- Merge the following from the English version:

r17850 -> r18074	head/ja_JP.eucJP/books/handbook/security/chapter.xml
This commit is contained in:
Ryusuke SUZUKI 2016-11-26 13:00:19 +00:00
parent eff7a3f04f
commit 12c3529e09
Notes: svn2git 2020-12-08 03:00:23 +00:00
svn path=/head/; revision=49699

View file

@ -3,7 +3,7 @@
The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project
Original revision: r17850
Original revision: r18074
$FreeBSD$
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
@ -62,13 +62,13 @@
</listitem>
<listitem>
<para>IPsec および FreeBSD/Windows コンピュータの間で VPN
<para>IPsec および FreeBSD/&windows; コンピュータの間で VPN
の設定方法</para>
</listitem>
<listitem>
<para>FreeBSD で使われている SSH 実装である
OpenSSH の設定および使用方法</para>
<application>OpenSSH</application> の設定および使用方法</para>
</listitem>
<!--
<listitem>
@ -97,13 +97,13 @@
<title>はじめに</title>
<para>セキュリティとは、システム管理者をいつも悩ませる仕事の一つです。
すべての BSD Unix マルチユーザシステムは、
すべての BSD &unix; マルチユーザシステムは、
従来からいくつかのセキュリティ機構を備えていますが、
ユーザを疑心暗鬼に陥らせないように追加のセキュリティ機構を構築し
保守する仕事はおそらく、システム管理者としてもっとも大きな責務の一つでしょう。
マシンの安全性に反映されるのは、管理者が作業したことだけです。
またセキュリティ問題は、快適な環境に必要なものと競合します。
一般に Unix システムは膨大な数のプロセスを同時に動作させることができ、
一般に &unix; システムは膨大な数のプロセスを同時に動作させることができ、
そのプロセスの大部分は、サーバ &ndash;
外部から接続し、通信するものとして動作します。
かつてのミニコンとメインフレームがデスクトップにとってかわり、
@ -1066,7 +1066,7 @@
<para><emphasis>訳改訂: &a.jp.hino;,
12 March 2001.</emphasis></para>
<para>Unix システムにおけるすべてのユーザは、そのアカウントに対応し
<para>&unix; システムにおけるすべてのユーザは、そのアカウントに対応し
た一つのパスワードを持っています。それらのパスワードはユーザ本人
と本当のオペレーティングシステムのみが知っているべきであるという
ことは明らかでしょう。それらのパスワードを秘密に保っておくために、
@ -1080,13 +1080,13 @@
可能な限りのパスワード空間を検索するという力任せの方法です。
</para>
<para>不幸なことに、Unix が生まれようとしているときにパスワードを
<para>不幸なことに、&unix; が生まれようとしているときにパスワードを
安全な形で暗号化できる方式は DES (Data Encryption Standard)
に基づいたものだけでした。このことは米国に住んでいるユーザにとって
は大して問題ではありませんでしたが、DES のソースコードを米国外に
輸出することはできないという問題がありました。そのために、
FreeBSD は、米国の法律を守ることと、未だに DES を使っていた他の
Unix 一族との互換性を保つこととを両立する方法を探し出す必要がありました。</para>
&unix; 一族との互換性を保つこととを両立する方法を探し出す必要がありました。</para>
<para>その解決方法は、米国のユーザは DES のライブラリをインストー
ルして DES を使用できるが、米国外のユーザは国外に輸出可能な他の
@ -1157,9 +1157,9 @@
<para>ここでは、三種類の異なる「パスワード」について説明します。
まず一つ目は、あなたが普段使っている普通の
Unix スタイルの、もしくは Kerberos
&unix; スタイルの、もしくは Kerberos
のパスワードです。ここではこれを
<quote>Unix パスワード</quote> と呼ぶことにします。二つ目は、S/Key
<quote>&unix; パスワード</quote> と呼ぶことにします。二つ目は、S/Key
<command>key</command> プログラム、または
OPIE の &man.opiekey.1; プログラムによって生成され、
<command>keyinit</command> または &man.opiepasswd.1;
@ -1178,9 +1178,9 @@
混乱を避けるために訳文ではすべて
<quote>秘密のパスフレーズ</quote> に統一しています)。</para>
<para>秘密のパスフレーズは、Unix
<para>秘密のパスフレーズは、&unix;
パスワードと何の関連性もありません。
両者を同一に設定することは可能ですが、お奨めしません。古い Unix
両者を同一に設定することは可能ですが、お奨めしません。古い &unix;
パスワードは長さが 8 文字に制限されていました
<footnote><para>&os; では、標準のログインパスワードは、128
文字までとなります。</para></footnote>
@ -1327,7 +1327,7 @@ MOS MALL GOAT ARM AVID COED
<para>信頼できない通信路を使って秘密のパスフレーズを初期化または変更するためには、
それとは別に <command>key</command> または <command>opiekey</command>
プログラムを実行するための信頼できる通信路を用意しておく必要があります。
たとえばそれは、あなたが信頼できる Macintosh
たとえばそれは、あなたが信頼できる &macintosh;
のデスクアクセサリや信頼できるマシンのシェルプロンプトだったり
するでしょう。(訳注: ここでの通信路とはマシンそのものになりま
す。信頼できるマシンとは、信頼できる人がしっかり管理しているマ
@ -1444,7 +1444,7 @@ Password: </screen>
このログインプロンプトに対して入力するワンタイムパスワードを生成しなければなりません。
これは、<command>key</command> または <command>opiekey</command>
プログラムを使える信頼できるマシン上で行わなければなりません。
(これらのプログラムには DOS や Windows, MacOS 版があります)。
(これらのプログラムには DOS や &windows;, &macos; 版があります)。
どちらも、コマンドラインからシーケンス番号とシードを指定しなければなりません。
ログインしようとしているマシンのログインプロンプトから直接カットアンドペーストすると楽でしょう。</para>
@ -1522,11 +1522,11 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
</sect2>
<sect2>
<title>Unix パスワードの利用を制限する</title>
<title>&unix; パスワードの利用を制限する</title>
<para>S/Key は、ログインを受け付ける際のホスト名、ユーザ名、
端末のポート、IP アドレスなどを利用して、
Unix パスワードの利用を制限することができます。
&unix; パスワードの利用を制限することができます。
設定ファイル <filename>/etc/skey.access</filename> に、
制限が記載されています。
この設定ファイルの詳細に関してはマニュアル &man.skey.access.5;
@ -1538,13 +1538,13 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
<para>もし <filename>/etc/skey.access</filename>
ファイルが存在しないならば (FreeBSD 4.X
のデフォルト状態ではそうです)、すべてのユーザが Unix
のデフォルト状態ではそうです)、すべてのユーザが &unix;
パスワードを利用することができます。
逆に、もしファイルが存在するならば、
<filename>skey.access</filename>
ファイルに明示的に記述されていない限り、すべてのユーザは S/Key
の利用を要求されます。どちらの場合においても、
そのマシンのコンソールからはいつでも Unix
そのマシンのコンソールからはいつでも &unix;
パスワードを使ってログインすることが可能です。</para>
<para>以下によく使われるであろう三種類の設定を含む設定ファイル
@ -1557,7 +1557,7 @@ permit port ttyd0</programlisting>
<para>はじめの行 (<literal>permit internet</literal>) で、telnet
などで接続するときの IP のソースアドレス (注意: これは偽造され
るおそれがあります) が特定の値とマスクに一致している場合に、
Unix パスワードの利用を許可することを指定しています。
&unix; パスワードの利用を許可することを指定しています。
この設定自体はセキュリティを高めるための機能ではありません。そうでは
なく、ログインの権利を持つ許可されたユーザに対して、現在そのユー
ザが使っているネットワークが信頼できないと考えられるので S/Key
@ -1566,7 +1566,8 @@ permit port ttyd0</programlisting>
<para>二行目 (<literal>permit user</literal>)
によって、ある特定のユーザ、この場合は
<systemitem class="username">fnord</systemitem>、に対して、いつでも Unix
<systemitem class="username">fnord</systemitem>、に対して、
いつでも &unix;
パスワードの利用を許可するように指定しています。
一般的にはこの設定をおこなうべきではありません。
<command>key</command> プログラムがどうしても使えない環境にい
@ -1576,11 +1577,11 @@ permit port ttyd0</programlisting>
<para>三行目 (<literal>permit port</literal>) によって、ある特定
の端末ポートからログインしようとするすべてのユーザに対して
Unix パスワードの利用を許可するように指定しています。この設定
&unix; パスワードの利用を許可するように指定しています。この設定
はダイヤルアップ回線に対する設定として利用できるでしょう。</para>
<para>OPIE は S/Key が行うような、ログインセッションの IP
アドレスをベースとした Unix パスワードの使用を制限できます。
アドレスをベースとした &unix; パスワードの使用を制限できます。
関連ファイルは、<filename>/etc/opieaccess</filename> です。
FreeBSD 5.0 以降のシステムではデオフォルトで用意されています。
このファイルの詳細や、
@ -1593,7 +1594,7 @@ permit port ttyd0</programlisting>
<para>この行では、(なりすましされやすい) IP ソースアドレスが、
ある値やマスクにマッチするユーザに対して、
Unix パスワードをいつでも許可します。</para>
&unix; パスワードをいつでも許可します。</para>
<para>もし <filename>opieaccess</filename>
のどのルールにも一致しなければ、
@ -3214,7 +3215,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
</info>
<para>この節では、FreeBSD と
<application>Microsoft Windows 2000/XP</application>
<application>&microsoft.windows; 2000/XP</application>
からなる環境において、IPsec を設定し、利用する過程を通じて、
IPsec を使った安全な通信の実現方法について解説します。
IPsec を設定するためには、
@ -3231,7 +3232,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
実装をベースとしています。</para>
<note>
<para>FreeBSD 5.0 では <quote>hardware
<para>FreeBSD 5.X では <quote>hardware
accelerated</quote> IPsec スタックが追加されました。
これは、<quote>Fast IPsec</quote> として知られているもので、
OpenBSD から移植されました。
@ -3369,7 +3370,7 @@ options IPSEC_DEBUG #debug for IP security
<screen>
Network #1 [ Internal Hosts ] Private Net, 192.168.1.2-254
[ Win9x/NT/2K ]
[ Unix ]
[ UNIX ]
|
|
.---[fxp1]---. Private IP, 192.168.1.1
@ -3387,7 +3388,7 @@ Network #1 [ Internal Hosts ] Private Net, 192.168.1.2-254
|
Network #2 [ Internal Hosts ]
[ Win9x/NT/2K ] Private Net, 192.168.2.2-254
[ Unix ]
[ UNIX ]
</screen>
<para>ふたつのパブリック IP アドレスに注目してください。
@ -3417,7 +3418,7 @@ Network #2 [ Internal Hosts ]
<programlisting>ping 192.168.2.34</programlisting>
<para>透過的にこれは動くはずです。
Windows コンピュータは、他のネットワークのコンピュータを、
&windows; コンピュータは、他のネットワークのコンピュータを、
ローカルネットワークのコンピュータを見るのとまったく同じように、
見ることができ、共有ファイルを見たりできます。</para>
@ -3445,13 +3446,12 @@ Network #2 [ Internal Hosts ]
通信が暗号化されていることを確認します。</para>
</listitem>
<listitem>
<para>FreeBSD ゲートウェイにて、Windows のコンピュータが VPN
<para>FreeBSD ゲートウェイにて、&windows; のコンピュータが VPN
を通して他のコンピュータを見ることができるように追加のソフトウェアを設定します。</para>
</listitem>
</orderedlist>
</sect2>
<sect2>
<sect3>
<title>ステップ 1: <quote>virtual</quote>
ネットワークリンクの作成</title>
@ -3489,7 +3489,7 @@ Network #2 [ Internal Hosts ]
<systemitem class="ipaddress">W.X.Y.Z</systemitem>
へと送られる必要があります。
このプロセスは、
<systemitem class="ipaddress">カプセル化</systemitem>
<firstterm>カプセル化</firstterm>
と呼ばれます。</para>
</listitem>
<listitem>
@ -3555,7 +3555,7 @@ ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff
<para>たとえば、ネットワーク #1 のゲートウェイにおいては、
以下のように確認できます。</para>
<screen>&prompt.root; gifconfig gif0
<screen>&prompt.root; <userinput>gifconfig gif0</userinput>
gif0: flags=8011&lt;UP,POINTTOPOINT,MULTICAST&gt; mtu 1280
inet 192.168.1.1 --&gt; 192.168.2.1 netmask 0xffffffff
physical address inet A.B.C.D --&gt; W.X.Y.Z
@ -3575,7 +3575,7 @@ physical address inet A.B.C.D --&gt; W.X.Y.Z
ネットワーク #1
のゲートウェイホストでの出力は以下のようになります。</para>
<screen>&prompt.root; netstat -rn
<screen>&prompt.root; <userinput>netstat -rn</userinput>
Routing tables
Internet:
@ -3710,9 +3710,9 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00"
ここで、IP アドレスの順番は逆にします。</para>
</listitem>
</itemizedlist>
</sect2>
</sect3>
<sect2>
<sect3>
<title>ステップ 2: リンクを安全にする。</title>
<para>リンクを安全にするために、IPsec を用います。
@ -3830,14 +3830,16 @@ options IPSEC_ESP
<programlisting>A.B.C.D secret</programlisting>
<para>これは、リモート端の公開 IP アドレスと先ほどと同じ秘密鍵です。
racoon を実行する前に <filename>psk.txt</filename> のモードは、0600
(i.e., ルートのみが read/write できます) としてください。</para>
racoon を実行する前に <filename>psk.txt</filename> のモードは、
<literal>0600</literal>
(i.e., <systemitem class="username">root</systemitem> のみが
read/write できます) としてください。</para>
<para>両方のホストゲートウェイコンピュータで racoon
を走らせる必要があります。IKE
トラフィックを許可するファイアウォールルールを追加する必要があります。
IKE トラフィックは、UDP 上で isakmp (kmp == key
management protocol) port に対して実行されるものです。
IKE トラフィックは、UDP 上で ISAKMP (Internet Security Association
Key Management Protocol) port に対して実行されるものです。
このルールはファイアウォールルールセットの極めて最初に記述する必要があります。</para>
<programlisting>ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp
@ -3904,7 +3906,8 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
| `----------------------' |
`--------------------------'</screen>
<para>このカプセル化は gif デバイスにより行われます。確認できるように、
<para>このカプセル化は gif
デバイスにより行われます。確認できるように、
パケットは外側に本来の IP アドレスを持っており、
オリジナルパケットは、
インターネットに外向きに送られるパケットの中にデータとしてラップされています。</para>
@ -3970,7 +3973,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req
<filename>/etc/ipsec.conf</filename>) に追加し、
以下を実行してください。</para>
<screen>&prompt.root; setkey -f /etc/ipsec.conf</screen>
<screen>&prompt.root; <userinput>setkey -f /etc/ipsec.conf</userinput></screen>
<para><option>spdadd</option> は、&man.setkey.8; に対し、
安全なポリシのデータベースにルールを追加することを伝えます。
@ -4057,7 +4060,8 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
このインタフェースは、内部のネットワークを回ることのできる最も内側のパケットになるまで、セカンドレイヤのラップをはがします。</para>
<para>先ほどと同じく &man.ping.8; 試験でセキュリティを確認できます。
最初に、A.B.C.D ゲートウェイコンピュータにログインして、
最初に、<systemitem class="ipaddress">A.B.C.D</systemitem>
ゲートウェイコンピュータにログインして、
以下を実行してください。</para>
<programlisting>tcpdump dst host 192.168.2.1</programlisting>
@ -4142,6 +4146,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
各ネットワークのコンピュータは、IP
アドレスを使って他のネットワークのコンピュータを参照できますし、
すべてのリンクを横切るトラフィックは自動的にそして安全に暗号化されます。</para>
</sect3>
</sect2>
</sect1>
@ -4330,7 +4335,7 @@ Your identification has been saved in /home/user/.ssh/identity.
<note><para>The <option>-t rsa1</option> オプションは、
SSH プロトコルバージョン 1 で用いられる RSA 鍵を生成します。
SSH プロトコルバージョン 2 で用いられる RSA 鍵を生成するには、
<option>ssh-keygen -t rsa</option> を実行してください。</para></note>
<command>ssh-keygen -t rsa</command> を実行してください。</para></note>
<para>&man.ssh-keygen.1; でパスフレーズを使っている場合は、
ユーザは秘密鍵を使うために毎回パスフレーズの入力を行なう必要があります。</para>
@ -4807,8 +4812,8 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
FreeBSD 5.0 以降ではファイルシステムアクセス制御リスト
(<acronym>ACLs</acronym>) によるセキュリティを提供しています。</para>
<para>アクセス制御リストは、標準的な UNIX のパーミッションモデルを、
非常に互換性の高い (POSIX.1e) やり方で拡張しています。
<para>アクセス制御リストは、標準的な &unix; のパーミッションモデルを、
非常に互換性の高い (&posix;.1e) やり方で拡張しています。
この機能は、管理者がより洗練されたセキュリティモデルを利用し、
その恩恵を受けられるようにします。</para>
@ -4823,7 +4828,7 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
警告が表示されます。このオプションは <filename>GENERIC</filename>
カーネルに含まれています。<acronym>ACLs</acronym>
は、ファイルシステムの拡張属性が有効になっていることに依存しています。
拡張属性は、次世代 UNIX ファイルシステムである <acronym>UFS2</acronym>
拡張属性は、次世代 &unix; ファイルシステムである <acronym>UFS2</acronym>
でネイティブ対応されています。</para>
<note><para><acronym>UFS1</acronym> に拡張属性を付すように設定するのは、