BJORB (びょうぶ) を使ってみる

このページは 2002年の 12/5、 12/12 の日記をまとめて作成。

はじめに

SSH に代わる汎用 secure proxy をとして BJORB がある。
この文書では Linux (VineLinux 2.5) で BJORB をインストール & 設定する方法に付いて述べる。
(最後の SOCKS5 の設定方法は管理人の備忘録なのです。)

1. BJORB インストール

BJORB は 0.5.7a が最新のようだ。
ソースコード (bjorb-0.5.7a.tar.gz) を展開すると bjorb-0.5.7a というディレクトリができるので、以下の手順を踏めば OK だった。

% cd  bjorb-0.5.7a/src
% ./configure --prefix=/usr/local --sysconfdir=/etc --localstatedir=/var --with-ssltop=/usr
% make
% su
# make certificate
# make install-<platform名>
# make install

<platform名> には準備されたプラットフォーム名が入る。
しかし環境によっては、ソースコード上の問題でコンパイルエラーが発生したり、インストーラ箇所がおかしかったりするので、目視と手作業による修正が必要である。

まず、当方の Vine Linux 2.5 + gcc version 2.95.3 (20010315) では Config.cc コンパイル中にエラーが発生する。これを以下のように修正する

diff Config.cc.orig Config.cc.modifed
336c336
<   csoc = ::accept(soc_accept, (SOCKADDR *)&sa_client, (int *)&addr_len);
---
>   csoc = ::accept(soc_accept, (SOCKADDR *)&sa_client, (socklen_t*)&addr_len);

また configure の各種指定が設定ファイル等に正しく反映されないようだ。以下に従ってソース等を修正する必要がある。

ファイル	註釈
bjorb 本体	`configure`で指定した `sbindir`は無視され、 prefix`/sbin`に bjorb は移動させられる。デフォルトは /usr/local/sbin/ の下。これを修正するには Makefile 中の sbindir の指定を変更する。
設定ファイル(bjorb.conf)	`configure`で指定した `sysconfdir`は無視され、 prefix`/etc`に bjorb は移動させられる。デフォルトは /usr/local/etc の下。変更するためには、コンパイル前に common.h 中の `CONFIG_FILE_SEARCH_PATH` を書き変える必要がある。また、インストールによって設定サンプル(bjorb.conf.sample) がコピーされる位置を合わせるには、 Makefile 中の etcdir を合わせる必要がある。
SSL 認証書 (bjorb.pem)	`make certificate`時に設定ファイルと同じ位置にできる。設定ファイルによって変更可能。

とりあえず以上でインストールで終り。

2. BJORB の設定

まずローカルホストからリモートホストへの telnet 通信を暗号化してみる。
ローカルホストのポート 23 番を待ち受けポートとし (ローカルに telnet サーバーは立てない)、そのポートへの接続はリモートホストの 9023番ポートへ転送される。この際、ローカルホスト ― リモートホスト間の通信は SSLによって暗号化される。
リモートホストは 9023番で受けた SSL 通信を復号して、自身の telnet サーバ(リモートホストの 23 番で待機)へ接続することにする。

クライアント側の設定		サーバー側の設定
# runsocks bjorb -f client.conf		# bjorb -f server.conf
log_level 1 access_log /var/log/bjorb.log error_log /var/log/bjorb-err.log do_fork true entry "MyClientSetteing" { accept 23 connect remote-host:9023 with SSL }		log_level 1 access_log /var/log/bjorb.log error_log /var/log/bjorb-err.log do_fork true CA_cert_file /etc/bjorb.pem CA_cert_path /etc/CA max_connection 100 entry "MyServerSetteing" { # service_type "SSL Telnet" # (ここはコメントアウト) accept 9023 with SSL connect 127.0.0.1:23 }

クライアント側の設定

サーバー側の設定

# runsocks bjorb -f client.conf

# bjorb -f server.conf

log_level	1
access_log	/var/log/bjorb.log
error_log	/var/log/bjorb-err.log
do_fork	        true

entry "MyClientSetteing" {
  accept 23
  connect remote-host:9023 with SSL
}

log_level	1
access_log	/var/log/bjorb.log
error_log	/var/log/bjorb-err.log
do_fork	        true
CA_cert_file    /etc/bjorb.pem
CA_cert_path    /etc/CA
max_connection  100

entry "MyServerSetteing" {
# service_type "SSL Telnet" # (ここはコメントアウト)

  accept 9023 with SSL
  connect 127.0.0.1:23
}

これでローカルホストの 23 番ポートは、リモートホストの telnet サーバーとつながり、途中の通信も暗号化されるはずなのである。

BJORB を SSL Telnet サーバーとして使いたい場合には、 service_type に "SSL Telnet" を指定するようだが、ここでは次に汎用のプロトコルを通すので無指定にしておく。

3. SOCKS5 の設定

ローカルホスト側が LAN の内側にあり外部と SOCKS5 で繋がっているとする。
この SOCKS5 の中を BJORB のチャンネルを通すには、 SOCKS5 の runsocks コマンドを用いればよい。 runsocks は、これを使って起動した子プロセスの socket 通信を socks 経由の通信に置き換えることができるコマンドである。

bjorb コマンドが /usr/loccal/sbin に置かれている場合、ローカル側の bjorb を runsocks 上で立ち上げればよい。

> runsocks /usr/local/sbin/bjorb >/dev/null 2>&1 &

ホスト毎に通常の socket 通信を行うか socks 経由で通信を行うかは、 /etc/libsocks5.conf で指定可能。
ローカルホストが 10.0.0.0/8 のネットワーク内にあり、この中の端末とは通常の socket 経由でのやりとりを行い、それ以外の IP では SOCKS5 サーバー socks.hoge.moge.jp を経由させるには以下のようになる。

noproxy - 10.	- -
socks5	- - 	- - socks.hoge.moge.jp

参考

yamamoto 氏のページ POP,IMAP の SSL による暗号化

コメントを書き込む