diff --git a/ja_JP.eucJP/articles/diskless-x/article.sgml b/ja_JP.eucJP/articles/diskless-x/article.sgml
index 854ef64be5..937dac7c7b 100644
--- a/ja_JP.eucJP/articles/diskless-x/article.sgml
+++ b/ja_JP.eucJP/articles/diskless-x/article.sgml
@@ -1,381 +1,381 @@
%man;
]>
ディスク無しの X サーバ: 一つのガイド
Jerry
Kendall
jerry@kcis.com
1996/12/28
1996
Jerry Kendall
FreeBSD-hackers メーリングリストの友人たちの助けによって、
わたしはディスクの無い X 端末を作ることができました。
X 端末の作成には、NFS によってマウントされた最小のユーティリティを持つ
ディスク無しのシステムを作らなくてはなりませんでした。
同じ方法を使って 2 つの別々なディスク無しのシステムを作りました。
一つ目は altair.example.com です。
それは 340M のハードディスクが付いていますが、交換したくありませんでした。
そのため、そのマシンは antares.example.com
からイーサネットを通じてブートするようになっています。
2 つ目のシステムは 486DX2-66 です。
わたしは全くローカルディスクのないディスク無しの FreeBSD を (完璧に)
セットアップしました。
その場合のサーバは SunOS 4.1.3 が動いている Sun 670MP です。
セットアップの設定は両方に同じものが必要でした。
わたしはこの文書に加えなくてはならない内容がまだあると思っています。
どんなことでもご意見がありましたら送ってください。
ブートフロッピーを作る (ディスク無しのシステム上で)
ネットワークローダは TSR などの
MS-DOS が使うものがあるとうまく働かないことがあるので、
最も良い方法は専用のブートフロッピーを作るか、
もしできれば、MS-DOS
のメニューを作ってシステムが起動するときにどの設定を有効にするかを聞いてくるようにすることです。
(config.sys/autoexec.bat
ファイルによって)
次に挙げるのはわたしが使っているもので、ちゃんと動作しているものです。
わたしの MS-DOS (6.x) メニューを下に載せます。
<filename>config.sys</filename>
[menu]
menuitem=normal, normal
menuitem=unix, unix
[normal]
....
normal config.sys stuff
...
[unix]
<filename>autoexec.bat</filename>
@ECHO OFF
goto %config%
:normal
...
normal autoexec.bat stuff
...
goto end
:unix
cd \netboot
nb8390.com
:end
ネットワークブートのプログラムを手に入れる (サーバ上で)
/usr/src/sys/i386/boot/netboot にある
- 'net-boot' プログラムをコンパイルしてください。
+ net-boot
プログラムをコンパイルしてください。
そのときには
Makefile
の先頭にあるコメントを読んでおきましょう。
要求されるように調整してください。
オリジナルのファイルはどこかにバックアップを取っておいてください。
ビルドが終わったら、2 つの MS-DOS の実行ファイル
nb8390.com と nb3c509.com
ができているはずです。
これらの 2 つのプログラムの 1 つはディスク無しのサーバ上で動かすのに必要になるものです。
それはブートサーバからカーネルをロードするものです。
ここでは両方のプログラムを先程作った
MS-DOS のブートフロッピーに入れておきます。
どのプログラムを実行するかを調べる (ディスク無しのシステム上で)
もしあなたのイーサネットアダプタが使っているチップセットを知っているなら、
これは簡単なことです。もしそれが NS8390 チップセットか、
NS8390 をベースとするチップセットであれば、nb8390.com
を使ってください。もし 3Com 509 をベースとするチップセットなら、
nb3C509.com ブートプログラムを使ってください。
もしあなたの持っているものがよくわからなければ、一つ試してみて、そこで
No adapter found
と言われたらまた他のを試してみてください。それでもだめだったら、
あなたのものはとても珍しいということです。
ネットワークと通じてブートする
config.sys/autoexec.bat
ファイルも使わずにディスク無しのシステムを立ち上げてみてください。
あなたのイーサネットアダプタのためのブートプログラムを実行してみましょう。
わたしのイーサネットアダプタは WD8013 16bit モードで動いているので
nb8390.com を実行します。
C:> cd \netboot
C:> nb8390
Boot from Network (Y/N) ? Y
BOOTP/TFTP/NFS bootstrap loader ESC for menu
Searching for adapter..
WD8013EBT base 0x0300, memory 0x000D8000, addr 00:40:01:43:26:66
Searching for server...
ここでは、
わたしのディスク無しのシステムはブートサーバとして振る舞うようなマシンを探しにいこうとします。
上の addr 行を記録しておいてください。
あとからその数が必要になります。ディスク無しのシステムを再起動して、
あなたの config.sys や
autoexec.bat ファイルを修正して
これらの操作が自動で行われるようにしてください。
おそらくメニューの部分になるでしょう。
もし nb3c509.com を
nb8390.com
の代わりに使わなくてはいけなかったとしても、出力は上と同じです。
もし Searching for adapter..
というメッセージが出るときに
No adapter found ということを言われたら、
Makefile
で定義されているコンパイル時間が正しくセットされているかどうかを確認してみてください。
システムがネットワーク越しにブートすることを許可する (サーバ上で)
/etc/inetd.conf ファイルが tftp や
bootps についてのエントリを持っているかどうかを確認してください。
わたしのは次のようになっています。
tftp dgram udp wait nobody /usr/libexec/tftpd tftpd /tftpboot
#
# Additions by who ever you are
bootps dgram udp wait root /usr/libexec/bootpd bootpd /etc/bootptab
もし /etc/inetd.conf ファイルを変更したときには、
inetd に HUP シグナルを送ってください。
これをするには、inetd のプロセス ID を
ps -ax | grep inetd | grep -v grep して
取得してください。プロセス ID がわかったら、
それに向けて HUP シグナルを送ってください。
これは kill -HUP <pid> として行います。
これによって inetd はその設定ファイルを読み直します。
ディスク無しシステム上でブートローダが出力した addr
の出力を覚えているでしょうか? ここでそれが必要となるのです。
/etc/bootptab (おそらくファイルを作成して) に
エントリを加えてください。それはこれと同様の書式で書きましょう。
altair:\
:ht=ether:\
:ha=004001432666:\
:sm=255.255.255.0:\
:hn:\
:ds=199.246.76.1:\
:ip=199.246.76.2:\
:gw=199.246.76.1:\
:vm=rfc1048:
これらの行は次のような意味です。
altair
ドメイン名を除いたディスク無しのシステムの名前
ht=ether
- 'イーサネット' ハードウェアタイプ
+ イーサネット
ハードウェアタイプ
ha=004001432666
(先に記録した) ハードウェアのアドレス
sm=255.255.255.0
サブネットマスク
hn
クライアントにクライアントのホスト名を送るよう、
サーバに伝えます
ds=199.246.76.1
ドメインサーバがどれなのかをクライアントに伝えます
ip=199.246.76.2
クライアントの IP アドレスが何なのかを
クライアントに伝えます
gw=199.246.76.1
デフォルトゲートウェイがどれなのかを
クライアントに伝えます
vm=...
これはそのままにしておいてください
IP アドレスは正しく設定してください。
上のアドレスはわたしだけのものです。
/tftpboot ディレクトリをサーバに作成して、
サーバがサービスを行うディスク無しのシステムのための設定ファイルをこのディレクトリに入れておきます。
これらのファイルは cfg.ip
という名前になっていて、ip
はディスク無しシステムの IP アドレスを表しています。
altair の設定ファイルは /tftpboot/cfg.199.246.76.2
となります。この中身は次のようになっています:
rootfs 199.246.76.1:/DiskLess/rootfs/altair
hostname altair.example.com
hostname altair.example.com
の行は単にディスク無しのシステムがどのような完全なドメイン名を持っているのかを表しています。
rootfs 199.246.76.1:/DiskLess/rootfs/altair
の行はディスク無しのシステムが
NFS でマウントできるルートファイルシステムの場所を表しています。
NFS でマウントされたルートファイルシステムは
読み出し許可だけで マウントされます。
ディスク無しのシステムの階層は要求されれば読み書き可能にして、
マウントし直すことができます。
わたしは予備の 386DX-40 を専用の X 端末として使用しています。
altair の階層は次の通りです。
/
/bin
/etc
/tmp
/sbin
/dev
/dev/fd
/usr
/var
/var/run
実際のファイルのリストは次の通りです。
-r-xr-xr-x 1 root wheel 779984 Dec 11 23:44 ./kernel
-r-xr-xr-x 1 root bin 299008 Dec 12 00:22 ./bin/sh
-rw-r--r-- 1 root wheel 499 Dec 15 15:54 ./etc/rc
-rw-r--r-- 1 root wheel 1411 Dec 11 23:19 ./etc/ttys
-rw-r--r-- 1 root wheel 157 Dec 15 15:42 ./etc/hosts
-rw-r--r-- 1 root bin 1569 Dec 15 15:26 ./etc/XF86Config.altair
-r-x------ 1 bin bin 151552 Jun 10 1995 ./sbin/init
-r-xr-xr-x 1 bin bin 176128 Jun 10 1995 ./sbin/ifconfig
-r-xr-xr-x 1 bin bin 110592 Jun 10 1995 ./sbin/mount_nfs
-r-xr-xr-x 1 bin bin 135168 Jun 10 1995 ./sbin/reboot
-r-xr-xr-x 1 root bin 73728 Dec 13 22:38 ./sbin/mount
-r-xr-xr-x 1 root wheel 1992 Jun 10 1995 ./dev/MAKEDEV.local
-r-xr-xr-x 1 root wheel 24419 Jun 10 1995 ./dev/MAKEDEV
dev ディレクトリで MAKEDEV all
するのを忘れずに。
altair の /etc/rc は
次の通りです。
#!/bin/sh
#
PATH=/bin:/
export PATH
#
# localhost の設定
/sbin/ifconfig lo0 127.0.0.1
#
# イーサネットカードの設定
/sbin/ifconfig ed0 199.246.76.2 netmask 0xffffff00
#
# NFS で root ファイルシステムをマウントする
/sbin/mount antares:/DiskLess/rootfs/altair /
#
# NFS で /usr ファイルシステムをマウントする
/sbin/mount antares:/DiskLess/usr /usr
#
/usr/X11R6/bin/XF86_SVGA -query antares -xf86config /etc/XF86Config.altair > /dev/null 2>&1
#
# X を終了すると再起動
/sbin/reboot
#
# うまく行かないときには....
exit 1
コメントや質問はどんなものでも歓迎します。
diff --git a/ja_JP.eucJP/articles/ipsec-must/article.sgml b/ja_JP.eucJP/articles/ipsec-must/article.sgml
index f5f0b0b6c4..bac1399559 100644
--- a/ja_JP.eucJP/articles/ipsec-must/article.sgml
+++ b/ja_JP.eucJP/articles/ipsec-must/article.sgml
@@ -1,341 +1,341 @@
%man;
]>
- FreeBSD の IPSec 機能を独立検証するには
+ FreeBSD の IPsec 機能を独立検証するには
David
Honig
honig@sprynet.com
1999 年 5 月 3 日
IPsec をインストールした時、
それがきちんと動作しているかどうか調べるにはどうしたら良いでしょう?
ここでは、IPsec の動作を検証する実験的な方法を紹介します。
問題
まず、IPsec
がインストールされていることを前提に話を進めます。
IPsec がきちんと動作しているかどうか知るにはどうしたら良いでしょう?
もちろん設定が間違っていればネットワーク接続が行なえないでしょうし、
接続できたということは設定が合っているからだ、という認識は間違っていません。
接続状態は &man.netstat.1; コマンドで確かめることができます。
しかし、それを独立して検証することは可能なのでしょうか?
解決方法
最初に、暗号に使われている情報理論について考えます。
暗号化されたデータは、一様に分布している。つまり、
各情報源シンボルは最大のエントロピーを持っている。
通常、未処理のデータや圧縮されていないデータは冗長である。
つまり、各情報源シンボルのエントロピーは最大ではない。
ネットワークインターフェイスを入出力するデータのエントロピーを測定できると仮定すると、
「暗号化されていないデータ」と「暗号化されたデータ」の両者に、
違いを見ることができるはずです。
このことは、パケットのルーティングが行なわれる場合の一番外側の IP ヘッダなど、
データの一部が 暗号化モード
で暗号化されなかったとしても成立します。
MUST
Ueli Maurer 氏の Universal Statistical Test for Random
Bit Generators
(MUST)
は、サンプルデータのエントロピーを高速に測定します。
これには圧縮と良く似たアルゴリズムが使われています。
文末に示すのは、
一つのファイル中で連続するデータ (最大 0.25 メガバイト)
を測定するコードです。
Tcpdump
さて次に、上記に加えてネットワーク上の生データを捕捉するための手段も必要になります。
それを実現するプログラムに、&man.tcpdump.1; と呼ばれるものがあります。
ただし、tcpdump を使うには、
カーネルコンフィグレーションファイルにおいて
Berkeley Packet Filter
インターフェイスが有効化されていなければなりません。
次のコマンド:
tcpdump -c 4000 -s 10000 -w dumpfile.bin
は、4000 個の生パケットを捕捉し、dumpfile.bin に記録します。
この例のでは 10,000 バイト以下のパケットのみ記録されます。
実験
では、実験してみましょう。
IPsec ホストと IPsec
を使っていないホストの両方にネットワーク接続してください。
そして パケットの捕捉
を開始します。
次に、IPsec を使っている
接続で &man.yes.1; という unix コマンドを実行します。
これは、y という文字の連続データを出力するものです。
しばらくしたらコマンドを停止させ、IPsec
を使っていない接続に対して同じコマンドを実行します。
こちらも、しばらくしたらコマンドを停止させてください。
ここで、MUST
を捕捉したパケットに実行すると、次のような出力が得られるはずです。
この中で重要なのは、期待値 (7.18) に対して、
IPsec を使った接続が 93% (6.7)、
通常の
接続が 29% (2.1)
という結果になっていることです。
&prompt.user; tcpdump -c 4000 -s 10000 -w ipsecdemo.bin
&prompt.user; uliscan ipsecdemo.bin
Uliscan 21 Dec 98
L=8 256 258560
Measuring file ipsecdemo.bin
Init done
Expected value for L=8 is 7.1836656
6.9396 --------------------------------------------------------
6.6177 -----------------------------------------------------
6.4100 ---------------------------------------------------
2.1101 -----------------
2.0838 -----------------
2.0983 -----------------
注意
この実験は暗号化の理論が示すとおり、IPsec
を使った通信では確かにペイロード中のデータに含まれるシンボルの生起確率が一様に分布する、
ということを示しています。
しかし、ここで示した実験ではシステム上の欠陥 (あるのかどうか知りませんが)
を検出することはできません。
ここで言う「欠陥」とは、たとえば暗号鍵生成や交換の不備や、
データや暗号鍵が他人に見られていないかどうかといった問題、
あるいはアルゴリズムの強度はどうか、
カーネルのバージョンは合っているかといったことです。
これらはソースを調べれば確かめることができます。
IPsec の定義
インターネットプロトコル セキュリティ拡張
(Internet Protocol security extensions) は
IP v4 と IP v6 に適用され、IP v6 への実装は必須となっています。
このプロトコルは IP (ホスト間) レベルで暗号化と認証を実現するためのものです。
たとえば SSL は一つのアプリケーションソケット、SSH はログイン、
PGP は特定のファイルやメッセージのみに対してそれぞれ安全性を提供しますが、
IPsec は 2 ホスト間のすべての通信を暗号化します。
IPsec のインストール
FreeBSD の最近のバージョンでは
IPsec のサポートが基本のソースコードに含まれています。
それ故、あなたはおそらく
オプションをカーネルコンフィグファイルに追加し、
カーネルを再構築/再インストールして &man.setkey.8; コマンドで
IPsec 接続を設定すればよいはずです。
FreeBSD で IPsec を実行する包括的なガイドは
FreeBSD
ハンドブックで提供されています。
src/sys/i386/conf/KERNELNAME
ネットワークデータを &man.tcpdump.1;
で補足するためにはカーネルコンフィグファイルには以下の行が必要です。
追加後 &man.config.8; を実行しカーネルの再構築/再インストールを
行なってください。
device bpf
Maurer's Universal Statistical Test (ブロックサイズ = 8 ビット)
同一のコードを
このリンクから入手することができます。
/*
ULISCAN.c ---blocksize of 8
1 Oct 98
1 Dec 98
21 Dec 98 uliscan.c derived from ueli8.c
This version has // comments removed for Sun cc
This implements Ueli M Maurer's "Universal Statistical Test for Random
Bit Generators" using L=8
Accepts a filename on the command line; writes its results, with other
info, to stdout.
Handles input file exhaustion gracefully.
Ref: J. Cryptology v 5 no 2, 1992 pp 89-105
also on the web somewhere, which is where I found it.
-David Honig
honig@sprynet.com
Usage:
ULISCAN filename
outputs to stdout
*/
#define L 8
#define V (1<<L)
#define Q (10*V)
#define K (100 *Q)
#define MAXSAMP (Q + K)
#include <stdio.h>
#include <math.h>
int main(argc, argv)
int argc;
char **argv;
{
FILE *fptr;
int i,j;
int b, c;
int table[V];
double sum = 0.0;
int iproduct = 1;
int run;
extern double log(/* double x */);
printf("Uliscan 21 Dec 98 \nL=%d %d %d \n", L, V, MAXSAMP);
if (argc < 2) {
printf("Usage: Uliscan filename\n");
exit(-1);
} else {
printf("Measuring file %s\n", argv[1]);
}
fptr = fopen(argv[1],"rb");
if (fptr == NULL) {
printf("Can't find %s\n", argv[1]);
exit(-1);
}
for (i = 0; i < V; i++) {
table[i] = 0;
}
for (i = 0; i < Q; i++) {
b = fgetc(fptr);
table[b] = i;
}
printf("Init done\n");
printf("Expected value for L=8 is 7.1836656\n");
run = 1;
while (run) {
sum = 0.0;
iproduct = 1;
if (run)
for (i = Q; run && i < Q + K; i++) {
j = i;
b = fgetc(fptr);
if (b < 0)
run = 0;
if (run) {
if (table[b] > j)
j += K;
sum += log((double)(j-table[b]));
table[b] = i;
}
}
if (!run)
printf("Premature end of file; read %d blocks.\n", i - Q);
sum = (sum/((double)(i - Q))) / log(2.0);
printf("%4.4f ", sum);
for (i = 0; i < (int)(sum*8.0 + 0.50); i++)
printf("-");
printf("\n");
/* refill initial table */
if (0) {
for (i = 0; i < Q; i++) {
b = fgetc(fptr);
if (b < 0) {
run = 0;
} else {
table[b] = i;
}
}
}
}
}