[Q] How to access an insecure remote disk?
Takahide Nojima
[Q] 全くセキュアでない環境に置かれたLinuxマシンのディスクを
セキュアな環境にあるWindows2000 Workstationからアクセスしたいです。
[1] Windows2000 Workstationのユーザから見て出来るだけシームレスに
Linuxマシン上のディスクをアクセスでき、かつ、
[2] Windows2000 Workstation側はできるだけセキュアに保たれる。
万一LinuxマシンがクラックされてもWindows2000 Workstation側は
セキリュティ上あまり影響を受けないようにしたい、かつ、
[3] Windows2000 WorkstationとLinuxマシンの間は何段かルータが入り、
経路だけはセキュアな環境にある。
上の条件を満すには、どういったプロトコル、もしくは、どういったサービスを
使うと良いのでしょうか?
なお、ここでいうシームレスな操作とは、
・Linuxマシン上のディスクがあたかもWindowsのローカルディスクの
ように見える
(例:Windowsのエディタで保存するとLinuxマシン上のディスク上に
保存される、DOS窓で動くようなローカルディスクの操作を対象とした
プログラムによりLinuxマシン上のディスクがアクセスできる等)
ことを指します。
いろいろ調べたのですが結局良さそうな方法がみつかりません。どなたか
良さそうな方法をご存じの方は教えていただけると幸いです。
自分なりに考察すると、
[a] エクスプローラからftp://xxxでアクセスしてみましたが、
Linuxのホームディレクトリより上のディレクトリに移動するのが辛く、
(あるいは、ディスクボリューム毎にアカウントを用意しなければならないとか)
さらにマウントが出来無いので、[1]が満せず、
[b] WebDavも[1]が満せず、
[c] sambaで何とかLinuxのディスクをローカルに持ち込む方法を考えたのですが、
[2]を満すのが難しく、
[d] 只のFTPソフト/SSHクライアントでは[1]が難しい
等で困っています。
#[a]~[d]が間違っているという情報でも結構です。
Takahide Nojima
l...@uni.sony.co.jp
佐藤通敏です。
Takahide Nojima <noj...@taito.co.jp> writes:
> nojimaです。
>
> [Q] 全くセキュアでない環境に置かれたLinuxマシンのディスクを
> セキュアな環境にあるWindows2000 Workstationからアクセスしたいです。
>
> [1] Windows2000 Workstationのユーザから見て出来るだけシームレスに
> Linuxマシン上のディスクをアクセスでき、かつ、
>
> [2] Windows2000 Workstation側はできるだけセキュアに保たれる。
> 万一LinuxマシンがクラックされてもWindows2000 Workstation側は
> セキリュティ上あまり影響を受けないようにしたい、かつ、
セキュリティの程度問題になりますが、ウィルス入りのファイルをLinux側に
置かれた場合にlocalに伝染するを避ける手段が必要となるかもしれません。
> [3] Windows2000 WorkstationとLinuxマシンの間は何段かルータが入り、
> 経路だけはセキュアな環境にある。
一番簡単なのは、Linux側でsshdを動かしてWindows側からscp(WinSCP)を
使うのが楽だと思います。
> 上の条件を満すには、どういったプロトコル、もしくは、どういったサービスを
> 使うと良いのでしょうか?
>
> なお、ここでいうシームレスな操作とは、
>
> ・Linuxマシン上のディスクがあたかもWindowsのローカルディスクの
> ように見える
WinSCPではシームレスにはできませんので一旦ローカルディスクに
saveしておいて定期的にWinSCPを動かすようになるかと思います。
> (例:Windowsのエディタで保存するとLinuxマシン上のディスク上に
> 保存される、DOS窓で動くようなローカルディスクの操作を対象とした
> プログラムによりLinuxマシン上のディスクがアクセスできる等)
>
> ことを指します。
>
> いろいろ調べたのですが結局良さそうな方法がみつかりません。どなたか
> 良さそうな方法をご存じの方は教えていただけると幸いです。
>
> 自分なりに考察すると、
>
> [a] エクスプローラからftp://xxxでアクセスしてみましたが、
> Linuxのホームディレクトリより上のディレクトリに移動するのが辛く、
> (あるいは、ディスクボリューム毎にアカウントを用意しなければならないとか)
> さらにマウントが出来無いので、[1]が満せず、
>
> [b] WebDavも[1]が満せず、
>
> [c] sambaで何とかLinuxのディスクをローカルに持ち込む方法を考えたのですが、
> [2]を満すのが難しく、
sshでトンネリングするという手段が取れるかもしれません。
Takeshi Suyama
Takahide Nojimaさんの<m31xysy...@nightmare.hm.taito.co.jp>から
> [b] WebDavも[1]が満せず、
Windows XPであれば,WebDavでもネットワークドライブの割り当て
ができたと思います。
> [c] sambaで何とかLinuxのディスクをローカルに持ち込む方法を考えたのですが
>、
> [2]を満すのが難しく、
この満たせないと判断されたのは,どういう理由からでしょうか。
Sambaはインターネット上でサービスを公開するようなものでもな
いので,何となく理解できますが,具体的な理由をお聞かせいただ
ければ,ありがたいです。
--
Takeshi Suyama mailto:tsu...@be.to
Ishikawa
> Linuxのホームディレクトリより上のディレクトリに移動するのが辛く、
これはLinux 側の ftp の設定でどうにでもなるかとおもいますが。
というかlinux 側で / (root) をホームディレクトリしてアクセス
できるようなユーザを用意して、そのアカウントでftp にログイン
(しかも ftp daemon 側では
セキュアでないという前提なので、アカウントを
共有するわけでもないので上のようにすれば問題ないとおもうのですが。
それとも、 ftpデーモン 側で chage root したファイルシステムの一部しか
アクセスできないという話でしょうか?
少くとも自宅のlinux PC に対して、別の win98se のPC
のブラウザ(ネットスケープ)から
ftp://username@linux-pc-ip-address/
でアクセスして、それでいろいろ処理できています。
ここで気付きましたが、ひょっとしてこのURLで直接、たとえば ルート直下の
ファイル名などの指定方法がわからないという話でしょうか。
--
int main(void){int j=2003;/*(c)2003 cishikawa. */
char t[] ="<CI> @abcdefghijklmnopqrstuvwxyz.,\n\"";
char *i ="g>qtCIuqivb,gCwe\np@.ietCIuqi\"tqkvv is>dnamz";
while(*i)((j+=strchr(t,*i++)-(int)t),(j%=sizeof t-1),
(putchar(t[j])));return 0;}/* under GPL */
Takahide Nojima
Takeshi Suyama <tsu...@be.to> writes:
> Takahide Nojimaさんの<m31xysy...@nightmare.hm.taito.co.jp>から
> > [b] WebDavも[1]が満せず、
>
> Windows XPであれば,WebDavでもネットワークドライブの割り当て
> ができたと思います。
え?これは初耳でした。早速試してみます。もし良かったら、使用の感想について
ひょっとしてご存じでしたら教えていただけると幸いです。また、
[1] 安定性について
(例: サーバ側の反応が遅かったりした場合、Windows XPはどういう影響を
受けたりするか?)
[2] WebDavをWindows XPでドライブにマウントした場合に留意した方が良いような話
[3] Linux Boxから/fooをWebDavで公開している場合、
Windows XP側で/foo/bar/barディレクトリをWindows XPのローカルディスク
としてマウント出来るかどうか
(つまり、W:ディレクトリにマウントした場合、W:\foo.txtをopen()すると、
きちんとLinux Box側の/foo/bar/bar/foo.txtを操作できるか)
など私見で結構ですので、ご存じでしたら教えていただけないでしょうか?
このあたりをWebでさんざん探したのですが、何故かみつけられませんでした。
WindowsXPのドライブとしてマウント(例えばW:ドライブにマウントすると、
fopen()でアクセスしたらちゃんとWebDav経由でファイル操作されるとか)が
出来るものなのでしょうか?
> > [c] sambaで何とかLinuxのディスクをローカルに持ち込む方法を考えたのですが
> >、
> > [2]を満すのが難しく、
>
> この満たせないと判断されたのは,どういう理由からでしょうか。
> Sambaはインターネット上でサービスを公開するようなものでもな
> いので,何となく理解できますが,具体的な理由をお聞かせいただ
> ければ,ありがたいです。
1. Linux Boxが存在する場所へsambaプロトコルを通すのに、
・安全にかつ、
・Windowsが動作不良しないように
通す為にどういったIPフィルタを仕掛けるべきかが不明。
2. 単純なIPフィルタ機構では、
Linux Box <- WindowsからのSMBプロトコルによるアクセスを許可
Linux Box -> WindowsへのあらゆるSMBプロトコルによるアクセスを不許可
はプロトコル上不可能ではないか?
3. SMBプロトコルのプロキシ実装も見当たらない
という理由によるものです。間違いでしょうか?
Takahide Nojima
Ishikawa <ishi...@yk.rim.or.jp> writes:
> これはLinux 側の ftp の設定でどうにでもなるかとおもいますが。
>
> というかlinux 側で / (root) をホームディレクトリしてアクセス
> できるようなユーザを用意して、そのアカウントでftp にログイン
> (しかも ftp daemon 側では
>
> セキュアでないという前提なので、アカウントを
> 共有するわけでもないので上のようにすれば問題ないとおもうのですが。
運用管理の関係上、アクセスの為に一人のユーザに2つアカウントを
用意したくないのが理由です。
2つアカウントを用意するとアカウントに対する権限の管理が面倒になって
しまいます。しかも今回想定のWindowsのユーザは、
アカウントの権限について無知である場合が多いためユーザを無用に混乱
させてしまうのをさけたいこともあります。
例えば、普通のftpクライアントでは、fooというアカウントでログインすれば
Linux Boxのどこのディレクトリにも移動することが出来、ファイルもfooのアカウント
のみで作成されるためユーザから見ればファイル操作権限は単純です。しかし、
2つのアカウントを用意すると、2つのアカウントを一人のユーザが使い分ける
ことになり、2つのアカウント共々グループ権限のwパーミッションが立ってないと
互いの権限ではファイルを更新できないという現象になってあらわれます。
アクセスの為に2つのアカウントを用意するぐらいなら、
普通のFTPクライアントソフトの方が自分的には管理の手間がなくて良いです。
> それとも、 ftpデーモン 側で chage root したファイルシステムの一部しか
> アクセスできないという話でしょうか?
いえ、こちらは問題ありません。
苦肉の策として、/home/fooに/home/foo/mnt-->/なるシンボリックリンクを
Linux Box側に張ってみましたが、エクスプローラ側が混乱するみたいです。
Takeshi Suyama
Takahide Nojimaさんの<m38yszn...@nightmare.hm.taito.co.jp>から
>え?これは初耳でした。早速試してみます。もし良かったら、使用の感想について
>ひょっとしてご存じでしたら教えていただけると幸いです。また、
実は,XPは使ったことがないので,自分では確認していませんが,
http://www.todo.ne.jp/webdav/ml_data/msg00043.html
上記の情報を見ると,使えるようです。
> [1] 安定性について
> (例: サーバ側の反応が遅かったりした場合、Windows XPはどういう影響を
> 受けたりするか?)
これは,何ともいえないですね。ただ,WindowsのWebDavの機能は
,結構癖があるので,疑った方がいいと思います。
> [2] WebDavをWindows XPでドライブにマウントした場合に留意した方が良いような
>話
マウントして使った方がいいと思います。Webフォルダ経由のアク
セスは,今ひとつ安定していないような気がします。Windows
2000 Professionalの場合ですが。
> [3] Linux Boxから/fooをWebDavで公開している場合、
> Windows XP側で/foo/bar/barディレクトリをWindows XPのローカルディスク
> としてマウント出来るかどうか
> (つまり、W:ディレクトリにマウントした場合、W:\foo.txtをopen()すると、
> きちんとLinux Box側の/foo/bar/bar/foo.txtを操作できるか)
>
>など私見で結構ですので、ご存じでしたら教えていただけないでしょうか?
Windows XPなら可能だと思いますので,試してみてください。近く
に,XPが内ので,確認することができないのです。
あと,ご存じだとは思いますが,Apacheで日本語ファイル名を使う
場合は,mod_encodingを使う必要があります。
> このあたりをWebでさんざん探したのですが、何故かみつけられませんでした。
確かに,ありませんね。私はとてもおもしろい機能だと思うのです
が。
# 安定して使えればという条件付きですが。
> WindowsXPのドライブとしてマウント(例えばW:ドライブにマウントすると、
>fopen()でアクセスしたらちゃんとWebDav経由でファイル操作されるとか)が
>出来るものなのでしょうか?
APIレベルできちんと互換性をとっているのかどうか,そこまでは
わかりません。
> 1. Linux Boxが存在する場所へsambaプロトコルを通すのに、
>
> ・安全にかつ、
>
> ・Windowsが動作不良しないように
>
> 通す為にどういったIPフィルタを仕掛けるべきかが不明。
Sambaが使用するポートにかんしては,下記のページを参照されて
みてはいかがでしょうか。
http://www.samba.gr.jp/project/kb/J0/1/14.html
139/tcpだけあけておけば,最低限は使えるようです。
> 2. 単純なIPフィルタ機構では、
>
> Linux Box <- WindowsからのSMBプロトコルによるアクセスを許可
> Linux Box -> WindowsへのあらゆるSMBプロトコルによるアクセスを不許可
>
> はプロトコル上不可能ではないか?
上記と関連しますが,NetBIOS名を使用しないで,ネットワークド
ライブを割り当てるという運用をすれば,139/tcpだけあけておけ
ばいいので,可能ではないでしょうか。なお,NetBIOS名を使用し
ないで,ネットワークドライブを割り当てるというのは,
net use h: \\192.168.0.1\hogehoge
という形で割り当てる方法です。
> 3. SMBプロトコルのプロキシ実装も見当たらない
あるという話を聞いたことがありますが,具体的に,よくわかりま
せん。でも,商用製品だったと思います。オープンソースでは聞い
たことがありませんね。
ちなみに,Round Trip Timeが大きいネットワーク環境では,
Sambaのパフォーマンスはがた落ちなので,パフォーマンスを追求
するので有れば,やめておいた方がいいかもしれません。ちなみに
,私が測定したときは,httpと比較して,10分の1しか出ませんで
した。
Takahide Nojima
Takeshi Suyama <tsu...@be.to> writes:
> 実は,XPは使ったことがないので,自分では確認していませんが,
>
> http://www.todo.ne.jp/webdav/ml_data/msg00043.html
>
> 上記の情報を見ると,使えるようです。
ありがとうございました。なるほどです。
> > [1] 安定性について
> > (例: サーバ側の反応が遅かったりした場合、Windows XPはどういう影響を
> > 受けたりするか?)
>
> これは,何ともいえないですね。ただ,WindowsのWebDavの機能は
> ,結構癖があるので,疑った方がいいと思います。
了解です。
> > [2] WebDavをWindows XPでドライブにマウントした場合に留意した方が良いような
> >話
>
> マウントして使った方がいいと思います。Webフォルダ経由のアク
> セスは,今ひとつ安定していないような気がします。Windows
> 2000 Professionalの場合ですが。
なるほどです。了解です。
> > 1. Linux Boxが存在する場所へsambaプロトコルを通すのに、
> >
> > ・安全にかつ、
> >
> > ・Windowsが動作不良しないように
> >
> > 通す為にどういったIPフィルタを仕掛けるべきかが不明。
>
> Sambaが使用するポートにかんしては,下記のページを参照されて
> みてはいかがでしょうか。
>
> http://www.samba.gr.jp/project/kb/J0/1/14.html
>
> 139/tcpだけあけておけば,最低限は使えるようです。
ありがとうございます。了解しました。
> 上記と関連しますが,NetBIOS名を使用しないで,ネットワークド
> ライブを割り当てるという運用をすれば,139/tcpだけあけておけ
> ばいいので,可能ではないでしょうか。なお,NetBIOS名を使用し
> ないで,ネットワークドライブを割り当てるというのは,
>
> net use h: \\192.168.0.1\hogehoge
>
> という形で割り当てる方法です。
なるほどです。 Windowsがいるネットワーク上のブラウズマスタ改造して、
ブラウズリストに遠隔のLinuxマシンのIPアドレスひっそり混ぜておき、
winsの返却値にもひっそり混ぜておけば、きっと、
・ブラウズも可能だし、セキリュティも保てる?
のでしょうか?今度やってみるつもりです。
> ちなみに,Round Trip Timeが大きいネットワーク環境では,
> Sambaのパフォーマンスはがた落ちなので,パフォーマンスを追求
> するので有れば,やめておいた方がいいかもしれません。ちなみに
> ,私が測定したときは,httpと比較して,10分の1しか出ませんで
> した。
なるほどです。情報ありがとうございました。
Takahide Nojima
Takahide Nojima <noj...@taito.co.jp> writes:
> > > 1. Linux Boxが存在する場所へsambaプロトコルを通すのに、
> > >
> > > ・安全にかつ、
> > >
...中略...
> なるほどです。 Windowsがいるネットワーク上のブラウズマスタ改造して、
> ブラウズリストに遠隔のLinuxマシンのIPアドレスひっそり混ぜておき、
> winsの返却値にもひっそり混ぜておけば、きっと、
>
> ・ブラウズも可能だし、セキリュティも保てる?
>
> のでしょうか?今度やってみるつもりです。
これはsambaだけで可能でした。以下に概要をかきます。
#今日まで知りませんでした。
おかげ様でリモートのLinuxのHDDをWindowsへSecureにexportできました。
以下の方法以外でもちっとエレガントな方法があれば知りたく思います。
もしご存知の方は教えてください。
----------------概要ここから--------------------
[仮定]
・マイクロソフトネットワークはワークグループ構成
・proxyしたいホストをHostA,HostB,...と仮定
[設定方法]
[1] Windowz側のネットワーク上にHostA,HostB...と同じ台数分だけ
仮想ホストをLinuxマシンを用いて作る。
[2] 以下のような内容を含むnmbd向けの設定ファイルをHostA,HostB...
と同じ台数分だけマシンの台数分用意する。以下はHostAの例:
-------- nmb-HostA.conf ------
netbios name = HostA-dsk
log file = /var/log/samba/%m-HostA.log
pid directory = /var/log/samba/HostA
interfaces = HostA用に用意した仮想ホストのIPアドレス
bind interfaces only = yes
-------- nmb-HostA.conf ------
nmbd -s nmb-HostA.conf -D
[3] delegated等のtcp_relay等を用い、HostA,HostB...各々のPort
139/tcpを[2]で作成した仮想ホスト上の139/tcpにリレーする。
(proxy方向/通信許可は Windows側ネット->HostA,HostBにあるネット)
[4] proxyしたいマシン上でsmbdだけ動かしておく。
[5] Windows*のエクスプローラで見ると、マイクロソフトネットワーク上に
[2]で作成したnetbios nameを持つマシンが並ぶ。このマシンに
対してファイル操作を行うとHostA,HostB,...のディスクが操作できる。
----------------概要ここまで--------------------
Ishikawa
> > アクセスできないという話でしょうか?
>
> いえ、こちらは問題ありません。
>
> 苦肉の策として、/home/fooに/home/foo/mnt-->/なるシンボリックリンクを
> Linux Box側に張ってみましたが、エクスプローラ側が混乱するみたいです。
すでに Samba で解決しているようなので、補足ですが、
上の問題はどうもエクスプローラのbug/feature かもしれません。
netscape でやってみると
ftp://ishikawa@linuxipaddress
->
ftp://ishikawa@linuxipaddress/home/ishikawa (自動的にホームに)
ftp://ishikawa@linuxipaddress/ これでルートディレクトリのアク
セスが
できます。
ftp://ishikawa@linuxipaddress/tmp これで /tmp のアクセスができ
ます。
しかし、極めつけは IE 6.0.x で試したら少くともインストールしたままの
default では
上のようなアクセスをしても /home/ishikawa のところが表示されるだけで
上のディレクトリをたどるリンクが表示されないので、簡単に移動できないのは
おっしゃる通りですね。正直これでは不可能です。
netscape 4.xx では ちゃんと上のディレクトリへのリンクがでるので、
自然にたどることができます。(上の / とか /tmp へのアクセスは
そうしてたどっていったときに URL pane に表示されるものを示しています。)
netscape 7.02 でも同様でも問題なく扱えるかと思ったら、
上のディレクトリのリンクの表示がでません(!)。
でふと思い付き ../ を使って
ftp://ishikawa@linuxipaddress/../
とすると 上記でいうと /home の下が表示されました。
../../
を使うことで root directoryが表示されます。
そのあとをたどることはできます。
さてはとおもって IEで同じことをしようとしたらそもそも ../ をつかっても
エラーで表示されません。
これでは確かにftp のクライアントとしてはあまり便利に使えませんね。
mozilla の最新版でどうなっているかまでは確かめてません。
IE, netscape は win98se の下のバージョンです。
Ishikawa
問題をclient 側ですでに抑制してしまおうという話なのかも
しれませんが、ftp サーバーで許しているのが使えないのは
やっぱりちょっと問題でしょうね。
Netscape 7.02 で ../ に相当するリンクが表示されない(自分で
URLを書けば問題なく使える)のも同じような理由かもしれません。
とはいえ、これも不便には代わりありませんし、中途半端という
感じがします。
Takahide Nojima
#ちゃちゃです。
Ishikawa <ishi...@yk.rim.or.jp> writes:
> IE で ../ が使えないのは HTTPサーバーなどでの file traversal の
> 問題をclient 側ですでに抑制してしまおうという話なのかも
> しれませんが、ftp サーバーで許しているのが使えないのは
> やっぱりちょっと問題でしょうね。
>
> Netscape 7.02 で ../ に相当するリンクが表示されない(自分で
> URLを書けば問題なく使える)のも同じような理由かもしれません。
> とはいえ、これも不便には代わりありませんし、中途半端という
> 感じがします。
実は自分にはIEの実装を他のツールでも見かけたことがあります。
古いncftpが確かアクセス先をURL表記した場合現在のIEと同じ振舞いをしてました。
#現在のncftpにこの挙動はありません。ver 3.の幾つかでChangeLogに修正した
#旨はいってました。