source: projects/Vine-manual/trunk/lan.xml @ 217

Revision 217, 17.8 KB checked in by yasumichi, 15 years ago (diff)

add setup as a child of cui-guide

Line 
1<!--DOCTYPE chapter PUBLIC "-//OASIS//DTD DocBook V4.2//EN"-->
2<chapter id="lan">
3        <title>LAN(Local Area Network)</title>
4
5<!--chapterinfo>
6  <authorgroup>
7    <author>
8      <firstname></firstname>
9      <surname>Masaki</surname>
10    </author>
11    <author>
12      <firstname>Shoji</firstname>
13      <surname>Matsumoto</surname>
14    </author>
15    <editor>
16      <firstname>Takuya</firstname>
17      <surname>Kobayashi</surname>
18    </editor>
19  </authorgroup>
20  <pubdate>2006/12/7</pubdate>
21</chapterinfo-->
22
23  <sect1 id="server-1-3">
24    <title>ネットワークの状態を知る</title>
25    <variablelist>
26      <varlistentry>
27        <term>ifconfigコマンド</term>
28        <listitem>
29          <para>
30ネットワークに接続されている場合、しばしば不通になることがあります。そのときにはネットワークの状態を調べる必要があります。<command>ifconfig</command>コマンドはIPアドレスやネットマスクの表示や設定を行えます。
31          </para>
32          <screen>
33# /sbin/ifconfig -a
34eth0      リンク方法:イーサーネット  ハードウェアアドレス 00:02:2D:49:64:4A
35          inetアドレス:192.168.0.1 ブロードキャスト:192.168.0.255 マスク:255.255.255.0
36          UP BROADCAST RUNNING  MTU:1500  Metric:1
37          RX packets:711620 errors:0 dropped:0 overruns:0 frame:0
38          TX packets:317441 errors:0 dropped:0 overruns:0 carrier:0
39          衝突(Collisions):0 TXキュー長:100
40          RX bytes:376843112 (359.3 Mb)  TX bytes:116872928 (111.4 Mb)
41          割り込み:3 ベースアドレス:0x100
42
43lo        リンク方法:ローカルループバック 
44          inetアドレス:127.0.0.1マスク:255.0.0.0
45          UP LOOPBACK RUNNING  MTU:3924  Metric:1
46          RX packets:336146 errors:0 dropped:0 overruns:0 frame:0
47          TX packets:336146 errors:0 dropped:0 overruns:0 carrier:0
48          衝突(Collisions):0 TXキュー長:0
49          RX bytes:128810518 (122.8 Mb)  TX bytes:128810518 (122.8 Mb)
50          </screen>
51          <para>
52eht0がetherのデバイスを示します。また、「inetアドレス」がIPアドレスを示します。
53          </para>
54        </listitem>
55      </varlistentry>
56      <varlistentry>
57        <term>netstatコマンド</term>
58        <listitem>
59          <para>
60設定に問題が無い場合は通信経路を調べる必要があります。<command>netstat</command>コマンドではルーティング(経路)を知ることができます。
61          </para>
62          <screen>
63$ netstat -nr
64カーネルIP経路テーブル
65送信先サイト    ゲートウェイ    ネットマスク   フラグ   MSS Window  irtt インターフェース
66192.168.0.0     *               255.255.255.0   U         0 0          0 eth0
67127.0.0.0       *               255.0.0.0       U         0 0          0 lo
68default         192.168.0.1     0.0.0.0         UG        0 0          0 eth0
69          </screen>
70        </listitem>
71      </varlistentry>
72      <varlistentry>
73        <term>pingコマンドとtracerouteコマンド</term>
74        <listitem>
75          <para>
76<command>ping</command>コマンドは相手のホストまで、きちんと通信が行えるか調べることができます。応答時間が帰ってくれば繋がっています。止めるには <keycombo><keycap>Ctrl</keycap><keycap>c</keycap></keycombo>を押します。
77          </para>
78          <screen>
79$ ping vinelinux.org
80PING vinelinux.org (210.81.181.125) 送信元 192.168.0.1 : 56(84) bytes of data.
8164 バイト応答 送信元 rh.vinelinux.org (210.81.181.125): icmp_seq=0 ttl=245 時間=13.343ミリ秒
8264 バイト応答 送信元 rh.vinelinux.org (210.81.181.125): icmp_seq=1 ttl=245 時間=15.611ミリ秒
83
84--- vinelinux.org ping 統計 ---
85送信パケット数 2, 受信パケット数 2, パケット損失 0%
86Round-Trip 最小/平均/最大/mdev = 13.343/14.477/15.611/1.134ミリ秒
87          </screen>
88          <para>
89<command>traceroute</command>コマンドを用いると途中の経路まで分かります。
90          </para>
91          <screen>
92# traceroute vinelinux.org
93traceroute to vinelinux.org (210.81.181.125), 30 hops max, 38 byte packets
94 1  ....
95 :
9612  rh.vinelinux.org (210.81.181.125)  15.281 ms  49.446 ms  20.517 ms
97          </screen>
98          <para>
99<command>ping</command><command>traceroute</command>を実行したときに、時間がかかる場合は、ネームサーバの設定がおかしい可能性があります。<filename class="directory">/etc/resolv.conf</filename>の nameserver にネームサーバのIPアドレスが設定されているか確認してください。
100          </para>
101        </listitem>
102      </varlistentry>
103    </variablelist>
104  </sect1>
105
106<sect1 id="server-2">
107  <title>LANとセキュリティ</title>
108  <para>
109LANを構成してインターネットに接続している場合や、多くのユーザがいる場合には、LANの構成やセキュリティについて考慮しなければなりません。
110  </para>
111  <sect2 id="server-2-1">
112    <title>LANの構成</title>
113    <para>
114多数のホストを接続してLANを構成する場合のヒントをいくつか示します。LAN一般に関しては、<ulink url="file:///usr/share/doc/JF/LAN-mini-HOWTO.txt.gz">/usr/share/doc/JF/LAN-mini-HOWTO.txt.gz</ulink>を参照してください。
115    </para>
116    <variablelist>
117      <varlistentry>
118        <term>ネットワークユーザの集中管理</term>
119        <listitem>
120          <para>
121単一のホストしかない場合は、<command>useradd</command>コマンドなどによって<filename>/etc/passwd</filename>にユーザを登録すれば良いですが、多数のホストがある場合には、全てのホストのファイルを書き換えることは大変です。LANを構成した場合、NIS(YP)によってユーザを管理する方法があります。<ulink url="file:///usr/share/doc/JF/NIS-HOWTO.txt.gz">/usr/share/doc/JF/NIS-HOWTO.txt.gz</ulink> に設定方法が書かれていますので参照してください。
122          </para>
123        </listitem>
124      </varlistentry>
125      <varlistentry>
126        <term>ファイルシステムの共有</term>
127        <listitem>
128          <para>
129多数のホストのどれにログインしても同じ環境を得るようにするには、ホームディレクトリ(/home)を全てのホストで共有する必要があります。同様に、/usr/localなどを共有させることもできます。この共有には NFSマウントを用います。ホームディレクトリを管理するファイルサーバを設定します。各ホストはファイルサーバのファイルシステム(ディスク)をマウントすることで、ローカルに持っているファイルシステムと同様に利用することができます。設定については <ulink url="file:///usr/share/doc/JF/NFS-HOWTO.txt.gz">/usr/share/doc/JF/NFS-HOWTO.txt.gz</ulink> を参照して下さい。
130          </para>
131        </listitem>
132      </varlistentry>
133      <varlistentry>
134        <term>ホスト名とIPアドレス</term>
135        <listitem>
136          <para>
137ホスト名とIPアドレスを対応付けるにはいくつかの方法があります。単一ホストの場合、必要なホストを /etc/hostsに記述すれば良いですが、多数のホストを管理する場合、全てのホストのファイルを書き換えるのは大変です。そこで、前述の「ユーザ管理」と同様に NISを用いて解決することができます。
138          </para>
139          <para>
140次に、LANにある各ホストをLAN外からアクセスできるようにするには、ネームサーバにホスト名とIPアドレスを登録する必要があります。上流のドメインにネームサーバがある場合は、そこに登録してもらえばアクセスできます。もし独自のネームサーバを設定する場合は、上流のドメインの管理者に相談してから設定してください。設定方法は <ulink url="file:///usr/share/doc/JF/DNS-HOWTO.txt.gz">/usr/share/doc/JF/DNS-HOWTO.txt.gz</ulink> に書かれています。
141          </para>
142        </listitem>
143      </varlistentry>
144      <varlistentry>
145        <term>IPマスカレード</term>
146        <listitem>
147          <para>
148LAN内にあるホストにプライベートネットワークのIPアドレスを付けた場合、そのままではLAN外にアクセスすることはできません。IP マスカレードを利用すると、IPアドレスが登録されていないホストでもルータとして設定されているホストを経由してアクセスすることができます。設定方法は<ulink url="file:///usr/share/doc/JF/IP-Masquerade-HOWTO.txt.gz">/usr/share/doc/JF/IP-Masquerade-HOWTO.txt.gz</ulink> を参照してください。
149          </para>
150          <para>
151プライベートネットワークには以下のアドレスが予約されています。
152          </para>
153          <screen>
154        10.0.0.0        -   10.255.255.255
155        172.16.0.0      -   172.31.255.255
156        192.168.0.0     -   192.168.255.255
157          </screen>
158        </listitem>
159      </varlistentry>
160      <varlistentry>
161        <term>ルーティング(経路制御)</term>
162        <listitem>
163          <para>
164LAN内のホストが外部にアクセスするには、通信ができるように経路(ルート)を決める必要があります。設定方法は <ulink url="file:///usr/share/doc/JF/NET3-4-HOWTO.txt.gz">/usr/share/doc/JF/NET3-4-HOWTO.txt.gz</ulink> を参照してください。
165          </para>
166        </listitem>
167      </varlistentry>
168    </variablelist>
169  </sect2>
170
171  <sect2 id="server-2-2">
172    <title>セキュリティ</title>
173    <para>
174LANがインターネットに接続している場合、外部からの不法な侵入に備えておく必要があります。また、LAN内においても、システム管理者以外のユーザがroot権限を取得できることは好ましくありません。ここではセキュリティについてのヒントを示します。セキュリティ一般については<ulink url="file:///usr/share/doc/JF/Security-HOWTO.txt.gz">/usr/share/doc/JF/Security-HOWTO.txt.gz</ulink> を参照してください。
175    </para>
176    <variablelist>
177      <varlistentry>
178        <term>shadow パスワード</term>
179        <listitem>
180          <para>
181特に、どんな形態であれインターネットに接続する場合、自分の環境を守るだけでなく外のネットワークへ迷惑をかけないためにも、セキュリティーには十分に気をつけておく必要があります。 Vine Linux では、インストール時にMD5パスワードとシャドーパスワードの使用を選択できるようになっています。システムのパスワードシステムを shadow パスワードにするには、root ユーザで次のようにします。詳しくは <command>man 5 shadow</command><command>man pwconv</command>, <ulink url="file:///usr/share/doc/JF/Shadow-Password-HOWTO.txt.gz">/usr/share/doc/JF/Shadow-Password-HOWTO.txt.gz</ulink> などを参照してください。
182          </para>
183          <screen>
184# /usr/sbin/pwconv
185          </screen>
186          <para>
187<command>pwconv</command>を実行すると、<filename>/etc/passwd</filename>のパスワードフィールドが x になり、暗号化されたパスワードが保護されます。また、暗号化されたパスワードは<filename>/etc/shadow</filename>に書き込まれますが、一般ユーザからは読めないようになっているので比較的安全です。
188          </para>
189          <screen>
190# cd /etc
191# ls -l *passwd* *shadow*
192-rw-r--r--   1 root     root          777 Jan 30 13:05 /etc/passwd
193# /usr/sbin/pwconv
194# ls -l *passwd* *shadow*
195-rw-r--r--   1 root     root          738 Jan 30 13:05 /etc/passwd
196-r--------   1 root     root          587 Jan 30 13:05 /etc/shadow
197          </screen>
198          <para>
199shadow パスワードを使うと認証が必要な一部のアプリケーションがうまく動作しない場合があるようです。しかし、標準でインストールされるアプリケーションの多く(telnet, ftpなど)は shadow パスワードに対応しています。shadow化をやめるには <command>/usr/sbin/pwunconv</command>を実行します。
200          </para>
201        </listitem>
202      </varlistentry>
203      <varlistentry>
204        <term>PAMを使ったセキュリティ</term>
205        <listitem>
206          <para>
207Vine LinuxではPAM(Pluggable Authentication Modules)を使ってsuなどの特定のコマンドに対してセキュリティを強化することができます。ここでは、良く使われる方法をいくつか紹介します。PAMの詳細については <filename class="directory">/usr/share/doc/pam-*/</filename> 以下の文書(英語)を参照して下さい。
208          </para>
209          <variablelist>
210            <varlistentry>
211              <term>○ suの制限</term>
212              <listitem>
213                <para>
214システム管理を行うには、suコマンドを用います。一般ユーザに suコマンドを利用させないようにするには、まず、システム管理者を <filename>/etc/group</filename>の wheelに追加します。次に、<filename>/etc/pam.d/su</filename> に以下を追加します。
215                </para>
216                <screen>
217auth       required     /lib/security/pam_wheel.so debug group=wheel
218                </screen>
219                <para>
220こうすると、/etc/groupの wheelに登録されたユーザしか <command>su</command>コマンドを実行することができなくなります。
221                </para>
222                <para>
223リモートからアクセスしているユーザにsuコマンドを利用させないようにするには、以下を追加します。
224                </para>
225                <screen>
226auth       required     /lib/security/pam_securetty.so
227                </screen>
228              </listitem>
229            </varlistentry>
230            <varlistentry>
231              <term>shutdownの制限</term>
232              <listitem>
233                <para>
234サーバなどは shutdownコマンドを一般ユーザに実行されては困ります。そこで、shutdownコマンドを行えるユーザを制限することができます。<filename>/etc/shutdown.allow</filename> というファイルを作ると、そこに記述されたユーザがログインしているときだけ、shutdownコマンドを実行することができます。
235                </para>
236                <screen>
237        $ cat /etc/shutdown.allow
238        user1
239        user2
240        user3
241                </screen>
242              </listitem>
243            </varlistentry>
244          </variablelist>
245        </listitem>
246      </varlistentry>
247      <varlistentry>
248        <term>iptablesによるパケットフィルタリング</term>
249        <listitem>
250          <para>
251インターネットをはじめネットワークを流れるパケットは、決して安全なものばかりではありません。そうした悪意のあるパケットから、あなたのコンピュータを守る一つの手段としてiptablesによるパケットフィルタリングを行う事ができます。設定方法については、<ulink url="file:///usr/share/doc/JF/packet-filtering-HOWTO.txt.gz">Linux 2.4 Packet Filtering HOWTO(/usr/share/doc/JF/packet-filtering-HOWTO.txt.gz)</ulink>を参考にしてください。また、<ulink url="file:///usr/share/doc/JF/netfilter-faq.txt.gz">netfilter/iptables FAQ(/usr/share/doc/JF/netfilter-faq.txt.gz)</ulink>によくある質問がまとめられています。
252          </para>
253          <para>
254Vine Linux 4.x では、標準でインストール時あるいはGUIにより iptables を利用した簡易なファイアウォールの設定が出来るようになっています。デフォルトではインストールの時点でこのファイアウォールが有効になるように設定されており、原則として外部からのパケットを遮断するようになっています。この設定は「セキュリティレベルの設定」ツールによって簡単に変更することができます。
255          </para>
256            <figure id="system-config-securitylevel">
257              <title>セキュリティレベルの設定</title>
258              <graphic fileref="images/system-config-securitylevel.png" />
259            </figure>
260        </listitem>
261      </varlistentry>
262      <varlistentry>
263        <term>tcp_wrapperによるアクセス制限</term>
264        <listitem>
265          <para>
266簡単なアクセス制限の方法として、tcp_wrapper(tcpd)があります。<ulink url="file:///etc/inetd.conf">/etc/inetd.conf</ulink> をみると様々なサービスが、/usr/sbin/tcpdによって実行されていることがわかります。tcpdデーモンは接続要求があるとそのホストをチェックし、アクセスを許可するかしないかを判断します。このアクセス許可と拒否はそれぞれ<ulink url="file:///etc/hosts.allow">/etc/hosts.allow</ulink> と <ulink url="file:///etc/hosts.deny">/etc/hosts.deny</ulink> に設定されます。
267          </para>
268          <para>
269例えば、原則として外部からの接続は拒否し、自分のドメイン(192.168.0.0)からのアクセスのみ許可するには、/etc/hosts.denyと/etc/hosts.allowに以下のように記述します。
270          </para>
271          <screen>
272$ cat /etc/hosts.deny
273ALL: ALL
274
275$ cat /etc/hosts.allow
276ALL: 192.168.0.0/255.255.255.0
277          </screen>
278          <para>
279もし、一部のホスト(例えばvinelinux.orgドメインのホスト)からはアクセスを許可したい場合は、そのホストを/etc/hosts.allowに記述します。
280          </para>
281          <screen>
282ALL: LOCAL
283sshd: .vinelinux.org
284          </screen>
285          <para>
286詳細は<command>man hosts.allow</command>, <command>jman hosts_options</command>を参照して下さい。
287          </para>
288        </listitem>
289      </varlistentry>
290    </variablelist>
291  </sect2>
292</sect1>
293
294</chapter>
Note: See TracBrowser for help on using the repository browser.