いますぐ実践! Linuxシステム管理

[バックナンバーのトップへ] [Linux システム管理のトップへ]


いますぐ実践! Linux システム管理 / Vol.014 / 読者数:324名

こんばんは,うすだです.

今度は,Solaris10 のセミナーに行ってきました.
なんだか,セミナーばっかり行っているようですが,1カ月に2度も行くのは, 入社以来初めてです.たぶん.

ま,それはいいとして,主に,Solaris10 の新機能に関する話を, 2時間みっちり拝見してきました.

Solaris9 から追加された機能が,実に600種類以上あるそうですが, その中でも目玉だと思われるのが,Solaris コンテナです.

これは,Solaris10 の上で,仮想的に Solaris10 を動かすための機能です. Linux でいうところの UML (User Mode Linux) と同じようなものでしょうか. (発表者は,BSD の jail に相当するとおっしゃっていました.)

ただ,CPU やメモリ,ディスクなどの資源を,個々の仮想 OS 毎に割り当てられるところが,UML などとは異なります.仮想 OS の役割に応じて, 資源をうまく配分し,効率よく動かすことができそうです. 想像しただけで,わくわくしますね.(し,しませんか…?)

他にも,ダイナミックにさまざまなトレースを行える DTrace や, ハード障害を予測して自動的に対処できる予測的セルフヒーリングなど, 興味深い機能が満載です.しかも,Solaris10 は無料で使えます.
わたしは,最近 Solaris を使っていませんでした(Solaris8 以降は未体験です)が, Solaris10 は,是非いじくり回してみたいと思いました.

ちなみに,Solaris10 の新機能の概要の紹介は,以下にあります.
(ZFS と Linux 動作環境は,現時点ではまだ実装されていないそうです.)
http://jp.sun.com/products/software/solaris/10/inside.html

…なんだか,Sun の宣伝みたいになってしまいました.(^ε^;;
それでは,今日も,はりきってまいりましょう!

今週のお題 - tcp_wrapper でアクセス制御

今週は,tcp_wrapper の続きで,そもそもの機能である,アクセス制御を行ってみようと思います.

先週ご覧になっていない方は,こちらをご覧ください.
http://www.usupi.org/sysad/013.html

tcp_wrapper は,以下の順序で検索を行います.該当するエントリを見つけた時点で, 検索を終了し,アクセス制御を行います.

  • デーモンとクライアントの組合せが,/etc/hosts.allow のエントリに該当する場合,アクセスを許可する.
  • デーモンとクライアントの組合せが,/etc/hosts.deny のエントリに該当する場合,アクセスを拒否する.
  • いずれにも該当しなければ,アクセスを許可する.

(↑ここは,大事なところです.試験にも出ますよ.;-p)

各エントリは,先週も少しご説明しましたが,以下のような書式です.
(アクションは,省略可能です.)

  デーモン : クライアント : アクション

なにはともあれ,実際の例でご説明していきましょう.

例えば,以下のようなエントリが hosts.allow にあるとします.

  sshd : 192.168.1.1 : spawn (/usr/bin/logger -i -p auth.info \
    %d\: connected from %h) &

これは,192.168.1.1 から SSH へアクセスがあった場合に,アクセスを許可し, loggerコマンドで syslog に記録するためのエントリです.
ちなみに,192.168.1.1 以外から SSH へアクセスがあった場合は, hosts.deny に該当するエントリがなければ,アクセスを許可します.
(…許可はしますが,logger コマンドは実行されません.)

許可してばっかりではいけませんね.br /> 今度は,hosts.allow を空っぽにして,hosts.deny に以下のエントリを書いてみましょう.

  sshd : 192.168.1.0/255.255.255.0

この場合,192.168.1.0/24 からの SSH へのアクセスを拒否します.
クライアントを,ネットワークアドレス/ネットマスク で指定できます. アクションを指定していませんので,特に何も実行されませんが,指定し ておけば,そのコマンドが実行されます.

ちなみに,このエントリは,

  sshd : 192.168.1.

と書くこともできます.IP アドレスの先頭が 192.168.1. と一致する場合に, 該当します.アドレスの範囲がクラスA〜C に該当するとき,このように書けますね.

また,hosts.deny に以下のエントリを書いておくと,

  sshd : .pub.usupi.org

クライアントのドメイン名の後ろが .pub.usupi.org と一致する場合に, アクセスを拒否します.例えば,host1.pub.usupi.org などです.

  sshd : .pub.usupi.org, 192.168.254.

のように,クライアントの条件を複数指定することもできます.

今度は,合わせ技をやってみましょう.
SSH に対して,192.168.1.0〜127 からのアクセスは許可し, それ以外からのアクセスを拒否する場合の記述方法を,以下に示します.
まず,hosts.allow には,以下を指定します.

  sshd : 192.168.1.0/255.255.255.128

そして,hosts.deny には,以下を指定します.

  sshd : ALL

例えば,192.168.1.1 からのアクセスの場合,hosts.allow のエントリに該当するので許可されます.また,10.0.0.1 からのアクセスの場合, hosts.allow のエントリには該当しませんが,hosts.deny のエントリには 該当しますので,拒否されます.
(ALL には,すべてのクライアントが該当します.)

ちなみに,これらは1つにまとめられます.hosts.deny に,

  sshd : ALL EXCEPT 192.168.1.0/255.255.255.128

と記述することと,同じ意味になります.
a EXCEPT b と書くと,b 以外の a が該当する,という意味になります.

でも,許可する場合と拒否する場合とで,実行されるアクションを変えたい場合は, 分ける必要がありますね.

以上,tcp_wrapper のアクセス制御の基本的なところを,ご紹介しました.
来週は,全く新しいことを…といきたいところですが,今まででご紹介しきれていない部分の補足をやりたいと思います.
…すみませんごめんなさい.
(つまらんぞ,というお便りがたくさん届いたら,考えます.)

宿題の答え

先週の問題は,

  telnet に対してアクセスがあった時に,メールで root に通知する設定
  を,/etc/hosts.allow に行ってください

でした.
hosts.allow に,以下のエントリを追加すれば,あっけなく完成です.

  in.telnetd : ALL : spawn (echo "%d\: connected from %h" | \
    /usr/bin/Mail -s "[notice] %d" 管理者メールアドレス) &

前回もお話ししましたが,\: に気をつけましょう.
サブジェクトなど気に入らないところを,変えて試してみてください.

今週の宿題

今週の宿題は,こちらです.

  SSH に対して,192.168.1.0〜255 からのアクセスは許可してその旨を
  syslog に記録し,それ以外からのアクセスは拒否して管理者宛にメール
  する設定を,行ってください

今週ご紹介した内容に,アクションを付け加えれば,できると思います.

あとがき

先週発行後,知合いでない方から,初めてのお便りをいただきました.
しかも,ベルギーからです.…もちろん,日本人の方でしたが.
(ありがとうございました.この場を借りて,再度お礼を申し上げます.)

それにしても,読者の方々から,感想などのメールをいただくことが, ほとんどありません.(TεT)

私がもう1つ発行している『栗日記』というメルマガでは,初期の, 読者数が20〜30人程度の頃から,ちょくちょく感想をいただいています.
ですので,このメルマガでも,それなりに感想をいただいて, それらからネタを抽出すれば,永遠にメルマガを出し続けられるなあ, などと簡単に考えておりました. よく言えば,ポジティブシンキング,でしょうか.

…しかし,その目論見は,あっけなく崩れ去りました.
いただいたメールからネタを得ることもありましたが,半分以上は, 絞りきったカリカリのぞうきんを,さらにねじって絞って書いてきました.

この差はいったいなんなんでしょうか.
という疑問を,漠然と抱き続けてきたのですが,読者層の違いによるのではないか, ということに,最近ようやく気づきました.

実は,『栗日記』で,感想をくださる方々の9割以上が,女性なのです.
おそらく,女性のほうが,コミュニケーションを気軽に上手にとることができるため, メールを送るという動作に至る閾値が,男性よりも低いのではないか,と思うのです.

私も,メルマガを発行するまでは,作者にメールなんて恐れ多くて, などと思っていました. でも,発行するようになって,感想をいただいた時のうれしさを知ってからは, ちょびっとの勇気を出して,ときどき送るようにしています.

…長々と書いてしまいましたが,ようするに,深く考えずに, 気軽に感想をメールしてくださいね,ということが言いたかったのです.(^ε^;
こんなことで困ってるんだけど,どうしようかな,などと迷っている方は, 試しに送ってみましょう.迷ってなくても,送ってみましょう.
というわけで,お待ちしてます.(^ε^)/~

今週も,ここまで読んでいただき,ありがとうございました.
それでは,また来週,お会いしましょう!

「いますぐ実践! Linux システム管理」の解除は,以下からどうぞ.
http://www.usupi.org/sysad/ (まぐまぐ ID:149633)

バックナンバーは,こちらにまとめてあります.
http://www.usupi.org/sysad/backno.html

「栗日記」もやってます.毎日栗の絵を描いてますよ!
http://www.usupi.org/kuri/ (まぐまぐ ID:126454)

クリエーターズマーケットに 6/19 だけ出店します.がんばるぞー
http://www.creatorsmarket.com/


[バックナンバーのトップへ] [Linux システム管理のトップへ]

トップ

バックナンバー
    [日付順] [目的別]

プロフィール

▼ リンク

独学Linux
Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。
Server World
CentOS 6をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューション(Fedora, Ubuntu)も充実しています。
LINUXで自宅サーバーを構築・導入(Fedora9)
Fedora9のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。
マロンくん.NET
〜サーバ管理者への道〜
Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!!
日経Linux
今や数少なくなってしまったLinuxの雑誌。ニュースやガイドもあります。
Linux Square − @IT
@ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。
gihyo.jp…技術評論社
Linuxに限らず様々な技術情報が満載のサイト。 SoftwareDesign誌も、 ソフトウェア技術者は必見です。
SourceForge.JP Magazine
Linux に限らず、オープンソース関連の記事が網羅されています。
ITmediaエンタープライズ:Linux Tips 一覧
Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。
IBM developerWorks : Linux
開発者向けですが、勉強になりますよ。
Yahoo!ニュース - Linux
Yahoo!のLinuxに関するニュース一覧です。
栗日記
システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。
システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-)
WEB RANKING - PC関連
ランキングに参加してみました。押してやってください。

▼ 作ってみました

Add to Google

▼ せんでん




▼ 最近読んだ本

▼ 気に入ってる本