Linux/CGP作業メモ

■ [osiris]osiris3.0.4のインストール記録（WSMから本人投稿を再掲載 2004年2月）
osirisはDarwinに標準で対応しているため、samhainよりも実際の面倒は少ないです。Mac特有のリソースファイルなどにも対応しているということなので、OSXにはsamhainよりも適切かもしれません。また、samhainとは異なり、基本がClient/Serverタイプなので１台で利用する場合にもosiris、osirisd、osirismdの３つが必要になります（make allコマンドで全部準備されます）が、複数台の管理を前提に作られているようで、この仕様は使ってみると本当に便利でした。

こちらは最新版が3.0.4になりますが、全く問題なくコンパイルできます。HPのドキュメントとコンパイル時に表示される情報では、コンパイル時の情報を参照する方がおすすめです。ちなみにsystem typeはOSX10.3.2ではpowerpc-apple-darwin7.2.0でした。

■ [osiris]コンパイルから管理コンソールのインストール
osiris-3.0.4-current.tar.gzをダウンロードして展開します。

[code]$tar -zxvf osiris-3.0.4-current.tar.gz[/code]

展開したディレクトリに移動しコンパイル準備します。

[code]$cd osiris-3.0.4-current
$./configure[/code]

ここで、makeについて注意が表示されます。実際に利用するのは以下の２つでいいでしょう。

[code]$make all （１台のマシンに全部インストールする場合or管理マシンの場合）
$make package （管理対象クライアントにインストールするパッケージ作成[/code]）

まずは、管理用マシンでmakeしてインストールしてみます。

[code]$make all
$sudo make install[/code]

これでインストールを始めると、途中「make[3]: Nothing to be done for `install-exec-am’」のようなエラーみたいなlogが大量に出ますが、気にする必要はありません。

それが終わると最初の設定を要求されます。これらの設定は多くが対話型で進むので、非常にわかりやすいと思います。

[code]No Osiris user or group exists, determined uid/gid is: 502
Continue with installation? (y/n)[/code]
osirisのユーザをシステムに新規作成します。続けてよければyとします。

[code]Install management console? (y/n)[/code]
マネジメントコンソールをインストールします。こちらもyとします。

[code]Installation directory for binaries: [/usr/sbin/][/code]

/usr/sbin/にosirisがインストールされます。リターンキーでOKです。

これでosirisがインストールされます。続けて、

[code]Start management console now? (y/n)[/code]

マネジメントコンソールをスタートするか聞かれます。yにします。

SSL接続用のRSA Keyが作成されます。

[code]Start scan agent now? (y/n)[/code]

スキャンエージェントをスタートするか聞かれます。yにしておきます。

これで管理用マシンのインストールが完了です。

■ [osiris]クライアントのパッケージ作成とインストール
次に管理対象のosirisクライアント用のパッケージを作成します。先ほどのディレクトリosiris-3.0.4-currentで、以下のようにします。

[code]$make clean
$sudo make package[/code]

これが完了するとosiris-3.0.4-current/src/installに以下のファイルが作成されます。

[code]osiris-3.0.4-current.Darwin.tar.gz[/code]

これを管理したいマシンにコピーして、以下のようにインストールを行います。

[code]$tar -zxvf osiris-3.0.4-current.Darwin.tar.gz
$cd osiris-3.0.4-current
$sudo ./install.sh[/code]

これでインストールが始まります。終了間際に

[code]Start scan agent now? (y/n)[/code]

スキャンエージェントをスタートするか聞かれますのでyにしておきます。
これでクライアント側の準備も完了です。

■ [osiris]管理コンソールの設定
ここから設定に入ります。管理マシンでosiris関係デーモンが起動しているか確認します。

[code]$ ps aux | grep osiris

osiris 14611 0.0 0.2 29116 876 p1 S 6:01PM 0:00.01 /usr/sbin/osirismd
osiris 14612 0.0 0.2 29116 1116 p1 S 6:01PM 0:00.05 /usr/sbin/osirismd
root 14614 0.0 0.1 27812 784 p1 S 6:03PM 0:00.01 /usr/sbin/osirisd
osiris 14615 0.0 0.2 27816 1280 p1 S 6:03PM 0:00.04 /usr/sbin/osirisd
user 15481 0.0 0.3 28912 1824 p1 S+ 6:19PM 0:00.06 osiris
user 15488 0.0 0.1 18172 344 std S+ 6:22PM 0:00.01 grep osiris[/code]

管理用マシンでosirisコマンドを起動します。

[code]$ osiris[/code]

すると以下のような起動画面が出ます。（osorisはコマンドラインで操作します）

[code]Osiris command line management utility – version 3.0.4-current
unable to load root cert for management host:
(/Users/username/.osiris/osiris_root.pem)
fetching root certificate from management host (localhost).
The authenticity of host ‘localhost’ can’t be established.

[ server certificate ]
subject = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
issuer = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
key size: 2048 bit
MD5 fingerprint: AE:67:D1:27:F3:55:96:08:98:38:CA:04:86:A8:06:40

Verify the fingerprint specified above.

Are you sure you want to continue connecting (yes/no)?[/code]

接続しますか？と聞かれるので、yを入力します。

[code]authenticating to (localhost)
User:[/code]

接続するとユーザ名を入力しろと言われるので「admin」と入力します。

[code]User: admin
Password:[/code]

パスワードを聞かれますが、設定していないので、ここでは単純にリターンキー

を押します。すると以下の画面になります。

[code]connected to management daemon, code version (3.0.4-current).
hello.

osiris-3.0.4-current:[/code]

このプロンプトの後でまず最初にやるべきことはパスワード設定です。

[code]osiris-3.0.4-current:passwd admin[/code]

と入力することでパスワード設定ができます。

[code]osiris-3.0.4-current:passwd admin
password:[/code]

となるので、パスワードを入力してください。

再度確認で入力を求められるので、同じパスワードを入力して設定完了です。
設定したパスワードは次回接続から有効です。
パスワードの設定が終わると再度以下の表示になります。

[code]osiris-3.0.4-current:[/code]

ここでプロンプトに?と入力するとhelpが表示されます。

[code][ Managment Commands ]
mhost host new-user edit-filters
edit-mhost edit-host edit-user print-filters
print-mhost-config list-hosts list-users
test-notify new-host delete-user

[ Host commands ]
status list-configs start-scan list-db
watch-host import-config stop-scan base-db
disable-host push-config set-base-db
host-details edit-config list-logs print-db
print-host-config print-config print-log print-db-errors
rm-host rm-config print-db-header
drop-config rm-db
verify-config
new-config

[ Misc commands ]
help version quit ssl
For help with a specific command, try: help [/code]

まずは管理用マシン自体の設定をします。
edit-mhostと入力してリターンキーを押すと後は対話的に進みます。

[code]osiris-3.0.4-current: edit-mhost

[ edit management host (localhost) ]
> syslog facility [DAEMON]: 　←リターンキー
> syslog level [NOTICE]: 　←リターンキー
> log intensity [LOW]: 　←リターンキー
> control port [2266]: 　←標準でよければリターンキー
> http host name (uses system name by default) []: myhost　　←管理マシンのホスト名
> http control port [2267]: 　←標準でよければリターンキー
> notification email []: user@mydomain.com　　←通知を受けたいメールアドレス
> notification smtp host [127.0.0.1]: 192.168.0.10　←メールサーバのIPアドレス
> notification smtp port [25]: 　←リターンキー
> authorized hosts:

127.0.0.1

Modify authorization list (y/n)? [n] 　←管理ホストからだけ操作できればいいならリターンキー

[ management config (localhost) ]
syslog_facility = DAEMON
syslog_level = NOTICE
log_intensity = LOW
control_port = 2266
http_port = 2267
http_host = myhost
notify_email = user@mydomain.com
notify_smtp_host = 192.168.0.10
notify_smtp_port = 25
hosts_directory =
allow = 127.0.0.1

Is this correct (y/n)? y　←よければリターンキー

management host config sucessfully saved.[/code]

これで管理用マシンの設定は完了です。

■ [osiris]チェックする対象マシンの設定
管理用のマシン設定ができたところで、チェック対象のクライアントの設定に入ります。まず、管理対象クライアントをnew-hostコマンドで登録します。管理用マシンそのものももちろん対象にできます。ここからも対話的に設定できます。

[code]osiris-3.0.4-current: new-host

[ new host ]
> name this host []: myclient01　←クライアントのホスト名
> hostname/IP address []: 192.168.0.101　←クライアントのIPアドレス（管理用マシン自身を対象にするなら127.0.0.1でOK）
> description []: PBG4　←クライアントの説明（任意記述）
> enable scan logging for this host? (yes/no) [no]: y　←logをとる場合にy
> archive scan databases for this host? (yes/no) [no]: 　←スキャン毎の結果を保存したい場合にy
> enable admin email notification for this host? (yes/no) [yes]: 　←メールでの通知が必要ならy
> send scan notification, even when no changes detected (yes/no) [no]: 　←変化なしでも通知が必要ならy
> notification email (default uses mhost address) []: 　←通知アドレスが管理用マシンの登録と同じでOKならリターンキー
> configure scan scheduling information? (yes/no) [no]: yes　　←スキャンスケジュールを調整するならy（標準は１日毎）

[ scheduling information for myhost ]
Scheduling information consists of a start time and a frequency value.
The frequency is a specified number of minutes between each scan, starting
from the start time. The default is the current time. Specify the start
time in the following format: mm/dd/yyyy HH:MM
enter the start date and time

using ‘MM/DD/YYYY hh:mm’ format: [Fri Feb 13 18:40:12 2004] 　←タイムスタンプフォーマット変更
enter scan frequency in minutes: [daily (1440)] 180　←1分単位で指定できます
> activate this host? (yes/no) [no]: yes　←スキャンを有効にするならy

host => myclient01
hostname/IP address => 192.168.0.101
description => PBG4
host type => generic
log enabled => yes
archive scans => no
notifications enabled => yes
notifications always => no
notify email => (managment config)
scans starting on => Fri Feb 13 18:40:12 2004
scan frequency => every 180 minutes
enabled => yes

Is this correct (y/n)? y　←設定内容がOKならy
the new host (myhost) was sucessfully created.
initialize this host? (yes/no): y 　←すぐに始めるならy（対象クライアントにosirisdが起動している必要あり）

Initializing a host will push over a config, start
a scan, and set the created database to be the
trusted database.

Are you sure you want to initialize this host (yes/no): y　←すぐに始めるならy（対象クライアントにosirisdが起動している必要あり）

OS Name: Darwin　←対象クライアントから自動判別
OS Version: 7.2.0

use the default config for this OS? (yes/no): y　←該当OS用の標準設定でよければy
The config: default.darwin has been pushed.

perform an initial scan and database for this host? (yes/no): y　←すぐに始めるならy
scanning process was started on host: myclient01

osiris-3.0.4-current:[/code]

これでクライアントの設定が完了です。

設定と同時に初期のデータベース登録と、最初のスキャンを始めているので上記の設定であれば、３時間毎に該当クライアントをスキャンして異常があれば、user@mydomain.comにメールで通知されることになります。

対象ホストが複数ある場合には上記の手順を必要なだけ繰り返すことで、管理対象を増やすことができます。

■ [osiris]通知メールの詳細
osirisが送信してくるメールを紹介しておきます。設定した項目がどこに反映されているかもわかりやすいと思うので確認してみてください。これはOSXServerにユーザを一人追加した際に送られてきたものです。

ここに書かれたURLをクリックするとosirisの管理用マシンにブラウザでアクセスします。そして同じアラート内容が表示されますが、そのページの一番下に「accept」というボタンがあります。このボタンを押すとこの変更を確認したということで、データベースが更新されます。確認するまでosirisのスキャンが走る度に同じアラートを送り続けるようです（未確認）。

また、このURLにアクセスするブラウザのIPアドレスはedit-mhostでauthorized hostsに登録する必要があるようです。*も使えるとありますが、うちでは機能しませんでした。:-(

[code]From: osirismd@myhost
Subject: scan log – [1 changes][host: myclient01]
Date: 2004年2月11日 23:34:27:JST
To: user@mydomain.com

If these changes are approved, visit the URL below to set the latest scan database to be the trusted database. Or, login to the management console and set the trusted database to (2). If these notifications persist, you may need to modify the scan config for this host or set some comparison filters.

compare time: Wed Feb 11 23:34:24 2004
host: myclient01
scan config: default.darwin
log file: 5
base db: 1
compare db: 2

[myclient01][new][user:testuser]

Change Statistics:

———————————-

checksums: 0
SUID files: 0
root-owned files: 0
file permissions: 0
new: 1
missing: 0
total differences: 1[/code]

※再掲載に当たって一部修正しています。

ids, oldhatena, osiris

■ [osiris]OSX用のおすすめ設定（WSMから本人投稿を再掲載 2004年2月）
前回までに設定したマシンmyclient01はOS標準の検知設定になっています。OSX用は以下のように表示されます。設定の書式はapacheと似ていてわかりやすいです。（とドキュメントに書いてある）:-)

[code]osiris-3.0.4-current: host myclient01　←osirisにログインしてhost xxxxとしてホスト設定に入る
myclient01 is alive.　←該当ホストが有効になっていればaliveと表示される
osiris-3.0.4-current[myclient01]: print-config　←print-configで現在の設定が表示される
config name: default.darwin　←OSX用のデフォルト
ID: 8850eba9
status: valid
errors: 0
warnings: 0
lines: 43

——–begin config file ——–

Recursive no　←ディレクトリをたどっていかない
FollowLinks no　←リンクをたどっていかない
IncludeAll　←全ての項目をチェック
Hash sha　←ハッシュにはshaを使う
　←システム項目に関する設定開始
　Include users　←ユーザの追加削除をチェック
　Include groups　←グループの追加削除をチェック
　Include kexts　←機能拡張の追加削除をチェック
　←システム項目の設定終了
　←/ディレクトリに関する設定開始
　Recursive no　←/ディレクトリだけを見ます
　Include file( “mach_kernel” )　←/mach_kernelのファイルだけを見ます

　←/private/var/rootディレクトリに関する設定開始
　Recursive yes　←/private/var/rootディレクトリ以下もたどって見ます
　Include executable　←実行形式のファイルだけを見ます（推測）
　Include suid　←suidされたファイルだけを見ます（推測）


　IncludeAll　←全ての項目をチェック


　IncludeAll


　IncludeAll


　IncludeAll


　IncludeAll


　IncludeAll


　IncludeAll

# EOF

——– end config file ——–[/code]

OSXではApplicationフォルダにファイルが追加されることが多いのでその設定を加えるためには、上記に以下の設定を追加すればOKです。

[code]
　IncludeAll

[/code]
設定を追加する時には以下のようにします。

[code]osiris-3.0.4-current[myclient01]: edit-config　←編集コマンド（必ずホスト設定にいないといけないです）[/code]

こうするとviエディタの画面になり上記の設定が表示され編集できます。編集を終えてviを終了すると以下の表示が出て完了します。
[code]
config file changed, updating…

the config: (default.darwin) was succesfully updated.
[/code]
■ [osiris]Filterの設定
この状態でそのまま運用しても大きな問題はないんでしょうが、時々気になることが起きます。それは/usr/binや/usr/sbinのほとんどファイルでctimeが異なるという検知結果を送ってくることです。

これを出ないようにするためにはfilterの設定を行います。osirisではホスト設定にfilterがあるのではなく、osirisのマネージャ設定（mhost）側にfilterを書くのでちょっとわかりにくい感じがします。

filterは最初は何も登録されていないので、以下のコマンドから始めます。
[code]
osiris-3.0.4-current: edit-filter 　←フィルタ編集コマンド

s) show current filters.　←現在のフィルタを表示するには「s」を入力
a) add a new filter.　←フィルタを追加するには「a」を入力
r) remove filter.　←フィルタを削除するには「r」を入力
q) quit　←フィルタ設定を終了します

> a　←追加なので「a」とします

> host (*=all hosts): *　←どのホストに適用するフィルタかホスト名で指定します
> path (*=any path): /Applications　←どのパスに適用するフィルタかフルパスで指定します

1) Include Only (monitor changes only to certain attributes)　←標準監視設定の一部だけを有効にしたい場合こちらを選択します
2) Exclude (ignore changes to certain attributes)　←標準監視設定の一部を無効にしたい場合こちらを選択します
> filter type: [2] 2　←今回は標準監視設定のctimeだけを無効にするのでこちらを選択します

csum – checksum　←チェックサム
device – device number　←デバイスナンバー（割り当てたネットワークカードが変わったりすると出ます）
inode – inode number　←inodeナンバー（HD上の記録位置）
perm – permissions (mode)　←アクセス権
links – number of hard links　←ハードリンクの数
uid – user ID　←ユーザID
gid – group ID　←グループID
mtime – last modification time　←最後に更新された時間
atime – last access time　←最後にアクセスされた時間
ctime – last change time　←最後に変化した時間？？？
dtype – device type　←デバイスタイプ（よくわかりません）
bytes – number of bytes　←ファイルの大きさ（バイト数）
blocks – number of blocks　←ファイルの大きさ（ブロック数）
bsize – block size　←ブロックのサイズ
osid – owner SID　←オーナーのセキュリティ識別子
gsid – group SID　←グループのセキュリティ識別子
fileattr – windows file attributes　←Windowsのファイル情報
new – not in trusted database　←新規に追加されたファイル
missing – not present in latest scan　←削除されたファイル

> attributes (comma separated): ctime　 ←今回はctimeだけ除外します（複数ある場合はカンマで区切って書きます）

does this look correct:
==> host=*;path=/Applications;exclude: ctime ; (y/n)? y　←確認されるので良ければy

filter added.　←無事追加されました
[/code]
こうして追加されたフィルタは上記で設定されたルールで各ホストに適用されます。

具体的には以下のような設定を持つホストの場合、

[code]
　IncludeAll
[/code]

本来であれば以下の項目全てがチェックされますが

[code]csum – checksum
device – device number
inode – inode number
perm – permissions (mode)
links – number of hard links
uid – user ID
gid – group ID
mtime – last modification time
atime – last access time
ctime – last change time
dtype – device type
bytes – number of bytes
blocks – number of blocks
bsize – block size
osid – owner SID
gsid – group SID
fileattr – windows file attributes
new – not in trusted database
missing – not present in latest scan[/code]

filterを設定したのでctimeだけはチェックされなくなるということです。逆に特定の項目だけチェックしたい場合は以下のようにします。（/Applicationに入るアプリの増減やアクセス権だけチェックしたいとか）

[code]> filter type: [2] 1　
> attributes (comma separated): new,missing,perm,uid,gid

does this look correct:
==> host=*;path=/Applications;include: new,missing,perm,uid,gid ; (y/n)? y[/code]

これでOKです。

■ [osiris]管理コンソールの証明書の更新
１年前に設定してこれまで問題なく動作していたosirismdが急にこんなメールアラートが出て動作しなくなりました。

[code]Subject: failed to start scheduled scan [host: myhost]
Date: Tue, 12 Apr 2005 18:22:51 +0900
From: “Osiris IDS”
To: mymailaddress
host: myhost

scheduled scan time: Tue Apr 12 15:00:03 2005
The scheduler produced the following error message:
session key negotiation failed.[/code]

何が起きたのか調べてみたところ、osirisをインストールした際に生成された証明書が１年で期限切れになっているらしいことがわかりました。この状態でosirisにログインしようとすると以下のようなエラーになります。

[code]Osiris command line management utility – version 3.0.4-current
authenticating to (myhost)

User: admin
Password:

WARNING : certificate authentication failed. The certificate
presented by the mangaement host (localhost) was not signed by
the root cert loaded from (/Users/username/.osiris/osiris_root.pem).

[ presented certificate ]

issuer = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
subject = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
untrusted MD5 fingerprint: 16:27:02:E6:4E:B9:36:EB:24:DA:C2:5B:F8:xx:xx:xx.

If you trust this certificate, delete the root cert and start
this application again.[/code]

この問題に対処するためには以下の操作を行ないます。

[code]$ sudo mv /usr/local/osiris/certs/osirismd.crt /usr/local/osiris/certs/old_osirismd.crt
$ sudo SystemStarter restart “Osiris IDS”[/code]

このコマンドを入力すると以下のような表示が出ます。

[code]
Welcome to Macintosh.
Osiris Management daemon stopped.
Osiris Scanning daemon stopped.
Starting osiris management daemon.
unable to load server certificate (/usr/local/osiris/certs/osirismd.crt)

==> creating one.

Generating RSA key, 2048 bit long modulus.
………+++
……………………………………Waiting for Osiris Host Intrusion Detection System
……………………………………………………….Waiting for Osiris Host Intrusion Detection System
………………+++

Starting osiris scanning daemon.
Startup complete.
Hangup[/code]

これで新しい管理用証明書が作成されました。

■ [osiris]ログインユーザの証明書の更新
上記の操作をやった後にosirisのadminを操作しようとするユーザのホームディレクトリにある.osirisフォルダ内のosiris_root.pemファイルを削除する必要があります。

[code]$ rm -f 〜/.osiris/osiris_root.pem[/code]

これをやっておかないとosirisにadminでログインできません。更にもうひとつ/usr/local/osiris/にあるosiris_root.pemも削除しておきます。

[code]$ sudo rm -f /usr/local/osiris/osiris_root.pem[/code]

これらの作業をやった後にadminでログインするようにしてください。

■ [osiris]チェック対象マシンの各host毎の証明書の更新
これまでの設定だけではosirismdへのログインはできますがhost設定をしようとすると以下のエラーになり接続することができません。

[code]osiris-3.0.4-current: host RemoteServer
error: session key negotiation with remote host failed.
[/code]

これを回避するためにはhostで設定したRemoteServerにsshでログインして以下の操作をしてください。

[code]$ sudo mv /usr/local/osiris/osiris_root.pem /usr/local/osiris/old_osirisroot.pem
$ sudo SystemStarter restart “Osiris IDS”
[/code]

この操作をした上でosirismdにadminでログインして以下の操作をします。

[code]osiris-3.0.4-current: host RemoteServer

RemoteServer is alive.
osiris-3.0.4-current[RemoteServer]: status

[ current status of host: RemoteServer ]
current time: Thu Apr 14 13:59:49 2005
up since: Thu Apr 14 13:59:07 2005
daemon status: idle.
config status: no config present.　←設定ファイルが消えているので注意
osiris version: 3.0.4-current
OS: Darwin 7.8.0

osiris-3.0.4-current[RemoteServer]: push-config　←設定ファイルをPushする

the config: (default.darwin) was succesfully pushed to host: RemoteServer

osiris-3.0.4-current[RemoteServer]: status

[ current status of host: RemoteServer ]
current time: Thu Apr 14 14:00:47 2005
up since: Thu Apr 14 13:59:07 2005
last config push: Thu Apr 14 14:00:35 2005
configuration id: cc4f6e68
daemon status: idle.

config status: current config is valid.　←設定ファイルが有効になった

osiris version: 3.0.4-current
OS: Darwin 7.8.0

osiris-3.0.4-current[RemoteServer]: start-scan　←スキャンを実行

scanning process was started on host: RemoteServer 　←スキャン成功
[/code]

ここまでやって証明書の更新が完了になります。

※再掲載に当たって一部修正しています。

ids, oldhatena, osiris

■ [ibook]iBook/AirMacExtremeBaseStationで無線キオスク設定手順書
安価なibookを利用して無線キオスク端末を作成してみる。目的は電源オンですぐに使えることと、簡単にはいたずらされないようにすること。実験では192.168.0.100にWebサーバを立てそこでWebを利用した情報サービスを行なうことを想定した設定になっている。約６０台のibookと４台のBaseStationで構成する。１度の利用は５０台を想定し、BaseStationは予備利用を考えて４台完全に同じ構成のクローンとする。利用するソフトウェアはOSX10.3.8、Safari、Saft（Safariのキオスク化ソフトウェア）、AirMac関連ツール。

■ [ibook]１）BaseStation準備
　・箱から本体と電源ケーブル（アダプタとケーブル）を取り出す

　・本体と電源ケーブルを接続し、コンセントにプラグを差し込む

　・本体正面の３つのLEDが点灯するのを確認

　・真ん中のLEDが点灯ままになり、右の１つが点滅になるを待つ

■ [ibook]２）BaseStation設定用iBook準備と設定
　・箱から本体と電源ケーブル（アダプタのみ）を取り出す

　・本体と電源ケーブルを接続し、コンセントにプラグを差し込む

　・本体と電源ケーブル接続部分のLEDが点灯するのを確認する

　・本体を開き、キーボード右上電源をonにする

　・起動待ち

　・「言語選択画面」で日本語を選択する

　・初期登録のセットアップが始まるのを待つ

　・「ようこそ」画面で「日本（それ以外のお客様:Non MYLINE PLUS）」を選択して「続ける」

　・「すでにMacをお持ちですか？」画面で「情報を転送しません」を選択して「続ける」

　・「基本環境の設定」画面では設定変更せず「続ける」

　・「AppleID」画面で「自分のAppleIDを作成しない。」を選んで「続ける」

　・「ユーザ登録の情報」で以下の内容を入力して「続ける」

　　姓名（カタカナ）：アナタノ　ナマエ

　　姓名（漢字）：アナタノ　ナマエ

　　郵便番号：xxx-xxxx

　　都道府県：東京都

　　市区町村：千代田区霞が関X−X−X

　　以降の住所：霞ヶ関ＸＸビル

　　メールアドレス：

　　市外局番：03

　　電話番号：xxxx-xxxx

　　お勤め先：カイシャノナマエ

　・「ユーザ登録の情報」画面で「大企業（500人以上）」と「その他」と「いいえ」を選んで「続ける」

　・「ローカルアカウントの作成」画面で以下の内容を入力して「続ける」

　　名前：カイシャノナマエ

　　ユーザ名：username

　　パスワード：userpassword

　　確認：userpassword

　　ヒント：

　・「インターネットの利用準備」画面で「インターネット設定を行わない」を選択して「続ける」

　・「.Macを利用する」画面で「.Macメンバー情報は後で設定したい」を選択して「続ける」

　・「接続の準備が整いました」画面で「続ける」

　・表示されるダイアログで「後で登録する」を選択する

　・「Mailの設定」画面で変更せず「続ける」

　・「時間帯の設定」で「東京-日本」を選択して「続ける」

　・「日付と時刻の設定」画面で設定変更せず「続ける」

　・「登録を忘れずに…」画面で「終了」

■ [ibook]３）BaseStationの設定
　・設定用iBookで「システム環境設定」の「ネットワーク」を開く

　・「場所」が「自動」、「表示」が「AirMac」になっていることを確認する

　・「AirMac」タブの「デフォルトで、次に参加する」が「自動」になっていることを確認する

　・「TCP/IP」タブの「IPv4を設定」が「DHCPサーバを参照」になっていることを確認する

　・「アプリケーション」フォルダの「ユーティリティ」の中にある「AirMac管理ユーティリティ」を起動する

　・「BaseStation xxxxx」が選択されていることを確認し、「設定」アイコンをクリック（xxxxxはランダム）

　・警告ダイアログが出たら「OK」ボタンを押す

　・「AirMac」タブの「ベースステーション」の項目に以下の内容を入力する

　　名前：WNetworkBS01

　　連絡先：カイシャノナマエ　情報システム部

　　場所：イベント用会場

　　パスワードの変更：userpassword

　・AirMacネットワークの項目に以下の内容を入力する

　　名前：WNetwork

　　ワイヤレスセキュリティ：「WPAパーソナル」を選択しパスワードに「wpapassword」

　　モード：802.11gのみ

　・「ファイル」メニューから「別名で保存…」を選択し、デスクトップに「WNetworkBS01設定」で保存する

　・ウインドウ右下の「アップデート」ボタンを押してアップデートする

　・BaseStation再起動後、iBookのメニューバー上のAirMacメニューから「WNetwork」を選択し接続する（要パスワード）

　・「AirMac管理ユーティリティ」に「WNetworkBS01」が表示されるのを確認

■ [ibook]４）一般用ibookインストール時設定
　・箱から本体と電源ケーブル（アダプタのみ）を取り出す

　・本体と電源ケーブルを接続し、コンセントにプラグを差し込む

　・本体と電源ケーブル接続部分のLEDが点灯するのを確認する

　・本体を開き、キーボード右上電源をonにする

　・起動待ち

　・「言語選択画面」で日本語を選択する

　・初期登録のセットアップが始まるのを待つ

　・「ようこそ」画面で「日本（それ以外のお客様:Non MYLINE PLUS）」を選択して「続ける」

　・「すでにMacをお持ちですか？」画面で「情報を転送しません」を選択して「続ける」

　・「基本環境の設定」画面では設定変更せず「続ける」

　・「AppleID」画面で「自分のAppleIDを作成しない。」を選んで「続ける」

　・「ユーザ登録の情報」で以下の内容を入力して「続ける」

　　姓名（カタカナ）：アナタノ　ナマエ

　　姓名（漢字）：アナタノ　ナマエ

　　郵便番号：xxx-xxxx

　　都道府県：東京都

　　市区町村：千代田区霞が関X−X−X

　　以降の住所：霞ヶ関ＸＸビル

　　メールアドレス：

　　市外局番：03

　　電話番号：xxxx-xxxx

　　お勤め先：カイシャノナマエ

　・「ユーザ登録の情報」画面で「大企業（500人以上）」と「その他」と「いいえ」を選んで「続ける」

　・「ローカルアカウントの作成」画面で以下の内容を入力して「続ける」

　　名前：カイシャノナマエ

　　ユーザ名：username

　　パスワード：userpassword

　　確認：userpassword

　　ヒント：

　・「インターネットの利用準備」画面で「既存のインターネットサービスを使う。」を選択して「続ける」

　・「インターネットの接続方法」で「ローカルネットワーク（AirMacワイヤレス）」を選択して「続ける」

　・「ワイヤレスサービス」画面で「WNetwork」を選択して「続ける」

　・「インターネット接続の設定」画面で以下の内容を入力して「続ける」

　　TCP/IP接続の種類：手入力

　　IPアドレス：192.168.0.151/24（→iBookには192.168.0.151〜211までのアドレスを設定してください）

　　サブネットマスク：255.255.255.0（自動入力）

　　ルータアドレス：192.168.0.1（自動入力）

　　DNSホスト：

　　ドメインネーム：

　　プロキシサーバ：

　・「.Macを利用する」画面で「.Macメンバー情報は後で設定したい」を選択して「続ける」

　・「接続の準備が整いました」画面で「続ける」

　・表示されるダイアログで「後で登録する」を選択する

　・「Mailの設定」画面で変更せず「続ける」

　・「時間帯の設定」で「東京-日本」を選択して「続ける」

　・「日付と時刻の設定」画面で設定変更せず「続ける」

　・「登録を忘れずに…」画面で「終了」

■ [ibook]５）一般用Ibookユーザ設定
　・４）に引き続き設定を行う

　・「システム環境設定」の「ネットワーク」を開く

　・「表示」項目から「ネットワークポート設定」を選択する

　・「内蔵モデム」「内蔵Ethernet」のチェックを外して「今すぐ適用」ボタンを押す

　・「表示」項目から「AirMac」を選択し、続いて「AirMac」タブを選択する

　・「AirMac」タブで表示されている「AirMacID」をメモしておく

　・「デフォルトで、次に参加する」を「特定のネットワーク」にし「WNetwork」を選択

　・「パスワード」項目に「wpapassword」を入力する

　・「このコンピュータがネットワークを作成するのを許可する」のチェックを外す

　・「TCP/IP」タブを選択し「IPv6を設定…」ボタンを押し、「IPv6を設定」を「切」にして「OK」ボタン

　・「今すぐ適用」ボタンを押す

　・画面左上の「全てを表示」をクリック、「共有」をクリック

　・コンピュータ名を「ibook151」とする（ibookの後の番号はIPアドレスの下３桁と同じにする）

　・先ほどの「AirMacID」とコンピュータ名を対にしてメモしておく

　・画面左上の「全てを表示」をクリック、「アカウント」をクリック

　・画面左下の「+」をクリックして新規ユーザを作成し以下の項目を入力する

　　名前：デモ

　　ユーザ名：demo

　　パスワード：demopassword

　　確認：demopassword

　　ヒント：

　・「ログインオプション」の項目をクリックして以下のように設定

　　ログイン時の表示：名前とパスワード

　　自動ログインのアカウント：チェック有り　デモ（要パスワード）

　・USBメモリから「Saft_Full.dmg」をデスクトップにコピーしてダブルクリックする

　・マウントされた「Saft_Full」から「Install Saft」を起動してインストールを行う（要パスワード）

　・インストーラーの指示に従いインストールを行う（要パスワード）

　・アップルメニューから「ログアウト」を選択して「ログアウト」する

　・ユーザ「デモ（demo）」でログインする（要パスワード）

　・「システム環境設定」の「省エネルギー」を開き、「省エネルギー設定を最適化」を「最大パフォーマンス」に設定する

　・「すべてを表示」をクリックし「アカウント」を開く

　・画面右側の「起動項目」タブを選択して「+」ボタンをクリックし選択ダイアログから「Safari」を探して「追加」する

　・項目に「Safari」が追加されたことを確認して、アップルメニューから「ログアウト」する

　・ユーザ「カイシャノナマエ（username）」でログインする（要パスワード）

　・「システム環境設定」の「アカウント」を開く

　・ユーザ「デモ」を選択する

　・画面右側の「制限」タブをクリックし、シンプルFinderを選択する

　・「アプリケーション」の「許可」チェックを外し、▲マークをクリック

　・アプリケーションのリストから「Safari」を探して「許可」にチェックする

　・アップルメニューから「ログアウト」を選択して「ログアウト」する

　・ユーザ「デモ（demo）」でログインする（要パスワード）

　・自動的に「Safari」が起動するので、メニューバーの「Safari」メニューから「環境設定」を選択する

　・「環境設定」が開いたら「一般」アイコンをクリックし、「ホームページ」項目を「http://192.168.0.100/」に変更する

　・続いて「表示」アイコンをクリックし、標準フォントを「コレクション」→「日本語」→「ヒラギノ角ゴPro」→「14」に設定する

　・同様に等幅フォントを「コレクション」→「等幅」→「Monaco」→「14」に設定する

　・デフォルトエンコーデイングを「日本語（Shift jis）」に変更する

　・「ブックマーク」アイコンをクリックし、全てのチェックを外す

　・「自動入力」アイコンをクリックし、全てのチェックを外す

　・右はじの「Saft」をクリックして「キオスク」タブを選択する

　・「キオスクモード」にチェックを入れて、「HTTP/HTTPSプロトコルのみ」「Safariをリセットするボタンを追加する」をチェックしそれ以外のチェックを外す

　・「環境設定」を閉じる

　・「Safari」の「表示」メニューから「ホーム」「テキストサイズ」にチェックをつける

　・同様に「ブックマークに追加」「Google検索」「バグレポートを送信」「ブックマークバー」からチェックを外す

　・「Safari」を一旦終了し、画面下部のドックからFinderアイコンの右隣「マイアプリケーション」をクリックし「Safari」を再度立ち上げる

　・フルスクリーン画面になっていることを確認して「Cmd+Option+Control+ESC」のキーコンビネーションで強制終了する

　・アップルメニューから「ログアウト」を選択する

　・ログインパネルで「システム終了」を選んで電源を落とす

　・確認のため電源をonにする

　・起動して、自動でログインされSafariが指定のURLで起動すればOK

　・「Cmd+Option+Control+ESC」のキーコンビネーションで「Safari」を強制終了してログアウトする

　・ログインパネルで「システム終了」を選んで電源を落として終了

■ [ibook]６）iBook設定の複製（テスト記録が一部ないため記述間違いがあるかも）
　・設定済みiBookを「T」キーを押しながら起動する

　・ディスプレイにFireWireマークが出るのを確認する

　・この状態で新規に設定しようとするiBookとFireWireケーブルで接続する

　・新規設定するiBookを起動する

　・「言語選択画面」で日本語を選択する

　・初期登録のセットアップが始まるのを待つ

　・「ようこそ」画面で「日本（それ以外のお客様:Non MYLINE PLUS）」を選択して「続ける」

　・「すでにMacをお持ちですか？」画面で「情報を転送する」を選択して「続ける」

　・設定済みibookから全ユーザ分と「アプリケーション」「ライブラリ」の設定をコピーする

　　（選択可能な全ての設定をコピーしてもらっていいと思います）

　・設定終了後、もしユーザ「デモ」で起動すると「Safari」が自動起動する（ユーザ「カイシャノナマエ」だったら２行下へ）

　・その場合は「Cmd+Option+Control+ESC」のキーコンビネーションで「Safari」を強制終了してログアウトする

　・ユーザ「カイシャノナマエ（username）」でログインする（要パスワード）

　・「システム環境設定」の「ネットワーク」を開く

　・「表示」項目から「AirMac」を選択し、続いて「AirMac」タブを選択する

　・「AirMac」タブで表示されている「AirMacID」をメモしておく

　・「TCP/IP」タブを選択し「IPアドレス」項目を重複しないように192.168.0.152などに順次変更し「今すぐ適用」ボタン

　・画面左上の「全てを表示」をクリック、「共有」をクリック

　・コンピュータ名を「ibook152」とする（ibookの後の番号はIPアドレスの下３桁と同じにする）

　・先ほどの「AirMacID」とコンピュータ名を対にしてメモしておく

　・「システム環境設定」を閉じる

　・アップルメニューから「システム終了」を選択して終了

　・確認のため電源をonにする

　・起動して、自動でログインされSafariが指定のURLで起動すればOK

　・「Cmd+Option+Control+ESC」のキーコンビネーションで「Safari」を強制終了してログアウトする

　・ログインパネルで「システム終了」を選んで電源を落として終了

　・この作業を台数分繰り返す

■ [ibook]７）BaseStationの設定の複製
　・設定用iBookで「システム環境設定」の「ネットワーク」を開く

　・「場所」が「自動」、「表示」が「AirMac」になっていることを確認する

　・「AirMac」タブの「デフォルトで、次に参加する」が「自動」になっていることを確認する

　・「TCP/IP」タブの「IPv4を設定」が「DHCPサーバを参照」になっていることを確認する

　・「アプリケーション」フォルダの「ユーティリティ」の中にある「AirMac管理ユーティリティ」を起動する

　・「BaseStation xxxxx」が選択されていることを確認し、「設定」アイコンをクリック（xxxxxはランダム）

　・警告ダイアログが出たら「OK」ボタンを押す

　・「ファイル」メニューから「読み込み…」を選ぶ

　・デスクトップに保存した「WNetworkBS01設定」を読み込む

　・設定が読み込まれたら、「AirMac」タブの「ベースステーション」の「名前」項目を変更する

　　名前：WNetworkBS02（番号は順次更新してください）

　・ウインドウ右下の「アップデート」ボタンを押してアップデートする（これで「WNetworkBS01設定」が複製されます）

　・BaseStation再起動後、iBookのメニューバー上のAirMacメニューから「WNetwork」を選択し接続する（要パスワード）

　・「AirMac管理ユーティリティ」に「WNetworkBS02」が表示されるのを確認

　・これを台数分行う

必要であればこの際に、作成したメモからibookのMACアドレスを入力し、MACアドレスによる接続制限の追加をする。追加した設定を保存し別のBaseStationに上記の方法でコピーしてやればよい。クローズドな無線ネットワークの場合にはMACアドレス制限までは不要と思われる。

ibook, oldhatena

■ [webcam]某FlashベースWeb会議システム検証結果覚え書き
とあるFlashベースのシステムを検証する機会があったので覚え書き。少人数ならまずまず使えるが同時接続点が６カ所超えるといろいろと考慮すべき点がある。

利用者にとっては画質よりも音声遅延の方が問題

遅延を少なくする対応が最優先課題

遅延時間はCPUとWebCamのスペックに大きく左右される

Celeronの800MHzくらいじゃダメ　Pentium4の1.6GHzならOK (Win2000sp4)

PowerPCならG4の800MHzで十分 (OSX10.3.8)

CMOSよりもCCDのカメラ　CPU負荷が大きく違う模様

一人一台カメラ＆インカムの方が望ましい　集音マイクはエコーで遅延原因になる

それでも大画面プラズマやスピーカーは別途用意されていると便利（らしい）

USBCamでもFireWireCamでも表示画質はあんまり大差がない　３５万画素で十分

Logicoolはカメラもマイクもインカムも国内他社より同価格帯でも品質がよかった

スピーカ音で聞いている場合カメラ内蔵マイクがPCのノイズを拾い始めるとループになりノイズが増幅して騒音や遅延の原因になり利用できなくなる

カメラにはマイク内蔵でない方がノイズ問題は起きにくい（ドライバの出来による？）

QoSをうたっているだけあり？細い回線の拠点でも問題なく動作している状況で帯域使用率は40%程度であった

実験はBフレッツ*4、広域LAN*1、社内LAN*3の構成で北海道から九州までバラバラの拠点からVPN経由で社内サーバへ接続

思ったより使えると思っていたのだが、人数が増えるとやはり処理能力がモノを言うようで細かいケアが必要になることがわかった。特にノイズは大きな問題で、カメラやインカムの選び方は重要。感度も製品により大きく異なるので結局安いモノは避けた方がいいということなのかもしれない。

■ [webcam]某FlashベースのWeb会議システムリベンジ
先日同時多拠点接続で実用に課題のあった同じシステムを、PCとWebカメラを刷新してリベンジマッチ。

前回の構成と平均遅延時間
　Celeron 800MHz NotePC
　CMOS 30万画素　WebCam
　インカム＆集音マイク＆スピーカ
　2〜5秒

今回の構成と平均遅延時間
　PentiumM 1.5GHz NotePC
　CCD 30万画素　WebCam
　インカム（エコーキャンセル付き）
　0.2〜0.5秒

PCスペックとカメラ＆インカムを変更しただけで、それ以外のサーバ機材とネットワーク環境は全く同じにも関わらず、体感は次元の違うものになった。Flashベースのこのシステムでは画像処理エンコードにかなりのCPUパワーが必要なようで、CPUを上げたことで思った以上の効果が出たようだ。各拠点の担当女性に試用してもらったのだが、前回の試験と違い話題がはずむこと！遅延がない＆画質が多少よいってことは、こんなに人のコミュニケーションを変えるものかと思う。結局１時間半の試験中大きなストレスを抱える事なくコミュニケーションをつなげることができた。音声品質や同時性の観点から多人数会議を行うためには、議事進行者に少々スキルが要求されるものの、十分にコミュニケーションをなしうると判断。試用してもらった女性らは、毎日拠点間ミーティングを開いてもいいくらいだと評価してくれた。あとは決裁権限者にどうアピールするか。

ちょうどvSkypeもβリリースされているようだし、そちらも試してみようと思う。無料で使える同時接続は４カ所までのようだが、画質もよいという評判なのでそれはそれで別の用途で利用できるかもしれない。

Flash, oldhatena, webcam

(まだ評価されていません)

Loading...

■ [tool]vSkype実験してみた
ということで某FlashWeb会議システムの検証のついでにvSkypeも実験してみた。まずはSkypeのHP（http://www.skype.com/intl/ja/）からSkypeをダウンロード。vSkypeはSkypeのプラグインなので必須。vSkypeもHP（http://www.vskype.com/）からダウンロード。vSkypeは英語ページしかないけど、downloadリンクをクリックするとすぐに落とせるので迷う事はほとんどない。

あとは以下の手順で。

Skypeのインストール

Skypeを起動してアカウント作成（新規にした）

２台目のPCにもSkypeを設定

コンタクトリストに双方のアカウントを登録

vSkypeをインストール（要管理者権限orPowerUser権限）

vSkypeではSkypeのコンタクトリストにあるユーザに対してのみCallできるらしい。SkypeのVideoメニューからCall画面を開く。Call画面で呼ぶ人を選んでCall。すると呼ばれた人にはメッセージが表示され、メッセージ中の指定のURLをクリックするとブラウザが開いて参加するかどうか確認する画面が現れる。ここでJoinを選べば参加できる。

Flashベースのものに比べると非常に画質も音質も優れているのだが、画像がきれいな分コマ落ちしたぎこちない動きになっているよう。音質も聞き取りやすいのだが、エコーキャンセルの仕組みのせいか「ぶつ切り」感があってちょっと慣れが必要そう。実際に利用した感じではFlashベースの仕組みの方が全体バランスがよくスムーズな印象を受ける。画質重視な場合にはvSkypeを選ぶべきって感じか。

それにしてもhttpとhttpsしか外部につなげないうちの社内から、こうも簡単に使えるインターネット電話＆ビデオ電話が存在しちゃうのがすごいよなぁ。うーむ。

さて、こうなるとh.264搭載のiChatも試しておかないとなぁ。Tiger鯖は社内にあるからやってみようか。

■ [tool]Skype通信を検出して防ぐ
セキュmemoでタイムリーなネタが紹介されていたので。なるほど。DeleGateを間に入れてやればいいのか。SoftEtherも同様に対処できているらしい。すばらしい。

[DeleGate] Re: skype の中継停止するには
http://www.delegate.org/mail-lists/delegate/13003

delegate, oldhatena, vSkype

(まだ評価されていません)

Loading...

■ [tool]Timbuktu待ち受けプロセスの再起動
なぜか稼働中のOSXマシンのTimbuktuサービスにアクセスできなくなることがある。sshで入ると待ち受けプロセス(Timbuktu Host.app)が起動していない。その時の対策。

[code]$ sudo open “/Applications/Timbuktu Pro/Timbuktu Pro.app/Contents/SharedSupport/Timbuktu Host.app”[/code]
これでマシンを再起動せずに待ち受けプロセスを復活させることができる。

oldhatena, Timbuktu

■ [tool]ntop3.1のインストール
MacOSXで利用可能なトラフィックモニタはいくつかあるが、商用製品は高いので手軽に使えるntopを設定してみる。ntopは結構以前からOSX用に移植されており、手持ちのバイナリでは2.1.1が残してある。2.2や3.0ではgdbmなどを別コンパイルする必要があるなど多少面倒な部分があったが、3.1ではどうやらその必要はなく、用意されたpkgをインストールするだけで主な機能が利用可能になっているようだ。

ntopを利用するためには公式サイトからOSX用のpkgをダウンロードすればよい。http://www.ntop.org/　からntop-3.1-macosx.binをダウンロードして展開する。ntop-3.1-macosx.pkgができるので、これをダブルクリックすれば後はOSXの他のソフトウェア同様にインストーラの指示に従うだけでいい。

注意したいのは、旧バージョンのntopをインストールしている場合には必ず/usr/local/ntopを削除してから行うこと。

■ [tool]ntop3.1を起動する
起動はいたって簡単。Terminalから

[code]$ sudo /usr/local/ntop/bin/ntop -u root -w 8888[/code]
とすれば管理者パスワードを求められた後、起動し始める。一番最初の起動ではadmin用パスワードを求められるので、

[code]Please enter the password for the admin user: [/code]
この表示が出たら（起動途中で CHKVER: This version of ntop is the CURRENT stable version という表示のまま止まることがあるが、リターンキーを押すとパスワード入力の表示が出てくるようだ）パスワードを入力する。確認も含めて２回入力を求められる。するとadminパスワードがセットされ起動が続く。

[code]NOTE: -L | –use-syslog=facility not specified, child processes will log to the default (24). [/code]
という表示が出たところで起動プロセスが一旦終了。

[code]$ sudo lsof -i[/code]
でntopのプロセスが起動しているかどうか確認する。

[code]ntop 3765 root 12u IPv6 0x03e76e80 0t0 TCP *:ddi-tcp-1 [/code]
こんな出力が出ていればOK。

ここまでできたら後はsafariでhttp://localhost:8888/へアクセスすればntopの画面が表示される。

ntopを終了させる場合には、ブラウザ上でntopメニューのAdminからshutdownを選択する。ユーザIDとパスワードを求められるので、ユーザにadmin、パスワードはさきほどセットしたパスワードを入力する。

■ [tool]ntop起動オプション
必要な時だけ起動するなら上記のコマンドでいいが、常時起動させておく場合にはデーモンモードを利用する。

[code]$ sudo /usr/local/ntop/bin/ntop -u root -d -w 8888[/code]
httpsでアクセスしたい場合には以下のようにする。

[code]$ sudo /usr/local/ntop/bin/ntop -u root -W 8888[/code]
トラフィック監視するインターフェースを特定する場合。

[code]$ sudo /usr/local/ntop/bin/ntop -u root -i en0 -w 8888[/code]

ntop, oldhatena