による

によるについての情報

このページは 2007年 09月 19日 08時58分52秒に巡回更新されました。
神経

【 61】 シューマン愛好家によるドイツリート解説

神経に関する無料情報を入手してみる!→

[引用サイト]  http://page.freett.com/schumann/

このページはドイツリートの愛好家である、高野芳治くんの製作によるシューマンのドイツリートの曲目解説を行っているページになります。このページの製作は地道に作業を続け、ある意味でライフワークといったイメージのものにしてゆきたいと思っております。とりあえずは"index"の製作、中身の記事につきましては地道に製作してゆきますので楽しみにお待ち下さい。。尚、各曲の右にあるこのアイコンをクリックするとこの歌曲のMIDI演奏を聞くことが出来ます。(素人の作品なので余り誉められたものではありませんが。。)
Up-loadされている情報には全て履歴がついています。 例)↑'98.06.06 このような記述がある部分については記事になっています。また、"MIDI"の表記の部分をクリックすると"MIDI"によるその歌曲の演奏を聞くことが出来ます。
ミルテの花という歌曲集自体は連作歌曲を意識して書かれたものかどうか、良く分かっていないのですが、、ここでは連作としての意義とかそういった内容についての検討はおいておきまして、各々の作品について、その素晴らしさをWEB上で公開してゆきたいと考えています。。
【変イ長調、3/2拍子】恋人を想う若者の気持ちを表現する様に、上昇形のアルペッジオにて沸き上がり、溢れ出、迸る様に歌が始まる。ある意味で熱狂的とも言えるこの歌は、本当に真心のこもった恋人への賛歌と言える。
【ト長調、6/8拍子】8分の6という流れるような拍子にのって音楽は進められる。音楽は微妙なニュアンスを展開しながらおだやかに進む。本当に甘い香りのするロマンティックな作品。本当にステキな作品です。
【ヘ長調、6/4拍子】ハインリヒ・ハイネの詩によるこの曲はシューマン独特の和声にのり、ゆるやかに始まり、はすの花の美しさ、愛らしさ、はかなさ、悩ましさを歌う本当に素晴らしい恋の歌です。
【変イ長調、2/4拍子】おだやかな中低音の和音を連ねる穏やかな伴奏にのって音楽が始まる。如何にもハイネらしくドイツロマン派の香りを存分に漂わせる美しい作品となっている。
おそらくシューマンの連作歌曲の中で最も有名なのが、この詩人の恋でしょうネ。。私も学生時代にこの曲の伴奏を試みたことがあるのですが、、、フィンガーテクニック的にも難しい部分が結構多く、、。全17曲?中の前半の5曲辺りを過ぎると悲しい方面にひた進むという少々悲しい部分が多いのがちょっと、、、とも思いますが、、、。でも、終曲のピアノ後奏に全てが込められているようで、、、。
【嬰ヘ短調、2/4拍子】アルペッジオで、嬰へ短調を中心としたピアノ伴奏にのってイ長調的なフレーズが進む。この歌曲集の暗い結末を暗示させるような伴奏の中、この詩人の中に密かな愛が生まれた。。
【イ長調、2/4拍子】第1曲で完全な終止形を用いない中途半端な状態(擬終始?)でこの第2曲が始まる。第2曲は嬰ヘ短調の平行調、イ長調で始まる。密かに始まったこの詩人の恋は、彼の内でひっそりと、しかし、しっかりとした広がりを見せる。彼のこの想いが彼女にどう伝わるのか、心配しながら彼の想いは次第に広がる。
【ニ長調、2/4拍子】イ長調から5度舞い降りた明るく、力強いニ長調にてこの音楽は始まる。彼女との出会いにより生まれ、彼の中で育まれ、生長した愛によって、彼と彼の周囲は本当に光り満ちあふれるものとなった。彼の周囲の全てのものは愛を歌う。演奏していても本当に気持ちの良い作品。。(^^)
【ト長調、3/4拍子】彼の彼女への純粋で一途な"想い"は彼女に受け入れられ、そこで昇華されとても美しい結晶となる。この"詩人の恋"の中で最も良い時期の作品とも言える。。
この連作歌曲集はシャミッソーの詩によるもので、ある女性の内で恋が芽生え、その恋によって彼が素晴らしく見え、その彼から彼のこの女性への想いをうち明けられることにより驚き、そして婚約指輪をもらいその燃えるような恋をかみしめながら結婚へと進み、彼との間に出来た子供を出産し、その子供を育てること、慈しむことの喜びを知り、その幸福の絶頂の時に彼が亡くなってしまい、、、という具合にある女性の生きざまを通して音楽が進められる。その音は色々な想いをいっぱいに含む様に設計され、全曲を通じて非常に良くまとまっている。学生時代にこの作品は全曲伴奏をしたことがあるが、ピアノ譜も歌の音符に勝るとも劣らないほど素晴らしい。詳細はタイトルをクリックしてジャンプ!。
【変ロ長調、3/4拍子、】落ち着いたピアノ伴奏にのって音楽は始まる。この物語の主人公の"彼女"の彼との出会い、彼女は彼に本当に夢中になってしまう。彼以外何も見えなくなる。こうして彼女の愛は始まる。
【変ホ長調、2/2拍子】彼女の彼への愛は彼女の中で生長し、彼への"愛"はそのプラスのエネルギーを周囲にまき散らすように輝く。それは何の代償も、何の保証もなく輝く。その中で彼の本当に幸せを祈り、彼女がどうそれに関わり得るのか若干の不安を持ちながら、彼女の愛は美しく輝く。
【ハ短調、3/8拍子】彼女にとって最良の人、その人に彼女自身の存在をみとめられ、そしてその最良に人にその気持ちをうち明けられ「僕は永遠に君のものだ。」、本当に信じられない気持ちと、その幸せが彼女の中で狂おしくうごめく。中間部の彼の言葉の引用部分の他調の借用による夢のような雰囲気を音楽の中に持ち込む辺りは正にシューマンの十八番といったところですネ。。(^^)
【変ホ長調、4/4拍子】その最良の人に愛され、そして指輪をもらいうけた。その事の喜びをかみしめるように音楽は進む。その喜びに、その彼との愛の中に彼女の全てを捧げようとする一途な燃えるような気持ちが見え隠れしながら、彼の愛情をしっかりとかみしめこの曲は終わる。
【変ロ長調、4/4拍子】彼との幸せな結婚を目の前にし、彼女はその幸福を高らかに歌い上げる。家族の元を離れる寂しさをも匂わせながら、しかし、その新しい幸福な生活を夢見て、彼女は高らかに歌い上げる。
【ト長調、4/4拍子】彼との幸福な結婚の後、彼女は彼の子供を身籠もる。彼女の内にしっかりと育つ子供、それを彼女は彼女の体を通して実感し、そのことの幸せを彼女の内に刻む。
【ニ長調、6/8拍子】彼女は彼の子供を産み、彼女の中に"母"という新しい顔が登場する。彼女は最愛の人と共に生きていくだけでなく、その人の子供を産み、その子供を育て、彼と、彼と彼女の愛の結晶としての子供と本当に幸せな生活を送る。彼女の中でその幸せに満ちた生活は頂点を迎える。
【ニ短調→変ロ長調、4/4拍子→3/4拍子】彼女はその最愛の人に先立たれる。それは彼女にとって彼の初めての裏切りとも言える事なのだろうか?。彼女は彼の死を迎え、在りし日の彼を想い起こし、その回想の中で彼女は彼との愛に、、、、、、。この彼との愛の回想にピアノ伴奏が用いられる。第1曲出会いの時のフレーズ、それはこのシーンにふさわしい形に変奏され、、、。この曲を伴奏するピアニストにとってはここが最もたまらない部分なのでしょうネ。。。
このケルナーの詩による歌曲集の連作者としての意義については、余り未だ考えたことがありませんが、その中に入っている作品はやはりシューマンの細かいところまで非常に良く気を配った美しい作品ばかりです。連作ものとしての意義については後ほど製作としまして、、、。
この連作歌曲は全てアイヒェンドルフの詩に歌をつけて歌曲にしたもので統一されている。この作品は特に調性という観点から見ると非常に曲と曲が強くリンクされており、なかなか素晴らしい構成になっている様に感じる。(特に第1曲から第2曲への移行等は本当にステキで、、。詳細については後日このページを製作する際にまとめ直しですかネ??。)
【嬰ヘ短調、4/4拍子】どことなく哀愁を漂わせるアルペッジオによるピアノ伴奏にのって音楽が進められる。中間部で若干明るさを感じさせる場面が登場するが再び音楽は哀愁の漂う嬰イ短調に戻り第1曲を終える。
【イ長調、2/4拍子】前曲(1.異境にて)と平行長調の、イ長調に音楽は鮮やかに展開する。音楽は恋する若者の気持ちの高まりを美しく表現する。恋人のことを考える若者の心は、一途にその恋に向かい、頂点に達した後再び穏やかにその恋を歌う。
この作品はシューマンが最初に出版した歌曲集になります。詩は全てハイネによるものを選び、製作された。この歌曲集はシューマンの歌曲の年(1840)の最初の歌曲集になり、この作品以後彼は1年間に134もの歌曲を創作することになるのです。芳治くんは未だこの作品については余り詳しくありませんが、後ほど、、、。
このページを読んで下さった、あ・な・た!、本当に有り難うございました。まだまだ記事が完成していないページばかりですが地道に更新をしてゆきたいと思っております。また、「私はこのリートに関してはこんな面も良いと思ってるんだけど、」とか、「この部分はこういった見方が正しいのでは??」等々、御意見はメールにて宜しくお願いします。

【 62】 Winnyによる情報漏えいを防止するために

神経に関する無料情報を入手してみる!→

[引用サイト]  http://www.ipa.go.jp/security/topics/20060310_winny.html

IPAトップ>セキュリティセンター>Winnyによる情報漏えいを防止するために
官公庁や大企業の取り扱う個人情報や機密情報等が職員等の私有または私用パソコン(以下「私有パソコン」という。)から漏えいする事件が、毎日のようにニュースに取り上げられています。
報道によると、漏えいした情報の種類こそ違いますが、ほとんどの事件に共通している点は、職員がファイル交換ソフト(注1) Winnyを導入(インストール)した私有パソコンに、官公庁や企業等で取り扱う個人情報や機密情報等をコピーし、使用していたところ、ウイルス(W32/Antinny)に感染し、情報漏えいしたという点です。
(注1)インターネットを利用して、不特定多数のユーザ間でファイルを交換できるソフトウェア。
ウイルス(W32/Antinny)に感染すると、パソコン内の送受信メールやWordやExcel等のデータファイルが、パソコン内の公開フォルダにコピーされてしまいます。公開フォルダにコピーされたファイルは、世界中のWinny利用者が入手できる状態になったということです。
図1.1に示すように、インターネット(Winnyのネットワーク)に流出したデータは、不特定多数のWinny利用者が保有することになり、回収することは不可能です。
なお、中小企業や個人事業者、一般の個人ユーザの情報漏えいがニュースに取り上げられないのは、漏えいした情報がどこからのものか特定できない、重要ではないと考えられたなどニュース性が低いため報道機関が取り上げなかっただけと考えられ、
情報漏えい問題は、他人事と考えずに、自分に当てはめて考えていただくことが重要です。
◆ 予算の関係でパソコンの割り当てが不足していて、私有パソコンを使っていた。
Winnyからの情報漏えいを防ぐには、次のような対策が考えられ、それらを組み合わせて実施することが有効と考えられます。
(2) 職場のパソコンに許可無くソフトウェアを導入しない、または、できないようにする。
(4) 職場のネットワークに、私有パソコンを接続しない、または、できないようにする。
(6) 職場のパソコンからUSBメモリやCD等の媒体に情報をコピーしない、またはできないようにする。
(7) 漏えいして困る情報を許可無くメールで送らない、または、送れないようにする。
(8) ウイルス対策ソフトを導入し、最新のウイルス定義ファイルで常に監視する。
パソコンの管理者や利用者が自ら実施できる対策もあれば、上司が行うべき対策もあります。また、職場のルールを変えたり、ネットワークシステムや設備の変更を伴う対策もあります。
どの対策を組み合わせるかは、簡単なもの、効果がありそうなものというような単純な選択ではなく、取り扱う情報と漏えい時の影響、導入コスト等を考慮し総合的に検討することが重要です。
官公庁や企業等においては、個人情報や機密情報等の情報漏えいを防ぐためにどのような対策を行うべきか、
管理的対策と技術的対策について具体的にまとめてみます。 次にあげる対策のポイントを参照し、あらためて情報の扱いについて確認し、トラブルの発生を未然に防ぐよう対処してください。
組織(委託先を含む)で業務に用いるパソコンについては、ファイル交換ソフトの使用条件を定めておくことが重要です。
パソコン内の情報が漏えいする危険性を考慮すると、個人情報や機密情報等が保存されているパソコンではファイル交換ソフトの使用は控えるべきです。
業務に必要ということでファイル交換ソフトを使用しているパソコンはないか?
ファイル交換ソフトの使用を許可したパソコンに許可した範囲以外のファイルが保存されていないか?
使用が許可される場合であっても、個人情報や機密情報等が保存されているパソコンへインストールするべきではありません。
ウイルス感染や誤操作により、公開用フォルダ以外の場所に格納されている個人情報や機密情報等が外部に流出してしまう危険性があります。
定められた使用方法、使用条件に適合しているか、常に管理する必要があります。
私有パソコンは、組織として管理することが難しく、業務で使用することは望ましいとは言えません。更に、私有パソコンで個人情報や機密情報等を取り扱わせることは、きわめて危険で避けるべきです。しかし、やむをえず私有パソコンを業務に使用する場合は、管理について定めておくことが重要です。
私有パソコンを職場に持ち込んで使用したり、職場のネットワークに接続することについてのルールを定めているか?
その私有パソコンに許可された利用範囲を、管理者が確認できるようにすべきです。
私有パソコンの許可は自動延長ではなく、定期的に再審査すべきです。
個人情報や機密情報等を取り扱う私有パソコンを職場から持ち出すことは、パソコン内の情報が漏えいする危険性が高く、許可するべきではありません。
相応の理由で持ち出す場合は、個人情報や機密情報等が内在していないかをチェックし、職場外での利用形態や窃盗や紛失でも情報漏えい対策(暗号化等)が
個人情報や機密情報等を含む業務情報を記録媒体などにコピーして外部に持ち出すことは、外部のパソコンからの情報漏えいや記録媒体の紛失などのリスクがあり、厳に避けるべきです。
しかし、やむをえず持ち出す場合には、次のような厳重な管理をすることが重要です。
個人情報や機密情報等を含む業務情報を記録媒体などにコピーして外部に持ち出すことについてルールはあるか?
また、形式的な手続きで、不要な持ち出しが許可されないよう注意する必要があります。ルールの運用にあたっては、職場外で作業するために持ち出すことを十分確認してください。
記憶媒体などにコピーされた業務情報の中に、許可された情報以外の情報が含まれていないか確認することも重要です。
簡単に情報を確認できるように、ファイル名のつけ方のルールや、ファイル名等から検索できるデータベースの整備が有効です。
記憶媒体などにコピーされて外部に持ち出された個人情報や機密情報等を管理できるか?
外部に持ち出した記憶媒体を取り扱う外部のパソコンがウイルス等に感染していて情報漏えいすることがないようにすることが重要です。
このため、外部のパソコンを利用して当該業務情報を取り扱った後、外部のパソコン等に当該業務情報が残らないようにする手順を定める必要があります。
実際の事件において、 数年前に個人情報や機密情報等を取り扱った私有パソコンの該当ファイルは削除したはずと思いこんでいたパソコンにWinnyをインストールしたことにより、削除したはずのファイルが漏えいするという事例がありました。
サーバーを介さずに P2P(注2)により外部と接続することが可能なクライアントパソコンは、サーバーの段階でウイルスチェックがされていても、クライアントパソコンにウイルス対策ソフトを導入していなければ感染被害に遭ってしまいます。
新種や亜種のウイルスに対応するために、ウイルス対策ソフトのパターンファイルの更新を定期的行うことが肝要です。
to Peer) 不特定多数の個人間で、サーバーを介さずに、直接データのやり取りを行うインターネットの利用形態。
ニュースに取り上げられているWinny経由での情報漏えい事件のほとんどは、私有のパソコンを業務に使うことにより被害が起きていることから、職員に対するウイルス対策の重要性の教育を繰り返し行うことが重要です。
自分は大丈夫だ、自分には関係ないということは間違いであることの意識改革をさせる
ニュースに取り上げられている事件の関係者の多くが、自分は大丈夫だとの意識でした。
自分が扱っている個人情報や機密情報等が漏えいした場合や、ルールがあってもそれを守らない人がいれば、大きな被害をもたらすことを認識させることが大切です。
ウイルス対策製品やサービスを使用したり利用していても、必ずしもすべてのウイルスを防ぐことはできません。
以下の技術的対策は、オペレーティングシステム(OS)の機能として提供されるものと、ツールを導入して運用するものがあります。
WindowsXP/2000/NT等のNTFS(New Technology File System)というファイル管理システムがあります。これを使ってハードディスクのファイルを管理している場合、特定のファイルやフォルダに対して、ログインアカウント毎に、アクセス権限を設定することができます。
MS-Word や EXCEL のようなアプリケーションプログラムにおいても、「ファイル」->「アクセス許可」メニューから当該ファイルのアクセス権を設定することが可能です。
市販またはフリーソフトウェアにも、独自の方式により、アクセス制限を設定できるものがあります。
市販またはフリーソフトウェアにより、コピー制限を設定できるものがあります。
WindowsXP/2000/NT等のNTFSというファイル管理システムを使ってハードディスクのファイルを管理している場合、まず特定のフォルダを暗号化フォルダと指定します。その暗号フォルダに他のファイルを移動すると、移動したファイルが暗号化され、移動を行った本人だけが開くことができるようになります。
MS-Word や EXCEL のようなアプリケーションプログラムにおいては、「ツール」->「オプション」メニューの「セキュリティ」タグから、当該ファイルのパスワードを設定することが可能で、保存したファイルは自動的に暗号化されます。
市販またはフリーソフトウェアにより、外部記録媒体へのアクセス制限を設定できるものがあります。
ネットワーク管理ソフトにより、未登録のパソコンを企業内ネットワークに接続させない制限を設定できるものがあります。
市販またはフリーソフトウェアのウイルス対策製品を利用し、パソコン内にウイルスがあるかスキャンします。
また、いくつかのセキュリティベンダーは、ウイルススキャンを無料で行えるオンラインサービスを提供しています。
マイクロソフト社の「悪意のあるソフトウェアの削除ツール」を使い、ウイルスの検索と駆除を行うことができます。
UP 」フォルダになんらかのファイルが保存されていて、それが自分の指定したファイルでなければ、漏えいしている危険性が高いです。また、
UP フォルダになくても、 Winnyが保存されているフォルダにある「 UpFolder.txt 」というファイルに他のフォルダが公開用として指定されてしまっている可能性もあります。当該ファイルを開いて、記載内容を確認し、
UP フォルダ以外に指定されているフォルダがないか確認してください。
自社の情報がWinnyネットワークに流出していないかを確認するには、Winnyを利用してやり取りされているファイルをダウンロードして確かめるしか方法はありません。各種報道を見ていると、他者から指摘されて気付くケースがほとんどです。Winnyネットワークで流れているデータを検索してくれるサービスもあるようです。このようなサービスを利用して、自社の情報がないか確認する方法もあります。
Winny そのものを検出するツールが無償で提供されています。いずれかのツールを使用し、 Winny として検出されたファイルをすべて削除してください。また、検出されたファイルが
Winny.exe と同じフォルダ内に設定ファイルが作られますので、これらのファイルも削除するためです。
等で、複数のユーザーで1台のPCを使用している場合、各ユーザーアカウント毎に同様の検出、削除の処置を行って下さい。
なお、上記サイトおよびそのリンク先内容の利用によって生じたトラブル・損失・損害には、当機構では一切責任を負いかねます。あくまでも自己責任の下、自己判断でご利用ください。
シマンテック社 - Winny検索ツールの表示は英語ですが、その点はご容赦願います。
以後の調査のために、漏えいしたファイルをCDやDVD等の記憶媒体にコピーする
官公庁や企業等組織の情報ファイルである場合は、当該組織に速やかに報告する
ウイルス対策ソフトでスキャンし、感染した原因を特定する(Antinny亜種の特定)
ウイルスを駆除する、または、パソコンをリカバリする(初期状態へ戻す)
職場の個人情報や機密情報等を自宅のパソコンにコピーしなければ情報漏えいしないということではありません。
家族や友人の個人情報が漏えいする可能性は同じです。Winnyを導入したパソコンには、情報漏えいのリスクがあり、ウイルス対策が必要です。
Winnyを使っていなければ情報漏えいしないということではありません。例えば、2006年2月下旬に発見された通称「山田オルタナティブウイルス」は、Webサーバ機能を内蔵しており、感染したパソコンの内容をWebサイトという形式でインターネットから参照できるようにした後、そのパソコンへのリンクを掲示板サイト「2ちゃんねる」に貼り付けることで情報漏えいを行います。
このように、Winny に感染するウイルス(W32/Antinny)以外にも情報漏えいするウイルスが出現していますので、ウイルス対策を行うことが情報漏えいを防止するために大変重要です。
なお、上記以外の時間においても、電話の自動応答システムによる
FAX 送信サービスにより、予防・対処方法について情報提供をいたします。
V.具体的な対策・その2:対処方法 3.Winnyがインストールされているかを確認する方法 のタイトル、内容を更新
V.具体的な対策・その2:対処方法 3.Winnyがインストールされているかを確認する方法 の内容を更新

【 63】 @IT:iptablesによる負荷分散とDoS対策(1/4)

神経に関する無料情報を入手してみる!→

[引用サイト]  http://www.atmarkit.co.jp/flinux/rensai/iptables03/iptables03a.html

iptablesを応用すれば、簡易負荷分散システムを構築できる。さらに、DoS対策やQoSの実現方法を紹介する。(編集部)
第1回ではfilter、第2回ではnatテーブルを主に使用したiptablesのテンプレートを紹介しました。今回は、mangleテーブルを利用したテンプレートや以前紹介したテンプレートを応用した負荷分散方法、DoS対策を紹介します。
mangleは、特別なパケット変換に使われるテーブルです。mangleテーブルを用いることで、IPv4パケットのIPヘッダ中で定義されているTOS(Type Of Service)フィールドの値を書き換えることができます。TOSフィールドはパケット処理の優先度付けに利用され、通信品質を制御するQoS(Quality of Service)を可能にします。
ただし、iptables自身にTOSフィールドの値で通信帯域幅をコントロールしたり、パケットの遅延を制御したりする機能はありません。そうした要求を満たすには、iproute2(コラム参照)を導入し、iproute2に含まれるipコマンドやtcコマンドを使用する必要があります(注)。
簡単な仕組みに見えるQoSですが、通信経路上のすべてのルータがQoSを解する必要があります。1つでもTOSフィールドの扱いが不完全なルータが存在すると、動作に異常が生じる場合があります。そのため、インターネットへと出ていくパケットに対してTOSフィールドを設定する機会はまれです。また、TOSフィールドそのものが、現状ではDSCP(Differentiated Services Code Point)として見直されたり、ECN(Explicit Congestion Notification)に流用されるなど、あまり使われるケースがないのが現状です。mangleテーブルを使用したサンプルをあまり見かけないのはこのためです。
TOSフィールドは、新たにDS(Differentiated Services:DiffServ)フィールドとして再定義されている。このDSフィールドに、DiffServ対応のルータなどが行う優先度制御動作を決めるための値を設定する。
パケットに特別なマークを付ける。ただし、マークが維持されるのはパケットがカーネルの中で処理されている間のみ。通常はiproute2と組み合わせて、マークが付いているパケットのルーティングを切り替えたり、帯域制限やClass Based Queuingに使用する。マーク値によってどのように処理するかは、ip/tcコマンドとの連携操作による。
カーネルコンパイル時にオプションを有効にしていれば、iproute2を利用してクラス分け、優先度付け、共有化、制限など、さまざまなトラフィック制御が可能になります。iproute2には、トラフィック制御関連の設定を行うtcコマンド、ネットワークインターフェイスの設定を行うipコマンドなどが用意されています。ipコマンドは、以下のようにifconfigコマンドやrouteコマンドの代わりに使用できます。
iptablesのmangleテーブルとiproute2のip、tcコマンドを駆使することでさまざまなトラフィック制御を実現することができますが、その話はいつかまた別の機会に。
初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう
奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見
WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる
LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう
別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる
サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる
組み込みLinux業界動向 携帯電話や情報家電市場の活況で、組み込み分野が面白くなっている。その中でLinuxはどのような存在なのだろうか?
組み込みソフトウェアの開発は、PC用とは異なる要素や手順が必要となる。今回は開発を始める前に、組み込み開発の全体像を説明する
組み込み分野では、リアルタイム性の保証が重要なテーマの1つとなる。Linuxでも、それを実現するための取り組みが行われている
AjaxのバックエンドにPHP+MySQL (2007/8/24) 一通り完成させた「簡易オンラインストア」にAjaxを取り入れ、フォーム入力を支援するよう改良を加えてみましょう
ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン
@ITトップ|Linux Squareフォーラム トップ|会議室|利用規約|プライバシーポリシー|サイトマップ

【 64】 @IT:止められないUNIXサーバの管理対策 第8回

神経に関する無料情報を入手してみる!→

[引用サイト]  http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec08/unix_sec01.html

本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。
前回は、UNIXのログ管理の基本となるsyslogの仕組みと設定方法について述べた。今回は、syslogによる別のサーバへのログ転送について説明する。
前回説明したとおり、syslogには、ログを別のsyslogサーバに転送する機能がある。syslogでは、その機能を使って各サーバのログを1カ所に集めることで、ログの一元管理を実現できる。
syslogによるログの一元管理を実現させるためには、ログを受信するサーバ(ここではログ・サーバと表記)にて514/udpポートを待機状態(listen)にしておく必要がある。
syslogでは、その514/udpポートを介して、サーバからサーバへのログ転送が行われる。そして、ログを受信したログ・サーバでは、/etc/syslog.confの設定内容に従い、ログの出力先が決定される。
「ログの改ざんを高い確率で防げる」は、攻撃者がサーバに侵入した際に、痕跡を消すためにログの改ざんを行うが、ログの転送を行っていれば、ログそのものがサーバ上には存在しないため、改ざんを防ぐことができる。
もちろんログ・サーバ自身に侵入されたらおしまいだが、ログ・サーバは、Webやメールといったほかの用途のサーバと違い、よりセキュアな環境を構築しやすい。
例えば、ログ・サーバで提供するサービスは、極端な話514/udpのみでよく、また514/udpに対するアクセスをログの転送元からのみに絞り込むことで、侵入を困難にすることができる。
デメリットに挙げた「UDPによる転送のため取りこぼしの可能性が生じる」は、UDPはTCPと違い相手に届いたかどうかの確認を行わず、また再送もしないため*1、ログの損失の可能性が生じる。その確率は、ログが大量かつ頻繁に発生するにつれ高くなる。
それでは、syslogによるログ転送の設定を説明する。ログ転送の設定自体は非常に簡単だが、その前に行うべきことも踏まえ以下に説明する。
まず最初に、各サーバおよびログ・サーバの時刻同期を行っておく。時刻同期には、NTP*2を使うのが通常だろう。時刻同期は、ログの監査を行う際に重要となるので、ログの転送を行う/行わないにかかわらず、必ず行うことをお勧めする。
まずはログ・サーバ自身をセキュアにし、侵入の可能性をゼロに近づける必要がある。そのためには、まずは不要なポート(サービス)の停止から行う。
ログ・サーバでは、514/udpポートのみが待機状態であればよいので、そのほかのポート(サービス)は停止しても構わない(必要に応じてsshなどメンテナンス系のサービスを許可すればよい)。
各サーバでsyslogのログを転送する前に、転送先であるログ・サーバ側で、514/udpポートを待機状態にし、ログの受け入れを可能にしておく。
ログ・サーバ(syslogd)の種類によっては、起動時に514/udpがデフォルトで待機状態になっている場合もあれば、そうでない場合もある。そうでない場合の多くは、前回説明したとおり、セキュリティを考慮して意図的に閉じていることが多い。514/udpが閉じられている場合は、待機状態にしなければならないが、そのためには、syslogdの再起動が必要となるので基幹サーバなどの場合は注意しよう。
ログ・サーバ上で514/udpが待機状態かどうかを確認する。確認には、netstatコマンドを使うとよい。
待機状態でない場合は何も表示されない。その場合は、次のsyslogdの再起動が必要となる。
確認の結果、514/udpポートが閉じられていた場合は、514/udpポートを待機状態にさせる。
オプションを指定すると514/udpに対するアクセス制限を行えるので、それも併せて設定するとよい。
デフォルトで待機状態となっているため特に変更の必要はないが、もしsyslogdに-tオプションが指定されていた場合は、無効にする必要がある。
実際にログ・サーバ上で514/udpが待機状態になったかどうかを確認する。確認には、同じくnetstatコマンドを使う。
待機状態の場合は、上記のような表示がされる。これで、いつでもログを受け取れる状態になった。
ログの転送元となるサーバでは、ログ転送を行うための設定をsyslog.confに追加する必要がある。
なお、loghostという名前は、Solarisなどではログのデフォルトの出力先として/etc/hostsに登録されている場合があるので、重複しない名前を割り当てる必要がある。
DNSによる名前解決も可能だが、あまりお勧めはしない。なぜなら、DNSサーバが停止した場合に、ログ・サーバの名前解決が行えず、その間のログは転送できないため破棄されてしまうからだ。
また、IPアドレスの直接指定も可能だが、後々のメンテナンスを考えると、IPアドレスの直接指定は避けた方がよいだろう。
追加するのは、慎重に移行するためである。ログ転送の移行が完了するまで既存の設定を残し、たとえ移行中にログ転送に失敗しても、既存の出力先にログは格納されているので、ログの取りこぼしを防ぐことができる。
ここまでできたら、ログ転送のための設定は完了となる。後は、後述の確認作業で実際に転送できるかどうかを確認する。
上記より、192.168.0.50 からのログであることが分かる。複数台のサーバがある場合も同様に行う。例えば192.168.0.51から行うと、以下のように記録される。この場合、前者と同じ出力先にログが出力される。
なお、ログの監査をしやすくするために、IPアドレスではなく、ホスト名でログに出力したい場合は、/etc/hostsにそれぞれの名前を追加しておくとよい。
ログの転送がうまくいかない場合は、単純な設定ミスか、あるいはネットワークまわりのトラブルが考えられる。
一般的には、前者の設定ミスであることが多いが、いずれにせよ、どこが悪いのかを切り分けるためには、ログのパケットが正常に送信されているかどうかを確認すればよい。パケットの送信確認は、tcpdumpやsnoopといったコマンドを使うことになる*5。
盗み見を防ぐなどのセキュリティ上の理由により、tcpdumpやsnoopがもともとインストールされていなかったり、bpf(Berkeley
例えばtcpdumpにて、ログ・サーバ(192.168.0.10)の514/udpに対してパケットが送信されているかどうかを確認するには、以下のとおり実行する。
もし、この時点でパケットが流れない場合は、ログの転送元に原因があることが特定できる(syslog.confの記述ミス、ホスト名解決できないなど)。
逆に、上記のとおりパケットは流れている場合は、ログ・サーバ側に問題があることが特定できる(514/udpが待機状態でない、アクセス拒否をしているなど)。
今回は、syslogによるログ転送について説明した。次回は、今回紹介できなかった、セキュリティを考慮したsyslogソフトウェアの導入について説明する。
商用セキュアOS、その思想と現実 (2007/9/13) 情報保護を第一に考えた堅牢で複雑な思想は、どのようにして企業へと導入されているのでしょうか。最終回では商用セキュアOSの現状に迫ります
データベース強制アクセス制御をカスタマイズする (2007/9/4) 正式版も公開されたSE-PostgreSQL。今回はTEによる行や関数へのアクセス制御、条件変数のカスタマイズを体験します
クライアントが狙われる――受動的攻撃を見抜く (2007/8/31) クライアントには重要な情報がいっぱい。だからこそ彼らは狙うのです。あなたがワナにかかるのをじっと待っている「受動的攻撃」を見抜く!
ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン
@ITトップ|Security&Trustフォーラム トップ|会議室|利用規約|プライバシーポリシー|サイトマップ