3-6. ネットワ−ク運用の履歴 (1) ネットワ−ク設定の履歴 ( 電子メ−ル、DNS、ファイアウォ−ルなど ) 1997年初夏 WWW、Gate ホストに SPARCstation 5/Solaris 2.5.1 を2台新規購入。Mailホストに既存 の SPARCstation 2/SunOS 4.1.4-JLE を利用。3台の構成で運用開始する。WWW ホストに DNSの 1次サ−バとして in.named 4.9.3 を、メ−ルリレ−として sendmail 8.8.5-BIND を稼働させる。Mail ホストでメ−ルサ−バとして sendmail 8.8.5-HOSTS、popper 1.831 を稼働。WWW、Mail とも万能 sendmail.cf を使用する。Gate ホストはファイアウォ−ル の FireWall-1 Ver.2.0 50ノ−ドを設置する。 > 3-2. ネットワ−クの詳細設定 ( xbase2.txt ) 1998年夏 JPCERT/CC から98年初め、sendmail と DNS についてのセキュリティホ−ルのアナウン スがあった。それまでも時たま、セキュリティホ−ルが見つかった旨の知らせがあったが 今回のは対策要のクリティカルだと判断した。WWW ホストの sendmail を 8.9.1-BIND へ、 BIND は 4.9.7 へアップした。bind の -l44bsd ライブラリの扱いに慎重を要した。 > 15-3. sendmail と DNS のアップデ−ト ( update.txt ) 1998年秋 WWW ホストの sendmail でSPAM対策実施。CF ツ−ルで WWW ホストの sendmail.cfを 作成してみた。案外簡単にできた。SPAMをはじくかチェックしてくれるサイトがある。 ORBS と MAPS という。sendmail.cfにこれらのサイトにあるブラックリストを見るように 設定できる。ORBS は敏感過ぎる。MAPS の方さえ大丈夫ならSPAMは問題ないと判断し た。ともかく踏台にされないように設定する。外部から内部へのメ−ル、即ち nix.co.jj ドメイン宛のメ−ルは通し、外部から外部へのメ−ルは拒否するようにする。 > 15-4. CF ツ−ルとSPAM対策 ( mail_cf.txt ) 1999年夏 2000年問題への対応。Sun の対応状況を見ながら、そろそろいいだろうということで CTCに作業を依頼した。Solaris は 2.5.1 から一挙に Solaris 7 に上げるやり方もあ ったが、安定性と実績を重視して Solaris 2.6 に上げることにした。 OSバ−ジョンア ップの前に Fire と WWW ホストはディスクを初期化した。 SunOS 4.1.4-JLE はパッチを あてただけですぐ済んだ。FireWall-1 Ver.3.0b+パッチをインスト−ル。 > 3-7. 2000年対応までの運用 ( xbase7.txt ) 1999年夏 SPAM対策の sendmail.cf。Solaris 2.6 でも 2.5.1 の sendmail.cf はそのまま使え た。SPAMをはじいているかの確認は、この時は筑波のチェックサイトを使った。しか し `02/05 頃 "10-6. Apollo はまだまだ現役"でサ−バの設定していた。筑波のサイトの 反応がない。JPCERT や IPA の所もない。qmail のサイト見ていたら http://www.kyoto. wide.ad.jp/mta/relaycheck.html がやっていることが分かった。 早速テストしたらちゃ んと reject した。大学サイトのチェック機関のため信頼できると思う。 > 15-3. sendmail と DNS のアップデ−ト ( update.txt ) 2000年梅雨 Mail ホスト Qpopper への変更の検討をする。POP3 サ−バの代わりとなる IMAP4 サ−バ の検討もしてみたが、変更はあまり得策でないと判断する。IMAP4 ではメ−ルサ−バにメ −ルを残しておくのが最大の特徴となっている。社内のメ−ルサ−バでこれやられると非 常に困る、どんどん溜まってしまう。メ−ルはすぐにサ−バから取り出してもらうのが本 書では前提である。メ−ルを残すのは自分のパソコンでやってもらう。 > 15-2. POP サ−バの仕組みと設定 ( mail_pop.txt ) 2000年夏 sendmail より qmail の方が安全ということだ。しかも速い、大量のメ−ルをさばくこと ができるという。移行の検討をしてみたが、結果特に変えんでもいいかと思った。メ−ル ゲ−トウェイの sendmail を変えればSPAM対策がより確実になるかも知れないが。メ −ルサ−バの sendmail を変えるのは大変なだけである。POP3 サ−バも qmail-pop3d に せないけない。POP ユ−ザ全員のホ−ムディレクトリを作るはめにもなりかねない。 > 15-5. sendmail から qmail へ ( qmail.txt ) 2000年暮れ FireWall-1 のライセンス数をあげること、インタ−ネット接続口を DMZ 構成にすること。 これまでの50ライセンスを FireWall-1 Ver.4.1 VPN & 250 licence にする。ついでだ から暗号化対応にもこの際した。そしてマシンはVPNにしてもパフォ−マンスが確保で きるように Sun Ultra 10 Model 440 を新設する。ディスク 9.1 GB、メモリ 256 MB。メ モリもディスクも安くなったものだ。OSは標準で Solaris 2.7 が入るが、 安定稼働を 重視して Solaris 2.6 を入れてもらう。UPSも Fire 用に設置してみた。 > 4-1. 本格IT時代ヘの対応 ( ybase1.txt ) 2001年初春 ウィルスチェックのソフト導入する、InterScan VirusWall 250 licence。 当初ファイア ウォ−ルのホストに入れて HTTP パケットとメ−ルをチェックするつもりだった。しかし FireWall-1 と連携がうまくできないことが後で判明したので、Mail ホストに入れること にした。Mail ホストはこれまでの Fire ホストを用いた。 SPARCstation 5/Solaris 2.6、 メモリは増設して 128 Mbyte。ディスクは 2 Gbyte、初期化してさらきにした。POP3プロ グラムは popper から Qpopper 3.0.2 に変更した。 > 14-7. そしてウィルスチェック ( mail_vrs.txt ) 2001年春 FireWall-1 の50から250ライセンスへのアップ。自分で作業してみた、簡単。 ライ センスはメ−ルの添付ファイルで来た。本当は2000年暮れの時にやれているはずだっ たが、ライセンス発行の時間がすごくかかっていたのだ。ライセンスはいきなりこれまで の Ver.3.0 から 4.1 に上げるというのはできなかった。 先ずは Ver.4.0 のライセンス を取得し、次にVPN+250にアップし、 そして Ver.4.1 のライセンスを申請すると いう。?だったかな。何という繁雑な手続き!。 > 11-3. FireWall-1 について ( fire2d.txt ) 2001年春 BIND 4 系列の named や BIND 8 の古いのには、root権限を奪取されるというクリティカ ルなバグが見つかった。BIND 4 から BIND 8 系列へ変更する検討をした。 適当な時に最 新の BIND 8 にしたい。 これまでの DNS の制御ファイルはそう変更することなく使える もよう。BIND 8 ではゾ−ン転送の制限ができるが、特に必要とも思えない。 DNS サ−バ を利用できるクライアントを制限する機能は、利用を検討してもいいだろう。いかん、変 更するの、いまだにほかっているが。 > 13-5. BIND 8 系列での設定 ( named_v8.txt ) 2001年初夏 Fire ホストの Sun Ultra 10 ディスク壊れる。FireWall-1 の設定を確認するためマシン をリブ−トしたら、それでおかしくなった。どうも初期の時点でおかしかったみたいであ る。CTCとは通常の保守契約だったので、翌日の対応になった。なんとかディスクの生 きている部分をコピ−して、インタ−ネットの設定周りは助かったのでよかった。ともか く夕方5時前に連絡すれば、それからでも飛んで来てくれるそうな。しかし Ultra 10 の 中身は DOS/V パソコンだから、信頼性は今一つかな。NOKIA にするとか考えないかん。 2002年秋 再度SPAM対策の見直しをした。 今まで sendmail-8.9.1、sendmail.cf はWIDEの CF ツ−ルで作成したのを用いてきた。 しかし ORDB というブラックリストに登録されて、 メ−ルが当社に届かないという苦情が、だんだん内外で多くなってきた。これまでの設定 でも、実際はSPAMの踏台にはならないはずだが、メ−ルが届かないというのはまずい。 このため sendmail-8.12.5 にして、sendmail.cf も m4形式という sendmail 純正のやり 方で作成することにした。しかし relays.osirusoft.com というSPAMチェックサイト には、まだ引っかかるようだが、ここを使う MTA は少ないようなので、よしとした。 > 15-7. メ−ルサ−バの運用は大変 ( mail_xxx.txt の (1)cf による続SPAM対策 ) 2003年始め インタ−ネットサ−バなどバックアップの対策を練る。FireWall-1 と SonicWALL 両方で 使うファイアウォ−ルの予備として、NetScreen-50 を購入。 保守2年分、値引き、税抜 き価格110万円。設定は自前。 ホストの WWW, FIRE, MAIL のディスクのバックアップ を作成すること。ディスクがクラッシュした場合に、代替できるディスクを作っておきた い。dd やら ufsdump コマンドやらを使わないけない。ちょっと勉強が必要である。以前、 WWWサ−バのバックアップとして設置した Apollo、見直しすること。 CADデ−タの バックアップとか、大容量のファイルサ−バや NAS など検討していかねば。 2003年早春 突然インタ−ネットにアクセスできなくなった。どうやら自社の DNSサ−バの動きがおか しい。直ちに WWW ホストの in.named を止め、WWW ホストの /etc/resolv.confファイル と NetCache の nameservers の指定を、 プロバイダの2次ネ−ムサ−バのIPアドレス にした。その間に DNS サ−バをバ−ジョンアップして BIND-8.2.3 にした。 named.conf は新たに記述し、これまでの named.hosts ファイルなどは、 そのまま持ってきて先頭に $TTL 86400 を追加記入した。しかしそもそもおかしくなった原因は違った。DNSのル−ト キャッシュの内容が大元で変更になっていたためだった。 > 13-6. DNSの運用と特殊技術 ( dns_urio.txt の (1) 節を参照 ) 2003年4月 Fire ホストの Ultra 10 またしても不具合。知らん間にマシンが止まってしまう。 なか なかエラ−が表示されなかったので、原因が特定できなかった。ログも残っていない。ロ グに落とす間もなく、マシンが止まってしまうのだろうということ。何度か止まり、やっ とディスプレイに Uncorrectable Memory Error と出た。朝10時過ぎに担当の営業さん に電話して、サ−ビスエンジニアが12時半にやってきて、メモリを全部交換した。しか し数時間後また止まり、夕方またきて今度はマザ−ボ−ド(CPUとシステムボ−ド)を 交換した。他のパ−ツをいろいろ外さないことには、マザ−ボ−ドは外すことはできない。 小生もお手伝いして30分ぐらいで交換した。 2004年半ば メ−ルアドレスを改めて数えてみたら結構な数になっていた。InterScan VirusWall のラ イセンス数を年間保守の更新に合わせてアップしよう。250から例えば350前後にす る。349だとGランク扱いで (250*2475)+(99*4950)=618750+490050=1108800 円。既存 の250台分が更新扱い、追加の99台分が新規扱いとなる。350だとHランクになり (250*2145)+(100*4290)=536250+429000=965250円。どっちが特か、いろいろ考えてみよう。 FireWall-1 も上げよう。250の上は無制限ライセンスとなる。 アップグレ−ド費用は 約195万円。日本語マニュアルは別で8万円だと。アップグレ−ドの場合、CheckPoint 社自体がまるで値引きしないのだと。どひょ−。年間保守は約71万円になります。 2004年1月 またまた Ultra 10 調子悪い。1ヶ月か2ヶ月に一度、勝手にマシン止まってしまうこと がずっと起きていた。それが急に2日続けて1日に一回起こるようになって、これはやば いと思って保守契約の業者さんに連絡した。できるだけ勤務時間内の作業は避け、夕方5 時前からパ−ツの交換作業を始めてもらった。その間、1時間毎に落ちた。CPUとメモ リを交換して、何とか落ち着いているみたい。これ位の作業な段取りよくやれば10分で 済む。/etc/rc2.d/S20sysetup の savecore という所をコメントを外した。マシンが止ま った際 Stop+A で ok プロンプトが出たら sync と打つ。core ファイルができる。 数十 メガバイトになる時もあるとか。/var/crash/`uname -n` が core ファイル。 2005年早春 厄病神の Ultra 10、久しぶりにロッグインして画面から ping 打ったら、 ディスクがク ラッシュ。音がカタカタする、ディスクのア−ムが飛んだか。急遽、FireWall-1の予備の NetScreen に置き換えた。NetScreen を実戦配備したのは実は初めて。結果メ−ルの送信 のみできなかった、後はOKだった。初めて NetScreenのサポ−トに電話したが問題解決 にはならなかった。SI業者さんがすぐに来て、スライス単位でバックアップしてたファ イルから新しいディスクで復旧してくれた。災い転じて福となすことが。NetCache介して LinkProof を通すと google や Windows Update ヘのアクセスが変だったのが、直ってし まった。すかすか繋がるようになった、どういうこと?。いやその後またおかしくなった。 (2) ネットワ−ク構成の履歴 1994年秋 名古屋のシリコングラフィックスのオフィスで、"Internet に関する勉強会" というのが 10月の初め頃だったかあった。特別参加させてもらった。東京からシリコンの人がきて、 インタ−ネット全体の技術的な説明と、WWWサ−バの WebFORCE のデモがあった。この 時初めてインタ−ネットなるものを見た。WWWブラウザの中で人が動画で音声で説明す るのに新鮮な驚きを覚えたことを記憶している。 まだこの時点では Microsoft 社はイン タ−ネットの可能性に気付いてはいなかった。 > 著者前書き ( intro.txt ) 1995年春 東海インタ−ネット(株)の前身、東海インタ−ネットワ−ク協議会のダイアルアップIP 接続を開始する。INDY で Mosaic、最初 PPP の設定にてこずった。 シリコンとTISの 人からも、東海インタ−ネットどうと勧められた。それに先立ち、協議会主催のフォ−ラ ムが1月27日、ヤマハ名古屋支店7Fホ−ルであった。東京から雑誌インタ−ネットマ ガジン、WIRED の人が、名古屋の大学の先生らも壇上に上がってのパネルディスカッショ ンだった。会場はかなりの熱気に溢れていた。INDY は小生の常のマシンIRIX 5.3 である。 > [付録] d. ともかくダイアルアップ ( dialup.txt ) 1997年秋から 社内用WWWサ−バ設置。 暫定的に PPP 接続でも使った INDY に CERN を入れて運用を 開始する。それがずっと利用されることになる。 その後 HTTP の Proxy としても利用す る。ある時、これからは Apache がいいよとIBMの人が教えてくれて変更する。それか ら二年経って、Apache に全文検索機能を追加した。Namazu というフリ−ソフトを入れた。 それでまでも全文検索のソフトは freeWAIS とか検討はしたが、設定がややこしく途中で やめたことがあった。しかし全文検索は、WWWにそれなり情報が入ってないと、あまり 使われないみたいである。 > 12-1.CERN httpd サ−バ (cern.txt), 3-3.社内WWWサ−バと全文検索 (xbase3.txt) 2000年秋 JPNIC 届け出。個人情報変更と会社名変更の手続きを行う。個人情報の方は管理者のメ− ルアドレスを変えること。ずっとダイアルアップIP接続でのメ−ルアドレスが登録され たままになっていた。それを専用線接続してのメ−ルアドレスに変える。これは JPNICへ のメ−ル1本で簡単に済んだ。しかし、会社名の変更は非常に手間どった。会社の登記簿 と印鑑証明を用意し、プロバイダ経由で JPNIC に申請するのだ。 申請書類のドメイン名 が大文字はいかんとか、いいとかすったもんだやった。 > 2-2. インタ−ネットに接続する ( internet.txt ) 2001年春 JPNIC から汎用JPドメイン名優先登録の案内が来た。 kigyou.co.jp というドメイン名 を取っていたとすると、 その会社には kigyou.jp というドメイン名を取る優先権がある ので、どうですかという話である。www.kigyou.co.jp アクセスが www.kigyou.jp でもい いということになるのだから、それはひとつ取っておかないかん。優先登録の期間が過ぎ ると、どなたさんでも申請できてしまう。もう一つ汎用JPドメイン名には、日本語ドメ イン取得というのもある。 例えば 日の丸.jp というのを受け付けるという話である。し かし、日本語ドメインの実際に有効になる時期はまだ決まってない。 > 6-3. ドメイン名認識の仕組み ( domain.txt ) 2001年梅雨 フリ−ソフトの MRTG でトラフィック計測開始。専用線接続 128 Kbps から 1.5 Mbps へ アップのための資料を作るため。 Fire ホストで SNMP デ−モンが稼働しているのを確認。 Fire ホストの外への出口でトラフィックを計る。MRTG は内部ネットのマシン、小生が常 に使っている INDY にインスト−ルした。結果 MRTG のグラフは、もうほとんど128 Kbps 一杯になっていることが多いと分かった。上司を説得するためには、客観的なデ−タがど うしても必要である。なんとなく一杯、なんとなく遅いでは誰も認めない。 2001年秋 専用 Proxy サ−バを設置する。これまでは小生の INDY で Apache を Proxy にしていた が、いつまでもそういうことではいけない。候補として住商エレクトロニクスなどが推奨 する CacheFlow と、CTCなどが推奨する NetCache があった。 値段も機能も似たよう なものである。とりあえず NetCache を選んでみた。できればWWWブラウザで Proxyの 設定をしなくても済む透過モ−ドをやりたかったが、Proxy 装置だけではできなかった。 > 4-1. 本格IT時代ヘの対応 ( ybase1.txt ) 2001年秋 そしてこれからの課題。インタ−ネット接続回線の二重化と容量アップ、これまでの 128 Kbps は残し IIJ で 1.5 Mbps を引く。営業所との接続、CWC の広域LANがいいと思う。 メ−ルサ−バの二重化、顧客用メ−リングリストの設定、外出先からでもメ−ルが見れる ようにWebメ−ルも設置したい。WWWサ−バの暗号化、VeriSignのデジタルIDを取 る。生体認証の検討。アウトソ−シングの検討も、なかなかコストと折り合いがつかない。 2002年初め NetCache をとりあえず、ほとんどデフォルトのまま設置したものの、 どうもキャッシュ の働きがおかしいため、利用がなかなか広まらなかった。出た問題の一つは、パソコン用 のウィルスパタ−ンを、最新のを取ってこないというもの。パタ−ンは平常1週間に一度 ぐらい、緊急であれば3日に一つぐらい新しいのができる。NetCacheのデフォルトのまま だと、取りこぼすことがあると英文のマニュアルを読んで分かった。キャッシュの仕組み に関するところの英文は全部読み、その上で設定し直した。Squid の設定と同じく、HTTP パケットについて [ ^http:// 0 20% 4320 ] と設定した。 2002年梅雨 SGI より 2002/06 通知、INDY と Indigo の保守、2003/06 末で終了するとのこと。まだ 社内に一杯 INDY が動いているバイ。 FireWall-1 Ver.4.1 のサポ−トも 2003/06/30 で 打ち切り。ただしCTCは当分サポ−ト続ける。FireWall-1 NextGeneration へアップグ レ−ドする案内のメ−ル、2002/06/06 に来る。マシンは Solaris 8 を使うのがお勧めと か。こりゃ新しくマシンも買わないかんぞ。トレンドマイクロより 2002/10/01 から新ラ イセンス体系に移行するとこのこと。安くなるということだが、Solaris 版の InterScan VirusWall 250 は、新ライセンスでの更新価格は 618,750円。これまでのだと49万円で、 旧の方が安い。既存ユ−ザは1年間だけは旧ライセンスでいいのだと。 2002年秋頃 いろいろ予定したい。FireWall-1 と SonicWALL ファイアウォ−ル、両方で使える予備と して NetScreen-10 を1台購入したい、79.8 万円。NetScreen-100 だと 198 万円になる から 10 のタイプでいい。もう一つ、個人用デジタルIDを自前で発行し、やりたい人か ら S/MIME 暗号メ−ルを使えるようにしていきたい。社内だけで使うことを前提にすれば、 自前発行でも問題ないと思う。一応 Netscape 用にデジタルIDを発行する。この際だか ら Microsoft の IE と Outlook はセキュリティ上の問題から使わないよう勧めていきた い。ともかく来たるべく電子政府社会に対応して行くため、慣らし運転を始めなければ。 2002年末まで その他もろもろ、本書でやってきたこと。隣接工場とのネットワ−ク接続、10 Mbps 無線 LANを設置、距離約500メ−トル。基幹ネットワ−ク装置としてレイヤ3スイッチの Summit 24 を2台設置、1台は予備として置いておくのみ。冗長構成はとらなかった。ネ ットワ−クの規模からして、かえって管理を複雑化するだけと判断したため。全社共有フ ァイルサ−バにディスクのミラ−ができる Coblat Qube3J を設置した。Apollo をWWW サ−バのバックアップとして設定、設置した。ホスト系ネットワ−ク(事務系)相互接続の ため、接続ポイントに簡易ファイアウォ−ル SonicWALL を設置した。 2003年8月 WWW と Mail ホストの SPARCstation 5 2台。CTCのサポ−トが来年3月で終了と案内 が来た。これまで約7年、特にトラブルもなく稼働してきた。先ずはご苦労様と言いたい。 さて、それでどうするか。サポ−トが切れてもしばらくはそのままで運用し、故障などト ラブル発生時にはスポット保守をお願いするか。WWW ホストは会社で自作しているパソコ ン Linux でもいいかと思うが、やはり安定性と信頼性を考えれば、 EWSとしての Sun のマシンにしたい。Mailホストはウィルスチェック・ソフトも入っている。ここには、で きればアプライアンス製品を持ってきたい。なんぞ適当な製品はないか。メ−ルサ−バに POP サ−バにウィルスチェックをしてくれるというものである。 2005年早春 とうとう SSL-VPN 装置と侵入防御装置を買った。SSL-VPN装置は住商エレクトロニクスが 扱う SureWare A-Gate AG-60、侵入防御装置はラドウェアの DefensePro。AG-60を詳しく、 設置費用含み値引き後価格で約200万円+税。次年度以降の保守料金は約年33万円+ 税。日本語のちゃんとしたマニュアルも別に用意してあった。買う前に1週間借りてテス トしてみた。この日本語マニュアルだけでとりあえず設定できた。RS-232C ケ−ブル同梱。 ファンの音はいう程しなかった。設定は、案ずるより産むがやすしで、意外と簡単だった。 多くのメ−カから SSL-VPN装置が発売されていて、それぞれ微妙に機能が違っていてよく 分からない。SSL-VPN 装置は A-Gate でいいんじゃないという感じである。(ybase5.txt) 2005年春 侵入防御装置の DefensePro を設置した。パソコンが外でウィルスなどに感染し社内に持 ち込まれても、ウィルスが最低限社外に拡散しないように対策をする。パソコンが外で感 染し、社内に持ち込むまで1日やそこらのタイムラグがある。その間に侵入防御装置はそ のウィルスの防御検知対策が十分とれているはずである。 DefensePro では6時間以内に 対策がとられることになっている。要は人間のお約束のしばりで安全性を期待するのでな く、機械的に安全対策をとれるところは大いにそれを利用する。人間は完璧ではなくミス を犯す生き物であることを、先ず認めるべきである。 DefensePro の設定は、やはり勉強 して自分でやらないと細かな調整はできない。誤検知は少ない方らしいがそれでもある。 2005年夏 SSL-VPN 装置の A-Gate 入れたはいいが、どこやら買収して機能アップ?した製品を早く も出した。購入した AG-60のサポ−トは2007年9月末で終わり、今なら無償交換する という。でも新しい製品には CAPTCHA 機能なし、クライアントPC特定機能もない。AG-60 がディスク無しの FLASH ベ−スだったのが、AG-60 に対応する新製品 SGA-50はディスク 付き。TCP/UDP アプリケ−ション機能の扱いが、AG-60 では専用ソフトウェアだったのが ActiveX ベ−スと TUNNEL 機能による PPP over SSL という。認証はクライアント電子証 明書とト−クンとワンタイムパスワ−ドなどで確保されたしとのこと。交換しないことに 決めた。AG-60 はディスクは無いので、保守が切れても結構丈夫に動くのでないか。 (3) メ−ルサ−バ運用の履歴 * 1997年初夏 メ−ルゲ−トウェイ(メ−ルリレ−ともいう) -------- ------- DNS in.named 4.9.3 |Router| |hostA| sendmail 8.8.5-BIND -------- ------- 万能sendmail.cf | | -------*--------*----------------------------- nix.co.jj | メ−ルサ−バ(メ−ルストアともいう) FireWall-1 2.0 ------- ------- sendmail 8.8.5-HOSTS |hostG| |hostB| 万能sendmail.cf hostC □ ------- ------- popper 1.831 | | | ----------------*-----------*----------------- hostB ホストは以前購入した SPARCstation 2/SunOS 4.1.4-JLE を利用。hostA と hostG ホストは SPARCstation 5/Solaris 2.5.1( 64 Mbyte Memory, 2 Gbyte Disk )を2台新規 購入した。sendmail.cf は自作したもので、万能 sendmail.cf と呼ぶことにした。 メ− ルの社内利用者は、同じフロアの一部の人から広めて行った。hostC はEWSの INDY で、 普段小生が使用しているマシンで、一応管理者用ということである。hostCでは sendmail を万能sendmail.cf で動かし、リアルタイムでメ−ルを受信できるようにしている。 * 1998年夏から秋 -------- ------- DNS in.named 4.9.7 |Router| |hostA| sendmail 8.9.1-BIND -------- ------- WIDE CFツ−ル sendmail.cf | | -------*--------*-----------*----------------- | ------- ------- hostC |hostG| |hostB| □ ------- ------- | | | ----------------*-----------*----------------- JPCERT/CC から sendmail と DNS プログラムに、 危険なセキュリティホ−ルがあるとア ナウンスがあった。このため sendmail と in.named を最新バ−ジョンに上げることにし た。またSPAMメ−ルがとかく言われるようになってきたので、hostA メ−ルリレ−の sendmail.cf をWIDE開発の CF ツ−ルでSPAM対策したものにした。 * 2000年中 メ−ルストアの popper から Qpopper への変更の検討をした。POP3 サ−バの代わりとな る IMAP4 サ−バも検討してみた。IMAP4 方式ではメ−ルをサ−バ側においておく。 これ は、メ−ルサ−バの運用上面白くない。よい子では、メ−ルは各自が管理することを基本 とすることにしたい。このため IMAP4 サ−バは用いないことにした。sendmail も、安全 速いという qmail にした方がいいのか検討してみた。 メ−ルストアの MTA を qmail に すると、全ユ−ザのホ−ムディレクトリを作らなければならないことが分かった。各自が forward によるメ−ル転送をできるようにするには、 sendmail でも全ユ−ザのホ−ムデ ィレクトリを作らなければならないが。そうでなければ sendmail ではホ−ムディレクト リは必要ない。それ以上のメリットを qmail に見い出すことはできなかった。 * 2000暮れから2001年中 -------- ………… 仮想IP 外部から来るメ−ルはhostA'がメ− |Router| |hostA'| アドレス ルリレ−で受ける。メ−ルリレ−は -------- ………… はDMZ上にあるとして設定する。 .1 | .3 | 202.241.128.0 -------*--------*---------*--------- メ−ルストアからメ−ルリレ−ヘは | ------- 静的配送で hosA'宛にメ−ルを送る。 ファイアウォ−ル .2| |hostA| Mail-Relay ではhostA'宛のパ ------- ------- in.named 4.9.7 DNS1次 ケットを静的経路 |hostG|.2 |.1 sendmail 8.9.1-named + SPAM対策 とプロキシARP に | |------*---- 192.168.2.0 よりhostA へ送る ------- ------- sendmail 8.8.5-hosts .2| |hostB| Mail-Store Qpopper 3.0.2 hostC □ | ------- InterScan VirusWall | | |.1 ----------------*---------*--------- 192.168.1.0 Solaris 2.5.1 を 2.6 にアップする。 hostG 用に Sun Ultra 10 Model 440 を購入する、 Solaris 2.6, ディスク9.1 GB, メモリ 256 MB。hostB の SunOS 4.1.4-JLE は、 これま で hostG で使用してきたマシンに変更する。 さらに DMZ 構成にし、FireWall-1 のノ− ド数も、今後見込まれる社内ユ−ザ数を考慮しアップした。メ−ルのウィルスはこれまで にもたまに来ていた。メ−ルストアにウィルスチェック・ソフトを入れて半年経ったぐら いからワ−と来るようになった。まさにグッド・タイミングでチェック・ソフトを導入し た。メ−ルの利便性アップに、営業マンが外出していてもメ−ルを見ることができるよう に、希望者には携帯電話にもメ−ルを転送するようにした。 メ−ルストアの hostB の各 自のホ−ムディレクトリの ~/.forward ファイルで転送の設定をした。しかし、これで設 定すると無条件に、でかいメ−ルも携帯電話に送ってしまうのが難点である。 hostG(Fire): Solaris 2.6。Sun Ultra 10 Model 440、ディスプレイはこれまでメ−ルサ −バで使ってきた SPARCstation 2 のを、 変換ケ−ブル 530-2917,13W3 to VGA Adapter をかまして使う。FireWall-1 Version 4.1 VPN & 250 licence。 hostB(Mail): Solaris 2.6。SPARCstation 5。メモリ 64 Mbyte に 32 Mbyte メモリ2個 増設し 128 Mbyte。ディスク 2 Gbyte のまま。これまで Fire として使っていたマシン を使う。InterScan VirusWall 250 licence 導入。 hostA(WWW) : Solaris 2.6。SPARCstation 5。メモリ 64 Mbyte、ディスクは 2 Gbyte が 内臓。Netscape Enterprise Server 3.5.1[ja]。サ−ドパ−ティ製外付けディスクも増設、 フォ−マット済みで /etc/vfstab をいじってOK。 * 2002年末 -------- ………… ………… Webメ−ル( Cobalt Qube3J ) |Router| |hostA'| |hostM'| -------- ………… ………… | | .3 | .4 [ hostA の設定 ] ---------------*---------*------------*------ | ------- ------- in.named 4.9.7 DNS1次 | |hostA| |hostM| sendmail 8.12.5-BIND ------- ------- ------- cf 作成 sendmail.cf SPAM対策 |hostG| |.1 |.4 | |------*------------*------ 192.168.2.0 ------- ------- INDY 管理者用 | |hostB| sendmail 8.8.5-HOSTS、万能sendmail.cf hostC □ | ------- qpopper 3.0.2、InterScan VirusWall |.3 | |.1 ---------------*---------*------------------- 192.168.1.0 hostA,G,B は Solaris 2.6。hostM は Cobalt Qube3J でWebメ−ル用に設置。 Web メ−ルはメ−ルストアで hostM にメ−ルを転送することで、 外出先からWWWでメ−ル を見ることができる。sendmail.cf をWIDEのから cf 作成のに変更した。これでORDB SPAMブラックリストに引っかからないようにした。残された課題は?。メ−ルの確実 な配送のため、メ−ルリレ−の DNS の MXレコ−ドによるセカンダリをどこか引き受けて くれるところを探したい。案外サ−ビスしているプロバイダなどは無いものである。もう 一つ考えていること、メ−ルリレ−とメ−ルストアの予備を設置したい。クラスタリング を検討したが、非常に高物につきちょっと無理だった。 sendmail を商用版に変えた方が いいのか、この検討も特に商用版にするメリットは見い出せなかった。 一つ確認しておきたい。内部から外部への SMTP と POP3 アクセスはできないようにする。 特別そのような設定をしなくても、既に FireWall-1 の設定はそうなっているはずである。 一応、管理者の意識として頭に入れておいた方がいいということで。つまり、個人が自分 で契約して入っているプロバイダのメ−ルサ−バに、内部ネットからアクセスできないよ うにするのである。これはウィルスを不用意に内部ネットに持ち込まないようにするため の措置である。個人のそのようなメ−ルは、必要とあればプロバイダのメ−ル転送サ−ビ スで勤務先にメ−ル転送すればいい。これで内外を行き来するメ−ルは、一括してウィル スチェックできる。しかし新たなウィルス感染経路が。無料のWebメ−ルである。HTTP アクセスのため、現在設定での InterScanでは検出できないのである。社内からは無料の Webメ−ルは使わないよう勧告すべきである。特段ビジネスに必須というものではない。 * 2003年から Webメ−ル用に設置した Cobalt Qube3J は、RAID 1 対応の Cobalt の中でも高級タイ プで定価46万円の代物だった。Webメ−ルだけに使うのはもったいない気がする。し かしWebメ−ルとしての機能はおまけ程度のもの、しかも遅い。 Webメ−ルが Perl で記述されているため?、ともかくかなり反応が鈍いのだ。やはり、ここはちゃんとした 製品のソフトを使いたい。hostA の Solaris 2.6 で動くWebメ−ルのソフトはいかに。 Active! mail か CatchMe@MAIL ていうところか。しかし hostA でWebメ−ルのサ−バ を稼働させることができるのか。外からのメ−ルでは、hostA から hostBへメ−ルを中継 して、hostB でまた一部のユ−ザのメ−ルを hostA に転送する。 メ−ルが堂々巡りにな ってしまうぞ。いや CatchMe@MAIL なら転送でなく POP3 で取りに行く、メ−ルを出すの は SMTP だが。これなら設置できるかも知れない。 * 2003年3月 sendmail にクリティカルなセキュリティホ−ルが久しぶりに見つかった。 フリ−ソフト、 商用とも、商用は Windows NT 用も同様である。米 Internet Security Systems(ISS) の X-Force セキュリティ情報研究チ−ムが発見、2003/03/03 に発表した。 まだ被害は出て ない。メ−ルのヘッダ−部を使った穴だという。最悪の場合 root 権限で侵入される。メ −ルリレ−、メ−ルストア両方とも穴になる。いつまでたっても sendmail は安全になら ない。qmail に変えるべきか。これは対処しておいた方がいいだろう。 sendmail 8.12.8 に上げるかパッチを当てる。ただし、パッチは sendmail 8.9.x 以上用しかない。とりあ えずメ−ルリレ− sendmail 8.12.5-BIND にはパッチを当てることにする。メ−ルストア は sendmail 8.8.5-HOSTS のため即、対処できない、しばらく様子を見ることにする。 * 2007年4月 迷惑メ−ルがどんどん増えてきて、2006年12月頃からこりゃ何とかせないかんと思 い始めた。現在の Mail-Relay と Mail-Store でどれだけのことができるか。Mail-Store の InterScan eManager でキ−ワ−ドによるフィルタリングは、マシンの性能を見ながら とりあえず実施。Mail-Relay で Greylisting をやるのは前から知ってはいた。改めて調 べて行く内、Greet Pause というのがあるのを知った。Greylisting より副作用がなくて よさそうである。それでこの数ヶ月取り組んでいる。しかし検討すればする程、単に MTA に一機能を加えるという単純な話ではなくなってきた。メ−ルの様子を詳細に見たら、外 へ迷惑メ−ルをかなり発信していることが分かってきた。DefenseProがウィルスを検知し たかなんかで止め、そのログで分かったのだ。大きな検討、見直しになってきた。 (4) ネット実際の運用いろいろ `21/04 * ファイアウォ−ル・ホストでのトラフィックの計測 `21/06 そろそろ回線が一杯になっていないか。 128 Kbps を太くするタイミングを計らなければ ならない。本当は Router の出口でトラフィックを計測するのが望ましいが、とりあえず ファイアウォ−ル・ホストの外側出口、hostG の hme0 で計ってみることにする。計測ツ −ルは、"8-1. ネットワ−クの監視,(4) MRTG でトラフィックを計る" で試した MRTG で ある。MRTG はネットワ−ク管理者用のホスト、hostC INDY IRIX 5.3、192.168.1.3 に設 定する。MRTG のタ−ゲットは public@192.168.1.2、Solaris 2.6 マシン。このマシンで は稼働設定したつもりはないのだが、SNMP デ−モンが稼働していた。MRTG はなかなか賢 く、public@192.168.1.2 をタ−ゲットにしだけで、 他のインタ−フェ−スも計測対象に 含めてくれる。 :DA128 Router □ 〇 hostA' (Yamaha RT100i)|.1 |.3 仮想IP ------------------------------------------------ 202.241.128.0 | hostA hme0|.2 □ WWW,DNS,Mail-Relay hostG ------------.2 hme2 |.1 |FireWall-1|-------------- 192.168.2.0 INDY ------------ hostC □ |.2 hostB □ Mail-Store .3| |hme1 |.1 ------------------------------------------------ 192.168.1.0 FireWall-1 のル−ルベ−スに hostC からファイアウォ−ルのホストへ SNMP のパケット を通すようル−ルを追加する。このホストは 192.168.1.2 で "Workstation Properties"、 名前は fire1、設定画面の SNMP のところは何もいじらずにおいた。許可するサ−ビスは UDP/161 の "snmp"。一応 UDP/260 の "FW1-snmp" も入れておいた、しかしこれはここで 使われることはない。多分ここでは "snmp-read", User Defined Service Properties と いうのだけ記載すればいいのでないか。 hostC は fire1 の SNMP デ−モンから情報を読 むだけである、hostG で SNMP のパラメ−タを設定したりするわけでない。 ----------------------------------------------------------------------------- | Check Point Policy Editor -- fire0 | |--------------------------------------------------------------------------|| ||No.| Source | Destination | Service | Action | Track | Install On || ||---|--------|-------------|---------------|---------|-------|------------|| || 1 | hostC | fire1 | snmp FW1-snmp | accecpt | | Gateway || *** 以下 hostC で設定 *** % cd /usr/local/source/mrtg-2.8.12/run % ./cfgmaker public@192.168.1.2 > local.cfg << MRTG の制御ファイルを作成する。 % rm data << とりあえず計測デ−タは run/data に入れる。 以前作ったのが % mkdir data あれば、ディレクトリを消して作り直す。 % ./mrtg local.cfg << この ./mrtg local.cfg は3回やること。 % cd data % netscape . & << Netscape Navigator でトラフィックを表示して見る。 local.cfg 関係する部分のみの表示です ---------------------------------------------------- |WorkDir:/usr/local/source/mrtg-2.8.12/run/data # hostname hostG で実行 |#################################################### fire0 |# Description: Sun SNMP Agent, Ultra-5_10 # cat /etc/hostname.hme0 |# System Name: fire0 fire0 | |Target[hostG.nix.co.jj]: 2:public@192.168.1.2 hostA の /etc/named.hosts |Title[hostG.nix.co.jj]: fire0 (hostG.nix.co.jj): hme0 ------------------------- | .. hostG.nix.co.jj (202.241.128.2) .. |$ORIGIN nix.co.jj. | .. Max Speed: 1250.0 kBytes/s (ethernetCsmacd) .. |hostG IN A 202.241.128.2 | |#-------------------------------------- |Target[fire1]: 3:public@192.168.1.2 hostC /etc/hosts |Title[fire1]: fire0 (fire1): hme1 ------------------ | .. fire1 (192.168.1.2) .. |192.168.1.2 fire1 | |# 192.168.2.2 は記述なし |#-------------------------------------- |Target[192.168.1.2.4]: 4:public@192.168.1.2 |Title[192.168.1.2.4]: fire0 (No hostname defined for IP address): hme2 | .. No hostname defined for IP address (192.168.2.2) .. [ FireWall-1 独自の SNMP ] # /etc/fw/bin/cpconfig Welcome to Check Point Configuration Program Configuration Options: FireWall-1 の SNMP の識別名は/etc/fw/conf/snmp.C (1) Licenses に書かれている。デフォルトは public となっている。 (2) Administrators "(6) SNMP Extension" は、 標準の SNMP パケットが (3) GUI clients UDP/161 のところ、UDP/260 でも SNMP サ−ビスしま (4) Remote Modules すということである。UDP/260 では FireWall-1 が独 (5) SMTP Server 自に定めた MIB 情報を取ることができる。 しかしこ (6) SNMP Extension こではトラフィック情報を取りたいだけなので、標準 (7) Groups の UDP/161 サ−ビスが稼働していれば、 それでいい。 (8) IP Forwarding なぜか、このマシンでは SNMP デ−モンが最初から稼 (9) Default Filter 働していた。稼働の設定した覚えはないのだが。結局 (10) Enable High Availability cpconfig は何もいじる必要はなかった。 (11) Exit Enter your choice (1-11) :6 Configuring SNMP Extension... The SNMP daemon enables VPN-1 & FireWall-1 module to export its status to external network management tools. Would you like to activate VPN-1 & FireWall-1 SNMP daemon ? (y/n) [n] ? y またメニュ−が出て Enter your choice (1-11) :11 You have changed VPN-1 & FireWall-1 Configuration. Would you like to restart VPN-1 & FireWall-1 now so your changes can take into action? (y/n) [y] ? y Unloading FireWall-1... FireWall-1: Starting fwd FireWall-1: Starting snmpd snmpd: Opening port(s): Port 161 Cannot bind: Address already in use Port 260 binded successfully SNMPD: server running FireWall-1: Starting fwm (Remote Management Server) FireWall-1: Fetching Security Policy from localhost Trying to fetch Security Policy from localhost: Installing Security Policy Standard on all.all@fire Using external interface 'hme0' Fetching Security Policy from localhost succeeded FireWall-1: Starting cpmad (Malicious Activity Detection) FireWall-1 started この2つデフォルトで稼働していた。何故稼働しているのか?。関 連スクリプトは /etc/rc2.d/K76snmpdx, K77dmi しかないようだが。 # ps -ef | grep snmp ↓ root 357 1 0 May 25 ? .. /usr/lib/snmp/snmpdx -y -c /etc/snmp/conf root 367 1 0 May 25 ? .. /usr/lib/dmi/snmpXdmid -s fire root 28136 1 0 18:01:50 ? .. /etc/fw/bin/snmpd ↑ cpconfig で FireWall-1 が稼働させた SNMP デ−モン。UDP/260番。 * マルチホ−ミングするまでの暫定ネットワ−ク `24/05 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット \_TCP____________________IIJ_/ : : :DA128 WWW,DNS,Mail-Relay ADSL: Router □ 〇 hostA' □ Yamaha RTX1000 .1| ←― d |.3 仮想IP d ―→ |.25 --------------\------------------ ---/------------ 192.168.50.24/29 202.241.128.0 \ |.2 □ hostA / |.26 NAT------------.2 |.1 -----------NAT |FireWall-1|--------- |NetScreen| mrtg hostC Mail-Store □ ------------ ----------- □ INDY 管理者用 .1| d ―→ |.2 d ―――→ |.8 |.3 ==================================/=========================== 192.168.1.0 .9‖ / d △ ---------- ---------- .9 ← .10----------- | |NetCache|=======|Summit24|==========|SonicWALL|----------- ホスト系 ----------.5 →.9| | ----------- d | |--------- 一般のパソコンのブラウザのプロキ ---------- | シは、NetCache の 192.168.1.5 に △ 設定している。DNS のIPアドレス も 192.168.1.5 を指定している。 Summit24 での静的経路の設定は 202.241.128.0 へ、 これで NetCache からの DNS の問 い合わせに hostA' の DNS サ−バが、FireWall-1 経由で答えられるようにする。内部ネ ットワ−クのホストからの自社WWWサ−バへのアクセスも、 これまで通り FireWall-1 経由。外とのメ−ルのやりとりも同様である。このネットワ−クの要はレイヤ3スイッチ の Summit24 とキャッシュサ−バの NetCache である。一般のクライアントのパソコンの 経路制御、それに DNS は全部 Summit24 と NetCache により集中して制御される。 この 後 LinkProof を入れてマルチホ−ミングにすると、 パケットは全部 FireWall-1 の方を 通すことになる。 この場合でも Summit24 のデフォルト経路を 192.168.1.2 に変えるだ けである。社内のユ−ザさんには何ら迷惑をかけることもない、パソコンの設定は変える ことはない。ユ−ザは知らないまま、高速で安定したネットワ−クを享受する訳である。 [ NetScreen の SNMP 設定 ] これまで FireWall-1 でのトラフィックを INDY の mrtg デ−モンでとっていた。ADSLラ インを追加したことで、今後は NetScreen でのパケットの出入りを計測したい。MRTG ソ フトを多分バ−ジョンアップすれば、複数の場所を計測できるみたいだが、めんどうであ る。これまでの mrtg のデ−タは INDY の /usr/local/source/mrtg-2.8.12/run/data デ ィレクトリにある。これを % cp -r data data.old ぐらいでコピ−して、data 内のファ イルを消去する。ついでに local.cfg と local.ok も、後のためコピ−しておく。 次に NetScreen での設定をする。NetScreen のバ−ジョンは3、デフォルトでは SNMP エ−ジ ェントは動いてない。 [System]->[Admin]->[SNMP] の {New Community} をクリックして 次のように設定したらできた。 Community Name: ns50 << 適当にコミュニティ名を付ける。 Permissions : 〆Write 〆Trap Hosts : 192.168.1.3 << mrtg が動いている INDY。 indy% cd /usr/local/source/mrtg-2.8.12/run indy% ./cfgmaker ns50@192.168.1.8 > local.cfg << 3回コマンドを叩く。 local.ok ----------------------------------------------- |1:ns50@192.168.1.8 = NetScreen-50 (Trusted) |2:ns50@192.168.1.8 = NetScreen-50 (Untrusted) できた local.cfg ファイルには、Trusted Untrusted 側とも Max Speed 12.5 MBytes/s (ethernetCsmacd) と出ていた。100 Mbps ということである。トラフィックは朝方、ウィ ルスのパタ−ンファイルをダウンロ−ドするのに、瞬間的に 1 Mbps ぐらいになっている ものの、他の時間はまるですきすき。日中でもざくっと平均して 200 Kbps ぐらいである。 (5) 各サ−バのログなどの消去 `21/02 * FireWall-1 のワ−ニングのログ Version 4.0 での時のログである。 FireWall-1 のマシンでは sendmail は稼働させてい ない。にもかかわらず root 宛に FireWall-1 からメ−ルが出ていた。 root でロッグイ ンして # mail と打つと、どんどんメッセ−ジが出て来る。 mail コマンドで消去したら 切りがないので # rm /var/mail/root で消してしまおう。 確認したが、メ−ルはロ−カ ルなマシンのユ−ザには sendmail が動いてなくても出すことができた。# mail root で root ユ−ザ宛にメ−ルを出すことができた。マシンは Solaris 2.6 である。どうも内部 ネットのマシンの数が多い旨のワ−ニングが出ていたようである。FireWall-1のライセン ス数を上げる潮時というべきか。 # cd /var/mail # ls -l drwxrwxr-x 2 root mail 512 8月 31日 18:04 :saved -rw-rw---- 1 root mail 10331520 12月 8日 16:14 root << 10 Mbyte # mail 溜まったメ−ルの容量が多すぎる旨のエラ−メ−ルが出ていた。 mail: Too many letters, overflowing letters concatenated * FireWall-1 Version 4.1 のログ ル−ルベ−スで drop したアクセスなんかのログを取るようにしていると、どんどんログ ファイルである /etc/fw/log/fw.log が大きくなる。定期的にログをセ−ブするなりした ら、消して行くようにした方がいい。[Window]->[Log Viewer]でログ管理管理画面を出し て、[File]->[Save As] で適当な名前をいれる。例えば katou と入れれば /etc/fw/log/ に katou.log と katou.logptr という2つのファイルができる。 画面に出ているログを 消すには、[File]->[Purge] とする。 これで /etc/fw/log/fw.log, fw.logptr ファイル が初期化される。他にもログらしきファイルがいつの間にかたくさんできていた。ログ管 理管理画面の [File]->[Open] で見ると、*.alog と *.log ファイルがリストされた。多 分これらのファイルは消去してもよさそうである。 # ls -al /etc/fw/log << /var/opt/CPfw1-41/log からリンクされている。 total 2840 << # du で出て来る数字と同じ。 drwxrws--- .. 4608 Jun 13 15:17 . | -rw-rw-rw- .. 268880 Jun 13 14:13 cpmgmt.aud << これは何かな。 -rw-rw-rw- .. 0 Mar 2 15:59 ela_03022001_065942.alog \ -rw-rw-rw- .. 4096 Mar 2 15:59 ela_03022001_065942.alogptr |一杯ファイル | |ができていた。 -rw-rw-r-- .. 0 Dec 8 2000 ela_12082000_050807.alog | -rw-rw-r-- .. 4096 Dec 8 2000 ela_12082000_050807.alogptr/ | -rw-rw-r-- .. 278300 Jun 13 14:36 fw.log << 278 Kbyte。ほかっておくと -rw-rw-r-- .. 23840 Jun 13 14:36 fw.logptr どんどん大きくなる。 -rw-rw-r-- .. 20 Jun 7 16:42 manage.lock << 管理画面のロックファイル。 他のログ fw.alog fw.alogptr fw.logtrack fw.vlog fw.vlogptr fwd.elg fwm.elg mdq.elg netsod.elg polsrvd.elg resolver_list1.prt 参考:「テクインフォ」2005/01, VOL.53, FireWall-1 のログについて記載あり。 * InterScan VirusWall のログ # ls -F /opt ISCAN-LOG/ ISCAN-VIRUS/ SUNWits/ trend/ ISCAN-SERVICE-LOG/ ISCAN-VIRUS-LOG/ lost+found/ # ls ISCAN-VIRUS-LOG 画面でログを消去するとここのファイルが消えた。変なファ .2001.02.09 virus.log イル。# cat virus.log をやるとオ−プンできませんと出る。 メ−ルが来てウィルスチェックをすると、どんどんできる。適当に古いのは消去した 方がいい。結構ファイル・サイズは大きくなるとみた方がいい。 # ls ISCAN-LOG scan-log.2001.02.05 scan-log.2001.02.08 scan-log.2001.02.15 scan-log.2001.02.06 scan-log.2001.02.09 # cat ISCAN-LOG/scan-log.2001.02.09 02/09/2001 00:12:56 smtp[217]: main[1]: ISVW Version: Version 3.5-Build_SO... 02/09/2001 00:12:56 smtp[217]: main[1]: thr_per_proc: 5 02/09/2001 00:12:56 smtp[217]: main[1]: max_proc: 25 02/09/2001 00:12:56 smtp[217]: main[1]: max_reqs: 500 02/09/2001 00:12:56 smtp[217]: main[1]: idle_kill: 3600 02/09/2001 00:12:56 smtp[217]: main[1]: pre_spawn: 2 02/09/2001 00:12:56 smtp[217]: main[1]: mon_port: 10021 02/09/2001 00:12:56 smtp[217]: main[1]: dead_time: 8 min 02/09/2001 00:12:57 smtp[217]: AISA[1]: master listener starting ... 別にとらなくてもいい。ウィルスパタ−ンをアップデ−トしたという内容。毎日出てくる。 管理者へメ−ルで知らせを出すこともできる。安定してきたらログをとらないようにする。 # ls ISCAN-SERVICE-LOG log.2001.02.06 log.2001.02.09 log.2001.02.12 log.2001.02.15 log.2001.02.18 log.2001.02.07 log.2001.02.10 log.2001.02.13 log.2001.02.16 log.2001.02.19 log.2001.02.08 log.2001.02.11 log.2001.02.14 log.2001.02.17 log.2001.02.20 # cat ISCAN-SERVICE-LOG/log.2001.02.08 02/08/2001 04:00:00 ptn[15494]: auto: started ... 02/08/2001 04:00:00 ptn[15494]: auto: retry time=15m retry count=5. 02/08/2001 04:00:00 ptn[15494]: auto: Try 1... 02/08/2001 04:00:00 ptn[15494]: auto: pattern server connect. 02/08/2001 04:00:02 ptn[15494]: auto: pattern file is up to date. 02/08/2001 04:00:02 ptn[15494]: auto: pattern server disconnect. 02/08/2001 04:00:02 ptn[15494]: auto: delivering notification to root. 02/08/2001 18:30:27 ptn[16445]: manual: started ... 02/08/2001 18:30:27 ptn[16445]: manual: pattern server connect. 02/08/2001 18:30:30 ptn[16445]: manual: pattern download ... 02/08/2001 18:37:49 ptn[16445]: manual: download complete.(No.845) 02/08/2001 18:37:52 ptn[16445]: manual: reflash daemon. 02/08/2001 18:37:52 ptn[16445]: manual: pattern server disconnect. 02/08/2001 18:37:52 ptn[16445]: manual: result display to web. * InterScan VirusWall のウィルス パタ−ンファイル 2001/02/05 から 06/07 までの4ヵ月間で、27コのウィルスのパタ−ンファイルを自動 でダウンロ−ドしてた。古いパタ−ンファイルは消していかないとマズイ気がしていたが、 やっぱりまずかった。ディスクのパ−ティションがフルでダウンロ−ドできないとの警告 メ−ルが出た。以下のような2通のメ−ルが root@nix.co.jj 宛に、毎日出ていた。ちょ うど金曜日は会社にいなかったので気付かなかったのだが、月曜に出社するまで繰り返し 出ていた。ディスク・フル以外にも、どうしてかダウンロ−ドし損なうことが、たまに起 きることがある。しかし続けて失敗することは滅多にないみたいである。もし、心配なら 直接 FTP でパタ−ンファイルを取ってくることもできる。/etc/iscan ディレクトリに入 れて、InterScan を一度停止し起動すれば、ちゃんと新しいパタ−ンを認識する。 Notification: Automatic Virus Pattern Update [06/08/2001 04:00:00] Try 1: ERROR: Fail to rename /etc/iscan/vpnfile.tmp to /etc/iscan/lpt$vpn.899 file. Your "cron" job on hostB /etc/iscan/prescan.cgi produced the following output: cp: /etc/iscan/lpt$vpn.899: No space left on device # df -k /etc/iscan Filesystem Kバイト used avail capacity Mounted on /dev/dsk/c0t3d0s0 96031 91967 0 100% / このファイルは何だ? # cd /etc/iscan; ls -l lpt* ↓ lrwxrwxrwx 1 root other 40 2月 5日 17:05 lpt$vpn.683 -> /opt/trend/ ISBASE/IScan.BASE/lpt$vpn.683 -rw-r--r-- 1 root sys 2588806 2月 5日 18:04 lpt$vpn.843 \ -rw-r--r-- 1 root other 2635672 2月 14日 04:02 lpt$vpn.847 | | |27個 -rw-r--r-- 1 root other 3747656 6月 7日 04:03 lpt$vpn.897 / # rm lpt?vpn.851 << # rm lpt$vpn.851 では消えない、ファイル名を認識しない。 古いパタ−ンファイルを消去して、ディスクの領域を空けたら、メ−ルサ−バのホストに http://192.168.1.1:1812/interscan/ とWWWアクセスし、InterScan VirusWallの管理 画面に入る。デフォルトのままならユ−ザ admin,パスワ−ド admin で入ることができる。 [Pattern Update] -> [Update Virus Pattern Now] をクリックする。 しばらく数分して "SUCCESS:Download of virus pattern file completed.(New pattern No.899)" このよう にWWWブラウザに表示されれば、パタ−ンファイルのダウンロ−ドはOKである。どう もこうやってマニュアルでダウンロ−ドすると root,sys パ−ミションが付くようである。 2月5日のパタ−ンファイルは、いわば最初のパタ−ンファイルで、その場でダウンロ− ドしたので root,sys パ−ミションが付いている。 * lpt$vpn.xxx ファイルの消去とか InterScan のウィルスパタ−ンファイル lpt$vpn.xxx は、次のところにある。 おかしな ファイル名なので、手作業で操作する場合、少し注意が必要である。 InterScan Messaging Security Suite は /opt/trend/imss/lib/。 InterScan VirusWall は /etc/iscan/。 # mv lpt$vpn.147 lpt$vpn.147.org << どうして?。 mv: lpt.147 を使用できません。 # cp lpt$vpn.147 PPP << これもだめ。 cp: lpt.147 を使用できません。 # cp lpt*vpn.147 PPP << これはできた。 # cp PPP lpt$vpn.147 << lpt.147 というファイル名でできていた。 # mv lpt.147 lpt$vpn.147 << なんじゃこれは。 mv: lpt.147 と lpt.147 は同一です。 # mv lpt.147 'lpt$vpn.147' << それじゃこうして。 # mv 'lpt$vpn.147' 'lpt$vpn.147.org' << これでOK。