キャンペーン


2014年2月18日火曜日

【scponly 】 ユーザーホームディレクトリ以外への移動を禁止した sftp接続環境を作る方法

セキュアな FTP通信環境をつくる必要性があり纏めておく。

簡単に言うとインターネット上からクラウドへセキュアデータ連携する手法である。


通常WANからイントラネットへFTP接続する安全なプロトコルにsFTPがある。

クラウド時代には知っておいて損はないが仕組み自体は取り立てて新しいものでもない。

SSH(ポート22)が外部から接続できればsFTP接続は可能であるが、アクセスポリシーを見直す必要がある。

というのもユーザーにSSH接続を許してしまうとユーザディレクトリ以外にも移動できてしまいポリシー上あまりよろしくない。


opensshだけでもこの程度のセキュリティ抑制は可能であるが、openssh 4.3 が導入済みのredhat9ではopenssh 4.9程度以上へアップデートしないとならず、インストールの敷居も高い。

sshdだけでやるなら /etc/ssh/sshd_configを書き換えてsshdサービスを再起動で済むことながら、一旦設定を間違えるとSSHに繋がらなくなるなどかなり危険である。

自分も自宅のLinuxで実際これに遭遇し危険であることを身をもって感じた。

SSHにつながらなくても被害が及ばぬよう、事前にtelnetサーバーも敢えて動かしておき第2の入り口(teminal)を設けるべきである(セキュリティには注意)。もちろん手元にサーバーがある場合は考えるすべもないがクライドサーバーを借りている場合は何が起きるかわからない。設定を間違えるとサーバー制御不能になる恐れが有るのだ(再起動さえできなくなる)。

話は元に戻すがopensshが既に動いていればsFTPでの接続はデフォルトでできているはずである。問題は外部からつなげに来るユーザーへの権限設定である。opensshが4.3のような古いバージョンではこれは難しいので、この場合は「scponly」あたりを導入することになる。

scponlyは古い方法論であまり使わなくなってきているらしいがopensshを使わない方法として知っておく価値はある。その名の通りsFTPだけを特定のユーザーに提供しセキュア通信を提供する方法である。

scponlyをインストールして setup_chroot.sh を叩いて一度ユーザーを設定しておけばその後はコマンドは眠らせておけばよい。


【scponlyインストール】

現時点で最新は4.8でscponly-4.8.tgzを/tmpへダウンロードして解凍する。

wget http://sourceforge.net/projects/scponly/files/scponly/scponly-4.8/

tar xvzf scponly-4.8.tgz

cd scponly-4.8

./configure --enable-chrooted-binary

make

make install

必要な物は上記で揃ったがあと setup_chroot.shとconfig.hもコピーする必要がある。

自分は/usr/local/scpcpy/setup_chroot.sh にココを参考にコピーし、HOMEディレクトリにシンボリックリンクを張った(途中パーミッション等も変更)。

cd ~

ln -s /usr/local/scpcpy/setup_chroot.sh 

ln -s /usr/local/scpcpy/config.h 


【使い方】

あとはsetup_chroot.shを使ってユーザーを作ればよい。すでに居るuserに追加で権限追加はできないので一旦 userdel コマンド等でユーザーを削除する必要がある。

ユーザーが追加したら以下のテストを行う。

  • SSHで接続できないこと
  • sFTPで接続でき、HOME以外に移動できないこと
sFTPクライアントはFFFTPではダメなのでWinScpなどをDLして確認すべし。




【補足】

SSH+FTPという手法も古くからあるが、こちらはFFFTPでもセキュアFTPは可能である。teraterm+FFTPでも可能だし、PuTTY+FFFTPでも実現できるが管理が煩雑なので今はあまりメジャーではないが仕組みを勉強する意味では有用であろう。




2014年2月11日火曜日

NTT純正のルータを使うメリット

先日NTT純正のWeb Caster 720 中古をamazonで1000円で購入しました。



手持ちのルータが壊れたわけではない。

実はNTT純正のルータを使わないとフレッツスクエアにつながらないんですよね。

ちょっと表現には語弊がありますが要はPPPoEでプロバイダに繋ぎつつフレッツにはつながらないという意味です。

マルチセッションPPPoE接続できるルータであれば可能ですが、そもそもIPv6対応であるという条件があります。

(IPv4で繋ぐ場合はいったんISPのセッションを切ってフレッツへゲスト接続するという面倒な手順を踏みます)

実はこの条件を満たす市販のルータは希少なのです。

あっても非常に高価なんですよね。

おそらくルータを借りて契約している方は今回の内容はなんら関係ないお話です。

で、NTTが推奨しているIPv6ルータは下記のとおり。


IPv6ルータ
https://flets.com/square/ipv6_router.html

fletsスクエア接続設定
https://flets.com/customer/next/square/setup/v6/win7.html


因みになぜフレッツスクエアにこだわるかというと、フレッツ契約していると「フレッツ光メンバーズクラブ」という会員プログラムというのがありまして、貯まったポイントを交換したりするのにフレッツスクエアに繋がらないといけないという落ちがあります

自分もたまったポイントをWAONに交換しようと思ってこの罠にはまりました。

ルータ購入せずともダイレクトにPCとONUを一時的に繋げてPPPoE接続すればできないこともないですが非常に面倒です。

今回無事WebCaster720にてWAONにポイント交換できました ^ ^

といっても1000pt交換するのに1000円かけているのでアホといえばアホですw

でも次回から効果が効いてきますので損はないし、一歩賢くなったし。

以下のようにWebCaster720(手前)を既存の家庭内LANに挟み込みWiFi接続環境も何も変更せずにfletsスクエアにもつなげられる環境ができました。















ワイアレス・キーボード&マウスコンボ logicool mk270 届く

7年ほど使ったワイアレスキーボード&マウス(logicool Ex110 )の調子が悪く、ストレスたまりっぱなし。

このまま使い続けたらマウスのトラッキングが重くってコロコロで中指が腱鞘炎になってしまいますw

ということで logicool mk270 というセットで2000円ちょっとの格安ものに乗り換えることに。


早速amazonから届きました。


相変わらずの大きな箱(汗) 捨てに行くの面倒なんでゴミ出さんでほしいわ。



商品の仕様詳細はメーカーのHPに委ねるとして、以下気になった点のみレポします。


まず、I/Fですが、Ex110のときは以下のようなアクセスポイント方式だったのですが(余談だがPS/2マウスも対応)、



今回は受信機のUSBスティックが2個同梱されていたので最初汗りました。

2ポート占有するんじゃないかという意味です。

でも明けてみると連結して1ポートで使用するという画期的な方式(よく考えられています)。


手持ちのPC切り替え器(Sanwa SW-US22H)でもなんら問題なく使用できました。自分はWindows7で使っているのですがドライバCDなども特に不要でしたがドライバー認識中WindowsUpdateへつなぎにいっている模様でした。

 


マウスも一回り小さくコンパクトになっています。

あと電池ですが、以前のEx110はマウスは単三2本でしたがmk270では1本と変更になりました。キーボードは単四2本利用のままです。いずれも充電池で利用できています。しかもエネループと別メーカの充電地とのコラボでも。因みに出荷時時に乾電池は付属します。


とmk270はEx110より軽量かつシンプルになっていますが作りはしょぼい感じです。キーボード裏の爪も使っているうちに割れそうです。その点Ex110のほうが作りはしっかりしていました。

使い捨てだと思ってしばらく使ってみようと思います。