ニコニコ動画とサイト関連情報

行うとは？

このことから教会が教会であるためには霊的な善が、すなわち、真理の善が存在しなくてはならないのであり、決して真理のみであってはならないことを認めることができよう、が、真理のみから現今では教会は教会と呼ばれており、教会は互いに他から区別されているのである。だれでもその者自身の中に、真理が生命[生活]を目的としないなら、それに何の意味があるか否かを考えてみられよ。 その目的がないなら教義的なものは何であろうか。十誡の教えはそれに従った生活がなくては何であろうか。なぜならもしたれかがその教えとその意味の凡てを完全に知っているにしても、それに反した生活を送るなら、それに何の益があろうか。それに一体何の効果があろうか。 私の弟子たちの助けを借りて、知って信じるだけでなく、私の教えたことを実行しなさい。そうすれば永遠の命を得るでしょう。 すべてこの世の完全には、必ず不完全な所があり、すべて私たちの悟りにはいくぶんあいまいな所があるのを免れない。 だからけんそんに自分のどういう者であるかを認めることは、学問を深く究めるよりも神に至るいっそうたしかな道である。 しかし学問や、ある物事についての単純な知識は、それだけでは本来よいことで、かつ神に定められたものであるから、別にとがむべきではない。ただ潔白な良心と善徳の生涯とは、さらにそれよりすぐれているというだけである。 ところが多くの人々は、善徳の生涯を送るよりも、知識を得ることに力を入れるから、しばしばまちがった道にふみこんで、効果が少しも得られなかったり、得たとしても言うに足りないほどであったりするのである。 ああ、人々がもし知識上のことを問題にするほど熱心に、悪を去り善を行うのに努めたならば、世間にはこれほど多くの罪悪（つみ）や醜聞（いやなこと）も起らず、また修道院内にもこれほど多くの不規律はなかったろうに。 まことに、審判の日に私たちが尋ねられるのは、なにを読んだかということではなく、なにをしたかということであり、いかに雄弁を揮ったかということではなくいかに信仰厚く生活（くら）したかということである。 こうしたものが、またそれに似たものが誤謬化された信仰の諸真理であることは極めて明白である、なぜなら人間を霊的なものにするものは信仰の生活であって信仰ではないことを―それが生命の中に植えつけられていないかぎり、そうした信仰ではないことを―正当に考えて、知らない者があろうか。人間の生命はかれの愛であり、かれはその欲するものを欲し、意図し、またその欲し、意図するものを行うのである。これは人間の存在ではあるが、かれが知りもし、考えもするが、欲しはしないものはその存在ではない。この人間の存在は調停と救いとについて考えることによっては他の存在に変化することはできないで、新たに再生することにより変化することができるのであり、それもかれの生涯の大部分にわたって行われるのである。なぜならかれは新たにみごもり、生まれ、成長しなくてはならないのであり、そのことは考えたり、話したりすることによっては行われないで、欲し、行動することにより行われるからである。 それで、意志と行為とは一つのものであり、意志は愛の努力であるからには、必然的に以下のことが起こっている、すなわち、聖書においては『愛する』は、行う以外の意味を持たないし、かくて『主を愛し、隣人を愛する』は、主から発している愛から隣人にいくたの用を遂行することを意味している。それがそうであることを主御自身がヨハネ伝に教えられている― わたしの戒めを守り、それを行う者、その者がわたしを愛する者である、しかしわたしを愛さない者はわたしの言葉を守らない（１４・２１，２４）。 わたしの愛の中にとどまりなさい。もしあなたらがわたしの戒めを守っているなら、あなたらはわたしの愛の中にとどまるでしょう（１５・９，１０）。 かれらは主を愛することは用である善を行うこと以外の何かであるとは全く考えてはおらず、用は自分たちの許におられる主であられると言うのである。 用によりかれらは、祭司、統治者のみでなく、商人と工人における聖職、統治、職業を理解しており、かれらの職業に関係していない善い業をかれらは用とは呼ばないのであり、それらを施し、喜捨、心附けと呼んでいる。 なぜあなたらはわたしを主よ、主よと呼んで、わたしの言う事柄を行わないのですか。たれでもわたしのもとへ来て、わたしの言うことを聞いて、それを行う者は岩の上に家をたてて、土台をすえた人に似ています。しかし聞くが、行わない者は地面に土台もなしに家をたてた人間に似ている（ルカ６・４６−４９）。 『主の言われたこと』または『言葉を行う』者たちは隣人を愛し、主を愛する者たちである、なぜなら愛する者は、「行う」からである（ヨハネ１４・２０、２１，２３，２４、１５・９−１７）。 しかもこの自分に打ち勝ち、日々自分を支配する力を増し、日ごと善に進むことこそ、私たちの主要（おも）な務めなのである。

[ 112] 行う
[引用サイト]　 http://www5b.biglobe.ne.jp/~shinju/okonau.htm

PowerPointでプレゼンテーションを行うとき、どうしたらもっとスマートにできるのだろうか。ちょっとした準備で済む、4つの技を紹介する。 PowerPointを使ってプレゼンテーションを行うときに、慌てたことはないだろうか？ プロジェクターを接続して「あれ？ 表示されない……」、パワーポイントを開いて「ちょっと起動まで待ってください……」、プレゼンテーション画面にしようとして「マウスを左下にグリグリ……」。特に、PowerPointの「スライドショー」のボタンは小さく押しにくい。これは何とかならないものか？ 意外と知られていないが、非常に有用なショートカットが［F5］。これなら画面をお客様のほうに向けていても、簡単にスライドショーを開始できる。 資料を作成し終わって、あとはプレゼンするだけ！ となったら、普通に「PPT（PPTX）」形式で保存するのではなく、「スライドショー形式」で保存してみよう。拡張子は「PPS（PPST）」だ。 このファイルを開くと、いきなりスライドショーの形でPowerPointが起動する。編集することはできないが、お客様に余計な画面を一切見せないという意味でも、利用価値は高い。また場合によってはファイルサイズが小さくなるのもポイントだ。 今回の記事にトラックバックでコメントをいただいた。「わざわざスライドショー形式で保存しなくても、拡張子をPPTからPPSに変更すればスライドショー形式になる──」というもの。その通り、PPTとPPSは拡張子を変更するだけで相互に変換できる。「PPSで送っても編集されてしまう」というのもご指摘の通りだ。 ただしこの拡張子の変更はPowerPoint 2007（PPTX、PPSX）ではうまくいかない。ファイルフォーマットが変更されているからだ。Office 2003までのテクニックと考えよう。 このファイルを開くと、Internet Explorerでスライドショーが表示される（ActiveXを許可する必要がある）。PowerPointがインストールされていないPCでも、一部機能は制限されるがプレゼンテーションが可能なのがポイントだ。 PowerPointファイルを変換ソフトを使ってPDFにして、それをプレゼンテーションに使うというのも1つの手段だ。PDFファイルを開いたら、［Ctrl］＋［L］を押す。すると全画面表示になって、［Space］キーで次のページに進むことができる。 筆者のPCで使っている限りでは、PowerPointを立ち上げるよりも、PDFで全画面表示するほうが高速に表示できた。もちろんPowerPointが入っていないPCでも再生可能だ。ただし、アニメーションなどは動作しないのでご注意を。 何かとお節介な動きをすることが多いOffice。これらの設定を変更し、直感的に使うためのTipsを紹介する。今日はPowerPoint編。 好調な滑り出しを見せる任天堂の新型ゲーム機「Wii」。筆者も購入を試みたが、現在のところ手に入っていない。だが、「はじめてのWii パック」は入手した。果たしてWiiリモコンでプレゼンできるのだろうか。 何かを説明するときに、ホワイトボードがあれば話が早い。会議の場でも、ホワイトボードが用意されていることが多いはずだ。筆者は、自分のマーカーとイレーザーを持参するのだ。 Biz.ID Weekly Top10：再インストールで“衣替え”夏ごろから調子の悪かった筆者のマシンがついに起動しなくなった。いろいろ試した結果、結局OSを再インストールすることに。用心して最近のバックアップを取っていたので大事には至らなかったが、せっかく初期状態に戻すのだから、環境を変えてみることにした。 Skypeとエキサイトが提携 エキサイト版Skype公開Skypeとエキサイトが業務提携し、エキサイト版Skypeのダウンロード提供を始めた。 やる気をくじく、8つの方法：最終回 「居場所をなくし、個人の努力に期待し、現場に出ない」でやる気をくじく「やる気」のくじき方、最終回はその6からその8まで一気に紹介します。居場所をなくし、個人の努力に期待し、現場に出なければ、しっかりとやる気をくじくことができるでしょう。 シゴトハック研究所：週次レビューを確実にこなすには？【問題編】一週間を振り返る週次レビュー。GTDでも重要なこのタスクですが、「これが一番できない」という方も多いでしょう。そもそも、どうして週次レビューを後回しにしたくなるのでしょう。 ライフハック テンプレート：＃049 1＋1＝無限大シート組織とは、1人でできないことを実現するためにあります。周りのあの人と一緒にやったら何が可能になるか？ いつも考えるためのシートです。 2ちゃんねる発のOSである「Mona」。プロジェクトがスタートしてから5年が経過したいま、これからのMonaOSが目指す目標とは デスマーチに身の危険を感じたプログラマ。転職活動を始めたが、他社でやっていける自信がなく休止……。3カ月後、何が起こったか？ 気にはなるけど、「調べる時間がなくて」自社の福利厚生はよく知らない。そんなエンジニアが心から求める制度とは？ 28位：速度はレーザー、使い勝手はインクジェット──その両方を備えた、これからのビジネスプリンタとは？ jobtxt1 += '30代で派遣・フリーの仕事はなくなるのか？43歳エンジニアと派遣会社担当者に聞いた';

[ 113] ITmedia Biz.ID：一発でパワポのプレゼンを行う方法
[引用サイト]　 http://www.itmedia.co.jp/bizid/articles/0705/25/news129.html

ユーザー認証を実行するPAMシステムを利用すると、アプリケーションからユーザー認証を独立させることができる。このPAMをSambaと組み合わせることで、UNIXとSambaのパスワードの同期を行うことが可能だ。 前回に引き続き、SambaパスワードとUNIXパスワードの同期を実現する方法について解説します。今回は、PAMを利用する方法を紹介しましょう。 Programming Interface）を備えたライブラリからなるユーザー認証システムのことです。 ユーザーに各種サービスを提供するアプリケーションプログラムは、PAMのAPIを通してPAMモジュールに認証処理を依頼することができます。 アプリケーションから認証処理を独立させることができる。アプリケーションはPAMのAPIを利用するだけで認証を行える。 PAMはアプリケーションから見たインタフェースが標準化されているため、システムが異なってもソースの互換性が保たれる。 PAMモジュールを入れ替えることで、アプリケーションに手を加えずに認証方式を動的に変更できる。 PAMを搭載したシステムでは、認証を必要とするほとんどのアプリケーションがPAM対応に作られており、標準の状態では/etc/passwdファイル（あるいは /etc/shadow など）の情報を元に認証を行うPAMモジュールを使うように設定されています。このPAMモジュールは、アプリケーションに代わって従来のUNIXパスワード認証を行っているに過ぎません。 PAMのユーザー認証モジュールは、/etc/passwdファイルでユーザー名とパスワードを確認する代わりに、各種データベースサーバ（Oracleなどの、いわゆる普通のデータベースサーバやLDAPサーバなど）にパスワード情報を問い合わせて照合する機能を備えたモジュールと、ユーザーから受け取った認証情報を別のユーザー認証システム（RADIUSサーバなど）に渡して認証結果を得るモジュールの2種類に大別されます。 今回紹介するpam_smbモジュールは後者の方式です。このモジュールは、アプリケーションから受け取ったユーザー名とパスワードを用い、指定されたSMBサーバにログインを試みることで、ユーザー認証の結果を判定します。 PAMはユーザー認証のほかにもアカウントやセッションの管理、パスワードを変更するための枠組みも用意されているのですが、現在のpam_smb 1.1.5ではユーザー認証にしか対応していません。将来のバージョンではパスワード変更の対応、UNIXとSMBサーバ間のユーザー名のマッピング、デーモンプロセスによる認証の高速化などが実装されるようです。pam_smbに関する最新情報は、「PAM_SMB:NT 注意：PAMの設定に誤りがあると、rootを含め全ユーザーがログインできなく なり、復旧が難しくなる恐れがあります。実験中はrootユーザーを最低1つはログインさせたままにしておき、PAM バイナリパッケージでなく、pam_smbのソースを入手してコンパイルした場合は、コンパイルしたPAMモジュール pam_smb_auth.soを適切なディレクトリにインストールしてください PAMモジュールの設定ファイルは、Debianでは/etc/securityディレクトリ以下に置くのが標準となっているようですが、libpam-smbパッケージのpam_smbは/etc/pam_smb.confを参照するようにコンパイルされています。これはpam_smbをソースからコンパイルした場合のデフォルトです。 pam_smb.confファイルには、1行目にはログイン先のWindows NTドメイン名、2行目と3行目にはログイン先のSMBサーバのホスト名を記述します。2行目に記述したサーバへの接続に失敗すると、バックアップとして3行目のサーバへ接続してログインを試みます。ログインはどちらか一方にしか行いません。 サーバがドメイン構成でないなら、/etc/pam_smb.confのドメイン名の指定は重要ではありません。ワークグループ名でも指定しておきましょう。 pam_smb.confファイルの記述には、いくつか注意点があります。pam_smbのソースを眺めてみたところ、以下のような問題点がありました。 （1）の問題は、pam_smbの設定ファイルの読み込み処理に例外処理が欠けているためです。このため、pam_smb.confファイルには必ず3行以上含めなければなりません（4行目以降は無視されます）。また、1〜3行目にはコメントや余計な空白文字、空白行など含めることはできません。 （2）の問題は、NetBIOS名の名前解決方法であるWINSサーバへの問い合わせ、 ローカルサブネットワークへのブロードキャスト、lmhostsファイルの参照などを利用できないということです。pam_smbの動作するホストの設定にもよりますが、gethostbyname関数は/etc/hostsファイルの検索とDNSサーバへの問い合わせを行います。 ではホスト名をDNS名で指定すればよいかというと、そうもいきません。pam_smbはこのホスト名をそのままNetBIOS名としても用いているため、サーバのDNS名とNetBIOS名を同一にしておかなければならないという制限が発生します。SMBプロトコルの認証コマンドにはサーバのNetBIOS名が含められており、Windows は自分以外の NetBIOS 名が含まれたコマンドには応答を拒否します。ただし、Sambaにはそのような制限がないため、今回の目的ではSambaサーバのDNS名あるいはIPアドレスを指定しておけばよいでしょう。 アプリケーションが利用する PAM モジュールの指定と設定は、アプリケーションが提供するサービス名をファイル名にして/etc/pam.dディレクトリ以下に保持されます。 私の環境では以下のようなサービス別PAM設定ファイルがおかれています。ただし、「other」ファイルはデフォルトの設定を記述するためのファイルです。 このファイルを書き換えて、ユーザー認証にpam_smbモジュールを使うように設定してみましょう。以下は、Debianインストール直後のloginファイルの中身です。ただし、コメントや空白行は省いてあります。このファイルのコメントには多量の有用な情報が含まれているので、一読してみることをお奨めします。 このように設定ファイルの各行は3つのフィールドで構成され、それぞれPAMモジュールの管理グループの種類、認証処理に失敗したときの制御、PAM 安全な端末からのみrootのログインを許可するpam_securettyモジュール、起動時、シャットダウン時やメンテナンス時などに/etc/nologinファイルを作成することでユーザーのログインを拒否できるpam_nologinモジュール、ログイン／ログアウトの時間などをlast（1）コマンドで表示されるログに記録するpam_lastlogモジュールなどが指定されていますが、この中でUNIXパスワード認証を指定しているのが4行目のpam_unixモジュールの記述です（参考までに、Red コンソールもしくはTelnetでログインしてみましょう。Sambaに登録されているユーザー名とパスワードでログインできるはずです。ただし、認証情報以外のユーザーのUNIXアカウント情報が必須なので、SambaだけでなくUNIXにも同名のユーザーを登録しておかなければなりません。 ログインに成功すると、pam_smbのデバッグ情報がsyslogd(8)のログファイルに記録されるでしょう。 ご覧のように、pam_smbはSMBサーバへのログインを試みる前に、ローカルのUNIXパスワード情報を参照してユーザ認証を行っていることがわかります。UNIXパスワード認証に成功すると、SMBサーバへのログインは実行されません。 UNIXパスワード認証をさせたくないなら、pam_smbモジュールの起動オプションに「nolocal」オプションを指定することで、これを抑制できます。しかし、このオプションはrootを含む全ユーザが対象となるため、SMBサーバが停止していると誰もログインできなくなってしまいます。 nolocalオプションを利用するよりも、UNIXパスワード認証をさせたくないユーザーのパスワードを無効にする方法をお勧めします。Debianではpasswdコマンドでパスワードを無効にできます。もしくは、ユーザーの作成時にパスワードを無効にしておけばよいでしょう。 SMBサーバを利用せずに、ローカルのSambaパスワードファイル（smbpasswd）を直接参照する認証モジュールです。 pam_smbをベースに開発されたモジュールで、ドメインコントローラにNTドメインの認証プロトコル用いて通信します。現在広く公開されているpam_ntdom PAM対応のパスワード変更モジュールであるpam_pwexportも紹介しておきましょう。このモジュールは、アプリケーションから受け取った認証情報（通常はユーザー名とパスワード）と新しいパスワードを、指定された外部コマンドにそのまま渡すことができます。 付属の README ファイルにはsmbpasswd コマンドを利用する例があるように、任意のパスワード変更コマンドを利用することができます（この例では、パスワードをコマンドラインで渡しているため、psコマンドなどでほかのプロセスのコマンドライン引数を参照できる環境では問題があるでしょう）。 最新安定版Apache 2.2は、何が変わったのか？ 最新のApacheを新機能の使い方とともに解説する 本連載では、Apache 2.0の運用や管理方法を解説する。まず必須設定と基本的なセキュリティ対策を行い今後の運用に備える 本連載では、BIND 9の構築／運用方法を解説していく。実際に役立つことを目的に、セキュリティや大規模運用などのテーマを取り上げていく 本連載を通して、qmailによるメールサーバの高度な構築・運用・管理術を紹介。SPAM対策やML管理からサーバでのウイルスチェックなどまで Samba 3.0リリースから8カ月。ここであらためて、Samba 3.0系列の新機能、インストール方法、国際化の現状を解説する 組み込みLinux業界動向 携帯電話や情報家電市場の活況で、組み込み分野が面白くなっている。その中でLinuxはどのような存在なのだろうか？ 組み込みソフトウェアの開発は、PC用とは異なる要素や手順が必要となる。今回は開発を始める前に、組み込み開発の全体像を説明する 組み込み分野では、リアルタイム性の保証が重要なテーマの1つとなる。Linuxでも、それを実現するための取り組みが行われている Heartbeatの特徴とユニークな機能 （2007/11/13） オープンソースソフトウェアの「Heartbeat」をご存じでしょうか？ これを使い、Linux上でHAクラスタを構成する方法を紹介します 日米大手銀行がLinuxを採用したそれぞれのワケ （2007/11/6） 日米を代表する大手銀行は、なぜ、どのように、Linuxとその上で動作するオープンソースソフトウェアを導入したのか あんなコアいいな、吐けたらいいな （2007/10/31） エラー原因究明の手がかりとなるコアダンプ。肝心の領域だけを指定できたら便利だな……という人のための仕組みが提案された ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント！――TechTargetジャパン リニューアル・キャンペーン ＠ITトップ｜Linux Squareフォーラム トップ｜会議室｜利用規約｜プライバシーポリシー｜サイトマップ

[ 114] PAMを利用して認証を行う
[引用サイト]　 http://www.atmarkit.co.jp/flinux/samba/sambatips02/sambatips02.html

他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第3回 侵入者の攻撃手法とその対策」では、対象サーバ内への侵入に成功した。本稿では、攻撃者が侵入後によく行う、バックドアを仕掛ける手法について説明する。 対象サーバへの侵入に成功した攻撃者は、対象サーバ上でさまざまな不正行為を行うだろう。そして、その不正行為の目的によっては、対象サーバに何度も侵入する必要があるかもしれない。そういったときに攻撃者がよく行うのが、対象サーバにバックドア（トロイの木馬ともいわれる）を仕掛けるという行為だ。 バックドアとは、一度侵入に成功した攻撃者が、後から何度も侵入するために仕掛けておく秘密の入り口のことを指す。バックドアを仕掛けておくことで、たとえ侵入時に利用した脆弱性を使えなくされたとしても、攻撃者は自らが知り得る秘密の入り口から容易に侵入することができる。 バックドアを実現するためには、大きく分けて2つの方法がある。1つは対象サーバ上の既存コマンドを駆使する方法、もう1つがバックドア専用となるプログラムを使用する方法だ。 対象サーバ上に存在するコマンドやツールを駆使してバックドアを作る。もちろん使用するコマンドやツールは、本来このような目的で使われるものではないが、使い方1つでバックドアとして利用されてしまう。 攻撃者自身が作成するというケースも考えられるが、ほとんどの場合が既存のバックドアプログラムを使う。よく知られているものとしては、rootkit、Subseven、Back Orificeなどが挙げられる。これらのツールには、侵入可能な秘密の入り口を設置するだけでなく、特定のファイルやプロセスを隠ぺいする機能なども含まれており、より強力である。 本稿で紹介する攻撃対象サーバへの外部からのアクセスは、特定ポート（22/tcp、25/tcp、53/tcp、53/udp、80/tcp、443/tcp）のみに限定されている。そのためバックドアを仕掛けて外部から侵入するためには、まず、それらのポート（サービス）を利用したバックドアを仕掛ける必要がある。ここでは、22/tcp（ssh）と80/tcp（http）に着目し、サーバ管理者に気付かれにくいバックドアの設置例を紹介する。 なお、バックドアを仕掛ける対象サーバには、前回で紹介した脆弱性により侵入し、そして内部からの攻撃で管理者特権（root）を奪った状態を想定している。 本稿で紹介するバックドアを検証する場合は、必ず閉じたネットワーク環境下で、再インストール可能な検証マシン上で行ってほしい。 対象サーバの22/tcpでは、OpenSSHが利用されている。OpenSSHは、SSH（Secure Shell）プロトコルを実装した、本来であればリモートから対象サーバへの安全なログインを提供するためのツールだ。 OpenSSHを使用して、リモートから対象サーバにログインするためには、対象サーバのユーザーアカウントとパスワード（あるいは認証鍵）が必要になる。ここで紹介する手法も、対象サーバ上のユーザーアカウントと認証鍵を用いたログインを行う。つまり見掛け上は、OpenSSHによる正規のアクセスと全く同じことを行うバックドアを仕掛ける。 本稿ではパスワードによるログインは行わずに、DSA（RSA）認証を使用したログインを行う。その大きな理由として、従来のパスワードを変更した場合には、そのユーザーアカウントの本来の利用者に気付かれてしまう可能性が高くなるからだ。DSA（RSA）認証を使えば、ユーザーアカウントのパスワードを知らずとも、対象サーバにログインすることができる。 デフォルトで用意されているDSA（RSA）認証＊1を使うためには、攻撃者の環境にて、OpenSSHのDSA（RSA）認証鍵を作る必要がある。もちろん認証鍵がすでにある場合は、それをそのまま使えばよい。 rsaを指定するか省略するとRSA認証鍵が生成される。以下ではDSA認証鍵を生成している。 ミナル上でviやEmacsなどのエディタを使ってもよいが、ここでは数行程度なので手軽に行えるcatコマンドを使うことにした。 これは、catコマンドの 一連の下準備が完了したら、攻撃者の環境よりsshかsloginコマンドを使って、対象サーバにログインしてみる。 ログイン後、上記のようにコマンドプロンプトが返ってきたら成功だ。また、idコマンドを実行して、現在のユーザー（uid）がrootであることも確認できる。 Gateway Interface）と呼ばれる機能が実装されている。CGIは、対象Webサーバ上でプログラムを実行し、その結果をクライアント（ブラウザ）に返すことを目的とした仕組みで、これはApacheに限らずほとんどのWebサーバでも実装されている。本稿では、そのCGIを利用したプログラムを作成し、バックドアとして利用する。 最初にバックドアとなるCGIプログラム本体を作成する。作成するCGIプログラムの内容は、以下のとおり数行程度のC言語のプログラムだ。 このCGIプログラムは、対象サーバ上でEmacsを実行し、その画面を攻撃者（172.16.10.10）のX Window上に表示させるというものだ（前回の手法と同じ）。 注目するのはsetuid（0）の部分で、この関数を使うと現在実行中のプロセスを、指定したUID（ユーザーID）の権限に移行することができる。setuid（0）は、UIDが0のユーザー権限、つまり管理者特権（root）の取得を意味している。そしてsetuid（0）以降に実行される内容、つまりemacsコマンドはroot権限として実行される。 ファイルの先頭にドット（.）を付けたのは、サーバ管理者に気付かれにくくするためだ。なぜなら、ほとんどのUNIXファイルシステムでは、ファイルの先頭がドットであった場合、それらは設定ファイルとして扱われ、例えば単にlsコマンドを実行しただけでは画面上に表示されないからだ。もし、表示したい場合は、-aオプションを付ける必要がある（ls 次に、.exploit.cから実行形式のバイナリファイルを生成する。以下ではgccコマンドを使い、/var/www/cgi-bin以下に.exploitという実行形式のファイルを生成している。なお、.exploit作成後、.exploit.cは不要なのでrmコマンドで削除した。 バックドアCGIプログラムの.exploitを生成したら、このプログラムの所有者がrootであることを確認して、さらに所有者実行権限にSUIDをセットする。 左端の所有者の実行権限を示す個所が、xからsに変わったことが分かる。これで、このプログラムを実行する際に、所有者rootの権限としてプログラムを実行することが可能になった。 UNIXのセキュリティを語るうえで、SUID（setuid） rootの話は必ずといっていいほど出てくるが、そもそもSUID rootとは一体何を意味するのだろうか？ UNIXにおいてプログラム（コマンド）が実行される場合は、通常そのプログラムを実行したユーザーの権限で実行される。この仕組みは、ほとんどのプログラムにおいて問題ないのだが、実行するプログラムによっては、ある部分でどうしても管理者特権（root）が必要になる場合がある。そういったときに利用されるのがSUID SUID（setuid）は、プログラムを実行したユーザーの権限ではなく、プログラムファイルの所有者の権限での実行を可能にする機能で、SUID rootとは、文字どおりファイル所有者のroot権限でプログラムが実行されることを意味している。 Window上にEmacsの画面が表示される（画面1）。なお、前回の侵入時と異なるのは、今回のEmacsはroot権限で実行されているという違いがある。 もし、このCGIプログラム自体がSUID rootされていない場合は、setuid(0)が失敗に終わるため、EmacsはWebサーバの実効権限である、ユーザーapacheの権限で実行されることになる。 トラブルシューティングはCentOS 5におまかせ （2007/11/15） リリースから半年が過ぎたCentOS 5、もう使っていますか？ これにはSELinuxの運用をもっと楽にしてくれる便利なツールが追加されています ヘルスチェックしてる？ 怠ってはならないDNSのケア （2007/11/9） DNSやDHCP、安定稼働しているからといって放っていたりしませんか？ ネットワークを支える要となるサービスにもう一度注目しよう 脆弱なホストを狙った不正中継を見抜く （2007/11/7） 攻撃者は設定ミスや脆弱性を残しているマシンへどのように攻撃してくるのか？ 踏み台にされないために、その見抜きかたを知っておこう 不正を見破り、紙・メール・ファイル状況変化“なし” （2007/11/6） 「守る」という意味が日々変化するセキュリティの世界。あらゆるデータの不正を許さない環境を実現するために、製品も日々進化します ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント！――TechTargetジャパン リニューアル・キャンペーン ＠ITトップ｜Security&Trustフォーラム トップ｜会議室｜利用規約｜プライバシーポリシー｜サイトマップ

[ 115] ＠IT：攻撃者が侵入後に行うバックドアの設置例 - Page1
[引用サイト]　 http://www.atmarkit.co.jp/fsecurity/rensai/iprotect04/iprotect01.html