このページは過去に掲載していたものをそのまま使用しています。
CD-ROMは手に入ったけれど、アプリケーションのコンパイルは おろか附属のソフトウェアの設定すらわからない場合にはどうしたら良いでしょう。 そういう泥臭い部分についての多少の手助けになりそうな事をメモのように 書いていきます。
右も左もわからない状態では、困るので最初にスタートする場所くらいは 書いておきましょう。
この二つくらいを一通り読む事をお勧めします。問題点は想定しているOSが Solaris 2.4程度なので若干古いことです。 このためにファイルの場所や設定方法が違う場合があります。このような 相異点を吸収するために多少は役に立つと思われることについて書いていきます。
附属のドキュメントとしては"Solarisアンサーブック2"があるのですが、 別のCD-ROMからインストールしなければならない事もあって有効に活用されて いるかどうか疑問です。
しかしながら日本語でSolarisの設定について詳く書かれているので 是非活用してください。これがあれば次に書くようなことってあんまり 必要ないんですけどね。まぁ附属のサーバー以外にも適用できるってことで 大目にみてください。
CD-ROMを入れたら、自動的にファイルマネージャが表示されます。 その中にあるREADME_ja.htmlをダブルクリックで開き説明を読みましょう。
たとえば/usr/sbin/in.ftpdが想定している設定ファイルには どんなものがあるのか。以下のコマンドを実行して結果を見てみましょう。
$ strings /usr/sbin/in.ftpd | grep "etc" /etc/ftpusers /etc/default/ftpd
これは"etc"というディレクトリ("/usr/local/etc/ /usr/etc/ /etc/")みたいな 場所に設定ファイルが置かれるだろうという予測に基づいています。
運用効率を上げるために、できるだけ他のOSに附属のツールと 様々な点が同じになるようにプログラムは作られていると仮定します。 それを信じる範囲に置いては、他のOS用のドキュメントなどが役に立つと 考えることができます。
Linuxの日本語ドキュメントを集めたJF文書のアーカイブには ネットワークの設定について記述された文章 が存在します。ここではftpusersについても説明されていて、 「このファイルは単にftpを許可しないユーザを列挙しただけのものです」 という記述があります。
% cat ftpusers root daemon bin sys adm lp uucp nuucp listen noaccess
こうして得た知識と、"man ftpd"によって得られる知識を総合すると manual pageだけから全てを理解する必要はなくなります。情報の収集方法を 幅広く持つことがシステム管理者として重要な要素の一つだと思います。 そして、まず疑い、その正しさを評価する姿勢も必要です。 このページは間違いを含まないように注意していいますが、時の経過によって正しくない記述を含むことになるかもしれません
自分の持ち物を勝手に他人に私物のように扱われるのは、誰でも嫌なものです。 しかしながらWSの管理においては、「自分が嫌でないので良い」という考え方は 間違ったものであることを説明しなければなりません。
WSに侵入される、この行為による効果はいろいろです。 基本的には侵入者がWSで行なう行為はあなたの行為とみなされますが、 あなたはそういった不正行為を行なっていないという証明を行なう事は 非常に困難です。具体的な例は以下のようになります。
いずれにしても管理者であるあなたが、これらの行為を行なっていないという証明 を行なうことは非常に困難です。4,5年前ではこういう事はあまり無いことでしたが、 最近はそうも行っていられない状況になりつつあります。
システム管理の占める重要性は増すばかりですが、適切なコンフィギュレーションを 行なうことができる人はどれくらいいるでしょうか。次のようなキーワードのうち どれくらいを知っていますか?
lsof, IDS, propolice, stack overflow (or overrun), showrev, "Solaris Patch Report", netstat, ping, nslookup, /etc/hosts.equiv, ined, /etc/inetd.conf, qmail, sendmail, postfix, NcFTPd, wu-ftpd, proftpd, snort, libnet, libnids, firewalk, tcpdump, ethereal, fragrouer, libpcap, "cracking analyzer (CA)", tcpflow, "assembled tcp packet", "fragmented ip packet", nmap, AntiVirus, phf, DoS, SPAM, tripwire, ...
ここまで書いてきて自分でも、kerberos, skeyなどいくつものtopicについて 勉強不足なのが分かります。それでも自分が「知っている」と主張するtopicに ついては、その知識の幅を拡げるための努力が必要になることは間違いありません。 たとえば、sendmail, qmail, postfix, exim などのMTA (Mail Transport(-fer?) Agent)一つをとってもみても、複数のMTAの中からそれを選ばなければ安全という理由だけで、 たとえばqmailを選ぶことは(そのことはとても良いことですが)、管理者として 勉強不足だと指摘されるかもしれません。
言葉をかえれば、システム管理は追及するべきことがたくさんあり、 勉強の題材としてはとてもおもしろいともいえるでしょう。
さて次からは具体的にsolarisをより安全な状態に近付けるために、 いくつかの方法を解説します。
世の中には売り物のftpdもあります。その中でもncftpdはftp clientのncftpほどではありませんが、有名なものです。 このncftpdは学術機関で使われる場合には無料で利用できます。 また同時接続数が少ないpersonal licenseも準備されているので十分に試す事が できるでしょう。基本的には30日間のお試し期間終了後にlicenseを購入することで NcFTPdを導入することができるはずです。
install manual をみると詳細が書いてあるので、このページで説明することもないと思いますが、 デフォルトの設定だけでは動かないので、どういうことをするのか挙げてみます。
OS附属のftpdと同様に/etc/ftpusersにログインを許可しない ユーザーを記述しますが、簡単なスクリプトで雛型を作成することは可能です。
$ su
# awk -F':' '{print $1}' /etc/passwd > /etc/ftpusers
あとはviを使ってftpでアクセスしたい一般ユーザーを削除するだけです。
# awk -F':' '{print $1}' /etc/passwd | egrep -v 'yasu|abe' > /etc/ftpusers
みたいなので十分なのかもしれないですね。