[バックナンバーのトップへ] [Linux システム管理のトップへ] いますぐ実践! Linux システム管理 / Vol.111 / 読者数:1091名 こんばんは、うすだです。 先週、意気揚々と、 「ポートをリッスンしているプロセスを知る」というネタをお送りしたのですが、 読者のかたから、 netstat コマンドに -p というオプションをつけて実行すると一発でわかりますよ、 というご連絡をいただきました。 早速、ドキドキしながら実行しますと… (注: root 権限が必要です) # netstat -anp 稼働中のインターネット接続 (サーバと確立) Proto 受信-Q 送信-Q 内部アドレス 外部アドレス 状態 PID/Program name tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 2087/inetd tcp 0 0 0.0.0.0:22273 0.0.0.0:* LISTEN 2590/jserver tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 2560/httpd tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN 29008/named ... あー、ばっちりわかりますね。orz でも、ほら、どうやって解決しているのか、気になるじゃないですか。 という言い訳も考えたのですが、 しょせんは proc_fs をたどって解決をしているだけですので、 それは説得力がありませんよね…。 というわけで、申し訳ございませんでした。> みなさま 事前の調査は、しっかりやらないといけませんね。猛反省します。 これっぽっちも読者さんが増えなかった理由が、よくわかりました。 さあ、気をとり直して、今週も、はりきってまいりますよ! 今週のお題 - パスワードの暗号化について理解する ユーザがそのユーザであることを証明するモノといえば、パスワードですよね。 パスワードを盗まれたり、推測されて見破られたりしますと、自分自身を偽られ、 あんなことやこんなことに悪用されてしまう可能性が生じます。 お、恐ろしいですね…。 ですから、大文字小文字数字記号などいろんな文字を使うとか、 定期的に変更するとか、いろいろ気をつけなければならないことになっています。 さて、そんなとっても大切なパスワードですが、どのような形式で、 どこに記録され、どのように利用されているのか、ご存じない貴兄も、 意外といらっしゃるのではないでしょうか。 なにかあったときに確認できるようにするため、そして後輩にうんちくをたれるため、 はたまた技術的な興味を満たすなどのために、パスワードの扱われかたを、 今週はご紹介したいと思います。 まず、ユーザ情報が、/etc/passwd ファイルにいろいろ記録されているということは、 みなさんご存じだと思います。 これには、ユーザ名、ユーザID, ホームディレクトリやシェルなどが記述されていて、 だれでも参照できるようになっています。 % cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin ... 詳細は割愛しますが、このように、各情報が : で区切られています。 そして、先頭のユーザ名の次のフィールドが、 暗号化されたパスワードのフィールドです。 しかし、暗号化されているとはいえ、パスワードの情報が、 だれでも参照できるという状態は、どうあがいても健全ではありません。 ですので、いまどきは、このパスワード・フィールドには x だけを記述して、 ホンモノを別の場所に格納するようになっています。   その「別の場所」というのが、/etc/shadow というファイルです。 (参照するには、root 権限が必要です。) # cat /etc/shadow root:$1$qwertyui$597J03wRjGwA/PJThslgH0:13257:0:99999:7::: bin:*:13257:0:99999:7::: daemon:*:13257:0:99999:7::: ... passwd ファイルと同様に、各情報が : で区切られています。 そして、やはり同様に、2番目のフィールドに、 パスワードの情報が格納されています。 念のため、各情報の意味を、以下にさらっと列挙しておきます。 ユーザ名 暗号化されたパスワード 最後にパスワードが変更された日(1970年1月1日からの日数) パスワードが変更可能となるまでの日数 パスワードを変更しなくてはならなくなるまでの日数 パスワードの有効期限が来る前に、警告を発する日数 パスワードの有効期限が過ぎてから使用不能になるまでの日数 アカウントが使用不能になるまでの日数(1970年1月1日からの日数) 予約フィールド ※ ちなみに、上記は、以下でご紹介済です。 Vol.098 - パスワード変更していない日数をチェックする http://www.usupi.org/sysad/098.html では、暗号化されたパスワードの中身を、見ていきましょう。 先の root のパスワード・フィールドは、以下のようになっていました。 $1$qwertyui$597J03wRjGwA/PJThslgH0 最初が $1$ ではじまる場合、MD5 というハッシュ関数を用いて、 暗号化されていることを示しています。 そうでない場合は、DES で暗号化されています。例を示します。 abzAzwqUcqw62 ただ、いずれの場合も、パスワードが同じですと、 暗号化した結果も同じになってしまいます。 ですので、salt と呼ばれる文字列を付加して暗号化を行い、 異なる結果になるようにします。 MD5 の場合は、$1$ から次の $ までの文字列(最大8文字)が salt です。 上記の場合、qwertyui ですね。 DES の場合は、最初の2文字です。上記の場合、ab が salt です。 いずれも、64種類の文字を使って表されますので、同じパスワードでも、 DES では 64x64=4096 通り、MD5 では最大約 280兆通りの、 異なる結果を作り出せます。ですので、重複することはほぼなさそうです。 ※ ちなみに、MD5 については、以下でさらっとご紹介しています。 Vol.100 - ファイルが一致することを確認する http://www.usupi.org/sysad/100.html 長い長い前置きはこのくらいにして、実際に、 暗号化されたパスワードを生成してみたいと思います。 実は、crypt という関数を使えば、一発で作成できます。 というわけで、以下のような Perl スクリプトを作ってみました。 #!/usr/bin/perl if($#ARGV != 1) { print STDERR "Usage: $0 passwd salt\n"; exit 1; } print crypt($ARGV[0], $ARGV[1]) . "\n"; crypt の、第1引数にパスワードを、第2引数に salt を指定すると、 結果の文字列が戻ります。上記は、それを出力するだけのスクリプトです。 このファイルを、makepasswd.pl という名前で保存したら、 以下のように実行してみましょう。 % ./makepasswd.pl test1 '$1$qwertyui' $1$qwertyui$597J03wRjGwA/PJThslgH0 salt に、$1$ ではじまる文字列を指定すると、MD5 で暗号化した結果を出力します。 % ./makepasswd.pl test1 ab abzAzwqUcqw62 そうでなければ、DES で暗号化します。   確認も、同じスクリプトで行えます。 salt に、暗号化されたパスワードをそのまま指定してください。 % ./makepasswd.pl test1 '$1$qwertyui$597J03wRjGwA/PJThslgH0' $1$qwertyui$597J03wRjGwA/PJThslgH0 同じ結果が得られれば、正しいことがわかります。 パスワードを間違えると、 % ./makepasswd.pl USO '$1$qwertyui$597J03wRjGwA/PJThslgH0' $1$qwertyui$r2MBc0LpSAyznWRUKaPTI0 $ 以降が、ぜんぜん違う結果になってしまいます。 DES の場合も同様です。 % ./makepasswd.pl test1 'abzAzwqUcqw62' abzAzwqUcqw62 % ./makepasswd.pl USO 'abzAzwqUcqw62' ab7AoTPBqtRwg crypt 関数が、salt 以外の文字列を無視しますので、 同じスクリプトで確認も行えるのでした。 以上、パスワードのありかや作成方法などについて、ご紹介しました。 わかりにくかったかもしれませんが、passwd コマンドでパスワードを変更したり、 上記スクリプトを実行して比較すると、実感できると思います。 是非、自らの手を動かして、実践してみてください。 宿題の答え 先週の宿題は、 UDP のポートを使用しているプロセスを調べてみましょう。 でした。 以下では、例として、111番を使っているプロセスを突き止めます。 111 は16進数で 0x6f ですので、grep で抜き出します。 % grep :006F /proc/net/udp 111: 00000000:006F 00000000:0000 07 00000000:00000000 00:00000000 \ 00000000 0 0 3390 2 e5a61d60 ソケットのiノード番号は 3390 です。 これを、/proc/数字/fd 以下から探してみましょう。 # ls -l /proc/[1-9]*/fd/[1-9]* | grep 'socket:\[3390\]' lrwx------ 1 root root 64 7月 5日 23:35 /proc/1669/fd/3 -> \ socket:[3390] プロセスID が 1669 のプロセスのようです。 というわけで、111番を使っているのは、 % ps -p 1669 PID TTY TIME CMD 1669 ? 00:00:00 portmap NFS などの際に活躍する、portmap さんでした。 しかし、冒頭でお知らせしましたように、netstat -unpl を実行すれば、 一発でわかりますね。さみしいですが。 # netstat -unpl | grep :111 udp 0 0 0.0.0.0:111 0.0.0.0:* 1669/portmap 今週の宿題 今週の宿題は、 /etc/shadow を直接書き換えて、パスワードを変更してみましょう。 です。 ホンモノのサーバで試して、しゃれにならない現象が発生すると大変ですので、 万が一おかしくなっても後悔しないマシン上でお試しください。 それから、書き換える前に、 /etc/shadow のバックアップをとっておくのを忘れないでください。 (いざというとき戻せるようにするためです。) また、余力があれば、お手持ちの /etc/shadow が MD5 だったら DES を、 DES だったら MD5 を試してみてください。 あとがき 今週は、予習する暇といいますか、心の余裕がないまま、 週末をむかえることになりました。(時間的にも精神的にも多忙でした。) こんなときは、焦ってもネタが出てきませんので、原点に帰り、 昔のことを思い出して、他のひとから聞かれたり、 自分で悩んだりしたことを振り返ってみることにしました。 わたしが入社してから数年の間は、BSD 系の SunOS4.x と、 SystemV 系の SunOS5.x (Solaris2.x) が混在した環境にいました。 (他にも、SONY NEWS とか NEC EWS4800 とか、いろいろありました。) 学生のころから BSD 系ばかりを触っていましたので、 後者にはいろいろと戸惑った覚えがあります。 特に、パスワードが /etc/passwd ではなく /etc/shadow にあることに、 違和感を感じました。なんでこうなってんだろう? …面倒だなあ、 などと感じたことを思い出して、今回のネタを思いついた次第です。 やはり、読者のかたの状況やレベルなどを想像して、どういうことで悩むのか、 どういうことが役に立ちそうかということを、 自分の経験をもとにしながら考える必要があると思います。 そのことをつい忘れ、ひとりよがりな内容を書いてしまいがちですので、 今後も存分に気をつけないといけない、ということを再認識しました。 とはいえ、今週も、あわてて書いていますので、 いろいろおかしなところがあるかもしれません。 変なところがありましたら、お手数ですが、ご指摘いただけますと、 感謝感激です。存分に精進させていただきます。   今週も、ここまで読んでいただき、ありがとうございました。 それでは、また来週に、お会いしましょう!   「いますぐ実践! Linux システム管理」の解除は、以下からできます。 http://www.usupi.org/sysad/ (まぐまぐ ID:149633) バックナンバーは、こちらにほぼ全部そろっています。 http://www.usupi.org/sysad/backno.html 「栗日記」−最近アクセスが増えています。不思議〜。 http://www.usupi.org/kuri/ (まぐまぐ ID:126454) http://usupi.seesaa.net/ (栗日記ブログ) [バックナンバーのトップへ] [Linux システム管理のトップへ]

▼ トップ ▼ バックナンバー     [日付順] [目的別] ▼ プロフィール ▼ リンク 独学Linux Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。 Server World CentOS 5 をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューションや、Solaris10の例も充実しています。 LINUXで自宅サーバーを構築・導入(Fedora8) Fedora8のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。 マロンくん.NET 〜サーバ管理者への道〜 Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!! 日本の Linux 情報 日本の、Linux 総本山的なところです。 Linux Square − @IT @ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。 Open Tech Press Linux に限らず、オープンソース関連の記事が網羅されています。 ITmediaエンタープライズ:Linux Tips 一覧 Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。 IBM developerWorks : Linux 開発者向けですが、勉強になりますよ。 Yahoo!ニュース - Linux Yahoo!のLinuxに関するニュース一覧です。 システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。 システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-) ランキングに参加してみました。押してやってください。 ▼ 作ってみました ▼ せんでん ▼ 最近読んだ本 ハリー・ポッターと不死鳥の騎士団 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと炎のゴブレット J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターとアズカバンの囚人 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと秘密の部屋 J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと賢者の石 J.K.Rowling   ハリポ月刊なので読み直してます アルケミスト パウロ・コエーリョ   また読んだ 賢者の書 喜多川 泰   違った視点から見られてよかった セキュリティウォリア Cyrus Peikari, Anton Chuvakin   やや冗長…ためにはなりました CORE MEMORY John Alderman, Mark Richards   この筐体でPC作ってほしい! 新訳 星の王子さま サン=テグジュベリ 倉橋 由美子   つまらない大人になったのか… ..... [X] 「センネン画報」 今日 マチ子 「粟津潔 デザインする言葉」 粟津潔 「Binary Hacks」 高林 哲,鵜飼 文敏,佐藤 祐介,浜地 慎一郎,首藤 一幸 「Make: Volume01」 オライリー・ジャパン 「セーラが町にやってきた」 清野 由実 「手紙屋」 喜多川 泰 「Linuxカーネル2.6解読室」 高橋 浩和,小田 逸郎,山幡 為佐久 「人蕩し術」 無能 唱元 「子育てハッピーアドバイス2」 明橋 大二, 太田 知子 「ラッセル幸福論」 B. Russell 「それでも人生にイエスと言う」 Viktor Emil Frankl 「子育てハッピーアドバイス」 明橋 大二, 太田 知子 「考具」 加藤 昌治 「北欧デザイン<3>」 渡部 千春 「北斎の謎を解く」 諏訪 春雄 「体感美術館」 平野 暁臣 「チベット永遠の書」 Theodore Illion 「リナックスの革命」 Pekka Himanen 「人月の神話」 Frederick Phillips,Jr. Brooks 「ヤバい経済学」 Steven D. Levitt, Stephen J. Dubner 「小布施ッション<2001-2002>」 セーラ・マリ カミングス 「アンパンマン伝説」 やなせ たかし 「夢をかなえるゾウ」 水野 敬也 「ゲーム開発者のためのAI入門」 David M. Bourg, Glenn Seemann 「北欧デザイン<2>」 渡部 千春 「北欧デザイン<1>」 渡部 千春 「ヒューマン2.0」 渡辺 千賀 「中国・ロシア同盟がアメリカを滅ぼす日」 北野 幸伯 「超ロング・セラー 絶滅寸前商品」 湯浅 豊彦 「The BUG(ザ・バグ)」 すずき ひろのぶ,かとう みつあき 「デザインのデザイン」 原 研哉 「マキアヴェッリ語録」 塩野 七生 「ハンバーガーを待つ3分間の値段」 斎藤 由多加 「星の旅人-スペイン「奥の細道」-」 黛 まどか 「食品の裏側」 安部 司 「On Lisp」 Paul Graham 「ぼくが医者をやめた理由 つづき」 永井 明 「あなたならどうする?」 Jack Nikolaschka 「セキュアプログラミング−失敗から学ぶ設計・実装・運用・管理」       Mark G. Graff, Kenneth R. van Wyk 「「左利き」は天才？−利き手をめぐる脳と進化の謎」       David Wolman 「自分の中に毒を持て」 岡本 太郎 「アトピーの薬を減らす本」 田中 貴子 「岡本太郎「明日の神話」修復960日間の記録」 吉村 絵美留 「X51.ORG THE ODYSSEY」 佐藤 健寿 「アレルギーっ子の暮らし応援BOOK」 佐藤 のり子 「沖縄文化論」 岡本 太郎 「「伝説の社員」になれ!」 土井 英司 「コンピュータの構成と設計(上)」 Patterson & Hennessy 「カラスのジョンソン」 明川 哲也 「ドリルを売るには穴を売れ」 佐藤 義典 「頭がよくなる照明術」 結城 未来 「クロフォードのインタラクティブデザイン論」 Chris Crawford 「いじめの根を絶ち子どもを守るガイド」 Barbara Coloroso 「非常識のすすめ―逆発想の仏教論」 ひろさちや 「Linuxアドバンストネットワーク構築ガイド - HAサーバ構築編」       デージーネット 「イノベーションの達人!」 Tom Kelly, Jonathan Littman 「クリエーター50人が語る創造の原点」 小原 啓渡 「欺術 - 史上最強のハッカーが明かす禁断の技法」 Kevin Mitnick 「楽しい気象観察図鑑」 武田 康男 「入門 Ajax」 高橋 登史朗 「リリカルな自画像」 岡本 太郎 「やぎの目ゴールデンベスト」 林 雄司 「初めてのPython 第2版」 Mark Lutz,David Ascher 「鼻兎」 小林 賢太郎 「なぜ、これがアートなの?」 Amelia Arenas 「芸術起業論」 村上 隆 「まほう色の瞳」 Enrique Barrios 「ラーメンズつくるひとデコ」 ラーメンズ 「R25 つきぬけた男たち」 R25編集部 「美の呪力」 岡本 太郎 「しろのあお」 上大岡 トメ 「ザ・ゴール」 Eliyahu M. Goldratt 「ハッカーと画家」 Paul Graham 「岡本太郎に乾杯」 岡本 敏子 「Fedore Core Expert」 Software Design 「誰も知らない男」 ブルース・バートン 「子どもが育つ魔法の言葉」 ドロシー・ロー・ノルト 「国家の罠」 佐藤 優 「夜回り先生」 水谷 修 「やぎの目絵日記」 林 雄司 「7つの習慣」 スティーブン・R. コヴィー 「まろ、ん?−大掴源氏物語」 小泉 吉宏 「ザ・サーチ グーグルが世界を変えた」 ジョン・バッテル 「ポストモダン・マーケティング」 スティーブン ブラウン 「機動戦士ガンダムさん」 大和田 秀樹 「小エロのひみつ - Webやぎの目研究発表」 林 雄司 「これ、誰がデザインしたの?」 渡部千春 「60分間・企業ダントツ化プロジェクト」 神田 昌典 「ガルシアへの手紙」 エルバート ハバード 「人生は素晴らしいものだ」 オグ・マンディーノ 「ザ・マインドマップ」 トニー・ブザン,バリー・ブザン 「ワインバーグのシステム思考法」 G.M.ワインバーグ 「渋谷ではたらく社長の告白」 藤田 晋 「渋井真帆の日経新聞読みこなし隊」 渋井 真帆 「コラム息切れ」 小野 法師丸 「早朝起業」 松山 真之介 「変な人が書いた驚くほどツイてる話」 斎藤 一人 「35歳から仕事で大切にしたいこと」 村井 勉 「金融広告を読め」 吉本 佳生 「発想する会社!」 トム・ケリー,ジョナサン・リットマン 「エハイク」 吉田 戦車 「人生の旋律」 神田 昌典 「仕事の思想」 田坂 広志 「CPUの創りかた」 渡波 郁 「非常識な成功法則」 神田 昌典 …これ以前は記録してません… ▼ 気に入ってる本 夢をかなえるゾウ 水野 敬也   いままでで最高の「笑える」成功本 Linuxデバイスドライバ Alessandro Rubini, Jonathan Corbet   ドライバ作らなくてもためになる Firefoxの改造テクニック! 大浦 淳   いま栗日記拡張を考えてます Apacheモジュール プログラミングガイド 小山 浩之   Apacheの中身もわかるよ 図解 実戦マーケティング戦略 佐藤 義典   栗日記も戦略的に行こう! やぎの目ゴールデンベスト 林 雄司   よめも爆笑してました アルケミスト パウロ・コエーリョ   ヘコみそうなとき読みます X51.ORG THE ODYSSEY 佐藤 健寿   X51.ORGの集大成 チベット永遠の書 Theodore Illion   いろんな意味ですごい!! 影響力の武器 ロバート・B・チャルディーニ   思わず納得します