etc - みる会図書館

1. UNIX MAGAZINE 2005年6月号

図 4 シンポリック・リンクになっているファイルびメ列 [aobee]% ls ー 1 /etc/ifconfig. * lrwxr—xr-x 1 root wheel 31 NOV 4 21 : 57 ifconfig. mpc52fec0 ー > /var/etc/net/ifconfig ・ mpc52fec0 lrwxr—xr-x 1 て 00t wheel 25 Nov 10 15 : 26 ifconfig. ne0 ー > /var/etc/net/ifconfig. neO lrwxr—xr-x 1 て 00t wheel 25 Nov 4 22 : 35 ifconfig. wi0 ー > /var/etc/net/ifconfig. wi0 [aobee]% 更するために EditStart 、 EditEnd というスクリプトが用意されている。前者を実行するとファイルシステムが書込み可能になり、後者を実行すると読出し専用に戻る ( 図 3 ) 。ネットワーク日定などのパラメータ・ファイルについては、別の仕組みが用意されている。 /etc の下にある設定ファイルの一部 (ifconfig. * やホスト名を指定する myname など ) はシンボリック・リンクで、 /var/etc ディレクトリの下のファイルにリンクしている ( 図 4 ) 。 /var は、さきほと第見明したように、 RAM ディスクなので自由に書き換えられる。ただし、ここに置かれたファイルは物理的に保存されるわけではない。これらのファイルを修正したときは、変更後に sy Ⅱ cnv - ram コマンドを実行する。これを実行しないと、システムの停止時に変更内容力皸棄されてしまう。その名が示すとおり、 syncnvram ば不揮発性メモリとのあいだで同期をとるコマンドである。これもシェル・スクリプトで、 / var 以下にあるいくつかのファイルを tar コマンドでアーカイプし、 CF メモリの ( ファイルシステムではない ) パーティションに直接書き込む処理をおこなう。これにより、 / var 以下の必要なファイルが保存される。つまり、 CF メモリの一部の領域をシステム・パラメータ設定用のイ寸軍発性メモリとして使っているのである。もちろん、システムの起動時には、これを読み出さなければならない。システム起動時の初期段階で RAM ディスクを作成してマウントしたあと、 CF メモリのこのパーテイション上の tar ファイルから / var にこれらのファイルを書き戻す。そして、初期化スクリプトがこれらのファイルを参し、ネットワーク設疋をおこなっている。このような処理を実現するため、 RPU-IOO のシステム初期化スクリプトの構成は通常の NetBSD とはやや異なっている ( 図 5 ) 。 syncnvram コマンドには、 CF メモリ上の不揮発性メモリ領域の初期化処理をおこなう機能もある。これに使われるのが、 /mntetc 以下の内容である。 syncnvram コマ 158 図 5 ネ用ヒファイルの構成 /etc/rc 」 oc /etc/bottomhalf 各種初期化ファイル /etc/tophalf RAM ティスクの準備 / va 「 / etc 中のファイルの準備 Ne 旧 SD の一般的な初期化処理システムの設定やテーモンの起動などロポット用ハードウェアの初期化一部のロポット用プロセスの起動ロポット用プログラムの起動ンドにオプションを指定して初期化を実行すると、 CF メモリには /mntetc 以下の内容力き込まれる。これ以降、起動時にはこの内容に従ってシステムが / var 以下にセットアップされる。つまり、 / m ⅲ etc 以下には出荷時の言定カ呆存されていることになる。こで、ファイルの内容変更についてまとめておこう。 RPU-IOO では、変更するファイルがファイルシステム上でどのように扱われているかによって操作手川頁カ畯わる。読出し専用に戻す。モードで再マウントし、変更後に EditEnd コマンドで Start コマンドを使ってファイルシステムを書込み可能・リンクしていない通常ファイルの場合、変更前に Edit- を CF メモリに保存しなければならない。できる。ただし、編集後は syncnvram コマンドで変更 / var 以下にリンクしているファイルの場合、普通に編集 UNIX MAGAZ 工 NE 2005.6 にエラーで止まってしまう ( シャットダウンはおこなわれ shutdown コマンドも用意されているが、 wall がないためれば問題はない ( 再起動時には読出し専用に戻る ) 。なお、ん、 halt コマンドや reboot コマンドを使って停止させァイルシステムに障害が発生する可能性がある。もちろ後者の場合、読出し専用に戻さずに電源を切ると、フ

2. UNIX MAGAZINE 2005年6月号

連載 /Red Hat Linux のツールたち図 1 ATOK のインストール (SUSE92) # ls /media/cdrom suse : "/etc/opt/gnome/gtk—2. O/gtk. immodules" will be changed. DO you want to install " 工工工 MF " ? (Yes/no/abort)yes "ATOK for Linux" ()r "ATOK X for Linux") will be once uninstalled . ? (yes/no)yes 工 f you dO not accept the terms Of the license agreement ,P1ease select 'INO" If you accept the terms of the license agreement ,P1ease select "Yes" 111 accordance with the terms Of such license . This software is furnished under an end user agreement and may be used or copied on1y suse : ~ # /media/cdrom/bin/setupatok TRANS. TBL bin doc install_guide . pdf src 1 : iiimf—protocol—lib Preparing ・ l:iiimf—csconv Preparing ・ A starting script "llim" will be generated. "/etc/opt/gnome/gtk-2. O/gtk. immodules" will be changed. 工工 im Preparing ・ 1 : atokx 0 : off 1 : off 2 : on 3 : 0 Ⅱ 4 : off 5 : on 6 : off A starting script "at0kx2" will be generated. atokx2 0 : off 1 : off 2 : on 3 : on 4 : of f 5 : on 6 : off lnstallation has been completed. suse : ~ # ロ図 2 ATOK と IIIMF サーヒスの走カ (SUSE92) suse:¯ # Starting Starting /etc/init . d/llim start serVICe IIim daemon I/O warning : failed to load external entity service atokx2 daemon /etc/init . d/at0kx2 start done "/etc/iiim/le . xmI . conf done cdrom にマウントされるので、スーパーユーザーの権限でインストール・スクリプト /media/cdrom/bin/setup- atok を実行します ( 図 1 。下線部はユーザーによる入力 ) 。初めに ATOK のライセンス条項への同意を求められ、続いて IIIMF をインストールするかと訊かれます。いずれも、、 yes " と答えると、 IIIMF と ATOK パッケージのインストール、それぞれのサービス起動スクリプトのコピーと登録が自動的におこなわれます。なお、 ATOK のインストール・ガイド (/media/cdrom /install-guide. pdf) には、、、 OS をフェイルセーフ・モードで起動したうえでインストールしなさい " と書かれています。 GRUB の起動メニューである /boot/grub/menu . lst を見ると分かるように、フェイルセーフ・モードでは OS をランレベル 3 で起動しますが、私が試したかぎりでは通常のモード ( ランレベル 5 ) でも問題はありませんで 0 UN 工 X MAGAZINE 2005 . 6 こで、 /etc/XII/xim3 に ATOK 用のパッチを適用します。 SUSE92 の場合は、 ATOK に付属の / opt / at0kx2/sample/client-patch/client-patch. suse92 を実行するだけです ( 図 3 ) 。上記のガイドには、インストール後に OS を再起動せよとも書かれていますが、図 2 のようにコマンド行からサービス起動スクリプトを実行すれば再起動する必要はありません。なお、 IIIMF のサービスを起動するとき、 /etc/iiim/le. xml.conf の読込みに失敗した " という意味の警告メッセージが表示されます。しかし、サポート情報 4 によれは無視しても問題はないようです。これでインストール作業は完了です。あとは、 X を再起 3 X の走川に実行されるシェル・スクリプトで、入力メソッドのセットアップをおこないます。 4 http://faq.justsystem.co.jp/faq/1003/app/jsfaq ・ jsp ? 28674 十 0250 145

3. UNIX MAGAZINE 2005年6月号

らの方法は ACPI カーネルにも適用できますが、カクカクの度合いは最初の 2 つの方法よりもひどくなるようです。根本的には、 VMware Workstation が SpeedStep に対応してくれるのを待っしかないでしよう。走カ時には LD-LIBRARY-PATH を削除する環境変数 LD-LIBRARY-PATH になんらかの値を設定している状態で vmware コマンドを実行すると、以下のようなエラーメッセージが表示され、コマンドの実行に失敗します。 $ vmware /usr/local/lib/vmware/bin/vmware : relocation=> error : /usr/local/lib/vmware/lib/* 1ibgtkmm-2.4. so. 1/libgtkmm—2.4. so. 1 : - undefined symbol : gtk—action—get—type ユーザーが実行する vmware コマンドはシェル・スクリプトで、内部で LD-LIBRARY-PATH を設定してから VMware 本体のバイナリファイルを起動します。どうやら、このときに LD-LIBRARY-PATH か第殳定されていると、それが邪魔をするようです。そのため、 vmware コマンドを実行するときは、竟変数 LD-LIBRARY-PATH をかならず削除しましよう ( 環境変数を削除するには、 sh 系のシェルでは unset 、 csh 系では unsetenv コマンドを使います ) 。なくなった機能祗園精舎の鐘の声、諸行無の響きあり・新たな機能が追加された一方で、以下の機能がなくなりました。 UTF-8 をサポートしていないので、以下のようにファイルたとえば、私カ駛っている端末クライアント (aterm) はァイルを、、共有 " するのは簡単ではありません。していますが、 UTF-8 で書き込まれるため、 UNIX とフ共有フォルダは日本語のファイル名やフォルダ名にも対応の共有フォルダ機能を使いなさい " ということだそうです。 samba が含まれなくなったのは、、、代わりに VMware 5.0.0 でも Samba を使いたい・ raw ディスクから Windows XP か起動しない。・ raw ディスクのスナップショットがとれない。・ Samba が含まれていない。 34 図 13 raw ディスクのスナップショットがとれない Snapshots cannot be ー謎・ n 「ⅲ " " 日 ch ⅲ・ 3 with ph ) に創 d 秋 3. 名が化けてしまい、 nkf で変換する必要があります。 $ ls $ ls ー nkf -W 新規テキストドキュメント . txt Samba がないのなら自分でインストールすればよいのですが、そこまでしなくても比較的簡単に解決できます。 VMware Workstation 4.5. x の Sarnba をそのまま使えばよいのです。まず、 4.5. x をインストールします (VMware Work- station 4.5. x がインストール済みなら、何もすることはありません ) 。インストールが終ったら、次のコマンドを実行して samba の設疋ファイルを保存しておきます。 # cp /etc/vmware/vmnetl/smb/smb. conf 疇 - /etc/vmware/vmnetl/smb/smb. conf . vm4 # cp /etc/vmware/vmnet l/smb/private/smbpasswd 疇 , /etc/vmware/vmnetl/smb/private/smbpasswd. vm4 次に、仮想ネットワークの設定内容を引き継ぐために、 4.5. x をアンインストールせずに 5.0.0 をインストールします。インストールが終ったら、 4.5. x のパッケージから下記の 2 つのファイルを取り出し、 vrnware コマンドをインストールしたディレクトリにコピーします。・ vmware—smb(l ・ vmware—nmb d 最後に、 /etc/vmware/locations の末尾に次の 1 行を追加します。 answer VNET—I—SAMBA yes これで準備完了です。次のコマンドを実行すると、以前と同じように Host ー O ⅲ y ネットワークで Samba カ吏えるようになります。 /etc/init . d/vmware restart raw ティスクのスナップショットがとれない仮想 PC に raw ディスクを使用すると、スナップショットがとれなくなりました ( 図 13 ) 。どうやら、これは仕様のようです。とても残念です。 0 UNIX MAGAZ 工 NE 2005 . 6

4. UNIX MAGAZINE 2005年6月号

特集 SOHO 向けサーバーの構築 [ 1 ] 図 19 ルータのログ窈列 Apr 10 04 : 35 : 07 router NAT: TCP connection accepted , from 207 . XX . XX . XXX : 36242 to 192 .168.0.2 : 80 (ethl) Apr 10 05 : 23 : 08 router FIREWALL TCP connection denied 、 from 66 . XX . XXX . XX : 47589 to 192 .168.0.2 : 80 (ethl) 図 20 Apache を常時定力させるための言聢 (/etc/rc. local などに〕ロ ) if [ —x /usr/sbin/apachectl —a —f /etc/httpd/conf/httpd.conf ] ; then /usr/sbin/apachectl start fi バーの access 」 og や error 」 og に何も記録カ長っていない場合は、 TCP wrapper がアクセスを遮断している可能性がある。このようなときは、 /etc/hosts. allow に次の 1 行を追加すればよい。 httpd : ALL とくに、 ServerType として inetd を設定した場合は、この点にも注意が必要である。上記の点を確認したうえで必要な修正をおこない、アクセスカ河能になったら、常時起動するように設疋する。 Vine Linux であれば、次のようにするだけである。 # chkconfig httpd on それ以外の OS の場合は、 DNS のときと同じく、図 20 のような言古を /etc/rc. local などに追加する。 suEXEC の利用 Apache には suEXEC という、 CGI プログラムをヨ殳ユーザーの権限で実行するための仕組みがある。 suEXEC の利用の司否は、適切に言定された suexec コマンドがインストールされているかどうかにかかっている。、適切に設疋された " というのは、、、所有名が root で、所有者にスティッキー・ビットが立っている " ということである。たとえば、 "ls —I /usr/sbin/suexec" としたとき、ノヾーッション情報が —rws—x—x 1 root となっていればよい。 Vine Linux の場合、 suexec はインストールされてはいるが、スティッキー・ビットは落とされた状態になっている。利用するときは、 # chmod u + s /usr/sbin/suexec としたうえで、下記のいずれかのコマンドを実行する。 # /etc/rc . d/init . d/httpd restart # apachectl restart suEXEC カ坏リ用可能になっていれば、 error 」 og の最初のほうに次のようなエントリがある。 [Sun Apr 10 04 : 30 : 54 2005 ] Cnotice] suEXEC• mechanism enabled (wrapper : /usr/sbin/suexec) ところで、 Apache の開発者たちは、 suEXEC を Apache のデフォルトに含めないことに決定した。これは、 suEXEC が CGI や SSI の実行権限を狭めてシステムの安全性を高めはするが、適切に言当しないと危険を招き寄せるおそれもあるため、その原理を十分に理解したユーザーに利用を限定しようと考えたからである。れているときは、ファイアウォール上の定に原因がある。 BB ルータでは、ファイアウォールや静的 NAT の設定を変更したあと、それを保存して再起動しないと反映されない場合もあるので注意が必要である。ファイアウォールへのアクセスは成功しているが、サー ☆ やや駆け足ではあったが、ネットワークの言気 t 方針を立て、 DNS サーバーを設置して Web サーバーを動かすまでの手順を、サービスの必要性や設疋ーヒの注意点などを中心に説明した。依然として、サーバーの設置は難しく面倒だと感じるだろうか。文章を読んだだけでは感覚的に分からない部分も多いので、外部に公開するかどうかは別にして、実際に動かしてみると理解しやすいのではないかと思う。次回は、メールサーバーとその周辺に関する話をする予定である。 ( あらき・ひろゆき ) 97 UNIX MAGAZ 工 NE 2005 . 6

5. UNIX MAGAZINE 2005年6月号

連載 /Red Hat Linux のツールたち DeIeting the package " iiimf—server" DO you want tO delete above packages? (Yes/seIect/no/abort)yes iiimf—gnome—im—switcher iiimf—libs—devel liimf—server DO you want tO insta11 "IIIMF"? (Yes/no/abort)yes ? (yes/no)yes If you dO not accept the terms of the license agreement ,P1ease select "NO" If you accept the terms of the license agreement ,P1ease select "Yes" in accordance with the terms Of such license . This software is furnished under an end user agreement and may be used or copied 0 Ⅱ 1y [root@fedora3 tmp] # sh setup_for_fedora3 図 4 ATOK のインストールとサービスのカ (FC3) suse : ~ # ロ patching file etc/X11/xim suse : ~ # /opt/at0kx2/sampIe/cIient—patch/cIient—patch. suse92 client—patch. redhat9 client—patch. turb010f client—patch. vine30 client—patch. P1am040 client—patch. suse92 suse : ~ # ls /opt/at0kx2/samp1e/c1ient-patch/ 図 3 /etc/X11/xim へのパッチの適用 (SUSE92) 1 : iiimf—rc Preparing ・ A starting script "llim" will be generated. "/etc/gtk—2. O/i386—redhat—1inux—gnu/gtk. immodules" i11 be changed. 1 : atokx Preparing ・ A starting script "at0kx2" will be generated. lnstallation has been completed. [root@fedora3 tmp] # /etc/init . d/llim start Starting llim: [root@fedora3 tmp] # /etc/init . d/atokx2 start Starting at0kx2 : Croot@fedora3 tmp] # ロ動すれば ATOK カ駛えるようになります。 OS を通常のモード ( ランレベル 5 ) で実行している場合は、現在のセッションを終了 ( ログアウト ) すれば X サーバーがリセットされるので、ログインしなおせば大丈夫です。 FC3 の場合 FC3 は ATOK の対応ディストリビューションに含まれていませんが、メーカーのサポートサイト 5 にインストール方法カ書かれています。まず、 FC3 用のインストール・スクリプト (setup-for-fedora3) とアンインストール・スクリプト (uninstall-for-fedora3. (h) をダウンロードします。次に、 ATOK のインストール CD をマウントし、インス 5 http://faq.justsystem ・ co ・ jp/faq/servlet/index?SID= jsfaq&PID=0250&SC=12 146 トール・スクリプトを図 4 のように実行します (SUSE92 の場合と同じくランレベル 5 でインストールをおこなっても問題はありませんでした ) 。手川頁は SUSE92 とほとんど同じですが、 FC3 には IIIMF が標準でインストールされているため、これを ATOK のインストール CD に付属のパッケージと置き換えるかどうかと訊かれます。これに、 yes" と答えると、既存の IIIMF パッケージカ哨リ除されたあと、 ATOK に付属の IIIMF と ATOK のパッケージがインストールされ、それぞれの起動スクリプトがインストールされます。 SUSE92 の場合と同じく、各サービスをコマンド行から起動すれば OS を再起動する必要はありません。 OS をランレベル 5 で運用している場合には、 x を再起動 ( 再ログイン ) すれば、 ATOK カ駛えるようになります。ただし、 IIMF を使わない日本語入力システムに変更 [ OK ] UNIX MAGAZ 工 NE 2005.6

6. UNIX MAGAZINE 2005年6月号

ただし、外部の DDNS はインターネットにつながったグローバル IP アドレスを提供するので、そのままだと LAN 内のクライアントからの名前解決要求に対してもグローバル IP アドレスが返される。つまり、 LAN 内からサーバーにアクセスしようとしても、ルータへのアクセスになってしまうのである。市販の一般的な BB ルータを利用している場合、 LAN 内からのアクセスに対しては静的 NAT は機能せす、たとえばⅥ b サーバーヘアクセスしたつもりがルータの設定用インターフェイス (Web フォーム ) が起動されるといった事態になる。この状態で LAN 内からサーバーに正しくアクセスするには、 IP アドレスを直接指定するか、あるいは各マシンの hosts ファイルなどに言当するしかなく、かなり不便である。ことに hosts ファイルを使う方式では、 LAN 内でも外出先でも利用する可能性の高いノート PC をクライアントとしている場合、接続ごとに異なるファイルを用意して使い分けたりしなければならないので非実用的である。内部向け DNS の設置とクライアントの言錠このような問題を防ぐには、 LAN 内向けの DNS サーバーを用意すればよい。この DNS サーノヾーは LAN 内からの問合せにのみ応答すればよく、外部からのアクセスを処理する必要はない。 DNS のサービスには、ひろく普及している BIND8 を使うことにする。 Vine Linux の場合、 BIND のインストールはパッケージを用いて次のようにする。 # apt—get install bind BIND だけでなく、多くのサーバーはプロセスの権限を無制限にしないために専用のユーザーとグループを作成し、その権限で実行されるようになっている。サーバーが root の権限で実行されていると、サーバープロセスにバッフア・オーバーランなどの問題があった場合、攻撃者に無制限のアクセスを許すおそれがあるからである。以下では、ユーザー named 、グループ narned で BIND を実行する。これらのユーザーとグループがない場合には、それぞれ作成しておく。このとき、ユーザー named は 8 http://www.isc ・ org/o 原稿時点での最新版は 9.2.4 。 UNIX MAGAZ 工 NE 2005.6 特集 SOHO 向けサーバーの構築 [ 1 ] 83 ルドに " などのはカな文字を言辷する。 passwd コマンドを実行するか、 /etc/shadow のパスワード・フィーロックするには、 passwd ー 1 n れ med " のように一 1 オプション付きで 9 パスワードがロックされたアカウントではログインできない。パスワードをと rndc. conf で利用する。ファイルが作成される。これらを、それぞれ named. conf 132. key と Krndc. 十 157 十 06132. private という 2 つのすると、カレント・ディレクトリに Krndc. 十 157 十 06 Krndc . + 157 + 06132 # dnssec—keygen —a hmac—md5 —b 512 —n user rndc 下のように実行する ( 、、 06132 " の部分は不定 ) 。キーを作成するには、 dnssec-keygen コマンドを以ーを定義する。から導入してもキーが設疋されていないときは、自分でキされているはずである。自力でビルドしたり、パッケージパッケージを用いて導入した場合は、すでにキーが設定リカく正に更新されないようにするための仕組みである。工ントリのリロードができない。これは、 DNS のエント持している。このキーが正しく定義されていないと、 DNS とき、その更新を BIND に反映させる際に必要なキーを保 /etc/rndc. conf のほうは、 DNS 工ントリの変更があった BIND 自体の設疋は、 /etc/named. conf に言当する。 rndc. conf の 2 つである。リスト 1 ~ 2 にそれぞれの例を BIND の設疋ファイルは、 /etc/named. conf と /etc/ BIND の設定めのデータの用意をおこなう。これらの作業が終ったら、 BIND の設定と名前解決のた —s /bin/false # useradd —g named —d /var/named —m , # groupadd named 折り返しています。以下同様 ) 。グループは次のようにして作成する ( 誌面の都合上、で useradd/groupadd コマンドを使う場合、ユーザーと万が - ー - ・にもクラックされないようにするためである。れた (well-known) 名前は悪意の攻撃を受けやすいので、してログインできないようにしておく。この種のよく知らパスワードをロックし 9 、シェルは /bin/false などを設疋

7. UNIX MAGAZINE 2005年6月号

リスト 1 /etc/named. conf 列 IN { リスト 2 /etc/rndc. conf 窈列 1 2 3 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 acl niamod { 192 .168 . 0 . 0 / 24 ; 127 . 0 . 0 . 1 ; options { allow—transfer { niamod; allow—query { / / query—source address directory "/var/named" ・ YYY . YYY . YYY . YYY ; XXX . XXX . XXX . XXX ; / / put your forwarders { none ; provider ' S file "named . type hint ; ー IN { localhost ; "rndckey" port DNS 1 2 3 5 6 7 9 10 11 12 13 options { default—server default—key server localhost { 53 ; "rndckey' key key "rndckey" { secret " く put your private key>" ・ algorithm hmac—md5 ; ZOne ZOne zone key "niamod. jp" IN { type master ; "localhost" IN { file t'niamod . type master; " 0 . 168.192. i Ⅱー addr. arp file "niamod . zone" ー IN { type master; file "localhost . zone" allow—update { none ・ file "named .10Ca1" type master; "0 . 0 .127 . in—addr. arpa" allow—update { none algorithm hmac—md5 ; "key" { secret " く put your key code here>" ファイルの内容を見ると、たとえは図 7 ~ 8 のようになっている ( 当然のことながら、得られるキーの値は環境によって異なる ) 。これらのファイルから、下線部を named. conf の 51 行目と rndc. conf の 12 行目にある、、 (put 84 # chmod 640 /etc/rndc . conf # chown root . named /etc/rndc . conf を 640 にしておく。 root 、グループを named にしたうえで、パー rndc. conf には秘密鍵カ第当されているため、所有者を your ・・・〉 " の部分に転記する。ッション named. conf の残りの部分は、全体についてのアクセス、、ゾーン (zone)" と呼ばれる管理単位ごとのデー制限と、タソースに関する定義である。 6 ~ 20 行目では、全体のアクセス制限などを設定している。 directory" で、 DNS のゾーンごとのデータソースになるファイルの十内場所を指定する。、、 allow-query" では、問合せを許可する範囲を指定する。この DNS サーバーは LAN 内のアドレスだけを管理するので、もちろん LAN 内からの問合せしか受け付けない。したがって、ルータで UDP の 53 番ポートを転送するように指定していなければ、外部からのアクセスはないはずこでも念のためによけいなアクセスは排除するようにしておく。アクセス範囲はここに直接書いてもいいが、 1 ~ 4 行目で定義しているアクセスリストを使ってもよい。この例では、 niamod という名前を付けたアクセスリストの範囲のみを許可している ( 複数のアクセスリストを定義し、よりネ辧隹な DNS を制御をおこなうことも可能だが、こでの説明の範囲を越えるので省略する ) 。 forwarders では、この DNS サーバーが知らない範囲 ( 外部のホストやドメイン ) に関する情報の問合せの転送先を指定する。通常は、契約しているプロバイダの DNS サーバーを指定すればよいだろう。このように、 DNS では問合せを受けたサーバーが知らない情報を別の DNS サーーに転送することで、ネットワーク全体の情報が得られるようになっている。 22 ~ 47 行目は、ゾーンの設定である。この部分で最低限必要なのは、ルート DNS (DNS 空間全体の頂点に位置 " とロするサーバー ) への情報が書かれている、、 zone ' ーカルアドレス ( 127.0.0.1 ) 、 LAN に関する正引き、逆 UNIX MAGAZINE 2005 . 6

8. UNIX MAGAZINE 2005年6月号

連載 /Red Hat Linux のツールたち図 18 /etc/iiim/htt. xml. conf の変更・・修正育莎 10 11 12 13 14 ・修正後 10 11 12 13 14 く listen type="tcp"> く /listen> く port > 9010 く / port > く hostname>localhost く /hostname> く listen type="tcp"> く /listen> く po て t > 9010 く / port > く hostname>localhost く /hostname> 今回インストールした IIIMECF は TCP を用いて htt と通信しようとしますが、 htt はデフォルトではこれを受け付けない設定になっています。そこで、設疋ファイル /etc/iiim/htt. xml.conf を書き換え、 TCP コネクションを受け付けるように設定します。 htt. xml. conf の 11 ~ 14 行目に TCP コネクションに関する設疋か第当杢されていますが、デフォルトではコメントアウトされています。そこで、図 18 のように、 10 行目のコメント記号を 14 行目の直後に移動し、設定を有効にします。修正後、、、 /etc/init. d/llim restart" を実行すれば、 htt か再起動して変更が反映されます。 4. Emacs の成疋 /. emacs ( ホーム・ディレクトリの . emacs) に、 IIIM- ' ("localhost")) (setq iiimcf¯server—control—hostlist (setq coding-category¯utf—8 'utf-8) (require 'un¯define) ECF を利用するための定を追加します。 152 Emacs を起動しました。行し、 FC3 から ssh で SUSE92 にリモートログインして SUSE92 上で、、 telinit 3 " を実行してランレベル 3 に移バーとの通信ができるようになったはずです。ためしにこれで、 Emacs から IIIMECF を用いて IIIMF サーの行を削ります。いる CtrI 十 \ ( バックスラッシュ ) のほうがよければ、十 space を割り当てています。デフォルトで設定されて最後の行は日本語入力 ON/OFF のトグル設疋で、 Ctrl (global-set—key "\C¯ ' toggle—input—method) (require iiimcf¯sc) iiim—server—control) (setq default—input—method (setq iiimcf—server—control—default—language この方法では最低限の日本語入力機能は使えますが、次のような不具合や制約があります。最初の数回は日本語入力が ON にならない UNIX MAGAZINE 2005.6 はこがき・はやお ) ☆ 法や利用方法などを紹介する予定です。次回は、、、 Wnn8 for Linux/BSD" のインストール方ただし、 SUSE92 と同様の不具合や制約があります。 IMECF カ駛えるようになります。 iiim/htt. xml.conf を変更し、 ~/. emacs を修正すれば II - コマンドで簡単にインストールできます。このため、 /etc/ インストール CD の 4 枚目に泉されているので、 rpm の RPM パッケージ (iiimf-emacs-12.1ー4. i386. rpm) は (emacs-common) に含まれています。また、 IIIMECF FC3 では、 Mule-UCS が Emacs の RPM パッケージ FC3 の場合はそれなりに使えるといったレベルでしよう。るかもしれません。現時点では、緊急避難的な手段としてこれらの不具合は、 IIIMECF の開発が進めは解決され推測や郵便番号変換などの機能力駛えません。別ウインドウで候補が表示できないためか、変換候補の・推測機能などカ駛えないいます。れないため、何を選んでいるのかが分かりにくくなって補の一覧が表示されますが、選択中の候補が反転表示さ複数の変換候補がある場合、 Emacs のエコー領域に候・エコー領域の変換候補が反転表示されないトレスを感じます。このような現象が起きるのは最初だけですが、やはりスすると、やっと日本語入力が可能になります。しか入力できません。さらに Ctrl 十 Space を 2 回入力ラインの表示が、、 ATOK " となり、半角アルファベットたようにみえます。ところが、何かキーを押すとモードに、、あ連 R 漢 " が表示され、日本語入力が ON になっになります。再度入力すると、 Emacs のモードライン Wrong type argument: arrayp, ⅲ 1 " というエラー Emacs を起動した直後に Ctrl 十 Space を入力すると、

9. UNIX MAGAZINE 2005年6月号

ネットワーク・ミニ実験室 0 図 2 ~/. rhosts ファイルの言ホ例 (host2 の user2) rcp コマンドは、ホストとユーザー名の組合せで認証をおこないます。パスワードのような、、秘密の情報 " を使わな hostl userl ・← hostl の userl からのアクセスを許可ー hos し 3 ・一 h0St3 からのアクセスを拒否いので、認証機構としてはかなり弱い部類に入ります。当 +@9r0 叩 1 ← groupl に含まれるホストからのアクセスを許可然ながら、インターネット経由のファイルコピーには向い図 2 はホスト host2 のユーザー user2 の . rhosts ファていません。はじめに、 rcp の認証の設疋についてみておきましよう。イルの例です。 1 行目の、 rcp は、次の 2 つのファイルを参照してアクセスを制御し hostl userl ます。は、 hostl の userl からのアクセスを、 host2 の user2 の /etc/hosts. equiv アクセスとして扱います。 2 行目の、・ . rhosts —host3 これらのファイルにはとくに決まった呼び方がなく、会は、 host3 からのアクセスを拒否します。 3 行目の、話のなかではもつばら、 +@groupl 「ホスツイクイプ・ファイルに xxx を追加して ~ 」は、ネットグループ groupl に含まれるホストのアクセス「誰々のアールホスツ・ファイルのパーミッションを確認制御です。この例のようにユーザー名が省略されている場してえ」合は、名前が user2 のユーザーからのアクセスを許可しのように使います。ます。しかし、これでは説明しにくいので、イ上まとめて、、アアクセス権限ファイルの書き方やパーッションのルークセス権限ファイル " と呼ぶことにします。ルは、 OS や rcp コマンドの実装によってすこしずっ異な 2 種類あるアクセス権限ファイルのうち、 /etc/hosts. ります。言髫田については、実際に使用する OS のマニュア equiv はシステム管理者が用意するファイルで、そのホスルで確認してください。ト全体のアクセス権を規定します。一方、 . rhosts はユーユーザー名が同じ場合ザーが用意するファイルで、ユーザーごとの特別なアクセ rcp の設疋で間違いやすいのは、アクセス権限ファイルス制御を設疋できます。 . rhosts ファイルはユーザーのホをどのホストに置くか、アクセス権限ファイルに何を言当ーム・ディレクトリの直下に置きます。するかです。これらのファイルでは、許可するアクセスや拒否するア図 3 は、 rcp でリモートホスト上のファイルをローカルクセスを次のように言します。ホストにコピーする例です。ここで、 + ホスト名・ host2 ( リモートホスト ) の用 e を hostl ( ローカルホス + ホスト名ユーザー名ーホスト名ト ) にコピーするーホスト名ユーザー名・ hostl と host2 には同じ名前のユーザー・アカウントなお、、、十 " はアクセスの許可、、、一 " はアクセスの拒否を userl があるユーザーは hostl に userl としてログインしている未し、前者は省略してもかまいません。・ hostl 上で rcp コマンドを実行するホスト名やユーザー名の代わりに、 /etc/netgroup に記・ file は host2 の userl カ第売み込めるファイル述したネットグループを指定することもできます。ネットグループを使うときは、と仮定します。これをユーザーのアクセス権限ファイル . rh 。 sts で制御 +@ネットグループューザー名 + ホスト名ネットグループするには、次のようにします。・ . rhosts は host2 ( リモートホスト ) 側に置く。のようにネットグループ名の前に、、@" を付けます。 55 UNIX MAGAZINE 2005 . 6

10. UNIX MAGAZINE 2005年6月号

SC 翡好評発売中 ! 実践セキュリティーーー頼れるファイアウォールを作るス以外はいっさい拒否するクローズな資源なのかによって異なる。上例では、原則としてすべてのアクセスを拒否するので、 deny → allow の順で指定し、アクセスはいっさい許可しない (allow がない ) 亘暠になる。上記のように設疋しておくと、この Web サーバーのどの URI ヘアクセスしても、すべて閲覧禁止 (Forbidden) のエラーが返されるようになる。当然だが、このままでは Web サーバーとしての用をなさない。そこで、以下の部分で必要に応じてアクセスを許可していく。許可するアクセス許可するアクセスの種類は、サイトの実情に合わせて決定すべきである。ただし、基本的に外部に漏らしてはならない情報 ( システムのログや /etc/passwd などのアカウント情報、各デーモンの定ファイルなど ) は、攻撃者の足がかりにされるおそれがあるので、正当な権限のない者の目に触れたりしないように十分注意する。また、 CGI プログラムにクロスサイト・スクリプティングやバッフア・オーバーランなどの脆弱性が含まれていると、システム全体を危険にさらすおそれがある。 SSI のうち、サーバー上でなんらかのプロセスを走らせ、その出力を得るようなものは CGI に準じる扱いにしなければならない。したがって、最初に /etc や /var などのディレクトリへの httpd 経由のアクセスを許可しないように設疋する。次に検討すべき点は、各ューザーに独自のページをもたせるかどうかである。 SOHO などで業務目的の Web サイトを構築するのなら、社員が個人的な情報発信に利用する必然性はない。なんらかの理由があってユーザー独自の Web ページの開設を許可するのなら、ユーザーの知識やモラルのレベルをよく考え、各自のディレクトリ内で何をおこなうのか、そのために何を許可して何を禁止するのかを決める必要がある。十分な知識のないユーザーに対して無制限に CGI を設置する権限を与えれば、システムに危険がおよぶ可能性がきわめて高くなる。また、モラルの低いユーザーは、通常はアクセスできないはすの /etc/passwd や /var/log/httpd/access 」 og などにシンポリック・リンクを張り、自分のディレクトリ実践自一崎博出宀 : セキュリ - アイ・白崎博生著・ A5 判、 288 ページ・ ISBN 4-7561-4296-6 ・ 2 , 940 円 ( 税込み ) ASCII 本書は、日本でトップクラスのセキュリティ技術者によるファイアウォールの構築・運用指南書であり、ネットワーク・セキュリティの本質を理解するための第一級の解説書でもある。本質が分かっていれば、日常的に起こるさまざまな問題にも容易に対処できる。これからファイアウォールを構築する人はもちろん、運用に携わっている人にもせひ一読をお勧めする。 ( 奈良先端科学技術大学院大学山口英 ) 【目次から】 1 章常時接続って何 ? 基本的な用語 / 現在の常時接続事情 / 常時接続は嬉しい ? / 常時接続時の危険性 2 章攻撃の手法スキャン / TCP / 旧への攻撃 / アプリケーションへの攻撃 3 章ファイアウォールの基礎知識セキュリティ対策は必要 ? / セキュリティ対策とポリシー / ファイアウォール / ファイアウォールを構成する要素 / ファイアウォール構築のポイント / Script Kiddie 4 章ファイアウォールを作ろう ( ルータ編 ) 端末型接続と LAN 型接続 / プロトコル / RTA55i で作るファイアウォール / フィルタリング機能 / フィルタ設定の操作手順 / DMZ を作る / 攻撃検知機能 5 章ファイアウォールを作ろう (Linux 編 ) 端末型接続と LAN 型接続 / netfi は e 「 / netf ⅱ te 「の仕組み / iptab s / ipchains との互換性 / フィルタリング・ルールの設定 / アドレス変換の設定 / ipta es の設定例 / ipchains/ipchains の設定例 6 章攻撃されたときの対処セキュリティ動向を知る / 相談するところ / 連絡先アドレスの探し方 / 攻撃か事故かを冷静にみきわめる / 消さないで、そのログ / 典型的な対応 / ケーススタディ / やってはいけないこと株式会社アスキー〒 1 02 ー 8584 東京都千代田区九段北ト ] 3-5 日本地所第一ビル電話 (03) 6888 ー 5500 ( 営業局 ) 93 UN 工 X MAGAZ 工 NE 2005.6