アクセス - みる会図書館

1. UNIX MAGAZINE 2004年8月号

リモート・テスクトップ接続の活用安く安全に自宅のⅣ加面Ⅳ 5 マシンにアクセスする・吉田昌英図 1 リモートキ当売の前提 ADSL や FTTH 、 CATV などによるインターネット常日妾続カ及して、自宅の Windows PC に外部からアクセスする方法を紹介している雑磊己事や Web ページをよくみかけるようになった。この記事では、最小限の機材・出費で安全に自宅の PC にリモート・デスクトッフ続をおこなったり、自宅の PC のファイルに SMB などでアクセスする方法を考えてみよう。 UNIX MAGAZINE 2004.8 サーバーを動かしていないので未確認だが ) 。クセスにも適用できるはすである ( 私は、自宅で Samba が、これは、ほばそのまま自宅の Samba サーバーへのアは自宅の Windows PC のファイルへのアクセス方法だ・ファイルアクセスのところで述べているのは、基本的に作は変わらない。文で説明しているアクセス元 Windows PC の設疋や操セスしている人も多いだろう。そのような状況でも、本ていて、 Windows PC から SSH でその UNIX にアクかには自宅で UNIX (*BSD や Linux など ) を動かし歩いている人は少なからずいると思う。そして、そのな読者のなかにも、 Windows が入ったノート PC を持ち由から本誌の読者にとっても十分に価値があると考えた。ぜ Windows? 」と言われるかもしれないが、次のような理 d 。 ws マシンを前提としている。「 UNIX の雑誌なのに、な本文中の説明では、アクセス先もアクセス元も Win- イルアクセスの方法も紹介する。もいえるもので、必要な設備や費用を抑えるとともに、ファ接続する方法が紹介されていた。この記事はその発展形とマシンに外部から SSH を使ってリモート・デスクトップに、インターネットに常時接続している自宅の Windows 本誌 2003 年 8 ~ 9 月号の「ワークステーションのおと」自宅 ( 動的割当て ) : グローバル旧アドレス ( アクセス先 ) Home PC インターネット NAPT や SOCKS ( 外出先 / 職場など ) 自宅外 Wi ndows ( アクセス元 ) Remote PC 経由でもよい Windows XP Professional ・ SSH ソフトウェアは、 Cygwin の OpenSSH のみを使っている。生粋の Windows ユーザーにはあまり使いやすくないだろうが、 UNIX ユーザーからみれば、コマンドをシェル・スクリプトで利用できるなど、 Wind 。 ws ネイテイプの SSH ソフトよりも便利であろう。廴提条件以下では、図 1 に示したような環境を肩豺是として説明する。要するに、自宅には Windows XP ProfessionaI と普通のルータだけがあればよく、 SSH サーバーのための Linux マシンや VPN ルータは不要である。また、アクセス元ではごく普通のインターネット・アクセス環境があればよい。もうすこし詳しく説明すると、次のようになる。自宅に Windows XP Professional ( 以下、 XP Pro) 157

2. UNIX MAGAZINE 2004年8月号

Ⅳ加面Ⅳ s マシンへのアクセスマシンがあるがグローバル IP アドレスをもつ ) でもいいし、 NAPT ・ RemotePC のインターネット接続は、直接 ()C 自身もしれない。いが、そうでないと Cygwin の導入や設疋で古労するかもに Windows 2000 以上で NTFS を使っていればよ Home (C) 、アクセス元 PC ( 以下、 Remote (C) となんとかなると思う。ただし、アクセス先 PC ( 以下、のだが、 Windows 2000 や Windows 98/Me でも私自身は XP Pro しカ駛っていないので検証できない Windows マシンとする・自宅外から自宅にアクセスする PC ( アクセス元 ) もターネットに常時接続するのは避けるべきであろう。てはとくに述べない。そもそも、 Windows を直接インルータ経由でなければより簡単なので、その場合につい lation) 機能を通じてインターネットにアクセスする。れ、ルータの NAPT (Network Address port Trans- 自宅の PC にはプライベート IP アドレスが割り当てら経由してインターネットにアクセスするのはプロードバンド・ルータで、自宅の PC はルータを・自宅でインターネット・サービスに直接つながっている能である。るが、その場合は外部から自宅への接続は原理的に不可 IP アドレスを割り当てるインターネット・サービスがあての場合について説明する。常日妾続でもプライベート固定割当てであればより簡単なので、一般的な動的割当スカ働的に割り当てられている・自宅のインターネット接続では、グローバル IP アドレあれば、 XP Pro でなくてもよい。よる telnet 的アクセスおよびファイルアクセスのみで稀だろう。リモート・デスクトップ接続はせず、 SSH にもいいが、自宅に Windows server を置いている人は ( ログオン先 ) になれない。 Windows server 2003 でそうでないと、リモート・デスクトッフ接続のサーノヾーや SOCKS 経由でもよい ( リモート・デスクトップ接続ます、リモート・デスクトッフ妾続についてみてい一その後にファイルアクセスについて考える。 158 っ。準備作業の概要準備作業は、おおむね以下の手順でおこなう。これらは、すべて無料で利用もしくは入手できる。 1. 自宅の Home PC がリモート・デスクトップ接続を受け付けるように設定する。 2. RemotePC に必要なリモート・デスクトッフ寸妾続のクライアント・プログラムは、 Windows xp (Home も含む ) であれば最初からインストールされている。それ以外の場合は、 XP pro の CD-ROM からインストールできる。 3. Cygwin の OpenSSH を Home PC 、 Remote PC の両方にインストールして定する。 4. ダイナミック DNS サービスを利用し、自宅のグローバル IP アドレスカト部から分かるようにする。 5. 自宅のプロードバンド・ルータの設疋で、ルータの TCP 22 番ポートへの接続が Home PC の 22 番ポートに転送されるようにする。 6. Remote PC からインターネットへの通信が SOCKS 経由の場合は、 Remote PC でそのための準備をしておく。リモート・デスクトッフ。接続の操作の概要リモート・デスクトッフ接続については、おおむね以下の手順で操作をおこなう。 1. Remote PC 上で OpenSSH の ssh コマンドを実行し、リモート・デスクトップ接続のための SSH トンネルを作る。その際、自宅の IP アドレスに対するダイナミック DNS のドメイン名を使う。これで、リモート・デスクトッフ接続のための通信路ができる。 2. SSH トンネルの入口のポートを、たとえば 13389 としよう。この場合、、、 127.0.0.2 : 13389 " に対してリモート・デスクトッフ接続をおこなう。接続先として、 127. 0.0.1 ではなく 127.0.0.2 を指定するところがポイントである。 3. Home PC の Windows のログオン画面が表小される。準備作業の詳細それでは、リモート・デスクトッフ接続の準備の各ステップを順に説明していこう。 UNIX MAGAZ 工 NE 2004.8

3. UNIX MAGAZINE 2004年8月号

図 2 各グループへのユーザー〕ロ・肖畭グルーフ。メンバーの勛 0 / 削除連載 /UNIX Communication Notes 194 非メンバーメンノ、一 ←自鯑ーザーがコンテンツを増やしていくことに重点を置いた各モジュールカ甘是供する情報やコメントの追加など、ユ・モジュール・アクセス権限の有無任せるような場合には、管理権限を与える必要がある。し、あるモジュールの管理を特定のユーザーグループに通常はシステム管理者だけに権限を与えればよい。ただれぞれのモジュールの機能をよく調べてから設疋する。理者カ報える機能は各モジュールごとに異なるので、そおこなう権限を与えるかどうかを決める。モジュール管・プロックアクセス権限の有無機能へのアクセスの有無を設定する。 UNIX MAGAZ 工 NE 2004.8 ーザーを新たなグループに所属させたほうが混乱が少なフォルトの設定のままで運用し、本当に権限が必要なユ登録ユーザー数が増えてきたときなどは、原則としてデである。変更せざるをえない場合は、十分に注意して作業すべきできるかぎり変更しないようにする。なんらかの事情で・デフォルトの、、登録ユーザ " グループの権限については、限を明示的に指定する。は、新たにグループを作成し、そこでユーザーのもつ権・特定のユーザーに対してなんらかの権限を与える場合なうことである。におけるユーザーグループと同じ考え方にもとづいておこグループ管理に関するコツは、以下に示すように、 UNIX に表示される図 2 のパネルを利用する。メンバーの登録・削除をおこなう場合は、図 1 と同じ画面新たなグループを作成したり、既存のグループについてできない表示プロックが対象となる。可するかどうかを決める。一般に、ユーザーカ値接変更各モジュールが提供する、、プロック " へのアクセスを許おもしろいモジュール XOOPS では、基本モジュールだけでもかなりの機能をもっポータルサイトが構築できる。しかし、 XOOPS 用に提供されているさまざまなモジュールを利用すれば、もっとおもしろいことができる。 XOOPS の日本語公式サイト 3 にアクセスし、左側のメニューから、、モジュール / ハック " を選ぶと、標準のダウンロード・モジュールを使ったページが表示される。は、いろいろな人が開発した多種多様なモジュールの解説と、それぞれのダウンロード・ページへのリンクがある。執筆時点では、登録されているモジュールは 91 個である (XOOPS 1. x 用と 2. x 用の合計 ) 。これらのモジュールを 1 つ 1 つみていくだけでもたいへんおもしろい。利用できるモジュールは、インストールする XOOPS のバージョンによってすこし異なる。今回はバージョン 2.0.6 をベースに解説しているので、以下では 2. x 用のモ・さきほど述べたプロックアクセス権限とは、簡単にいえば、各モジュールによって作成されるプロックを表示するか否かということである。デフォルトでは、ごく少数の例外を除き、ゲストにはプロックアクセス権限は与えられていないので、そのサイトのコンテンツにほとんどアクセスできなした態になる。つまり、プロックアクセス権限の変更とは、ゲストにアクセスを許可するプロックを決める作業といってもよい。・グループはむやみに作らない。グループの新設は、本当に必要とされるときだけに限定する。注意 1 当然のことながら、 WWW サイトは基本的に寺定多数からアクセスされる。したがって、 XOOPS でユーザー登録の手順を簡略化しているような場合は、登録ユーザーに与える権限についてよくよく考えるべきである。 XOOPS を利用するときには、、ユーザーとは何か " を明確に意識する必要がある。デフォルトの構造は、そのあたりにかなり配慮したものになっている。くどいようだが、インストール後に権限を変更するときは、本当にその変更が必要かどうかを十二分ロ寸すべきであろう。 3 http://jp.xoops ・ org/ piCal は XOOPS 用のカレンダー・モジュールで、執 piCal ジュールをいくつカ齠介する。 61

4. UNIX MAGAZINE 2004年8月号

Ⅳ加面Ⅳ s マシンへのアクセス図 22 Remote PC の 445 番ポート $ netstat -an ー grep 445 0 . 0 . 0 . 0 : 445 TCP 0 . 0 . 0 . 0 : 445 UDP 0 . 0 . 0 . 0 : 0 め、 Remote PC の LAN インターフェイスでは NBT を有効にしておかなければならない。つまり、図 21 ー c の、、 NetBIOS 言定 " の部分で、 NBT カ陏効になるように設定する必要がある。 ◆ Microsoft ネットワーク用ファイルとプリンタ共有を削除する理由「ファイルアクセス」の節の最初のほうで、 SSH トンネルがあるにもかかわらず、、 net view 127.0.0.1 " が Remote PC のファイルサーバー機能を参照してしまう状況を説明した。この状況を分析し、そこから派生することがらを考えてみよう。その時点ではファイル / プリンタ共有サービスは削除されていなかったし、 NetBIOS over TCP/IP も有効になっていた。そして、 127.0.0.1 : 139 は SSH トンネルの入口になっていた。 Remote PC でのサーバー機能の動作は次のようになっていた。 LAN 上の IP アドレスでは NBT の要求を受け付ける ) 大態になっていて ( 172.16.1.10 : 139 での接続受イ寸け ) 、 Direct Hosting of SMB の要求はどのネットワーク・インターフェイスからも受け付けるようになっていた ( 0.0.0.0 : 445 での接続爿寸け ) 。一方、クライアントの動作としては NBT と Direct Hosting of SMB カ陏効なので、両方に要求を出し、さきに応答を返したほうカ駛われる状態だった。その結果、以下のようになった。 1. 、 net view 127.0.0.1 " の実行により、 127.0.0.1 : 139 と 127.0.0.1 : 445 の両方に要求が送られる。 2.127.0.0.1 : 139 への要求は SSH トンネル経由で Home PC へ送られ、 127.0.0.1 : 445 への要求は Remote PC 自身で受け付けられる。 3. この時点ではサーバー機能がまだ有効だったので、 127. 0.0.1 : 445 への要求に対しで芯答が返ってくる。 SSH トンネルである 127.0.0.1 : 139 よりも 127.0.0.1 : 445 のほうがさきに応答を返すのが自然である。 4. けっきよく、、、 net view 127.0.0.1 " は Remote PC 自 170 LISTENING 身のファイル共有機能へのアクセスとなった。ファイル / プリンタ共有サービスを削除すれば、受け取った要求への応答は返さないはずである (netstat コマンドでみるかぎり、依然として 0.0.0.0 : 445 への接続を受け付けている状態ではあるが ) 。そこで、このサービスを削除したところ、、、 net view 127.0.0.1 " と¥¥ 127.0.0. l*myname のドライプ・マッピングは Home PC へのアクセスとなったのである。ファイル共有のクライアントとしての機能を残したまま、 0.0.0.0 : 445 での接続受イ寸けをなくすことはできない。ファイル / プリンタ共有サービスカ哨リ除されていない場合、すべてのネットワーク・インターフェイスでこのサービスを無効にしても 127.0.0.1 だけでは 445 番ポートへの要求を受け付けてしまうのではないだろうか。したがって、 127.0.0.1 : 139 を入口とする SSH トンネルを使うには、ファイル / プリンタ共有サービスを削除するしかなさそうである。以上、自宅外の Windows PC から自宅の Windows PC に安く、安全にアクセスする方法を紹介した。皆さんの参考になればさいわいである。 PC でビデオ録画をしている場合などは、自宅に外部からリモート・デスクトッフ餒続ができるとたいへん便利である。私はストリーミング放送を W ⅲ dows のソフトウェアでタイマー録音しているが、その録音ソフトの操作をしばしば自宅外からおこなっているし、録音したファイルを自宅外で取り出すこともある。こういったこともあって、いまでは自宅外から自宅へのアクセスは私の生活に不可欠なものになっている。 ☆ はしだ・まさひで ) UNIX MAGAZINE 2004.8

5. UNIX MAGAZINE 2004年8月号

リモート・デスクトップ接続図 17 Home PC の TCP/139 番ポートのた兄を調べる $ netstat -an ー grep 139 TCP 192 . 168.0. 10 : 139 図 18 今度は意図どおり $ net view 127.0.0.1 Shared resources at 127.0.0. 1 Tecra 8100 Share name Type Used as Disk myname 0 . 0 . 0 . 0 : 0 Comment UN 工 X MAGAZ 工 NE 2004.8 ・アクセス元ネットワーク環境 : インターネットとの通信 XP ProfessionaI SPI 記億 768MB のラップトップ PC で、 OS は Windows ・ Remote PC ( アクセス元 ) : pentium M 1.4GHz 、主 XP ProfessionaI SPI 記億 512MB のラップトップ PC で、 OS は Windows ・ Home PC ( アクセス先 ) : pentium III 500MHz 、主・自宅のルータ : NTT ME BA8000 Pro り 700Kbps 程度 ADSL で、速度測定サイトによると下り 2.2Mbps 、上・自宅のインターネット接続 : NTT 東日本のフレツツ・ます、工麭竟は次のようになっている。単に紹介しておこう。参考のために、私がどのような環境で使っているかを簡 ◆私の竟と使用感 NFS サーバー機能が干渉することも考えられる。・ SFU (Services for UNIX) を導入していると、そのおくほうカ実である。機能にアクセスしてしまうかもしれない。 IIS は止めて・Ⅱ S か勠いていると、¥¥ 127.0.0.1 で IIS の WebDAV 0.0.1 " を使うほうカ実である。割当てをおこなう場合は、、、 localh 。 st " ではなく、、 127. ・ netview コマンド、あるいはネットワーク・ドライプの以下、私が思いっく範囲で注意点を挙げておこう。が、いろいろな要因でうまくいかないことがありそうた。 The command completed successfully. LISTENING 場合は図 19 ー b のようになる。態では図 19 ー a のように、 SSH トンネルが機能していないファイル共有のための SSH トンネルか慟作している状いているのかをみてみる。まず、 SSH トンネルによるファイル共有がどのように動 ◆ 139 番ポートの使われ方アクセスの方法について考察してみよう。以下、ここまでに述べた SSH トンネルによるファイルファイルアクセスについて考えるいに時間がかかったことになる。 6 分だった。つまり、 scp での転送にくらべて 22 % よけコマンドで Home PC から転送した場合の所要時間は間は 16 分 ) 。一方、同じファイルを OpenSSH の scp 送するのに 7 分 20 秒かかった ( 転送開始時点の予想時 Remote PC へ 28.2MB のファイルをドラッグして転・ファイル中幻去に要した時間 :Horne PC のフォルダからないが、ある程度の相関関係はありそうである。ルダで約 10 秒。項目数と所要時間が比例するわけでは・フォルダを開くのに要する時間 : 項目数 50 個程度のフォ使用感はというと、次のような感じである。は SOCKS 経由。接糸虫 . 度は不明予想されることではあるが、一 g オプション ( ネットワー起動しているので、当り前といえば当り前だが ) 。ポート ) だけにある ()g オプションを付けずに ssh を入口は、 127.0.0.1 : 139 ( ループバック・アドレス上の 2. さきほど示したコマンド行で作られる SSH トンネルのている。これは、ちょっと卿未深い。インターフェイスの TCP/139 番ポートで接続を待っ 1. ファイル / プリンタ共有のサービスを削除しても、 LAN これにより、次のこと力分かる。ンターフェイスからの接続要求に応じられるようなかたちー g オプションにより、 ssh はすべてのネットワーク・イ SSH トンネルを作ろうとすると、図 20 のように失敗する。ク上の自分以外の機器からの接続も受け付ける ) を付けて 167

6. UNIX MAGAZINE 2004年8月号

連載 /UNIX Communication Notes 図 1 各グループごとの言綻ルーフューザグループク物名システムモジューモジュールアクセプロックアクセス nevvs 「アバター・マネジャー「バナー里 r¯プロック里「コメント r¯ューザ検「グルーフ , 里「イメージ・マネジャー「ユーザこメール送信「モジュール里「一、支定「顔アイコン設定「テンプレート「ユーザランキンク設定「ユーザ市里「ニュース「リンク集「セクション「ヘッドライン「パートナーサイト「ニュース「リンク集「セクションヘッドライン「パートナーサイトューナメニュー 00 : 1 ) ログイン 00 : 2 ) 索 00 : イ待ちコンテンツ卩 0 : メインメニュー 00 : 5 ) サイト情報 00 : 6 ) F オンライン歌況い 0 : お F 投 fi ( ランキング 00 : 町新しい登録ユーサい 0 : 9 ) 最近のコメント 00 : 期イベント通定 0 : 11 ) F テーマ選択 00 : r¯トップニュースプロ・ , ク 00 : 2 「最新ニュースプロッ ? 00 : 「新着リンク 00 : 初「高評価リンク卩 0 : 24 ) 「パートナーサイト 00 : 中央反サイト緒介 00 : 1 町 r¯本日のトップニュースプロック 00 : 期 r¯ニューストしックプロック 00 : ヘッドラインプロック 00 : おーループ 1 を利用すると便利である。また、日経 BP では試験的に、、注目ニュース " のページの RSS を提供している 2 60 2 http://nikkeibp.jp/jp/tools/rss.html 1 http://bulknews.net/ るが、構造の変更 ( 新たなフォーラムの設定など ) は許フォルトでは、サイトの内容にアクセスすることはできザーがログインすると登録ユーザーとして扱われる。デ一般の登録ューザー。ューザー名を割り当て、そのユー登録ユーザーする際に定する。イト管理者の権限を与えるかどうかは、ユーザーを登録システム全体へのアクセスと各種設定の変更が可能。サ・サイト管理者プは、以下の 3 種類である。るようになっている。デフォルトで用意されているグルーとができ、そのグループごとにユーザーの権限を設定でき XOOPS では、ユーザーはいろいろなグループに属すこ紹介しよう。ついて説明するのを忘れていた。あらためて、この機能を前回、モジュールやプロックへのアクセス権限の設疋にグループ管理見られるのは大きなメリットである。ルは重宝している。とくにニュース配信サイトの一覧が私が実丐剱勺に作っているサイトでも、 headline モジューされていない。つまり、サイト管理者カ甘是供するコンテンツを閲覧するだけのユーザーである。サイトにアクセスしてきた一殳ユーザー。設定にもよるが、最低限のコンテンツにしかアクセスできない。上記のように、サイトの内容を追加できるのはサイト管理者だけであり、ゲストはほとんどの情報を見ることさえできない。この状態を変更するには、登録ユーザーまたはゲストのグループにより多くの権限を与えるか、新たなグループを作成し、そこに独自の権限を与えるしかない。グループの設定変更や作成、削除をおこなうには、システム管理モジュールのグループ管理のメニューを選択する。このメニューを選択すると、既存のグループの一覧と新規グループ登録のためのパネルか表示される。図 1 は、既存のグループを編集、もしくは新たなグループを作成する場合に表示されるパネルである。このパネルでは、以下の情報か轂定できる。・グループ名・システム管理者権限の有無そのグループに属するユーザーが、システム管理モジュールの機能を使えるかどうかを指定する。・モジュール管理者権限の有無システム管理モジュール以外のモジュールの設定変更を UN 工 X MAGAZ 工 NE 2004.8

7. UNIX MAGAZINE 2004年8月号

へアロな環境の基礎知識〇ろ UN/X と期〃 do ファイルシステム ( 2 ) ファイルシステムの 2 回目となる今回は、 Windows の NTFS について解説する。 Windows の標準ファイルシステムは、 Windows 9x/Me では単純な構造の FAT だったが、マルチューザー OS である Windows NT 系ではセキュリティに配慮し、信頼性を向上させた NTFS となっている。 NTFS について理解することは、 Windows ユーザーはもとより、 UNIX ユーザーにとっても Windows との相互運用などを考える際に重要であろう。 NTFS は多くの機能をもっため、 2 回に分けて解説する ( 前回予告したジャーナル・ファイルシステムとしての ext3 については、次々回に NTFS のジャーナル機能とあわせてとりあげる予定である ) 。 NTFS の特徴 Windows NT/2000/XP や Windows Server 2003 の標準ファイルシステムは NTFS だが、 MS-DOS や過去の Windows 9x/Me との互換性のイ尉寺、ほかのシステムやデバイスとのデータ交換のために FAT もサポートされている。 NTFS では、 FAT のもっさまざまな制限カ陬り払われている。これは、アクセス制御が必要なマルチューザーデスクトップ OS だけでなく、高速なファイル I/O や信頼性カ球められるサーノヾーにも対応するためである。 NTFS のおもな特徴は次のとおりである。・トランザクション処理をもとにしたデータ信頼性 NTFS では、 FAT と異なり、すべての I/O 処理をデータベース処理におけるものと同様のトランザクションの概念を用いておこなう。すべての I / O 処理は、それを完 UN 工 X MAGAZINE 2004.8 及川卓也了するか、処理以前の状態に戻るかのいずれかの状態しかとりえない。これによって、ファイルはつねに整合性のとれたた態となることが保証される。トランザクション処理にもとづく I/O 処理については、ジャーナル機能について述べるときに詳しく説明する。セキュリティ NTFS のセキュリティ機能は Windows のオプジェクト・モデルを利用しているため、 Windows カーネルからは NTFS 上のファイルも Windows オプジェクトの 1 っとして認識される。ファイル・オプジェクトはこの連載の 1 回目に解説したセキュリティ言古杢子 (Security Descriptor) をもち、プロセスがファイルにアクセスする際には、これとプロセス自身のアクセストークンを比較してアクセスの可否が決定される。・柔軟なファイル名命名規則 FAT では 8 十 3 形式、すなわち 8 文字のファイル名と 3 文字の拡張子によりファイル名が構成されていた。また、ファイル名の文字セットとして W ⅲ d 。 ws のコードページが用いられていたため、コードベージが異なるシステム間でのファイル奐などの際に問題が生じることもあった。 NTFS のファイル名は文字セットとして Unicode を用い、 255 文字まで使えるように拡張されている。ただし、既存のアプリケーションやシステムとの互換性のため、 8 十 3 形式のファイル名も同時に生成される。 8 十 3 形式のファイル名は、コマンド・プロンプトで DIR コマンドに / X を付けると表示される。・マルチ・データストリーム NTFS ではファイルの実際のデータを、、データストリー 95

8. UNIX MAGAZINE 2004年8月号

図 15 キ先を 127.0.0.2 : 13389 に言綻、なリモートデスりトップのトンネルの入口には、 127.0.0.2 を含むすべてのループ作った場合、トンネルの入口は 0.0.0.0 : 13389 となる。方、一 g オプション付きで ssh を起動して SSH トンネルをと指定しても SSH トンネルの入口にはつながらない。め、リモート・デスクトップの接続先を 127.0.0.2 : 13389 ると、トンネルの入口が 127.0.0.1 : 13389 となる。そのたー g オプションなしで ssh を起動して SSH トンネルを作ループバック IP アドレスについては問題はない。イアントカ甘妾続できないのは 127.0.0.1 だけで、その他のじである。さいわい、リモート・デスクトッフ。接続のクラから 127.255.255.254 までのどのアドレスでも効果は同 127.0.0.1 を使うが、 127.0.0.1 だけではなく、 127.0.0.1 から、その PC 自身にネットワーク・アクセスする場合は 127.0.0.1 を受け付けてくれないのである。通常、ある PC モート・デスクトッフ続のクライアントは、接続先としておける 127.0.0.1 に対する制限を回避するためである。リているのは、リモート・デスクトッフ甘妾続のクライアントに接続先として 127.0.0.2 ( 127.0.0.1 ではない ) を指定しのログオン画面が表示される。この画面で [ 接続 ] ボタンをクリックすると、 HomePC 接続先を、、 127.0.0.2 : 13389 " と指定する ( 図 15 ) 。モート・デスクトッフ続のクライアントを起動し、そのさて、仕上げのリモート・デスクトッフ接続である。リ ◆ SSH トンネルによるリモート・デスクトップキいなくても 3389 番ポートがふさがっているからである。ー - ニ旦竺」一三旦 - , 」わション。廴ファイルアクセスバック・アドレスにより到達できる。宅の PC 上のファイルに外部から安全にアクセスするに次に、ファイルへのアクセスについて考えてみよう。自 UNIX MAGAZINE 2004.8 ファイルのやりとりは問題なくおこなえるが、 GUI が 1. OpenSSH に含まれる scp や sftp を使うは、大きく分けて次のような方法が考えられる。リモート・デスクトップ接続ないのが寂しい。 OpenSSH とは別の Windows ネイテイプな SSH クライアントを利用すれば、 GUI で SSH プロトコルによるファイルのやりとりが可能になる。しかし、それには OpenSSH とは異なる系統の SSH クライアントを使うことになり、鍵ファイルの管理や known-hosts の管理などが面倒になる。 2. Windows ネイテイプのファイル共有機能を SSH トンネル経由で使うこれができれば、ごく甬に自宅の PC 上のファイルを外部から読み書きできるはすである。 3. Ⅱ S などの web サーバーで WebDAV (HTTP をもとにしたファイル共有プロトコル ) を動かし、それを SSH トンネル経由で使う WebDAV に対応した web サーバーをすでに動かしているのなら一考に値する。以下では、上記の 2 の実現方法を考えてみよう。なお、 FTP を SSH トンネルで使うことはできない。なぜなら、 FTP はパッシプモードであっても、ファイルを送るときに FTP サーバーから FTP クライアントに対して TCP 接続を張り、かっポート番号が一 - ー・定しないからであこういった状況には対応できない。る。 SSH トンネルは、ポイント Windows のファイル共有の機能を SSH トンネルを通して使う際のポイントは、以下の 3 つである。・ RemotePC で、 Microsoft ネットワーク用ファイルとプリンタ共有 " サービス ( 以下、ファイル / プリンタ共有サービスと略 ) を削除する。・ SSH トンネルの出口は 127.0.0.1 : 139 ではなく、 192. 168.0.10 : 139 のように Home PC の IP アドレスを含んだものとする。また、 ssh コマンドに一 g オプションを付けてはいけない。・ Remote PC では、、 NetBIOS over TCP " カ鮪、効になっていなければならない。なお、 Windows の資源共有では、使われるサーバー側ポート番号カ墹定されており、ユーザーが指定することはできない。そのため、以下に述べるように若干苦労することになる。 165

9. UNIX MAGAZINE 2004年8月号

図 2 fromhost 関数 fromhost (&req) ; deny-severity = LIBWRAP—DENY—FACILITY ー LIBWRAP-DENY-SEVERITY ; allow—severity = LIBWRAP—ALLOW-FAC 工 LITY ILIBWRAP-ALLOW-SEVERITY ; denied = !hosts—access(&req) ; ションカ数回指定されてもつねに真となります。一方、オプションカ甘旨定されるたびにオプションの状態を表す変数の真偽を反転する方法もあります。この場合には、 wrap—bi ! wrap—bi ; などの式により値を変更することになります。この方法を使うと、 C シェルの alias などを用いてオプションが指定されているときに、あとからオプションを取り消せるようになります。どちらの方法がよいかは一概にはいえません。場合によっては、これら以外の方法が適していることもあります。たとえば、 inetd. c と同様の処理をしておき、オプションが指定された回数にもとづいて処理を変えるといったことも可能です。作成するプログラムの特性を考慮し、どの方法を用いるかを決めてください。 libwrap 関数の機能は、 main 関数の下のほうのループで使われています。 fork システムコールにより子プロセスを生成し、その子プロセスで実際にサービスを起動しようとする段階でアクセス制限の検査をおこなっています。 if (pid if (ISWRAP(sep) ) { まずは ISWRAP マクロを使って、要求されたサービスを libwrap ライプラリで検査するかどうかを調べます。前節で述べたように、 ISWRAP マクロは引数としてサービスの詳細を指定することで、対象のサービスを libwrap ライプラリで検査すべきかどうかを真偽値として返すものでした。このマクロが真を返し、サービスを検査する必要がある場合には、 ps コマンドなどの表示で検査用のプロセスであることが分かるように、 wrapping という文字列を含むプロセス名に変更します。 inetd—setproctitle("wrapping" , ctrl) ; そして、ライプラリ関数を呼び出すために request-info 構造体を用意します。 86 sep—>se_server_name ? servlce sep—>se_service; sep—>se_server_name request—init(&req, RQ—DAEMON, service, RQ_FILE, ctrl, NULL) ; ます request-init 関数を使って、デーモンプロセスの名前と、要求が送られてきたファイル・ディスクリプタを設定します。次に、 fromhost 関数 ( 図 2 ) によりファイル・ディスクリプタから得られる情報を取得します。この関数は、ライプラリのオンライン・マニュアルには含まれていませんが、 TCP Wrappers カ甘是供しているものです。ファイル・ディスクリプタを設疋した request-info 構造体のアドレスを引数として渡すことで、判明する情報を埋めてくれます。さらに、ライプラリカリ用する deny-severity と al- low-severity にマクロとして決めておいた値を設定し、 syslog の出力を設定します。最後に、用意した情報を使って hosts-access 関数を呼び出し、アクセスを許可すべきかどうかを判断します。 hosts-access 関数はアクセスを許こではその値を否定し可する場合に真の値を返すため、たものを denied 変数にオ内しています。これにより、の変数の値カ填の場合にはアクセスを許可すべきではないという未になります。 ☆ 今回は、 inetd プログラムのソースコードを紹介し、とくに libwrap ライプラリ関数関連の部分を重点的にみてきました。ほとんどの機能がライプラリ関数のなかで実現されているため、ⅲ etd プログラムのソースコードでおこなう処理は案外少ないことに驚いたのではないでしようか。この程度であれば、自作のプログラムで libwrap ライプラリを利用するのもさほと難しくないと思います。ぜひ、チャレンジしてみてください。 ( たじみ・ひさかず ) UNIX MAGAZ 工 NE 2004.8

10. UNIX MAGAZINE 2004年8月号

Ⅳ加面Ⅳ s マシンへのアクセス図 9 自宅の LAN 上で SSH キができるかを石砡忍 $ ssh 192.168.0.10 Enter passphrase for key '/home/foobar/. ssh/id_rsa' : * * * * * * * * * * Last login: Fri Jun 11 20 : 34 : 01 2004 from 192.168.0.11 Fanfare ! ! ! You are successfully logged in tO this server ! ! ! rized-keys" に変更する。ファイルのモードが、図 8 のように誰でも読める状態であることを確認しておく。 5. コマンド行で以下のように実行し、 SSH サーバー (sshd) を起動する。 $ cygrunsrv -S sshd cygrunsrv は、 Cygwin のコマンドを Windows のサービス (UNIX でいえばデーモン ) として登録 / 起動 / 停止するための Cygwin 特有のコマンドである。こまでの作業が終ったら、自宅の LAN 上で図 9 のように Remote PC から Home PC に SSH 接続ができるはずである ( 秘密鍵のノヾスフレーズを入力するとき、実際には * は表示されない ) 。うまくいかない場合は、以下のようにすれば何が起こっているかが出力されるので、手、かりカられるだろう。 ssh -v Home PC の IP アドレス ◆外部から自宅へのアクセス多くの場合、一般家庭などを対象にしたインターネット常日羽妾続では IP アドレスカ働的に割り当てられ一定しない。しかし、つながっているあいだは一定で、 IP アドレスカ畯わることがあるのはインターネット接続が中断されたときだけなので、外部からの接続も十分に可能である。インターネット接続が切れないようにする最近のプロードバンド・ルータの多くは、外部からのアクセスにも対応している。外部からのアクセスを可能にするには、自宅からインターネットへのアクセスがないからといって、 PPP 。 E などによるインターネット接続を切断してはいけない。そこで、ルータでそのための設疋ができるようになっている。図 10 はその一例である。この例では、、接続 " を、、常時 " にしてあるため、一定時間 ( この場合は 60 秒 ) ごとに PPP Echo request を PPP- oE のホストに送り、 PPPoE のセッションが切れないよ 162 うにしている。図 10 キかされないように言綻 ppp 。 E 接続アカウントリスト PPP 。 E 接わ状態確月創乍を行います。アカウント名 D アルスセッション接続アイドルタイム 45 21013d2321 PPP ー Eci ℃ー Re 年ぉ毆送出、物 PPP-Ecm—Recwest リトライ回 ( げ虍 0 d に 02 ・・ 112210 01-01 〔 0 [ 023 ] 断図 11 外部からの SSH } のための言綻静的マスカレードマルチ NAT 能やローカルサーバ嫌能 ( 珖殳定を行います。幻並」第ホスカ追加 - 」修宿可修正第リ除修正 1g1 田 .0.10 外部から Home PC に到達できるようにする自宅で外部から直接通信できるのはプロードバンド・ルータであって、設疋しないかぎり Home PC に到達できない。 Home PC に外部から SSH 接続できるようにするには、ルータの TCP/22 番ポートへの接続が Home PC の TCP/22 番ポートに中継されるようにルータの設定をおこなう。図 11 はその一例である。ダイナミック DNS サーヒスを使う残る問題は、動的に割り当てられる自宅の IP アドレスをいかにして外部から知るかである。それには、いくつかの会社カ甘是供しているダイナミック DNS サービス ( 以下、 DDNS) を利用すればよい。無料で提供されている DDNS サービスもあり、検索エンジンなどで、、ダイナミック DNS サービス " をキーに検索すれば、すぐにみつかるはずだ。サービスごとに細かな違いはあるだろうが、基本的には利用者が決めたドメイン名から利用者の IP アドレスが得られるようにするものである。たとえば、 *. dynamic- domain. jp というドメインを利用者に提供する DDNS が UNIX MAGAZ 工 NE 2004.8