ファイル - みる会図書館

1. UNIX MAGAZINE 1998年1月号

ファイアウォールの作り方白崎博生 IRQ と格闘しなければならないかもしれません。・カーネルの叫冓築ファイアウォール用のカーネルを明冓築します。カーネルの再構築といっても難しいものではなく、コンパ前回までで、 FWTK 2.0 のインストールカ鮗りました。イル・オプションを設定しなおすだけです。しかし、 FWTK はインストールしただけではまったく動・セキュリティ・ポリシーの作成きません。 FWTK をファイアウォールとして動かすたセキュリティ・ポリシーとは、以下の項目を明確化あるめには、しなければならない作業がまだたくさん残っていいは明文化したものです。ます。ファイアウォール構築に要するイ↑業量をフルマラソンの矍対象 ( 何を ) いまようやく 2km くらい走っ 42.195km にたとえると、ーイ矍理由 ( なせ ) たところでしようか。ゴールははるか彼方の遠いところにー脅威対象 ( 何から ) あります。ー担当者 ( 誰か ) 「 2 回で 2km やろ。はなら、あと 40 回は続けんとゴーーコスト ( どれだけの手間をかけて ) ルでけへんで」ー去 ( どのように ) 「ぜえぜえ・ファイアウォールで守るネットワークを安全な状態に早くも息切れしてしまいそうですが、気をとりなおして保つには、適切なセキュリティ・ポリシーを作成し、そ 1 歩でも前に進みましよう。とはいえ、道標のない長距離れに従ってファイアウォールを運用しなけれは・なりまこれからの作業手走は精ネ 4 衛生的にも好ましくないので、せん。この作業は次回におこなう予定です。順の概要を簡単に紹介しておきます。・ FWTK の成疋・ディレクトリ /etc 内のファイルの変更作成したセキュリティ・ポリシーに従って、 FWTK の、、汎用 " にデサインされた OS を、ファイアウォール成疋ファイルをします。設定する ( できる ) 内容はプロキシー・サーごとにとして運用できるようにカスタマイズします。具イ勺に異なるので、 1 っすっ順番に設定ファイルの書き方を説は、 rc ファイルや conf ファイルを変更します。今回はこの竹喋をおこないます。明し、サーバーを立ち上げていきます。・ 2 枚目のネットワーク・カードのインストールネームサーバ (named) の運用ファイアウォール上でネームサーバーを運用する場合にこの連載でオ冓築するファイアウォールは dual-homed 留意する点と設定ガ去を説明し、ネームサーバーを起動 host です。したがって、 2 つのネットワーク・インターフェイスが必要になります。そこで、 2 枚目のネッします。トワーク・カードを追加インストールします。ふたたび・テスト運用 - これからの作業予定 86 UNIX MAGAZINE 1998 ユ

2. UNIX MAGAZINE 1998年1月号

構築したファイアウォールを自分用のファイアウォールとしてテスト運用し、言どおりに乍するかを石信忍します。ここでは、チェックすべき項目とチェック方法を説明します。・ FWTK のカスタマイズ FWTK のユーサー認証を S/KEY に対応させたり、透過機能を FWTK に組み込むといった改造を施します。・不正アクセス検知樹冓の構築、、ファイアウォールさえ導入しといたら、もう怖いもんなしや " などと安じ、していてはいけません。不正アクセスを受けたときにそれを検知し、セキュリティ担当者に通知すん欟冓がなけれは、ファイアウォールを運用していないときよりも大きな被害を受けるおそオ功ゞあります。ここでは、不正アクセスを本剱日する機構の言 t と、それを構築するガ去を説明します。目のまわりそうなイ乍業量ですね。これだけのことを書くのかと思うと、私も目がまわりそうです。 - バッチ情報 BSD/OS 3.1 へのパージョンアップ次の作業にとりかかる前に、すこしだけ追加情報を紹介します。 BSD/OS 3.1 がリリースされました。 BSD/OS 3.0 にパッチを当てるだけで、あっという間に 3.1 にバージョンアップされます。前回の記事を書いたあと、 M300 ー 036 から M300 ー 043 までのパッチか新たにリリースされました。これらのパッチファイルを入手し、次のように順番に当ててください。 # /usr/bin/per15 /usr/src/patches/M300—036 apply # /usr/bin/per15 /usr/src/patches/M300—037 apply # /usr/bin/per15 /usr/src/patches/M300—043 apply すべてのパッチを当て終ったら、カーネルを明冓築し、リプートすると BSD/OS 3.1 カ位ち上がります。ファイアウォール・マシンの CPU が Pentium か MMX Pentium の場合は、 M310-001 のパッチも当 UNIX MAGAZINE 1998 ユてたはうがよいでしよう。これは、いろいろなところで pentium の内部バグ " と騒がれていた不具合に対応するためのパッチです。その他の CPU を使っている場合は、当てなくてもかまいません。 BSD/OS 2.1 の′ッチついでに、 BSD/OS 2.1 の新しいパッチも紹介しておきましよう。その後 K210 ー 028 から K210 ー 030 までのカーネル用パッチと、 U210 ー 039 から U210 ー 043 までのユーティリティ用パッチカ噺たに公開されました。これらのパッチファイルを入手し、次のように順番に当てていきます。ただし、 U210 ー 042 を当てる必喫はありません。 # /bin/sh # /bin/sh # /bin/sh # /bin/sh # /bin/sh /usr/src/patches/K210 # /bin/sh /usr/src/patches/K210— # /bin/sh /usr/src/patches/K210— /usr/src/patches/U210 /usr/src/patches/U210 /usr/src/patches/U210 /usr/src/patches/U210 ー 028 029 030 ー 039 ー 040 ー 041 ー 043 - OS のカスタマイズファイアウォールのべースとなる OS としてインストー 87 時刻を同期させるべきです。不正侵入などの事件カ起きたネットワーク内のすべてのホストは、なんらかの去で NTP の設定は、順番にみていきましよう。したり、あるいは追加したりといった作業です。それでその大半は、ディレクトリ / etc の下のファイルを変更す。また、入れ替えるべきものは入れ替えます。削除すべきものは削除し、運用すべきものは運用しまおけは・いいというわけです。それなら、いっそのこと最初から動かないように設疋して・プログラム 0 ンヾッチを当てるのはもっと面倒です。チを当てるだけでも手間がかかるのに、使っていないサーは動かないように設定しておきます。セキュリティ・パッの運用に不要なものは、できるかぎり削除するか、あるいらの機能の多くはたしかにイリですが、ファイアウォールえるように、いろいろな機能が盛り込まれています。これルした FreeBSD や BSD/OS は、さまざまな用途に使

3. UNIX MAGAZINE 1998年1月号

TCP wrapper ■ 図 5 /etc/inetd. conf の変更 ( 3 ) telnet stream tcp shell stream tcp 図 6 ホストテーカレの言 nowai t nowait root /usr/sbin/in. telnetd /usr/sbin/in. rshd in . telnetd in . rshd LOCATION : /usr/include/incl . h SERVER: disguised. server HOST—ALLOW (ALIAS incl . h) in. rshd: serverl : spawn (sleep 1 ; in. rshd: server2:spavn (sleep 1 ; /the/web/directory/doservl) & /the/web/directory/dogerv2) & HO ST -DENY in. rshd : ALL : deny ロ (ALIAS excl . h) TCP wrapper の動作先日、毎日の定例務を簡略化するスクリプトを作ったのだが、 TCP wrapper の助けを借りることになった。その手順のなかには、ファイルを tar でまとめ、ゲートウェイ・サーバーから Web サーバーに移動する作業がある。コツは、これらのファイルをファイアウォールの稼重加間外 (off-hour) に通過させる点にあった。この旁を自動化するには、 rcp と rsh プロセスを実行する必要があった。 rsh プロセスは utmp や utmp システム監査ファイルロ魁亦を残さす、 finger や who コマンドでみえなくなる可能性があるため、きわめて危険なものとなりうる。侵入者は、 # rsh system csh ーエとするだけでいい ( s い m は侵入目標となるシステム ) 。お分かりのように、これらのプロセスを j 面逼させるために不用意にファイアウォールをオープンにすることがジレンマとなった。こうした理由により、サーバーにはセキュリティ層をさらに追加する必要があった。その彳齬リを果たすのが TCP wrapper である。さらにわれわれは、外部からサーバーにアクセスする誰にも、 TCP wrapper を使っていることを知られたくなかった。こまでに紹介した方針にもとづき、図 5 に示す /etc/ inetd. conf のエントリを変更した。 tcpd などは、スクリプトの実行によってトランザクションが発生するのとは別の安全なシステム上に作った。 96 /usr/sbin/in. telnetd と /usr/sbin/in. rshd が tcpd 実体である点に注意してほしい。ホスト許可 / 拒否ファイルは、はかのすべての TCP wrapper プログラムと同しサーバー上に置かれている。新たに /usr/include ディレクトリを作成し、ホスト許可ファイルはⅲ cl. h 、ホスト拒否ファイルは excl. h という名前にした。正規のものとは異なるファイル名にして侵入者に TCP wrapper の存在を知られないようにするためである。名前の付け方はどのようなものでもかまわない。ただし、これらのファイルのパス名は Makefile てオ旨定しなければならない。図 6 は、ホストテープルと、そこで実行を許可されるものを指定している。ホスト許可ファイルには、サーバー名の後ろに、、 a Ⅱ。 w " がなく、代わりに ⅲ . rsh サーバープロセスを使って実行されるスクリプトカ甘旨定してある。ホスト許可ファイルは、 servl と serv2 の両方で実行されるサーバープロセスⅲ . rshd を許可するだけである。次に、 /the/web/directory にあるスクリプトを実行するにのスクリプトのみ実行を許可されている ) 。ホスト拒否ファイルに言当されたサーバープロセスⅲ . rshd を実行しようとした場合、リクエストは拒否される。そして、このプロセスを実行しようとした人物のエントリがログファイルに加えられる。次に実行されるプログラムが、ゲートウェイ・サーバ gatel と gate2 の両方に置かれた /opt/transfer/ transfer スクリプトである ( 図 7 ) 。このプログラムはディレクトリの内容を tar でファイルにまとめる。このファイ UNIX MAGAZINE 1998.1

4. UNIX MAGAZINE 1998年1月号

TCP wrapper を用いたセキュリティ by Petra Hahnke ・ f 「 om LJNIX REVIEW 概要 UNIX MAGAZINE 1998.1 ェストすると、インターネット・デーモン (inetd) カ腰ライアントが TCP wrapper のホストにサービスをリクれたネットワーク・サーピスのセキュリティ層となる。ク論理第勺には、 TCP wrapper は /etc/service で定義さわる。と、たとえは図 1 のようにサーピスプロセスの流れか変を置くだけである。 TCP wrapper をインストールするビスを別の場所に移動し、そこに TCP デーモン (tcpd) どの UNIX システムでも利用できる。ネットワーク・サーしては、システムファイルや設定を変更する必要はなく、や監視がおこなえるパッケージである。インストールに際こなうサービスのリクエストに対して、安全な手段の提供 rlogin 、 Telnet 、 exec 、 rcp といった 1 対 1 の通信をお TCP wrapper は無料て、入手でき、 FTP 、 RPC 、 rsh 、ど紹介する。の使用など、テープルのさまざまな設定についてはのちほ山いすることができる。サーー証や、、自家製の " プロセスどのホストにどのようなプロセスの実行を認めるかを指定ウォールと併用すれは、ホスト許可 / 拒否テープルにより、トを監視し、それを言求する機能も備えている。ファイアリクエスのユーザー ID やノードだけに与える。さらに、セスを制限し、重要なサーバープロセスの実行許可は特定のパッケージはファイアウォールに似た機能をもち、アクしているのなら、 TCP wrapper はうってつけである。ストをすべて言当求できるようなセキュリティ製品を必要とサーピスの許可と拒否か設定でき、許可 / 拒否したリクエ会社の予算に余裕はないが、アクセステープルを使って図 1 サービスプロセスの充れ・ TCP wrapper のインストール前クライアント FTP ( ューザー ) クライアントファイル転送・ TCP wrappe 「のインストール後クライアント FTP ( ューザー ) クライアントファイル転送 i netd tcpd ftpd 求されたサーピスの代わりに tcpd を呼び出す。そして、 TCP wrapper はすべてのクライアント情報 ( ホスト名や IP アドレス、リクエストの種別、リクエスト時間など ) を監視し、 syslog で記録する。必要に応して、この情報をポケットベルやプリンタに送ったり、ほかのファイルに出力することもできる。これらのデバイスにどのような情報を送るかし尺できる。 tcpd はホストの権限ファイルをチェックし、どのホストか許可さそれカ舸を実行できるかを決める。クライアントがホストサーバー上て権限をもっていれば、 tcpd はそのサーピスを呼び出していなくなる。これらのチェックは、クライアント側からはまったくみえない。 93

5. UNIX MAGAZINE 1998年1月号

TCP wrapper ■ 図 7 /opt/transfer/transfer スクリプト cd /opt/progi/data/reports /usr/bin/tar cvf /opt/transfer/files prog?/early* rcp /opt/transfer/files servl : /the/web/directory/servl/ /usr/bin/rm /opt/progi/data/ reports/prog?/earlystats* 図 8 doservl cd /the/web/directory/prodl tar xvf files mv /the/web/directory/servl/progm/early* /web/progm/docs/stats/reports/ mv /the/web/directory/servl/progp/early* /web/progp/docs/stats/reports/ mv /the/web/directory/servl/progr/early* /web/progr/docs/stats/reports/ /usr/bin/chmod 644 /web/prog?/docs/stats/reports/early* /usr/bin/chown root . other /web/prog?/docs/stats/reports/early* 図 9 安全な finger を実行するためのホスト拒否ファイル (/on/disguised/server/safe-finger ー 1 @%h ー /usr/sbin/mail —s %u —%d —%h root) & in . rshd: . servl : ルは servl に上書きコピーされる。ファイアウォールはゲートウェイから Web サーバーへの rsh のみを許可し、さらに TCP wrapper プログラムかま行される。このプロセスがホスト許可 / 拒否ファイルを十正する。中幻カ鮗了すると、ファイルは tar ファイルから取り出されて正しい場所に移される。そして、これらのファイルに対して chmod 、 chown か夫行される。図 8 は doservl サ→ヾーの概観である。 doserv2 もまったく同じだが、れは doservl の代わりとなるものである。ログファイルは別の安全なサーバー上に置かれる。このファイルには、成功 / 失敗か第当求される。許可されないリモートシェルの使用もすべて言求される。特殊な機能 UNIX MAGAZINE 1998 ユトパターンの両方がマッチしてはしめて可能である。情報を得られる。しかしこれは、デーモンリストとホスザー名を調べると、接続をおこなった当人に関する追加 TCP wrapper プログラム経由でクライアント・ユー Makefile で言殳する。ければアクセスは拒否される。この機能を使いたければ、れによりホスト名とアドレスを照合し、マッチしていなには、 -DPARANOID を有効にしてコンパイルする。アクセスしているのか、さらに詳しい情報を知りたい場合はかにもいくつかある。誰が自分のサーバーやファイルに TCP wrapper を最大限活用するための重要な機能は、の機能は、正確なユーザー名を石忍しようとする場合にとくに有用である。システムへの侵入やサーバー誤用のはとんどは糸内て起きているので、この機能を使えは容易に人物の特定かできる。侵入者を本剱日し、損害を被る前にアクセスをプロックするもう 1 つのセキュリティ機能がある。これはユーサーの ID を調べることでアドレス詐畋撃 (address-spoofing attack) を検知する。結果が un- known@host として返ってきたら言乍称がおこなわれていることになる。侵入か試みられた場合に対処できるような TCP wrap- per の成疋法がいくつかある。侵入者がアクセスを試みたときに、そのユーザー名やホストを管理者にメールで連絡するようにできる。これは、ホスト拒否ファイルに数行追加す川まよい。その場でのアクセス拒否、安全な finger コマンドの実行、管理者への情幸当言ができる。安全な finger コマンドは、リモートホストから送信されたデータをふるいにかける。通常の finger コマンドよりもはるかに安全なものである。これは、図 9 のようにホスト拒否ファイルに記述する。たとえば、誰かが servl 上でⅲ . rsh を実行しようとすると、 TCP wrapper は safe-finger を起動する。クライアントのユーザー名、ホスト名もしくはアドレス、呼び出されたデーモンプロセスが root ューサーに送られる。もっと速く簡潔なのは、侵入者に関する情報だけを取得して管理者に送るガ去である。あるプロセスに限定された内 97

6. UNIX MAGAZINE 1998年1月号

リスト 1 ntp. C0Ⅱf8」 server driftfile AA . BB . CC . DD /var/run/ntp ・ drift リスト 2 resolv. confØf51, 」 doma in nameserver mycompany ・ co ・ JP AA . BB . CC . DD 場合、どのような被害をどういう順番で受けたのかを把屋するために日骸ー牘報は必頭です。日駭リをい期させるガ去はいくつかありますが、こでは NTP (Network Time Protocol) を使います。たとえば、 IP アドレスが AA. BB ℃ C. DD のホストを NTP のサーバーとして参照する場合は、リスト 1 のような内容の /etc/ntp. conf というファイルを作成します。 ℃ eBSD の場合 FreeBSD を使っているのなら、 /etc/sysconfig を次のように変更します。 xntpdf1ags="NO" # xntpdf1ags="NO " リゾルバの設定最糸勺にはファイアウォール上でネームサーバーを立ち上げますが、構築イ 1 業の段階では、とりあえすほかのホスト上で漣用しているネームサーバーを参照します。たとえば、ファイアウォールのドメインが、 mycom- pany ・ co ・ jp 、ネームサーノヾーの lP アドレスが AA. BB. CC. DD の場合、リスト 2 のような /etc/resolv. conf を作成します。 /etc/inetd. conf の変更 /etc/inetd. conf から、すべてのエントリを削除します。ばっさりときれいさつばり削除してください。ネットワーク経由でログインして作業をしている場合は、 telnet のエントリだけを残し、その他はすべて削除します。そして、 inetd にシグナル SIGHUP を送ります。 /etc/rc の変更多くの OS では、いろいろなデーモンか動いています。しかし、たとえ tirwhod や nfsiod はファイアウォール 88 にとっては不要です。そこで、これらのデーモンか起動されないように /etc/rc を編集します。 FreeBSD を使っている場合は末尾のリスト 3 に示した行を、 BSD/OS 2.1 ではリスト 4 に示した行を、そして BSD/OS 3.1 ではリスト 5 に示した行をそれぞれ削除します。 sendmail の起動オプションの変更標準の設定では、 sendmail はデーモンモードで起動されます。しかし、 FWTK のパッケージには SMTP コネクションを受け付ける専用のデーモンカ哈まれています。そこで、 sendmail の起動時 = のオプションを以下のように変更します。 FreeBSD の場合 /etc/sysconfig を次のように変更します。 sendmail—flags="-bd ー q30m ” sendmai1—f1ags="—q30m' BSD/OS の場合 /etc/rc を次のように変更します。 /usr/sbin/sendmail —bd —q30m /usr/sbin/sendmail —q30m /etc/hosts. equiv の設定次のコマンドを実行し、 /etc/hosts. equiv の設定をおこないます。 # rm —f /etc/hosts. equiv # touch /etc/hosts. equiv # chown root . wheel /etc/hosts . equiv # chmod 400 /etc/hosts . equiv その他の設定 BSD/OS の場合は、 BSD/OS 2.1 の場合こオ山外に次のような設定が必要ファイル /etc/netstart を次のように変更します。 rstatd=NO rwhod=NO rst at d=YES rwhod=YES UNIX MAGAZINE 1998.1

7. UNIX MAGAZINE 1998年1月号

連載 /FreeBSD ノートー⑩ mous ユーサーからはアクセスできない。 ayanami# 1 Ⅱ -s /cdrom /home/ftp/cdrom これは、リンク先のファイル名が chr 。。 t のあとのファイルシステムで解釈されるためである。このような場合は、 NULL ファイルシステムを経由して / cdrom を /home/ftp/cdrom にマウントするとよい。 ayanami# mount —t Ⅱ u11 /cdrom /home/ftp/cdrom こうすれば、 /home/ftp カ噺たなルートとなる anon- ymous FTP でも、 CD-ROM の内容をアクセスできるようになる。 NULL ファイルシステムと同様の機能をもつものとして、 SunOS などの loopback ファイルシステムがある。ューサーからみれははは 1 司しだが、カーネル内での実現方法に若干の違いがあるようだ。 UNION ファイルシステム UNION ファイルシステムを利用すると、あるファイルシステムの上に別のファイルシステムを重ねることかできる。コンフィギュレーション・ファイルのオプションは、、 UNION " である。 FreeBSD のライプ・ファイルシステム CD-ROM のソースコード部分をハードディスクに重ねてマウントすると、ファイルの修正部分のみをハードディスク上に置いておくだけでソースコードを自由に変更することができる。これはディスク容量の大幅な節約になる。また、おおもとのソースコードは変史しないようにしておき、ユーザーごとに修正用のマウントボイントを用意してこれに重ねてマウントすれば、ユーザーカ材固別にソースコードに変更を加えて利用することができる。これまでは、 X ウインドウ・システムに付属しているコマンド lndir を使い、ソースツリーをたどりながら対応するシンポリック・リンクを張っていく、というガ去をとることが多かった。しかし、変更を加えにくい反面、スーパーユーザーで作業しているとうつかりおおもとのファイルを変更してしまうことか在々にしてあった。 UNION ファイルシステムは便利であり、具体例を示そうといろいろ試してみた。しかし、 FreeBSD の現在のバージョンでは不具合があり、場合によってはシステムがパニックしてしまう。工点での利用はあきらめざるをえないが、ぜひ利用できるようにしたいものである。 UNIX MAGAZINE 1998.1 UNION ファイルシステムと同様の機能をもつものとしては、 SunOS などの TFS (Translucent File Sys- tem) がある。 UMAP ファイルシステム UMAP ファイルシステムを利用すると、指定したリストに従ってユーサー ID およびグループ ID を変換したファイルシステムかオ冓築できる。コンフィギュレーション・ファイルのオプションは、、 UMAPFS" である。利用例としては、 NFS やリムーバブル・テンヾイスでユーザー ID やグループ ID が異なる場合などカ考えられる。ソースコードをみてみると、ファイルシステムの機能のうち、ユーザー ID とグループ ID を処理する部分だけをトラップして変換し、あとは素通しするというイ督はみになっている。 stackable file system layer の典型的な利用例といえるだろう。そのほかのファイルシステムこのはか、 FreeBSD で利用できるファイルシステムとしては、テンヾイス・ファイルシステムやファイルディスクリプタ・ファイルシステムがある。前者は / dev 以下のデバイスファイルを、後者は / dev / fd 以下のファイル・ディスクリプタに対応するデバイスファイルを、独立のファイルシステムにまとめて提供するものである。従来のデバイスファイルは、通常のファイルシステムのなかに mknod コマンドで作成される ( 実際には / dev /MAKEDEV や /dev/MAKEDEV. local を利用することが多いが、どちらも最終的に mknod コマンドを呼び出す ) 。しかし、この方法ではカーネルの構成を自重加勺に央することかて、きない。すなわち、新しいデバイスをカーネルに加えたら、それに対応するデバイスファイルを作成しなけれはならない。デバイス・ファイルシステムなどを利用すると、っいったテンヾイスファイルが自第勺に現れるので、新たに作成する煩わしさがない。現在はまだ実験中だが、将来は全面的に採用されることになるかもしれない。 ☆ 次回からは、 FreeBSD におけるテンヾイスドライバについて、実際に開発を進めながら紹介する予定である。 151 ( はまだ・なおき )

8. UNIX MAGAZINE 1998年1月号

連載 / IJN Ⅸ知恵袋ー表 1 Update 命令が出力する印 U 保管庫のファイルが更新されていたので、作業ディレクトリのファイルを去肄 i のものに置き換えた A 作業ディレクトリに add 命令で追加されたファイル R 作業ディレクトリから rem 。 ve 命令で削除されたファイル M 1. 作業ディレクトリのファイルが更新された 2. 保印車のファイルが更新さかっ作業ディレクトリの対応するファイルも更所された。互いの変更を競合なく央させた C 保管庫のファイルか史新さかっ作業ディレクトリの対応するファイルも更新された。互いの変更に競合が発生している。手競合を回避する必要あり CVS の管理タ P ) ファイル。たとえは、作業ディレクトリに新しく作成したが、まだ add 命令で j 田川していないファイルなど図 4 競合が発生したファイル #include く stdio . h> くくくくくくく sample . c #define HELLOSTR " He110 Hanako\n" #define HELLOSTR " He110 Taro\n" main() { printf (HELLOSTR) ; 管庫に登録されているファイルに反映されます。図 5 に暗黙の統合がおこなわれた場合の画面出力を示します。 sample. c に対して競合なく統合できたことを意味するメッセージが出力され、統合の印である、 M " が sample. c に付いているのカ巧 ) かります。ただし、すでに述べたように、競合しているか否かは字面だけで判断されます。未的に競合している部分はどちらにせよ人手て陬り除く必要があります。 update 命令を実行したときに統合メッセージか表示されたら、どの部分か統合されたのかを調べましよう。変史点を調べるには CVS の diff 命令を使います。 diff 命令は次節で解説します。 rcsmerge : warning : conflicts during merge cvs update : conflicts found in sample. c C sample. c その結果、競合を示す、、 C " の印が sample. c に付けら B さんに競合処理を促してきます。 update 命令のと変更点の調査きに表示される印とその未を表 1 に示します。 A 、 R 、 ? は前回の例で登場しました。競合の調停や、暗黙の統合がおこなわれたあとは、意味 B さんは競合を調停しなければなりません。競合が発生的な間違いがないかをチェックすべきです。旧い改可番している sample. c は、図 4 のようになっています。号をもつファイルと現在のファイルの差分を調べる 0 は、 CVS の diff 命令を使います。競合が発生した部分が、くくくくくくくと > > > > > > > で囲まれています。 rcs をよく知っている人なら、このファイルがたとえば、さき刎列では sample. c て暗黙の統合が発生していました。図 5 に示した update 命令の出力から、変 rcsmerge コマンドの結果を出力したものだということが更点を調査するために必要な情報を読み取っていきましょ分かると思います。 B さんは、競合部分を探し出し、 ( たぶん A さんと話し合い、どちらの修正を反映するかを決う。図 5 では、改訂番号 1.2 と 1.3 の差分を取っていまめたあとに ) 再修正したソースを保管庫にイ隶します。す。つまり、現在の作業ディレクトリにファイルを取得したとき、改訂番号は 1.2 だったにもかかわらず、いざ暗黙の統合 update 命令を実行しようとしたら保管庫のファイルの改訂番号が 1.3 になっていたということです。 CVS は改訂競合が発生した場合の対処去は分かりました。次に番号 1.2 のファイルと改訂番号 1.3 のファイルの差分を、 2 人か編集したにもかかわらす、競合が発生しなかったと現在の竹業ディレクトリのファイルに統合してしまいましきのことをみてみましよう。た。ですから、変更点を詩べるには、最初 0 コ ( 得した改訂この場合、暗黙のうちに 2 人の変更点か統合され、保番号 1.2 のファイルと、現在の作業ディレクトリのファ二ⅱ一」 101 UNIX MAGAZINE 1998.1

9. UNIX MAGAZINE 1998年1月号

連載 /FreeBSD ノート一- 図 4 プロセスの軈の読出し 0 .3 0 .0 0 . 1 1 . 2 0 .0 PID %CPU cat 15127 15100 15127 297 5 , 5 ctty 880359023 , 550040 0 , 0 0 , 2724 nochan 0 0 0 , 0 , 0 ayanami# cat /proc/curproc/status 図 5 ps の出力い ayanami # USER root root neWS root ayanami# ayanami# USER て 00t root neWS root PS auXWW PID %CPU %MEM 195 207 210 233 258 umount p S 258 233 210 207 195 0 . 0 0 . 0 0 . 0 0 . 0 0 . 0 /proc 0 . 0 0 . 0 0 .0 0 . 0 0 . 0 %MEM 0 . 3 0 . 0 0 . 1 1 . 2 0 . 0 VSZ 204 216 260 3924 164 164 3924 260 216 204 VS Z RS S 168 12 44 736 12 12 736 44 12 168 RS S TT v2 TT v2 図 6 カーネル・ファイルシステムのマウント ayanami# mkdir /kern ayanami# mount ¯t kernfs kernfs /kern ayanami# 1s /kern bootfile boottime copyright hostname 10 adavg STAT STARTED 220Ct97 220Ct97 220Ct97 220Ct97 220Ct97 ls 十 ls S I S STAT STARTED ls + ls physmem pageslze TIME COMMAND /usr/local/atalk/etc/atalkd /usr/local/atalk/etc/papd /usr/local/atalk/etc/afpd /usr/local/etc/innd -p4 —iO /usr/libexec/getty Pc ttyv2 0 : 00.01 6 : 21.57 0 : 03.93 0 : 00.33 0 : 15 . 51 (getty) (innd) (afpd) (papd) (atalkd) T IME COMMAND 0 : 00 .00 0 : 00.00 0 : 00.00 0 : 00.00 0 : 00.00 verSIOn time ネル・ファイルシステムを利用すると、通常のファイル操作だけでこのような幸肋られるようになる。 stackable file system layer 4.4BSD は、前回紹介した VFS や vnode を採用したことにより、ファイルシステムの実装か容易になった。そのファイルシステムの及をさらに柔軟にするのが stack ー able file system layer である。これは、モジュール化した個々のファイルシステムの層を、重ね合わせて利用できるようにするものである。たとえば、物理第勺なファイルシステムの前処理として圧縮をおこなうイ瓦想的なファイルシステムを用意し、 2 つを重ね合わせて利用することなどが考えられる。 stackable でないファイルシステムの場合は、このような前処理はファイルシステムごとに用意しなけ川まならない。しかし 4.4BSD の場合は、前処理をおこなうイ瓦想的なファイルシステムを 1 っ用意すれば、どの物理ファイルシステムでも利用することができる。同様に、暙号化をおこなうイ瓦想的なファイルシステムを用意しておいて、日孫宿の層の上にさ 150 らに重ねるといった組合をも可能である。 4.4BSD では stackable file system layer の実例として、以下に挙げるファイルシステムを実装している。このファイルシステムではおもしろい機能が比較的簡単に実現できるので、ぜ兆戦してみてほしい。 NULL ファイルシステム NULL ファイルシステムは、既存のファイルシステムの任意のディレクトリを任意の場所にマウントできる。コンフィギュレーション・ファイルのオプションは、、 NULLFS" である。シンポリック・リンクと似ているが、機能を実現しているレベルが違うので生質は異なる。たとえは、ルート・ディレクトリの変更される anony- mous FTP などのユーザーでも利用することができる。この例について説明しよう。ディレクトリ /cdrom にマウントしている CD-ROM の内容を anonymous FTP でアクセスしたいとしよう。 ftp ユーザーのディレクトリが /home/ftp だとすると、以下のようにシンポリック・リンクを張っても anony- UNIX MAGAZINE 1998.1

10. UNIX MAGAZINE 1998年1月号

連載 / UN Ⅸ知恵袋ー RELEASE-I-I を作業ディレクトリに取得し、さらに RELEASE-I-I-FIX という名前でう圸支を作っています。 tag 命令の、、一 b " スイッチが分皮を作るためのスイッチです。分岐ができたら、バージョン 1.1 とは別の作業ディレクトリを用意し、そこで RELEASE-I-I-FIX のタグ名をもつファイルを checkout 命令て取得します。このように、 tag 命令でう岐を作るためには、 checkout 命令で旧いソースファイルを取得しておかなければなりません。これでは面倒なので、旧いソースファイルを取得しなくても研咬を作ることができる rtag という命令があります。これは、保管庫に入っているファイルに対してタグ名を付ける命令です。保管庫にある RELEASE-I-I を分岐させるには、 rtag 命令を次のように使います。 $ cvs rtag —b —r RELEASE-I-I RELEASE-I-I-FIX 分岐ができたら、タグ名として RELEASE-I-I-FIX を指定して check 。 ut 命令を実行します。取得したソースを修正し、保管庫への登録を繰り返すことで、別トラックでの開発を進めていくことができます。統合別トラックのファイルをいま自う朸鯛発しているトラックのファイルに統合したいときがあります。たとえば、バグ修正のために作った別トラックの修正を主トラックのファイルに反央させるときなどです。 CVS は分岐したソースの統合機能を提供しています。異なるトラックのファイルを統合させるためには、 checkout 命令か update 命令のどちらかを使います。いま、主トラックとは別に、 RELEASE-I-I-FIX というタグ名で分岐されたプロジェクトがあるとします。これを主トラックに統合する手順を具イ勺に示します。最初は checkout 命令を使う場合です。 $ cvs checkout —j RELEASE-I-I-FIX softlab/sample ー j " オプション・スイッチは、統合を孑ぐするスイツチです。、、一 j " に続けて指定したタグ名をもつファイルを現在の乍業ディレクトリのファイルに統合します。統合の 104 1. 分皮点を探す。手順は次のとおりです。 2. 分岐点のファイルと分岐したトラックの最新ファイルの差分を取る。 3. 上で取った差分を、現在作業ディレクトリに存在するファイルに適用する。分岐してから修正した部分すべてを、斤のファイルに適用するわけです。当然ながら、すべての差分が間題なく適用されるかどうかは保証されません。競合か起きたら、「競合の処理」の節で解説したような手順で手動による修正が必要です。次に update 命令を使った統合の例を示します。 up- date 命令ですから、すでにイ業ディレクトリにファイルか存在するけなわち、いったん checkout 命令を実行している ) ことかⅶ苻是です。 $ cvs update -j RELEASE-I-I-FIX もし、存在するファイルすべてを統合するのではなく、特定のファイルのみ統合したい場合は、引数でファイル名を指定します。たとえば、 sample. c の差分のみを統合したいのならば、次のようにします。 $ cvs update —j RELEASE-I-I-FIX sa-rnple . c ☆ 競合の処理と分充合のガ去が分かれば、 CVS を制し、までの角見で以下のことたといってもよいでしよう。こかできるようになりました。 1. CVS の準備 2. プロジェクトの登録 3. ファイルの取得 4. ファイルの追加、更新、削除 5. スナップショット 6. 多人数でのファイル更新 7. プロジェクトのう第充合ソフトウェアの開発に必要となる、基本的なプロジェクト管巣作カ辭忙されていることが分かります。次回は cvs コマンドの各命令についてみていきましょう。また齠介していない命令やオプション・スイッチなど、知っておくと便利な機能を角見します。 ( しま・けいいちシャーフ ) UNIX MAGAZINE 1998.1