変更 - みる会図書館

1. UNIX MAGAZINE 2003年7月号

USENIX Se ( リ「 i ツ Symposium したが、検知率が 100 % に達するのは tf-idf のはうがはるかに速かった。 kNN の変則的な検知を署名検証と組み合わせ川ま、攻撃をより効果的に検知することができるだろう。偽造されたリモートコール・ストリームのオロ Jonathon T. Giffin 、 Somesh Jha 、 Barton P. MiIIer ( ウイスコンシン : た学マデイソンオ効 Jon Giffin の講演では、 Condor や Globus といったリモート実行システムによって発行される石的なシステムコールを検知する方法が述べられた。検知はノヾイナリ・プログラムの実行前の静的分析にもとづいておこなわれ、これにより仕様が自重加勺に生成される。プロセスか生成可能なすべてのリモートコール・ストリームを表すモデルが構築された。プロセスはリモートで実行されるため、ローカルマシンはモデルを徐々に山も商化していき、受信したすべての呼出しがモテルに残るようにする。モテルは有限状態機械 (finite-state machine) であり、非決定性有限オートマトン (NFA) か、またはブッシュダウン・オートマトン ( PDA ) のどちらかである。オートマトンは、以下の 3 段階の作業で構成される。 1. バイナリ・フログラムの各プロシージャから制御フローグラフ (CFG) を抽出する。 2. CFG の集合をローカル・オートマトンに変換する。 3. アプリケーション内の関数呼出しの時点でこれらのローカル・オートマトンを構成し、アプリケーション全体をモデル化するフロシージャ間オートマトンを生成する。モデルの実用性は、精度と効率という 2 つの測疋基準によって決定される。精度を矼 E させるため、 NuII 呼出しの挿入と呼出しサイト名の変更という 2 つの手法か採用された。また、効率を上げるため、スタックの抽象化と NuII 呼出しの挿入が用いられた。これらのプロトタイフの実装では、 PDA がコンテキストに応じて変化することから、 PDA のほうが NFA よりも正確であることか判明した。ただし、 PDA には状態が急激に増加するという間 172 1 Ⅲ嶽はバイナリコードの斤から自動的に生成される。最後に、 Giffin は論文の要点を挙げた。クの最大サイズが制限された。ドか大きくなる。この間題を解決するために、題がある。スタックか際限なく膨ル E がり、実行スタッ 2. 正しい実行をモデル化する有ド具状態オ録戒か構築される。 3. PDA は精密だが、オーバーヘッドが大きくなる。 4. PDA スタックの制限と NuII 呼出しにより、正確な PDA モデルかイ吏用できるようになる。型を禾したパッフア・オーパーフローの動的な検出 Kyung-suk Lhee 、 Steve J. Chapin ( シラキュース大学 ) Kyung-suk Lhee はノヾッフア・オーノヾーフロー・一攻撃をとりあげ、とくに有名なスタック破壊攻撃について発表した。これは、関数のリターンアドレスが - E 書きされ、悪意あるコードがスタックに挿入されて、関数から制御カ唳るとそのコードに移動するというものだ。 Lhee らカ甘是案する手法の鍵となるのは、バッフアのサイズは分かるのでコンパイル時に実行可能ファイルにテープルを作成し、実行時にバッフアのサイズをテープルと照合するというアイデアである。 Lhee は、実装の概要を次のように述べた。 1. 自動変数と勺変数の型 ( サイズ ) を各内する、、型テープル " を構築する。 2. malloc() を横取りしてヒープ変数を別のテープルで管理する。 3. C ライプラリの脆弱なコヒー関数の代わりにラッパー関数を使用して、バッフアサイズを型テープルと照合する。フロトタイプは Linux 上で GNU C コンパイラを拡張するという方法で実装された。各オプジェクト・ファイルには型情報が追加されるが、ソースコードは変わらない。型テープルの作成を実行時まで遅らせるために、各オプジェクト・ファイルには型テープルを作成するコンストラクタ関数、、 ct 。 r " か割り当てられている。境界確認は共有ライプラリの関数でおこなわれる。ソースファイルは変更されないので実装は透過的であり、プログラムはソース・ディストリビューションで提供される Makefile を使って通常と同様にコンパイルされる。型テープルが追加されたオプジェクト・ファイルには、ネイテイプのオプジェクト・ファイルとの互換匪がある。イされているバッフアをオーバーフローさせたりこの手法は他の手法よ悪用することはできない。さらにりも回避することが困難であり、包十乱勺に境界を確認する UNIX MAGAZINE 2003.7

2. UNIX MAGAZINE 2003年7月号

特集 VMware Ⅳ 0 ⅸ s 怕加〃 4 白崎博生 400 の概要 Workstation 4.0.0 では、新たに以下のような機能が 1 年半ぶりのアップグレードになります。ました。 3.0.0 のリリースが 2001 年 11 月ですから、約メジャー・バージョンアップとなる 4.0.0 がリリースされ 2003 年 4 月に、 VMware Workstation の 3 回目のト OS) ・ Windows Server 2003 への対応 ( ホスト OS とゲスのファイルコピー (Windows 版のみ ) ・ドラッグ & ドロップによるホスト OS とゲスト OS 間・ USB 2.0 対応・ Wi-Fi ( 無線 LAN) 対応グラフィックのノヾフォーマンスー矼 - ヒ・サウンドの品質向上・イ反想ネットワークの重加勺変更・ホスト OS とゲスト OS 間の共有フォルダ・スナップショット機能新デサインのユーサー・インターフェイス追加されました。 UNIX MAGAZINE 2003.7 " を満足させるのではなく、より使いやすくすることに今回のバージョンアップは、このような、物欲ューサ利用できることに喜びを感したからかもしれません。い " という谷ラか私のなかにあり、新しいハードウェアがました。しかしそれは、、、あれも使いたい、これも使いたモードへの対応など、私は雷に打たれたような衝撃を受け Generic SCSI テンヾイス、 CD-ROM の Raw Access バージョン 3.0.0 がリリースされたとき、 USB や重点を置いた機能が追加されたような気がします。とくに、スナッフショットやイ瓦想ネットワークの重加勺な変更などは、使ってみるとなかなカ硬利です。以前のバージョンで作成したイ反想 PC のファイルは、新しい形式に変換するように求められます。ただし、逆変換の道は用意されていません。とりあえず 4.0.0 を試してみるけれども、 3. x へバージョンダウンする可能生があるのなら、旧い形式のまま使い続けることもできます ( ただし、念のため 0 ンヾックアッフ・コピーはかならずとっておきましよう ) 。これまでのバージョンアップでは、このような変換作業はイ腰でした。おそらく、今回はそオけごけ大きな変更カ販想 PC に加えられたのでしよう。ただし、変換にはかなりの手間がかかり、さっさとゲスト OS を再インストールしたほうが早いのではと思うほどです。また、この作業には順番があるので、マニュアルも読ますにとりかかると変換に失敗するかもしれません。おもなゲスト OS についての作業手順はあとで説明します。今回は、 VMware Workstation 4.0.0 ( ヒ、ルド番号 4460 ) について、 Linux をホスト OS にした場合のインストールカ 1 去と、新しい機能について説明します。インストール 4.0.0 のインストール手 ) 頂は、です。システム要件以則のバージョンと同様基本的なハードウェア要件は、従来ととくに変わりはありません ( 表 1 ) 。しかし、バージョンアップのたびに巨 27

3. UNIX MAGAZINE 2003年7月号

連載 /Red Hat Linux のツールたちー② 図 13 フィルタ・スクリプトの変更 ( 62 行目 ) 変更前 $GSCONF ー $PIPS —ui C 変更後 $GSCONF ー $PIPS -ui C ー smbclient \\\\hostos\\pm pasuwa-do -U hayao —c 'print ー ' 図 14 印刷中のプリンタ・ウインドウ ( ホスト OS) 一列ンタ 0 ドキュメント 0 表示ヘルプ旧 ) 回リモートダウンレベルドキュメント印刷中 EPSON PM -9 朝 h3Y30 ユとⅱ ) ドキュメントフィルタ・スクリプトの変更 124 M 日 / 241 MB 1 : 22 : ( ゲスト OS では、フィルタ・スクリプトを変更し、 smb- client を用いてホスト OS に印刷データを送信するようにします。フィルタ・スクリプトの中身を見ると、 gscon- fig900 による変換と pips90() を用いた印刷設定を 62 行目でおこなっていることか分かります。そこで、その結果をパイフ。でつなぎ、 smbclient にデータを渡すように変更します ( 図 13 ) 。ホスト OS のフリンタにアクセスするためのパスワード ( 図 13 の例では pasuwa-do) をそのまま埋め込んでいるので、このスクリプトを他人に見られないように十分注意してください。さらに、プリンタがネットワークに茁妾接続されている場合と同しくステータスモニタが使えないため、起動しないように変更する必要もあります。 /etc/printcap. local への言追加プリンタ名が pmsmb" だとすると、 /etc/printcap. local には以下のようなエントリを追加します。 pmsmb : \ : sd=/var/spool/lpd/pmsmb : \ : lp=/dev/null : \ : if=/usr/Ioca1/EPKowa/PM900C/fi1ter900: 印刷データは、フィルタ・スクリプトから起動される smbclient コマンドによってホスト OS に送信されます。そこで、 lp パラメータの値は、、 / dev / nu ににしておきます。そして、追加したプリンタのためのスプール・ディレクトリを正しく作成し、 lpd デーモンを起動す川ま、 lpr 134 コマンドで PS ファイルの印刷ができるようになります。ホスト OS 側でプリンタのウインドウを開いておくと、印刷中はジョブか図 14 のように表示されます。 ☆ 今回は、 EPSON のインクジェット・フリンタ用のフリンタドライバ PIPS を紹介しました。 PIPS を導入すれは、前号て貂介した BJFilter と同様、 Red Hat Linux から高品質な「卩刷が可能になります。 PIPS では、 GUI の印刷設定パネルを使わない場合、印刷時のパラメータ ( 用紙や印刷品質など ) を専用のコマンドで変更・保存できます。この点では、 BJFilter よりも PIPS のほうがやや使いやすいような気がします。次回もプリンタの話題で、新世代印刷システムといわれる CUPS (Common UNIX Printing System) を紹介する予定です。 ( よこがき・はやお ) [ 文献 ] [ 1 ] 横↓巨駿隹「 VMware Workstation 3.2 ( 3 ) ーープリンタの設定」、 UNIX MAGAZINE 2003 年 5 月号 UNIX MAGAZINE 2003.7

4. UNIX MAGAZINE 2003年7月号

Security Symposiu m USENIX 寺定多数からのアクセスを受け付ける確実性の高い構成管理システムにおけるアクセスと整合性の制御 Jonathan S. Shapiro 、 John Vanderburgh ( ジョンズホプキン - て大学 ) Jonathan Shapiro は、オーフンソース・フロジェクトにおいて確実の高い開発をサポートすることを目的とした OpenCM という新しい構成管理システムを紹介した。 Shapiro はます、構成管理 (CM) とは何かという質間を投げかけた。その答を述べる前に、 Shapiro は、、ファイルまたは一里のファイルのノヾージョンを管理する " という 2 つの答を提示したが、これは彼自身限定的すぎると考えているものだ。 CM システムとは、、、属性付きの BLOB (Binary Large OBject) の DAG (Directed Acyclic Graph) の格子構造 " ( たとえは、ファイルバージョン・ツリー間の関係 ) と、作業空間におけるファイルのバージョンと名前との叫生をファイルのメタデータとともに管理するものである。 Shapiro らは、ます新しい CM システムの開発に着手した。なぜなら、 Common Criteria の最大保証レベル EAL7 ( かってのオレンジブックのレベル AI に相当する ) と認定されるオペレーティング・システム (EROS) の開発を刻爰する必要があったからだ。この保証レベルでは、ソフトウェア開発のトレース、監査、再現が可能であり、アクセス制御がおこなわれていることと、データの整合性が高いことか要求される。 EROS はオープンソース・プロジェクトとして開発されるため、 CM システムが多数のプロジェクト参加者をサポートしなけれは。ならないという条件もあった ( ただし、すべての参加者にメインリポジトリへの書込みアクセスを許可する必要はない ) 。このすべての条件を満たしている CM システムは存在しないという事実に加えて、 Shapiro は、、実用的な " CM システムが必要であることと、既存の商用製品がオープンソースの開発モデルを十分にサポートしていない点にも言及した。 OpenCM の目的は、不正なユーサーによる ( ソースコード・リポジトリの ) 改竄、不正侵入されたクライアントによる改竄、オペレーティング・システムを通した不正侵入、ソースリポジトリの偽装、リポジトリの内容の改竄などからフロジェクトすることである。これらの目標を達成するため、 OpenCM は各変更リクエストに対する整合生と承認のチェーンを確立し、トランサクションを 174 使って変更をリポジトリにコミットする。 Shapiro は、整合生の条件を満たすためのホイントは、 CM システムかオ内するオプジェクト ( 特定のリヒ、ジョンのファイルの内容など ) のほとんどが、 ( アーカイプの性質上 ) まったく変化しないのに気つ、くことだと語った。 Shapiro はこれらのオプジェクトを、、フローズン・オプジェクト " と呼んだ。したがって、フローズン・オプジェクトの内容の暗号ハッシュもけして変化せす、フローズン・オプジェクトを参照する名前として使用できる。このような名前が逆参照される場合には、オプジェクトの内容の整合生を即座に確かめることができる。可変オプジェクトの整生は、暗号署名で確認できる。リポジトリに対する変更は、フローズン・オプジェクトとしての新しいデータの追加と、 1 つの可変オプジェクト ( 変更がコミットされる枝 ) への独立した改訂に限られる。可変オプジェクトへのアクセスは、アクセス制御リストを使って制御される。 Shapiro は次に、 OpenCM の弱点をいくつか挙げた。盗んだリポジトリ / サーバー鍵を使用したコンテンツへの不正アクセス、過去のバージョンのハッシュ名が知られることによる履歴の開示、データベース・スキーマとクライアント / サーバー・プロトコルのスキーマを別個に進化させるなどである。 Shapiro はこれらの間題の解 : 去や復旧法を提示した。 Shapiro は最後に、自分のラッフトップ PC を使って OpenCM の実演をおこなった。 Petros Maniatis ( スタンフォード大学 ) から、 1 つのリポジトリに対して複数のサーバーカ材威をもっことは可能かという質間が出された。 Shapiro の答は、単一のリポジトリへの分散更新は実現不可能なほど複雑なので、 OpenCM はこの操作モードをサポートしていないというものだった。ただし、 ( 権成のない ) 複製されたリポジトリに変更をコミットし、あとて権威のあるリポジトリに変更をマージするという方法がある。参加者から、変史には署名が必要かという質問カ咄された。 Shapiro は、その必要はないが、この場でとりあげるには複雑すぎるテーマだと述べ、これについては発表が終ってから個別に言侖したいと語った。 Richard Wash (CITI Michigan) から、 2 つの異なるフローズン・オプジェクトがたまたま同じコンテンツ・ UNIX MAGAZINE 2003.7

5. UNIX MAGAZINE 2003年7月号

連載 /Red Hat 凵 nux のツールたち一一② 図 3 /etc/printcap. local に追加されたエントリ # printcap. 10Ca1 # This file is included by printconf ' s generated printcap, # and can be used tO specify custom hand edited printers . これらについてはインストール時に自重加勺に設定されま : if=/usr/10ca1/EPKowa/PM900C/fi1ter900: : 1p=/var/ekpd/ekp1p0 : \ : sd=/var/sp001/1pd/pm900c : \ pm900c : \ # written for pips900 # pips900 end ています。 /var/sp001/lpd/pm900c 追加されたプリンタのためのスプール・ディレクトリが自重加勺に作成されます。・ etc/servlces ステータスモニタ (ekpstm) が ekpd デーモンと通信するときに使うポート番号を定義するために、以下の行がファイルの末尾に追加されます。なけ川まなりません。すが、下記の 3 つの作業はユーサー ( 管理者 ) がおこなわ # pips900 end cbtd 35586 / tcp # written for pips900 書かれています。 PIPS のインストール直後には、このイルのパス名などは /etc/ekpdrc というファイルにへの印刷データの出力をおこないますが、テンヾイスファ ekpd デーモンは、プリンタの監視とデバイスファイル・ ekpd デーモンの設定ファイルの変更 ( 必要であれは ) ができないようにします。を実行し、ディレクトリの所有者 (lp) 以外は読み書き # chmod 700 /var/sp001/1pd/pm900c この警告メッセージが出ないようにするには、起測時に警告メッセージか表示されます。ションが、、 755 " になっているため、 lpd デーモンの再 - リは自重加勺に作成されますが、ディレクトリのパーミッ新たに追加されたプリンタ用のスプール・ディレクトスフール・ディレクトリの / ヾーミッションの変更 130 図 4 /etc/ekpdrc の初期状態 PrinterName = pm900c PrinterDevicePath = /dev/1p0 DummyDevicePath = /var/ekpd/ekp1pO 35586 CommandServerPort ファイルの内容は図 4 のようになっています。テパイスファイルの絶対パスだけでなく、ダミーのデバイスファイルや ekpstm からのアクセスを受け付けるポート番号などか第当されています。図 4 からも分かるように、匆月設定ではテンヾイスファイルがパラレルポートを意味する、、 /dev/lp()" になっています。したがって、プリンタが USB ポートに接続されている場合は、、 /dev/usb/lp()" などに変更する必要があります。・ lpd デーモンの再起動と ekpd デーモンの起動以にの追加・変更をおこなったら、 lpd デーモンを再起動します ( 図 5 ) 。また、インストール直後は ekpd が起動していません。そこで、図 5 の 4 行目のように実行して ekpd デーモンを起動します。なお、 PC 自体を再起動するのなら、この作業は不要です。印刷してみよう PS ファイルを印刷する場合、ユーサーは次のように lpr コマンドを実行するだけです。 lpr —Ppm900c PS ファイル名リンタへの出力が自重加勺におこなわれます。すると、図 2 の流れに従って、印刷データの変換とプ UNIX MAGAZINE 2003.7

6. UNIX MAGAZINE 2003年7月号

特集 VMware Ⅳ 0 ⅸ s 加 n 4 ディレクトリか起点となります。下のように設定し、ホスト OS 上のホーム・ディレクト ware Tools のフロバティで疋します。たとえは私は以共有フォルダのドライプ文字を変更したいときは、 VM- Name で設定した名前のフォルダが表示されているはす ERS" をクリックしてみましよう。そのなかに、図 9 の以上の設定が終ったら、図 7 の、、 SHARED FOLD- に、自重加勺に EnabIed のチェックが外れます。くと、仮想 PC の電源を切ったりサスペンドしたときーをチェックしておは、こをチェックします。 Read-only : ゲスト OS からの書込みを拒否したい場合このチェックを外します。したい場合は、 EnabIed : 一日判勺に共有フォルダからのアクセスを拒否・ DisabIe after thiS session : 0 仕・ Read-only : on ・ Enabled : on ・ Host path ・ /home/sirasaki ・ Name : リを Z:*Home としてアクセスしています。 UNIX MAGAZINE 2003.7 正されることを期待しましよう。うまく動けばたしかにイ叫リなので、次のバージョンで修 only をチェックして使用しています。くものもあり、どうも原因がよく分からないので Read- 最後の 2 つは、アプリケーションによってはうまく動・ファイルを読めないこともある。ある。の内容か末尾に残っている (truncate しない ) ことが・ファイルの上書き保存をおこなうと、以前のファイル成される。・ファイルの新規作成に失敗し、長さ 0 のファイルが作異常終了することがある。・フォルダのプロ . パティを表小すると、 explorer. exe がバージョンでは次のような不具合が発生します。なかなカイ叫リそうな機能なのですが、残念ながら現在の仮想ネットワークの動的変更仮想 PC のネットワーク・アダフ。タの動作タイプは、 Bridged 、 NAT 、 Host-Only 、 Custom のいすれかを選んで設定することができます。以前のバージョンでは、この重川乍タイプを設定できるのは佖想 PC の電源を切っているときだけで、設定を変更するにはゲスト OS をシャットダウンしなければなりませんでした。しかし、現実の PC を考えると、 OS か動いているときにネットワークのケープルを抜き、別のハプに接続しなおすようなことは日常的におこないます。バージョン 4.0.0 では、イ反想 PC の電源を入れたままの状態てイ反想ネットワーク・アタブタの重川乍タイプを変更できるようになりました。たとえば、ゲスト OS を再起動せすに Bridged から Host-OnIy に変更したり、その逆作も可能です。ついでに、イ反想的にネットワーク・ケープルを引き抜くこともできます。設定を変更するには、 Edit メニューの、 RemovabIe Devices" から操作します。サウンドの品質向上従来のバージョンでは、ゲスト OS 上で音を鳴らすとプチプチと音飛びしていましたが、これがなおります。 4.0.0 では、 Sound Blaster 16 / Pro に加えて、 Sound Blaster Ensoniq AudioPCI のエミュレーションが追加されました ( 図 10 ) 。 W ⅲ d 。 ws か起動するとき、凾ならはチャラララーン ) という音カヾ充れます。これまでは、、チャぶちラふ、ちララぶちぶち " となってイでしたが、イ瓦想 AudioPCI を使用すれば本来の音か鴫ります。ただし、イ瓦想 AudioPCI を利用するには、ゲスト OS でデバイスドライバを入れ替えなければなりません。ところが、旧い Windows のインストール CD には Au- dioPCI のテンヾイスドライバは含まれていないため、 Cre- ative の Web ページからダウンロードする必要があります。これまでの Sound Blaster 16 / Pro もエミュレートされるので、 VMware 上では音楽は聴かないという人は、ドライバを入れ替えすにそのまま使ってもかまいません。 35

7. UNIX MAGAZINE 2003年7月号

にヌ寸応つ、けて扱います ( 160 個の文字コードのうち、 0X20 未満の 32 個はさきほど紹介したオフセットやエスケープコードなどに用いられています ) 。 locate データベース中に 0X80 以 - ヒの文字コードの文字か現れた場合には、の先頭に置かれたデータから 2 文字に拡張して解釈されます。しかしこの方法では、文字コードが 0X80 以 E の文字がファイル名として使われているときにそのままデータベースに格納すると、その文字も 2 文字の組に展開されてしまうことになります。そこで、このようなケースに対処するためにエスケープ文字が用意されています。ファイル名にこれらの文字が使われている場合、データベースには文字コード 31 (0x1f) の文字を書き出してからその文字を書き出します。つまり、 31 という文字があるときは、次の文字の文字列への展開はおこなわないという未になりとあれは q0X81 ] は文字コードが 0X81 である 1 文字を /b [ 0X81 ] /li [ 0X83 ] いう文字列を表します。 h t i Ⅱ i 1 s t . h d e ・ g m 1. たとえは、データベースの先頭のはうにます。とオ内されている場合、 0X80 は ht 、 0X81 はⅲ、こでデータベース中に /bin/list 表します ) 、これは、を表すことになります。 /tmp/ あを意味し、最終的に、 /tmp/ C0xa4] C0xa2] と書いてあれば、 /tmp/ [0x1f] [0xa4] COx1f] C0xa2] いる場合、データベース中にまた、ファイル名の文字コードとして EUC を使ってを表していることになります。ァータベースの作成それでは、データベースの作成去についてみていきま UNIX MAGAZINE 2003.7 プログラミング・テクニック・ 66 /etc/peri0dic/weekIy/310. locate データベースは定期的に更新しなければなりません。のデータベースには、ある時点でファイルシステムに存在するすべてのファイルのパス名かオ褓内されますが、これらのファイルの状態は日判りとともに変化します。したがって、適当なタイミングてデータベースを更新しないと、すでにファイルシステム上にはない古いファイルか登録されたままになったり、新たに作成したファイルがいつまでも登録されないことになってしまいます。このような間題カ起こらないように、 FreeBSD ではシステムの設疋ファイルで weekly-locate-enable という変数を指定できます。この変数は、 /etc/periodic. conf ファイルや /etc/periodic. conf. 10Ca1 ファイルのなかで使います。とくに指定しなければ、デフォルトで YES となります。この値が YES の場合には、 locate データベースが 1 週間に 1 回自重加勺に更新されます。実際に起動されるのは、 /etc/periodic/weekly ディレクトリにある 310. locate ファイルです。このファイルでは、ます設定ファイルを読み込んだあと、次のようなコー 73 しながら実行します。さらに重要なのは、このファイルをりへの景を考えて nice コマンドにより優先順位を変更めのコマンドが /usr/libexec/locate. updatedb で、周れは、 locate データベースの更新をおこないます。そのたつまり、 weekly 」 ocate-enable 変数のイ直が YES であ chmod 444 $locdb Ⅱ rc=3; nice ー 5 su -fm nobody Ⅱ rc=3 ech0 /usr/libexec/locate . updatedb ー疇 - cd / chmod 644 $locdb Ⅱ rc=3 chown nobody $locdb Ⅱ rc=3 touch $locdb & & rc=O Ⅱ rc=3 locdb=/var/db/locate . database echo "RebuiIding locate database : echO " CYy] [Ee] [ss] ) case "$weekly—locate—enable" in 以ート 1 司様 ) ドを実行します ( 誌面の都合上、で折り返しています。

8. UNIX MAGAZINE 2003年7月号

Linux 関連のソフトウェアの更新清報をお届けする。 *Linux カーネル今回は、開発版カーネル 2.5.66 ~ 2.5.69 のおもな変更点についてまとめてお伝えする。カーネ丿レ 2.5.66 SGI のビジュアル・ワークステーション、 Radeon 、 Riva 、 Netmagic でのフレームノヾッフア・サポートの強イヒ、 SCTP (Stream Control Transmission Protocol) での IPv6 アドレスのサポート、 ALSA の更新、 parisc アーキテクチャの更新、 cpufreq での重複コードの削除、 XFS での初期化部分の修正や間違ったデバッグコードの削除など、カーネル 2.4 でのタイマー機能の修正の適用、 MMU をもたないマシン用のコードの追加 (uCIinux のパッチを適用したもの ) 、 e100 、 e1000 ネットワーク・ドライノヾの修正、 nbd (Network Block Device) をカーネノレ 2.5 で動作させるための修正、 sparc64 および m68k アーキテクチャでの細かい修正、 PC カード里の修正などがおこなわれた。また、 PC ー 9800 サポートコードがマージされた。マージされた内容は、各種ドライバ (C-bus ネットワーク・カード、 8250- pnp シリアル、 CS4232 サウンドカード、プリンタ、 IDE 、キーポード、バスマウス、パーティション・テープル ) 、その他の各種コード ( プート部分、セットアップとトボロジー情報、 PCI BIOS 対応部分、システム定鞫などである。カーネル 2.5.67 ACPI 、 knfsd 、 tmpfs 、 USB speedtouch などの修正、 PnP BIOS の更辛万、 alpha 、 ppc64 、 ppc32 各アーキテクチャの更新、 X86 ー 64 アーキテクチャでカーネル 2.4 系列での変更を反映、 XFS で quota コードを別ディレクトリに分離、 PC -9800 アーキテクチャでの SCSI ドライバのサポート、 cramfs をコンパイル可能にする修正、 ext3 での最大ファイルサイズを 32GB から 2TB に一宮地利幸、田淵員昭 UNIX MAGAZINE 2003.7 修正 3C980 ネットワーク・ドライバの追加、 devfs でのノヾーティションの扱いの手多正、 usmdos ファイノレシステムの修正、 ext3 でのイ畯なコードの削除による高速化、 sparc64 アーキテクチャでの GCC 3 対応の更新など。カーネ ) レ 2.5.68 Aic79xx SCSI ドライノヾ、 AGPGART グラフィック・ドライバの更新、 USB ストレージ、 e1000 ネットワーク・ドライノヾ、 XFS 、 NFSv4 、 knfsd 、 devfs の修正、 PC ー 9800 でのフロッピー・サポート、 IGMPv3 のサポート、 ALSA 、 IEEE1394 の更新、各アーキテクチャでの啝多正 (ia64 の POSIX タイマー、 S390 のネットワーク・ドライノヾ、 alpha の execve() 、 sparc 、 arm) などがおこなわれた。また、 GCC のバージョン 2.95 以上でコンパイルできるようにコードを修正して、 GCC 2.91 を不要にした ( ドキュメントではすでに 2.95.3 か推奨されている ) 。カーネノレ 2.5.69 NTFS の更新、 arm アーキテクチャの更新 ( キャッシュの扱いを関数ごとから機能ごとに変更、 NWFPE (NetWinder Floating Point Emulator) . パッチでの性能改善 ) 、 ACPI パッチの更新、 POSIX タイマーの改良、 sys-shmdt() の高速化、 --GFP-REPEAT 、 --GFP-NOFAIL 、一 -GFP-NORETRY の実装、メモリ不足時に swapoff を実行できなくする変更、ディスクの糸兤 1 。情報を 1 つのファイルにまとめる変更、 devfs の改良、 blk-run-queue 自身が spin 」 ock するようにする変更、ネットワーク・ドライノ頁での irqreturn-t への対広 sparc アーキテクチャでコンパイルを通すための修正、 IEEE1394 の更新、 Xeon CPU (Pentium III と pentium 4 べース ) への対応、スワップなしの場合にソフトウェア・サスペンドを無効にする修正、 lntel ixgb (10GbE) ドライノヾのマージ、 jbd (JournaIing Block Device) をモジュールて使えるようにする改良、 X86 ー 64 説明する。 Red Hat Linux 9 の基本バッケージについて簡単に *Red Hat Linux 9 XFS で窈多正など。アーキテクチャの更新、 Bluetooth 、 SNMP6 、 USB 、 161

9. UNIX MAGAZINE 2003年7月号

特集 LDAP でネームサービス 1 LDAP のアクセス制御 LDAP では、バインド処理によってユーサー認証をおこなうイ督目みは定義されているが、個々のデータへのアクセス制御をおこなうガ去はまだ規定されていない。現在、 IETF で竹業中であり、そう遠くないうちに規定されると思われるが、点では実装ごとに独自窈旨定ガ去カイ吏われている。 iPIanet Directory Server では、個々のエントリに対して ACI を言当することで、そのエントリと下位のエントリのアクセス制御をおこなうことができる。逆に言えは、あるエントリに対する ACI は、その子にあたるエントリに継承される。 ACI では、どのホストの、どのユーザーが、どの日時にどのようなレコードの ( フィルタ条件 ) 、どの項目 ( 属性条件 ) を、どう操作できるかを設定する。管理コンソールでは、これらの条件を下に示した GUI 画面で設定したり、 ACI 文を手・「ド業て編集することができる。具ー勺には、オプジェクト ( ェントリ ) を j 尺し、マウスの右クリックて表示されるメニューから、アクセス権の設定・・・ " お尺する。 1 つのエントリに複数の ACI を指定して細かなアクセス制御を指定することも可能だが、 ACI の適用順序の言驩各は不可能で、つねに、禁止 " を表すアクセス匍衂文が優先されてしまう。そのため、望むアクセス制御を : 見するにはグルーフ。やノードの親子関係を活用し、いくつもの ACI を書く必要があるようだ。 dc=ngpl,dc=cm の ACI の編集名・ CO れ一まスー日 010 れ . 、 d 以えれたーまた 0 ーアクセス権のあるユーザが実行可能な処理を選択してください。材ロ compare search wrne d&te Proxy ターゲッ届性の値を参照し之くだきい。ターゲット属性値を比較します。ターゲット属性が存在するかどうか確認します。別のユーザとして認証します。ターゲットエントリを追加します。ターケットエントリを削除します。ターゲットの属性を変更します。ターゲットに独自の ON を追加します。手動での編集凹を定義する。 —QA Managers : オプジェクト・クラス groupOf- UniqeNames のノードで、 Product Testing グルーフ ( このグループは初期状態では存在しない ) のメンノヾーがもつ属性値を変更できる管理者グループを定義する。 —PD Managers : オプジェクト・クラス groupOf- UniqeNames のノードで、 Product Development グループ ( このグループは初期状態では存在しない ) のメンバーがもつ属性値を変更できる管理者グループを定義する。である。通常、 People 自己のパスワード (userPassword) や電話番号 (tele- トなどの、、人 " に対する情報を集積する。 ACI として、このツリーの下にユーザー・アカウンオプジェクト・クラス organizationaIUnit のノード 118 count Manager や HR Managers グループのメン phoneNumber) の変更を許可するものと、上記の Ac- すべて検査色 ) 検査しないへ . ルプたんなるサンプルと思われるので、削除してもかまわなある。とくに彳難リや関連するアクセス権の設定はなく、オプジェクト・クラス organizationalUnit のノードで Special Users ことを許可するものがイ寸加されている。バーが、それぞれの管理対象グループの情報を変更するこのようにていないので、ならない。要に応じてデータを LDAP サーバーにロードしなけれはアプリケーションから利用する際には、必ネ羽大態では実際のデータはまったく入っ UNIX MAGAZINE 2003.7 ( ながはら・ひろはる NS フランニンク ) ↑青報検索などについて説明する。ための設定ガ去と、アドレス帳アプリケーションを用いた次回は、 LDAP サーバーをネームサービスとして使う

10. UNIX MAGAZINE 2003年7月号

特集 VMware Ⅳ 0 ⅸ s ね加 n 4 (b) [ 変更 ] をクリックする。 (c) 製造元に、、 Vmware, lnc. " 、ディスフレイに ware SVGA II" お尺する。 (d) [OK] をクリックする。 (e) [ はい ] をクリックする。 (f) [OK] をクリックする。 (g) [ 閉じる ] を 2 回続けてクリックする。 10. 石忍のウインドウか表示されるので、 [Yes] と [OK] ポお尺する。 9. File メニューから、、 Upgrade Virtual Hardware.. 8. Windows をシャットダウンする。 7. 、、画面のフロバティ " でデスクトッフ領域を設定する。をクリックする。 6. 、、無効なディスプレイ設定 " が表示されるので、 [OK] 5. 再起動を求められるので、 [ はい ] をクリックする。 Red Hat Linux 7.2 12. イ反想 PC の電源を入れる。 11. しばらくじっと待つ。タンをクリックする。検知して自動的に設定してくれるため、更新作業は簡単 Red Hat Linux でも、 Kudzu がデノヾイスの変更を Configuration" と、、 Configure" を〕尺する。 3. Kudzu がテパイスの変更を検知するので、されるので、 [OK] ボタンをクリックする。 2. 新しい CMOS をインストールするメッセージカ俵示 1. 佖想 PC の電源を入れる。です。 R. 5. ューサー root でログインし、次のコマンドを実行して択する。 4. File メニューから lnstall VMware Tools... " を選 44 6. Linux をシャットダウンする。 # . /vmware—install. pI # cd vmware—tools—distrib # umount /cdrom tar ・ gz # tar xvfz /mnt/cdrom/vmware—linux—tools . - # cd /tmp # mount /mnt / c drom VMware Tools をインストールする。 7. File メニューから、、 Upgrade Virtual Hardware.. お尺する。 8. 石忍のウインドウか表示されるので、 [Yes] と [OK] ポ This is a legacy sound device.. Adapter" をクリックします。このとき、ら、、 Virtual Machine Settings... ' を〕択し、サウンドデバイスを変更するには、 Edit メニューか 10. 仮想 PC の電源を入れる。 9. しばらくしっと待つ。タンをクリックする。 Sound 作中もスナップショットをとれるようになります。しかし、設定ファイルを以下のように書き換えると、動のは、仮想 PC の電源を切っているときだけです。か実行できません。そのため、スナップショットをとれる FreeBSD では、、、 Upgrade VirtuaI Hardware.. せん。うより、、、何もできない " といったはうが正確かもしれま FreeBSD ではとくに何もする必要はありません。とい FreeBSD 4. x alias sound—s10t—0 eS1371 かを石忍してください。 /etc/modules. conf に以下のエントリが追加されているか更新されます。念のため、ログインしたあとにファイルを検出して、自重加勺にデバイスドライバ ( eS1371 ) の設疋次に仮想 PC の電源を入れると、 Kudzu が AudioPCI いう表小がなくなります。いったん削除してから再隻追加します。すると、 legacy とと表示されているはすです。ここで、 Sound Adapter を config. version = 6 virtualHW . version ↓ config. verS1011 virtualHW . version 2 ただし、このガ去はあくまでも自己責任でおこなってください。危ない橋を渡るぐらいならば、、、更新 " するのではなく、新規にインストールし直すはうがよいでしよう。 UNIX MAGAZINE 2003.7