名前解決の設定確認――第2回 HP-UXのセキュア設定(その1):UNIX USER9月号「unixuser.jpサーバー構築記」より転載
編集部のWebサイトwww.unixuser.jpは現在HP Integrity rx1600&HP-UX 11iv2で運用している。前回に引き続き、インストール直後のセキュリティ設定を中心に紹介していこう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
前回で基本的な作業は終わったが、いろいろと作業をしていく前にネットワーク環境と設定が正しく対応しているか確認したほうが良い。とくに各種ツール、サービスは名前解決がきちんと動作することを前提としているものが多いため、何かのツールの起動に時間が掛かったり、うまく動かなかったりする場合は、最初に名前解決の設定を疑ったほうがいいだろう。また、一度テストネットワーク環境で動かしていて、セットアップ終了後にホスティングサービスへ持っていくような場合はネットワーク設定が変わるので、環境が変わる都度きちんとチェックしておきたい。
nsswitch.confを用意する
名前解決の設定は/etc/nsswitch.confで行うが、HP-UXの場合、インストール直後の状態ではこのファイルは用意されておらず、既定の設定が用いられる。既定の設定は、DNS、NIS、ファイルをそれぞれ最初に見つかったもののみ利用する設定である。その詳細は、「man 4 nsswitch.conf」や、リファレンスマニュアル(日本語)*で確認できるので、時間があれば一度目を通しておこう。
/etcディレクトリには、いくつかのサンプルが/etc/nsswitch.*として置かれている。通常はこれらをnsswitch.confの名前でコピーして編集していくと良い。テスト中や何かトラブルがあった場合などは、nsswitch.filesを使ってfilesだけのもので設定・調査するといいだろう。
ファイルを優先し、DNSのみ設定
unixuser.jpではNISを利用しておらず、DNSとファイルによる名前解決だけの状態である。既定の設定でも運用できるとはいえ、/etc/nsswitch.confを明示的に設定したほうが確実であるし、よく参照する名前解決については、/etc/hostsを参照して、外部へのアクセスを避けたい。
そこで、ファイル参照を基本としたnsswitch.filesをベースにhosts項目を編集し、リスト1のように設定した。このように設定した場合、/etc/hostsの記述には注意が必要だ。よく参照するから、また、テストで一時的にといって設定していて、しばらくすると設定したことを忘れてしまうことがある。何らかの理由でIPアドレスの対応が変更されたときに設定変更を忘れると、見つけ難いトラブルの元になりやすいので、/etc/hostsにはあまり記述しすぎないようにしておこう。
なお、単にWebサーバー用途だけならDNSは必要ない。DNSを利用する明確な理由がなければ、DNSの項目も削除して、純粋にローカルファイルだけを参照するほうが安全である。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
アプリケーションがうまく動かない、挙動が変だというときには、システムコールを追いかけるツールが便利だ。問題の多くは設定ファイルのミスであり、どのファイルをどういった順番でオープンしているかが分かれば、原因を特定しやすい。
HP-UX用のシステムコールトレーサには、tuscというものがあり、以下のURLから入手できる。
http://hpux.cs.utah.edu/hppd/hpux/Sysadmin/
ftp://ftp.cup.hp.com/dist/networking/tools/
PA-RISC用、IA-64用のバイナリが用意されており、コンパイルせずに導入できる。7月末時点でのIA-64用の最新ファイルはtusc7.6.ia64.shar*である。実行例1のようにすると、実行ファイルのtuscとシンボリックリンクのtusc、マニュアルtusc.1、フロントエンドのシェルスクリプトsstepが現れる。これらを~/binなどの任意のディレクトリに置いておくといいだろう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
詳細な使い方はtusc.1を見ていただくとして、前述のnsswitch.confの設定で名前解決の様子を調べた例が実行例2だ。「-s」オプションでシステムコールを特定し、このオプションがないときはすべてのシステムコールが表示される。大量に表示されてしまうので、通常はopen、writeなど、必要なものを特定して実行したほうが良い。
実行例2を見ると、nslookupコマンドは、/etc/resolv.confや/root/.nslookuprcで設定を確認した後、nsswitch.confを読み込み、ファイル、DNSの順で検索している。一方、同じ名前解決を行うhostコマンドでは、/etc/resolv.confを見て、単にDNS名をDNSサーバーに問い合わせるだけである。設定変更後に不測の挙動や不明なエラーが出るときなどは、こういった形で確かめていくといいだろう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
ITmedia編集部注:第2回:HP-UXのセキュア設定は全2回の予定で、次回は8月14日に公開予定です。Part2ではHP-UXに標準で用意されているセキュリティ強化・ロックダウンツールの「Bastille」を紹介していきます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
- Bastilleで確実なセキュリティ対策――第2回 HP-UXのセキュア設定(その2)
- より身近な64ビット時代へ――第1回 IA64とHP-UX(その1)
- HP-UX 11iv2のインストール――第1回 IA64とHP-UX(その2)
- インストール直後の環境整備――第1回 IA64とHP-UX(その3)
関連リンク
Copyright(c)2010 SOFTBANK Creative Inc. All rights reserved.