■ISDN(Integrated Services Digital Network)
・デジタル回線網。
・ITU-T(電気通信標準化部門)によって定められた世界共通の規格。
・モデムで接続する既存の公衆交換電話網をデジタル化する事で高速で高品質な回線サービスを提供。
・INSネットはISDN規格のNTTが提供するサービス(商品)名称。
・「INSネット64」は、従来の電話線をそのまま利用してディジタル伝送を行う。
・「INSネット1500」は、光ファイバーを敷設して、最大1536kbit/sという高速通信を実現する。
・電話サービスと違い、デジタル信号を回線へ流す前にアナログ化せず、デジタル信号のままでデータ転送を行う。
・デジタル信号方式により、物理的には1本の回線で、論理的に複数の回線(チャネル)を使用可能になった。
Bチャネル(情報チャネル)
・64kbit/s × 2本
・文字、画像、音声などの情報のやり取りに使用。
・インターネットをしながら電話が可能。
Dチャネル(信号チャネル)
・16kbit/s × 1本
・通信制御信号のやり取りに使用。
2008年2月28日木曜日
weblogicドメイン
■ドメインとは?
管理ドメイン
・WeblogicServerリソースの論理的に関連したグループ。
管理サーバ
・ドメイン内の特殊なインスタンス。
・メイン内のすべてのリソース(管理対象サーバを含む)を一元的にコンフィグレーション及び管理する。
・webアプリケーション、EJB、その他のリソースは管理対象サーバにデプロイし、管理サーバはコンフィグレーションや管理目的にのみ使用する。
・複数の管理対象サーバをクラスタにグループ化し、ロードバランシングやフェイルオーバを利用できる。
・weblogicServerのシステム管理はJ2EE Managementモデルに基づく。
・各インスタンスをJ2EE管理対象オブジェクト(JMO)によって表現する。
(JMO:MBeanの返り値を渡すためのプログラム(ラッパー))
JMXを使用するか、WeblogicConsoleを使用する事でMBeanにアクセスし、管理タスクを実行する。
■ドメイン構成
・ビジネス上のニーズによって異なるドメイン構成を行う。
アプリケーションの論理的区分
物理的な場所
管理サイズ
・1つの管理サーバと1つまたは福すの管理対象サーバ構成、管理サーバででプロイされたアプリケーションを実行するスタンドアロンサーバ構成どちらとも可能。
■ドメイン構成
管理サーバ
・各ドメインには管理サーバとして機能する1つのサーバインスタンスが必要。
・管理対象サーバを起動するには管理サーバの起動が必要。
管理対象サーバは管理サーバにアクセスしコンフィグレーション情報を取得する。
・管理サーバが起動するとconfig.xmlファイルがロードされ、ドメインのconfigディレクトリのサブディレクトリにある、他のコンフィグレーションファイルを参照する。
(BEA_HOME/user_projects/domains/mydomain/config)
・管理サーバが正常に起動するたびに、config-booted.jarファイルが作成されるので、インスタンス有効期間中にコンフィグレーションファイルが破損した場合は、このファイルを使用して以前のコンフィグレーションの復元が可能。
・管理サーバに障害が発生してもドメイン内の管理対象サーバの動作には影響しない。
・ドメインコンフィグレーションでサポートされているロードバランシグ、フェイルオーバ機能を利用する。
・管理サーバが動作していない環境でも管理対象サーバの起動が可能。
(起動コンフィグレーションとしてコンフィグレーションのローカルコピーを使用する)
■リソース・サービス
・ドメイン内にはデプロイされたアプリケーションで必要となるリソースとサービスも含まれる。
<ネットワーク環境情報>
マシン定義
ノードマネージャが障害の発生した管理対象サーバを再起動する際などに使用する。
ネットワークチャネル
デフォルトのポート、プロトコル、プロトコル定義で使用するオプションのリソース。
<アプリケーション関連づけられた情報>
管理ドメイン
・WeblogicServerリソースの論理的に関連したグループ。
管理サーバ
・ドメイン内の特殊なインスタンス。
・メイン内のすべてのリソース(管理対象サーバを含む)を一元的にコンフィグレーション及び管理する。
・webアプリケーション、EJB、その他のリソースは管理対象サーバにデプロイし、管理サーバはコンフィグレーションや管理目的にのみ使用する。
・複数の管理対象サーバをクラスタにグループ化し、ロードバランシングやフェイルオーバを利用できる。
・weblogicServerのシステム管理はJ2EE Managementモデルに基づく。
・各インスタンスをJ2EE管理対象オブジェクト(JMO)によって表現する。
(JMO:MBeanの返り値を渡すためのプログラム(ラッパー))
JMXを使用するか、WeblogicConsoleを使用する事でMBeanにアクセスし、管理タスクを実行する。
■ドメイン構成
・ビジネス上のニーズによって異なるドメイン構成を行う。
アプリケーションの論理的区分
物理的な場所
管理サイズ
・1つの管理サーバと1つまたは福すの管理対象サーバ構成、管理サーバででプロイされたアプリケーションを実行するスタンドアロンサーバ構成どちらとも可能。
■ドメイン構成
管理サーバ
・各ドメインには管理サーバとして機能する1つのサーバインスタンスが必要。
・管理対象サーバを起動するには管理サーバの起動が必要。
管理対象サーバは管理サーバにアクセスしコンフィグレーション情報を取得する。
・管理サーバが起動するとconfig.xmlファイルがロードされ、ドメインのconfigディレクトリのサブディレクトリにある、他のコンフィグレーションファイルを参照する。
(BEA_HOME/user_projects/domains/mydomain/config)
・管理サーバが正常に起動するたびに、config-booted.jarファイルが作成されるので、インスタンス有効期間中にコンフィグレーションファイルが破損した場合は、このファイルを使用して以前のコンフィグレーションの復元が可能。
・管理サーバに障害が発生してもドメイン内の管理対象サーバの動作には影響しない。
・ドメインコンフィグレーションでサポートされているロードバランシグ、フェイルオーバ機能を利用する。
・管理サーバが動作していない環境でも管理対象サーバの起動が可能。
(起動コンフィグレーションとしてコンフィグレーションのローカルコピーを使用する)
■リソース・サービス
・ドメイン内にはデプロイされたアプリケーションで必要となるリソースとサービスも含まれる。
<ネットワーク環境情報>
マシン定義
ノードマネージャが障害の発生した管理対象サーバを再起動する際などに使用する。
ネットワークチャネル
デフォルトのポート、プロトコル、プロトコル定義で使用するオプションのリソース。
<アプリケーション関連づけられた情報>
2008年2月27日水曜日
solarisシステム間でのIPsecの実装
1.root権限にて対象端末に接続。
2.各システムのホストエントリーを追加。
/etc/inet/hosts
3.各システムでIPsecポリシーファイルを作成。
/etc/inet/ipsecinit.conf
4.IPポリシーエントリをipsecinit.confファイルに追加。
5.2つのシステム間にIPsecSAペアを追加。
※IKEを設定する事でSAが自動で生成。
<IKE設定方法>
①各システムで/etc/inet/ike/configを作成。
#cp /etc/inet/ike/config.sample /etc/inet/ike/config
②各システムにて、規則とグローバルパラメータをike/config ファイルに入力。
-----------------------------------------------------------------------
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym" --設定名
local_addr 192.168.116.16 --自ホストのIPアドレス
remote_addr 192.168.13.213 --相手ホストのIPアドレス
p1_xform
{ auth_method preshared oakley_group 5 auth_alg md5 encr_alg 3des }
p2_pfs 5
}
-----------------------------------------------------------------------
③各システムにてファイルの有効性を確認。
#/usr/lib/inet/in.iked -c -f /etc/inet/ike/config
④キー情報の乱数を生成。
#od -X -A n /dev/random | head -2
⑤上記出力から1つの鍵を作成。
※認証アルゴリズムでMD5を使用する場合はハッシュサイズの128ビット(32文字)を使用する。
⑥各システムにて/etc/inet/secret/ike.preshared ファイルを作成。
各ファイルに事前共有鍵を書き込む。
6.システムのリブート。
#init6
7.パケットが保護されている事を確認。
2.各システムのホストエントリーを追加。
/etc/inet/hosts
3.各システムでIPsecポリシーファイルを作成。
/etc/inet/ipsecinit.conf
4.IPポリシーエントリをipsecinit.confファイルに追加。
5.2つのシステム間にIPsecSAペアを追加。
※IKEを設定する事でSAが自動で生成。
<IKE設定方法>
①各システムで/etc/inet/ike/configを作成。
#cp /etc/inet/ike/config.sample /etc/inet/ike/config
②各システムにて、規則とグローバルパラメータをike/config ファイルに入力。
-----------------------------------------------------------------------
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym" --設定名
local_addr 192.168.116.16 --自ホストのIPアドレス
remote_addr 192.168.13.213 --相手ホストのIPアドレス
p1_xform
{ auth_method preshared oakley_group 5 auth_alg md5 encr_alg 3des }
p2_pfs 5
}
-----------------------------------------------------------------------
③各システムにてファイルの有効性を確認。
#/usr/lib/inet/in.iked -c -f /etc/inet/ike/config
④キー情報の乱数を生成。
#od -X -A n /dev/random | head -2
⑤上記出力から1つの鍵を作成。
※認証アルゴリズムでMD5を使用する場合はハッシュサイズの128ビット(32文字)を使用する。
⑥各システムにて/etc/inet/secret/ike.preshared ファイルを作成。
各ファイルに事前共有鍵を書き込む。
6.システムのリブート。
#init6
7.パケットが保護されている事を確認。
IPsec
■「IPsec」とは?
・SSLなどの特定のアプリケーションでの暗号化ではなく、通信を暗号化するために考えられた仕組み。
・暗号化をIPプロトコルレベルで実装し、ホストごとのセキュリティを確保することを目的とする。
・インターネットを使用したVPNの構築に使われている。
■「暗号化」とは?
・暗号鍵を通信相手同士で交換し、送信側にて暗号鍵を使って暗号化し、受信側にて暗号鍵を使って複合化を行う。
・暗号鍵の計算方式の違いによって各種暗号化方式のバリエーションが存在している。
■暗号通信の種類
「共有鍵暗号方式」
・暗号化と復号化で同じ暗号鍵を使用する。
・鍵の生成は送信側/受信側どちらでもよい。
・鍵を通信相手同士で共有するため、鍵の受け渡しの途中で外部に漏れた場合は秘密が守れなくなる。
・DES(Data Encryption Standard)
「公開鍵暗号方式」
・暗号化と復号化で別々の暗号鍵を使用する。
・受信側で「秘密鍵」と「公開鍵」生成し、公開鍵を相手側へ渡す。
送信側は公開鍵を使用して暗号化を行い受信側へ送信する。
受信側で「秘密鍵」にて復号化を行う。
(公開鍵で暗号化されたものは、秘密鍵でないと復号化できない)
・RSA
■暗号化の問題点
・暗号化は「機密性」を満たすだけで、通信内容を隠すだけの役割しかない。
セキュリティを考えると、「完全性の確保」と「認証」という条件を満たす必要がある。
・「完全性の確保」とは通信内容が通信途中で改変されることなく、通信相手に届く事が保障される事。
・「認証」とは通信相手が確かに意図した相手本人であるかが保障される事。
・暗号鍵が第三者に漏れてしまうと暗号化の意味がなくなってしまう。
■IPsecの仕組み
・暗号化通信方式の標準規格である。
→利用する暗号化アルゴリズムは特定せず、あらゆる暗号を利用できるような柔軟な枠組みを提供。
・暗号化方式として共有鍵暗号化方式を採用している。
→公開鍵より暗号化、復号化の速度が高速なため。
①通信時に使用する暗号化アルゴリズムと暗号鍵は事前に手動で設定する。
(もしくは、通信相手との事前折衝の段階で決定する。)
→こられの決定をSA(Security Association)という。
②SPI(Security Pointer Index)の32ビット整数値の割り当ての実施。
→通信内容がどのような暗号化アルゴリズムで、どの暗号鍵を使うかといったガイドラインとなる情報。
→複数の相手とそれぞれ異なる暗号化アルゴリズム、暗号鍵による通信を実施する場合に、SPIの検索キーを使って必要な情報を引き出す。
■鍵交換に使用するプロトコル「IKE(Internet Key Exchange)」
・SAの合意を自動的に行うことが可能な鍵交換プロトコル。
・鍵交換の段階で内容が漏れては意味がないので、IKE自体で暗号化通信をサポートしてる。
鍵生成に「Diffie―Hellman」という方式を利用し、IKEの暗号通信を実施。
■データ転送に利用するプロトコル「ESP(Encapsulating Security Payload)」
・暗号化された通信内容にSPI、シーケンス番号、認証データの3つの情報を付加しESPと呼ばれる入れものにパックする。
「トランスポート・モード」
IPパケットで運ぶデータ部分のみを暗号化し、宛先情報のIPヘッダをつけて送信する。
「トンネル・モード」
IPヘッダとデータ部分をまとめて暗号化したうえで、新たにIPヘッダを再度つけ直して送信する。
■認証データ「MAC(Message Authentication Code)」
・通信内容とパスワードを合わせたものに対して、ハッシュ関数と呼ばれる計算方法による演算を施した計算結果の事。
(IPsecでは、ハッシュ関数としてMD5アルゴリズムを使用したメッセージ・ダイジェストを使用している)
・パスワードは事前に通信相手同士にて交換を行う。
・MAC内のデータと、事前のパスワードにより受信側でも計算を実施し、受け取ったMACと比較して相違があれば改ざんされている事になる。
■完全性の保証と認証のためのプトロコル「AH(Authentication Header)」
・データの暗号化は行わず、SPI、シーケンス番号、認証データのみをパックして通常のIPパケットの中に加える。(ESPと同じ役割)
・暗号化通信が使えないというケースのために使われている仕組み。
・SSLなどの特定のアプリケーションでの暗号化ではなく、通信を暗号化するために考えられた仕組み。
・暗号化をIPプロトコルレベルで実装し、ホストごとのセキュリティを確保することを目的とする。
・インターネットを使用したVPNの構築に使われている。
■「暗号化」とは?
・暗号鍵を通信相手同士で交換し、送信側にて暗号鍵を使って暗号化し、受信側にて暗号鍵を使って複合化を行う。
・暗号鍵の計算方式の違いによって各種暗号化方式のバリエーションが存在している。
■暗号通信の種類
「共有鍵暗号方式」
・暗号化と復号化で同じ暗号鍵を使用する。
・鍵の生成は送信側/受信側どちらでもよい。
・鍵を通信相手同士で共有するため、鍵の受け渡しの途中で外部に漏れた場合は秘密が守れなくなる。
・DES(Data Encryption Standard)
「公開鍵暗号方式」
・暗号化と復号化で別々の暗号鍵を使用する。
・受信側で「秘密鍵」と「公開鍵」生成し、公開鍵を相手側へ渡す。
送信側は公開鍵を使用して暗号化を行い受信側へ送信する。
受信側で「秘密鍵」にて復号化を行う。
(公開鍵で暗号化されたものは、秘密鍵でないと復号化できない)
・RSA
■暗号化の問題点
・暗号化は「機密性」を満たすだけで、通信内容を隠すだけの役割しかない。
セキュリティを考えると、「完全性の確保」と「認証」という条件を満たす必要がある。
・「完全性の確保」とは通信内容が通信途中で改変されることなく、通信相手に届く事が保障される事。
・「認証」とは通信相手が確かに意図した相手本人であるかが保障される事。
・暗号鍵が第三者に漏れてしまうと暗号化の意味がなくなってしまう。
■IPsecの仕組み
・暗号化通信方式の標準規格である。
→利用する暗号化アルゴリズムは特定せず、あらゆる暗号を利用できるような柔軟な枠組みを提供。
・暗号化方式として共有鍵暗号化方式を採用している。
→公開鍵より暗号化、復号化の速度が高速なため。
①通信時に使用する暗号化アルゴリズムと暗号鍵は事前に手動で設定する。
(もしくは、通信相手との事前折衝の段階で決定する。)
→こられの決定をSA(Security Association)という。
②SPI(Security Pointer Index)の32ビット整数値の割り当ての実施。
→通信内容がどのような暗号化アルゴリズムで、どの暗号鍵を使うかといったガイドラインとなる情報。
→複数の相手とそれぞれ異なる暗号化アルゴリズム、暗号鍵による通信を実施する場合に、SPIの検索キーを使って必要な情報を引き出す。
■鍵交換に使用するプロトコル「IKE(Internet Key Exchange)」
・SAの合意を自動的に行うことが可能な鍵交換プロトコル。
・鍵交換の段階で内容が漏れては意味がないので、IKE自体で暗号化通信をサポートしてる。
鍵生成に「Diffie―Hellman」という方式を利用し、IKEの暗号通信を実施。
■データ転送に利用するプロトコル「ESP(Encapsulating Security Payload)」
・暗号化された通信内容にSPI、シーケンス番号、認証データの3つの情報を付加しESPと呼ばれる入れものにパックする。
「トランスポート・モード」
IPパケットで運ぶデータ部分のみを暗号化し、宛先情報のIPヘッダをつけて送信する。
「トンネル・モード」
IPヘッダとデータ部分をまとめて暗号化したうえで、新たにIPヘッダを再度つけ直して送信する。
■認証データ「MAC(Message Authentication Code)」
・通信内容とパスワードを合わせたものに対して、ハッシュ関数と呼ばれる計算方法による演算を施した計算結果の事。
(IPsecでは、ハッシュ関数としてMD5アルゴリズムを使用したメッセージ・ダイジェストを使用している)
・パスワードは事前に通信相手同士にて交換を行う。
・MAC内のデータと、事前のパスワードにより受信側でも計算を実施し、受け取ったMACと比較して相違があれば改ざんされている事になる。
■完全性の保証と認証のためのプトロコル「AH(Authentication Header)」
・データの暗号化は行わず、SPI、シーケンス番号、認証データのみをパックして通常のIPパケットの中に加える。(ESPと同じ役割)
・暗号化通信が使えないというケースのために使われている仕組み。
2008年2月26日火曜日
solarisセキュリティ2
■コンピュータへのアクセス制御
「物理的なセキュリティー管理」
・入退室管理
・サーバラックへの施錠
・PROMへのパスワードの設定
「ログイン制御管理」
・アカウントへのパスワードの設定
「パスワード情報管理」
・有効期限の設定
・アカウントロックアウト
・パスワード暗号化
/etc/security/policy.confに暗号化アルゴリズムを指定
「デバイスアクセス制御」
・デバイスポリシー
デバイスへのアクセスを行うプロセスについて特定の権限を必要条件とする。
・デバイス割り当て
承認されたユーザーにだけデバイスの使用を限定する。
「リソースへのアクセス制限」
・役割によるアクセス制御
役割ごとに権限を分散し、権限の集中を回避する。
・PATH変数の設定
正しいPATH変数を設定する事によりトロイの木馬の実行を防ぐ。
自動セキュリティー拡張ツール(ASET)は起動ファイルのPATHが正しいか調べる。
・制限付きシェルの割り当て
/usr/lib/rshコマンド。
・ファイルへのアクセス制限
ファイル権限とアクセス制限リスト(ACL)
・自動セキュリティー拡張ツール(ASET)
・Solaris Security Toolkit
ASETより柔軟で拡張性のあるメカニズム。
・Solarisリソース管理機能
・Solarisゾーン
・ファイルの整合性監視
基本監査報告機能(BART)
「ファイルアクセス制御」
・ファイル暗号化
digest、mac、encryptファイル保護コマンド。
・アクセス制限リスト(ACL)
「ネットワークアクセス制御」
・IPsec
・Kerberos
・リモートログインコマンド
・Solaris Secure Shell
solarisシステム管理者
「物理的なセキュリティー管理」
・入退室管理
・サーバラックへの施錠
・PROMへのパスワードの設定
「ログイン制御管理」
・アカウントへのパスワードの設定
「パスワード情報管理」
・有効期限の設定
・アカウントロックアウト
・パスワード暗号化
/etc/security/policy.confに暗号化アルゴリズムを指定
「デバイスアクセス制御」
・デバイスポリシー
デバイスへのアクセスを行うプロセスについて特定の権限を必要条件とする。
・デバイス割り当て
承認されたユーザーにだけデバイスの使用を限定する。
「リソースへのアクセス制限」
・役割によるアクセス制御
役割ごとに権限を分散し、権限の集中を回避する。
・PATH変数の設定
正しいPATH変数を設定する事によりトロイの木馬の実行を防ぐ。
自動セキュリティー拡張ツール(ASET)は起動ファイルのPATHが正しいか調べる。
・制限付きシェルの割り当て
/usr/lib/rshコマンド。
・ファイルへのアクセス制限
ファイル権限とアクセス制限リスト(ACL)
・自動セキュリティー拡張ツール(ASET)
・Solaris Security Toolkit
ASETより柔軟で拡張性のあるメカニズム。
・Solarisリソース管理機能
・Solarisゾーン
・ファイルの整合性監視
基本監査報告機能(BART)
「ファイルアクセス制御」
・ファイル暗号化
digest、mac、encryptファイル保護コマンド。
・アクセス制限リスト(ACL)
「ネットワークアクセス制御」
・IPsec
・Kerberos
・リモートログインコマンド
・Solaris Secure Shell
solarisシステム管理者
inetd
そもそもサーバとは?
・クライアントに対してサービスを提供するもの。クライアントから要求があった場合にそれを受け付けて処理をしなければならない。
→クライアントからのサービス(特定のポート)へのアクセスを見張っているプログラムがサーバになる。
しかし、いろんなサーバーがそれぞれのポートを見張るためだけに起動していると、メモリやCPUなどのリソースを必要としてしまう。
それを避けるために1つのプロセスでいろんなポートを見張っていて、クライアントからの通信が来た時に初めてサーバを起動する仕組みがある。
この役割を行ってくれるのが『inetd』。/etc/inetd.confの設定ファイルを基に動作している。
※コネクションが終了するとサーバプロセスも停止してしまうので、sendmailやhttpdのような実行速度を重視するサーバは自前でのポート監視を実装している。
・クライアントに対してサービスを提供するもの。クライアントから要求があった場合にそれを受け付けて処理をしなければならない。
→クライアントからのサービス(特定のポート)へのアクセスを見張っているプログラムがサーバになる。
しかし、いろんなサーバーがそれぞれのポートを見張るためだけに起動していると、メモリやCPUなどのリソースを必要としてしまう。
それを避けるために1つのプロセスでいろんなポートを見張っていて、クライアントからの通信が来た時に初めてサーバを起動する仕組みがある。
この役割を行ってくれるのが『inetd』。/etc/inetd.confの設定ファイルを基に動作している。
※コネクションが終了するとサーバプロセスも停止してしまうので、sendmailやhttpdのような実行速度を重視するサーバは自前でのポート監視を実装している。
FTPでの制限
■ユーザー毎のFTPの使用を制限
・/etc/ftpd/ftpusersファイルへFTPサーバへのアクセスを拒否するユーザーを列挙する。
■ホスト単位でのFTPアクセスの制限
・/etc/ftpd/ftphostsに複数のホストからFTPサーバ上の複数のアカウントへのログインを許可、拒否。
■classによるFTPの制限
・/etc/ftpd/ftpaccessにclassによるユーザーの定義を行い、class単位での制限を実施する。
①classの定義
class クラス名 ユーザー種類[匿名ユーザー|ゲストユーザー|実ユーザー] アクセス元
例)
class local anymous,guest,real 192.168.1.0/24
→192.168.1.0のセグメントからアクセスしてきた匿名、ゲスト、実ユーザーlocalクラスとして定義する。
②ログイン可能ユーザー数、時間の制限
limit クラス名 ユーザー数 接続可能時間 メッセージファイル
例)
limit local 50 Wk0800-1800 /var/ftp/message
→毎週勤務時間でのlocalクラスに属するユーザーからの同時ログイン数を50に制限する。
ログイン制限数に達した場合は/var/ftp/messageファイルの内容が表示される。
③ログイン試行回数の制限
loginfails 試行回数
例)
loginfails 5
→ログイン試行に5回失敗するとFTPから切断され、メッセージがsyslogファイルへ記録される。
・/etc/ftpd/ftpusersファイルへFTPサーバへのアクセスを拒否するユーザーを列挙する。
■ホスト単位でのFTPアクセスの制限
・/etc/ftpd/ftphostsに複数のホストからFTPサーバ上の複数のアカウントへのログインを許可、拒否。
■classによるFTPの制限
・/etc/ftpd/ftpaccessにclassによるユーザーの定義を行い、class単位での制限を実施する。
①classの定義
class クラス名 ユーザー種類[匿名ユーザー|ゲストユーザー|実ユーザー] アクセス元
例)
class local anymous,guest,real 192.168.1.0/24
→192.168.1.0のセグメントからアクセスしてきた匿名、ゲスト、実ユーザーlocalクラスとして定義する。
②ログイン可能ユーザー数、時間の制限
limit クラス名 ユーザー数 接続可能時間 メッセージファイル
例)
limit local 50 Wk0800-1800 /var/ftp/message
→毎週勤務時間でのlocalクラスに属するユーザーからの同時ログイン数を50に制限する。
ログイン制限数に達した場合は/var/ftp/messageファイルの内容が表示される。
③ログイン試行回数の制限
loginfails 試行回数
例)
loginfails 5
→ログイン試行に5回失敗するとFTPから切断され、メッセージがsyslogファイルへ記録される。
2008年2月25日月曜日
Windowsファイル共有
「ネットワーク共有を設定しているのに、ファイル共有接続ができない!!」
■匿名アクセス
ファイルサーバ側でゲストアカウントを有効にし、Guestのパスワードを空に設定しておくと、クライアントからユーザーアカウントとパスワードを指定しなくても、サーバに接続し、Guest権限でファイルにアクセスできる機能。
→Guest権限のため権限制限はあるがファイルの受け渡しなどは十分利用可能。
■IPC$(Inter-ProcessCommunicatuin):プロセス間通信
Windows根とワークにおいて、そのマシンの公開リソースの一覧を取得したり、以後のリソースの使用に対する準備を行うために使われる。
■匿名アクセス
ファイルサーバ側でゲストアカウントを有効にし、Guestのパスワードを空に設定しておくと、クライアントからユーザーアカウントとパスワードを指定しなくても、サーバに接続し、Guest権限でファイルにアクセスできる機能。
→Guest権限のため権限制限はあるがファイルの受け渡しなどは十分利用可能。
■IPC$(Inter-ProcessCommunicatuin):プロセス間通信
Windows根とワークにおいて、そのマシンの公開リソースの一覧を取得したり、以後のリソースの使用に対する準備を行うために使われる。
2008年2月24日日曜日
solarisセキュリティ
■OpemBootのセキュリティレベルを変更
noe
パスワード必要無し。デフォルトの設定。
command
bootおよびgoをのぞく全てのコマンドについてパスワードが必要。
full
goを除く全てのOpenBootコマンドにてパスワードが必要。
<パスワード設定>
・rootでの設定方法
#eeprom security-passwd
・OpenBootでの設定方法
ok passwd
<セキュリティモード変更>
・rootでの設定方法
#eeprom security-mode=command
・OpenBootでの設定方法
ok setenv security-mode full
■ファイルシステムのセキュリティ
・ファイルの削除はそのファイルので権限ではなく、ファイルが存在するディレクトリの権限に依存する。
・SetUID(SetGID)
ファイルがプログラムの場合のみ有効。
たとえ誰がそのプログラムを実行しようと、プログラムが特定のユーザであるように見せる。
一定のプログラムしか一定の情報にアクセスすることを許可しない場合に有用される。
■ファイルシステム監査ツール
ASET(Automated System Enhancement tool)
パーミッション設定やシステムファイルの内容をチェックするパッケージ。
脆弱性を調べ、レポートを出力する。
リリースメディアに含まれる。(SUNWastパッケージ)
#pkginfo | grep SUNWast
fuserコマンド
どのプロセスがファイルを開いているかを確認する。
PID+状態
<状態の種類>
c:プロセスのカレントDIR
r:プロセスのrootDIR
o:普通のオープンされているファイル
m:メモリにマップされているファイル
t:テキストファイル
■ユーザアカウント、環境
・必要のないPATHは環境変数として設定しない。
・アカウントパスワードパラメータ
/etc/default/passwd
・rootでの直接ログインを防ぐ
/etc/default/login
CONSOLE=/dev/null
・suコマンドのログ
/etc/default/su
SULOG=/var/adm/sulog 書き込むログファイルを指定
SYSLOG=YES syslogにも記録するかどうかを指定
CONSOLE=/dev/console どのスクリーンにsuのメッセージを表示するか指定
PATH=/usr/bin: 新しいユーザのシェルのデフォルトパスを指定
SUPATH=/usr/sbin:/usr/bin rootに変更した場合のパスを指定
・プロンプトへのユーザ名の表示
.login
set prompt="`uname -n` #"
・制限つきシェル
/usr/lib/rsh(Bourneシェル)、/usr/bin/rkshの二つは制限つきシェルが使える。
ディレクトリの移動ができない、PATH環境変数が変更できない、リダイレクトが使えないなど。
■cronの制御
・/etc/cron.d/cron.allow
crontabの使用を許可するユーザーリスト
・/etc/cron.d/cron.deny
crontabの使用を許可しないユーザーリスト
→リストされたユーザーIDでのcronジョブの実行か可能だが、リストの参照、変更処理を行えないため、セキュリティが向上する。
・実行シェル内部に不要なPATHを設定しない。
→コマンド同じファイルを用意し、わざと実行させる(トロイの木馬)攻撃を防ぐ。
内部で実行するコマンドはひとつひとつ変数として定義する方が安全性が高い!!
■各種システムログ
syslog
・UDP514番を使用する。
loginlog [/var/adm/loginlog]
・ログイン試みが6回失敗するとログを出力。
・/var/adm/loginlogを作成する。
sulog [/var/adm/sulog]
・suコマンドの試みを全て出力。
wtmpx [/var/adm/wtmpx]
・ユーザーのログイン、ログアウト、システム再起動情報を出力。
・lastコマンドにて内容を確認できる。
vold.log [/var/adm/vold.log]
・VolumeManagerのログを出力。
logcheckツール
・キーワードが登録されているフィルタファイルを用い、記録するログにキーワードが含まれているとメッセージを送る。
・必要な間隔でcronから起動される。
■不要なサービスの停止
<設定ファイル>
/etc/inet/services
ポートタイプとポート番号をサービス名と関連付ける。
サービス名 ポート番号/プロトコル サービス別名
/etc/inetd.conf
システムが提供する各ネットワークサービスを結びつける。
サービス名 ソケットタイプ プロトコル {wait|nowait} サービスを実行させているユーザ名 サービスパス プログラム引数
noe
パスワード必要無し。デフォルトの設定。
command
bootおよびgoをのぞく全てのコマンドについてパスワードが必要。
full
goを除く全てのOpenBootコマンドにてパスワードが必要。
<パスワード設定>
・rootでの設定方法
#eeprom security-passwd
・OpenBootでの設定方法
ok passwd
<セキュリティモード変更>
・rootでの設定方法
#eeprom security-mode=command
・OpenBootでの設定方法
ok setenv security-mode full
■ファイルシステムのセキュリティ
・ファイルの削除はそのファイルので権限ではなく、ファイルが存在するディレクトリの権限に依存する。
・SetUID(SetGID)
ファイルがプログラムの場合のみ有効。
たとえ誰がそのプログラムを実行しようと、プログラムが特定のユーザであるように見せる。
一定のプログラムしか一定の情報にアクセスすることを許可しない場合に有用される。
■ファイルシステム監査ツール
ASET(Automated System Enhancement tool)
パーミッション設定やシステムファイルの内容をチェックするパッケージ。
脆弱性を調べ、レポートを出力する。
リリースメディアに含まれる。(SUNWastパッケージ)
#pkginfo | grep SUNWast
fuserコマンド
どのプロセスがファイルを開いているかを確認する。
PID+状態
<状態の種類>
c:プロセスのカレントDIR
r:プロセスのrootDIR
o:普通のオープンされているファイル
m:メモリにマップされているファイル
t:テキストファイル
■ユーザアカウント、環境
・必要のないPATHは環境変数として設定しない。
・アカウントパスワードパラメータ
/etc/default/passwd
・rootでの直接ログインを防ぐ
/etc/default/login
CONSOLE=/dev/null
・suコマンドのログ
/etc/default/su
SULOG=/var/adm/sulog 書き込むログファイルを指定
SYSLOG=YES syslogにも記録するかどうかを指定
CONSOLE=/dev/console どのスクリーンにsuのメッセージを表示するか指定
PATH=/usr/bin: 新しいユーザのシェルのデフォルトパスを指定
SUPATH=/usr/sbin:/usr/bin rootに変更した場合のパスを指定
・プロンプトへのユーザ名の表示
.login
set prompt="`uname -n` #"
・制限つきシェル
/usr/lib/rsh(Bourneシェル)、/usr/bin/rkshの二つは制限つきシェルが使える。
ディレクトリの移動ができない、PATH環境変数が変更できない、リダイレクトが使えないなど。
■cronの制御
・/etc/cron.d/cron.allow
crontabの使用を許可するユーザーリスト
・/etc/cron.d/cron.deny
crontabの使用を許可しないユーザーリスト
→リストされたユーザーIDでのcronジョブの実行か可能だが、リストの参照、変更処理を行えないため、セキュリティが向上する。
・実行シェル内部に不要なPATHを設定しない。
→コマンド同じファイルを用意し、わざと実行させる(トロイの木馬)攻撃を防ぐ。
内部で実行するコマンドはひとつひとつ変数として定義する方が安全性が高い!!
■各種システムログ
syslog
・UDP514番を使用する。
loginlog [/var/adm/loginlog]
・ログイン試みが6回失敗するとログを出力。
・/var/adm/loginlogを作成する。
sulog [/var/adm/sulog]
・suコマンドの試みを全て出力。
wtmpx [/var/adm/wtmpx]
・ユーザーのログイン、ログアウト、システム再起動情報を出力。
・lastコマンドにて内容を確認できる。
vold.log [/var/adm/vold.log]
・VolumeManagerのログを出力。
logcheckツール
・キーワードが登録されているフィルタファイルを用い、記録するログにキーワードが含まれているとメッセージを送る。
・必要な間隔でcronから起動される。
■不要なサービスの停止
<設定ファイル>
/etc/inet/services
ポートタイプとポート番号をサービス名と関連付ける。
サービス名 ポート番号/プロトコル サービス別名
/etc/inetd.conf
システムが提供する各ネットワークサービスを結びつける。
サービス名 ソケットタイプ プロトコル {wait|nowait} サービスを実行させているユーザ名 サービスパス プログラム引数
2008年2月22日金曜日
STATSPACK~メモリの見積もり~
■Buffer Pool Advisory
データベースバッファキャッシュの適切なサイズを見積もるために必要な情報。
Size For Est (M)
見積もりキャッシュサイズ(MB)
Size Fctr
現キャッシュサイズに対するサイズ比率 ※1.0が現在の値
Buffers for Estimate
測定用のキャッシュサイズ(バッファ単位)
Est PhysicalRead Factor
このキャッシュサイズに対する物理読み込み要因。
実際のキャッシュ内の読み込み回数を見積もった物理読み込み回数の割合。
Estimated Physical Reads
このキャッシュサイズで見積もった物理読み込み回数
**************************************************************************
Buffer Pool Advisory for DB: TEST Instance: TEST End Snap: 38
-> Only rows with estimated physical reads >0 are displayed
-> ordered by Block Size, Buffers For Estimate
Size for Size Buffers for Est Physical Estimated
P Estimate (M) Factr Estimate Read Factor Physical Reads
--- ------------ ----- ---------------- ------------- ------------------
D 48 .1 5,955 3,142.88 73,408,214
D 96 .2 11,910 9.60 224,282
D 144 .3 17,865 1.84 43,022
D 192 .4 23,820 1.16 27,062
D 240 .5 29,775 1.00 23,357
D 288 .6 35,730 1.00 23,357
D 336 .7 41,685 1.00 23,357
D 384 .8 47,640 1.00 23,357
D 432 .9 53,595 1.00 23,357
D 480 1.0 59,550 1.00 23,357
D 528 1.1 65,505 1.00 23,357
D 576 1.2 71,460 1.00 23,357
D 624 1.3 77,415 1.00 23,357
D 672 1.4 83,370 1.00 23,357
D 720 1.5 89,325 1.00 23,357
D 768 1.6 95,280 1.00 23,357
D 816 1.7 101,235 1.00 23,357
D 864 1.8 107,190 1.00 23,357
D 912 1.9 113,145 1.00 23,357
D 960 2.0 119,100 1.00 23,357
-------------------------------------------------------------
**************************************************************************
SQL> show parameter db_cache_advice
NAME TYPE VALUE
------------------------------------ ---------------------- ------------------------------
db_cache_advice string ON
SQL> desc v$db_cache_advice;
名前 NULL? 型
----------------------------- -------- --------------------
ID NUMBER
NAME VARCHAR2(20)
BLOCK_SIZE NUMBER
ADVICE_STATUS VARCHAR2(3)
SIZE_FOR_ESTIMATE NUMBER
SIZE_FACTOR NUMBER
BUFFERS_FOR_ESTIMATE NUMBER
ESTD_PHYSICAL_READ_FACTOR NUMBER
ESTD_PHYSICAL_READS NUMBER
データベースバッファキャッシュの適切なサイズを見積もるために必要な情報。
Size For Est (M)
見積もりキャッシュサイズ(MB)
Size Fctr
現キャッシュサイズに対するサイズ比率 ※1.0が現在の値
Buffers for Estimate
測定用のキャッシュサイズ(バッファ単位)
Est PhysicalRead Factor
このキャッシュサイズに対する物理読み込み要因。
実際のキャッシュ内の読み込み回数を見積もった物理読み込み回数の割合。
Estimated Physical Reads
このキャッシュサイズで見積もった物理読み込み回数
**************************************************************************
Buffer Pool Advisory for DB: TEST Instance: TEST End Snap: 38
-> Only rows with estimated physical reads >0 are displayed
-> ordered by Block Size, Buffers For Estimate
Size for Size Buffers for Est Physical Estimated
P Estimate (M) Factr Estimate Read Factor Physical Reads
--- ------------ ----- ---------------- ------------- ------------------
D 48 .1 5,955 3,142.88 73,408,214
D 96 .2 11,910 9.60 224,282
D 144 .3 17,865 1.84 43,022
D 192 .4 23,820 1.16 27,062
D 240 .5 29,775 1.00 23,357
D 288 .6 35,730 1.00 23,357
D 336 .7 41,685 1.00 23,357
D 384 .8 47,640 1.00 23,357
D 432 .9 53,595 1.00 23,357
D 480 1.0 59,550 1.00 23,357
D 528 1.1 65,505 1.00 23,357
D 576 1.2 71,460 1.00 23,357
D 624 1.3 77,415 1.00 23,357
D 672 1.4 83,370 1.00 23,357
D 720 1.5 89,325 1.00 23,357
D 768 1.6 95,280 1.00 23,357
D 816 1.7 101,235 1.00 23,357
D 864 1.8 107,190 1.00 23,357
D 912 1.9 113,145 1.00 23,357
D 960 2.0 119,100 1.00 23,357
-------------------------------------------------------------
**************************************************************************
SQL> show parameter db_cache_advice
NAME TYPE VALUE
------------------------------------ ---------------------- ------------------------------
db_cache_advice string ON
SQL> desc v$db_cache_advice;
名前 NULL? 型
----------------------------- -------- --------------------
ID NUMBER
NAME VARCHAR2(20)
BLOCK_SIZE NUMBER
ADVICE_STATUS VARCHAR2(3)
SIZE_FOR_ESTIMATE NUMBER
SIZE_FACTOR NUMBER
BUFFERS_FOR_ESTIMATE NUMBER
ESTD_PHYSICAL_READ_FACTOR NUMBER
ESTD_PHYSICAL_READS NUMBER
SELECT SIZE_FOR_ESTIMATE EST_SIZE,
BUFFERS_FOR_ESTIMATE EST_BUFFERS,
ESTD_PHYSICAL_READ_FACTOR PHYSIC_FACT,
ESTD_PHYSICAL_READS PHYSIC_READS
FROM V$DB_CACHE_ADVICE
WHERE NAME = 'DEFAULT'
AND BLOCK_SIZE = '8192';
2008年2月21日木曜日
2008年2月1日金曜日
時刻同期
■solaris9時刻変更手順
1.シングルモードで再起動
#sync;sync;sync
#shutdown -i0 -g0 -y
ok boot -s
2.日付変更
<日付変更方法①>
dateコマンド
#date 020118002008
→2008年2月1日18時00分に設定
<日付変更方法②>
ntpdateコマンド
※NTPサーバ設定を行っている場合のみ
#ntpdate -b ←システム時刻を設定する。
#ntpdate -q ←時刻のみ問い合わせ。
3.時刻確認
#date
■NTPについて
デーモン
xntpd
設定ファイル
/etc/inet/ntp.conf
-----------------------------------------
#multicastclient 224.0.1.1
server 192.168.129.16 ←NTPサーバアドレス
driftfile /var/ntp/ntpstats/ntp.drift ←「ntp.drift」誤差調整用
-----------------------------------------
コマンド
#ntptrace ←NTPサーバへの疎通確認
その他
①ポーリング間隔
・時刻同期間隔はだんだんと広がって行く。
#server 192.168.44.169 minpoll 6 maxpoll 6 ←ポーリング間隔を6(64秒)に指定。
(指定値はビット数。デフォルト値[minpoll:6(64秒),maxpoll:10(1024秒)])
1.シングルモードで再起動
#sync;sync;sync
#shutdown -i0 -g0 -y
ok boot -s
2.日付変更
<日付変更方法①>
dateコマンド
#date 020118002008
→2008年2月1日18時00分に設定
<日付変更方法②>
ntpdateコマンド
※NTPサーバ設定を行っている場合のみ
#ntpdate -b ←システム時刻を設定する。
#ntpdate -q ←時刻のみ問い合わせ。
3.時刻確認
#date
■NTPについて
デーモン
xntpd
設定ファイル
/etc/inet/ntp.conf
-----------------------------------------
#multicastclient 224.0.1.1
server 192.168.129.16 ←NTPサーバアドレス
driftfile /var/ntp/ntpstats/ntp.drift ←「ntp.drift」誤差調整用
-----------------------------------------
コマンド
#ntptrace ←NTPサーバへの疎通確認
その他
①ポーリング間隔
・時刻同期間隔はだんだんと広がって行く。
#server 192.168.44.169 minpoll 6 maxpoll 6 ←ポーリング間隔を6(64秒)に指定。
(指定値はビット数。デフォルト値[minpoll:6(64秒),maxpoll:10(1024秒)])
EXCELでの相関予測
傾き
「=LINEST(既知のy,既知のx,TRUE)」
Y切片
「=INDEX(LINEST(既知のy,既知のx,TRUE),2)」
相関関係
「=CORREL(既知のy,既知のx)」
値
「Y切片+傾き×n」
「=LINEST(既知のy,既知のx,TRUE)」
Y切片
「=INDEX(LINEST(既知のy,既知のx,TRUE),2)」
相関関係
「=CORREL(既知のy,既知のx)」
値
「Y切片+傾き×n」
登録:
投稿 (Atom)