os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

- Merge the following from the English version:

Browse source 
r30930 -> r32503	head/ja_JP.eucJP/books/handbook/security/chapter.xml
This commit is contained in:
Ryusuke SUZUKI 2017-10-14 01:48:30 +00:00
parent 290d89120d
commit 84b0e19059
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=51118
1 changed files with 57 additions and 69 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

126
ja_JP.eucJP/books/handbook/security/chapter.xml
View file

@ -3,7 +3,7 @@
The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project
Original revision: r30930
Original revision: r32503
$FreeBSD$
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
@ -54,7 +54,7 @@
</listitem>
<listitem>
<para><command>inetd</command> と組み合わせて
<para><application>inetd</application> と組み合わせて
<acronym>TCP</acronym> Wrappers を設定する方法</para>
</listitem>
@ -406,25 +406,20 @@
何もしないよりは良いのですが、
必ずしも最も安全な選択肢とは限りません。</para>
<!-- XXX:
This will need updating depending on the outcome of PR bin/71147.
Personally I know what I'd like to see, which puts this in definite
need of a rewrite, but we'll have to wait and see. ceri@
-->
<para>アカウントを完全にロックするには、
&man.pw.8; コマンドを使うべきです。</para>
<para>スタッフのアカウント、また究極には
<systemitem class="username">root</systemitem> アカウントの安全性
を高める間接的な方法は、別のログインアクセスの方法を用いてスタッ
フのアカウントの安全性を高め、その上でそのスタッフのアカウント
の暗号化パスワードを <quote>アスタリスク化</quote>
するものです。
&man.vipw.8; コマンドを使えば、暗号化されたパスワードを
<quote><literal>*</literal></quote> 1 文字に置き換えられます。
このコマンドは、<filename>/etc/master.passwd</filename>
ファイルとユーザ/パスワードデータベースを更新して、
パスワード認証によるログインができないようにします。</para>
<screen>&prompt.root;<userinput>pw lock <replaceable>staff</replaceable></userinput></screen>
<para>たとえば、次のスタッフアカウントを、</para>
<para>これにより、ユーザは、&man.ssh.1;
を含むいかなる方法でもログインできなくなります。</para>
<para>アカウントへのアクセスをブロックするもう一つの方法は、
暗号化されたパスワードを
<quote><literal>*</literal></quote> 1 文字に置き換えることです。
この文字は、暗号化されたパスワードにマッチすることはないので、
ユーザアクセスをブロックします。
たとえば、次のスタッフアカウントを、</para>
<programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
@ -432,31 +427,15 @@
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
<para>暗号化されたパスワードは
<quote><literal>*</literal></quote> と一致することがないので、
この変更によって通常のログインはできなくなります。
こうした後は、スタッフメンバは認証のために &man.kerberos.1;
公開鍵 / 秘密鍵の組を用いる &man.ssh.1; のような代わりとなる認
証手段を利用しなければなりません。
Kerberos のようなログイン機構を使う場合は、一般に Kerberos
サーバを実行するマシンと自分のデスクトップワークステーションの安全性を確保しなければなりません。
また ssh で公開鍵 / 秘密鍵の組を使う場合、
一般に、<emphasis>ログイン元</emphasis>マシン (通常は自分のワー
クステーション) の安全性を確保しなければなりません。ここで、
&man.ssh-keygen.1; で公開鍵 / 秘密鍵の組を生成する際、鍵の組
をパスワードで防御することにより、鍵の組への防御層を追加するこ
ともできます。スタッフアカウントのパスワードを
<quote>アスタリスク</quote> でつぶすことができると、
管理者自身が設定
した安全性の高い方法でしかスタッフメンバがログインできないこと
も保証できます。こうして、多くの侵入者が使う重大なセキュリティ
の穴である、
安全性の低い無関係なマシンからネットワークを覗き見る方法を塞ぐようなセッションを提供する、
安全性の高い暗号
化されたコネクションを使うことを、スタッフメンバ全員に強制する
ことができるのです。</para>
<para>この変更によって
<systemitem class="username">foobar</systemitem> ユーザは、
通常のログインはできなくなります。
このようなアクセス制限をした後は、
サイトで <application>Kerberos</application> をセットアップしたり、
ユーザが &man.ssh.1;
の鍵を設定するなどといった認証手段を利用しなければなりません。</para>
<para>より間接的なセキュリティの仕組みでは、制限の強いサーバから
<para>これらのセキュリティの仕組みでは、制限の強いサーバから
制限の弱いサーバへログインすることを前提としています。たとえば、
メインマシンで、様々な種類のサーバを実行させている場合、ワーク
ステーションではそれらのサーバを実行させてはなりません。ワーク
@ -1477,13 +1456,14 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
ファイアウォールをインストールしたいと考えているようです。
ファイアウォールは、幅広い用途がある一方で、
接続元に対しテキストを送るといった、取り扱ない作業があります。
<acronym>TCP</acronym> ソフトウェアは、これ以上のことができます。
<acronym>TCP</acronym> Wrappers ソフトウェアは、
これ以上のことができます。
以下の節では、
<acronym>TCP</acronym> Wrappers の多くの機能が説明されています。
そして、適応できる場合には、設定行の例が紹介されています。</para>
<para><acronym>TCP</acronym> Wrappers ソフトウェアは、
<command>inetd</command>
<application>inetd</application>
の管理のもとにすべてのサーバデーモンに対応する機能を拡張します。
この方法を使うことで、ログへの対応、
接続に対してメッセージを返したり、
@ -1498,7 +1478,7 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
ファイアウォールおよび他のセキュリティ設定と組み合わせて使うことができ、
システムを守るための追加のレイヤとして上手く機能します。</para>
<para>この設定は <command>inetd</command> の設定の拡張なので、
<para>この設定は <application>inetd</application> の設定の拡張なので、
<link linkend="network-inetd">inetd の設定</link>
章をすでに読んでいることを想定しています。</para>
@ -1516,7 +1496,8 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
を使用ために必要となるのは、
<filename>rc.conf</filename> から
<option>-Ww</option> オプションで
<command>inetd</command> サーバが起動されることを確認するだけです。
<application>inetd</application>
サーバが起動されることを確認するだけです。
これはデフォルトの設定です。
もちろん、
<filename>/etc/hosts.allow</filename>
@ -1534,7 +1515,7 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
<para>最も簡単な設定におけるデーモンの接続ポリシは、
<filename>/etc/hosts.allow</filename> の中で、
オプションごとに許可またはブロックするように設定するというものです。
&os; のデフォルトの設定では、<command>inetd</command>
&os; のデフォルトの設定では、<application>inetd</application>
から起動されたすべてのデーモンの接続を許可します。
この設定を変更することについては、
基本的な設定を理解した後で議論されるべきです。</para>
@ -1547,8 +1528,9 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
<literal>address</literal> の部分は、有効なホスト名、
<acronym>IP</acronym> アドレスまたは、
括弧 ([&nbsp;]) で囲まれた IPv6 アドレスです。
action フィールドの部分は、アクセスを適切に許可または拒否をするように、
allow または deny となります。
<literal>action</literal> フィールドの部分は、
アクセスを適切に許可または拒否をするように、
<literal>allow</literal> または <literal>deny</literal> となります。
最初のマッチしたルールが適用されると、
設定はそこで終わることを覚えておいてください。
これは、設定ファイルは昇順にルールのマッチをスキャンされ、
@ -1565,7 +1547,8 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
<programlisting># This line is required for POP3 connections:
qpopper : ALL : allow</programlisting>
<para>この行を追加したら、<command>inetd</command> を再起動してください。
<para>この行を追加したら、<application>inetd</application>
を再起動してください。
これを行うには、&man.kill.1; コマンドを使うか、
<parameter>restart</parameter> パラメータとともに、
<filename>/etc/rc.d/inetd</filename> を使ってください。</para>
@ -1644,7 +1627,8 @@ ALL : .example.com \
<filename>/var/log/connections.log</filename>
ファイルに記録されます。</para>
<para>すでに説明した置換文字 (たとえば %a) 以外にも置換文字があります。
<para>すでに説明した置換文字 (たとえば <literal>%a</literal>)
以外にも置換文字があります。
完全な一覧は
&man.hosts.access.5; マニュアルページをご覧ください。</para>
</sect3>
@ -3301,10 +3285,10 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
最後に、ローカルの <filename>.cf</filename>
ファイルを再構築する必要があります。
<filename class="directory">/etc/mail</filename> ディレクトリで、
<command>make</command> <parameter>install</parameter>
<command>make</command> <parameter>install</parameter>
と入力すると再構築できます。
その後、<command>make</command>
<parameter>restart</parameter> と入力して、
その後、<command>make</command> <parameter>restart</parameter>
と入力して、
<application>Sendmail</application>
デーモンを再起動してください。</para>
@ -4014,8 +3998,9 @@ options IPSEC_ESP
<para>FreeBSD
でセキュリティアソシエーションを管理するデーモンは数多くあります。
この文書では、その中の一つの racoon の使い方について説明します。
racoon は、&os; Ports Collection の
この文書では、その中の一つの <application>racoon</application>
の使い方について説明します。
<application>racoon</application> は、&os; Ports Collection の
<filename role="package">security/ipsec-tools</filename>
からインストールできます。</para>
@ -4039,15 +4024,16 @@ options IPSEC_ESP
-- 彼らがカギをクラックしたときには、
2 つのデーモンは他の鍵を選択していることでしょう。</para>
<para>racoon の設定は、
<para><application>racoon</application> の設定は、
<filename>${PREFIX}/etc/racoon</filename> で行われます。
ここには、設定ファイルが置かれていますが、
それほど多く変更する必要はありません。
おそらくあなたが変更すべき racoon の設定の他の部分は、
おそらくあなたが変更すべき <application>racoon</application>
の設定の他の部分は、
<quote>pre-shared key</quote> です。</para>
<para>デフォルトの racoon の設定では、これは、
<filename>${PREFIX}/etc/racoon/psk.txt</filename>
<para>デフォルトの <application>racoon</application> の設定では、
これは、<filename>${PREFIX}/etc/racoon/psk.txt</filename>
ファイルにあると仮定されています。
pre-shared key は、VPN リンクを経由するトラフィックの暗号化には、
<emphasis>用いられません</emphasis>
@ -4074,13 +4060,14 @@ options IPSEC_ESP
<programlisting>A.B.C.D secret</programlisting>
<para>これは、リモート端の公開 IP アドレスと先ほどと同じ秘密鍵です。
racoon を実行する前に <filename>psk.txt</filename> のモードは、
<application>racoon</application>
を実行する前に <filename>psk.txt</filename> のモードは、
<literal>0600</literal>
(i.e., <systemitem class="username">root</systemitem> のみが
read/write できます) としてください。</para>
<para>両方のホストゲートウェイコンピュータで racoon
を走らせる必要があります。IKE
<para>両方のホストゲートウェイコンピュータで
<application>racoon</application> を走らせる必要があります。IKE
トラフィックを許可するファイアウォールルールを追加する必要があります。
IKE トラフィックは、UDP 上で ISAKMP (Internet Security Association
Key Management Protocol) port に対して実行されるものです。
@ -4090,9 +4077,9 @@ options IPSEC_ESP
ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
</programlisting>
<para>一度 racoon を走らせたら、
<para>一度 <application>racoon</application> を走らせたら、
片方のゲートウェイホストから、他のホストへ ping を実行できます。
接続は、まだ暗号化されていませんが、racoon
接続は、まだ暗号化されていませんが、<application>racoon</application>
はその後 2 つのホスト間のセキュリティアソシエーションを設定します。
これは時間を要し、
ping コマンドが反応する前に少し時間の遅れとして認識できるでしょう。</para>
@ -4298,7 +4285,8 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
</screen>
<para>VPN の端から受け取った場合には、
(racoon によりネゴシエートされたセキュリティアソシエーションを用いて)
(<application>racoon</application>
によりネゴシエートされたセキュリティアソシエーションを用いて)
最初に復号化を行います。
その後、gif インタフェースに入ります。
このインタフェースは、内部のネットワークを回ることのできる最も内側のパケットになるまで、セカンドレイヤのラップをはがします。</para>
@ -5382,14 +5370,14 @@ VII. References<co xml:id="co-ref"/></programlisting>
<para>実行されたコマンドに関する情報を見るには、
&man.lastcomm.1; ユーティリティを使ってください。
<command>lastcomm</command> を使うと、
<command>lastcomm</command> コマンドを使うと、
ユーザが特定の &man.ttys.5; で実行したコマンドを出力できます。
以下はその例です。</para>
<screen>&prompt.root; <userinput>lastcomm ls
<systemitem class="username">trhodes</systemitem> ttyp1</userinput></screen>
<para>このコマンドを実行すると、ttyp1
<para>このコマンドを実行すると、<literal>ttyp1</literal>
ターミナル上で <systemitem class="username">trhodes</systemitem>
が実行した <command>ls</command>
の使用について、記録されているすべて示します。</para>