17.3 そうしておきたいものです。 17.3 sys ファイル これは、そのサイトが購読しているグループと階層をコンマで区切ったリストです。 ついて記述したエントリーを含みます。工ントリーは、次のような形式です。 sys ファイルは、 ニュースをフォワードする各サイトおよび受け入れるグループに がありますが、このファイルは手で保守したほうがよいと思います。 サイトにフォワードするかを制御します。 addfeed と delfeed という管理用ツール /usr/lib/news にある sys ファイルは、どの階層を受け取り、どの階層をほかの ・ site ハッシュ記号 ( # ) は、コメントを意味します。 ェントリーは、バックスラッシュ ( \ ) を使用して次の行に続けることができます。 site C/excIusions] : grouplist [/distlist] [ : flags [ : cmds]] ールドに完全な正式ドメイン名、あるいは news. site. domain のような別名 (alias) ので、両者は必ず一致していなければいけません。いくつかのサイトでは、このフィ C News は path : ヘッダフィールドの中のサイト名に対して site をチェックする グループに移されます。 ルに格納したいすべてのグループを定義します。 ME 行と一致しない記事は、 junk 特別なサイト名 ME は、自分のサイトを示します。 ME ェントリーには、ローカ になければいけません。さもないと、自分で自分の記事を受け取れなくなるでしよう。 トの UUCP 名を指定します。自分のサイトに対するエントリーも sys ファイルの中 これは、このエントリーが適用されるサイトの名前です。これには通常、そのサイ たとえば、サイト moria に適用するエントリーの site フィールドは、 ンマで区切って exclusions リストに追加しなければいけません。 を使用しています。記事がこれらのサイトに返されないようにするには、それらをコ moria/mo- sys ファイル・ 341 ria.orcnet.org のようになります。 ・ grouplist
14. 11 14.11 ホスト名の修飾 ホスト名の修飾・ 295 送信者または受信者アドレスの中に指定された不完全なホスト名 ( つまり、ドメイ ン名のないもの ) を見つけなければならないことがあります。たとえば、 2 つのネッ トワーク間をゲートウェイしていて、一方が完全な正式ドメイン名を要求するような 場合です。インターネットの UUCP リレーでは、無資格のホスト名は、デフォルト で uucp ドメインにマップされていなければいけません。これら以外のアドレス変更 はあまり好ましくありません。 /usr/lib/smail/qualify は、どのホスト名にどのドメイン名を付加すべきかを smail に知らせるファイルです。 qualify ファイルの中のエントリーは、第一欄のホ スト名とそれに続くドメイン名とからなります。ハッシュ記号 ( # ) で始まる行は、 コメントと見なされます。各ェントリーは、リストの上から順番に検索されます。 qualify ファイルが存在しない場合、ホスト名修飾はまったく行われません。 特別なホスト名 * は、任意のホスト名と一致します。これを使えば、該当しないす べてのホストをデフォルトのドメインにマップできます。 * は最後のエントリーとし てのみ使用しましよう。 バーチャル・プルーワリー社の場合、すべてのホストは、送信者のアドレスで完全 な正式ドメイン名を使用するよう設定されていました。不完全な受信者アドレスは、 uucp ドメインにあると見なされます。したがって、 qualify ファイルで必要なのは 次のエントリーだけです。 # /usr/lib/smail/qualify, last changed Feb 12 , 1994 by janet IIIICP
190 ・ 10 章 ・ niS NI S : ネットワーク情報システム このドメインの現在の NIS サーバを使用する。前節で示したように、照会された サーバの場所は、 yp. conf ファイルの中から検索されます。 hosts 工ントリーに対し ては、 hosts. byname マップと hosts. byaddr マップが照会されます。 ・ dns DNS ネームサーバを使用する。このサービスタイプは hosts 工ントリーにだけ有 効です。照会されたネームサーバは、標準の reso ⅳ . conf ファイルによって決定さ れます。 ・ files ・ dbm hosts ェントリーに対しては /etc/hosts ファイルなど、 ローカルファイルを使用 / var / db 砠にある DBM ファイルから情報を参照する。そのファイルに対して使用 される名前は、対応する NIS マップの名前です。 NIS サーバがダウンしたときのバックアップとしてだけ使用されることになります。 ファイルを引き続き探索するでしよう。つまり、ローカルファイルは、プート時と ントリーが見つからないという以外の ) 理由で失敗した場合だけ、 NYS はローカル に告げるものです。すなわち、 NIS と DNS サーバに対する呼び出しが何か別の ( 工 た項目が NIS または DNS データベースの中でみつからないときは戻るよう、 NYS た例です。 hosts 工ントリー中のキーワード CNOTFOUND=return] は、要求され 例 10 ー 1 に示したのは、 nsswitch. conf の別の機能も利用した、もっとしつかりし ています。さらに、もっと多くのエントリーが追加されていくでしよう。 group 、 shadow 、 gshadow 、 services 、 protocols 、 rpc 、 ethers をサポートし 現在、 NYS は nsswitch. conf 工ントリーとして、 hosts 、 networks 、 passwd 、 # /etc/nsswitch. conf 例 10 ー 1 nsswitch. conf ファイルの例 hosts : nis dns CNOTFOUND =return] files
18.2 N NTP アクセスを制限する・ 367 18.2 NNTP アクセスを制限する NNTP リソースへのアクセスは、 /usr/lib/news の中にあるファイル nntp access によって制限されています。このファイルの中の各行には、外部のホストに 与えるアクセス権を記述します。各行は次の形式になっています。 post ー no read ー xfer ー bOth ー no Site C!exceptgroups] クライアントが NNTP ポートに接続すると、 nntpd は逆参照によって IP アドレ スからそのホストの完全な正式ドメイン名を取得しようとします。クライアントのホ スト名と IP アドレスは、ファイル nntp ー access の中に現れる順に、各工ントリーの site フィールドに対してチェックされます。照合は、部分一致または完全一致で行 われます。あるエントリーが完全に一致したときは、それが使用されます。部分的に 一致したときは、それ以降にもっとよく一致するものがない場合にだけ、それが使用 されます。 site は、以下にあげた方法の 1 つを使用して指定されます。 ・ホスト名 これはホストの公認ドメイン名全体 (FQDN) です。これがクライアントの正式 ホスト名と完全に一致したときは、そのエントリーが使用され、それ以降のエントリ ・ドメイン名 べて無視されます。 スがこれと一致したときは、そのエントリーが使用され、それ以降のエントリーはす これは、ドット区切り表記法による IP アドレスです。 ・旧アドレス ーは無視されます。 クライアントの IP アドレ ーク番号と一致したときは、そのエントリーが使用されます。 トの IP アドレスのネットワーク番号が、このネットワーク名に付けられたネットワ これは、 / etc / networks の中に指定されたネットワークの名前です。クライアン ・ネットワーク名 がこのドメイン名と一致したときは、そのエントリーが使用されます。 これはドメイン名で、 * . domain. の形で指定されます。クライアントのホスト名
98 ・ 5 章 ・ H このノレ TCP / 旧ネットワークの設定 ートで到達できるホストは 1 つしかないことを示します。たとえば、ループ バックエントリー 127.0.0.1 の場合がこれに相当します。 ・ D このテープルエントリーが ICMP のリダイレクトメッセージによって作られたと きに表示されます ( 「 2.5 ICMP ( インターネット制御メッセージプロトコル ) 」参照 ) 。 ・ M ついての情報を出力します。 vstout の場合、 netstat の出力は次のようになります。 いるインタフェースだけでなく、カーネルが認識しているすべてのインタフェースに ェースの統計情報が表示されます。さらに一 a オプションが付くと、現在設定されて netstat を -i フラグ付きで呼び出すと、現在設定されているネットワークインタフ 5.10.2 インタフェース統計情報の表示 てデータグラムが配送されたかを示します。 つのカラムは、経路制御ェントリーが使用された回数と、どのインタフェースを通っ ( たとえばゲートウェイ経由 ) がこの経路を利用しているのかを示します。最後の 2 netstat の出力の Ref 欄は、この経路の参照数、すなわちほかのいくつかの経路 に表示されます。 テープルエントリーが ICMP のリダイレクトメッセージによって変更されたとき # netstat ー i Kernel lnterface table 0 0 5185 10 ethO 1500 0 972655 MTU 欄と Met 欄は、 lface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flags 0 17 O 20 0 5185 0 120 628711 217 0 0 0 BLRU 0 BRU そのインタフェースの現在の MTU とメトリック値を示し 過が原因で失われたバケット数 (RX-OVR/TX-OVR) となっています。 (RX-ERR/TX-ERR) 、損失したバケット数 (RX-DRP/TX-DRP) 、そして、超 示します。ェラーなしのバケット数 (RX-OK/TX-OK) 、損害を受けたバケット数 ます。 RX 欄と TX 欄は、それぞれどれだけの数のバケットが受信 / 送信されたかを
17.6 grouplist perm times archive ニュースを期限切れにする・ 351 grouplist は、そのエントリーが適用されるニュースグループをコンマで区切った リストです。ある階層全体を指定するには、グループ名を指定します。オプションと して、 a11 を追加することもできます。たとえば、 comp. os の下のすべてのグループ に適用するエントリーには、 comp. os または comp. os. a11 と表します。 あるグループからニュースが期限切れになったとき、その名前は与えられた順序で explist 中のすべてのエントリーに対してチェックされます。最初に一致したエント リーが適用されます。たとえば、 1 週間は保存しておきたい comp. os. linux. announce を除いて、 comp の大多数を 4 日後に捨てるには、 7 日の有効期限を指定した前者に 対するエントリーのあとに、 4 日の有効期限を指定した comp に対するエントリーを 作成しておきます。 perm フィールドには、そのエントリーが議長のいる ( モデレーテッド ) グループ、 議長なしのグループ、もしくは任意のグループに適用されるかどうかを指定します。 これは値 m 、 u 、 x をとり、それぞれ、議長あり、議長なし、任意のタイプを意味し ます。 3 番目のフィールド times は、通常 1 つの数値だけを含みます。これは、記事へッ ダの Expires: フィールドの中に有効期限が指定されていなかった場合に、記事が 期限切れになる日数です。これは投稿の日からではなく、あなたのサイトに到着した 日から数えた日数であるという点に注意してください。 しかし、 times フィールドはもっと複雑な場合があります。それは、ダッシュ ( ー ) によって区切られた最高 3 個の数値の組合せでもかまいません。最初のフィールドは、 その記事が期限切れの候補とみなされる前に経過しなければならない日数を意味しま す。 0 以外の値を使用する意味はほとんどありません。 2 番目のフィールドは、上述 の期限切れになるデフォルトの日数です。 3 番目のフィールドは、 E xpires : フィー ルドの有無に関わらず、記事が無条件で期限切れになる日数です。真ん中の数値だけ が与えられたとき、ほかの 2 つはデフォルト値をとります。これらは、下で述べる特 別なエントリー / bounds / を使用して指定することもできます。 4 番目のフィールド archive には、そのニュースグループをアーカイプするかど うか、またどこにアーカイプするかを指定します。アーカイプ処理を行わないときは、
168 ・ 9 章主なネットワークサービス て実現されます。それらには、各サービスとホストについて、それぞれアクセスを許 可または拒絶するエントリーが書かれています。 tcpd が biff.foobar.com というク ライアントからの finger などのサービス要求を扱うとき、 hosts. a110W と hosts. deny を ( この順番で ) スキャンします。もし、該当するエントリーが hosts. allow でみつかれば、 hosts. deny にどのようなエントリーがあっても、アクセスは許可さ れます。もし、 hosts. deny でみつかったならば、接続が切られて要求が拒絶されま す。もし、どちらにも該当するエントリーがみつからなければ、要求は受け入れられ ます。 アクセスファイルのエントリーは次のとおりです。 s 夜 7 元ツ . ・カ os ″ [ . ・な〃 ] servicelist は、 /etc/services 中のサービス名のリスト、またはキーワード ALL です。 finger と tftp 以外のすべてのサービスを挙げたい場合は、 "ALL EXCEPT finger, tftp" としてください。 hostlist はホスト名か IP アドレスのリスト、またはキーワード ALL 、 LOCAL 、 UNKNOWN です。 ALL はどのホストとも一致し、 LOCAL はドットを含まないホ スト名と一致します注 2 。 UNKNOWN は、名前かアドレスの参照に失敗したホストと 一致します。ドットで始まる名前は、この名前と同じドメインのすべてのホストと一 致します。たとえば、 .foobar.com は biff. foobar. C0爪と一致します。 IP ネットワ ークアドレスとサプネット番号についても、同じような決まりがあります。 ローカルホスト以外のすべてのホストに対して、 finger と tftp サービスへのアク セスを拒絶するには、 /etc/hosts. deny に以下を書き込み、 /etc/hosts. a110W には 何も書きません。 in. tftpd, in. fingerd : ALL EXCEPT LOCAL, . ) 0 Ⅲ : 川〃切 オプションの shellcmd フィールドには、エントリーが一致したときに呼び出すシ ェルコマンドを指定します。これは、潜在的な攻撃者をあぶりだすためのワナをしか けるのに使えます。 注 2 通常、 / etc な osts から得られるローカルホスト名のみが、 ドットを含みません。
308 ・ 15 章 Sendmail 十 IDA # ()n mailertable) # forward a11 mail for the domain .cs.groucho.edu via UUCP tO ada UUCP-A,ada . CS. groucho.edu より大きな groucho.edu ドメインへのメールは、アドレス解決と配信のために 別のリレーホスト bighub に送りたいとしましよう。このエントリーを追加すると、 mailertable は次のようになります。 # ()n mailertable) # forward a11 mail for the domain cs.groucho.edu via UUCP tO ada UUCP-A,ada . CS. groucho.edu # forward a11 mail for the domain groucho.edu via UUCP tO bighub .groucho.edu UUCP-A,bighub 上に述べたように、順序が重要です。上に示した 2 つのルールの順序を逆にすると、 .cs.groucho.edu へのすべてのメールは、本当に送りたい ada パスにではなく、よ り一般的な bighub パスに送られてしまいます。 上の mailertable の例では、 UUCP-A メーラが指定されているので、 sendmail はドメイン方式のヘッダを使用して UUCP 配信を行います。 メーラとリモートシステムの間のコンマは、アドレス解決と配信のために、 ada に メッセージをフォワードするよう sendmail に指示します。 mailertable ェントリーは、次の形式をとります。 〃電″げ d ツ流″グ尾 / のカ os 乙 ん 0 の・襯〃加 使用可能なメーラはいろいろあります。それらの違いは、主にアドレス処理です。 よく使用されるメーラは、 TCP-A ( インターネット型アドレスを用いる TCP/IP) 、 TCP-U (UUCP 型アドレスを用いる TCP / IP ) 、 UUCP-A ( インターネット型アド レスを用いる UUCP) です。 mailertable の行の左側にあるメーラとホストを区切る文字は、アドレスの修正方 法を定義します。
348 ・ C News こでの「すべて」の解釈は、 batchparms の中にあるデフォルトのエントリ よって異なります。もしそれがあるなら、 /var/spool/news/out. going のすべての ディレクトリがチェックされます。そうでない場合には、 batchparms のすべての 工ントリーがひととおりチェックされます。ディレクトリ out. going をスキャンし ているとき、 sendbatches はサイト名にドットやアットマーク (@) を含まないデ ィレクトリだけを処理するという点に注意してください。 C News をインストールするとき、そこそこ使えるデフォルトエントリーを含む batchparms ファイルがパッケージに含まれていることが多く、その場合にはそのフ ァイルに触る必要はありません。ただ万一の場合に備えて、エントリーの形式を記述 しておきます。各行は、空白またはタブで区切られた 6 個のフィールドからなります。 Site Size max batcher muncher transport site は、そのエントリーが適用されるサイトの名前です。このサイトに対する togo ファイルは、ニューススプールの out. going / togo の中になければいけません。サイ ト名 /default/ は、デフォルトのエントリーを示します。 size は、作成される記事バッチの ( 圧縮前の ) 最大サイズです。これよりも大き な記事の場合、 C News は例外的にそれらを 1 つずっ単一のバッチにします。 max は、バッチ処理によってこのサイトが立ち往生しないように、生成して転送 するバッチの最大数を指定します。これは、リモートサイトが長時間ダウンした場合 に役立ちます。なぜなら、それによって C News は、 UUCP のスプールディレクト リに膨大な数のニュースパッチが散乱するのを防ぐことができるからです。 C News は、 /usr/lib/news/bin にある queulen スクリプトを使用して、 キューに入っているバッチの数を決定します。 Vince Skahan 氏の newspak リリースには、 BNU 互換 UUCP のためのスクリプトが含まれています。 異なる形式のスプールディレクトリ、たとえば TayIor UUCP を使用するときは、 自分でスクリプトを書かなければならないでしよう注 4 。 注 4 スプールファイルの数を気にしないなら ( つまり、あなたが自分のコンピュータを使用する唯 ーの人であり、何 MB もの記事を書かなければ ) 、「 exit 0 」文が入っているだけのスクリプ トで代用できます。
1 16 ・ 6 章ネームサービスとリゾルバの設定 6.2.2 DNS データベースファイル named が読み込む named. hosts のようなマスターファイルには、 origin と呼ばれ る関連ドメインが必ずあります。これは、 cache コマンドと primary コマンドで指 定されるドメイン名です。マスターファイル中では、ドメインとホスト名を指定する とき、このドメインとの相対指定ができます。設定ファイル中でドットで終わる名前 が指定されれば、それは絶対指定であり、それ以外は。 rigin に対する相対指定であ るとみなされます。 origin そのものは、 "@" によって参照されます。 マスターファイル中のデータは複数のリソースレコード (resouce record) 、略し て RR に分けられます。 RR は、 DNS を通じて利用可能な情報の最小単位になりま す。各リソースレコードにはタイプがあります。たとえば、 A レコードはホスト名 を IP アドレスに対応させます。 CNAME レコードは公式ホスト名に対してェイリア スを関係づけます。例としては、例 6 ー 4 を見てください。これは、バーチャル・プル ーワリーの named. hosts マスターファイルを示した例です。 マスターファイル中のリソースレコードは、共通の形式になっています。 Cdomain] Cttl] Cclass] type rdata 各フィールドは空白かタブによって区切られます。ェントリーは複数行にわたって 続けることができ、その場合は、開き括弧が先頭行の改行の前にあり、最後のフィー ルドの後には閉じ括弧がきます。セミコロンから行末まではすべて無視されます。 ・ domain これはエントリーが適用されるドメイン名です。ドメイン名が指定されないならば、 その RR は、直前の RR のドメインに適用されるものとみなされます。 ・ ttl リゾルバに一定時間後に情報を捨てさせるようにするため、各 RR は、寿命 (time to 1 ⅳ e ) 、略して ttl を持っています。 ttl フィールドには、情報がサーバから獲得さ れてからの有効時間を秒で指定します。それは最大 8 桁の 10 進数です。 もし ttl 値が指定されないならば、前の SOA レコードの minimum フィールドの 値がデフォルトになります。 ・ class これは、 IP アドレスに対する lN (intelligent networks) 、 または Hesiod クラス