1 | <!--DOCTYPE chapter PUBLIC "-//OASIS//DTD DocBook V4.2//EN"--> |
---|
2 | <chapter id="lan"> |
---|
3 | <title>LAN(Local Area Network)</title> |
---|
4 | |
---|
5 | <!--chapterinfo> |
---|
6 | <authorgroup> |
---|
7 | <author> |
---|
8 | <firstname></firstname> |
---|
9 | <surname>Masaki</surname> |
---|
10 | </author> |
---|
11 | <author> |
---|
12 | <firstname>Shoji</firstname> |
---|
13 | <surname>Matsumoto</surname> |
---|
14 | </author> |
---|
15 | <editor> |
---|
16 | <firstname>Takuya</firstname> |
---|
17 | <surname>Kobayashi</surname> |
---|
18 | </editor> |
---|
19 | </authorgroup> |
---|
20 | <pubdate>2006/12/7</pubdate> |
---|
21 | </chapterinfo--> |
---|
22 | |
---|
23 | <sect1 id="server-1-3"> |
---|
24 | <title>ネットワークの状態を知る</title> |
---|
25 | <variablelist> |
---|
26 | <varlistentry> |
---|
27 | <term>ifconfigコマンド</term> |
---|
28 | <listitem> |
---|
29 | <para> |
---|
30 | ネットワークに接続されている場合、しばしば不通になることがあります。そのときにはネットワークの状態を調べる必要があります。<command>ifconfig</command>コマンドはIPアドレスやネットマスクの表示や設定を行えます。 |
---|
31 | </para> |
---|
32 | <screen> |
---|
33 | # /sbin/ifconfig -a |
---|
34 | eth0 リンク方法:イーサーネット ハードウェアアドレス 00:02:2D:49:64:4A |
---|
35 | inetアドレス:192.168.0.1 ブロードキャスト:192.168.0.255 マスク:255.255.255.0 |
---|
36 | UP BROADCAST RUNNING MTU:1500 Metric:1 |
---|
37 | RX packets:711620 errors:0 dropped:0 overruns:0 frame:0 |
---|
38 | TX packets:317441 errors:0 dropped:0 overruns:0 carrier:0 |
---|
39 | 衝突(Collisions):0 TXキュー長:100 |
---|
40 | RX bytes:376843112 (359.3 Mb) TX bytes:116872928 (111.4 Mb) |
---|
41 | 割り込み:3 ベースアドレス:0x100 |
---|
42 | |
---|
43 | lo リンク方法:ローカルループバック |
---|
44 | inetアドレス:127.0.0.1マスク:255.0.0.0 |
---|
45 | UP LOOPBACK RUNNING MTU:3924 Metric:1 |
---|
46 | RX packets:336146 errors:0 dropped:0 overruns:0 frame:0 |
---|
47 | TX packets:336146 errors:0 dropped:0 overruns:0 carrier:0 |
---|
48 | 衝突(Collisions):0 TXキュー長:0 |
---|
49 | RX bytes:128810518 (122.8 Mb) TX bytes:128810518 (122.8 Mb) |
---|
50 | </screen> |
---|
51 | <para> |
---|
52 | eht0がetherのデバイスを示します。また、「inetアドレス」がIPアドレスを示します。 |
---|
53 | </para> |
---|
54 | </listitem> |
---|
55 | </varlistentry> |
---|
56 | <varlistentry> |
---|
57 | <term>netstatコマンド</term> |
---|
58 | <listitem> |
---|
59 | <para> |
---|
60 | 設定に問題が無い場合は通信経路を調べる必要があります。<command>netstat</command>コマンドではルーティング(経路)を知ることができます。 |
---|
61 | </para> |
---|
62 | <screen> |
---|
63 | $ netstat -nr |
---|
64 | カーネルIP経路テーブル |
---|
65 | 送信先サイト ゲートウェイ ネットマスク フラグ MSS Window irtt インターフェース |
---|
66 | 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 |
---|
67 | 127.0.0.0 * 255.0.0.0 U 0 0 0 lo |
---|
68 | default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0 |
---|
69 | </screen> |
---|
70 | </listitem> |
---|
71 | </varlistentry> |
---|
72 | <varlistentry> |
---|
73 | <term>pingコマンドとtracerouteコマンド</term> |
---|
74 | <listitem> |
---|
75 | <para> |
---|
76 | <command>ping</command>コマンドは相手のホストまで、きちんと通信が行えるか調べることができます。応答時間が帰ってくれば繋がっています。止めるには <keycombo><keycap>Ctrl</keycap><keycap>c</keycap></keycombo>を押します。 |
---|
77 | </para> |
---|
78 | <screen> |
---|
79 | $ ping vinelinux.org |
---|
80 | PING vinelinux.org (210.81.181.125) 送信元 192.168.0.1 : 56(84) bytes of data. |
---|
81 | 64 バイト応答 送信元 rh.vinelinux.org (210.81.181.125): icmp_seq=0 ttl=245 時間=13.343ミリ秒 |
---|
82 | 64 バイト応答 送信元 rh.vinelinux.org (210.81.181.125): icmp_seq=1 ttl=245 時間=15.611ミリ秒 |
---|
83 | |
---|
84 | --- vinelinux.org ping 統計 --- |
---|
85 | 送信パケット数 2, 受信パケット数 2, パケット損失 0% |
---|
86 | Round-Trip 最小/平均/最大/mdev = 13.343/14.477/15.611/1.134ミリ秒 |
---|
87 | </screen> |
---|
88 | <para> |
---|
89 | <command>traceroute</command>コマンドを用いると途中の経路まで分かります。 |
---|
90 | </para> |
---|
91 | <screen> |
---|
92 | # traceroute vinelinux.org |
---|
93 | traceroute to vinelinux.org (210.81.181.125), 30 hops max, 38 byte packets |
---|
94 | 1 .... |
---|
95 | : |
---|
96 | 12 rh.vinelinux.org (210.81.181.125) 15.281 ms 49.446 ms 20.517 ms |
---|
97 | </screen> |
---|
98 | <para> |
---|
99 | <command>ping</command>や<command>traceroute</command>を実行したときに、時間がかかる場合は、ネームサーバの設定がおかしい可能性があります。<filename class="directory">/etc/resolv.conf</filename>の nameserver にネームサーバのIPアドレスが設定されているか確認してください。 |
---|
100 | </para> |
---|
101 | </listitem> |
---|
102 | </varlistentry> |
---|
103 | </variablelist> |
---|
104 | </sect1> |
---|
105 | |
---|
106 | <sect1 id="server-2"> |
---|
107 | <title>LANとセキュリティ</title> |
---|
108 | <para> |
---|
109 | LANを構成してインターネットに接続している場合や、多くのユーザがいる場合には、LANの構成やセキュリティについて考慮しなければなりません。 |
---|
110 | </para> |
---|
111 | <sect2 id="server-2-1"> |
---|
112 | <title>LANの構成</title> |
---|
113 | <para> |
---|
114 | 多数のホストを接続してLANを構成する場合のヒントをいくつか示します。LAN一般に関しては、<ulink url="file:///usr/share/doc/JF/LAN-mini-HOWTO.txt.gz">/usr/share/doc/JF/LAN-mini-HOWTO.txt.gz</ulink>を参照してください。 |
---|
115 | </para> |
---|
116 | <variablelist> |
---|
117 | <varlistentry> |
---|
118 | <term>ネットワークユーザの集中管理</term> |
---|
119 | <listitem> |
---|
120 | <para> |
---|
121 | 単一のホストしかない場合は、<command>useradd</command>コマンドなどによって<filename>/etc/passwd</filename>にユーザを登録すれば良いですが、多数のホストがある場合には、全てのホストのファイルを書き換えることは大変です。LANを構成した場合、NIS(YP)によってユーザを管理する方法があります。<ulink url="file:///usr/share/doc/JF/NIS-HOWTO.txt.gz">/usr/share/doc/JF/NIS-HOWTO.txt.gz</ulink> に設定方法が書かれていますので参照してください。 |
---|
122 | </para> |
---|
123 | </listitem> |
---|
124 | </varlistentry> |
---|
125 | <varlistentry> |
---|
126 | <term>ファイルシステムの共有</term> |
---|
127 | <listitem> |
---|
128 | <para> |
---|
129 | 多数のホストのどれにログインしても同じ環境を得るようにするには、ホームディレクトリ(/home)を全てのホストで共有する必要があります。同様に、/usr/localなどを共有させることもできます。この共有には NFSマウントを用います。ホームディレクトリを管理するファイルサーバを設定します。各ホストはファイルサーバのファイルシステム(ディスク)をマウントすることで、ローカルに持っているファイルシステムと同様に利用することができます。設定については <ulink url="file:///usr/share/doc/JF/NFS-HOWTO.txt.gz">/usr/share/doc/JF/NFS-HOWTO.txt.gz</ulink> を参照して下さい。 |
---|
130 | </para> |
---|
131 | </listitem> |
---|
132 | </varlistentry> |
---|
133 | <varlistentry> |
---|
134 | <term>ホスト名とIPアドレス</term> |
---|
135 | <listitem> |
---|
136 | <para> |
---|
137 | ホスト名とIPアドレスを対応付けるにはいくつかの方法があります。単一ホストの場合、必要なホストを /etc/hostsに記述すれば良いですが、多数のホストを管理する場合、全てのホストのファイルを書き換えるのは大変です。そこで、前述の「ユーザ管理」と同様に NISを用いて解決することができます。 |
---|
138 | </para> |
---|
139 | <para> |
---|
140 | 次に、LANにある各ホストをLAN外からアクセスできるようにするには、ネームサーバにホスト名とIPアドレスを登録する必要があります。上流のドメインにネームサーバがある場合は、そこに登録してもらえばアクセスできます。もし独自のネームサーバを設定する場合は、上流のドメインの管理者に相談してから設定してください。設定方法は <ulink url="file:///usr/share/doc/JF/DNS-HOWTO.txt.gz">/usr/share/doc/JF/DNS-HOWTO.txt.gz</ulink> に書かれています。 |
---|
141 | </para> |
---|
142 | </listitem> |
---|
143 | </varlistentry> |
---|
144 | <varlistentry> |
---|
145 | <term>IPマスカレード</term> |
---|
146 | <listitem> |
---|
147 | <para> |
---|
148 | LAN内にあるホストにプライベートネットワークのIPアドレスを付けた場合、そのままではLAN外にアクセスすることはできません。IP マスカレードを利用すると、IPアドレスが登録されていないホストでもルータとして設定されているホストを経由してアクセスすることができます。設定方法は<ulink url="file:///usr/share/doc/JF/IP-Masquerade-HOWTO.txt.gz">/usr/share/doc/JF/IP-Masquerade-HOWTO.txt.gz</ulink> を参照してください。 |
---|
149 | </para> |
---|
150 | <para> |
---|
151 | プライベートネットワークには以下のアドレスが予約されています。 |
---|
152 | </para> |
---|
153 | <screen> |
---|
154 | 10.0.0.0 - 10.255.255.255 |
---|
155 | 172.16.0.0 - 172.31.255.255 |
---|
156 | 192.168.0.0 - 192.168.255.255 |
---|
157 | </screen> |
---|
158 | </listitem> |
---|
159 | </varlistentry> |
---|
160 | <varlistentry> |
---|
161 | <term>ルーティング(経路制御)</term> |
---|
162 | <listitem> |
---|
163 | <para> |
---|
164 | LAN内のホストが外部にアクセスするには、通信ができるように経路(ルート)を決める必要があります。設定方法は <ulink url="file:///usr/share/doc/JF/NET3-4-HOWTO.txt.gz">/usr/share/doc/JF/NET3-4-HOWTO.txt.gz</ulink> を参照してください。 |
---|
165 | </para> |
---|
166 | </listitem> |
---|
167 | </varlistentry> |
---|
168 | </variablelist> |
---|
169 | </sect2> |
---|
170 | |
---|
171 | <sect2 id="server-2-2"> |
---|
172 | <title>セキュリティ</title> |
---|
173 | <para> |
---|
174 | LANがインターネットに接続している場合、外部からの不法な侵入に備えておく必要があります。また、LAN内においても、システム管理者以外のユーザがroot権限を取得できることは好ましくありません。ここではセキュリティについてのヒントを示します。セキュリティ一般については<ulink url="file:///usr/share/doc/JF/Security-HOWTO.txt.gz">/usr/share/doc/JF/Security-HOWTO.txt.gz</ulink> を参照してください。 |
---|
175 | </para> |
---|
176 | <variablelist> |
---|
177 | <varlistentry> |
---|
178 | <term>shadow パスワード</term> |
---|
179 | <listitem> |
---|
180 | <para> |
---|
181 | 特に、どんな形態であれインターネットに接続する場合、自分の環境を守るだけでなく外のネットワークへ迷惑をかけないためにも、セキュリティーには十分に気をつけておく必要があります。 Vine Linux では、インストール時にMD5パスワードとシャドーパスワードの使用を選択できるようになっています。システムのパスワードシステムを shadow パスワードにするには、root ユーザで次のようにします。詳しくは <command>man 5 shadow</command>、<command>man pwconv</command>, <ulink url="file:///usr/share/doc/JF/Shadow-Password-HOWTO.txt.gz">/usr/share/doc/JF/Shadow-Password-HOWTO.txt.gz</ulink> などを参照してください。 |
---|
182 | </para> |
---|
183 | <screen> |
---|
184 | # /usr/sbin/pwconv |
---|
185 | </screen> |
---|
186 | <para> |
---|
187 | <command>pwconv</command>を実行すると、<filename>/etc/passwd</filename>のパスワードフィールドが x になり、暗号化されたパスワードが保護されます。また、暗号化されたパスワードは<filename>/etc/shadow</filename>に書き込まれますが、一般ユーザからは読めないようになっているので比較的安全です。 |
---|
188 | </para> |
---|
189 | <screen> |
---|
190 | # cd /etc |
---|
191 | # ls -l *passwd* *shadow* |
---|
192 | -rw-r--r-- 1 root root 777 Jan 30 13:05 /etc/passwd |
---|
193 | # /usr/sbin/pwconv |
---|
194 | # ls -l *passwd* *shadow* |
---|
195 | -rw-r--r-- 1 root root 738 Jan 30 13:05 /etc/passwd |
---|
196 | -r-------- 1 root root 587 Jan 30 13:05 /etc/shadow |
---|
197 | </screen> |
---|
198 | <para> |
---|
199 | shadow パスワードを使うと認証が必要な一部のアプリケーションがうまく動作しない場合があるようです。しかし、標準でインストールされるアプリケーションの多く(telnet, ftpなど)は shadow パスワードに対応しています。shadow化をやめるには <command>/usr/sbin/pwunconv</command>を実行します。 |
---|
200 | </para> |
---|
201 | </listitem> |
---|
202 | </varlistentry> |
---|
203 | <varlistentry> |
---|
204 | <term>PAMを使ったセキュリティ</term> |
---|
205 | <listitem> |
---|
206 | <para> |
---|
207 | Vine LinuxではPAM(Pluggable Authentication Modules)を使ってsuなどの特定のコマンドに対してセキュリティを強化することができます。ここでは、良く使われる方法をいくつか紹介します。PAMの詳細については <filename class="directory">/usr/share/doc/pam-*/</filename> 以下の文書(英語)を参照して下さい。 |
---|
208 | </para> |
---|
209 | <variablelist> |
---|
210 | <varlistentry> |
---|
211 | <term>○ suの制限</term> |
---|
212 | <listitem> |
---|
213 | <para> |
---|
214 | システム管理を行うには、suコマンドを用います。一般ユーザに suコマンドを利用させないようにするには、まず、システム管理者を <filename>/etc/group</filename>の wheelに追加します。次に、<filename>/etc/pam.d/su</filename> に以下を追加します。 |
---|
215 | </para> |
---|
216 | <screen> |
---|
217 | auth required /lib/security/pam_wheel.so debug group=wheel |
---|
218 | </screen> |
---|
219 | <para> |
---|
220 | こうすると、/etc/groupの wheelに登録されたユーザしか <command>su</command>コマンドを実行することができなくなります。 |
---|
221 | </para> |
---|
222 | <para> |
---|
223 | リモートからアクセスしているユーザにsuコマンドを利用させないようにするには、以下を追加します。 |
---|
224 | </para> |
---|
225 | <screen> |
---|
226 | auth required /lib/security/pam_securetty.so |
---|
227 | </screen> |
---|
228 | </listitem> |
---|
229 | </varlistentry> |
---|
230 | <varlistentry> |
---|
231 | <term>shutdownの制限</term> |
---|
232 | <listitem> |
---|
233 | <para> |
---|
234 | サーバなどは shutdownコマンドを一般ユーザに実行されては困ります。そこで、shutdownコマンドを行えるユーザを制限することができます。<filename>/etc/shutdown.allow</filename> というファイルを作ると、そこに記述されたユーザがログインしているときだけ、shutdownコマンドを実行することができます。 |
---|
235 | </para> |
---|
236 | <screen> |
---|
237 | $ cat /etc/shutdown.allow |
---|
238 | user1 |
---|
239 | user2 |
---|
240 | user3 |
---|
241 | </screen> |
---|
242 | </listitem> |
---|
243 | </varlistentry> |
---|
244 | </variablelist> |
---|
245 | </listitem> |
---|
246 | </varlistentry> |
---|
247 | <varlistentry> |
---|
248 | <term>iptablesによるパケットフィルタリング</term> |
---|
249 | <listitem> |
---|
250 | <para> |
---|
251 | インターネットをはじめネットワークを流れるパケットは、決して安全なものばかりではありません。そうした悪意のあるパケットから、あなたのコンピュータを守る一つの手段としてiptablesによるパケットフィルタリングを行う事ができます。設定方法については、<ulink url="file:///usr/share/doc/JF/packet-filtering-HOWTO.txt.gz">Linux 2.4 Packet Filtering HOWTO(/usr/share/doc/JF/packet-filtering-HOWTO.txt.gz)</ulink>を参考にしてください。また、<ulink url="file:///usr/share/doc/JF/netfilter-faq.txt.gz">netfilter/iptables FAQ(/usr/share/doc/JF/netfilter-faq.txt.gz)</ulink>によくある質問がまとめられています。 |
---|
252 | </para> |
---|
253 | <para> |
---|
254 | Vine Linux 4.x では、標準でインストール時あるいはGUIにより iptables を利用した簡易なファイアウォールの設定が出来るようになっています。デフォルトではインストールの時点でこのファイアウォールが有効になるように設定されており、原則として外部からのパケットを遮断するようになっています。この設定は「セキュリティレベルの設定」ツールによって簡単に変更することができます。 |
---|
255 | </para> |
---|
256 | <figure id="system-config-securitylevel"> |
---|
257 | <title>セキュリティレベルの設定</title> |
---|
258 | <graphic fileref="images/system-config-securitylevel.png" /> |
---|
259 | </figure> |
---|
260 | </listitem> |
---|
261 | </varlistentry> |
---|
262 | <varlistentry> |
---|
263 | <term>tcp_wrapperによるアクセス制限</term> |
---|
264 | <listitem> |
---|
265 | <para> |
---|
266 | 簡単なアクセス制限の方法として、tcp_wrapper(tcpd)があります。<ulink url="file:///etc/inetd.conf">/etc/inetd.conf</ulink> をみると様々なサービスが、/usr/sbin/tcpdによって実行されていることがわかります。tcpdデーモンは接続要求があるとそのホストをチェックし、アクセスを許可するかしないかを判断します。このアクセス許可と拒否はそれぞれ<ulink url="file:///etc/hosts.allow">/etc/hosts.allow</ulink> と <ulink url="file:///etc/hosts.deny">/etc/hosts.deny</ulink> に設定されます。 |
---|
267 | </para> |
---|
268 | <para> |
---|
269 | 例えば、原則として外部からの接続は拒否し、自分のドメイン(192.168.0.0)からのアクセスのみ許可するには、/etc/hosts.denyと/etc/hosts.allowに以下のように記述します。 |
---|
270 | </para> |
---|
271 | <screen> |
---|
272 | $ cat /etc/hosts.deny |
---|
273 | ALL: ALL |
---|
274 | |
---|
275 | $ cat /etc/hosts.allow |
---|
276 | ALL: 192.168.0.0/255.255.255.0 |
---|
277 | </screen> |
---|
278 | <para> |
---|
279 | もし、一部のホスト(例えばvinelinux.orgドメインのホスト)からはアクセスを許可したい場合は、そのホストを/etc/hosts.allowに記述します。 |
---|
280 | </para> |
---|
281 | <screen> |
---|
282 | ALL: LOCAL |
---|
283 | sshd: .vinelinux.org |
---|
284 | </screen> |
---|
285 | <para> |
---|
286 | 詳細は<command>man hosts.allow</command>, <command>jman hosts_options</command>を参照して下さい。 |
---|
287 | </para> |
---|
288 | </listitem> |
---|
289 | </varlistentry> |
---|
290 | </variablelist> |
---|
291 | </sect2> |
---|
292 | </sect1> |
---|
293 | |
---|
294 | </chapter> |
---|