はじめに 今回は、iptablesのnatテーブル（関連記事）を使ったNATおよびNAPT機能を解説します。こうした機能を使えばパケットのIPアドレス情報を書き換えることができます。つまりiptablesを駆使すれば、市販されているブロードバンドルータと同等、またはそれ以上のルータを作り上げることができるのです。 関連リンク →Linuxで作るファイアウォール［パケットフィルタリング設定編］ http://www.atmarkit.co.jp/flinux/rensai/security05/security05a.html →連載記事 「習うより慣れろ！ iptablesテンプレート集」 http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html →連載記事 「習うより慣れろ！ iptablesテンプレート集

そのほかのdaemontools ここで紹介した以外に、さまざまなdaemontoolsが使用可能です。そのうち、頻繁に使用されるものには次のものがあります。 tai64nlocal 前述のように、multilogのロギングではTAI64N形式のタイムスタンプを利用します。これを、人間が日常使用している形式で表示させるのに使います。ログを確認する際は、毎回のように使用することになる大事なコマンドです。 @400000003ce2403d3677ea94 starting delivery 3: msg 257198 to local example.jp-user1@example.jp @400000003ce2403d367809d4 status: local 1/10 remote 0/20 @400000003ce2403d38b82634 delivery 3: success

送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF（Classic SPF）」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する（図1）。送信側は、「Sender Policy Framework（SPF）

PHPとMySQL はじめに、PHP（Personal Home Page tool）について簡単に紹介します（注）。ご存じのように、PHPはWebアプリケーションの定番として定着しています。また、Strutsのような大規模開発向けフレームワークがもてはやされる一方で、PHPをはじめPerlやRuby、Pythonといったスクリプト系言語に代表される「Lightweight Language」が手軽さと機能の豊富さから近年再注目されています。特にDBやWebとの相性がいいPHPは、初歩的なWebアプリケーションから本格的な用途まで幅広く利用されています。 PHP 4.1まではおおむね順調にリリースされていたのですが、PHP 4.2で「register_globals問題」が大きく取りざたされました（コラム1）。ちなみに、快速MySQLでデータベースアプリ！の第5、6回で紹介しているPHPサ

サーバへの不正侵入、Webページの改ざん、さらには機密情報の漏えいなど、ここ数年、インターネット上で発生するセキュリティ侵害事件が後を絶たない。そのため最近では、企業や組織の多くは、そういったセキュリティ侵害を意識してからか、ファイアウォールやIDSなどを設置し、自サイトのセキュリティ強化に取り組んでいる。 しかし、そういった対処を行っているにもかかわらず、セキュリティ侵害事件が後を絶たないのはなぜだろうか？ それは、最も根本的な問題である、実際に守るべき資産（情報）が格納されている、サーバ自身のセキュリティが確保されていないからだ、と筆者は考える。 本稿では、数回にわたり実際の攻撃者が行うであろう一連の手法と、それらの攻撃を防ぐためのサーバにおける対策方法について解説する。環境はUNIXをベースとするが、Windowsについても適時紹介する予定だ。 なお、あらかじめ断っておくが、本連載は

「ファイアウォール」とは、信頼できない外部ネットワークの攻撃から内部ネットワークを保護するシステムである。 「ファイアウォール」とは、信頼できない外部ネットワークの攻撃から内部ネットワークを保護するシステムである。主に外部ネットワークと内部ネットワークの中継地点に設置され、セキュリティ上通信させると問題があるようなものを制御、監視する。必要な通信は通過させ、不要な通信を遮断することで内部ネットワークを保護している。 ファイアウォールは「通信における、どの部分で制御するか」によって、種類が分かれる。 パケットフィルタリング型 「送信元IPアドレス」「送信元ポート」「宛先IPアドレス」「宛先ポート」を基に通信を制御する アプリケーションゲートウェイ型 アプリケーションの通信（HTTPやFTP）を代行し、そのアプリケーションが通信した「データの中身」を基に通信を制御する サーキットレベルゲートウ

「パケットフィルタリング」とは、通信が正しく行われるように特定のルールに基づいて検査、あるいは通信セッションの前後関係の整合性を検査し、不正だと判断した場合パケットを破棄するフィルタリング手法である。 「パケットフィルタリング」とは、通信が正しく行われるように特定のルールに基づいて検査、あるいは通信セッションの前後関係の整合性を検査し、不正だと判断した場合パケットを破棄するフィルタリング手法である。 また、パケットをキャプチャリングする際に条件を指定し、その条件に基づいて不要なパケットをフィルタリングすることも、パケットフィルタリングと呼ばれることがある。ここでは混乱を避けるため、前者をパケットフィルタリング、後者を「キャプチャフィルタリング」と呼ぶこととする。 一般的にルーターやファイアウォールなどの中継機器はパケットフィルタリング機能を備えている。ファイアウォールにはさまざまなフィルタ

「バッファオーバーフロー」とは、バッファー（データの一時記憶領域）に、想定以上の長さのデータが入力されてしまう現象である。「バッファオーバーラン」ともいう。 「バッファオーバーフロー」とは、バッファー（データの一時記憶領域）に、想定以上の長さのデータが入力されてしまう現象である。「バッファオーバーラン」ともいう。バッファーの制御がプログラマーに依存するC言語／C++言語のプログラムで意図せずに起きることが多い。 悪意のある攻撃者は、バッファオーバーフローを利用することで、意図的に許容量を超えるデータを送り付けてシステムの機能を停止させることができる。また、データがあふれ出たことによる意図しないプログラムの動きを利用して、悪意のあるプログラムを実行することもできる。 このバッファオーバーフローを利用した攻撃の例として、スタックとヒープの領域を対象とした攻撃が挙げられる。スタックを対象とした攻

クロスサイトスクリプティング（Cross Site Scripting）とは、Webアプリケーションの脆弱性の一種、またはそれを突く攻撃手法の名称のことだ。 クロスサイトスクリプティング（Cross Site Scripting）とは、Webアプリケーションの脆弱（ぜいじゃく）性の一種、またはそれを突く攻撃手法の名称のことだ。「XSS」という略称が用いられることも多い。 Webアプリケーションのユーザーを標的とする攻撃手法であり、標的ユーザーへのなりすましや、標的ユーザーしか知り得ない情報の漏えいなどにつながることが知られている一方、情報処理推進機構発行の「ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況［2016年第2四半期（4月～6月）］」では、Webサイトで発見、報告された脆弱性の過半数がクロスサイトスクリプティングであると報告されているなど、日々多くのWebサイトでクロスサイ

ファイアウォールの1つの方式で、通信を中継するプロキシ（代理）プログラムを使い、社内ネットワークとインターネットを切り離す方式。 ゲートウェイ上で、アプリケーションレベルのフィルタリングを行い、データを中継する。例えば、FTP、POP/SMTP、telnetなどのコマンドを認識し、不正なコマンドは中継しないようにすることができる。ただし、アプリケーションごとにきめ細かい制御ができる半面、プロキシプログラムが各アプリケーションに対応している必要がある。 関連用語 ■ファイアウォール ■プロキシ

IDS（Intrusion Detection System）とは、不正な通信やホストへの侵入、ファイルの改ざんなど、不正な侵入の兆候を検出するシステムである。 IDS（Intrusion Detection System）とは、不正な通信やホストへの侵入、ファイルの改ざんなど、不正な侵入の兆候を検出するシステムである。検出した場合、管理者へ通知を行う。 設置方法で分類するならば、ネットワーク上に設置する「ネットワーク型」と、ホスト上に設置する「ホスト型」の2種類となる。前者はネットワークセグメント上に設置し、トラフィックを監視する。トラフィック全体を監視できる半面、ホストごとの詳細な監視はできない。後者はホスト上に設置し、外部との通信やソフトウェアのログなどを監視する。OSやプロセスなど、詳細な監視ができる半面、監視対象となるホスト1台ずつに導入する必要がある。 不正の検出方法としては「

GUIに対するCUIの優位性の1つとして、作業の自動化が挙げられる。普段行う作業を1つのコマンドにまとめたり、複数のファイルに対して同じ処理を繰り返し行ったりといったことが比較的簡単なのだ。WindowsにもWSH（Windows Script Host）が用意されている。しかし、Linuxのbashスクリプトの方が簡単なのだ。 シェルスクリプトの基本はコマンドを並べること コマンドによる作業を自動化するには、その内容を記述したテキストファイルを用意すればいいのです。このテキストファイルを「シェルスクリプト」といいます。 最も簡単な自動化 最も簡単なシェルスクリプトは、コマンドをそのまま並べることです。例えば、tarコマンドでファイルのバックアップを取るとしましょう。単純にルートディレクトリから下を全部バックアップするにしても、/devや/tmpは必要ないですね。すると、

バーチャルドメインを使えば、複数のホストやドメインで提供していたサービスを1台に集約して導入コストを下げることができます。運用面でも、バージョンアップやセキュリティ対策といった管理の手間を抑えられます。もちろん、サーバに障害が発生した場合は全ドメインのサービスが停止する危険性も含んでいるため、メリットばかりではありません。とはいえ、RAIDや冗長化電源などが比較的容易に導入できるようになった昨今では、1ドメインに1ホストを割り当てるより、障害に強い1台のサーバで複数のドメインを運用する方がより現実的です。 また、2001年から始まったjp汎用ドメインの解禁で、1社・1ドメインどころか1プロジェクト・1ドメインといった使用方法も増えてくることでしょう。Webだけでなく、メールサービスもバーチャルドメインの恩恵を受けられるようにしてみましょう。

SNMPによるネットワークシステムの監視 ネットワークを構成するすべての機器の状態を把握し、ネットワークが正常に機能しているか否かを監視するにはSNMPというプロトコルを利用するのが便利です。このプロトコルはもともとネットワークの構成を管理するために開発されたもので、スイッチやルータなどの多くのネットワーク機器がSNMPに対応しています（注）。 注：SNMP対応のネットワーク機器は高価で、個人ユーザーを対象に出荷されている安価なハブなどは対応していないことが多いのが現状です。一般的にSNMP対応のネットワーク機器は「インテリジェントHUB」のように、「インテリジェント～」と呼ばれ、逆にSNMPに対応していない機器は「ノンインテリジェント～」といった名称で呼ばれています。 SNMPの要素：マネージャ／エージェント／MIB SNMPは、マネージャ（NMS：Network Management

・外部からの接続パケットは基本的にすべて破棄 ・内部からの接続パケットは基本的にすべて破棄 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh（TCP 22）を許可 ・サーバからメンテナンスホストへのsshは許可しない サーバに接続する端末をメンテナンスホストとして固定して、そこからのssh接続のみを許可するようにします。ssh以外に、運用上サーバの死活を監視する目的でpingコマンドを使用する可能性があるため、ICMPを許可します。 テンプレート1の内容を説明します。適宜、以下のリンクでリストを表示させるかテンプレートをダウンロードしてください。 テンプレート1の解説 3、4行目でメンテナンスホスト（trusthost）とサーバ（myhost）のIPアドレスを指定します。これらの値は何度も