[バックナンバーのトップへ] [Linux システム管理のトップへ] いますぐ実践! Linux システム管理 / Vol.015 / 読者数:335名 こんばんは，うすだです． 私事で申し訳ありませんが，クリエーターズマーケットが， いよいよ来週に迫ってきました． 私の本業はプログラマーで，某社に勤めるしがないサラリーマンですが， クリエーターのふりをして，栗のいろんなものを出展する予定です． ですので，今まさに，栗グッズをいろいろ作ったり， ディスプレイをどうするか考えたりなど，しています． 技術屋として，がんばるベクトルを間違っているのではないか，という気が， ときどきします．なんでこんなことやってんだ? と疑問に思うこともしばしばですが，普段経験しないことのために脳みそを使う， というのは，決して悪いことではないと思います． …などと正当化して，がんばろうと思います． ポートメッセなごやで開催されますので，お近くにお住いで興味のある方は， よろしければお越しください．入場料が必要ですが． (メルマガ読んでますって言えば，バッジくらいはサービスしますよ!!) クリエーターズマーケット - 『栗日記』は 6/19 に出展します http://www.creatorsmarket.com/ それでは，今日も，はりきってまいりましょう! 今週のお題 - tcp_wrapper 完結編 前回宣言した通り，今週は，tcp_wrapper の補足ということで， 実際に設定を行う際の手順について，ご紹介します． 前回，前々回をご存知ない方は，以下をご覧ください． Vol.13: tcp_wrapper でログをとる http://www.usupi.org/sysad/013.html Vol.14: tcp_wrapper でアクセス制御 http://www.usupi.org/sysad/014.html とっかかりを考える さあ，これから tcp_wrapper をやったるで! というとき， でもどこから手をつければいいかわからないよー， という方が結構いらっしゃるのではないかと思います． サーバの役割や環境などによってケースバイケースだとは思いますが， 私が個人的に思っている，手のつけ方をご紹介します． まず，すでに稼働しているサーバに，tcp_wrapper を導入する場合です． 最初からがちがちに設定して，今まで動いていたサービスが使えなくなると， ものすごくまずいです．ですので，この場合は， 少しずつ制限を加えていくのがよろしいのではないかと思います． 具体的には，あるデーモンに対して，拒否したい条件がはっきりしている場合に， hosts.deny に記述します．例えば，telnet を， 管理者のマシンである 192.168.1.1 からしか許可しないようにするなら， in.telnetd : ALL EXCEPT 192.168.1.1 を hosts.deny に追加します． (192.168.1.1 以外のすべてを拒否する，という意味です．) 逆に，これからサーバを仕立て上げる場合ですと，デフォルトで全部拒否にしておき， 許可したい条件を記述していくのが，よろしいのではないかと思います． 具体的には，まず，hosts.deny の最後に，以下のエントリを加えます． これがあると，他に該当するエントリがない場合，拒否となります． ALL : ALL それから，許可したい条件を，hosts.allow に記述していきます． 前述と同様，192.168.1.1 からの telnet を許可したいなら， in.telnetd : 192.168.1.1 を hosts.allow に追加します． 実際の設定手順 やはり，いきなり /etc/hosts.allow や /etc/hosts.deny に記述する， というのは，リスキーです．できれば， システムに影響のないところで確認を行ってから，実際に反映させたいものです． (とはいえ，私はいきなりやってました．以後気をつけようと思います．) 実は，確認するためのコマンドが，ちゃんと用意されています． その名も，tcpdchk と tcpdmatch です． tcpdchk は，hosts.allow と hosts.deny の記述を確認してくれます． そのまま実行すると，/etc/hosts.allow と /etc/hosts.deny を確認して， 問題がある場合に指摘してくれます． -d オプションをつけて実行すると，/etc ではなく， カレントディレクトリにある hosts.allow と hosts.deny を確認してくれます． そして，設定が期待通りになされているかどうか確認するためのコマンドが， tcpdmatch です． 引数にデーモンとクライアントを指定すると，どのように判断されるのかがわかります． tcpdchk のときと同様に，-d オプションをつけて実行すると， カレントディレクトリにある hosts.allow と hosts.deny を用いて確認します． 以下に，起動例を示します． % tcpdmatch -d sshd 192.168.1.1 warning: sshd: no such process name in /etc/inetd.conf client: address 192.168.1.1 server: process sshd matched: hosts.allow line 8 option: spawn (/usr/bin/logger -i -p auth.info ...略) & access: granted (warning がありますが，私の環境では，sshd を inetd から起動するように設定していないので，気にしないでください．) この場合，granted と出力されていますので，『許可』です． denied と出力される場合は，『拒否』です． というわけで，変更する手順としては，以下のようになるのではないかと思います． どこかのディレクトリに，/etc/hosts.allow と /etc/hosts.deny をコピーする． (もちろん，/etc はだめですよ．) コピーした hosts.allow と hosts.deny を編集する． tcpdchk -d を実行して，記述に間違いがないか確認する． tcpdmatch -d を実行して，期待通りであることを確認する． 追加・編集したエントリの確認だけでなく，既存のエントリや記述していないデーモンの確認も，行うべきです． 編集した hosts.allow と hosts.deny を，/etc にコピーする． 問題が発生した時にすぐにもとに戻せるよう，コピー前のファイルを， 別名で保存しておくべきです．rcs などを用いると，楽になれるかもしれません． 以上，あまり『実践』という感じではありませんでしたが， 実際に設定を行う際の手順について，ご紹介しました． tcpdmatch で確認するところは，シェルスクリプトにしておくと， 確認もれがなくなってよろしいのではないかと思います． 宿題の答え 先週の問題は， SSH に対して，192.168.1.0〜255 からのアクセスは許可してその旨を syslog に記録し，それ以外からのアクセスは拒否して管理者宛にメール する設定を，行ってください でした． hosts.allow に以下を追加して， sshd : 192.168.1. : \ spawn (/usr/bin/logger -i -p auth.info %d\: connected from %h) & hosts.deny に以下を追加すれば，OK です． sshd : ALL : \ spawn (echo "%d\: connected from %h" | \ /usr/bin/Mail -s "[notice] %d" 宛先メールアドレス) & いろいろ変えて，遊んでみてください． 今週の宿題 今週の宿題は，こちらです． tcp_wrapper とパケットフィルタリングの違いはなんでしょうか? ちなみに，私は，明確な答を知っているわけではありません． お互い，いい機会だと思って，少し考えてみましょう． (玄人さんからのつっこみがこわいですが…えいやー!) あとがき Tech総研に，おもしろいレポートが載っていました． 上司や同僚との関係から，残業時間の方程式を導き出しています． 残業時間は「上司との関係」の絶対値に反比例する http://rikunabi-next.yahoo.co.jp/tech/docs/ct_s03500.jsp?p=lwb009 残業時間は「技術職の同僚」と「部署の女性」との親密度に反比例する http://rikunabi-next.yahoo.co.jp/tech/docs/ct_s03500.jsp?p=lwb010 私が今勤めている場所には，私を含めて3人しかいませんし，上司は本社にいるので， なかなか当てはめられません． まあそれでも，統計をきちんととって導き出しているだけあって， なるほどなあと思わせられるところが，結構ありました． みなさんの場合は，いかがでしょうか? 当てはまらない箇所について考えてみるのも，面白いかもしれません． 私は，別に転職しようとは思って読んでいるわけではありませんが， このレポートに限らず，Tech総研は，業界の動向や， 他の会社の実体などがおぼろげにわかるので，暇な時に見ています． ご存知ない方は，一度見てみてください． さて，最初に書きましたが，来週はクリエーターズマーケットですので， お休みをいただきたいと思います．申し訳ありません． こんなメルマガですが，1つ書くのに，結構時間を費やしています．いや， 単に文章を書くのに慣れていないだけなのですが． なにはともあれ，準備がかなり間に合っていませんので，そんな時間も， 栗の製作に割り当てさせていただきたいと思います． 今週も，ここまで読んでいただき，ありがとうございました． それでは，また来週，お会いしましょう! 「いますぐ実践! Linux システム管理」の解除は，以下からどうぞ． http://www.usupi.org/sysad/ (まぐまぐ ID:149633) バックナンバーは，こちらにごそっとあります． http://www.usupi.org/sysad/backno.html 「栗日記」−毎日毎日毎日栗の絵を描いて更新中! http://www.usupi.org/kuri/ (まぐまぐ ID:126454) クリエーターズマーケット - 『栗日記』 の場所は D-20 です http://www.creatorsmarket.com/ [バックナンバーのトップへ] [Linux システム管理のトップへ]

▼ トップ ▼ バックナンバー     [日付順] [目的別] ▼ プロフィール ▼ リンク 独学Linux Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。 Server World CentOS 5 をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューションや、Solaris10の例も充実しています。 LINUXで自宅サーバーを構築・導入(Fedora8) Fedora8のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。 マロンくん.NET 〜サーバ管理者への道〜 Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!! 日本の Linux 情報 日本の、Linux 総本山的なところです。 Linux Square − @IT @ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。 Open Tech Press Linux に限らず、オープンソース関連の記事が網羅されています。 ITmediaエンタープライズ:Linux Tips 一覧 Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。 IBM developerWorks : Linux 開発者向けですが、勉強になりますよ。 Yahoo!ニュース - Linux Yahoo!のLinuxに関するニュース一覧です。 システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。 システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-) ランキングに参加してみました。押してやってください。 ▼ 作ってみました ▼ せんでん ▼ 最近読んだ本 ハリー・ポッターと不死鳥の騎士団 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと炎のゴブレット J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターとアズカバンの囚人 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと秘密の部屋 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと賢者の石 J.K.Rowling   ハリポ月刊なので読み直してます アルケミスト パウロ・コエーリョ   また読んだ 賢者の書 喜多川 泰   違った視点から見られてよかった セキュリティウォリア Cyrus Peikari, Anton Chuvakin   やや冗長…ためにはなりました CORE MEMORY John Alderman, Mark Richards   この筐体でPC作ってほしい! 新訳 星の王子さま サン=テグジュベリ 倉橋 由美子   つまらない大人になったのか… ..... [X] 「センネン画報」 今日 マチ子 「粟津潔 デザインする言葉」 粟津潔 「Binary Hacks」 高林 哲,鵜飼 文敏,佐藤 祐介,浜地 慎一郎,首藤 一幸 「Make: Volume01」 オライリー・ジャパン 「セーラが町にやってきた」 清野 由実 「手紙屋」 喜多川 泰 「Linuxカーネル2.6解読室」 高橋 浩和,小田 逸郎,山幡 為佐久 「人蕩し術」 無能 唱元 「子育てハッピーアドバイス2」 明橋 大二, 太田 知子 「ラッセル幸福論」 B. Russell 「それでも人生にイエスと言う」 Viktor Emil Frankl 「子育てハッピーアドバイス」 明橋 大二, 太田 知子 「考具」 加藤 昌治 「北欧デザイン<3>」 渡部 千春 「北斎の謎を解く」 諏訪 春雄 「体感美術館」 平野 暁臣 「チベット永遠の書」 Theodore Illion 「リナックスの革命」 Pekka Himanen 「人月の神話」 Frederick Phillips,Jr. Brooks 「ヤバい経済学」 Steven D. Levitt, Stephen J. Dubner 「小布施ッション<2001-2002>」 セーラ・マリ カミングス 「アンパンマン伝説」 やなせ たかし 「夢をかなえるゾウ」 水野 敬也 「ゲーム開発者のためのAI入門」 David M. Bourg, Glenn Seemann 「北欧デザイン<2>」 渡部 千春 「北欧デザイン<1>」 渡部 千春 「ヒューマン2.0」 渡辺 千賀 「中国・ロシア同盟がアメリカを滅ぼす日」 北野 幸伯 「超ロング・セラー 絶滅寸前商品」 湯浅 豊彦 「The BUG(ザ・バグ)」 すずき ひろのぶ,かとう みつあき 「デザインのデザイン」 原 研哉 「マキアヴェッリ語録」 塩野 七生 「ハンバーガーを待つ3分間の値段」 斎藤 由多加 「星の旅人-スペイン「奥の細道」-」 黛 まどか 「食品の裏側」 安部 司 「On Lisp」 Paul Graham 「ぼくが医者をやめた理由 つづき」 永井 明 「あなたならどうする?」 Jack Nikolaschka 「セキュアプログラミング−失敗から学ぶ設計・実装・運用・管理」       Mark G. Graff, Kenneth R. van Wyk 「「左利き」は天才？−利き手をめぐる脳と進化の謎」       David Wolman 「自分の中に毒を持て」 岡本 太郎 「アトピーの薬を減らす本」 田中 貴子 「岡本太郎「明日の神話」修復960日間の記録」 吉村 絵美留 「X51.ORG THE ODYSSEY」 佐藤 健寿 「アレルギーっ子の暮らし応援BOOK」 佐藤 のり子 「沖縄文化論」 岡本 太郎 「「伝説の社員」になれ!」 土井 英司 「コンピュータの構成と設計(上)」 Patterson & Hennessy 「カラスのジョンソン」 明川 哲也 「ドリルを売るには穴を売れ」 佐藤 義典 「頭がよくなる照明術」 結城 未来 「クロフォードのインタラクティブデザイン論」 Chris Crawford 「いじめの根を絶ち子どもを守るガイド」 Barbara Coloroso 「非常識のすすめ―逆発想の仏教論」 ひろさちや 「Linuxアドバンストネットワーク構築ガイド - HAサーバ構築編」       デージーネット 「イノベーションの達人!」 Tom Kelly, Jonathan Littman 「クリエーター50人が語る創造の原点」 小原 啓渡 「欺術 - 史上最強のハッカーが明かす禁断の技法」 Kevin Mitnick 「楽しい気象観察図鑑」 武田 康男 「入門 Ajax」 高橋 登史朗 「リリカルな自画像」 岡本 太郎 「やぎの目ゴールデンベスト」 林 雄司 「初めてのPython 第2版」 Mark Lutz,David Ascher 「鼻兎」 小林 賢太郎 「なぜ、これがアートなの?」 Amelia Arenas 「芸術起業論」 村上 隆 「まほう色の瞳」 Enrique Barrios 「ラーメンズつくるひとデコ」 ラーメンズ 「R25 つきぬけた男たち」 R25編集部 「美の呪力」 岡本 太郎 「しろのあお」 上大岡 トメ 「ザ・ゴール」 Eliyahu M. Goldratt 「ハッカーと画家」 Paul Graham 「岡本太郎に乾杯」 岡本 敏子 「Fedore Core Expert」 Software Design 「誰も知らない男」 ブルース・バートン 「子どもが育つ魔法の言葉」 ドロシー・ロー・ノルト 「国家の罠」 佐藤 優 「夜回り先生」 水谷 修 「やぎの目絵日記」 林 雄司 「7つの習慣」 スティーブン・R. コヴィー 「まろ、ん?−大掴源氏物語」 小泉 吉宏 「ザ・サーチ グーグルが世界を変えた」 ジョン・バッテル 「ポストモダン・マーケティング」 スティーブン ブラウン 「機動戦士ガンダムさん」 大和田 秀樹 「小エロのひみつ - Webやぎの目研究発表」 林 雄司 「これ、誰がデザインしたの?」 渡部千春 「60分間・企業ダントツ化プロジェクト」 神田 昌典 「ガルシアへの手紙」 エルバート ハバード 「人生は素晴らしいものだ」 オグ・マンディーノ 「ザ・マインドマップ」 トニー・ブザン,バリー・ブザン 「ワインバーグのシステム思考法」 G.M.ワインバーグ 「渋谷ではたらく社長の告白」 藤田 晋 「渋井真帆の日経新聞読みこなし隊」 渋井 真帆 「コラム息切れ」 小野 法師丸 「早朝起業」 松山 真之介 「変な人が書いた驚くほどツイてる話」 斎藤 一人 「35歳から仕事で大切にしたいこと」 村井 勉 「金融広告を読め」 吉本 佳生 「発想する会社!」 トム・ケリー,ジョナサン・リットマン 「エハイク」 吉田 戦車 「人生の旋律」 神田 昌典 「仕事の思想」 田坂 広志 「CPUの創りかた」 渡波 郁 「非常識な成功法則」 神田 昌典 …これ以前は記録してません… ▼ 気に入ってる本 夢をかなえるゾウ 水野 敬也   いままでで最高の「笑える」成功本 Linuxデバイスドライバ Alessandro Rubini, Jonathan Corbet   ドライバ作らなくてもためになる Firefoxの改造テクニック! 大浦 淳   いま栗日記拡張を考えてます Apacheモジュール プログラミングガイド 小山 浩之   Apacheの中身もわかるよ 図解 実戦マーケティング戦略 佐藤 義典   栗日記も戦略的に行こう! やぎの目ゴールデンベスト 林 雄司   よめも爆笑してました アルケミスト パウロ・コエーリョ   ヘコみそうなとき読みます X51.ORG THE ODYSSEY 佐藤 健寿   X51.ORGの集大成 チベット永遠の書 Theodore Illion   いろんな意味ですごい!! 影響力の武器 ロバート・B・チャルディーニ   思わず納得します