UNIX'S MEMO
Apache
wwwサーバーのソフト。SSIを実行させるようにしてある。この設定が始めよくわからず苦労した。
TCP WRAPPER
指定したIP以外のPCからの接続を受け付けないようにした。SafeFingerを実行している。これにより、接続を受け付けないPCからのアクセスはrootにメールで知らせるようになっている。
Samba
Sambaをインストールし、実行したら、IPマスカレード内(ローカル)のPCがネットワークコンピュータから見ることが出来なくなった。逆にグローバルからは、みれるようになった。おそらく、ホストのPCがグローバル側のNETBIOSに認識されるようになったからだろう。ローカルのコンピュータ同士はコンピュータの検索からは見つけることが出来る。現在、サービス停止中SSH
通信路を暗号化して、PCに接続するソフト。これにより、通信路の盗聴からのパスワードの盗用を防ぐことが出来る。SSH1とSSH2があり、Windowsでのクライアントは、TTSSH(SSH1のみ対応)やSSH Secure Shell Clientなどがある。
SSH Secure Shell Clientは、SSH2にも対応しているWindowsクライアントでSecureFTPも行える。シェアウェアだが、Academicライセンスは無料で取得できる。
Sendmail
メールを送信するソフト。頻繁にバージョンアップされるので、管理者もサーバーのソフトを更新しなくてはいけない。古いバージョンのsendmailのままほおって置いてはいけない。また、不正な第3者中継が行われるのはこのソフトの設定がきちんと行われていないため。Bind
DNS(Domain Name System)サーバーを運用するために必要なソフト。DNSの主な役割は、名前とIPアドレスの対応、メールとメールサーバーの対応をつけること。BINDはBerkeley Internet Name Domainの略。これをインストールするとname daemonが動かせる。こいつの設定をきちんと書いてあげないと、周りのネットワークにまで混乱が生じてしまうので注意が必要。Berkeley DB
データベースのソフト、だと思う。sendmailをコンパイルするときに必要だった。正確には、以下のようなものらしい。Berkeley DB は、dbm, ndbm, gdbm などと同じく、ハッシュデータベース関数を提供する C 言語ライブラリです。従来のデータベース関数にくらべて高速で、二分木やレコードなどのデータ構造体をサポートしています。
IP Masquerade
NATによるIPアドレスの変換だけでなく、その上位プロトコルであるTCP/UDPのポート番号も識別することで、異なる通信ポートを利用するものについては、1つのグローバルIPアドレスを利用して、複数のローカルノードが外部と通信できるようにしたソフトウェア。UNIXシステムの1つであるLinux上で最初に開発された。「masquerade」は「仮面舞踏会」という意味。ipfwadmというコマンドを使って実現する。最近はipchainで行える。
メモ:
/sbin/ipfwadm -F -p deny フォワード デフォルトポリシーの設定
ipfwadm -I -p accept インプット デフォルトポリシーの設定
ipfwadm -O -p accept アウトプット デフォルトポリシーの設定
ipfwadm -F -f フォワードルールのフラッシュ
ipfwadm -I -f インプットルールのフラッシュ
ipfwadm -O -f アウトプットルールのフラッシュ
ipfwadm -I -a reject -P tcp -S 0.0.0.0/0 -D 192.168.1.0/24 23 TCPでポート23に入ってくるパケットの拒否
ipfwadm -O -a reject -P tcp -S 192.168.1.0/24 -D 0.0.0.0/0 23 TCPでポート23に出ていくパケットの拒否
ipfwadm -F -a accept -m -P tcp -S 192.168.10.0/24 -D 0.0.0.0/0 23 TCPでポート23から出ていくパケットの転送及びマスカレード
floopyfw
floppyfw(floppy firewallの略?)は、Linuxで動作するファイアウォール機能付きのスタティック・ルータ。ここでいうファイアウォール機能とは、パケットフィルタリングのことです。floppyfwの特徴は以下のとおりです。
- 全システムが1枚のFDに収まるので、HDDが必要ない
- 386SX以上のCPU、8MB以上のRAMで動作する
- NAT(IPマスカレード)をサポート
- DHCPクライアント(外部向け)とDHCPサーバ(内部向け)機能をサポート
- ポートフォワード機能をサポート
- klogd/syslogdによるログ保存機能をサポート
- VPN機能をサポート
標準ではPCMCIAに対応していないので、ノートPCでこれを使おうとしたら、PCMCIA関係のモジュールを組み込む必要があります。(ノートPCにLANボードが内蔵されていれば必要ないけど、古いノートにはたいてい内蔵されてないからねぇ。)ノートパソコン ルータ化プロジェクトにその情報があります。
IPnuts Mosquito
Mosquito(モスキート:http://www.s-me.co.jp/mosquito/)は、Linux Router Project(http://master-www.linuxrouter.org:8080/)のLRP 2.9.8をベースに開発されたブロードバンド・ルータ構築用の1FD Linuxディストリビューションです。開発元はセサミという日本の会社なので、日本語の情報が豊富にあります。Mosquitoの主な特徴は以下のとおりです。
- WebadminというWebベースの管理ツールによって各種設定が行える
- 全システムが1枚のフロッピーディスクに収まるので、ハードディスクが必要ない
- 486以上のCPUと16MbytesのRAMで動作する
- PPPoEをサポート
- NAT(IPマスカレード)をサポート
- DHCPクライアント(外部向け)とDHCPサーバ(内部向け)機能をサポート
- ポートフォワード機能をサポート
- klogd/syslogdによるログ保存機能をサポート
ノートPCで使うにはPCMCIA関係のドライバを入れる必要があります。サイトに用意されているけど、容量の関係でFD1枚に入り切りません。公式では、もう1枚FDを用意して、起動後PCMCIAのドライバを組み込むと書いてあります。
せっかく1FD Linuxなんだから、1枚にいれたいじゃんということで、情報検索。 あるサイトでは、キーマップ関係を削除して入れてましたが、日本語キーボードをちゃんと使いたい。 そこで、要らないモジュールをはずして、要らないファイル消して、要らないコメント消して、結構苦労してFD1枚に入りきるようにlpr形式のファイルを作り直しました。かなりギリギリですが、1FDで出来ました。PPPoE用とLAN用で2種類あります。というか、そうしないと入らなかった。
Nessus
Nessusとは、Nessus Projectが開発を進めているセキュリティスキャナです。Nessus Projectが考える所のセキュリティスキャナの定義は"特定のネットワークを遠隔地から監視し、クラッカーが侵入可能、あるいは悪用可能かどうかを判断することが出来るソフトウェア"ということになっています。ネットワークにつながっているコンピュータに対して、ポートスキャンと疑似攻撃を行い、セキュリティ診断をしてくれるソフトです。診断対象はUNIX系、Windows系など様々ですが、動作するのはUNIX系のみです。当然ながら、攻撃方法は今までに発見されているバグをつくものが多いです。新しく発見された攻撃方法も随時Plug-inという形で追加できます。診断は結構シビアに行われます。また、safescanモードを使わないと、貧弱サーバやパッチを当てていないWindowsなどは落ちてくれたりします。使い方によっては、極悪ツールにもなっていまいますので、くれぐれも自分の管理しているコンピュータ以外には使わないようにしましょう。