図 2 レイヤ 2 サービス ユーザー A VLAN = xxxx ューザー B VLAN ID = yyyy API AP2 . .V,LANID— ー xxxx JGN 日ネットワーク vuAN = yyyY AP3 ユーザー C ユーザー D 1000Base TX (RJ-45) の接続用ポートを用意し、 JGN Ⅱ 内の 2 カ所のアクセスポイント間を VLAN によるレイ ヤ 2 接続で結ぶサービスを提供しています ( 図 2 ) 。また、 複数のアクセスポイント間を同一の VLAN にし、レイ ヤ 2 で接続する、、多地点接続サービス " も提供しています。 1000Base SX/LX などの光接続も可能ですが、現状では 提供可能なポート数に制限があります。 JGNII とユーザーの責任分界点は、アクセスポイント の接続装置です。ユーザー側からみれば、アクセスポイン トの接続装置に接続するまでがユーザーの責任範囲という ことになります。 このサービスのための接続装置としては、アライドテレ シスの AT9812T と日立製作所の GS4000 ー 80E / 160E / 320E ( 写真 1 ) カ駛われています。 MTU サイズ レイヤ 2 サービスでは、 Ethernet フレームの MTU サ イズを最大 9 , 596 バイトまで拡大することも可能です。ビ デオ伝送や iSCSI など、フレーム長を大きくとることで処 理性能が向上するアプリケーションを用いた研究にも活用 できます。 10G 接続サーヒス 特定のアクセスポイント間を 10Gbps Ethernet で接続 するサービスです。仙台、大手町、北陸、大阪、岡山、九月ヨ の各拠点で提供しています。このサービスについても、提 108 供可能なポート数に制限があります。 写真 1 JGN Ⅱ R&D NOC の GS4000-320E レイヤ 3 サービス JGNII のユーザー間、あるいは JGNII ユーザーとほ かの研究用ネットワークとのあいだを、 IPv4/IPv6 デュ アルスタックで相互に接続するサービスです ( 図 3 ) 。ユー ザーは、 JGN Ⅱに割り当てられた IP アドレスを使うこと ができます。ューザーが保有するネットワークのトランジ ットは原則としておこないません。 JGNII では、 IPv4 によるレイヤ 3 サービスを提供す るルータ装置を大手町に設置しています。このサービスの 利用を希望するユーザーは、大手町に設置されている Ju- niper Networks の T320 ルータ ( 写真 2 ) と、接続を希望 するアクセスポイントとのあいだに設けられた VLAN を 経由してレイヤ 3 で接続することになります。 IPv6 のサービスについては、 JGNIIv6 ネットワークの 利用も可能です。これは、大学などの研究者を中心に構成 UNIX MAGAZINE 2005 . 2
連載 / シェルの魔術ー⑩ 表 2 chmod の記号形式 ( 十で、、誰の " か省略された場合 ) 書込み 所有グループ 十 その他のユーザー 十 書込み 何を (rw) umask 値 ( 022 ) 結果 r : 読取り許可 w : 書込み許可 x : 実行 / 捜索許可 言翹文り 十 〇 十 所有者 書込み 十 〇 十 実行 〇 言翹薊 十 〇 十 〇 言翹灼 十 〇 十 実行 〇 X : 実行 / 捜索許可 ( ファイルがディレクトリであるか、も とのファイルで所有者 / 所有グループ / その他のユーザ ーのいずれかのユーザーが実行 / 捜索を許可されている 場合に限る。また、操作が、、十 " の場合以外は意味をも たない ) ッション ション o : もとのファイルにおける、その他のユーザー部分のノヾー ミッ g : もとのファイルにおける、所有グルーフ部分のパー ミッション u : もとのファイルにおける、所有者部分のパー t : スティッキー・ビット s : SetUID/SetGID ビット 取り許可と書込み許可を同時に変更したい場合は、、、 rw" を 内容によって複数指定することができます。たとえば、読 ミッションの 、、誰の " の場合と同じように、変更したいパー びます。ここはすこ凵礬隹なので、例を挙げながらみてい 、、どうする " の部分は、十、 指定します。 = の 3 種類の記号から選 可します。 + ( 許可 ) きましよう。 例では、所有者と所有グループに、書込みと実行 / 捜索を許 します。それ以外の部分については変更されません。次の + は、、、誰の " に対して、、何を " で指定された操作を許可 UNIX MAGAZINE 2005.2 た部分以外は変更されません。たとえば、 umask が 022 もの ) だけを許可します。この場合も、、何を " で指定され うち、 umask 値で禁止されていないもの ( 許可してもいい 、、誰の " が省略された場合は、、、何を " で指定された操作の $ chmod ug + wx 1ink—2. txt のとき、以下のコマンドは所有者 / 所有グループ / その他の ユーザーの読取りと、所有者の書込みを許可します俵 2 ) 。 ー ( 禁止 ) 場合は何も変更しません。 また、、、何を " の部分も省略することができますが、その $ chmod + r 1 土 nk ー 2 . txt える操作を、もとのパーミッションとは関係なく読取りと 次の例では、所有グループとその他のユーザーがおこな にします。 の " で指定された部分を、、、何を " で指定されたものと同じ = は、緲寸形式と似たような働きをします。つまり、、、誰 = ( 言聢 ) に、、誰の " を省略することはほとんどないでしよう。 ーを使うとき ッションになってしまいます。このように というコマンドを実行すると、 577 というおかしなパー $ chmod —w 1ink—2. txt 対して、 般によく使われている 022 であるとき、 777 のファイルに もいいもの ) だけを禁止します。たとえば、 umask 値か一 操作のうち、 um k 値で禁止されていないもの ( 許可して ません。十と逆の動作をするので、、、何を " で指定された 、、誰の " が省略された場合の動作はすこし直感的ではあり $ chmod o—wx Iink—2. txt を禁止しています。 例では、その他のユーザーによる書込みと実行 / 捜索の操作 します。それ以外の部分については変更されません。次の で指定された部分に対し、、、何を " で指定された操作を禁止 ーは十とまったく逆の働きをします。つまり、、、誰の " 実行 / 捜索に設定しています。 165
連載 / シェルの魔術ー⑩ 図 6 ティレクトリの木構造 ( ルート ) home pkg bin etc naoto rm bin naoto mya ー親ディレクトリ サブティレクトリ work ディレクトリ・ファイル ロ 普通のファイル 登録ファイル 図 7 魏直で見する場合のパーミツンヨンの川 所有グループ その他のユーザー 所有者 読取り可能書込み可能実行 / 捜索可能 読取り可能書込み可能実行 / 捜索可能読取り可能書込み可能実行 / 捜索可能 ファイルの、、箱 " に保存されています。したがって、すべて していませんから、単純な足し算と考えてもかまいません。 のファイルにはパーミッションカ又疋されています。新規 また、基数の変換は足し算の前にすませておくことができ に作成されたファイルのパーミッションは、以下の 2 つの ます。各項目をあらかじめ 8 進数に変換すると、以下のよ 値から引算されます。 うになります。 プロセスが指定したパー 所有者カ売取り可能 ツンヨノ 400 所有者が書込み可能 200 前回も説明したように、すべてのファイルはかならずな 所有者が実行 / 捜索可能 100 んらかのプロセスによって作られます。そして、プロセス 所有グループカ第売取り可能 40 がファイルを作成するときには、ファイルのパー ツンヨ 所有グループが書込み可能 20 ンも一赭に指定するのでした。 10 所有グループが実行 / 捜索可能 プロセスのもつマスク値 その他のユーザーカ売取り可能 4 その他のユーザーが書込み可能 2 これは、、 umask" と呼ばれるもので、許可したくない操 その他のユーザーが実行 / 捜索可能 1 作を数値で指定します。ここで重要なのは、指定するのが 、、午可したくない操作 " であることです。、、許可したくない これらのうち、該当するものを足していけばいいわけで 操作 " 以外の操作は、許可してもしなくてもかまいません。 す。今回の例では、 400 十 200 十 100 十 40 十 10 十 4 十 1 = ミッションの数値表現の計算 umask の値は、前述のパー 755 となります。 手川頁を、、、操作を許可したくない場合は 1 、許可してもいい 場合は 0 " に変更して計算します。たとえば、所有グルー 新規ファイルのバー ツンヨン プとその他のユーザーの書込みを許可したくない ( 所有者 ーミッションも、所有者や所有グループと同じように の書込みは許可してもよい ) 場合の umask は 022 になり 163 UNIX MAGAZ 工 NE 2005 . 2
連載 / ネットワークとセキュリティ 図 4 ソース RPM パッケージのリヒルド $ cd -/rpm/SRPMS/ # rpm —i /home/ ユーザー名 /rpm/RPMS/i386/knock-0.3.1 ー 1 . i386. rpm /home/ ユーザー名 /rpm/RPMS/i386/=> 図 5 作成した RPM パッケージのインストール $ rpmbuild —-rebuild knock-0.3.1 ー 1 . src. rpm ← Fedora Core 、 Red Hat Linux 8.0 以降の場合 $ rpm ——rebuild knock¯O. 3.1 ー 1 . src. rpm ← Red Hat Linux 7.3 以前の場合 knock-server-0.3.1 ー 1 . i386 . rpm 今回はホーム・ディレクトリ以下に RPM パッケージを 作成するため、まず ~/. rpmmacros というファイルに下記 の内容を謎杢します ( デフォルトでは /usr/src/redhat に 作成されます ) 。 $ Vi ~ / . rpmmacros ( 設定する内容 ) %-topdir %—specdir %—builddir %_sourcedir %—srcrpmdir %-rpmdir /home/ ユーザー名 /rpm %{-topdir}/SPECS %{-topdir}/BUILD %{—topdir}/SOURCES %{-topdir}/SRPMS %{-topdir}/RPMS 次に、 RPM のビルドに利用するディレクトリ群を作成 します ( 誌面の都合上、で折り返しています。以下同 $ mkdir —p &/rpm/{SPECS , BUILD , SOURCES , SRPMS , - 続いて、 RPMS} ダウンロードしたファイルを、さきほど作成した rpm / から、 knock-(). 3.1ー1. src. rpm をダウンロードします。 ・ http://www.invoca.ch/pub/packages/knock/ $ mv knock-0.3.1 ー 1 . src . rpm -/rpm/SRPMS/ SRPMS ディレクトリに置きます。 ジの作成がおこなわれます。間題がなければ、ポートノッ しばらくすると knock のコンパイルと RPM パッケー ルドします ( 図 4 ) 。 ディレクトリを移動し、ソース RPM パッケージをリビ 72 knock-server-(). 3.1ー1. i386. rpm ・ /home/ ユーザー名 /rpm/RPMS/i386/ knock ー 0.3.1 ー 1. i386. rpm ・ /home/ ユーザー名 /rpm/RPMS/i386/ キングのクライアントとサーバーカそれぞれ、 として作成されるので、必要に応じてインストールしてく ださい ( 図 5 ) 。 また、 Debian GNU/Linux の sid (unstable) や sarge (testing) 向けに deb パッケージも用意されてい ます。こちらを利用する場合には、 root で、 # apt—get update # apt—get install knockd とすれば完了です。ただし、 stable 用のパッケージは提供 されていないので、その場合はソースからインストールす ることをお勧めします。 knockd の設定オプション ポートノッキング・サーバーである knockd を設疋する には、 /etc/knockd. conf ファイルを編集します。 デフォルトでは、ポート 22 番へのアクセス制限を解除 するための設定である [openSSH] と、逆にポート 22 番 に対するアクセス制限をおこなうための言定である [close- SSH] がサンプルとして含まれています ( 図 6 ) 1 以下、各言定オプションについて説明します。 sequence ポートノッキングとして扱うポート番号を、アクセスを 受ける順序に沿って、、、 , " ( カンマ ) で区切って指定します。 たとえば、 knockd. conf のサンプルの設疋にある、 sequence = 7000 , 8000 , 9000 は、 TCP で 7000 番ポートへのアクセスがあり、続いて 8000 番ポート、最後に 9000 番ポートにアクセスされた場 合に、ノックが成功します。 sequence オプションには、ポート番号と一緒にプロト コルを指定できます。指定可能なプロトコルは TCP また 1 ここで紹介する knockd. conf ファイルは、ソースからコンパイルした場 合にインストールされるものです。 RPM パッケージを利用した場合には、 インストールされる knockd. conf の内容が異なるようです。 UNIX MAGAZ 工 NE 2005 . 2
特集 広域 Ethernet 実験網 JGN ll 図 3 レイヤ 3 サービス ユーザ—A VLAN = aaaa 旧アドレス = mmmm VLAN = cccc 旧アドレス = uuuu API ューザー C JGN Ⅱネットワーク AP3 ・△ AP2 ユーザー D ユーザー B VLAN = bbbb 旧アドレス = nnnn VLAN ID = dddd 旧アドレス = zzzz 図 4 JGNIIv6 ネットワーク 石川ハイテクセンター ( 北陸先端科学技術大学院大学 ) 10Gbps 1 Gbps x 2 1 Gbps VLAN C i SCO CataIyst 6509 Cisco 12406 Juniper T320 日立 GS4000 大手町 (KDDI) 東北 KD 団金沢 福岡 ( 九州大学 ) 東 島 岡山 A NICT 北九州 . ー・ リサーチセンター 10Gbps の 2 種類のサービスがあります。 された、 JGN Ⅱを用いた相互接続実験ネットワークで、ア 大手町一北陸一堂島 ( 大阪 ) の 3 カ所を結ぶかたちで構 クセスポイントまたは隣接する大学や研究拠点に日立製作 築された CaIient Networks 製の OXC 装置 ( 写真 3 ) を 所や Cisco Systems 、 Juniper Networks などのルータ 利用した GMPLS 網 ( 北周り / 日本海ルート ) と、大手 が置かれています ( 図 4 ) 。 町一堂島一けいはんなの 3 カ所を結ぶかたちで構築され OXC 接続サーヒス た NTT コミュニケーションズ製の OXC 装置を利用し た GMPLS 網 ( 南周り / 太平洋ルート ) があります。 これは、 OXC 設置アクセスポイント間を光波長レベル 日本海ルートでは、 Cisco の GSR ルータが GMPLS で接続するサービスです。インターフェイスが 1Gbps と 109 UNIX MAGAZ 工 NE 2005.2
インターフェイスの街角 図 1 CAPTCHA の利翩列 図 2 PIX の問題例 0 を脳内に長期記億として蓄えるのがひどく難しい点が問題 だといえます。 でも成果が得られるのがおもしろいところです。 人間の脳は、画像や音声を扱うパターン情報処理は得意 GIMPY の出力した文字列を言 1 算機カ第忍識できれは認証 をパスしてしまいますが、人間のさらに高度な情報処理能 ですが、単純計算やシンポル処理はどちらかといえは不得 力を利用して人間かどうかを判断する PIX5 というシステ 手です。したがって、パスワードに使われるような意味の ない文字列の代わりに人間のパターン処理 / 記億能力を活 ムも開発されています。 PIX では、図 2 のような複数の画 用すれば、より安全な認証が実現できると考えられます。 像がユーザーに示され、これらの画像に共通する単語 ( こ の例では、、 baby") を答えると人間であることが証明され 人間の / ヾターン処理能力の活用 ます。 人間は、画像中の文字列を苦もなく読み取ることがで 人間のパターン記憶能力の利用 きますが、機械で文字列を認識するのは困難です。この 人間は、記号を憶えるよりも画像パターンを記億するほ 事実を利用し、人間と機械を区別して扱う CAPTCHA うが得意です。とくに、印象的な場所や人などに関しては (Completely Automated Public Turing Test To TeIl 、、エピソード記億 " として長期記億となるため、簡単に忘れ Computers and Humans Apart) 1 [ 2 ] というシステムが ることがありません。 注目を集めています。このシステムでは、ユーザーがサー このため、文字列をパスワードとして利用する代わりに、 ビスを利用しようとすると図 1 のような画面を表示します。 人の顔や風景などの画像をパスワードとして使えれば、パ 人間であれば、 ーこにどういう文字が表示されているかを スワードを忘れるようなことは起こりにくくなるはずです。 簡単に読み取れますが、パターン認識による文字列の抽出 近年、このような手法を用いた個人認証システムがたく はかなり難しいので、、、 bot " などのソフトウェアによる自 さん考案されています。以前に紹介したものも含め、これ 動ログインを防ぐことができます。 らの画像認証手法を以下に紹介します。 このような画像を生成するため、カーネギーメロン大子 の GIMPY2 や、これを簡略化した ez-gimpy3 というシス テムが開発されています。一方、カリフォルニア大学バー 画像を用いた個人認証手法 クレイ校では、これを破るソフトウェアが開発されたそう です 4 。 Déjå Vu 計算機によるパターン認識カ坏可能な CAPTCHA 画 カリフォルニア大学バークレイ校の Adrian perrig 氏 像を生成できれは認証システムとして有用ですし、逆に、ど と Rachna Dhamija 氏が開発した Déjå Vu というシス んな CAPTCHA 画像でも認識するソフトウェアが開発 テム 6 [ 1 ] は、画像を言正に利用した先駆的なシステムです。 されれは認識技術の進歩ということになり、どちらに転ん このシステムでは、たくさんの画像のなかからユーザー 1 http://www.captcha.net/ があらかじめ選択した任意の画像を用いて認証をおこない 2 http://www.captcha.net/captchas/gimpy/ 3 http://openanonymity・ sourceforge. net/HTML/scripts/ ます。ユーザーは、引噂機によって生成されたイ可千枚もの ez-gimpy/ez-gimpy 5 http://www ・ captcha. net/captchas/pix/ 4 http://www.berkeley.edu/news/media/releases/2002/ 12/10-gimpy. html 6 http://www.sims.berkeley.edu/&rachna/dejavu 181 UNIX MAGAZINE 2005.2
こまで、 2004 年夏の甲子園中継についてお話ししてき ました。もちろん、これは 10 年近い蓄積のうえに成り立 っています。以下では、ストリーム中継と Web 配信につ いて、初期から現在にいたる技術的なトピックを振り返っ てみます。 1996 年 甲子園からの生中継は、 1996 年に始まりました。この年 には、 IWE'96 (lnternet 1996 world Exposition)6 が 開催されています ( 長いあいだインターネットにかかわっ てきた人にとっては、懐かしい響きがするかもしれません ) 。 当時、 ABC と奈良先端利学技術大学院大学、松下電器 産業で取り組んだ内容は以下のようなものでした。 ・ progressive Networks7 の RealAudi0 1.0 による音 声中継 ・ StreamWorks による映像・音声中継 大阪ビジネスパークの 1 階にあった、松下電器産業が運 営するインターネット・カフェ「 RingRing 」での中継 ・ IWE'96 上のサイト Panasonic 館での中継 ・ JPEG 画像を 3 枚ほど貼り付ける以静止画ライプ中 継 RealAudio 1.0 については、専用のエンコード端末に アナログ音声信号を入力し、デジタル化したうえで Real- Server に送り、そこからエンドユーザーに配信されまし た。 StreamWorks では、映像と音声カ甥リトラックでエン コードされ、クライアント側でも同期をとることなく再生 されていました。したがって、長時間の中継をおこなうと、 映像と音声がどんどんすれていき、最終的にとんちんかん なものになってしまうこともよくありました。 両者とも、当時としては画期的な技術で、インターネッ トにもようやくキラー・アプリケーションが登場したかと 期待されたものです。そのころは、インターネット上での こうした中継はほとんどなく、メーリングリストなどに開 催のお知らせが流れると、コンテンツがどのようなもので あっても未を惹かれてサイトを覗く人が多かったように 思います。 6 http://park.org/ 7 現在の RealNetworks (http://www.realnetworks.com/ ストリーム中継の歩み UNIX MAGAZINE 2005.2 特集ー 1 マルチメディア配信の技術 1997 年 翌 1997 年からは、 CKP の設備を駆使した中継が本格 的に始まりました。この年には、 RealVideo も利用してい ます (ReaISystem のノヾージョンが 3.0 から 4.0 に変わる あたりです ) 。 中継にあたっては、 CKP の 3 カ所の拠点 ( 朝日放送、 神戸 ) と、 Progressive Net- NTT 情報文化センター works 東京支社の合計 4 カ所のサーバーで分散して配 信しました。当時は、 CDN (Content Distribution/ Delivery Network) という言葉もなく、広域負荷分散の 仕掛けもほとんどありませんでした。上記の 4 つのサイト を用いた負荷分散では、 Web サイトの中継ページに 4 台 のサーバーへのリンクボタンを配置し、ユーザーにサーノヾ ーを選択してもらう方法をとりました。しかし、中継して いるうちに、、これじゃ、ユーザーに不親切だよなあ " と痛感 し、その後の広域分散処理技術の実装へ向かうことになり ました。 1997 年の配信メディアは、次のようなものでした。 ・ JPEG 静止画による擬似ライプ中継 ・ ReaIVideo 4.0 ライプ中継 ・ MPEG- 1 によるハイライトシーン 1998 年 1998 年からは、 NTT 堂島ビルにデータセンターを 構えた NTT-TE 関西メディアコネクト・プロジェクト (NTT-SmC の前身 ) を中核とした配信体制になりまし た。 このころ、インターネット・ユーザーは急激に増え、そ れとともに web ページへのアクセスも右肩上がりに増え 続けていました。そこで、配信サーノヾーの大幅な増強力坏 可欠と判断し、日本 DEC ( 現・日本 (P) から AIpha サ ーバーを数召昔用して配信した記億があります。 トラフィックがピークに達するのは 1 年に 2 週間だけと いうイベントのために、固定資産としてサーバーを持ち続 けるのは現実的ではありません。そこで、その後の数年間 は、 CKP に参加しているべンダーから機材を借用するこ とがよくありました。べンダー側にしても、これほど膨大 なアクセスがあるイベントはほとんどなかったので、自社 の製品を存分に使ってもらい、不具合があればフィードバ 39
0 図 3 Déjå Vu のログイン画面 図 4 記意する 5 人の顔 0 ド 0 、新 0 を mo - を 0 ー 0 ( 30Y0 00 市 ted 0 ) ー解 0 ~ 磯「第・一 n 盟 - ロ X here are you 「 passfaces ト町 e 3 作 YO P35 引 ac 日 5 - つ 0 ー C F 肥 55 N 日 但朝貢物℃の′助 0 町 remembenng ソ ou 「 P35 引 3 5 at Stage) ki 三 れ 0 興を ト 0 をを y ′鉢 図 5 問題窈列 、”て om 0 / Pc 0 ) 、引第 0 - を 0 ー 0 陂 ( 」 4 第れ破 0 ) ・ 0 要をを 0 を 0 を P - ( に O ” - E 心 you 「 final practice 画像のなかから、パスワードの代わりに pass portfolio" と呼ばれる 5 枚の画像をあらかじめ選んでおきます。ユー ザーカ第 t 算機にログインしようとすると、計算機はその 5 枚の画像を含む 25 枚の画像を提示し、ユーザーがそのなか から正しい 5 枚を選択できればログインを許可します ( 図 3 ) 。好きな画像は文字列よりも憶えやすいので、このよう 物 rea com 当ノ な方法がうまく働くということです。 きますが、どのような顔かを言葉で表現したり、その顔を Passface 紙に描いたりするのは雹匝の人にはかなり難しいでしよう。 ですから、うつかり人に教えたり、紙に書いたりして秘密 Dé扣 Vu では、人工的に生成された画像のなかから自 が漏れるようなことがなくなります。 分が好きな画像を選択してパスワード代わりに利用します。 しかし、好みの画像とはいえ、人工的なものを憶えておく ーモニック認証 のはそれほど簡単ではなさそうです。 システムカ醍示した顔を憶えるよりは、ユーザー自身が これに対し、 Real User7 の Passface では人間の顔の画 よく知っている人や風景の写真を並べたほうがより効果的 像をパスワードとして利用します。たとえば、図 4 の 5 人 ーモニックセキュリティ 8 は、ユーザーが登 でしよう。 の顔を、、 Passface" として記億し、図 5 のような画面で自 録した画像を用いて Dé扣 Vu や Passface と同様の認証 分の選んだ Passface を選択する操作を繰り返して Dé扣 をおこなうシステムを開発しています。同社の製品はソラ Vu と同様の認証をおこなう仕組みになっています。 ン 9 や SKR テクノロジー 10 からシステムとして提供され 最初は、見知らぬ人の顔を 5 人ぶんも憶えられるものか ています。また、 NTT コミュニケーションズの CoDen と思いましたが、 2 ~ 3 度練習しているうちになんとなく親 というサービスのユーザー認証方式として使われているよ 近感が湧いてきて、すぐにみつけられるようになりました。 うです 11 私は人の顔を憶えるのが得意なほうとはいえませんが、 図 6 は、ニーモニック認証のログイン画面の例です。 64 それでもデモを試したかぎりではミスすることなく pass- 枚の写真のなかに私が登録したものが 3 枚含まれており、 face を選び出せました。やはり、人間には生得的に顔を見 8 http://www.mneme. CO. jp/index-net. html 分ける能力カわっているのでしよう。 9 http://www.sorun.co.jp/solution/se-nimo.html Passface として記億した顔は、目で見ればすぐに言哉で 10 http://www.skr-tech. CO. jp/nemeppt. htm 11 http://coden.ntt.com/service/coden-payment/ 7 http://www.realuser.com/ answer. html#q6 0 に kon ツに P35 引 e ( 90 ON) 182 UN 工 X MAGAZ 工 NE 2005.2
連載 / シェルの魔術ー⑩ 表 3 chmod の記号形式 ( = で、、誰の・・が省略された場合 ) 所有者 所有グループ 言翹文り 書込み 実行 言翹文り 書込み 実行 書込み 実行 何を (rw) umask 値 ( 025 ) 〇 〇 〇 〇 〇 〇 〇 〇 結果 を考えれば分かると思います。 $ chmod go=rx Iink—2. txt 前々回に説明したように、 UNIX ではファイルの名前と 、、誰の " が省略された場合は、、、何を " で指定されているも 実体は別のものです。そして、ファイルの名前を消す操作 ののうち、 umask 値で禁止されていないもの ( 許可しても はありますが、直接ファイルの実体を消すという操作はあ いいもの ) だけを許可します。それ以外の部分は、もとの りません。ファイルの名前がすべて消えたときに、ファイ ミッションとは関係なくすべて禁止になります。 ルの実体も消えるわけです。このため、ファイルの実体の ノヾー - umask 値が 025 のとき、以下のコマンドは所有者 / 所 削除を禁止することができないのです。 有グループの譴囚み、所有者 / その他のユーザーの書込みを では、誤って消すと困るようなファイルはどうやって保 午可します俵 3 ) 。 護すればいいのでしようか。 選択肢の 1 っとしてそのファイルの名前が登録されてい $ chmod =rw Iink—2. txt るディレクトリのパーミッションを、書込み禁止にしてし まう方法があります。ファイルの実体が消えるのはファイ 、、何を " が省略された場合は、、、誰の " からすべての権限を ルの名前がすべて消えたときですから、逆にいえばファイ 剥奪します。両方が省略された場合は、所有者 / 所有グルー ルの名前カっているかぎりはファイルの実体も消えませ プ / その他のユーザーのすべてに対して、すべての操作を示 ん。ファイルの名前が登録されているディレクトリが書込 止することになります。 み禁止なら、そのディレクトリに登録されているファイル こまでに説明した記号形式でのパーミッションの変更 の名前を消すことはできなくなります。 は、いくつかの指定を同時に組み合わせることができます。 これは一見よさそうに思えますし、実際にこの方法で運 ( カンマ ) で区切って複委旨定すること ます基本型は、 用できる場合もあるでしようが、致命的な欠点があります。 ができます。また、基本型のなかでも、、どうする [ 何を… ] " それは、書込み禁止にしたディレクトリでは、新しいファイ の部分は、続けて複数指定力河能です ( 、、 , " は必要ありま ルを作ったり、保護したいファイル以外のファイルを消し せん ) 。 たりすることもできなくなってしまう点です。これでは、 $ chmod u=rwx , g + r—w , 0 = sample ふだん作業用として使っているディレクトリでファイルを 保護しようとすると、ほかの作業をおこなうのがひどく不 便になってしまいます。 消せないファイルを作る このような問題を解決するために、前回すこしだけ触れ ところで、 たファイルフラグという属性が追加されました。この機能 は 4.4BSD で追加されたため、 BSD 以外の UNIX では 「このファイル、大事なものだからうつかり消しちゃうと 利用できないかもしれませんし、 BSD の種類によって仕様 困るんだよな」 が異なる場合もあります。以下では NetBSD での例を紹 なんていうことはありませんか ? 介しますが、それ以外の UNIX を利用している場合はマニ Windows のファイルシステムである NTFS では削除 ュアルを参照してください。 禁止というパーミッションがありますが、 UNIX にはこれ ファイルフラグとは、ファイル ( の、、箱 " ) に付ける印の までみてきたとおり、このような便利なパーミッションは ことです。印を付けるには次のコマンドを利用します。 ありません。これは、 UNIX のファイルシステムの仕組み その他のユーザー = 〇〇 166 UNIX MAGAZINE 2005 . 2
EWS ル処理性能が最大 150Mbps の「 Secure- 方式のトラフィック診断機能により言盟僉知 0 T-Series は、侵入検知 / 侵入検知・遮 so 仕 T -50 」から最大 2Gbps の「同 T - 率を成できる。 断 / ファイアウォール / VPN 機能などの 価格 ( 税別 ) は、 Securesoft T ー 50 1000 」までの 5 モデルがある。 Absolute 〕助日が可能な統合型のセキュリティ・アプ (IDS ソフトウェアー式 ) が 880 , 000 円か IPS シリーズは、バケット処理用のネット ライアンス。侵入検知システムとファイア ワーク・プロセッサにより処理性能が最大 ら、同 AbsoIute IPS シリーズが 980 万 ウォールの連携により、不正バケットをリ 8Gbps の侵入卸システム。ネットワー 円から。 アルタイムで遮断できる。ファイアウォー ク環境に合わせて閾値を定する自己学習 •Trend Micro GbE 対応のウイルス対策機器 トレンドマイクロ (Tel 03-5334-3600 ) ットを監視してウイルスを検出し、感染し 外形寸法 ( HxWxD ) は 4.3X42.5 は、ウイルス対策機器「 Trend Micro た PC を隔離したり、ポート間でウイルス Network VirusWall 2500 」の販売を バケットを遮断する機能をもつ。外部から X62. lcm 、重量は 9kg 。 参考価格は 125 万 8 , 500 円 ( 本体 880 , 開始した。 持ち込まれた PC や、ウイルス対策ソフト I / F は 10 / 100 / 1000B e TX5 で、 ウェアがインストールされていない / ノヾタ 000 円、 Network VirusWall ソフトウ ェア 50 アカウント 378 , 500 円 ) 。 ネットワーク・セグメントを管理するポ ーンファイルが旧い PC のアクセス規制が ートを 4 つまで設定できる。通過するバケ 可能。 •F-Secure 対応 OS は、 F-SecureÉ4!t コントロー 認証スイッチを使用した検疫 LAN システム ラが Red Hat Enterprise Linux Ⅵ / ES/AS 3 、同アンチウイルスクライア ントセキュリティが、ⅲ dows NT 4. 0 / 2000 / XP 。 日本エフ・セキュア ( Tel 045 ー 440 ー つスイッチ Apresia で構成。社内 LAN イ耐各は、 F-Secureå߯コントローラが 6610 ) は、言正機育旨寸きのスイッチを使用 に接続しようとするクライアント端末を 200 万円 ( クライアント数無制限 ) 、同アン した芟 LAN システムを開発した。 Apresia 経由で F-Secure 検疫コントロ チウイルスクライアントセキュリティが 1 認証ソフトウェア「 F-Secureåft4Æコン ーラにアクセスさせ、ウイルス定義ファイ ライセンスあたり 9 , 200 円 ( 1 ~ 24 ユーザ トローラ」、クライアント端末にインスト ルのチェックと更新をおこなう。これによ 一時 ) 。 Apresia カ捌途必要。 ールするウイルス対策ソフトウェア「同 り、最新のウイルス定義ファイルを適用し たクライアント端末だけに接続を許可する アンチウイルスクライアントセキュリテ ィ」と、日立泉のユーザー言正機能をも システムを構築できる。 ユーサー認証 V し AN 機寸きレイヤ 3 スイッチ 0S6800-48 日本アルカテル ( Tel 03-5715-6300 ) までスタック可能な「 OS6800 ー 24 」「同 (SFP) x 24 ( 10 / 100 / 1000Base T は、ユーザー正 VLAN 機能付きレイヤ 3 48 」と、 mini-GBIC を備えた「同 U24 」 スイッチ、、 OmniSwitch 6800 " シリー との共用ポート X4 ) 、 10Gbps Ether- がある。 OS6800 ー 24 / 同 48 は、 I/F が ズの販売を開始した。 net モジュール・スロット、シリアル ( コ 10 / 100 / 1000Base Tx20 / 44 、 10 / 100 / 1000B e T と mini-GBIC(SFP) ンソール用 ) 。いずれも、対応ルーティン ューザーごとに異なる VLAN に孑膨ナけ 可能なマルチ VLAN 機能を備え、検疫 / 共用ポート x 4 、 10Gbps Ethernet モ グ・プロトコルは、 RIPv1/v2 、 OSPF 、 ジュール・スロット ( 同 48 のみ ) 、スタッ 侵入検知 / 資産管理システムと連携して、 OSPF-ECMP 、 VRRP 、 IGMPv1/ クポート X2 、シリアル ( コンソール用 ) 。 セキュリティ・ポリシーに適合しないク v2 、 DVMRP 、 PIM-SM 、 RDPO SN- ライアント PC を検疫 VLAN に隔離でき スタック接続により N 十 1 の冗長構成に MP 、 RADIUS/LDAP によるユーザ る。 40Gbps のスタックバスを備え、 8 台 対応。同 U24 は、 I/F が mini-GBIC ー管理、 syslog 、 QoS 、スパニングッリ UNIX MAGAZINE 2005.2 MLCATEL 15