情報実験:ネットワークコンピューティング入門 ーネットワークの光と影ー 江頭亮太 環境地球化学研究室
はじめに 地球大循環モデルを開発した.さて動かそう. 遠くの計算機まで行くのは嫌. データ転送and計算センタの計算機を操作. ・手元の計算機では遅くてやってられない. ・どこかのスーパーコンピュータを使って計算したい. 遠くの計算機まで行くのは嫌. データ転送and計算センタの計算機を操作. →遠隔アクセス!!
遠隔アクセスとは ネットワーク上に接続されたホスト間でデータの やりとりをすること. ・遠隔ログイン(slogin, telnet) ・遠隔コマンド実行(ssh) ・ファイル転送(scp)
遠隔ログイン(slogin, telnet) 自分が現在使っている計算機から、ネットワークを経由して 他の計算機にアクセスすること.
遠隔コマンド実行(ssh) 自分が現在使っている計算機から、ネットワークを経由して 他の計算機上のコマンドを実行すること.
ファイル転送(scp) ネットワーク経由でファイルを転送すること.
遠隔アクセスで気にしなくてはならないこと 通信内容がどこまで保護されるか パスワードがネットワーク上を流れる →パスワードを暗号化!
基礎となる遠隔ログインコマンド telnet(ポート番号:23) ・特徴 コマンド ・この規約によって初めてリモートログインが可能になった. ・特徴 ・ネットワーク上に接続された他のホストにログインするための コマンド ・この規約によって初めてリモートログインが可能になった. ・短所 ・ログインパスワードが平文のままネットワークに流れる. ・ネットワーク上を流れるパケットを監視されるとパスワード がばれる.
基礎となるファイル転送コマンド ftp(ポート番号:21) ・特徴 ・ネットワーク上に接続されたホスト間でファイル転送を行う ためのコマンド ・特徴 ・ネットワーク上に接続されたホスト間でファイル転送を行う ためのコマンド ・この規約によって初めてファイル転送が可能になった. ・短所 ・ログインパスワードが平文のままネットワークに流れる. ・ネットワーク上を流れるパケットを監視されるとパスワード がばれる.
ssh(secure shell)系コマンド slogin,ssh,scp(ポート番号:22) ・特徴 ・現在最も使われているリモートアクセス用コマンド群 ・ftp,telnetのようにパスワードが平文のままネットワークに 流れることがない. ・通信内容が全て暗号化される. ・短所 ・暗号化される分、処理時間がかかる.パケットも大きくなる.
ポート アプリケーションソフトウェアがデータをやりとりするための窓口 ・ポートにはデーモンが待機. デーモンを殺す→ポートを閉める ・ポートにはデーモンが待機. デーモンを殺す→ポートを閉める ・ポートを閉めると、そのポートを使うアプリケーション関連の情報を 受け取らなくなる.
/etc/services 代表的なネットワークサービスのポート番号が列挙されている tepmux 1/tcp echo discard systat daytime netstat qotd msp chargen ftp-data ftp fsp ssh telnet smtp time 1/tcp 7/tcp 7/udp 9/tcp 9/udp 11/tcp 13/tcp 13/udp 15/tcp 17/tcp 18/tcp 18/udp 19/tcp 19/udp 20/tcp 21/tcp 21/udp 22/tcp 22/udp 23/tcp 25/tcp 37/tcp # TCP port service multiplexer sink null users quote # message send protocol ttytst source fspd # SSH Remote Login Protocol mail timserver
/etc/services 代表的なネットワークサービスのポート番号が列挙されている tepmux 1/tcp #echo echo discard systat #daytime daytime netstat qotd msp chargen ftp-data ftp fsp ssh telnet smtp time 1/tcp 7/tcp 7/udp 9/tcp 9/udp 11/tcp 13/tcp 13/udp 15/tcp 17/tcp 18/tcp 18/udp 19/tcp 19/udp 20/tcp 21/tcp 21/udp 22/tcp 22/udp 23/tcp 25/tcp 37/tcp # TCP port service multiplexer sink null users quote # message send protocol ttytst source fspd # SSH Remote Login Protocol mail timserver
安全に利用するために ・必要のないネットワークサービスの停止 ・知っているホストからのみアクセス ・ネットワークサービスを提供するソフトウェアのバージョン を最新に
必要のないネットワークサービスの停止 ネットワークサービスはデーモンによって提供される. 計算機に存在するデーモンを調べる. ・システムに常駐するデーモン ・inetdから呼び出されるデーモン 計算機に存在するデーモンを調べる. ・常駐しているデーモン:$ ps auxから調べる. ・inetdから呼び出されるデーモン:/etc/inetd.conf に記述 ネットワークサービスの停止=デーモンを殺す ・デーモンを提供するソフトウェアをアンインストールする. →Debian GNU/Linuxならば、# dpkg –purge (パッケージ名) ・/etc/inetd.confを編集し、必要のないデーモンをコメントアウト. Inetdを再起動. →再起動するには、# /etc/init.d/inetd restart
知っているホストからのみアクセス むやみに設定してしまうと、旅先や出張先から 自分の計算機が使えなくて困ることにも... 計算機にアクセス可能なホストやドメインを設定 ・知らない人や計算機からアクセスされるのは気持ち悪い. 制御ファイル = /etc/hosts.deny , /etc/hosts.allow むやみに設定してしまうと、旅先や出張先から 自分の計算機が使えなくて困ることにも...
ソフトウェアのバージョンを最新に バグ情報のチェック バグ情報を元に最新版のソフトウェアをダウンロードする ・情報源を持つ ・情報源を持つ JPCERT: http://www.jpcert.or.jp ・メーリングリストに加入する Debian GNU/Linux: debian-security-anounce(http://www.jp.debian.org/security) バグ情報を元に最新版のソフトウェアをダウンロードする ・プログラムの一次配布元からダウンロード、インストール. ・Windowsならば、Windows Update. ・Debian ならば、 #apt-get update; apt-get upgrade /etc/apt/sources.listに以下を追加しておくこと: deb http://security.debian.org/ woody/updates main contrib non-free
Windowsのセキュリティ対策 Windowsのアップグレード Windows ソフトウェアのアップグレード ・各メーカのホームページをチェックして下さい. ・正しく購入してください.