ITメモ
Bash / バッシュ
Reference
コマンドを強制終了させる方法「ドメイン名」から「IPアドレス」を調べる方法基礎知識
Bash(バッシュ)とは / About Bash「スクリプトファイル」の作り方「スクリプトファイル」を実行する方法変数 / Variable制御構文関数 / Function配列 / Array「入力」と「出力」をする方法パラメータ / Parameterファイルディスクリプタメタキャラ文字列を操作する方法Setting
設定ファイルのバックアップを作る方法ファイルのエンコーディング一括変換する方法環境変数「PATH」を「確認」「設定」する方法操作関連コマンド
「man」 - オンラインマニュアルを表示する「echo」 - 文字列を出力する「ls」 - ディレクトリ内容を表示する「cd」 - カレントディレクトリを移動する「pwd」 - 現在いるディレクトリのフルパスを表示するコマンド「su」 - 一時的に他のユーザになる「sudo」 - 他のユーザとしてコマンドを実行する「visudo」 - sudo設定情報を編集する「open」 - 指定ファイルをアプリケーションで開く「curl」 - ネットワーク上のファイルをダウンロードする「wget」 - ネットワーク上のファイルをダウンロードする「pbcopy(pbpaste)」 - ペーストボード経由でコピー・ペーストする「history」 - コマンドの実行履歴を表示する「script」 - 端末操作を記録する「lsof」 - プロセス・ポートがオープンしているファイルを表示する「tar」 - 書庫ファイル「.tar」「.tar.gz」「.tgz」などのアーカイブファイルを作成・展開する「yum」 - パッケージなどのインストール・更新・削除をする検索コマンド
「find」 - ファイルやディレクトリを検索するコマンド「grep」 - 文字列を検索する「apropos」 - キーワード検索でコマンドの情報を表示「whatis」 - キーワードのコマンドを正確に検索する「type」 - コマンドのパスを調べる「makewhatis」 - whatisデーターベースを作成する「mdfind」 - 「Spotlight(スポットライト)」でファイル検索を実行する「mdimport」 - スポットライトインデックスを再構築する「mdutil」 - スポットライトインデックスを管理するテキスト関連コマンド
「diff」 - テキストファイルを比較して差分を取る「sort」 - テキストファイルの内容をソートして表示する「less」 - テキストデータを閲覧する「cut」 - テキストファイルの一部を選択して表示する「emacs」 - テキストを表示・編集できるスクリーンエディタ「nano」 - テキストファイルを編集する「Base64」 - 文字列をBase64でエンコード・デコード「unexpand」 - スペースをタブに変換する「expand」 - タブをスペースに変換する「colrm」 - 指定した文字数を削除する実行コマンド
「exec」 - コマンドを実行する「xargs」 - コマンドの出力結果を次のコマンドの引数にする「tee」 - 標準入力を標準出力・ファイルに出力する「apply」 - 指定した引数に対してコマンドを実行する「time」 - コマンドの実行時間を計測する「periodic」 - 指定ディレクトリをスケジュール実行する「crontab」 - コマンドを指定時間に実行する「at」 - コマンドを指定時間に実行する「fc」 - コマンド履歴を使って複数コマンドを便利に実行する「nice」 - 優先度を下げてコマンドを実行「sync」 - ディスクの書き込みを強制実行する「source」 - ファイルに記述されたコマンドを実行する「renice」 - 実行プロセスの優先順位を変更する「bg & fg」 - ジョブをバックグラウンド・フォアグラウンドに移動する「appletviewer」 - アプレットビューアを起動する「otool」 - ファイルが使用するオブジェクトやライブラリを表示する「sleep」 - コマンドの実行を指定秒数だけ停止する「kill」 - プロセスおよびジョブを強制終了する「killall」 - プロセス名を指定して終了させる「jobs」 - 現在実行中のジョブを表示する「logger」 - 「syslog」にメッセージを書き込むApple Script / アップルスクリプト
「osascript」 - AppleScriptを実行するシステム系コマンド
「shutdown」 - システムを終了する「exit」 - ログアウトする「login/logout」 - ログインとログアウトをする「halt」 - システムを停止・再起動する「reboot」 - システムを停止・再起動する「launchctl」 - サービスを管理する「softwareupdate」 - ソフトウェアアップデートを実行する「sw_vers」 - 「MacOS X」のバージョンを表示する「system_profiler」 - 「MacOS X」のシステム情報を取得する「nvram」 - オープンファームウェアの環境変数を定義する「pbs」 - メニューを再構成する「fsck_hfs」 - ファイルシステムを検証・修正する「fsck」 - ファイルシステムのチェック・修正を行う「drutil」 - ディスクを管理する「diskutil」 - ディスクを管理する「fdisk」 - ハードディスクの情報確認・パーテーション作成など「pdisk」 - パーテーションテーブルを表示・編集する「gpt」 - パーテーションを追加・削除する「mount」 - ファイルシステムをマウントする「unmount」 - ファイルシステムをアンマウントする「hdid」 - ディスクイメージをマウントする「newfs」 - ディスクを初期化する(UFS)「newfs_hfs」 - ディスクを初期化する(HFS/HFS+)「newfs_msdos」 - ディスクを初期化する(MSDOS)「usermod」 - ユーザーを登録・設定をする「groupmod」 - グループの設定をする「passwd」 - パスワードを変更する「id」 - ユーザのIDを表示する「groups」 - ユーザのIDを表示する「w」 - ログインしているユーザの作業内容を表示する「who」 - 現在ログインしているユーザを表示する「last」 - ログインしたユーザーの情報を表示する「uname」 - システム情報を表示する「vm_stat」 - 仮想メモリの消費状況を表示する「date」 - 日付や時刻を表示・設定する「chkconfig」 - 自動起動するサービスの設定・確認「pmset」 - 省電力機能の設定を行う「defaults」 - デフォルトファイルにアクセスする「umask」 - デフォルトのパーミッションを変更「bless」 - 起動用ディスクを設定する「printenv」 - 環境変数を表示する「export」 - 環境変数を定義する(bash)「setenv/unsetenv」 - 環境変数を定義する(tcsh)「set/unset」 - シェル変数を設定する「alias/unalias」 - コマンドに別名を設定・解除する「stty」 - 端末の設定を確認・編集をする「tset」 - 端末を初期化する「arch」 - PCのアーキテクチャ(基本設計)を表示する「hostinfo」 - システムの詳細情報を表示する「alternatives」 - 異なるバージョンの同系列ソフトウェアなどを切り替える「dd」 - ディスクダンプを保存する「readlink」 - シンボリックリンク先の情報を表示する「mtree」 - ディレクトリ構造を比較する「basename」 - パス名から最後のファイル名を取得して表示する「dirname」 - パスからディレクトリ名を取得して表示する「banner」 - 文字を拡大表示する「ps」 - システムの実行中プロセスを一覧表示する「pgrep」 - プロセス情報を検索する「pkill」 - プロセスを検索してシグナルを送る「fuser」 - ファイル・ソケットを使用しているプロセスを表示する「uptime」 - システムの稼働時間を表示する「top」 - 現在のシステム状況を表示する「dmesg」 - システムメッセージを表示する「df」 - ディスク・ドライブの使用量を表示する「du」 - ディスクの消費状況を集計する「which」 - 絶対パスを調べる「whereis」 - ファイルの場所を調べる「seq」 - 番号を表示する「sed」 - ストリームエディタを使う「awk」 - テキストのパターン検知や処理を行う「sum」 - チャックサムとブロックすを表示する「cksum」 - CRCチェックサムとバイト数を表示する「bind」 - キー割り当ての確認と変更(bash)「bindkey」 - キー割り当ての確認と変更(tcsh)「complete」 - 入力補完候補を定義するディレクトリ操作コマンド
「dirs」 - ディレクトリスタックを表示・変更する「pushd」 - ディレクトリスタックを追加・移動する「popd」 - ディレクトリスタックで前に戻る「mkdir」 - ディレクトリの作成「mktemp」 - テンポラリファイル・ディレクトリを作成する「rm」 - ファイルやディレクトリを削除する「rmdir」 - ディレクトリの削除「chmod」 - 「ファイル」「ディレクトリ」のアクセス権を変更する「chgrp」 - ファイルやディレクトリのグループを変更する「chown」 - ファイルやディレクトリの所有者を変更する「rename」 - ファイル名・拡張子を一括変更「ln」 - リンクを作成する「ditto」 - ディレクトリをバックアップするファイル関連コマンド
「read」 - データを読み込む「touch」 - ファイルの作成・ファイル時刻の更新「cp」 - ファイルをコピーする「mv」 - ファイル・ディレクトリ名を移動・名前を変更する「SplitForks」 - リソースフォークを分離する「vi」 - ファイル編集をするコマンド「cat」 - ファイルの表示・結合をする「head」 - ファイルの先頭を表示「tail」 - ファイルの末尾を表示する「cat」 - ファイルの表示・結合をする「more」 - ファイル内容を表示する「rev」 - 反転して出力する「uniq」 - ファイル内の重複行を削除して表示する「wc」 - ファイルの内容を解析して行数・単語数・バイト数を表示する「col」 - 逆改行文字をフィルタリングする「lsbom」 - BOM(パッケージカタログ)ファイルの内容を表示する「mkbom」 - BOM(パッケージカタログ)ファイルを作成する「GetFileInfo」 - ファイルの属性情報を表示する「SetFile」 - ファイルの詳細情報を設定する「file」 - ファイルの種類を確認する「mdls」 - ファイルのメタデータを表示する「column」 - データを表形式に変換する「iconv」 - ファイルの文字コードを変換する「unencode/uudecode」 - バイナリファイルを符号化・復号化する「strings」 - ファイル内の表示可能な文字列を表示する「cmp」 - ファイルを比較して、バイト位置と行番号を表示する「diff3」 - 3つのファイルを比較する「vimdiff」 - 複数のファイルを比較する「patch」 - 差分ファイルを適用する「split」 - ファイルを複数に分割する「zip/unzip」 - ファイルを圧縮・解凍する「gzip/gunzip」 - ファイルを圧縮・解凍する「bzip2/bunzip2」 - ファイルを圧縮・解凍する「compress/uncompress」 - ファイルを圧縮・解凍する「zcat」 - 「gzip」「compress」形式のファイルを展開する「bzcat」 - 「bzip2」形式ファイルを標準出力に出力する「zforce」 - 「gzip」形式ファイルを「gz」形式に変換する「znew」 - 「compress」形式ファイルを「gzip」形式に変換する「gzexe」 - 実行ファイルを圧縮する「pstopdf」 - 「PS」「EPS」ファイルを「PDF」ファイルに変換する「sips」 - 画像ファイルを操作する「tiffutil」 - TIFFファイルを変換するネットワーク関連コマンド
「ifconfig」 - ネットワークカード(ネットワークインターフェイス)を確認・設定する「iptables」 - IPテーブルの操作コマンド「firewalld」 - CentOS7からファイアーウォールとして採用「netstat」 - ホストのネットワーク統計や状態を確認する「nslookup」 - DNSサーバーに名前解決の問い合わせを行う「finger」 - ユーザー情報を調べる「host」 - DNSサーバを利用してホストを検索する「hostname」 - ホスト名を表示する「ping」 - パケットを送信する「route」 - ルーティングテーブルの確認・設定をする「whois」 - ドメイン登録情報を問合せる「dig」 - ホスト名とIPアドレスを調べる「tcpdump」 - ネットワークのトラフィックをダンプする「arp」 - ARPキャッシュを操作する「ssh」 - セキュアなリモートコントロール「ssh-keygen」 - SSH認証鍵を生成する「openssl」 - SSL通信を行う「scp」 - リモートPCへ暗号化してファイルを転送する「write」 - ログイン中のほかのユーザにメッセージを送信する「telnet」 - リモートホストにログインする「ftp」 - FTPでファイルを転送する「rcp」 - リモートホスト上のファイルをコピーする「rsh」 - リモートホストでコマンドを実行「rlogin」 - リモートホストで作業する「ntpdate」 - NTPサーバを利用して日付時刻を設定する「ntpq」 - NTPで問合せる「apachectl」 - HTTPサーバを管理する「named」 - DNSサーバを管理する「postfix」 - Mailサーバを管理する開発ツール
「gcc」 - 「C言語」「C++」言語を「コンパイル」「ビルド」する「javac」 - java言語をビルドする「xcodebuild」 - Xcodeプロジェクトをビルドする「gdb」 - デバックを行う「make」 - 大規模プログラムの一部だけをコンパイル・リンクする「cvs」 - バージョン管理ツールを使う「svn」 - svnでバージョンを管理するプリンタ関連コマンド
「disable」 - プリンタの利用を停止する「lpc」 - プリンタの状態を表示する「lp」 - 指定ファイルを印刷する「lpadmin」 - プリンタを管理する「lpstat」 - プリンタのステータス情報を表示する「lpinfo」 - 有効な印刷デバイスを確認する「lpr/lpq/lprm」 - プリンタを操作するその他
「bc」 - 電卓機能を利用する「cal」 - カレンダーを表示する「date」 - 日付を表示する「say」 - 音声で文字列を読み上げる
【Bash】「iptables」 - ファイアウォール・IPテーブルの設定
Shell Script / シェルスクリプト
【Bash】
「iptables」 - ファイアウォール・IPテーブルの設定
【Bash】
「iptables」 - ファイアウォール・IPテーブルの設定
IPテーブルとは
「iptables」は、サーバーのデータのやり取りルールを記述したもの。
設定には、大まかな原則がある。
- 最初に、外からのすべての通信を受け付けないようにする。
- 確立済みの通信は通す。
- pingは通す。
- ループバックは通す。
- SSHは通す。
IPテーブルの編集方法
- 「iptables」コマンドで編集する
- IPテーブルの設定ファイル「/etc/sysconfig/iptable」を編集する
ファイアウォールの主な機能
| パケットフィルタリング |
届いたパケットが、設定条件に該当する場合、設定したアクション(通過・遮断・転送)を実行する。 |
| アドレス変換 | 届いたパケットが、設定条件に該当する場合、パケットの宛先アドレス・送信元アドレスを別アドレスに書き換える。 |
「iptables」の設定
「iptables」の設定ファイル
/etc/sysconfig/iptables
設定中のiptablesルール確認方法
iptables -nL
「iptables」の設定
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH(22,10022,22->delete after), HTTP, HTTPS
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH(22,10022,22->delete after), HTTP, HTTPS
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
デフォルトルール定義 外部からの通信をすべて拒否する設定
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
確率済みの通信を通過させる設定
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
すでに確立済みなら、通過させる設定。
すでに確立済みなら、通過させる設定。
Pingを通過させる設定
-A INPUT -p icmp -j ACCEPT
プロトコルが「icmp」であれば通過させる。
プロトコルが「icmp」であれば通過させる。
ループバックを通過させる設定
-A INPUT -i lo -j ACCEPT
自ホストからの返事の通信は通過させる設定。
自ホストからの返事の通信は通過させる設定。
SSHでの通信を受け入れる設定
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
他ホストからSSH接続が、22番ポートでアクセスしてきた場合に受け入れる設定。
SSH側のセキュリティ(パスワードログインさせない、rootログインさせない、など)は、SSHの設定で行うこと。
他ホストからSSH接続が、22番ポートでアクセスしてきた場合に受け入れる設定。
SSH側のセキュリティ(パスワードログインさせない、rootログインさせない、など)は、SSHの設定で行うこと。
http(ポート80)への通信を受け入れる設定
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
Webサーバーを設置する場合に、ポート80を解放するための設定。
Webサーバーを設置する場合に、ポート80を解放するための設定。
ポリシーの変更方法
iptables -P [チェイン] [アクション]
例:INPUT内のどのルールにもマッチしないパケットを全て破棄する場合
iptables -P INPUT DROP
例:INPUT内のどのルールにもマッチしないパケットを全て受信する場合
iptables -P INPUT ACCEPT
ルールの追加 : iptables -A [チェイン] [条件] [アクション]
※[チェイン]は、組み込みチェインとユーザチェインの両方で指定できます。
例:INPUT内のどのルールにもマッチしないパケットを全て破棄する場合
iptables -P INPUT DROP
例:INPUT内のどのルールにもマッチしないパケットを全て受信する場合
iptables -P INPUT ACCEPT
ルールの追加 : iptables -A [チェイン] [条件] [アクション]
※[チェイン]は、組み込みチェインとユーザチェインの両方で指定できます。
アクセス許可指定
例:外部からの3843番ポートへのアクセスを許可する場合
iptables -A INPUT -p tcp --dport 3843 -j ACCEPT
例:自ホストからのアクセスを全て許可する場合
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 3843 -j ACCEPT
例:自ホストからのアクセスを全て許可する場合
iptables -A INPUT -i lo -j ACCEPT
アクセス拒否指定
例:外部からの1234番ポートへのアクセスを拒否する場合
iptables -A INPUT -p tcp --dport 1234 -j DROP
iptables -A INPUT -p tcp --dport 1234 -j DROP
よく使われるポート
| 25 | SMTP | - |
| 109 | POP2 | - |
| 110 | POP3 | - |
| 143 | IMAP | - |
| 465 | SMTPS | - |
| 993 | POPS | - |
| 995 | IMAPS | - |
「iptables」の項目
| Chain |
iptablesは、指定したルールに当てはまるパケットに対しての、処理内容を定義します。 このルールのグループをチェインと言い、このチェインには、最初から定義されている組み込みチェインと、後から定義するユーザー定義チェインの2種類があります。 DTIでは、組み込みチェインとして、「INPUT、FORWARD、OUTPUT」の3つをデフォルトの状態で提供しております。 |
| policy |
各チェイン毎のルールのどれにもマッチしない場合は、そのチェインに定義されている「policy」の内容により、パケットを処理します。 ポリシーは、[チェイン]には「INPUT」「OUTPUT」「FORWARD」のみ指定できる。 ポリシーにDROPを設定する場合は、該当チェイン内に事前に必ず必要なACCEPTの設定を行う。 Chain INPUT (policy ACCEPT): サーバーに入ってくるパケットのうち、設定したどのルールにもマッチしない場合は、パケットを通過させる。 Chain OUTPUT (policy DROP) : サーバーから出て行くパケットのうち、設定したどのルールにもマッチしない場合は、パケットを破棄する。 |
| target |
ルールに該当するパケットの処理方法 ACCEPT:パケットを通過させる DROP:パケットを破棄する |
| prot |
プロトコル名 all:全てのプロトコル tcp:tcpプロトコル |
| source | 送信元IPアドレス |
| destinatior | 送信先IPアドレス |
