ユーザー - みる会図書館


検索対象: UNIX MAGAZINE 2005年7月号
47件見つかりました。

1. UNIX MAGAZINE 2005年7月号

・ SMTP Auth ・ POP before SMTP ・ Web メール ・ VPN 接続 ・ SSH トンネル これらは一長一短があり、どの方法を選択するかは利用 状況などをよく考えて検討する必要がある。それぞれの特 徴を簡単に説明しておこう。 ・ SMTP Auth メールの送信時に SMTP サーバーでユーザー名とパス ワードによる認証をおこない、許可されたユーザーから の送信要求を処理する方法である。認証メカニズムのあ る SMTP サーバーであれば、導入も比較的簡単である。 ただし、クライアント (MUA: Mail User Agent)3 が 対応していることが条件になる。もっとも、最近は Out ー 100k Express や Thunderbird 、 AirEDGE PHONE AH-K3001V などでもサポートされており、使えるユー ザーはかなり多いのではないだろうか。 ・ POP before SMTP 国内の多くの ISP が用いている認証方式で、 SMTP Auth とくらべると対応する MUA も多い。 SMTP サ ーバーでは認証はおこなわす、設定された時間内におこ なわれた POP3 接続の認証結果を用いて正当な接続か 否かを判断する。一般には、 POP3 サーバーが出力し たログを参照し、 SMTP 接続を要求してきたユーザー ()P アドレス ) が有効な POP3 接続をしていたか否か にもとづき、メールの送信要求を受け付けるかどうかを 決める。したがって、ユーザーはメールの送イ言操作前に かならず POP3 接続をおこなわなければならない。 欠点は、メールの送信に先立つ受信操作をユーザーに要 求すること 4 と、接続の肩効性を IP アドレス単位で評価 する点であろう。 NAT を利用して複数の機器が 1 つの IP アドレスを共有している場合、 POP3 で接続したユ ーザーと、 SMTP 接続を要求したユーザーとの同一性 を保証する枠組みはない。見方を変えれば、、、ないより はまし " 程度の肩勠性しかないともいえる。ネットワー 3 いわゆるメーラーのこと。 Postfix などの SMTP サーバーは、 MTA (MaiI Transfer Agent) と呼ばれる。 4 これらク栄作を自動的におこなう MUA を利用しているのなら、たいして 手間はかからない ( 0ut100k Express には、そのような皀はない ) 。 UNIX MAGAZINE 2005 . 7 特集 SOHO 向けサーバーの構築 [ 2 ] クや IP アドレス単位でのプラックリストを維持管理し つつ、不確かなネットワークや IP アドレスからの接続 要求を拒否する設定も必要である。 ・Ⅵ尾 b メール SMTP サーバーで、外部からのメールの送信要求を受 け付ける必要性がなくなる。 Web メールへのアクセス 時に適切な認証がおこなわれていれば、利用者は自ドメ インのユーザーに限られる。メールの送信についても、 ドメイン内にある web サーバー経由で処理されるため、 SMTP サーバーからは自ドメイン内からの送信要求に みえるからだ。 欠点は、外出先などでメールを送りたいときも、つねに Web プラウザ経由でアクセスしなければならないこと である。 ・ VPN 接続 VPN で接続しているクライアントはドメイン内にいる のと同様だから、 SMTP サーバーは外部にサービスを 提供しなくてもよい。 ただし、 VPN に関する設定やデザインには相応の技術 と手間が必要になる。また、、、外出先のネットワーク " が どこかの会社の LAN である場合などは、 VPN による アクセスができない可能性もある。 ・ SSH トンネル VPN とほば同じだが、ユーザー自身が SSH トンネル による接続操作をおこなう必要がある。 このようにそれぞれ一長一短があるので、最終的には 環境は利用状況に応じて選択するしかない。以下では、 SMTP Auth を利用するという前提で話を進める。 メールのフィルタリング 毎日のように届く SPAM やワームなどの迷惑メールに うんざりしている人も多いだろう。これらの望ましくない メールは、できればユーザーに配信せずに受信を拒否した り破棄してしまいたいものだ。 ユーザーの PC がワームに感染すると、回復までに手間 がかかるのはもちろん、重要な情報の流出や 2 次感染など の被害が発生する。 また、 SPAM ではメールカサリ達している ( 工ラーカ唳っ てこない ) かぎり、その宛先アドレスは有効だと判断される らしい。したがって、 MUA の迷惑メールフィルタなどを 25

2. UNIX MAGAZINE 2005年7月号

連載 /UNIX Communication Notes 205 鍵の持ち主に対する情報を含めて電子署名を施し、共通の 書式で言当したものを発給する。これが、、証明書 (certifi- cate)" である。 この場合、証明書を発給する認証局自身も第三者による 訒証を受ける必要がある。 ーこに、、、信頼の連鎖 (chain of ロ心、 trust)" という関係が生まれる。ある認証局は、信頼に足る 別の認証局の証明書を保持していなければ、自身カ胙成し た電子署名の正当性を証明できない。このような連鎖は、 どこかで断ち切らなければ、検証処理カ涎々と続くことに なってしまう。そこで、ルート認証局 ( rootCA ) と呼ばれ る特別な認証局が用意される。このルート認証局は、自身 の秘密鍵で自分の公開鍵に電子署名をおこなう。つまり、 ルート認証局 7 、は、 Pr, S 朝れ ( PT 、 , の を自分自身の鍵の電子署名 ( 自己証明型証明書ともいう ) として使う。これによって、信頼の連鎖を断ち切るのであ る。つまり、自分の公開鍵を自分自身で証明して、検証処 理を終えるようにしているわけだ。 ユーザー情報やメールアドレス、サーバーの URL な どの情報を付加して、ユーザーの公開鍵と、そのユーザー の公開鍵に対する電了著名を本内する方法を定義したのが X. 509 と呼ばれる国際標隼である。最近の公開鍵認証基盤 では、 X. 509 にもとづく証明書がひろく使われている。 の証明書が一殳に流通するようになれば、誰もが公開鍵暗 号を用いた電子署名を安全に使えるようになり、送信者の 身日行寉認などにも応用できる。さらに、 SSL/TLS を用い て Web サーバーの身許の確認もおこなえるようになる。 こうした仕組みによって、メールの送信者や web サイ トの正当性を保証しようというのである。 信頼の構造 上に述べた信頼の連鎖関係をみれは明らかだが、 X. 509 は、信頼できる認証局が認証した公開鍵は信用してよいと いう考え方にもとづいている。そして、その信頼の源はル ート認証局の信頼性にかかっている。ルート認証局カ用 できなければ、そこを起点とする信頼の連鎖に組み込まれ た認証局の発給した証明書は、信用できないことになって しまうからである。したがって、公開鍵認証基盤において は、ユーザーはルート認証局を信用するかどうかをかなら UNIX MAGAZINE 2005 . 7 す判断しなければならない。 ところが、 ここに落し穴が潜んでいる。ユーザーは、何 を基準にルート認証局を信頼するかを判断すればよいのだ ろうか。また、証明書を入手した場合、信頼の連鎖関係に ある認証局のそれぞれについて信頼性を確認しなければな らないのたろうか。ここに大きな問題がある。 そもそも、 - ヨ殳のユーザーに公開鍵の構造や電了著名の 未、認証局の役割、信頼の連鎖、ルート認証局といった 概念を説明し、それを正しく理解したうえで関係する各認 証局を信用するか否かを判断してもらうのは、不可能とま ではいわないが、きわめて難しい。ところが、公開鍵認証 基盤では、すべてのユーザーにこのような仕組みを理解す るように求めている。これでは、ひろく普及するとは思え ない。 そこで、考えられた解決方法の 1 つが、電子メールソ フト (MUA : Mail User Agent) や Web プラウザの開 発元が、いくつかのルート認証局の証明書を組み込んでリ リースすることである。つまり、ユーザーの代わりにソフ トウェアの開発元がルート認証局を審査したうえで、それ を初めから組み込んでおくのだ。事実、 Mozilla Founda- tion の Firefox や Thunderbird 、 Microsoft の lnternet Explorer や Outlook Express 、 Mac OS X に付属の Safari などには、ルート認証局の証明書カ且み込まれてい る。こうしておけば、すくなくともユーザーカ表的なル ート認証局を信頼するか否かを判断しなくても、公開鍵認 証基盤カ坏リ用できる。 原則論からすれば、このような方法はユーザーの、、刊友 き " を積極的に認めているともいえるが、公開鍵認証基盤の 普及が急務である現状ではやむをえないであろう。 ところが、証明書が最初から組み込まれているために、そ の末を誤解する利用者や技術者カ寸曽えてきている。 たとえば、ある Web サーバーに SSL/TLS で接続した とき、、、証明書が検証されていない " というメッセージカ俵 示される場合がある。つまり、 SSL/TLS でアクセスした 際にサーバーから供給された証明書について、その発給元 の認証局の証明書が検証されていないことを警告するので ある。 先日、ある技術者が、 このような警告メッセージが表 43

3. UNIX MAGAZINE 2005年7月号

図 26 証日の石忍 i 儷 ia d が信頼できるサイトであると確認できませ この巧ーの考えられる原因は以下のりです - このサイトの証明書を正して ( 認証局カ坏明です。 - このサイトのサーバの設定ミスによりサイト証明書が不完全です。 - あなたの個人情報を入手するた取こ im 叩れであ 偽装しているサイトに接続はうとしています。 この問顋をサイトの管理者に連絡してください。 この証明書をサ入れる前に、このサイト正明書を注意深く審 査してください。 Web サイト im 叩 . n 面れ od を特定するこの証明 書を受け入れますか ? 証明書を審査する…← 0 今後この証明書を受け入れる 〇このセッションの問だけ一時こ証明書を受け入れる 0 この証明書を受け入れす、サイトに接続しない web サイトが未知の認証局により認証されています。 ~ 一ッ 0 区ー 亠ー 図 27 /etc/courier-imap/imapd. cnf RANDFILE = /usr/share/courier—imap/imapd nsCertType [ cert—type ] cert—type req-dn emaiIAddress = 貝央具ラま 9 ど 99 も 9. 生 : 、ユ p -. OU=Automatica11y—generated IMAP SSL key O=NIAMOD Mai1 Server L=Yokohama ST = 襲 C=JP [ req-dn ] prompt = Ⅱ 0 x509_extens10ns distinguished—name encrypt—key = yes default_bits 1024 [ req ] . rand 新たに /usr/share/courier-imap/imapd ・ pem が生 成されているはずだ。これで、証明書の作成は完了である。 ユーザー・ / ヾスワードの作成 Courier-IMAP は、認証に userdb を利用する ( より 正確には、 Courier-IMAP において認証処理を受け持つ Courier-authlib が userdb を利用する ) 。 userdb は通常のパスワードとは独立して管理されるの で、必要に応じてユーザーを登録し、そのパスワードを設 定する。この場合、システムへのログインや SMTP Auth 38 Ⅷ AP と Windows のウイルス文ソフト Windows でメールの読み書きをしている場合、たいていは、 ウイルス対策ソフトでフィルタリングをしているだろう。最近は、 かなりの数のウイルス付きメールが送られてくるので、この種の 対策はイ司欠である。 ところが、 IMAP を利用していると、読んでいるメールに対 して Windows 上のウイルスフィルタが機能していない。これ は、この種のソフトの大半が POP3 の利用を前提にしており、 MUA からメールを POP3 で取り込む際、サーバーと MUA とのあいだに割り込んでメールをチェックするためである。した がって、 IMAP アクセスの場合はまったくチェックされない。 今回の例では、メールを受信した時点で ClamAV によるフィ ルタリングをおこなっているため問題はないが、なんらかの事情 で IMAP サービスだけを構築する場合には、 IMAP フォルダ にメールを格納する時点でフィルタリングをおこなう必要がある だろう。さもないと、ユーザーがウイルス付きのメールをうつか り開き、感染してしまうようなことになりかねない。 もちろん、多くのウイルス対策ソフトが IMAP に対応してく れればよいのだが・ 認証の際のパスワードとは異なるものを用いる。 SMTP Auth のところでも述べたが、この種のパスワ ードは、それぞれ限定された機能ごとに用意すべきである。 そうしておけば、万一どれかが漏洩しても被害を最小限に 限定できるからだ。 ューザーの登録とパスワードの設定には、 /usr/sbin/ userdb と /usr/sbin/userdbpw の 2 つのコマンドを使 う ( どちらも Courier-authlib に含まれている ) 。 まず、ユーザーを登録する。 # /usr/sbin/userdb userl set home=/home/userl , mai1=/home/user1/Mai1dir uid = 1000 gid = 1000 home の値にはユーザーのホーム・ディレクトリを、 mail の値にはユーザーの MaiIdir をそれぞれ指定する。 uid と gid には、もちろんそのユーザーのものを指定する。これ は、 id コマンドで確認できる。 # id userl uid=1000(user1) gid=1000(users) 登録したらパスワードを設疋する。 imappw は imapd が、 imapspw は imapd-ssl がそれぞオ呀リ用するパスワー ドである。 # /usr/sbin/userdbpw ー /usr/sbin/userdb - userl set imappw # /usr/sbin/userdbpw ー /usr/sbin/userdb - UNIX MAGAZ 工 NE 2005 . 7

4. UNIX MAGAZINE 2005年7月号

などですね。 現在、 SSL VPN 市場での Aventail のシェアは どのくらいでしようか。 Daniels : 調査会社によって数字が異なるようです。世 界全体では、 2 位というところもあれば、 3 位という ところもある。アプライアンス製品のパーセンテージ でいうと、 11 ~ 15 % くらいでしようか。 おもに IPsec の技術を用いた既存の VPN 製品に は、どのような問題があるのでしようか。 DanieIs : 大きく分けると、 3 つの問題があると思い ます。 1 つは、セキュリティのレベルをあまり細かく制御で きない点でしよう。 2 つ目は、アクセスの制約です。たとえば、アクセス 可能なユーザーが限られていたり、アクセスできたと しても使えるアプリケーションが限定されていたりし ます。 もう 1 つは、管理者やユーザーへの負担が大きいとい うことですね。事実、ある程度以上のリモートアクセ スを受ける企業などでは、管理の手間をもっと減らし たいという要望カ寸曽えています。 現在の IPsec などの才翅孑では、これらの問題を解決 するのは難しいように思います。 IPsec では、レイヤ 3 のトンネルを張ってあらゆるものにアクセスできる ようにしていますが、アクセスのレベルをきめ細かく 制御することはできません。また、クライアント側に IPsec 対応のアプリケーションを設定する必要があり 他社の SSL VPN 製品にも同じようなことがいえま す。たとえば、 IPsec や PPP の才翅示をアドオンとし て使っているものがありますが、これらはいま言った ような毎万もあわせもっています。 Aventail ASAP 8.5 最近、発表された AventaiI ASAP 8.5 では、そ のあたりの問題は解決されているということでしよう Daniels :ASAP 8.5 は AventaiI のアプライアンス製 品上のソフトウェアですが、それらの問題に対して、お もに、、スマート・トンネリング " 、、適応型 (adaptive) UN 工 X MAGAZ 工 NE 2005.7 20 す一 CE アクセス " 、、双方向トンネル制御 " 、そして、以前のバ ージョンからある機能ですが、、一元的ポリシー " の 4 つの技術を用いて対処しています。 それぞれの特徴を簡単に説明していただけません Daniels : これらのなかでは、スマート・トンネリング がもっとも重要といっていいでしよう。レイヤ 3 ト ンネル上のレイヤ 4 ~ 7 でポリシー制御をおこなうた め、 TCP や UDP 上のアプリケーションを個別に細 かく制御できます。現在は Active X をベースとして 構成されているため、 Windows のみのサポートとな っていますが、将来的にはその他のプラットホームに も対応する予定です。 ログインする際の認証では、ユーザー名やノヾスワード だけでなく、どのようなマシンや OS を使っているの か、パーソナル・ファイアウォールを動かしているか など、いくつかの質問を受けます。それに対する回答 によって、あらかじめ設疋したセキュリティ・レベル の異なるゾーンに自動的に誘導される仕組みになって います。 2 番目の、灣型アクセス " というのは、 NAT やプロ キシー・サーバーなどを利用している場合、ローカル に割り当てられた IP アドレスと、会社から割り当て られた IP アドレスカ突してアクセスできないとい った問題を解決する技術です。たとえば、出張先で月 曜日に泊まったホテルからはアクセスできたのに、火 曜日に泊まったホテルではダメだったというケースが ありますが、この機能があればこうした障害はなくな るはずです。 いわば、 Just-i1 ト Time のアドレス割当てシステムの ようなものです。システムからのいくつかの質問に答 えると、どこにいて、どうい引兄かカ芍商切に判断さ れ、アドレスプールのなかからバーチャルなアドレス カ周り当てられます。同時にアプリケーションにアク セスするための経路も決定されるので、ユーザーカリ 用したいアプリケーションカ駛えないといったことも ありませんし、宿泊先ごとにアクセスできたり、でき なかったりという事態も避けられます。 双方向トンネル市卸は、端的にいえばセキュリティを 強化する機能です。これまでは、ユーザーからのアク セスの 1 方向を中心に考えていればよかったわけで 21

5. UNIX MAGAZINE 2005年7月号

連載 / Linux のツールたち 切な文字コードで記述されたスクリプトを起動します。後 者のスクリプトはカレント・ディレクトリにあると想定さ れているため、 lnstall はかならず /media/cdrom ディレ クトリに移動して実行します ( ほかのディレクトリから絶 対パスで指定して実行してもエラーになります ) 。 スクリプトが OS の種類を自動判別してくれるので、基 本的には表示される質問に、、 y " と答えるだけです ( 図 1 。 下線部はユーザーによる入力 ) 。インストール方法には、 ・フルインストール ・カスタム・インストール ( インストールするパッケージ を個別に指定 ) の 2 種類がありますが、通常はフルインストールでいいで しよう。 インストール方法を選択すると、導入されるパッケージ の確認後、インストール作業が自動的におこなわれます。 そして、 PDF 形式のマニュアルもインストールするかと 訊かれ、続いて Wnn8 に関連する各種サービスの起動ス クリプトが自動的に実行されます。図 1 の最後の部分がこ れに相当します。 dpkeyserv は Wnn8 のライセンス管理 、 jserver はかな漢字変換サーバー、 htt-server は IIIMF のサーバーのプログラムです。 パッケージの導入が終ったら、初期設定をおこないます。 SUSE92 の場合、初期設疋用スクリプト (/media/cdrom /setup-wnn81e/suse92/Set-suse92) を図 2 のように実 行するだけです。 初期設定は、システム全体またはユーザー単位でおこな うことができます。スクリプトにはこれを指定するための オプションがあり、システム全体に対する設定の場合は図 2 のように一 s オプションを付けます。すると、入力メソッ ドのセットアップ・スクリプト /etc/X11/xim が Wnn8 のインストール CD に収められている /media/cdrom/ setup-wnn81e/suse92/files/xim に置き換えられます。 一方、ユーザー単位で設定するときは、そのユーザーの権 限で -u オプションを付けて実行します。この場合は、 CD 内のスクリプトが / etc / X11 / xim ではなく、スクリプトを 実行したユーザーのホーム・ディレクトリにある . xim フ ァイルに置き換えられます ( ファイルがなければ作成され ます ) 。 インストール作業はこれで終りです。あとは、 ATOK 154 図 2 初其月言綻スクリプトの実行 (SUSE92) suse : /media/cdrom # cd setup—wnn81e/suse92 suse : /media/cdrom/setup—wnn81e/suse92 # 疇、 . /Set—suse92 —s /etc/XII/xim を wnn8 対応版に置き換えます。 xim は xim. wnn8bakI として退避します。 よろしいですか ? (y/n): y セットアップが完了しました。再ログインしてください。 次回 X Window System の起動時から wnn81e が自動 起動します。 suse : /media/cdrom/setup-wnn81e/suse92 # 」 ( 誌面の都合 . 止、で折り返しています。以下扣 ) の場合と同様に、 X を再起動 ( 通常は再ログイン ) すれば Wnn8 が使えるようになります。 なお、 Wnn8 には標準で 2 ライセンスが付属していま すが、これまで Wnn7 を使っていて、ユーザー登剥寺に 1 ライセンスを無償で追加している場合は、 Wnn8 につい ても同様に 1 ライセンスを無償で追加できます。それには ます、メーカーの Web サイト 2 で Wnn7 と Wnn8 のシ リアル番号を入力します。すると、追加ライセンスのパス ワード行 ( 、、 WNN8 : 1 : " で始まる文字列 ) が表示されるの で、これを /etc/dpkey/dpkeylist ファイルの末尾に追加 します。そして、、、 /etc/init. d/dpkey8 restart" を実行 し、 Wnn8 のライセンス・サーバーを再起動すると、 3 ラ イセンスカ駛えるようになります。 ライセンス数を確認するには、 dpkeystat コマンド を引数なしで実行します。ライセンスの追加後に実行する と、以下のように 3 つのライセンスが使えることが分かり ます。 suse : ~ # dpkeystat localhost :WNN8 : 3 : suse : ~ # ロ FC3 の場合 FC3 には IIIMF が標準でインストールされているの で、 Wnn8 をカスタム・インストールすれば、これをその まま使うことも可能です。ところが、変換候補がカーソル キーで選べないなどの不具合が発生しました。そこで、最 2 http://www.omronsoft.co.jp/SP/pcunix/wnn8/tuikalsc. html UNIX MAGAZINE 2005 . 7

6. UNIX MAGAZINE 2005年7月号

連載 /UNIX Communication Notes - ー 0 たとえば、電子メールであれば、 S/MIME や PGP など の暗号化メールを処理する手法を用いて差出人の電了署名 を作成し、それを付けて相手に送る。 Web サイトの場合 には、 SSL (Secure Sockets Layer) /TLS (Transport Layer Security) を用いて通信を保護するように設疋し、 SSL/TLS の機能で Web サイトの電子証明書の情報を確 認できるようにする。 しかし、一般のユーザーにとって、これらの方法の未 を正確に理解するのはひどく難しい。結果として、電了署 名を付けたメールをやりとりしている人はごく少数にとど まる。また、 SSL/TLS を用いた Web サイトは世の中に たくさんあるが、 Web サーバーの電子証明書を確認するユ ーザーはほとんどいないし、仮に確認したとしても、どこ がどうなっていれは正当なのかを判断できる人はさらに少 ない。あとで述べるように、ある程度の知識のある技術者 であっても、誤解している人がかなりいるようだ。 電子署名 web サイトでは、ユーザーとのあいだでやりとりされ る情報を暗号化し、第三者からの盗聴に備える対抗策を とっているところが多い。一般には、上に述べたように SSL/TLS の才翅励駛われている。これは公開鍵暗号技術 を利用したもので、 Web サイトとの通信の暙号化や Web サイト自体の、、身許情報 " の提供などができる。 公開鍵暗号を用いた電了著名の考え方は、たいへんシン プルなものである。 私たちがよく知っている暗号は、暗引ヒと復号に同じ鍵 を使う、いわゆる共通鍵暗号方式 ( または文鋓暗号方式 ) で あろう。これに対し、公開鍵暗号では 2 つの鍵を用意し、 1 つは暗号化 ( 平文を暗号文に変換する処理 ) に、もう 1 つ は復号処理 ( 暗号文を平文に復元する処理 ) に利用する。 こで、日部引匕処理に使う鍵 ( 秘密鍵 ) を Ks 、復号処 理に使う鍵 ( 公開鍵 ) を K 〃と書くことにしよう。そして、 Ks は持ち主が厳重に管理し、第三者に漏れないようにす る。一方、 Kp は誰でも入手できるように公開する。 さて、任意の文字列 S があるとき、その暗号文として、 こで、 E(K,S) は、鍵 K で文字列 S を E(Ks, S) 42 暗号処理することを表す。 を作成する。 s, E(Ks, S) を同時に相手に送ったとする。受信者は、送信者の公開鍵 Kp を入手し、その鍵で暗号化された部分を復号すればも との文字列 S を取り出すことができる。そして、平文のま ま送られた S と比較する。この 2 つが -- - ー・致した場合、次 のことが分かる。 ・通信中に S は改竄されていない。 公開鍵 Kp を安全かっ持ち主が分かる状態で入手してい れば、週言者カ定できる。 これが電了署名の基本的な考え方である。 しかし、もとの文字列と同じものを送るのは効率カい。 そこで、セキュアハッシュ (MD5 や SHA-I など ) を用 いて、 S,E(Ks, SHA(S)) を送る (SHA(x) はセキュアハッシュ関数である ) 。この ようにすると、短いデータでもとの文字列 S を検査するこ とができる。この E(Ks, SHA(S)) が、一般に電了著名 と呼ばれているものである。 PKI 電子署名をひろく普及させるには、ユーザーの公開鍵 を安全かっ持ち主が明確になるかたちで流通させなければ ならない。この枠組みを定めているのが、公開鍵認証基盤 (PKI : public Key lnfrastructure) である。 以下に述べるように、 PKI も電了署名と同じ考え方にも とづいている。ユーザーれの公開鍵を用いて作られる文字 列 S の電了著名を、 S 朝れ ( S , のと表すことにする。ある ユーザーれの公開鍵に対し、信頼できる第三者が 電了著名を付けたとする。このとき、 Pu, S 朝れ ( Pt ぃ A) のの信頼性カ材正できれば、すなわち、みが安全に入 手でき、かっ、この電了著名の正しさカ験証可能であれば、 入手した島は安全で信頼できるものと考えてよい。一般 に、このを公開鍵の認証局 ()A : Certification Au- thority) と呼ぶ。認証局では、公開鍵とともに、その公開 このとき、 UN 工 X MAGAZINE 2005.7

7. UNIX MAGAZINE 2005年7月号

0 おわりに 点に問題があるともいえます。今回紹介したような使い方 をする場合は積極的にログを残し、ログをとられたくない 場合は残さないように、ユーザーが設疋できればよいのか もしれません。トラックバックが多くの人に受け入れられ たように、うまく制御された逆リンクや兄弟リンクはたい へん便利です。 Web の基本的な枠組みとして、このよう なリンク関係をユーザーがうまく制御できる仕組みか整備 されれば活用する場面も増えそうです。 現在のところ、トラックバックをサポートする BIog シ ステムや特別な Wiki でなければ、逆リンクや兄弟リンク を自動的に作成することはできません。しかし、 Web ペ ージの作成者がこのようなリンクを柔軟に制御できる仕組 みがあれば、新たな可能性が拓けるのではないかと思いま す。普通の Web ページや Wiki ページでも、逆リンクや 兄弟リンクのような関係をうまく活用できるようになって リンクへの考え方は、ユーザーによってさまざまだと思 います。自分の Web ページへのリンクを制限したいと考 える人もいますし、自分のサイトにどこからアクセスがあ ったかを丁寧に調べる人も多いようです。アクセス調査を 嫌って、ログカらないような工夫をしている人もいます。 自分のページにどこからリンクが張られているか、誰 に見られているのかといった情報は、 Web ページで日記 などを書いている人には気になるようです。 Web サーバ ーのログをもとに、せっせとアクセス解析をしている人も 多いと聞きます。ソーシャルネットワーク・システムの Mixi5 には、、足あと " というログシステムがあり、誰がい つ自分のページを参照したか分かるようになっていますが、 読者アンケートのお知らせ 5 http://mixi ・ jp/ 現在の Web の枠組みでは、リンクを細かく制御できない こっそりリンクを利用したいという要求もあるようです。 リンクや逆リンクを積極的に活用したい場合もあれば、 は多くの BIog ユーザーに支持されています。 って明示的にリンク / 逆リンクを制御できますが、この機能 ません。また、最近の BIog ではトラックバック機能によ この情報が気になってしようがないという人も少なくあり ほしいものです。 いつも弊誌をこ愛読いただき、ありがとうこざいます。 今後の企画・編集の参考とするため、読者アンケートを 実施しています。下記の Web ページにアクセスのうえ、必 要事項をこ記入ください ( 締切は 2005 年 7 月 1 5 日です ) 。 皆様からお寄せいただいたこ意見は、責重な資料として 活用させていただきます。 回答をお寄せいただいた皆様のなかから、 5 名様に特製 QUO カード ( 2 , OOO 円ぶん ) をさしあげます ( 応募者多数 の場合は抽選といたします。なお、当選者の発表は発送を もって代えさせていただきます ) 。 ( ますい・としゆき産業技術総合研究所 ) 今後ともこ愛読のほど、よろしくお願い申し上けます。 UNIX MAGAZINE 編集部 OO ( デサインは変更されることがあります ) ・ ( 株 ) アスキー IJNIX MAGAZINE 読者アンケート専用 U 日 L http://mkt.uz.ascii.co.jp/unixmag/ こ注意雑誌公正競争規約の定めにより、この懸賞に当選された方は、本号のほかの懸賞に入選できない場合があります。 * 個人情報の利用目的および取扱いについては、「個人情報の取り扱いに関するポリシー」 (http://www.ascii.co.jp/privacy.html) をご覧ください。 176 UNIX MAGAZ 工 NE 2005 . 7

8. UNIX MAGAZINE 2005年7月号

用いたユーザー側でのフィルタリングには限界がある 0 ⅱノし ますに捨てることはできても、配送を根本的には止められ ないからだ。現時点では、システムで迷惑メールの着信自 体を拒否するのがもっとも肩効な対策であろう。 そこで、以下では SMTP サーバーを通過するすべての メール ( 発イ言、着信ともに ) に対し、 SPAM フィルタとウ イルス検出ソフトによるフィルタリングをおこなうことに する。 250—VRFY 250—ETRN メールの格納方法 配信されたメールのオ内方法は、大きく分けて 2 つある。 旧くから使われてきた Mailbox (mbox) 形式と、最〕酥リ 用されるようになった Maildir 形式である。 Mailbox 形式では、共有のディレクトリ (/var/spool/ mail や /var/mail など ) に、メールをユーザーごとに連 結した 1 つのファイルとしてオ内する。ファイル名はユー ザーのアカウント名と同一で、ファイルにおける各メール の区切りは "AFrom " ( 行頭の From 十空白 ) である。 のため、電子メールの本文に、、 From " で始まる行カ見れる と、行頭に、、 > " などを挿入してメールの区切りとみなされ ないようにする。メールは共有のディレクトリに格納され るため、ユーザーの誰かが大量のメールを削除せずに放置 すると、システム全体の処理に支障をきたすおそれがある。 一方、 Maildir 形式では、メールは各ユーザーのホーム・ ディレクトリに作成される MaiIdir などのディレクトリの 下に個別のファイルとして格納されていく。 MaiIdir 形式 には未読情報などを保持する仕組みもあり、より高度なメ ールの管理カ河・能である。ただし、 mail コマンドではメー ルカ毓み出せないなど、 Mailbox 形式を前提としたいくっ かのツールは使えないという問題もある。逆に、 Squirrel MaiI や Courier-IMAP のように、 Maildir 形式を前提 にしているものもある。 こでは、 Courier-IMAP による IMAP サービスの 提供を前提とし、 Maildir 形式を用いることにする。 SMTP サービスの導入 こからは、サービスを構築する際のポイントについて 述べる。 SMTP サーバーとして、もっとも普及している のは sendmail であろう。しかし、大量のメール送信時の 性能が悪かったり、設疋ファイルの sendmail.cf か難解で 26 250 8B 工 TMIME 250—XVERP 250—AUTH PLAIN LOGIN DIGEST—MD5 CRAM-MD5 250—SIZE 10240000 250—PIPELINING 250—smtp ・ niamod ・ jp ⅱ x か起動している状態で図 2 のようにして確かめることが SMTP Auth がサポートされているかどうかは、 Post- Postfix をビルドしなおす必要がある。 ッケージでは SMTP Auth が有効になっていないため、 Vine Linux 3.1 用として配布されている Postfix パ Postfix の導入 AMAVIS-New ( 後述 ) と相性がよいからだ。 を選んだ理由の 1 つは、フィルタリングをおこなうための 今回は、これらのなかから Postfix を利用する。 Postfix になっている。 転送性能を高め、設疋ファイルも比較的分かりやすい構造 チプロセスやマルチスレッドを積極的に活用してメールの fix などの SMTP サーバーが考案された。いずれも、マル これらの欠点を解消するために、 Qmail や Exif 、 Post- あったり 5 と、いろいろな問題点がある。 図 2 SMTP Auth サポートび )i 砡忍 $ telnet smtp. niamod. jp smtp Trying 192 .168.0.2. Connected t0 smtp. niamod ・ JP. Escape character iS 220 smtp. niamod. jp ESMTP Postfix HELO smtp ・ niamod ・ jp ←接続要求 できる。 この例のように、、 AUTH " ( 波線部 ) と表示されれ ば、 SMTP Auth はサポートされている。表示されなけ れは再ビルドする必要がある。 ・ openldap ・ openssl-devel ・ openssl ールされているかを確認する。 再ビルドをおこなう前に、下記のパッケージがインスト UNIX MAGAZ 工 NE 2005.7 際、 sendmail を適切に設定するのは大仕事である。 定ファイルとくらべると難解である ( 結果として、間違いやすくもなる ) 。実 5 CF などのツールを使えは多少は改善されるが、それでもほかのツールの設

9. UNIX MAGAZINE 2005年7月号

■ SSL VPN 技術の動向 図 1 ASAP の管王面 員レにⅲーを ASAP Management Con 、 0 他 を、学・ 0 : - を 00 機れ強 4 すが、現在は VoIP やリモート・ヘルプデスクなど、 0 宀・・第”・ 22 るものならどれでも大丈夫です。 lnternet ExpIorer Richard Ting(Ting) : 基本的に、 Java に対応してい 使えるのでしようか。 WorkPlace Access は、どの Web プラウザでも Access です。 べースでマルチ・プラットホーム対応の WorkPlace いう Windows アプリケーション、もう 1 つは Web これには 2 種類あって、 1 つは Connect Access と テムを EPC (End Point Control) と呼んでいます。 DanieIs :AventaiI では、クライアントを制御するシス されているのでしようか。 AventaiI の製品ではどのようなアクセス手段が用意 軟に対応できる枠組みが必要と話されていましたが、 さきほど、多様化するクライアント側システムに柔 ます。 レベルとリソースの対応は、管理者が自由に定義でき るように一元的に設定するわけです。セキュリティ・ を割り当て、それに合致したリソースにアクセスでき ティング部門のユーザーにあるセキュリティ・レベル の ACL ですべてに対応できます。たとえば、マーケ Control List) か必要ですが、 ASAP 8.5 では 1 つ プリケーションなど、プロトコル別に ACL (Access に強化しています。他社製品の場合は、 Web や各種ア 一元的ポリシーについては、 ASAP 8.0 のものをさら ます。 ス、リソースからユーザーの双方向の安全か囃保でき のポリシー制御も可能ですから、ユーザーからリソー ケースカ哥曽えています。リバース・コネクションなど サーバー側からのセキュリテイも考慮する必要のある をはじめ、 Firefox や Safari もサポートしています から、もちろん L ⅲ ux や MacOSX でも使えます。 現時点では、スマート・トンネリングは Windows を、 i 酌芯型アクセスは Windows と Linux をそれぞれサ ポートしていますが、今後、その他のプラットホーム にも対応していく予定です。 クライアントレス環境 SSL VPN の利点の 1 つは、クライアントを選ば ないことだといわれています。一方の IPsecVPN は 対応クライアントが少ないのが短所でしたが、最近は Windows XP で IPsec がサポートされるなど、状 況カ畯わってきているのではないでしようか。 Daniels : Windows XP が IPsec に対応したのは知 っていますが、 Web 経由でのアクセスと比較すると、 やはり設定や管理の手間がかかるのは否定できないと 思います。 Ting : プラットホームに対応しても、 IPsec では NAT やプロキシーを越えるのカ攤しいという問題は依然と して残っています。これも管理コストにはねかえって くるでしよう。 最近は、企業などでも多彩な Web アプリケーシ ョンカ駛われるようになりつつあります。その場合、 SSL VPN 経由でのアクセスは、これまでどおり簡単 にできるのでしようか。 Daniels : もちろんです。さきほどお話ししたスマー ト・トンネリングの機能を使えば簡単です。 Ting : かっては、 Java や Java Applet 、 Flash など の解釈カ墹題になることがありました。単純なプロキ シーを利用していたため、新しいアプリケーションが 登場すると、互換性の問題を解決しなければなりませ んでした。 スマート・トンネリングでは、アプリケーション i あ 性を高めています。 Web アプリケーションについて は、コンテンツ自体を解釈する必要がないので、互換 性に悩むこともなくなります。 UN 工 X MAGAZINE 2005.7

10. UNIX MAGAZINE 2005年7月号

『エンジニア必携スキルが身に付く 新辭志 oftware es•gn POP3 サービスの冓築 すでに気づいている人もいると思うが、 /etc/courier-imap には pop3d と pop3d-ssl というファイルがある。つまり、 Courier-IMAP では POP3 サービスの提供も可能だという ことだ。 メールを利用するソフトウェアのなかには、 IMAP ではうま く動かないものもある。たとえば、東芝の RD シリーズなどで はメールで TV 詛の録画予約が可能だが、これを利用する場合 は、 RD 用のアカウントに着信したメールを POP3 で取り込ま なくてはならない。 詳細は触れないが、 pop3d ファイルのなかにある POP3D- START を、 YES" にすれば、とりあえず POP3 サービスが 師丿月一る。その場合には、 qpopper などの POP3 サービスが インストールされていたら、停止するか削除しておく。 userl set imapspw このように実行すると、パスワードを訊かれるので入力 する。正しく設疋できたら、 /etc/authlib/userdb ファ イルにユーザーのエントリができているはずである。 userdb ファイルは日を号化されてはいるが、パスワード などのエントリが含まれるので root 以外は読み書きでき ないようになっている。 以上の作業を、必要なユーザーのぶんだけ繰り返す。最 # makeuserdb 後に、 UNIX MAGAZ 工 NE 2005.7 示す。どちらも、基本的にはアカウントの作成時に受信メ Thunderbird と OutIook Express の例を図 28 ~ 29 に サーバー側の作業カ鮗ったら、 MUA の設定を変更する。 MUA の設定変更 993/tcp に中幻去されるように、ルータの設定を変更する。 るポートは TCP の 993 番になる。これが 192.168.0.2 : 外部に対して IMAP4 over SSL を提供するため、公開す 通常、 IMAP4 のポートは TCP の 143 番だが、今回は 静的 NAT の設定 しよう。 ータベースにユーザー登録の結果が反映されないので注意 としてデータベースを作成する。これを実行しないと、デ 0 B5 判・ 224 ページ 定価 ( 税込 ) 970 円 特集 ログの見方教えます ! 月号 アクセスログ物 のチカラ セキュリテイから SEO / SEM まで アクセスログにはネットワークからのさまざまな信号が多々 含まれています . それを通常の信号とどう見分け , 受信し , 対策を立てられるかによってネットワーク管理者の腕がわ かります . 本特集は好評だった 2005 年 2 月号特集「ログからわかる サーバ管理のノウハウ」第 2 弾です . 実際にアクセスログ 解析ツールを導入した後 , 取得したログをどのように見るか , また解析方法について紹介します . とくに , 実際に不正侵 入された可能性があるログの兆候の検知およびその対策 , メールや Web といった目的別のログ解析方法など , 運用面 で役立つ情報をお届けします . この他 , マーケティング的 な観点から見たアクセスログ (SEO/SEM) についても考 域新エー 第 2 特集 察してみます . ミュレータ活用ガイド VMware&QEMU による 39 好評発売中 ! ! ほか リファレンス 巻末 血技術評諞社 http://www.gihyo.co•jp/ お買い求めください . 全国の書店 , または弊社ホームページで 正規表現リファレンス NU re e re ◎ Mac OS X V10.4 "Tiger" 誕生 ◎続・ Solaris コンテナの実力を探る【前編】 ◎ Nature's Linux 最新動向 一般記事 ◎検疫ネットワークシステム構築アラカルト③ 短期集中連載