2005年10月30日

KOF2005にいってきた

10月28日(金)、29日(土)に行なわれたKOF2005(関西オープンソース2005)に行ってきた。
http://k-of.jp/kof.html

今年は2日間ほぼフル参加することができて楽しめた。
2日目は雨で出足が悪かったみたいだけど、一般人っぽい人も来ていたのでKOFの認知度があがってきているのかも?

KOFも4度目になるけど、毎度裏方で準備されている方たちには頭が下がります。

3Fのコミュニティでは、まっちゃ139とrubyのところに人が集まっていたかな?
4Fのブースはあまり回れなかったけど、関西のコミュニティってこんなにあったのかという印象。
LILOも滑り込みで出展できてたし。


聞いてきたリスト
「Sambaでここまで出来る!-Windowsドメインからの移行ポイント」(28日)
「まっちゃ139勉強会」(28日)
「Samba 3.0.20はこう変わった!」(29日)
「出張カーネル読書会(Cache Pollution Aware Patchのお話)」(29日)


以下は聞いてきたお話のメモ。
-----------------------
Sambaでここまで出来る!-Windowsドメインからの移行ポイント
日本Sambaユーザ会・たかはしもとのぶ、おおたとしや

前半が大田さんのSambaのセールスポイントについてのお話で、後半が高橋さんのSambaドメインについてのお話。
資料については、Sambaユーザ会のサイトにアップされるとのこと。

不覚にも高橋さんのお話の一部を聞き落とした。やはり寝不足がたたった。

前半:
○なぜSambaなのか?
 Windows向けウイルスに感染しない
 CALがいらない
 安定性(Linuxの安定性、メンテナンスの容易さ)
 オプション機能(ゴミ箱、ユーザホーム機能など)

○Sambaの利用状況ではLinux上で利用しているオープンソースソフトは50%弱。
 オープンソース白書
  http://www.thinkit.co.jp/free/books/1/1/8/5/1.html

○最近のSambaの利用動向
 ファイルサーバだけでなく、ドメイン機能を利用する方向
 Windows NT のサポートが切れて、Sambaに乗り換えなど
 NASの中身に。玄箱・白箱や、大型のものも(NEC NV7000など)

○ドメインサーバとしてのSamba
 Samba自身のドメインサーバ機能が向上
 企業で問題となるのはサポート
  各社からサポートが受けられるように

後半:
○Sambaドメイン
 Sambaでドメインコントローラを構成したドメインのことを便宜上「Sabmaドメイン」と呼ぶ
 基本的にWindows NT Server4.0以前のNTドメインと同等

○Sambaドメインの管理
 大半はNTドメインの管理ツールで管理可能
 管理ツール
  ドメインユーザマネージャ(usrmgr.exe)
  サーバマネージャ(srvmgr.exe)
  入手方法:
  ●Windows NT Server(CD-ROM4枚目)/ Windows 2000 Server に同梱
  ●KB173673:NT Workstation 4.0 用の Windows NT サーバツール
    http://support.microsoft.com/kb/173673/
   英語版が入手可能(日本語の使用は可能)
    http://support.microsoft.com/kb/173673/EN-US/ 

○Sambaドメインの機能
 Windows NTのドメインコントローラとの混在はできない。
  SAMの複製ができない
 認証データベースとしてLDAPやTDBを用いない場合、機能が制限される
 できるだけ新しいバージョンのSambaを使用したほうがよい。
  Windowsの更新プログラムにSambaが対応するあいだ一部問題が起こることがある。

○ドメイン機能のサポート状況
 一部未実装だが、普段つかう機能は実装

○認証データベース
 ドメイン情報の格納場所。
 NTドメインではSAMに格納。管理者は意識する必要なし
 Sambaドメインでは、格納先が選択できる(管理者が意識して設定)

 Samba3.0系列では、拡張されたユーザ情報を格納するのにTDBファイルやSamba3.0系列のLDAPを利用する
 passdb backendパラメータの設定が必要
 認証データベースの移行コマンド
  pdbedit -i -e

○BDC(バックアップドメインコントローラ)
 PDC(プライマリドメインコントローラ)からのドメイン認証情報などを格納したSAMの複製を受けて機能する
 SAMの更新ができない以外は、基本的にPDCと同じ

 PDCとBDC間のSAM同期プロコトルが未サポート
  Windows NT Server のPDCとSambaのBDC、その逆などの混在はできない。
  BDCを構成する場合、PDC,BDCともSambaにして、LDAPで認証情報の一元管理を行なうのが一般的(一番無難)

○マシンのドメイン参加
 Sambaドメインの場合は、基本的にrootユーザ
 制限事項でした
 →Samba3.0.11以降はroot以外のユーザでもできるように

○ユーザ名、グローバル名の日本語
 Sambaドメインでも一応可能
 一般的にUNIXでサポート外。使用を避けるのが無難

○システムポリシー
 ドメイン内のユーザ、グループ、マシン単位で、一括して各種設定を行なうNTドメインの機能
 システムポリシーエディタで作成したポリシーファイルをNETLOGON共有に配置することで有効に

○アカウントポリシー
 Samba 3.0.0 では未サポートの属性があったが、現在のSamba3.0系では、完全サポート

○NTドメインからの移行
 net rpc vampire コマンド
 Samba2.0系列からの移行も
  pdbeditコマンド

 一部移行できない設定

 LDAP環境では、日本語のユーザ名、グループ名、コンピュータ名が使えない

○ファイル共有移行
 ACLが非互換

○質疑応答
 Sambaではユーザ名が全角半角を区別されていて、はねられたことがあるという話も。

(感想)
後半の後半部分のメモがメチャメチャ。沈没しかけてたらしい。

一番のメリットにウイルスをあげるのは微妙。たしかに、ファイルサーバがウイルスに汚染されたという話は聞いたことあるけど、Windowsサーバでもウイルス対策していればそんなに怖くないはず。

CAL(クライアントアクセスライセンス)がいらないのはかなり魅力。

Sambaの構築をしたことがないので、よくわかっていないことを実感。
Sambaのすべて」が積読状態なのをなんとかしたいなあ。

参考サイト
 だめだめ日記(たかはしさんのブログ)
 http://damedame.monyo.com/

-----------------------

まっちゃ139勉強会
「Webアプリ開発でのセキュリティについて」
「IPAへの脆弱性情報の届出」

KOFの会場を借りているということで今回は、おやつタイムはなし、残念。
基本的にオフレコって話が冒頭にあったような。そんなにやばそうな話はなかったけど。
まっちゃ139のサイトで資料が公開されることがあるので要チェック。

関連リンク

まっちゃ139
 http://matcha139.hiemalis.org/~isamik/

まっちゃ139 Hiki
 http://matcha139.hiemalis.org/~toshichan/hiki/

まっちゃさんのブログ
 http://d.hatena.ne.jp/ripjyr/

-----------------------

Samba 3.0.20はこう変わった!
Sambaユーザ会・たかはしもとのぶ

○Samba 3.0.30
 Samba 3.0.14a の次期バージョン。
 バージョン番号が跳んでいるのは、いっぱい変わったため。
 Winbind機構の部分など主に内部的に変わった。

○3.0.20の機能拡張
 ACLサポートの拡張:パラメータの追加
 ゲストアクセス機能の追加
 Winbind機構の拡張
 など

○ACLサポートの拡張
(ファイルシステムが違うので)完全互換は無理だが、すこしでも互換性を高めようと。

 ACLの変更が、rootと所有者のみ→所有者グループでも変更できるようになった
  acl group control = yes パラメータによる
  所有者自体の変更はできない。

 ACLマッピングの変更
  acl map full control = no にするとUNIX側のパーミッション「rwx」をWindows側の「読み取り+書き込み+実行」にマッピング。前はWindowsからフルコントロールに見えていた。

○ゲストアクセス機能の拡張
 Sambaサーバがメンバーサーバで、Winbindを使用していない場合
  ドメイン認証に成功して、Sambaサーバにアカウントのない場合
  認証を拒否していた(Samba 3.0.0〜3.0.14a)
  → map to guest = Bad Uid でゲストとして認証する(Samba3.0.20)
    Bad Uid パラメータの値が追加された

 Winbind機構が有効な場合は、Sambaユーザが自動的に作成されるので
 このパラメータは意味が無い

 従来からの対処策: add user script でSambaユーザの自動生成

○Winbind機構の拡張
 従来からの方法は一括でシェルなどを指定。
 一般ユーザはログインさせたくないのでシェルをなしにしたい
 一部だけ/bin/bashにしたい
 →いままではできなかった

 ユーザごとにシェルやホームディレクトリが設定できるように
 SFUで拡張されるUNIX属性から、値を取得可能
  設定方法
   security =ads の設定でドメインに追加
   Winbind実行
   Windows側のDCにSFUのNISモジュールをインストールする
   smb.confに設定
    winbind nss info = sfu

○動的なユーザマッピング
  username map script パラメータで動的マッピングが可能に
  LDAPなどに格納したマッピング情報も利用可能に
  大文字小文字が別あつかいなので、スクリプトで吸収してあげなければいけませんでした

○Windowsサービスのリモート管理
 net rpc service コマンド

○ユーザ一権利の追加
 一般ユーザに特殊な権限を付与する機能
 管理作業をroot以外のユーザで行なうことが可能に
 Sambaにマシンを追加するときはrootでないとだめだったのも可能に

○ファイル共有の移行サポート
 一応あるがいまいち。Windows側でやってあげたほうがいい

○質疑応答
 Sambaのアクセスログで詳しく情報がとれるか?
 →3.0系列では、ファイルのアクセス監査機能がある
  詳しくは「Sambaのすべて」に書いています

 Windows側からnetコマンドでSambaを制御できるか?
 →Windowsのnetコマンドは別のもの
  コマンドラインで制御することは可能

 新しいバージョンはMacOSにどのくらい対応?
 →MacOSXには、UTF-8つかっていて、独自に対応しないと文字化け
  アップルさんが独自に対応したSambaを出しているのでそちらを

 Windows2003Serverで共有を見づらくする機能はSambaでの対応は?
 →hide unredable 書けないファイルを見えなくする

-----------------------

出張カーネル読書会(Cache Pollution Aware Patchのお話)
よしおかひろたか(YLUG - Yokohama Linux Users Group)

カーネル読書会ってなに?
 不定期に開催 1月に1回目標
 1999年4月第1回 システムコールの実装
 2005年8月第54回OLSの報告 オタワLinuxレポート
 場所:様々。最近はミラクル・リナックスが多い

 お題:リナックスにまつわる様々なもの
    毎回ソースコードを一行一行読むわけではない
 NDAなし。すべてオープン
 懇親会:ピザとビール
 http:///ylug.jp
 ML:1日数通。1週間で10から20通

CPU性能評価
○予備調査での考察
 OSの性能評価していて、3つくらいのボトルネックのパターンがある
 IOボトルネック、CPUボトルネック、ロックがかかって待つことによる

 2.4系はたちの悪いロックがあった
 2.6系:IOボトルネックとCPUボトルネックはあったが、たちの悪いロックボトルネックが見つからなかった
 CPUビジー型の。想定の範囲内の関数が上位を占めていた
 ロックボトルネックを見つけてパッチをつくろうというもくろみつぶれる
 →キャッシュに目をつける

○局所性と「キャッシュバスター」
  時間的局所性:すぐにアクセスする
  空間的局所性:格納場所の近くの場所アクセス
  時間的非局所性:書き込んで、すぐにアクセスしない

○なぜキャッシュが重要か?
 CPUの速度向上速度に比べてメモリの向上がおそい
 従来はIOが遅い。
 RAIDでスループットで速度を稼ぐように。

 L1 2clock(1ns)
 L2 10clock(5ns)
 メモリ200〜300clock以上(150ns) 圧倒的に遅い
 →できるだけメモリにアクセスしたくない

 メモリアクセス=L1ヒット+ミス率*メインメモリ
  例:キャッシュミス10%: 2+0.1*200=22 clock
    キャッシュミス 1%: 2+0.01*200=4 clock

○キャッシュミスを測定
 OProfile で測定。
  BSQ_CACHE_REFERENCEイベントを設定することによって容易に設定可能
  _copy_from_user_ll がミス

○ユーザ空間からのコピー
 ユーザ空間からレジスタへコピー
 readキャッシュミス?
 レジスタからカーネル空間へコピー
 writeキャッシュミス
 store bufer (非同期でメモリにコピーするもの。バスを監視してあいたらコピー)

○writeキャッシュミス
 writeするときに、有効なキャッシュラインがないとwriteキャッシュミスが発生
 犠牲となるキャッシュラインを選ぶ
 変更があったキャッシュラインはメモリへ書き出す
  ページングとおなじ

○キャッシュサイズは64バイト。全部確保して
 全部埋まったらメインメモリに書き出す。

 writeするメモリを読む。RFO(Read for Ownership)と呼ぶ
 書く前にメモリを読む

○キャッシュが置き換えられる
 どれかを選んで捨てて、64バイト分RFOして
 どれか1つキャッシュが置き換えられる。
  時間的局所性がないデータでキャッシュが置き換えられる
  →時間的局所性があるデータが捨てられる
    キャッシュポリュージョンと呼ばれる

○cache aware patch概念
 キャッシュをバイパスする命令を利用
 キャッシュに書き込まない

○まとめ
 cache pollution の位置を特定し、それを解決した
 従来からcache pollutionの性質については知られていたがOSレベルでそれの位置を特定し、改良することの効果を定量的に示した点は画期的?

(感想)
私はプログラミングをしないので、技術的な部分はついていけなかった。
ただカーネル読書会の雰囲気はとても楽しめた。
いかにもLUGだなあって雰囲気だった。なんでもありのLILOとは全然違う。LILOももちろん楽しいんだけどね。
チャンスがあればまた参加したいなあ。

資料はYLUG(Yokohama Linux Users Group)のサイトで公開されるかもしれないとのこと。

関連リンク
Yokohama Linux Users Group
http://www.ylug.jp/

よしおかさんのブログ
http://d.hatena.ne.jp/hyoshiok/

-----------------------

SELinux のツールとその周辺
古田 真己(テンアートニ)

おさらい
○MAC(MandatoryAccessControl)
 強制アクセス制御
 rootでも回避不能
 2段階アクセス制御
 サブジェクト:プロセス
 オブジェクト:ファイル、ソケット

○TE(Type Enforcement)
 プロセスにドメイン、ファイルにタイプを割りあててどういった操作ができるかを定義する

○セキュリティコンテキスト
 全てのファイルにセキュリティコンテキストと呼ぶラベルを貼る
 ls -Z コマンドで表示

Tresys Technologyの紹介
 http://www.tresys.com
 ポリシー開発、解析、デバックツール解析
 元SAICの Craig Sutherland と Frank Mayer が設立
 ポリシー構築ツールは開発中
 SELinux 3dayトレーニングをやっている
 (10art-niでもトレーニングサービスはあります)

SEToolは?
 簡単に検索できる
 情報フローを検索。
  httpdが書き込めるディレクトリ、通信できるプログラム、デーモン
 Apol:ポリシー解析ツール
  どのドメインで実行できるかなど
 SeAudit:監査メッセージの解析ツール
  ログの確認
  ポリシー検索
 ポリシー編集ツール
  開発中で今では、viで編集
  cd /etc/selinux/strict/src/policy
  cd domains/
  ポリシー全体をコンパイルし直して、リロードしないといけない

SELinux Policy Serverは?
 日立エンジニアリングの中村さん開発
 オープンソースで
 単純化ポリシー

SELinux Policy Editorは?



(感想)
カーネル読書会から移動してる間に始まっていて出遅れた上、用事があったのできちんと聞けずに残念だった。
メモもほとんどとる余裕なかったし。

関連リンク
日本SELinuxユーザ会
http://www.selinux.gr.jp/

SELinux本家(NSA)
http://www.nsa.gov/selinux/

Tresys TechnologyのSELinuxのページ
http://tresys.com/selinux/index.shtml
posted by 端っこなひと at 19:12| Comment(0) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/8769908

この記事へのトラックバック