市血入門ハントフック基礎編 Aron Hsiao 著 ( 株 ) コスモ・プラネット訳 B5 判 / 464 ページ本体価格 3,800 円アスキー書籍編集部著 B5 変型判 / 288 ページ本体価格 2 , 200 円金光雅夫著 A5 判 / 152 ページ本体価格 1 , 500 円企業内研修・引用によるカスタムメイド・ OEM 供給に関してのお問い合わせ先 : 法人営業担当 ( 03 ) 5351-8640 ・表示価格は消費税を含みません。・本製品は書店および書籍を扱っているパソコンショップでお買い求めください。・品切れの際は書店にてこ注文いただくか、通信販売をこ利用ください。・通信販売のお問い合わせ先 : 株式会社アスキーイーシー電話 ( 03 ) 5351-8202 http://www.arcs.ne.jp/direct/ き

9. UNIX MAGAZINE 2001年3月号

いつでも使えるインターネット特集写真 1 背面、 VatchGuard SOHO WatchGuard• SOHO 表 1 WatchGuard SOHO のおもなイ士様 CPU RAM Toshiba TMRP3907 4MB フラッシュメモリ IMB I/F 電源外形司法 10Base T (RJ-45) x 5 12V / 1.5A AC アダブタ ( 110V ) 2.54 X 16.51 X 15.25cm 約 300g SOHO ネットワーク用のファイアウォールです。ただし、クライアント数は、ライセンスを追加購入すれは最大で 50 までアップグレードできます。外観の特徴は、、赤い " ことです。この色は同社の中規模サイト用ファイアウォール Fireb 。 xll と同じで、おそらく WatchGuard のシンポルカラーなのでしよう。大きさは、携帯 CD プレイヤーくらいのサイズです ( 写真 1 ) 。約 300g とたいへん軽く、ファンもないのて静かです。 WSOHO の背面には 10Base T のポートが 5 つあり、そのうちの 1 つを外部ネットワークに接続します。残りの 4 つは内部ネットワークに接続するためのポートで、これらは Ethernet ハプとして利用できます。電源は、 SonicWALL SOHOIO と同様、・丘の安価なルータを買うとかならすといっていいほど付いてくるタイフ。の AC アタブタカイ吏われていますにちらは中国製でした ) 。したがって、本一則のコネクタをちょっと引っ張ると簡単に抜けてしまいます。本体とは関係ありませんが、 WSOHO の箱を開けてびっくりするのが、、マニュアルがない " ことです。最初は何かの間違いではないかと思い、もうすこしで販冗元に電話 100 をかけるところでした。しかし、箱に入っていた 1 枚の紙をよくよく見ると、上のほうに、、 lnstallation Guide" と書かれています。そして、その下には大きな製品写真が載っていて、さらに下に目を移すと小さな文字で何やら書かれています ( もちろん英語てす ) 。「どれど・・・・・・ん ? http://bisd.watchguard.com/soho/install/ にアクセスしてガイドに従うこと、やて」インストール・ガイドやユーサーガイドなどのマニュアルは PDF 形式のファイルで Web サイトに置かれており、あらかじめダウンロードしておく必要があります。このマニュアルがないと、デフォルトで設定されている IP アドレスが分からないので、設定用のインターフェイスにアクセスすることすらできません。これはかなり不便 WSOHO のおもなハードウェア仕様を表 1 に示します。肝腎のファイアウォール機能には、次のような特徴があります。・ステートフノレ・インスペクション・ Web インターフェイスによる設定・管理・ LiveSecurity サービス・ Web コンテンツ・フィノレタリング・ VPN 以」 : の特徴について、もうすこし詳しく説明します。ステートフル・インスペクション WSOHO は、 SonicWALL SOHOIO と同しく、ノヾケットのフィルタリングにステートフル・インスペクション技術を利用しています。 UNIX MAGAZINE 2001.3

10. UNIX MAGAZINE 2001年3月号

ータの基礎 ( 6 ) 図 13 アクセスリストの更新 Router#configure terminal Enter conf iguration commands , one per line . Router (config) #show running—config interface EthernetO/O Cisco) レ End with CNTL/Z . description UN 工 X magazine sample configuration ip address 202.244.164.13 255 . 255.255.0 ip broadcast—address 202.244.164.255 IP access¯group 100 in IP access-group 100 out Router(config)#access—1ist 101 icmp any any ( 新たなアクセスリストをリスト番号 101 で作成 ) Router(config)#interface ethernet 0 / 0 Router(config—if)#ip access-group 101 in Router(config—if)#ip access-group 101 out Router(config—if)#AZ Router (config) #show running—config interface EthernetO/O ←リスト 100 からリスト 101 に変更 description UN 工 X magazine sample configuration ip address 202 . 244.164.13 255 .255.255.0 ip broadcast—address 202 .244.164.255 ip access¯group 101 in ip access—group 101 out 図 14 アクセスリストの削除 Router#configure terminal Enter configuration commands , one per line . Router(config)#no access—list 100 Router(config)#exit Router#show access—list 100 Router# End with CNTL/Z . セスリスト (extended)) を指定し、作成するグループの名前を入力します。すると、アクセスリスト専用の入力モードになるので、適切なエントリを指定していきます ( 図 15 ) 。仮想ターミナルへのアクセス制限 ■ UNIX MAGAZINE 2001.3 class コマンドて指定します。として作成しておき、そのアクセスリスト番号を access- あらかじめ許可するネットワークの情報をアクセスリストります。これには、 access-class コマンドを使います。対するネットワークからのアクセスを制御したいことがあセキュリティ上の理由により、イ瓦想ターミナル ( vty ) に図 16 の例では、ます、標準アクセスリストて許可するネットワークはたはホスト ) を指定します (a-l)o そして、 vty の 0 ~ 4 に対し、アクセス番号 12 に指定したネットワークからのアクセスだけを許可しています (a-2)0 現在のイ反想ターミナルの状態は、 show line コマンドて市忍できます。図 17 の、、 AccI " のカラムが、アクセスあんかリスト番号を示しています。ティー ) をよく飲んでいるのですが、先日重大な事件が発研究室の学生のうち、何人かが缶入り糸工茶食炸ト ( ミルク生しました。 77