指定 - みる会図書館

1. UNIX MAGAZINE 2005年4月号

警告メッセージ以下のレベルのメッセーたい場合には、次のように言します。 ftp . = く warning ジだけを処理しこれにより、レベルが warning 以下のメッセージがこのセレクタにマッチするようになります。レベルの比較フラグを指定せず、たんにドットでファシリティとレベルを区切った場合には、比較フラグとして = > が指定されたとみなします。そのため、基本的な記法を使っている場合には、指定したレベル以上のメッセージとマッチしていたわけです。これらの比較フラグを用いることで、、、より大きい " 、、以上 " 、、等しい " 、、以下 " 、、より小さい " の 5 通りの条件を表せます。しかし、、、等しくない " という条件は表現できません。もちろん、、、より大きい " と、、より小さい " を指定した 2 つのセレクタをセミコロンでつなげれば同じ意未になこはもっと簡単に書きたいところです。そのりますが、ために利用できるのが、、否定 " を表す ! です。レベルの指定では、比較フラグの直前に ! を付けることができ、この場合、比較フラグの未はまったく逆になります。つまり、ファシリティ . ! = レベル " とすれば、そのファシリティの指定したレベル以外のすべてのメッセージとマッチするセレクタとなります。プログラム指定 syslogd がメッセージを処理する際には、ファシリティを利用してシステムのどの部分から送られてきたメッセージかを判断します。しかし、ファシリティに使える値の数は限られており、場合によっては管理者が思い描くような分類での指定ができないこともあるでしよう。このようなときに便利なのが、、プログラム指定 " と呼ばれる機能です。この機能を使うと、同じファシリティを利用しているプログラム群から生成されるメッセージのなかで、特定のプログラムが生成したメッセージを特別扱いすることができます。まずは例からみていきましよう。次のように記述すると、 sshd プログラムが生成したすべてのメッセージを / var /log/sshd. log ファイルに保存することができます。 ! sshd UNIX MAGAZINE 2005.4 プログラミング・テクニック : /var/log/sshd. 10g ジを sftp.log ファイルに保存する言定です。を sshd. 10g ファイルに、 sftp に関するすべてのメッセーとなります。次の例は、 sshd に関するすべてのメッセージそこから先は新たに指定したプログラムについてのみ有効定を記述するところで再度プログラム指定をおこなえば、に書かれていても有効なので、別のプログラムに関する指するのでしようか。プログラム指定は設疋ファイルのどこそれでは、別のプログラムについて言したい場合はどう分は指定されたプログラムについてのみ有効となります。プログラム指定を利用すると、設定ファイルの以後の部と共有する場合のために残されていると考えてください。 # で始まる形式は、あくまで設疋ファイルを古いシステムとになるので、前者の形式を使うことカ材隹奨されています。ただし、今後は # で始まる行はコメントとして扱われるこに、直後に ! カく場合はプログラム指定として扱われます。コメントとして扱われますが、現状では後方互換性のため言当しなければなりません。後者の # で始まる行は通常はという形式も認められています。いずれも行の先頭から # ! プログラム名ために、という形式に加え、以前の設疋ファイルとの互換性を保つ ! プログラム名プログラム指定は、この例のような、みカ寸象となるわけです。実際には sshd プログラムにより発行されたメッセージのがって、 2 行目ですべてのメッセージを指定していますが、指定されたプログラムについてのみ肩効になります。したラム指定がおこなわれると、これ以降に言当された内容は、この例の 1 行目がプログラム指定にあたります。プログ ! sshd ! sftp /var/log/sshd. 10g /var/log/sftp ・ 10g このように、新たなプログラム指定により別のプログラムについてもすることができます。しかし、場合によっては特定のプログラムを指定しないた態に戻したいこともあるでしよう。このような場合には、プログラム名として * を使い、、、 ! * " と指定します。これは、ファシリティ 73

2. UNIX MAGAZINE 2005年4月号

図 7 ロポットのモーロンヨ / 実際のロポットの動き時間 0 秒ロロロポーズデータ ( 初期ポーズ ) 116 見ると、・麦いろいろなオプションを提供する予定らしいので、向への屈曲、上腕の回転である。スピーシーズの web サイトをか含まれているのが分かる。具体的には、つま先、胴体の前後方ロポットの 3D 画像をよく見ると、実在しない関節がいくつなくてもポーズやモーションは作れることになる。やモーションは作成できる。つまり、ロポットカ黝いていは、画面上の動きはロポットには反映されないが、ポーズ [ 接続 ] ボタンを押していない状態 ( オフライン状態 ) でトの IP アドレスを指定しておく必要がある ) 。ンライン ) 大態で使うには、、、環境設疋 " ダイアログでロボッかすたびにロポットの該当する関節カ働くようになる ( オ、、同期モード " をチェックしておくと、画面上で各関節を動送され、ロポットカその姿勢になるように動作する。また、すると、現在のポーズ ()D 画像のポーズ ) がロポットに転ライン状態 ) 。そして、 [ ポーズを転送 ] ボタンをクリックポット側のプロセッサ・ユニットと通信を開始する ( オンも使うことができる。 [ 接続 ] ボタンをクリックすると、ロモーション・エデイタは、オンラインでもオフラインで関節の数だけ並んでいるという単純な形式である。では詳細は公開されていない ) が 1 行に言杢され、それが 5 秒 UN 工 X MAGAZINE 2005 . 4 ーズ情報を配置するかたちでモーションを作っていく。のモーション・エデイタは、時間軸上の適当なところにポョンは、時間軸に沿ったロポットの姿勢の変化である。のポーズの組合せというかたちで実現されている。モーシ Speecys ロボットキットの環境では、モーションは複数 ( モーション ) を作成することができる。ン・エデイタでは、その名が示すとおり、ロポットの動きン (Motion)" はロポットの一連の動きを指す。モーショよって得られる静止状態の姿勢である。一方、、、モーショトの、、ポーズ (Pose)" 、すなわち、各関節の角度の指定にモーション・エデイタの 3D 画面で作成するのはロボッポーズとモーションない。デイタでは、ティーチングによるポーズ定義はサポートされていポーズデータとする方法である。ただし、現在のモーション・エ勢をとらせ、そのときの各関節の状態をコンピュータカ第売み取り、方法もある。これは、ロポットの各部を人間カ働かして適当な姿ロポットのポーズデータの作成には、、ティーチング " というもちろん、現状ではこれらの関節の操作はできない。れらを柔軟に指定できるような拡張を考えているのだろう。ポーズテータ ( 5 秒後のポーズ )

3. UNIX MAGAZINE 2005年4月号

図 1 Junk Mail Controls の言画面 11 期市ト”引 ways ect ⅱま mail. に it con ols 6 8 『℃ om messages ⅵ dentify せ浦 se are •os い如レ′ k A ま if せ愴 message 記ⅲ f ま REiL Settngs Ad 叩をⅳ 0 FiIter %ite L 地曰ま m k れ ss es ま ma ⅱ if せ旧 s 鼾「叫記女 ess E] ”第 om rnessaees t m 『 d to i ′ま mail 〇 - よ『ド fo 旧 s ( れ is. na のロ協 m 鹵まー ness 0 蜘「物団印 1 お庁 k n 溶 ss よ聶、・〇トわ仕に m 扣を気ま " r 〇 Delete を m 曰Ⅷ 1 displayng HTML れ肥 ss ” marked え′ま . syiitize 1 HTML Loggng VEW ⅵ 0 侊曜 e まれ渇ⅱ log をⅳ . 連載 /UNIX Communication Notes 202 ォルダに入れたメールも、あとで取り出せるようにしておくほうが安心である。 SPAM をうまく処理できたとしても、単純なミスで重要なメールを破棄してしまったら元も子もない。このような処理の設定は、慎重におこなうのが基本である。、 Adaptive Filter ( 学習フィルタ ) " タブでは、 SPAM フイルタの肩効 / 無効か第定できる。また、学習した SPAM 判定用のデータをリセットすることも可能である。 Spam. A. ssassin メールサーバー側で設定する SPAM フィルタとして有名なのが SpamAssassin である。さきほど述べたようにこれも SPAM の判別に Bayesian フィルタを用いている。 SpamAssassin は独立したフィルタであり、メールサーバー側での運用を前提として開発されたものである。このため、メールリーダーに統合された SPAM フィルタとは異なり、ユーザーカ斗夏数のメールリーダーを使い分けているような竟でも、 SPAM フィルタの学習効果に差が生じ、 Settings ( 設疋 ) " タブの、、 White Lists ( ホワイトリスないという利点がある。ト ) " では、無条件に SPAM と判定しないメールを送信たとえば、 IMAP サーバーを利用していると、複数のシ者アドレスによって指定する。そのユーザーが使っていステムから同じメールドロップにアクセスしてメールを読る、、 Personal Address Book ( 個人用アドレス帳 ) " に登むことがよくある ( 私も、すべてのメールを 1 台の IMAP 録されているメールアドレスからのメールは、原則としてサーバーに集め、オフィスや外出先から、それそれ異なるシ SPAM とはみなさない。ステムを使って同じメールドロップにアクセスしている ) 。、 Handling ( フィルタの処理 ) " では、 SPAM と判定されこの場合、メールリーダーに組み込まれた SPAM フィルたメールをどう処理するかを指定する。はじめのうちは、タの学習の度合いはシステムごとに違うので、挙動が一定 SPAM と判定されたメールを特定のフォルダに移動するしないという問題がある。とくに、購入直後のシステムに処理は無効にしておき、しばらく使って処理に納得できたインストールしたばかりのメールリーダーを使う場合、から言定を変更すればよいだろう。 Thunderbird が SPAM なり悲惨な状況になる。とみなしたメールを、たとえば、、 Junk ( 迷惑メール ) " とこのような問題を解決するには、サーバー側に SPAM いうフォルダに移動させるように設疋しておけば、誤ってフィルタを導入し、そこで処理をおこなうほうがよい。 SPAM と判断したメールを普通のフォルダに戻すこともれを実現してくれるのが SpamAssassin である。可能になる。 SPAM フィルタが、、 SPAM ではない " とみなしたメールをユーザーが SPAM と判断したとき、どのような処理をおこなうかも指定できる。これも、 Junk フォルダなどに移動させるように設定するのカましい。人間が手で操作する以上、どんなに注意していても間違う可能性はある ( 私自身、 SPAM ではないメールを SPAM に分類してしまったことカ舸回もある ) 。したがって、いったん Junk フ回区 Junk MaiI C00 れ引 s P son 引 Ad 市 0 80 巨丕コ days om folder 亠ー込物ま Mai は特徴 SpamAssassin は、 Bayesian フィルタ以外に、次のような手法を用いて SPAM の判定精度を高めている。・メールヘッダのチェック詢解析・ white list/black list の設疋・ SPAM データベース (DCC 、 pyzor 、 Razor2 など ) ニ = ロ 37 UNIX MAGAZINE 2005.4

4. UNIX MAGAZINE 2005年4月号

やレベルの指定の場合と同様に、、すべて " のプログラムを表します。つまり、プログラム名として * を指定すると、以降はすべてのプログラムに関する言古が続くことを意味しますから、プログラム指定を無効にすることになるわけです。プログラム指定で複数のプログラムを指定することもできます。これには、プログラム名を指定する部分で対象のプログラム名をカンマで区切って並べます。このようにすると、以降の言は指定したすべてのプログラムについて効になります。プログラム指定を使ってあるプログラムに関するメッセージの処理方法を指定したあとで、それ以外のプログラムに関する指定を言杢したい場合も多いでしよう。ここまでに紹介した記法でこれを実現するには、メッセージを出力する可能性のあるすべてのプログラムを列挙しなければならず、現実的ではありません。もちろん、このような処理をおこなうための記法も用意されています。プログラム指定では、 ! の後ろに十やーを指定することができます。十を指定した場合は普通のプログラム指定と変わるところはありませんが、一を指定するとプログラム指定の未がまったく変わります。 ! ープログラム名とした場合、以降の記述は指定されたプログラム以外のすべてのプログラムからのメッセージが対象となります。の機能を使えば、あるプログラムに関する設定と、それ以外に関する定を簡単に分けることができます。 ! sshd /var/log/sshd. 10g !—sshd /var/log/all ・ 10g この設定では、 sshd から送られたメッセージはすべて sshd.log にオ帑内されます。そして、 syslogd に渡されたすべてのメッセージは all. log に本内されますが、 sshd から送られたメッセージだけはこのファイルには書き込まれません。これまでの説明では、プログラム名は実際にメッセージを出力したプログラムを表していましたが、例外として、カーネルが出力するメッセージだけは特別な処理がおこなわれます。具体的には、カーネルが出力するメッセージの先頭が、指定されたプログラム名と一致する場合にも、以降 74 の設定が効になります。この機能は、プログラムが異常終了した場合などに、カーネルが出力するメッセージをプログラムに関するログとして扱うために用意されているのでしよう。プログラム指定では以降の言を適用するプログラムを選択できましたが、ホスト指定ではメッセージを生成したホストを選べます。ログの一元管理などのためにあるマシンにログを集めた場合、すべてのマシンから出力されたメッセージをそのまま 1 つのファイルに保存したのでは、さまざまなホストが出力したメッセージが入り交じってしまい、ログがひどく読みにくくなってしまうこともあるでしよう。ホスト指定を使えば、メッセージを出力したホストを限定して設定を適用できるため、ホストごとに出力ファイルを変更するなど、柔軟な対応がおこなえるようになります。行頭が十かーで始まる行がホスト指定を表します。十記号を使って、ホスト指定 + ホスト名とした場合、以降の言杢は指定したホストから送られるメッセージについてのみ有効になります。一方、一記号を使って、ーホスト名とした場合、以降の言は指定したホスト以外のホストから送られるメッセージについてのみ有効になります。ホスト指定でも後方互換性のために、十とー記号の前に # を置くことができます。また、プログラム指定と同様、複数のホストを指定したい場合にはカンマで区切って並べ、ホスト指定を無効にしたい場合にはホストとして * を指定することができます。ホスト指定では、ホスト名として、、@" カ坏リ用できます。これは、 syslogd を実行しているホストを表します。もちろんホスト名をそのまま指定してもかまいませんが、 @ を使うことで、複数のマシン間で設定ファイルを共有できるようになります。 UNIX MAGAZ 工 NE 2005.4

5. UNIX MAGAZINE 2005年4月号

ることができます。ルのものを除いてすべてログファイルに記録しつつ、重要なメッセージはログインしているユーザーの端末に表示す @loghost ることが叮能です。 * と複数の指定を組み合わせて使う際には、管理者の意次は、複数のセレクタに対して同じアクションを実行し図とは異なる解釈がされることがあるので注意が必要です。たい場合を考えてみましよう。もちろん、セレクタごとに syslog. conf のオンライン・マニュアルにも例が出ていま同じアクションを指定した行を言古する方法もありますが、複数のセレクタをまとめて指定できる略記法を使うほうが簡単です。セレクタを指定する際に複数のセレクタを mail . crit ; * . err ( セコロン ) で区切ってすると、受け取ったメッセーと指定したとします。この場合、管理者は電子メールに関ジカそのいずれかにマッチした場合にアクションが実行さしては crit ( 危険なエラーが発生したとき ) 以上を、ほかのれます。たとえば、 auth と authpriv の両方について、プログラムに関しては err ( 工ラーが発生したとき ) 以上を info 以上のすべてのメッセージをファイルに記録したけれ指定したいわけです。しかし実際には、後者の指定に電子ば、次のように言します。メール関連の通常のエラーについてのメッセージがマッチ /var/log/auth ・ 10g auth. infO ; authpriv. 1 Ⅱ fO するため、けっきよく、後者だけを指定したのと同じ ( すべてのファシリティに関してエラー以上のメッセージを指定この場合、 auth. info にマッチするメッセージと、 auth- した ) ことになってしまいます。意図どおりに動作させる priv. info にマッチするメッセージの両方が auth. log ファには、 * の部分に mail 以外のすべてのファシリティを記イルに言泉されます。述しなければなりません 1 。この例では、 2 つのセレクタでファシリティの部分は異なりますが、レベルはどちらも info で共通しています。のような場合の略記法として、複数のファシリティを ( カンマ ) で区切って並べると、それらに対して 1 つのレベルを指定できます。したがって、上の例は次のように言杢こまでの説明では、ファシリティに対してあるレベルしてもまったく同じ前末になります。を指定すると、そのレベル以上のすべてのレベルのメッセージがマッチすると述べました。これは、ファシリティと /var/log/auth ・ 10g auth , authpriv. inf0 レベルをドットで区切る記法では正しいのですが、この 2 この場合にも auth. info にマッチするメッセージと、 au ーつを異なる方法で組み合わせることもできます。 thpriv. info にマッチするメッセージの両方が auth. log フレベルの指定では、レベルの比較フラグカリ用できます。ァイルに言彖されます。 = > ( または比較フラグには < 、 < = ( または = < ) 、複数の指定とはやや異なりますが、ファシリテイやレベ > = ) 、 > があり、渡されたメッセージのレベルとセレクタルの指定には、、すべて " を意味する * カ駛えます。ファシに記述されたレベルの関係を調べ、指定されたフラグの条リティとして * を指定すればすべてのファシリティとマッ件を満たしている場合にマッチしたとみなします。このとチし、レベルとして * を指定すれば一番低いレベルの de- き、メッセージのレベルを左辺に、セレクタのレベルを右辺 bug を指定した場合と同様に、すべてのレベルのメッセーに置いて条件を満たすかをチェックします。たとえば、 ftp ジとマッチします。これを利用して次のように言当しておに関するエラーメッセージだけを処理したい場合には、セけば、 syslogd に渡されるすべてのメッセージをファイルレクタを次のように言します。に言彖することができます。 ftp.=err /var/log/all .10g 1 これには、さきほと韶介した複数のファシリティをまとめて指定する去カ硬また、次のようにすれば、このホストではログの処理をえます。また、杢のプログラム指定をうまく利用すると、同様の効果を比おこなわず、 loghost というホスト上でログを一元管理す車効純な記述で知見できます。ミ、ゞレベル指定の詳細 72 UNIX MAGAZINE 2005.4

6. UNIX MAGAZINE 2005年4月号

プログラム指定とホスト指定プログラム指定とホスト指定は独立に機能します。次の場所 4 + hostY 場所 3 !progB 場所 2 + hostX 場所 1 ! progA 例を見てください。 UNIX MAGAZINE 2005.4 厄 gge 「コマンドスクリプトからもメッセージが発行できるようにしておきらメッセージを送れません。せつかくですから、シェル・を利用していたので、これだけではシェル・スクリプトかを発行する方法を紹介しました。そこではライプラリ関数ところで、前回はプログラム中から syslog にメッセージカべられるのです。が -- - ・致しているかどうかを検査してから、セレクタの条件にマッチしているかどうかを判断する場合には、まず属性はホスト属性の値を変更します。実際にメッセージカ霈ログラム指定はプログラム属性の値を変更し、ホスト指定付いていると考えれば、分かりやすいかもしれません。プれの行には、、プログラム " と、、ホスト " という 2 つの属性が定には影響しません。設疋ファイルに書かれているそれぞんら影響はありませんし、逆に、プログラム指定もホスト指ホスト指定をしたからといって、プログラム指定にはなセージ場所 4 : ホスト hostY のプログラム progB からのメッセージ場所 3 : ホスト hostX のプログラム progB からのメッッセージ場所 2 : ホスト hostX のプログラム progA からのメッセージ場所 1 : すべてのホストのプログラム progA からのメ指定は次のようなメッセージに対して効となります。このように言当されていた場合、場所 1 ~ 4 に書かれたプログラミング・テクニック : ましよう。前回紹介したライプラリ関数を使って自分でプログラムを作成してもよいのですが、システムにはそのためのコマンドとして logger が用意されています。 logger は syslog にメッセージを送るためのコマンドです。使い方はいたって簡単で、 logger コマンドの引数に送信したいメッセージを指定するだけです。たんにメッセージのみを指定した場合は、ファシリティが user 、レベルが notice のメッセージを送ります。ファシリテイやレベルを指定するには一 p オプションを使います。 -p オプションの引数として、、ファシリティ . レベル " という文字列を指定すると、指定したファシリテイやレベルを用いてメッセージが送られます。ファシリテイやレベルには、 syslog. conf ファイルで使われているような文字列を指定できます。ですから、 logger ¯p auth. warning lnvalid password などとすれば、 auth ファシリティの warning レベルのメッセージとして、、、 lnvalid password" という文字列を送ることができます。これ以外には、メッセージのなかにプロセス ID を含める -i オプション、メッセージを送信するだけでなく標準ェラー出力にも出力する一 s オプション、コマンドを実行したホストではなく別のホストへメッセージを送信するための —h オプション、メッセージの内容をファイルから取得するための一 f オプションなどが用意されています。今回は、おもに syslogd デーモンの動作やその設疋について説明し、シェル・プログラムから syslog システムを利用するための logger コマンドも紹介しました。これでシステムの動作はひととおり説明したので、いよいよ次回からはソースコードをみていくことにしましよう。 syslogd には、送られたメッセージを電子メールで送イ言するという機能はありません。現在のところ、これを実現するにはコマンドを実行する機能を使うことになります。しかし、ソースコードを理解すれば拡張するのも簡単です。電子メール機能を拡張してみるのもおもしろいかもしれませ ☆ ん。 75 ( たじみ・ひさかす )

7. UNIX MAGAZINE 2005年4月号

ん。つまり、ファシリティには kern 、 console 、 auth 、 au- thpriv 、 security 、 ftp 、 lpr 、 mail 、 news 、 cron 、 uucp 、 syslog 、 daemon 、 user 、 local()æ 10Ca17 のいずれかを指定します。レベルのほうも、ライプラリ関数の引数として用いる記号定数 (LOG-EMERG など ) の一以降の文字列を指定します。こちらも大文字と小文字は区別されません。つまり、レベルとしては emerg 、 alert 、 crit 、 err 、 warning 、 notice 、 info 、 debug のいずれかを指定します。レベルの値は上記の順番で重要度カ皜く、もっとも高いのが emerg 、もっとも低いのが debug となります。レベルの順番は重要です。たとえば、セレクタとして、、 ftp. warning" を指定した場合、 FTP に関するメッセージのなかの警告メッセージを未するのではなく、 warning 以上のレベルのメッセージ ( つまり warning 、 err 、 crit 、 alert 、 emerg の 5 種類 ) を指定したことになります。アクション部では、セレクタ部で設定したメッセージの処理方法を指定します。次のような記法羽吏えます。 / で始まるパス名指定したファイルにメッセージを追加する。 , で区切られたユーザーのリスト指定されたユーザーのうちログインしているユーザー端末にメッセージを表示する。ログインしているすべてのユーザーの端末にメッセーを表示する。・ @ホスト名推定したホストにメッセージを中幻医する。戸マンド行のン標準入力としてメッセージを渡しながら、 sh を使ってコマンド行を実行する。コマンド行を使うときに注意が必要なのは、コマンドの標準出力と標準ェラー出力は /dev/null に割り当てられているため、コマンドのなかで明示的に出力先を指定しないと何も出力されない点です。また、ファイルに出力する場合などは、その出力のバッファリングにも注意しなければなりません。バッファリングにより出力に時間がかかる場合もありますし、プロセスが異常終了したときに出力がおこなわれない可能性もあります。このような場合には、で UNIX MAGAZINE 2005 . 4 プログラミング・テクニック : きればバッファリングをおこなわない入出力を使うほうがよいでしよう。コマンドはメッセージごとに起動されるわけではありません。いったんメッセージを処理するために syslogd がコマンドを起動すると、タイムアウト時間 ( 60 秒 ) を過ぎるかコマンドが終了しないかぎり、次のメッセージも同じプロセスに渡されます。つまり、メッセージが頻繁に発生している場合には、 1 度のコマンド起動で複数のメッセージを処理しなければならなくなることがあります。以上が syslog. conf の基本的な記法ですが、複数の処理対象をまとめて諮することもできます。まず、あるセレクタに複数のアクションを適用したい場合について考えてみましよう。これは、アクション部を複数言当できれば実現可能です。しかし、アクションとしてコマンド行を指定する場合は行末までがアクションの内容として扱われるため、 1 行に複数のアクションを言古することはできません。複数のアクションを指定したい場合には、それぞれを別の行に言当します。つまり、 syslog ・ conf ファイルには同じセレクタをもつ行カ夏数存在することになります。ーヨ殳に、 syslogd は受け取ったメッセージにマッチするセレクタカ数ある場合には、それらに指定されているすべての処理を実行します。セレクタが同一の 2 つのアクションをそれぞれ別の行に言杢した場合、どちらかにマッチするメッセージはかならずもう一方にもマッチしますから、両方のアクションが実行されることになります。これは同一のセレクタが指定された場合にかぎりません。セレクタによっては、異なるセレクタであっても同ーのメッセージにマッチする場合があります。たとえば、以下のようにレベルとして info を指定したセレクタと emerg を指定したセレクタがあるとすると、 emerg のほうにマッチするメッセージはかならず info のほうにもマッチすることになります。この場合には、両方のセレクタに割り当てられているアクションが実行されます。複数の処理対象の指定 kern . info kern. emerg これにより、 /var/log/kernel. 10g カーネルからのメッセージは debug レベ 71

8. UNIX MAGAZINE 2005年4月号

連載 / ネットワークとセキュリティものがあります。なお、オプションが指定されない場合にです。おもなコマンドライン・オプションには次のような sniffdet オプション対象 IP アドレス / ホスト名す。 -c オプション —i ethO テストバケットを送信するインターフェイスを指定しま -i オプションは言定ファイルの値カ駛われます。ー I オプション —c /usr/local/etc/sniffdet . conf 場合は /etc/sniffdet. conf カ坏リ用されます 5 設疋ファイルのパス名を指定します。とくに指定しないめ、このオプションで明示的にパス名を推定しないかぎり、つねに /etc/ 5 ソースコードで設疋ファイルのパス名がハード・コーディングされているた Sniffdet を実行する際の必顎オプションです。ト ) 、 latency (Latency テスト ) です。 -t オプションは、 (DNS テスト ) 、 arp (ARP テスト ) 、 icmp (ICMP テス利用する調査手法を指定します。指定できる値は、 dns -t オプションファイルの UID オプション、 GID オプションと同等です。 Sniffdet を実行する UID と GID を指定します。設定 -u オプション、 -g オプション gin オプションと同等です。利用するプラグインを指定します。設定ファイルの plu - -p オプションアドレスを別途指定する必要はありません。なお、 -f オプションを指定する場合には、検知対象の IP スト数は 1 , 024 ホストです。ストを一度に調査したい場合に便利です。対応しているホが 1 行ごとに言古杢されたファイルを指定します。複数のホスニッファーの検知対象の IP アドレスまたはホスト名ー f オプションー 1 sniffdet .10g 指定します。プログラムの動作に関する出力を保存するファイル名を UNIX MAGAZINE 2005.4 sniffdet. conf を読み込もうとします。 —t dns ー h オプション利用方法を表示します。ほかのオプションとは併用できません。 Sniffdet の各調査手法について Sniffdet は dns 、 arp 、 icmp 、 latency という 4 オ重類の調査手法に対応しています。ここでは、各手法について説明します。 DNS テスト DNS テストは、多くのスニッファーがトラフィック中の IP アドレスの逆引きをおこなう動作をもとに、スニッファーの存在を推測する調査手法です。この手法では、実際には同一セグメント上に存在しない MAC アドレスと IP アドレス宛のトラフィックを発生させます。もし、スニッファーが IP アドレスを逆引きしていれば、トラフィックに含まれる実在しないはずの IP アドレスを解決するためのバケットが発生するので、スニッファーの存在を検知できます ( 図 6 ) 。一方、タイムアウトに設定された時間だけ待っても IP アドレスの逆引きがおこなわれない場合には、スニッファーか存在しないものとして扱います。この手法のメリットとしてはネットワークや検知対象ホストに与える負荷が少ないこと、デメリットとしてはスニッファーが IP アドレスの逆引きをおこなっていない場合には、正しく検知できないことが挙げられます。また、インテリジェントなスイッチングハプの管理用 IP アドレスにテストをおこなったところ、言盟衾知が発生する場合がありました。 ARP テスト ARP テストは、 NIC が promiscuous モードになっている可能性のあるホストに ARP 要求を送信し、その応答をもとにリモートから NIC の状態を推測する手法です。この手法では、架空の MAC アドレス ( 0 : 0 : 0 : 0 : 0 : 1 ) から架空のユニキャスト MAC アドレス宛に、テスト対象の IP アドレスを含む ARP 要求を j 型言した際、架空の MAC アドレス宛に ARP 応があれば、スニッファーか動作し 55

9. UNIX MAGAZINE 2005年4月号

ー 0 連載 / v6 の実装図 1 有交加 ) 言綻 1526 1527 1528 1529 1530 1531 1532 1533 1534 1535 1536 1537 1538 1519 1520 1521 1522 1523 1524 if (coa_lifetime く mpfx—>mpfx—vltime) { mbu—>mbu_lifetime coa_lifetime; } else { mbu—>mbu—lifetime = mpfx—>mpfx—vltime ; time_second + mbu—>mbu_lifetime; mbu—>mbu—expire mbu—>mbu—lifetime = mip6ct1—bu-maxIifetime ; mbu—>mbu—lifetime > mip6ctI—bu—max1ifetime) if (mip6ct1—bu—max1ifetime > 0 & & / * sanity check for overflow * / if (mbu—>mbu—expire く time—second) mbu— >mbu_ e xp ire 0x7fffffff; mbu—>mbu_refresh = mbu—>mbu_lifetime ; / * registration. * / mbu—>mbu_coa = *COa; mbu—>mbu—pri—fsm_state : MIP6_BU_PRI_FSM_STATE_IDLE ; ? MIP6_BU_PRI_FSM_STATE_WAITA (mbu—>mbu-flags & IP6MU-HOME) 1525 } 1 , 508 ~ 1 , 509 行目で、引数で推定されたフラグ情報と送信相手のアドレス情報を設定します。ホームアドレスは、 mpfx で指定されたプレフィックス情報の mpfx-haddr メンバー変数としてイ尉寺されているので、その値をコピーします ( 1 , 510 行目 ) 。 1 , 511 ~ 1 , 525 行目は気付アドレスと初期状態の設定です。気付アドレスは、移動ノードの現在位置によって異なる値が設定されます。移動ノードがホーム・ネットワークに接続していれば、作成される対応付け更新は登金年除のためのものとなります。登年除の場合、気付アドレスにはホームアドレスと同じアドレスを指定します。また、 mbu-pri-fsm-state は、ホーム登録 (IP6MU-HOME) フラグによって設定される値が異なります。ホーム登録フラグが指定されている場合は登金年除の応答待ちを未する MIP6-BU-PRI-FSM-STATE-WAITD が、ホーム登録でない場合は初期状態を示す MIP6-BU-PRI-FSM- STATE-IDLE が設定されます。移動ノードが出先ネットワークに接続している場合 ( 1 , 519 ~ 1 , 524 行目 ) は、引数で指定された気付アドレスを設定し、 mbu-pri-fsm- state として登録メッセージの応待ちを示す MIP6-BU- PRI-FSM-STATE-WAITA が指定されます。 1 , 526 ~ 1 , 538 行目 ( 図 1 ) では有効時間を設定します。 mpfx-vltime はホーム・プレフィックスの効時間です。ホーム・プレフィックスの有効時間よりも気付アドレスの有効時間が短ければ、気付アドレスの有時間カ対応付け更新の有効時間として誌定されます。そうでなければ、ホ UN 工 X MAGAZINE 2005.4 ーム・プレフィックス ( = ホームアドレス ) の有効時間が定されます。 1 , 531 ~ 1 , 533 行目で対応付け更新の有効時間の上限を設疋します。 mip6ctl-bu-maxlifetime は sysctl コマンドで設定可能なグローバル変数で、移動ノードが保持する対応付け更新の最大有効時間を指定します。一般に、アドレスの有効時間はかなり長いので ( 通常は周間程度 ) 、利用されなくなった対応付け更新の情報が長時間タイムアウトせずに残ることを避けるために上限を定します。 1 , 534 ~ 1 , 537 行目は有効時間が切れる時刻のオーバーフロー対策です。 mbu-expire は符 - 引寸き 32 ビット整数ですから、その最大値 0X7 仕仕仕 f を超えると負数になります。肩効時刻がオーバーフローした場合は、最大イ直である 0X7 仕仕肝を設定します。図 2 の 1 , 540 行目で、通し番号 (mbu-seqno) を乱数値で初期化します。 1 , 541 ~ 1 , 544 行目では、移動ノードが固定ノードに送信するクッキー値 (mbu-mobile-cookie) を乱数値で初期化します。 arc4random() が生成する乱数値は 4 バイト整数ですが、クッキー値は 8 バイト長なので、 2 回に分けて初期化しています。最後に、 1 , 545 行目でホーム・ネットワーク構造体へのポインタを格納します。 1 , 547 行目の mip6-bu-update- firewallstate() は、彳主復糸各確認を開始する牛の初期化です。この機能は別の機会に解説します。対応付け更新のリスト操作 mip6-bu 構造体は mip6-bu 」 ist として定義されているリスト構造体のエントリです。 KAME では、リスト操作のためのサービス関数を定義しています。 1552 static int 1553 mip6-bu—1ist-insert (bu_list , mbu) 61

10. UNIX MAGAZINE 2005年4月号

連載 / ネットワークとセキュリティ表 3 言手法ごとのオプションとデフォルトの言聢値 timeout 不少 ) tries 回 ) interval ( ミリ秒 ) fake-hwaddr 1000 20 1000 20 20 1000 dport s port fake-ipaddr 〇〇〇 10 icmptest 10 arptest dnstest 10 latencytest 300 〇 : 設定可能 x : 言不可ー : 該当譿項目なし * latencytest は、 TCP のバケットをフラッディングしながら ping を送信するため、言寸象は ping となる。 * * ソースコードにハード・コーディングされている。デフォルト値は、 fake_hwaddr が、 ()x 仕 , 0X00 , 0X33 , 0X67 , 0X12 , 0X45 " (src/lib/ latencytests. c の 286 行目 ) 、 fake-ipaddr が 200.185.15.96 ( 同 302 行目 ) 、 sport と dport が 23 番 ( 同 311 、 310 行目 ) 。に合わせ、 nobody などの Sniffdet を実行するユーザー tries オプションは利用できません。の UID の値に変更します。 interval オプションテスト用パケットを送信する間隔をミリ秒で指定しま $ id nobody uid=99(nob0dy) gid=99(nob0dy) groups=99(nob0dy) す。 latencytest では ping を j 言する間隔となります。この例では、 id コマンドで nobody の UID と GID を fake-hwaddr 、 fake-ipaddr オプション調べるといすれも 99 なので、それぞれの値を以下のようテスト用パケットの送信先となる架空の MAC アドレスに変更します。および IP アドレスを指定するオプションです。同一セグ UID = 99 ; メント内に実在しない MAC アドレスおよび IP アドレス GID = 99 ; を指定します。 iface オプション sport 、 dport オプションテストバケットを送信するインターフェイスを指定しまテスト用パケットが TCP の場合の送信元ポート番号、す。デフォルトの値は eth0 です。宛先ポート番号を指定するオプションです。テスト用のパ teth0" ・ iface ケットだということが分かるよう、通常は利用しないポーサンプルの設疋ファイルには、ほかに fake-hwaddr オト番号のほうがよいでしよう。プションと fake-ipaddr オプションがありますが、試した周査手法とオプションかぎりでは実際には動作しませんでした。各調査手法で指定できるオプションとデフォルトの設疋調査手法ごとのステートメント値は表 3 のとおりです。 Sniffdet では、 ICMP を利用した調査手法のパラメー plugins ステートメントタを設疋する、、 icmptest" 、 ARP を利用する、、 arptest" このステートメントからの設定変更に対応しているプラ DNS を利用する、、 dnstest" 、遅延をもとに調べる、、 laten- グインは、いまのところ XML プラグインのみです。 cytest" の、合計 4 種類の調査手法がサポートされていま XML プラグインでは、 xmlplugin-filename オプショす。ここでは、各調査手法に共通するパラメータを説明しンを使って出力ファイル名を指定できます。ます。 "xmloutput . xmlplugin-filename timeout オプションテストがタイムアウトするまでの時間を秒数で指定しま Sni 仕 det のコマンドライン・オプションす。大きな値を指定すると結果が得られるまでの時間が長 Sniffdet は、実在しない MAC アドレスを駆使してスくなります。ニッファーカ材家動しているホストを検知するため、同一セ tries オプショングメント上のホストのみを検知対象とすることができます。テスト用パケットを送信する回数を指定します。ただ Sniffdet の基本的な利用方法は、し、 latencytest ではバケットをフラッディングするため、〇〇 1500 * 54 UNIX MAGAZ 工 NE 2005 . 4