2008/08/26 08:00

Linux OSでは、ちょっとしたコツをつかむことで使い勝手の良い、安全なネットワークを実現することができる。そこでLinuxのさまざまなネットワーク設定作業を最小限の手間でこなすためのティップスを紹介する。

Linuxを使うことでネットワークをシンプルかつセキュアなものにすることができる--ちょっとしたコツをつかんでいさえすれば。本記事では、Linuxのさまざまなネットワーク設定作業を最小限の手間でこなすためのティップスを挙げている。

　ネットワークはコンピューティングのあらゆるレベルで不可欠なものとなっている。コンピュータを家庭で使う場合であろうと企業で使う場合であろう と、ネットワーク設定がコンピューティングにおける難関であることに疑いの余地はない。とは言うものの、Linux OSの場合、ちょっとしたコツをつかむだけで、使い勝手の良い、安全なネットワークを実現することができるのだ。以下に、Linuxにおけるネットワーク 設定作業の円滑化に役立つティップスを紹介する。

＃1：/etc/hostsファイルを利用する

　hostsファイルはホスト名を静的に設定しておくため使用されるものであり、これによってネットワーク上のショートカットを作成するための手っ 取り早い方法が提供される。私がLinuxマシンを設定する場合、まず最初に/etc/hostsにさまざまなマシンを追加するという作業を行う。この作 業を行うことで、IPアドレスを何度も入力する手間を省くことができるのだ。hostsファイルのアドレス指定フォーマットは以下のようになっている。

IPアドレス ホストのニックネーム

　例えば、バックアップ用として使用するマシン（backups）のIPアドレスが192.168.1.101である場合、以下のように入力することになる。

192.168.1.101 backups

　これで、例えばセキュアシェルを用いてこのマシンに接続する際には、以下のように入力すればよいようになる。

ssh -v -l ユーザー名 backups

＃2：/etc/hosts.denyを使用して、特定ユーザーからのアクセスを拒否する

　hosts.denyファイルもまた、便利な「ホスト指定」ファイルである。このファイルを用いることで、クライアント名もしくはサーバ名に基づ いたアクセス制御が可能になる。これには便利な使い道がたくさんある。ドメイン名を指定して、それらのドメインからあなたのネットワークに対するアクセス を禁止したり、ユーザー名を指定して、それらのユーザーから特定のマシンに対するアクセスを禁止したりすることができるのだ。そして、どのような使い方を する場合であっても、その指定方法は変わらない。

　例えば、bad.domain.nameというドメインからのマシンアクセスを拒否したいとしよう。そのためにはまず/etc /hosts.denyファイルをエディタでオープンし（sudoコマンドを使用するなどして、root権限を取得する必要がある）、このファイルの末尾 に以下の記述を追加する。

ALL: bad.domain.name

　ファイルを保存すれば準備は完了だ。

＃3：wicdを使用することで無線ネットワーク設定の悩みから解放される

　無線ネットワーク設定に関する問題に悩んだ末に、サーバラックに頭を打ち付けることが何度あったことか。Linuxと無線ネットワークの相性は、 近年まであまり良いものではなかった。しかし、そういった状況は過去のものとなりつつある。最近のディストリビューションでは、無線ネットワークカードの 検出が簡単になっている。現在の問題は暗号化である。

　こと暗号化が絡んできた場合、Linux用の無線ネットワークツールには問題を抱えているものが多い。しかし、wicdというツールはそういった 問題の面倒を見てくれるのである。これによってWPAやWPA2といった暗号化無線ネットワークへの接続が簡単になるのだ。さらに、驚くほど使いやすい wicdのGUIによって、悩みの種が1つ消えることになるのである。

＃4：iptables用のフロントエンドをダウンロードし、インストールする

　Linuxを使っているというだけの理由でネットワークが安全であると思い込んではいけない。それでも何らかのセキュリティ対策が必要となるの だ。そして、Linuxで実現できる最高のセキュリティ対策がiptablesであるというわけだ。iptablesの唯一の問題は、（特に初心者にとっ て）取っつきにくいということだ。幸いなことに、iptables用の素晴らしいGUIフロントエンドがいくつか存在している。その中でも最もよくできて いるのがFirestarter だ。このフロントエンドはiptablesの操作をシンプルなものにしてくれるため、学習が大変そうだからという理由でセキュリティ対策を避け続けなくてもよくなるのである。

＃5：コマンドラインツールを使えるようになる

　事実に直面しよう：Linuxを使っているのであれば、ネットワークの再起動が必要となり、GUIツールを利用できないという状況にも遭遇するは ずだ。そのような場合には、/etc/rc.d/network restartでネットワークが再起動できるということを知っていれば、問題が解決する。もちろん、ネットワーク関連のコマンドラインツールがこれだけで あるというわけではない。他にもdhclientやtraceroute、samba、ping、netstatなどを知っておくべきだろう。

＃7：ClamAVをインストールする

　メールサーバを運用している場合、ウィルス対策は必須である。Linuxを利用しており、運用中のメールサーバは99.9999999％の確率で ウイルスに対する免疫を持っていると判っていたとしても、そのメールサーバからメールをダウンロードするクライアントすべてがウイルスに対する免疫を持っ ているということにはならないのだ。このことを念頭に置き、LinuxメールサーバにClamAVといったウイルス対策ソフトウェアをインストールしてお くことで、管理者としてのあなたの仕事はずっと楽になるはずだ。そうすることで安心感を得ることができるうえに、ユーザーがあなたのオフィスまで文句を言 いに来るという事態を避けることができるはずである。

＃8：IPアドレスを手作業で設定する方法を知っておく

　もちろん、IPアドレスを設定するためのGUIツールは存在している。そして、当然のことながらそれらはちゃんと動作する。しかし、どういった OSを使用していようと、管理者としての経験が長くなると、仕事をこなしていくうえで予備のツールを持っておくに越したことはないということが判ってくる のだ。Linuxのネットワーク設定を行うための優れた予備ツールとしてifconfigコマンドを挙げることができる。このコマンドを用いること で、（引数を指定せずとも）ネットワークカードの情報を取得できるだけでなく、ネットワークカードを手作業で設定することもできるのだ。こういった設定は 以下のようにして行う。

/sbin/ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255

　上記の設定例において、あなたの環境に特有の部分は、もちろんのことながら置き換える必要がある。

＃9：/etc/interfaces（Ubuntuの場合）や/etc/sysconfig/network-scripts（Red HatやFedoraの場合）について知っておく

　こういったファイルには、各ネットワークインタフェースの情報が記録されている。そしてファイルの記述フォーマットは以下のようになっている。

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet dhcp

auto eth1

iface eth1 inet dhcp

auto eth2

iface eth2 inet dhcp

auto ath0

iface ath0 inet dhcp

auto wlan0

iface wlan0 inet dhcp

　上記を見ていただくと判るように、すべてのインタフェースがdhcpに設定されている。これは私が持ち歩いているノートPCの設定であるため、dhcp が必須となっているのである。しかし、もしも私が毎回同じ場所で有線のインタフェースを用いることになった場合はどうなるのだろうか？その場合には、以下 のように（Ubuntuの場合）、eth0インタフェースに情報をハードコーディングすることになる。

iface eth0 inet static

        address 192.168.1.10 

        netmask 255.255.255.0

        broadcast 192.168.1.255

        network 192.168.1.104

        gateway 192.168.1.1

あるいは（Red HatやFedoraの場合）

DEVICE=eth0

BOOTPROTO=static

BROADCAST=192.168.1.255

IPADDR=192.168.1.10

NETMASK=255.255.255.0

NETWORK=192.168.1.104.0

ONBOOT=yes

上記の設定例においても、あなたのネットワークやデバイス特有の部分は置き換える必要がある。

＃10：Sambaの設定時にsmbpasswdを忘れないようにする

　クライアントがSambaの問題で私のところに来る場合、その原因はほぼ間違いなく、smbpasswdを用いてユーザーとパスワードを追加して いないというものである。この作業を行わないと、ユーザーはSambaサーバの認証を行うことができないのだ。そして、smbpasswdを用いて新規 ユーザーを追加する際には、以下のように-aを付加する必要がある。

smbpasswd -a ユーザー名

　Enterキーを押下した後で、ユーザーパスワードを（2度）尋ねられる。注意：この作業を行うには、sudoコマンドを使用するなどして、root権限を取得する必要がある。

　これら10個のティップスによって、Linuxネットワークのさまざまな設定が容易に行えるようになるはずである。今後、コマンドラインを使わざ るを得なくなったり、iptable用のGUIフロントエンドを使う必要が出てきたとしても、あなたはそういった状況に対処できるようになっているはず だ。