|
[バックナンバーのトップへ] [Linux システム管理のトップへ] いますぐ実践! Linux システム管理 / Vol.096 / 読者数:1007名こんばんは、うすだです。 今日は、弁当を持って、ちょっと遠くの公園へ行ってきました。 最近、寒い日が続いていたとはいえ、風の中に、春の匂いが感じられて、 もうすぐ春かなと思わせるものがありました。しかし、今日は、春の匂いどころか、 冬そのもの的な強い風が吹いていて、じっとしていると凍えてしまいそうなので、 老体に鞭打って、常に体を動かしていました。 そんなわけで、結構な運動量をこなし、大人たちは心地よく疲れたのですが、 子どもはまだまだ物足りないようで、さっき寝る前も、やや不満そうにしていました。
子どもの運動量というか成長の速度には、日頃から驚かされていますが、
今日はいつも以上に驚かされました。
…いやいやいや、親なら、子どもの成長を喜ばなきゃいけませんね。 今週のお題 - 内部の DNS 情報を見えなくするそれほど規模の大きくない企業や組織では、ゲートウェイ・マシン上で、 外部用の DNS サーバと内部用の DNS サーバを兼ねているところがあると思います。 (マルチホームとかデュアルホームとか言うやつですね。)
しかし、外部の情報と内部の情報を、一緒くたに扱っていると、
外部から内部の情報が、うっかり見えてしまうことがあります。 というわけで、会社の存続を担ってしまったシステム管理者各位のため、 今週は、内部向けの DNS 情報が漏洩しないための方法について、 いくつかご紹介したいと思います。 もっとも簡単な方法は、以前にもご紹介しましたが、 問合せやゾーン転送に制限をかけることです。
Vol.078 - BIND にいろいろ制限をかける
制限したい zone の中で、allow-query や allow-transfer を用いれば、
指定したクライアントからしか見えなくなります。
zone "usu.usupi.org." IN {
...既存の設定...;
allow-query { 192.168.1/24; };
allow-transfer { 192.168.1/24; };
};
ちなみに、acl で抽象化すると、変更が楽ですし、見た目もきれいです。
acl acl_local {
192.168.1/24;
127.0.0.1; /* お好みでどうぞ */
};
zone "usu.usupi.org." IN {
...既存の設定...;
allow-query { acl_local; };
allow-transfer { acl_local; };
};
ただ、制限したい zone が増えると、ごちゃごちゃしてしまいますね。
そんなときには、view を使うと、うまくいきます。
view 名前 {
match-clients { この view で問合せを許可するクライアント };
zone とかの設定;
}
match-clients で、
その view 内の情報を提供してもよいクライアントを指定します。
/* 内部情報(ゾーンサーバ兼キャッシュサーバ) */
view "local" {
match-clients { 192.168.1/24; }; /* 内部に限定 */
recursion yes; /* 再帰問合せ許可 */
zone "." IN {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "localhost.rev.zone";
};
zone "usu.usupi.org" IN { /* 内部ドメインの設定 */
type master;
file "usu.usupi.org.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "usu.usupi.org.rev.zone";
};
};
/* 外部情報(ゾーンサーバ) */
view "global" {
match-clients { any; }; /* 誰でもおっけー */
recursion no; /* 再帰問合せに応じない */
zone "." IN {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "localhost.rev.zone";
};
zone "usupi.org" IN { /* 外部ドメインの設定 */
type master;
file "usupi.org.zone";
};
};
内部向けの "local" と外部向けの "global" に分けた設定です。
これで、当初の目的は達成できたように思います。 …という心配症・潔癖症な貴兄は、情報毎に named を立ち上げてしまいましょう。
通常ですと、
すべてのネットワーク・インターフェースで listen しようとしますので、
複数の named を動作させることができません。 たとえば、内部用の named の named.conf は、以下のように記述します。
options {
...既存の設定...;
listen-on {
192.168.1.1; /* 内側のインターフェース */
127.0.0.1;
};
};
...内部向けの設定...;
かたや、外部用の named の named.conf は、以下のように記述します。
options {
...既存の設定...;
listen-on {
1.2.3.4; /* 外側のインターフェース */
};
};
...外部向けの設定...;
これで、かち合うことなく、2つの named を立ち上げられます。 以上、内部の DNS 情報を外から見えなくする方法を、ご紹介しました。
どの方法を用いるかは、ケースバイケースですので、どれがもっともよいかを、
うまいこと見極めて使ってみてください。 宿題の答え先週の宿題は、 ファイルを分割して送信するスクリプトを作りましょう。 でした。 perl5-MIME-tools を使って作りますよと言いましたので、 以下のように作ってみました。
#!/usr/bin/perl
use MIME::Entity;
use strict;
if($#ARGV < 3) {
print STDERR "Usage: $0 from to subject attaches...\n";
exit 1;
}
my $fadr = shift; # 送信元アドレス
my $tadr = shift; # 宛先アドレス
my $subj = shift; # 件名(の一部)
my $atts = $#ARGV+1; # 添付ファイルの総数
# 添付ファイルを1つずつメールで送信
for(my $cnt=1; my $file = shift; $cnt++) {
my $ent = MIME::Entity->build(
From => $fadr, To => $tadr,
Subject => sprintf("%s [%d/%d]", $subj, $cnt, $atts),
Type => 'application/octet-stream', Path => $file);
&send_mail($fadr, $ent);
}
exit 0;
# メールの送信は sendmail におまかせ
sub send_mail {
my ($fadr, $ent) = @_;
if(open(MAIL, "|/usr/sbin/sendmail -oi $fadr")) {
$ent->print(\*MAIL);
close MAIL;
} else {
print STDERR "cannot exec sendmail.\n";
exit 2;
}
}
特にひねりはありません。 % chmod +x splitsend.pl % split -b1048576 secret_file.zip % ./splitsend.pl usu@usupi.org foo@example.com "Secret file" x?? (rm x?? はお好みで…) 上記は、添付ファイルだけをそっけなく送っていますが、マルチパートなものにして、 メッセージや復元のスクリプトを付加すると、親切かもしれません。 興味のある方は、いろいろいじくってみてください。 今週の宿題今週の宿題は、 view を使う場合と listen-on を使う場合の利点を、考えましょう。 です。
view でいいじゃん、の一言で終わらせてしまうと、元も子もありませんので、
せっかくですから、それぞれの利点を考えてみましょう。 あとがきレンタルホストなどを利用していて、サーバが外にある場合、 SSH で侵入できるように設定していると思います。 特定のところからしか SSH で侵入しないなら、 tcp_wrappers でアクセス制限できますが、 外出先などからでもメンテナンスできるようにしたいという場合、 制限をかけられません。 しかし、どこからでも入れるようにしておくと、 あちこちから不正侵入を試みられますので、心穏やかでいられませんよね。
とかいいつつも、わたしは Logwatch の報告メールで満足していました。
DenyHosts SSH で不正と思われるアクセスがあると、 そこからの SSH のアクセスを禁止する設定を、 /etc/hosts.deny に自動追加してくれる、大変かしこいデーモンさんのようです。 (ちなみに Python で記述されています。)
これは是非活用せねば、と思い、早速、自分のマシンに入れてみました。
設定は、そのまま的に使うのであれば、簡単です。 とりあえず、自分のマシンに対して、root で侵入しようとしたところ、 以下のエントリがちゃんと追加されました。 # DenyHosts: Sat Mar 10 22:35:11 2007 | sshd: 192.168.1.222 sshd: 192.168.1.222 ログが regex.py に書かれたパターンに当てはまると、不正侵入を試みたと判定され、 エントリが追加されます。また、パターンを自由に追加することもできます。
他にも、一定時間経過したら hosts.deny のエントリを削除したり、
sshd 以外のサービスに適用したりなども、できるようです。
こういう、小粒でぴりり的なモノを、いつか作りたいと思っています。
今週も、ここまで読んでいただき、ありがとうございました。
「いますぐ実践! Linux システム管理」の解除は、以下からできます。
バックナンバーは、こちらにほぼ全部そろっています。
「栗日記」−栗の絵を描く以外にも、いくつか考え中です。 |
▼ トップ ▼ プロフィール ▼ リンク
▼ 作ってみました
▼ せんでん 
▼ 最近読んだ本
[X]
「センネン画報」 今日 マチ子「粟津潔 デザインする言葉」 粟津潔 「Binary Hacks」 高林 哲,鵜飼 文敏,佐藤 祐介,浜地 慎一郎,首藤 一幸 「Make: Volume01」 オライリー・ジャパン 「セーラが町にやってきた」 清野 由実 「手紙屋」 喜多川 泰 「Linuxカーネル2.6解読室」 高橋 浩和,小田 逸郎,山幡 為佐久 「人蕩し術」 無能 唱元 「子育てハッピーアドバイス2」 明橋 大二, 太田 知子 「ラッセル幸福論」 B. Russell 「それでも人生にイエスと言う」 Viktor Emil Frankl 「子育てハッピーアドバイス」 明橋 大二, 太田 知子 「考具」 加藤 昌治 「北欧デザイン<3>」 渡部 千春 「北斎の謎を解く」 諏訪 春雄 「体感美術館」 平野 暁臣 「チベット永遠の書」 Theodore Illion 「リナックスの革命」 Pekka Himanen 「人月の神話」 Frederick Phillips,Jr. Brooks 「ヤバい経済学」 Steven D. Levitt, Stephen J. Dubner 「小布施ッション<2001-2002>」 セーラ・マリ カミングス 「アンパンマン伝説」 やなせ たかし 「夢をかなえるゾウ」 水野 敬也 「ゲーム開発者のためのAI入門」 David M. Bourg, Glenn Seemann 「北欧デザイン<2>」 渡部 千春 「北欧デザイン<1>」 渡部 千春 「ヒューマン2.0」 渡辺 千賀 「中国・ロシア同盟がアメリカを滅ぼす日」 北野 幸伯 「超ロング・セラー 絶滅寸前商品」 湯浅 豊彦 「The BUG(ザ・バグ)」 すずき ひろのぶ,かとう みつあき 「デザインのデザイン」 原 研哉 「マキアヴェッリ語録」 塩野 七生 「ハンバーガーを待つ3分間の値段」 斎藤 由多加 「星の旅人-スペイン「奥の細道」-」 黛 まどか 「食品の裏側」 安部 司 「On Lisp」 Paul Graham 「ぼくが医者をやめた理由 つづき」 永井 明 「あなたならどうする?」 Jack Nikolaschka 「セキュアプログラミング−失敗から学ぶ設計・実装・運用・管理」 Mark G. Graff, Kenneth R. van Wyk 「「左利き」は天才?−利き手をめぐる脳と進化の謎」 David Wolman 「自分の中に毒を持て」 岡本 太郎 「アトピーの薬を減らす本」 田中 貴子 「岡本太郎「明日の神話」修復960日間の記録」 吉村 絵美留 「X51.ORG THE ODYSSEY」 佐藤 健寿 「アレルギーっ子の暮らし応援BOOK」 佐藤 のり子 「沖縄文化論」 岡本 太郎 「「伝説の社員」になれ!」 土井 英司 「コンピュータの構成と設計(上)」 Patterson & Hennessy 「カラスのジョンソン」 明川 哲也 「ドリルを売るには穴を売れ」 佐藤 義典 「頭がよくなる照明術」 結城 未来 「クロフォードのインタラクティブデザイン論」 Chris Crawford 「いじめの根を絶ち子どもを守るガイド」 Barbara Coloroso 「非常識のすすめ―逆発想の仏教論」 ひろさちや 「Linuxアドバンストネットワーク構築ガイド - HAサーバ構築編」 デージーネット 「イノベーションの達人!」 Tom Kelly, Jonathan Littman 「クリエーター50人が語る創造の原点」 小原 啓渡 「欺術 - 史上最強のハッカーが明かす禁断の技法」 Kevin Mitnick 「楽しい気象観察図鑑」 武田 康男 「入門 Ajax」 高橋 登史朗 「リリカルな自画像」 岡本 太郎 「やぎの目ゴールデンベスト」 林 雄司 「初めてのPython 第2版」 Mark Lutz,David Ascher 「鼻兎」 小林 賢太郎 「なぜ、これがアートなの?」 Amelia Arenas 「芸術起業論」 村上 隆 「まほう色の瞳」 Enrique Barrios 「ラーメンズつくるひとデコ」 ラーメンズ 「R25 つきぬけた男たち」 R25編集部 「美の呪力」 岡本 太郎 「しろのあお」 上大岡 トメ 「ザ・ゴール」 Eliyahu M. Goldratt 「ハッカーと画家」 Paul Graham 「岡本太郎に乾杯」 岡本 敏子 「Fedore Core Expert」 Software Design 「誰も知らない男」 ブルース・バートン 「子どもが育つ魔法の言葉」 ドロシー・ロー・ノルト 「国家の罠」 佐藤 優 「夜回り先生」 水谷 修 「やぎの目絵日記」 林 雄司 「7つの習慣」 スティーブン・R. コヴィー 「まろ、ん?−大掴源氏物語」 小泉 吉宏 「ザ・サーチ グーグルが世界を変えた」 ジョン・バッテル 「ポストモダン・マーケティング」 スティーブン ブラウン 「機動戦士ガンダムさん」 大和田 秀樹 「小エロのひみつ - Webやぎの目研究発表」 林 雄司 「これ、誰がデザインしたの?」 渡部千春 「60分間・企業ダントツ化プロジェクト」 神田 昌典 「ガルシアへの手紙」 エルバート ハバード 「人生は素晴らしいものだ」 オグ・マンディーノ 「ザ・マインドマップ」 トニー・ブザン,バリー・ブザン 「ワインバーグのシステム思考法」 G.M.ワインバーグ 「渋谷ではたらく社長の告白」 藤田 晋 「渋井真帆の日経新聞読みこなし隊」 渋井 真帆 「コラム息切れ」 小野 法師丸 「早朝起業」 松山 真之介 「変な人が書いた驚くほどツイてる話」 斎藤 一人 「35歳から仕事で大切にしたいこと」 村井 勉 「金融広告を読め」 吉本 佳生 「発想する会社!」 トム・ケリー,ジョナサン・リットマン 「エハイク」 吉田 戦車 「人生の旋律」 神田 昌典 「仕事の思想」 田坂 広志 「CPUの創りかた」 渡波 郁 「非常識な成功法則」 神田 昌典 …これ以前は記録してません…
▼ 気に入ってる本
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
