setup
Roo CDROM User's Manual
この章の目的は新しくインストールした Honeywall CDROM の初期設定をどのようにしたらよいかを詳細に説明することである. このドキュメントや Honeywall CDROM にバグや訂正を見つけたら私たちの Bugzilla Server に知らせてほしい.
また日本語訳に関する間違いや問題などは eba[at]vogue.is.uec.ac.jp もしくは hidesuke[at]vogue.is.uec.ac.jp までメールで知らせて下さい
[Last Modified: 11 March, 2005]
4. 初期設定
- 概要
- Honeywall.conf 設定ファイル
- ダイアログメニュー
- SSLとSSHのフィンガープリント
- OSの設定
4.1 概要
一度Honeywall CDROMをインストールして再起動すると、Honeywall機能の付いた全ての機能を持つFedora Core3 がハードディスクに入る。 このオペレーティングシステムは小さく堅牢になっている。我々が開発したHoneywall機能を含む233のRPMで構成されている。最初のシステムの再起動でスクリプト /usr/local/bin/lockdown-hw.sh が走るので堅牢になる。 このスクリプトはCenter for Internet Security (CIS) と National Institute of Standarts and Technology (NIST) をもとに作られている。 しかしながらHoneywall CDROMはカーネルベースのセキュリティを使っていないFedoraのカーネルを使っている。 インストールの次に、grsecurityのようにカーネルのセキュリティの構築をするとよい。
再起動後、ターミナルモードのログインプロンプトが出てくる。 これは最小限のシステムであるので、ローカルではウィンドウシステムをサポートしていない。 (もし欲しければウィンドウシステムを後でインストールすることができ、カスタマイズすることもできるが、ベースには含まれていない。) このログインプロンプトから、Honeywallの初期設定をする必要がある。 この目的はOSが適切に機能するためにHoneywallに全ての変数に値を割り当てるためである。 Honeywall Rooの初期設定では二つのオプションがある。
- 手動でhoneywall.confを作り起動時にHoneywallに読み込ませるか、インストールが完了してから設定ファイルをシステムにコピーする。
- ダイアログメニューを使う。 これは以前のHoneywallであるEeyoreと同じインターフェーススタイルである。システムコンソールかターミナル(SSHなど)を用いる。 他のhoneywallのダイアログインターフェースでhoneywall.confを作ったり、honeywall ISOのディストリビューションを作ることもできる。
Honeywallは二つのデフォルトシステムアカウントとしてroo(user ID 501)とroot(user ID 0)がある。 どちらもデフォルトパスワード honey であるが、変更することもできる。 rootではログインできないが、rooでログインした後にsuでrootになることができる。 Honeywallは仮想ターミナルをコンソール上でサポートし、ALTキーを押しながらF1-F9キーでアクセスできる。 最初にrootでログインした時は設定されてないシステムだが、ダイアログメニューに入ると 設定が必要であると指摘される。 一度システムを設定すると、rootでメニューを操作することができるようになる。(もしくは仮想ターミナル1(ALT-F1)で出てくる変数HwMANAGE_DIALOGをセットする。) 一度セットアップが終わると、SSLの証明のフィンガープリントを手動で承認しなければならない。 最後に基本的なOSの追加のオプションを設定する。
4.2 honeywall.conf 設定ファイル
honeywall.conf設定ファイルはASCIIテキストでOSの変数の値を含み、これがあるとHoneywallを使うことができる。 Honeywall CDROMにはデフォルトのhoneywall.confがある。 もしシステムの設定をしたければ、/etc/honeywall.confを使う必要がある。 /etc/honeywall.confはとても重要なので、直接編集しないようにすることを覚えておくとよい。 /hw/confディレクトリにあるファイルの変数はメンテナンスが仕上がっている。(ユーザはこのディレクトリのファイルをいじってはならない。) 新しいhoneywallに全ての設定が保存された/etc/honeywall.confを移動することで設定することもでき、そうしたらできた/hw/confを使える。複雑に聞こえるかもしれないが、実行するのはとても簡単だ。
ダイアログメニューを使わずに、この操作と共に/usr/local/bin/hwctlをHoneywallのコマンドラインで実行する。 既に設定されたhoneywall.confをHoneywallの/etc/honeywall.confに (フロッピーやUSBデバイス等のメディアを用いて) コピーした後、コマンドで値を入力し、/hw/confディレックトリを作るとHonywallサービスは全てワンステップで開始できる。
/usr/local/bin/hwctl -s -p /etc/honeywall.conf
この後、Honeywallは設定したすべての機能が働く。この方法 (適切に設定しなければならない) を使うことでダイアログインターフェースを避けてまっすぐにWalleyeのウェブが使える。 ヘッドレスHoneywallを起動することは、Honeywallを設定する本質である。 hwctlについてはヘルプ (hwctl -h)に部分的に書いてある。 働きを変える方法と機能については5章メンテナンスと8章内部で学ぶとよい。
4.3 ダイアログメニュー
二番目に、より普通に使うオプションとして、新しくHoneywallをセットアップするときにダイアログメニューを使う。 この方法でHoneywallを初期設定する前にウェブで管理することができないことを留意するとよい。 Honeywallには管理するIPアドレスがない、ファイアーウォールに外部のウェブにアクセスするルールがないなどの問題があるからである。 このようにウェブにアクセスできない。 rootでログインすると、設定していなければ自動的にダイアログメニューが実行される。 しかしながら、menuコマンドを使うことでダイアログメニューを実行することもできる。
Note 他のユーザには不要な権限なのでrootのみがダイアログメニューを使うことができる。
ダイアログを使ってシステムをセットアップするためにメニューに入る。 第一のメニューから6種類の中から選ぶ。 Honeywallは設定するには(もしくは後から完全にシステムを再設定する場合には)、"4:Honeywall Configuration"オプションを選ぶ。 このメニューのオプションは形式上の物で、システムが一度も設定されていない場合にのみ作用する。 (すなわち、最初のセットアップで自動的に実行する。)もしシステムが設定済みなら個々の要素を修正したり、全てを再設定できる。 ここまではインストールの仕方について説明してきたが、ここからは最初のセットアップモードについて説明する。
4番のオプションを選んだ後、初期設定のための3種類のオプションが現れる。
- Floppy: この方法では、メニューはフロッピーディスク上の設定済みのhoneywall.confを読み込み、システムに設定する。 これは先ほど記述した初期設定と似ているが、こちらは自動処理する。
- Defaults: これを使うとデフォルトのhoneywall.conf設定ファイルがシステムに導入される。
- [注: 初めてのインストールで、/etc/honeywall.confのコピーが/etc/honeywall.conf.origに作られる。このファイルは"factory defaults"であり、このことについては後で説明する。]
- Interview: このメニューは必要な情報の一連の質問を問いかけてくる。その情報をもとにシステムの設定を行う。 事前に入力する情報が決まっているのなら我々はこの選択を勧める。 Initial Setup Information ドキュメントを参照することで何を要求されるか学ぶことができる。
初期設定が終了すると、メニューオプション "4: Honeywall Configuration" はメジャーな設定のカテゴリーに別れる (例えば、 bridge/nat mode、 IP address information、 remote management information、 connection rate limitingなど。) このメニューはあなたが使いたいHoneywallの機能を管理するものである。 変更によって変数の設定が適用されると効果が現れる。また、/etc/honeywall.conf ファイルに数字のついたバックアップ (例えば .0 、.1 、…、 .9) ができる。 これによってエラーから回復しやすくなり、以前の状態に戻すことができる。 [Note:ダイアログやWalleyeインターフェースのときにはまだ設定は反映されていない。しかしいつでもコマンドラインを使うことができ、 hwctl -r -p と入力することができる。]
最後のメニューオプションは "13: Reconfigure System" である。 これは初期設定と同じ方法を提供するものである。honeywall.confファイルを、"Factory defaults"である /etc/honeywall.conf.origファイルをフロッピーからリセットする。あるいは、interviewを再度行うことでリセットする。 [警告!!! リモートで接続しているときは、特に慎重に行うこと。まずSSHデーモンがリセットされるので、あなたの現在の接続は遮断される。次に、IPの設定やファイアーウォールの設定を誤ったり、管理側のIPアドレスのようなものを変更すると、もはやHoneywallにリモートから接続することはできなくなるだろう。 これはヘッドレスシステムを使ったときに非常に重要で、コンソールからシステムを再設定するいかなる方法もできなくなる]
4.4 SSLとSSHのフィンガープリント
ISOや事前にロードしたSSHキーをフロッピーでカスタマイズしていなければ、初期設定で新しいSSHキーとSSL証明書が作られる。 これらはSSHとSSLを使った暗号通信で必要である。 Honeywallにリモートから接続する前に、これらのキーや証明書のふぃがープリントを確認することを非常に勧めます。 (最初の接続で簡単に新しいキーを承認すると"man-in-the-middle"攻撃される。) コマンドラインから以下のことが実行された。
For SSL: /usr/bin/openssl x509 -noout -fingerprint -text < /etc/walleye/server.crt
For SSH: /usr/bin/ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
もし自分で署名した証明書を手動で作りたいのなら、あなたのSSL証明書の作成する命令をSSLに与えればよい。 SSHはssh-keygenコマンドで作ることができる。
4.5 OSの設定
一度Honeywallを設定すると、コマンドラインからいくつかの任意のアプリケーションを設定し、使用可能にすることができる。