オペレーティングシステムⅡ　2020年度前期(2年)

今日、やったこと ネットワークのテスト ファイアウォール 今日のホワイトボード ファイアウォールとは 要はパケットフィルタリングをするモノ。 送受信されるパケットのIPヘッダ（宛先・送信元IPアドレス等）、TCP・UDPヘッダ(送信元・宛先ポート番号等）の情報とあらかじめ決めておいたフィルタリングルールに従って、「通過させる」、「破棄する」を行う。 図　そもそもファイアウォールとは 一般的にファイアウォールは 専用機(ルーター＋パケットフィルタリング機能も含む）があるが、実はOSにもパケットフィルタリング機能がある。そのため、Linuxを使ってファイアウォール専用機みたいなモノも作ることができる。（専用機にはかなわないけど） 図　一般的にファイアウォールは Linuxでのファイアウォール パケットフィルタリングはLinuxのコア部であるカーネルの機能。 動作を決める設定ファイルがあるが、これを編集できるのがfirewall-cmdコマンド。 また、firewall-cmdコマンドはパケットフィルタリング機能を操作することもできる。 図　Linuxのファイアウォール Linuxでファイアウォールを使ってみよう とりあえず、Linuxのファイアウォール機能を使ってみる。 今、使っているLinuxにはWebサーバーの機能があるが、Webサーバーとして稼働させても他PCからはファイアウォールでアクセスを破棄している。これを変更してアクセスできるようにする。 ①ネットワーク設定 そもそもネットワークが使えないとアクセスもへったくれもない。 図　まずはネットワーク設定 ②Webサーバー機能をON Webサーバー機能の状態をチェック。 　systemctl status httpd.service Webサーバー機能が「inactive」なら起動する。 　systemctl start httpd.service 図　Webサーバーの機能確認、稼働 ③自分PCからアクセスチェック 自分PCから自分PCのWebサーバーにアクセス。 これは問題なくできるはず。 図　アクセス確認 しかしながら、他PCにはアクセスできない。これはファイアウォールがアクセスを拒否しているから。 図　なぜアクセスできない？ ④Webサーバーへのアクセスを許可する 現在、ファイアウォールで利用しているゾーン(...

今日、やったこと nmcli、ipコマンドの「やってみよう」シリーズ解説のつづき（その１１から） 今日のホワイトボード 前回のつづき（その１１から） （ちなみに）その10 コネクション切断、接続 コネクションを変更しても反映されない。 コネクションの再接続が必要。 その11 ルーティングテーブルの確認 デフォルトゲートウェイの確認には、ルーティングテーブルを確認する。 コマンドは 　ip route です。 その12 デフォルトゲートウェイの設定削除 ルーティングテーブルからデフォルトゲートウェイの設定を削除する。 コマンドは 　ip route del 削除対象の設定 です。 その13 デフォルトゲートウェイの設定 ipコマンドでデフォルトゲートウェイを設定するには以下のコマンド。 　ip route add default via デフォルトゲートウェイ dev デバイス名 ただし、ipコマンドで設定しているため、設定ファイルには反映されない。 設定ファイルに反映するにはnmcliコマンドで対象コネクションの設定を変更する必要あり。 　nmcli connection mod コネクション名 ipv4.gateway デフォルトゲートウェイ その14 ARPテーブルの確認 ARPが使うARPテーブルの確認は以下のコマンド。 　ip neigh その15 ARPテーブル全削除 通信相手がIPアドレスを変更した直後など、いったんARPテーブルをクリアしたいときがある。そんなときは以下のコマンド。 　ip neight flush dev デバイス名 その16 ない すいません、ないです。 その17 ARPテーブル削除後、通信を行うとデータが追加されていることを確認 その15でいったんARPテーブルを全削除したため、このあとの通信する際はARPリクエスト、ARPレスポンスのやりとりを行ってMACアドレスを取得する。 取得したMACアドレスはIPアドレスとセットでARPテーブルに追加される。 その18 のまえに1 ipコマンドでIPアドレス追加 現在IPアドレスはその８で設定したパターン2(172.16.4.200+自分の番号)が設定されてい...

今日、やったこと nmcli、ipコマンドの「やってみよう」シリーズ 解説 今日のホワイトボード 「nmcliコマンド、ipコマンドのやったみよう」のまえに nmcliコマンド、ipコマンドの違い。 要は nmcliコマンドは設定ファイルに影響を与える ipコマンドは一時的にネットワークの設定を変更できる です。 「nmcliコマンド、ipコマンドのやったみよう」の解説 【ネットワークの設定】 以下の2パターン。 項目 パターン1 パターン2 IPアドレス 172.16.4.50+自分の番号 172.16.4.200+自分の番号 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 172.16.4.1 その０ コネクション新規作成 nmcliコマンドでコネクションを新規作成。 その1 デバイス一覧出力 その2 コネクション一覧出力 今更ですが、 　デバイス・・ネットワークに接続するアダプタ 　コネクション・・ネットワーク関する設定 です。 その3 コネクション詳細確認 --fieldsオプション で出力したい項目名を指定すれば、指定項目のみ出力される。 その4  ipコマンドでネットワーク設定確認 nmcliコマンドだけでなく、ipコマンドでも 現在のネットワークの設定 を確認することができる。 その5 ipコマンドでIPアドレス設定 ipコマンドでもIPアドレスの設定ができる。 厳密には 追加 。 その6 ipコマンドで設定後 この時点では、IPアドレスは 「その0」でコネクション新規作成時に設定された値 「その5」でipコマンドで設定に追加された値 の2つが設定されている。 その7 設定ファイル、現在のネットワークの設定 nmcliコマンドでコネクションを作成すると、 設定ファイル(/etc/sysconfig/network-scripts/ifcfg-コネクション名)ができる ipコマンドでIPアドレス等を設定すると、 現在稼働中のネットワー...

今日、やったこと ユーザー・グループ、パーミッションのテスト解説 Linuxのネットワーク 今日のホワイトボード ユーザー・グループ、パーミッションのテスト解説 問１、問２ ユーザー、グループの新規作成 問3、問4、問5 問3はグループ情報管理ファイルのパス。 問4はパスワード変更 問5はユーザー情報管理ファイルのフォーマット 問6 一般ユーザーはなぜpasswdコマンドでパスワード変更ができるか？ 解答例として 「 passwdコマンドの実行ファイル /usr/bin/passwdの所有者はroot であり setUIDビットも付与されている 。よって、どのユーザーがpasswdコマンドを実行しても rootユーザーとして実行される ため、rootユーザーしかアクセスできない/etc/passwdファイルにも書き込むことができる。」 問７ ファイルのパーミッション変更。 使うコマンドはchmodコマンド。 設定したいパーミッションを3ケタの数字で指定する。 問8 ユーザー情報管理ファイル(/etc/passwd)のフォーマット。問5と同じような問題。 問9 umask値でファイル作成時のパーミッションを変更する。 問10 ディレクトリ作成時にumask値がパーミッション設定にどのように影響するか。 問11 なんてことはない、パーミッションの問題。 問12 setUIDと実行ユーザーの関係の問題。 通常 実行ユーザーとして動 setUIDがON ファイル所有者として動 問13 ファイル・ディレクトリの名前変更、削除は対象があるディレクトリへの変更。 よって、対象があるディレクトリに書き込む権限が必要。 問14 stickyビット付きディレクトリ内のファイル・ディレクトリ削除。 stickyビットが付けられたディレクトリ内のファイル・ディレクトリの削除は 対象の所有者 特...

今日、やったこと ユーザー・グループ、パーミッションのテスト Linuxのネットワーク(NetworkManagerとnmcliコマンド） 今日のホワイトボード Linuxの設定 Linuxに限ったことではないが、OSが扱うデータ（設定も）はメモリ上にある。 しかし、メモリは電源が切れるとデータを保持できない。 そのため、再起動後も設定を有効にするにはHDD等に保存する必要がある。 結局、設定はHDD上のファイルに保存しなければならない（再起動後も有効にするには）。 NetworkManager いまどきのLinuxはNetworkManagerが動いており、ハードウェア(NICやWiFiなど）と設定を管理している。 NetworkManagerでデバイス、コネクションを一覧表示 コネクションとは設定のこと。 NetworkManagerとnmcliコマンド NetworkManagerを操作するためのnmcliコマンド。 コネクション新規作成 nmcliコマンドでコネクション（ネットワークの設定）を新たに作成する。 　#nmcli connection add type eth ifname デバイス名 con-name コネクション名 コネクションを作成すると、設定ファイル「/etc/sysconfig/network-scripts/ifcfg-コネクション名」ができる。 コネクション変更 作成したコネクションを変更。 　#nmcli connection mod コネクション名　[項目名　設定値] 　※[項目名　設定値]は繰り返し。 設定ファイル「/etc/sysconfig/network-scripts/ifcfg-コネクション名」も変更される。 コネクション作成・変更の演習 〇コネクション作成 #nmcli connection add type eth ifname デバイス名 con-name con1 デバイス名は 　nmcli device で確認可能。 〇コネクション変更 #nmcli connection mod con1 ipv4.method manual ipv4.address "172.16.4.xx/24" ipv4.gateway "172.16.4.1"