ツール - みる会図書館

1. UNIX MAGAZINE 2004年2月号

特集ーロロ 0 調べ方ネットワーク・トラブレのロ荒井美千子、大和美穂ネットワークが普及するにつれて、ネットワークのトラプルや不正侵入なども身近になってきました。原因がよく分からないトラブルに悩まされたり、ネットワークに潜んだウイルスの発見に苦労した人もいるでしよう。トラブルの解決や不正侵入を検知するための便利なツールはたくさんありますが、これらのツールで得られる情報を正しく解釈し、適切に使いこなすには、・ネットワーク機器の機能・ネットワークがどのように動くか・通信プロトコルなどの基本的な知識が欠かせません。この特集では、ネットワーク上のトラブルを素早く的確に解決するために、 TCP/IP ネットワークの基礎知識や、ネットワーク上の通信を解析するときにつまずきやすいポイント、トラブルの見分け方などを解説します。ネットワーク・ツールの種類ネットワーク・ツール 1 は、ネットワークのトラブルを発見して原因を究明し、解決するための大切な助手です。ところが、この助手には多少、、クセ " があり、どのような仕組これらのツールを、用途と仕組みをもとに大きく分けるれません。みで動くのかを理解して上手に働かせないと役に立ってくと次のようになります。接続状態を調べるツール 1 ツールにはソフトウェアとハードウェアがありますが、ウェアをとりあげま UN 工 X MAGAZINE 2004.2 この特集ではソフト・ SNMP 代表的なツールとしては、 IP バケットの到達可能性を調もとに判定します。ワーク機器 ) に向けてバケットを送り、戻ってきた応答を接続状態を調べるときは、機器 ( コンピュータやネット接続状態を調べるツールまな視点から調べてもよいでしよう。ルを選ぶことです。複数のツールを組み合わせて、さまざツールの仕組みや特性を把握し、目的に応じた適切なツーネットワーク・トラブルに立ち向かうための第一歩は、てしまいます。類にまたがる機能を備えたものもあるので、さらに混乱しいようです。さらに、ネットワーク・ツールには複数の種よく似ているため、機能や使い方を混同してしまう人が多類のツールカ痾いています。ところが、この 3 つは用途がネットワーク・トラブルの発見や調査には、最初の 3 種・その他・べンチマーク・ツール・ウイルス検出ツール、不正侵入検知システム (IDS) ・ネットワーク・アナライザ 27 といったことが分かります。送信先の機器か稼動中か・ネットワークがつながっているかの表示を見れば、バケットを送り、戻ってきた芯答を表示します ( 図 1 ) 。に向けて ICMP (lnternet ControI Message Protoc01) べる ping コマンドがあります。 ping は、対象となる機器

2. UNIX MAGAZINE 2004年2月号

Momonga News 田淵貴昭この記事では、 Momonga Linux の更新情報を RPM の / 忖支などを交ぜっつお伝えする。 ◆ Momonga Linux とは Momonga Linux とは、 Momonga Project が開発している Linux ディストリビューションである。 Kondara Project が 2002 年 7 月の解散時に公開した CVS レポジトリをもとに開発している。インストールに必要な ISO イメージとドキュメントはあるが、現時点ではインストーラが完成していないため、すべての人にお薦めすることはできない。ただし、ドキュメントを読んでインストールがおこなえる人なら、まったく問題なく使えるはずである。以下の特徴などを読んで卿未をもった方はぜひ使っていただきたい。 Momonga Linux には、次のような特徴がある。・ RPM 系 L ⅲ ux ディストリビューション自動バイナリ作成ツール OmoiKondara とバイナリ・パッケージ更新ツール mph-get ・ CVS ツリーの公開・ Ruby カ軒きな開発者たち・ ssp パッチを適用した GCC の利用・ nosrc. rpm による配布・ IPv6 への積極的な取組み (USAGI パッチを適用 ) RPM 系 Linux ディストリビューション Momonga Linux は一から作成したディストリビューションなので、独自のバイナリ形式を用いてもよかった。しかし、商用製品などで普及している RPM 形式のバイナリカ駛える利点を活かすため、パッケージ管理機構として RPM を利用している。 OmoiKondara と mph-get これら 2 つのツールは、 Kondara MNU/Linux で開発されたものである ( 商標上の問題から、両者ともいずれ改称される予定である ) 。 OmoiKondara は、 CVS レポジトリの spec ファイル 136 とパッチファイルをもとに、依存性の問題を解決しながら RPM ファイルを作成する自動バイナリ作成ツールである。 FreeBSD の ports システムと同様のものといえば分かりやすいかもしれない。 mph-get はバイナリ・パッケージの更新ツールである。 Debian GNU/Linux や Vine Linux でイ吏用されている apt-get や、 Fedora Core の yurn と同等の動作をする。現時点では公開準備中だが、プロジェクト内部で試験中のバイナリ公開用サーバーもある。このサーバーを利用すれば、すべての開発者が共通のバイナリをテストすることができる。また、セキュリティ関連の修正パッチなどの適用も、コマンド 1 つで実現できる。これら 2 つのコマンドは Ruby で実装されている。 CVS ツリーの公開 Kondara Project が公開した CVS レポジトリをもとにしていることもあり、開発中のパッケージに関するあらゆる情報が公開されている。すべてのファイルが pserver 経由で取得できるほか、 Web インターフェイスも用意されている。 Ruby 好きな開発者たち Ruby を好む開発者が多いため、 Ruby に関するパッケージが多く、独自ツールも Ruby で実装されることが多い。たとえば、さきほど触れた mph-get や OmoiKondara 、インストーラ、 sdr ( 環境選択ツール ) 、 chkfontpath などである。これとは逆に PerI を愛用している開発者は少なく、 perl パッケージの 5.8.1 への更新も遅かった。 ssp パッチを〕用した GCC の利用 GCC パッケージに対し、 ssp (stack-smashing pro- tector) パッチを適用している。すべてのパッケージは、この GCC パッケージを利用し、デフォルトで -fstack-pro- tector オプション付きでコンパイルされている。 nosrc ・ rpm による配布通常の src. rpm にはソースコードが含まれる。頻繁に更新されるパッケージの場合、同じソースコードを何回も取得することになる。これはネットワーク帯域の無駄使いであり、時間もかかる。 OmoiKondara などのツールで UN 工 X MAGAZ 工 NE 2004.2

3. UNIX MAGAZINE 2004年2月号

ネットワーク・トラブレの調べ方図 1 ping コマンドでキ犬態を調べる ping を実行囚 ℃ MP バケットを送信・ A で ping コマンドを実行すると、℃ MP バケットが送信される・ B は℃ MP バケットを受け取ると、応答ノヾケットを返す応答ネットワーク機器コンピュータ図 2 SNMP 管理コンソール SNMP マネージャーロトラップメッセージイベント通知・ SNMP のリクエストをマネージャーから工ージェントに送り、 M 旧情報を受け取る。・エージェントからマネージャーへトラップを通知することもある。・トラフィックや機器の状態を監視する。 M 旧情報 M 旧情報 M 旧情報を要求ロネットワーク機器 SNMP 工ージェント - (Cyclic Redundancy Check) 工ラーなどの糸情報はネットワーク・ツールのなかには、内部に p ⅲ g コマン得られますが、バケットの中身は解析できません。ドと同様な機能を備えていて、機器やネットワークの状態 SNMP では、次の 2 つカ漣携して動きます。を効率よく調べられるものもあります。また、 traceroute ( バケットが通る糸各を調べるツール ) や nmap ( さまざま・ SNMP 工ージェントなバケットを機器に送り、 OS の種類やその上で動いている・ SNMP マネージャーアプリケーションを推測するツール ) 2 のように、 TCP や SNMP 工ージェントは、機器の状態などを示す MIB UDP など ICMP 以外のバケットを送り、戻ってきた反応 (Management lnformation Base) を管理するプログラから情報を得るツールもあります。ムです。 SNMP マネージャーからリクエストを受け取り、 SNMP MIB 情報を返します。また、 SNMP 工ージェントから SNMP マネージャーへ、、トラップ " と呼ばれるイベントを SNMP (Simple Network Management Protocol) 通知することもあります。は、ネットワークに接続された機器の状態を監視したり管一方、 SNMP マネージャーは管理コンソール上で動く理する仕組みです。 SNMP では、トラフィックや CRC プログラムで、 SNMP 工ージェントから受け取った MIB 2 http://www.insecure ・ org/nmap/ ーワークステーション 28 UN 工 X MAGAZ 工 NE 2004.2

4. UNIX MAGAZINE 2004年2月号

」丿 Contents 2004 / 2 特集 27 1 14 連載 52 58 82 94 136 158 167 ネットワーク・トラブルの調べ方・安全なネットワークの設計と構築・・・荒井美千子、大和美穂ネットワーク・ツール、 TCP ハ P の基礎、トラブルの追跡白崎博生旧 6 モビリティ ( 4 ) 旧 6 の実装・・・・・・島慶ー pop2imap 今津英世 Pe 活用のヒント・広帯域インターネット時代の情報共有 UNIX Communication Notes ・・・・・山口英各種サーバーの構築、 PPTP で VPN Samba ( 2 ) Red Hat し inux のツールたち・・・・・・横垣駿雄 b00t2 ーカーネルのロード FreeBSD のブートプロセスをみる・・・・・・白崎博生 Momonga News " ・・ " 田淵貴昭 Struts ( 7 ) JavaServer Pages ・・・・ " 荒井美千子「 c スクリプト ( 3 ) プログラミンク・テクニック・・・・・・多治見寿和 COVER, CONTENTS DESIGN ・ MORIYA, KAZUO (AUDREYTHE DESIGN) ILLUSTRATION ・ KANOKO

5. UNIX MAGAZINE 2004年2月号

2004 年 2 月 1 日発行 ( 毎月 1 回 1 日発行 ) 第 19 巻第 2 号通巻 208 号昭和 63 年 9 月 5 日第三種郵便物認可ーにツのガジ・定価 1100 円 AéA ー瞿ネットワーク・トラカレの調べ方・トラブルの原因を調へるためのツール・ TCP れ P の基礎と各社ネットワーク機器の仕組み・実践トラブル・シューアイング瞿安全なネットワークの設計と構築・内部用 DÅS サーバーの作り方・メール / eb / FTP サーバーの構築・ PPTP サーミーを用いた VPN 接続 Pe 活用のヒントーー - POP3 クイアン、引 MAP4 サーーへの接続 UNIXCommunication Notes 広帯域イン三ネット時代の情報共有プログラミング , テクニック rc スクリプトが使うライプラリ関数 Red Hat ロ nux のツールたち Windows の共有資源へのアクセス Zaurus with Linux 外部キーポードの接続 FreeBSD のプートプロセスをみ - b00t2 ーーカーネルのロード Momonga Linux 情報

6. UNIX MAGAZINE 2004年2月号

BooksheIf 『 Java による Extreme Programming 『 Linux サーバセキュリテイ』クックプック』・ Eric M. Burke 、 Brian M. Coyner 著・ Michael D. Bauer 著・長藤秀尺・テクノロジックアート訳・豊福岡駅・オライリー・ジャパン・オライリー・シャパン・ B5 半、 442 ページ・ B5 判変型、 442 ページ・ 3 , 200 円・ 4 , 400 円・ 2003 年 10 月 29 日・ 2003 年 1 0 月 22 日ソフトウェア開発の手法の 1 つである XP (eXtreme pro- Linux サーバーの構築・運用におけるセキュリティ対策について gramming) と連携するオープンソースの Java ツールとしてまとめたガイド。 Linux サーバーを使用した要塞ホストの構築を主 Ant 、 JUnit 、 HttpUnit 、 Mock Objects 、 Cactus 、 JUnit- 要テーマに、 Linux システム (Red Hat Linux 7 、 SuSE Linux Perf 、 XDoclet などをとりあげ、それらのツールの使い方や問題 7 、 Debian GNU/Linux 2.2 の各ディストリピューションカ秋寸の解決法などをレシピとして紹介している。 11 章構成で、 108 の象 ) 、境界ネットワーク、サーバー・アプリケーションのセキュリレシピを掲載している。ティについてとりあげている。『 Java パフォーマンスチューニング第 2 『 Mac OS X Hacks 』 LINUX サーバセキュリティ .Java による F.xtteme Programming クックプックアンイル第のにめのレンビ第 MAC OSX HACKS ・ Jack Shirazi 著・ Rael Dornfest 、 Kevi n Hemenway 著フロが第うチクニック & ツールー選・今野睦、杉野博史尺・福与直睚尺・濺尺徹、金 ~ 子訳・オライリー・ジャパン・オライリー・ジャパン・ B5 判、 573 ページ・ A5 判、 447 ページ・ 5 , 400 円・ 3 , 600 円・ 2003 年 10 月 25 日・ 2003 年 11 月 19 日第を・イチューニング方法の一ヨ殳的なガイドラインと系統的なチューニン Mac OS X の UNIX システムとしての活用法、既存の Mac- グの手順、チューニングに必要なツール、 VM ( イ反想マシン ) とコン intosh から継承した機能の拡張やカスタマイズの手法などを 100 パイラを含む SDK ( 1 ~ 3 章 ) 、 Java コードに適用できるさまざ項目にまとめ、 9 章 ( ファイル、起動、マルチメディアと iApp 、まなテクニック ( 4 ~ 12 章 ) 、開発プロセスの各段階や OS レベルユーザー・インターフェイス、 UNIX とターミナル、ネットワーのチューニング ( 13 ~ 14 章 ) 、 J2EE アプリケーションのチューク、電子メール、 Web 、データベース ) に分けて解説している。ングに必要な情報 ( 15 ~ 18 章 ) などを紹介している。『 Linux サーバ Hacks 』『 SoIaris デバイスドライバ』 CKS プロが第うテクニック & ツールに ) 第・ Rob Flickenge 「著・山口晴尺・イメージズ・アンド・ワース訳・佐島隆 1 轄・オライリー・ジャパン・オライリー・ジャパン・ A5 判、 264 ページ・ B5 半、 362 ページ・ 2 , 200 円・ 3 , 400 円・ 2003 年 1 1 月 28 日・ 2003 年 8 月 26 日イメーノ応アントッ - メ Linux システムをサーバーとして利用する際の設定や運用上のイ反想デバイスドライバの作成過程、メモリマップ・ドライバの作テクニックなどを 100 項目に分けて紹介している。サーバー艝理の成に続き、 Gigabit Ethernet コントローラ TC9020 を例に基本 ( 22 項目 ) 、リビジョン管理 ( 14 項目 ) 、バックアップ ( 8 項ハードウェアの主要な機能、テストドライバの作成、 TCP/IP 対目 ) 、ネットワーク ( 9 項目 ) 、尉見 ( 12 項目 ) 、 SSH ( 6 項目 ) 、ス応のドライバの作成、デバッグの初歩について、段階的に説明してクリプト ( 4 項目 ) 、情轗是供サーバー ( 25 項目 ) の 8 章から構成さいる。付録でドライバ開発の基礎知識に関するクイズ、本文で使用れる。したサンカレ・プログラムをまとめている。デバイスドライバ 0 、物強物を 156 UNIX MAGAZINE 2004.2

7. UNIX MAGAZINE 2004年2月号

特集図 3 ネットワーク・アナライザロハブロ - ネットワーク・トラブレの調べ方・ A 、 B 、 C へ送られてくるすべてのバケット、および A 、 B 、 C が送り出すすべてのバケットを取り込んで解析できる。・バケットの中身を解析し、表示するトラフィックを計測できるものもある。囚回回ネットワークアナライザ情報を加工して表示したり、トラップをユーザーに知らせたりします ( 図 2 ) 。 SNMP マネージャーの機能は、製品によって異なります。たとえば、 MRTG (Multi Router Traffic Gra- pher)3 は、ルータを通るトラフィックの時間的な変化をグラフ化して Web 上で表示します ( トラフィック以外の値もグラフ化できます ) 。一方、 HP OpenView4 や IBM の Tivoli5 、日立製作所の JP16 などは、ネットワークと機器を統合的に管理するものです。ネットワーク・アナライザネットワーク・アナライザはネットワーク・ケープル上のデータのやりとりを解析し、表示するツールです ( 図 3 ) 。、、ネットワーク・モニター " または、、プロトコル・アナライザ " と呼ばれることもあります。ネットワーク・アナライザは、ネットワーク上に流れたパケットを直接取り込んで内容を解析します。したがって、バケットに含まれる細かい情報は表示できますが、バケットからは得られないネットワーク機器の状態などは調べることができません。ネットワーク・アナライザの機能も製品ごとに異なりま 3 http://people.ee.ethz.ch/-oetiker/webtools/mrtg/ 4 http://wwwl.jpn.hp.com/products/software/ managernent/openview 5 http://www-6.ibm.com/jp/software/tivoli/ 6 http://www.hitachi.co.jp/Pr0d.com//s0ft1/jp1/ UNIX MAGAZ 工 NE 2004.2 す。たとえば、 Etherea17 はバケットの中身を解析して表示するツールです。また、 Sniffer8 や ASTEC Eyes9 では、バケットの中身の解析に加えて、トラフィックや CRC 工ラーなどの統引・情報をグラフ化して表示できます。ネットワーク機器 SNMP マネージャーやネットワーク・アナライザを利用する場合には、ネットワークがどのような機器で構成されているかを把握しておく必要があります。そのほかに、・ネットワーク機器の原理・ネットワーク機器の特徴・ツールをネットワーク上のどこに置けばよいかといった知識も重要です。ハフハプ (hub) はスイッチ ( スイッチングハプ ) と区別する、、ダムハプ " または、、リピータハプ " などと呼ばれために、ることもあります。ハプでは、すべてのポートがつねにつながった犬態になっています。あるポートから入ってきたバケットは、すべてのポートに電気的に中継されます。たとえば、図 4 のよ 7 http://www.ethereal.com/ 8 http://www.networkassociates.com/japan/products/ 9 http://www.asteceyes.com/ 29

8. UNIX MAGAZINE 2004年2月号

連載 /Red Hat Linux のツールたち図 18 smbmount の実行列 [root@valhalla root] # smbmount //hostos/tmp /smb ー 0 username=hayao ,password=pasuwa—do , 疇 - 1 INFO : Debug class a11 level (pid 18547 from pid 18547 ) uid=hayao , iocharset=euc—jp , codepage=cp932 [root@valhalla root] # Is ー 1 /smb 合計 4 1 hayao 1 hayao root —rwxr—xr—X [root@valhalla root] # ロ図 19 mount から smbmount を実行 4096 12 月 8 15 : 44 test 0 12 月 8 15 : 44 新規テキストドキュメント . txt [root@valhalla root] # mount —t smbfs ー 0 username=hayao , password=pasuwa—do , uid=hayao , , iocharset=euc—jp,codepage=cp932 //hostos/tmp /smb 図 20 /etc/fstab への 1 皀加 //hostos/tmp /smb smbfs username=hayao ,password=pasuwa—do , uid=hayao , iocharset=euc¯jp , , codepage=cp932 0 0 いち列挙していました。マウントするたびにすべてを指定するのが面倒なら、 /etc/fstab ファイルに共有フォルダやマウントボイントなどを言当しておけばよいでしよう。たとえば、図 18 の例のようにマウントする場合、 fstab ファイルには図 20 の 1 行を追加します。各フィールドの 6. ファイルシステム・チェックの順番 5. バックアップの順番 4. マウント時のオプション 3. ファイルシステムの種類 2. ローカルマシンのマウントボイント 1. リモートマシンのファイルシステム末をごく簡単に説明すると、頁から順に、 176 具体的にいうと、マウントはできるのですが、文字コードりの結果カられなくなります。が smbmount コマンドに渡されてしまうため、意図どお第 4 フィールドに追加すると、すべてのオプション文字列指定したくなるかもしれません。しかし、これを fstab の起動しているとはかぎらない場合には、このオプションを noauto" があります。とくに Windows マシンがつねにシンの起動時に自動的にマウントしないことを意味するたとえば、 mount コマンドのオプションの 1 つに、マド独自のオプションを追加するときには注意が必要です。にマウントされるようになります。ただし、 mount コマンこのように言当杢しておけば、システムの起動時に自動的どを参照してください ) 。となります ( 詳細は、オンライン・マニュアル fstab ( 5 ) なセット関連のオプションが無視されるのか、日本語のファイル名が文字化けしてしまうのです ( マウントはできるので、 username や password オプションは正しく処理されているようです ) 。これを回避するには、 fstab には登金す、シェルのェイリアス ( 別名 ) 機能を使って短いコマンド名で実行できるようにしたり、システムの起動スクリプト (/etc/rc. local など ) から実行するようにします。 2 回にわたり、 Samba の基本的な使い方を中心に紹介しました。個人が家庭などで使うのなら、ファイルとプリンタの共有ができれば十分でしよう。しかし、オフィスなどの環境では、 Samba サーバーを利用して Windows のューザー管理をおこなう必要があるかもしれません。いすれ機会があれば、 Samba のドメイン・コントローラ機能についても触れたいと思います。それまで待てない方は、 Samba に関する情報を公開している Web サイトや解説書などを参考にチャレンジしてください。はこがき・はやお ) [ 文献 ] [ 1 ] 橫垣駿雄「 Red Hat Linux のツールたち一 xinetd 」、 UNIX MAGAZINE 2003 年 11 月号 [ 2 ] 横垣駿雄「 Red Hat Linux のツールたち一 xinetd ( 2 ) 」、 UNIX MAGAZINE 2003 年 12 月号 [ 3 ] 横垣駿雄「 Red Hat Linux のツールたち一一 Photo lmage Print System for Linux 」、 UNIX MAGAZINE 2003 年 ☆ 7 月号 UNIX MAGAZINE 2004.2

9. UNIX MAGAZINE 2004年2月号

■ネットワーク・トラブルの調べ方図 42 R 値は総合的な音声品質の票したものです。 R 値は 0 ~ 100 のあいだの数値で表し、・ R 値か局いほど音質がよい・ R 値カ觝いほど音質カいを未します。図 42 では、・ IP 電話 1 から IP 電話 2 への音質は、 Best" にあたる 90 カ咄ているので良好・ IP 電話 2 から IP 電話 1 への音質は、 High" にあたる 80 カ咄ているのでそこそこ良好といったことが分かります。図 43 は、 RTT (Round Trip Time : バケットの彳夏に要する時間 ) の時間変化を表示したグラフです。このほか、さきほど触れたバケットの損失率やジッタも音質の良し悪しの判断に利用できます。 VoIP のトラフィックのグラフを監視したりバケットの中身を調べるだけでは、音質は判定できません。しかし、のような指標を利用すれば、どの程度の音質なのか、音質を改善するには何を変更すればよいのかを判断する材料になるでしよう。回区を・ネットワ、一り R 値 ( 届歴 ) く 0 ー朝ヨに往 nc 〉 ~ 鵞ロこい〔にい 8 和加 0 工 4 ーい亠、 1 - > 電話 2 ロ電話 2 - > IP 電話 1 tum 通話の向きごとに日声品質が求まる 21 : 54 ( 21 : : 凹図 43 RTT のグラフ岡区・・ラウンドトリラブタイム ( 届歴 ) く” ip ー cisco 一れ 0 〉ー話 1 - > IP 電話 2 ロー話 2 う炉電話 1 バケットの往復に要する時間。遅延が大きすぎるとスムーズな通話ができない 3 イ、介、・コ亠工ハ 0 0 1708 : 17 : 07 部 ☆ ストべースのプロトコルである点も理解を助けてくれるでしよう。伝送音声品質ネットワークカ譜及するにつれて、従来は考えられなかったような応用方法も生まれてきています。それにともなってネットワークのトラブルも多様化し、管理する側が四ベストエフォート (Best Effort) が基本のインターネッ苦八苦する場面カ社曽えてきました。ト上で音声通信をおこなうと、バケットが届かなかったり、新しい仕組みの導入によるトラブルの質的な変化だけで届くまでに時間がかかりすぎて、聞きづらい音になったりなく、通信の高速化にともなう量的な変化も、トラブルの雑音カ咬じる可能性があります。角翁夬を難しくしているようです。この特集では、ネットワークの基礎的な知識を解説しなネットワーク上を流れる音声の品質を表す指標としてがら、ツールの動作や仕組みについてお話ししました。ネは、ットワーク機器の特徴やプロトコルの動作、ツールの用途をよく理解したうえで、適切なツールや手法を選んでトラプルの予防や解決に役立ててください。 ( あらい・みちこ、やまと・みほ ASTEC) ・バケットが届くまでの時間・ジッタ (jitter : バケットが届くまでの時間の揺らぎ ) ・バケットの損失率などがあります。また、これらの個別のパラメータを利用し、より人間の感覚に近くなるように定めた総合的な音質指標である、、 R 値 " も規定されています 11 図 42 は、 RTP による通信から R 値を求めてグラフに 11 R 値の算出方法については、現在も十寸カけられています。 51 UNIX MAGAZINE 2004.2

10. UNIX MAGAZINE 2004年2月号

特集安全なネットワーク表 2 ダウンロードするファイルの URL qmail 本体日付関連パッチ颪正強化パッチ ftp://ftp.jp.qmail.org/qmail/qmail-l.03.tar.gz ftp://ftp.nlc.net.au/pub/unix/mail/qmail/qmail-date-localtime.patch http://osdn.dl.sourceforge.jp/qmail-vida/2100/qmail-vida-().53.tar.gz 上記のコンパイルに必要 http://cr.yp.to/ucspi-tcp/ucspi-tcp-().88.tar.gz http://cr.yp.to/checkpwd/checkpassword-().90.tar.gz パスワード言正ツールいって、、、虎穴に入らずんば虎子を得ず " と唱えながら、わざと危ない言定にしてみることはやめましよう。以下では、 qmail を使用したメールサーバーの構築手順を説明します。 qmail は、とくにセキュリティに酉して設計されたメールサーバー用プログラムです。私の知るかぎり、 qmail の SMTP ポートに接続し、そこから root 権限で侵入できるようなセキュリティ・ホールは聞いたことがありません。専任のネットワーク管理者が組織に常駐していて、セキュリティ・パッチが公開されたらすぐに適用できる体制が整っているのなら、管理者がれているプログラムを選ぶのがよいと思います。しかし、この特集のモデルとなった糸目織には専任の管理者がいないため、定期的なパッチの適用やアップグレードカ坏要な qmail を選びました。セキュリティ重視のメールサーバーとしては、 Postfix も有名です。しかし、私は Postfix を使ったことがないので、今回は選択しませんでした。もし、対象となるホストにすでに sendmail が導入されている場合は、次のようにしてアンインストールします。 % rpm ¯e sendmail qmail のインストール qmail のインストールは、ほかのメールサーバー・プログラムとくらべて手間がかかります。それは、 qmail が次のような方針で言気されているからです。・ qmail のパッケージには必要最小限の機能しか入っていない。・ qmail を拡張するためのパッチやツールは自分で選んで組み込む。困ったことに、これらの拡張パッチやツールが qmail 本体に組み込まれることはなく、 qmail の公式サイトに集められることもありません。この点が、い " といわれる所以かもしれません。 118 qmail は敷居が高たとえば、 sendmail は 1 つの tar. gz ファイルにすべてがまとめられており、 make コマンドだけでインストールできます ( その代わり、生半可な覚では設定ファイルの書式は理解できません ) 。一方、 qmail はいろいろな場所から複数のファイルをダウンロードし、パッチを当てたり、それぞれのパッケージを別々にコンパイルします。コンパイルの順番にも注意しなければなりません。それなら、「 RPM パッケージでインストールしたらええやん」と思うかもしれませんが、すくなくとも Red Hat Linux 用の RPM パッケージはリリースされていないようです。 qmail はたくさんの単機能プログラム・ファイルから構成されており、それぞれが連携することによってメールサーバーとして機能します。結果として、インストールするプログラム・ファイルの数が多くなり、もちろん、定ファイルの数もたくさんあります。ただし、個々の設定ファイルの言杢はたいへん簡単です。以下では、次の条件を前提としてインストールの手川頁を紹介します。・ xinetd 経由で SMTP と POP 接続を受け付ける。・ POP サーバーは APOP のみ許可する。・ APOP のパスワードはログイン・パスワードとは別に作成する。・ユーザーのメールポックスは Maildir 形式 2 とする。本来なら、 qmail は tcpserver3 と組み合わせて使うのが王道のようです。しかし、今回はそれほどのパフォーマンスを必要としなかったので、 xinetd と組み合わせることにしました。また、内部ネットワークからメールを取り込むときに、 DMZ に平文のパスワードカ毓れるのはセキュリティ的に好ましくありません。よって、 POP サーバー 2 qmail で採用された新しい廾ぐ 0 、メールはユーザーのホーム・ディレクトリに醋去されます。 3 http://cr.yp.to/ucspi-tcp.html UNIX MAGAZ 工 NE 2004.2