os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

- Merge the following from the English version:

Browse source 
r42267 -> r43278	head/ja_JP.eucJP/books/handbook/security/chapter.xml
This commit is contained in:
Ryusuke SUZUKI 2018-02-26 12:56:08 +00:00
parent 712cb44a44
commit 896e232a59
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=51446
1 changed files with 88 additions and 104 deletions

192
ja_JP.eucJP/books/handbook/security/chapter.xml
View file

@ -3,7 +3,7 @@
The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project
Original revision: r42267
Original revision: r43278
$FreeBSD$
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
@ -347,7 +347,7 @@
<para>アカウントを完全にロックするには、
&man.pw.8; を使ってください。</para>
<screen>&prompt.root; <userinput>pw lock <replaceable>staff</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>pw lock staff</userinput></screen>
<para>これにより、指定されたユーザは、&man.ssh.1;
を含むいかなる方法でもログインできなくなります。</para>
@ -420,11 +420,9 @@
<para>他のシステムの潜在的なセキュリティホールには、
SUID-root および SGID バイナリがあります。
これらのバイナリは、
&man.rlogin.1; のように、<filename
class="directory">/bin</filename>, <filename
class="directory">/sbin</filename>, <filename
class="directory">/usr/bin</filename> または <filename
class="directory">/usr/sbin</filename>
&man.rlogin.1; のように、<filename>/bin</filename>,
<filename>/sbin</filename>, <filename>/usr/bin</filename>
または <filename>/usr/sbin</filename>
に存在するものがほとんどです。
100% 安全なものは存在しないとはいえ、
システムデフォルトの SUID/SGID バイナリは比較的安全といえます。
@ -508,7 +506,7 @@
現在動いているカーネルのセキュリティレベルを高める最も簡単な方法は、
<varname>kern.securelevel</varname> を設定する方法です。</para>
<screen>&prompt.root; <userinput>sysctl kern.securelevel=<replaceable>1</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>sysctl kern.securelevel=1</userinput></screen>
<para>デフォルトでは、&os; のカーネルはセキュリティレベル
-1 で起動します。
@ -536,7 +534,7 @@
<para>セキュリティレベルを 1 以上に設定した場合には、
<filename>/dev/io</filename> へのアクセスがブロックされるため、
<application>&xorg;</application> や、
installworld のプロセスでは、
<buildtarget>installworld</buildtarget> のプロセスでは、
いくつかのファイルの追加専用および変更不可のフラグは一時的にリセットされるため、
ソースから &os;
を構築してインストールするときなどで問題が引き起こされる可能性があります。
@ -563,8 +561,7 @@
<literal>schg</literal>
フラグを設定しないというところで妥協するという手もあります。
もう一つの可能性としては、単純に
<filename class="directory">/</filename> および <filename
class="directory">/usr</filename>
<filename>/</filename> および <filename>/usr</filename>
を読み込み専用でマウントすることです。
ここで特筆すべきことは、システムを守ろうとして厳しくしすぎると、
侵入を検出することができなくなってしまうということです。</para>
@ -576,9 +573,8 @@
<para>システム管理者にできることは、
便利さという要素がその醜い頭を上げない程度に、
コアシステムの設定と制御ファイルを防御することだけです。
たとえば、<filename
class="directory">/</filename> および <filename
class="directory">/usr</filename>
たとえば、<filename>/</filename> および
<filename>/usr</filename>
にある大部分のファイルに <literal>schg</literal>
ビットを設定するために &man.chflags.1;
を使用するのは、おそらく逆効果でしょう。
@ -620,16 +616,14 @@
などの単純なシステムユーティリティでスクリプトを書くことができます。
少なくとも 1 日 1 回、クライアントのシステムファイルを直接
&man.md5.1; にかけ、
さらにもっと頻繁に <filename
class="directory">/etc</filename> および <filename
class="directory">/usr/local/etc</filename>
さらにもっと頻繁に <filename>/etc</filename> および
<filename>/usr/local/etc</filename>
にあるようなコントロール用ファイルを試験するのが一番です。
アクセス制限されたマシンが正しいと知っている、
基となる md5 情報と比べて違いが見つかった場合、
システム管理者に警告するようにすべきです。
優れたセキュリティ用スクリプトは、<filename
class="directory">/</filename> および <filename
class="directory">/usr</filename>
優れたセキュリティ用スクリプトは、
<filename>/</filename> および <filename>/usr</filename>
などのシステムパーティション上で不適当に
SUID されたバイナリや、
新たに作成されたファイルや削除されたファイルがないかどうかを調べるでしょう。</para>
@ -911,7 +905,6 @@
</sect1>
<sect1 xml:id="crypt">
<info><title>DES, Blowfish, MD5, SHA256, SHA512 および Crypt</title>
<authorgroup>
<author>
@ -1358,7 +1351,7 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
検索のプロセスは終了します。</para>
<para>例として、<acronym>POP</acronym>3 の接続を
<filename role="package">mail/qpopper</filename>
<package>mail/qpopper</package>
デーモン経由で許可するには、以下の行を
<filename>hosts.allow</filename> に追加してください。</para>
@ -1588,7 +1581,7 @@ sendmail : PARANOID : deny</programlisting>
<acronym>アメリカ合衆国</acronym> の輸出規制により制限されてきました。
<acronym>MIT</acronym> で実装された
<application>Kerberos</application> は、
<filename role="package">security/krb5</filename> package または
<package>security/krb5</package> package または
port から利用できます。
バージョン 5 のもう一つの実装が、
Heimdal <application>Kerberos</application>
@ -1596,7 +1589,7 @@ sendmail : PARANOID : deny</programlisting>
この実装は、<acronym>アメリカ合衆国</acronym>の外で開発されたため、
輸出の制限を避けることができます。
Heimdal <application>Kerberos</application>
<filename role="package">security/heimdal</filename>
<package>security/heimdal</package>>
package または port からインストールできますが、最小構成は
&os; の base インストールに含まれています。</para>
@ -1669,7 +1662,7 @@ kadmind5_server_enable="YES"</programlisting>
default_realm = EXAMPLE.ORG</programlisting>
<para>そして、<systemitem
class="fqdomainname">kerberos.EXAMPLE.ORG</systemitem>
class="fqdomainname">example.org</systemitem>
ゾーンファイルには、以下の行が付け加えられます。</para>
<programlisting>_kerberos._udp IN SRV 01 00 88 kerberos.example.org.
@ -1726,9 +1719,9 @@ Master key: <userinput>xxxxxxxx</userinput>
Verifying password - Master key: <userinput>xxxxxxxx</userinput>
&prompt.root; <userinput>kadmin -l</userinput>
kadmin> <userinput>init EXAMPLE.ORG</userinput>
kadmin&gt; <userinput>init EXAMPLE.ORG</userinput>
Realm max ticket life [unlimited]:
kadmin> <userinput>add tillman</userinput>
kadmin&gt; <userinput>add tillman</userinput>
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
@ -1744,7 +1737,7 @@ Verifying password - Password: <userinput>xxxxxxxx</userinput></screen>
プリンシパルのチケットを入手したり、
一覧を表示することができることを確認できます。</para>
<screen>&prompt.user; <userinput>kinit <replaceable>tillman</replaceable></userinput>
<screen>&prompt.user; <userinput>kinit tillman</userinput>
tillman@EXAMPLE.ORG's Password:
&prompt.user; <userinput>klist</userinput>
@ -1818,12 +1811,12 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG</screen>
<screen>&prompt.root; <userinput>kadmin</userinput>
kadmin><userinput> add --random-key host/myserver.example.org</userinput>
kadmin&gt;<userinput> add --random-key host/myserver.example.org</userinput>
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
kadmin><userinput> ext host/myserver.example.org</userinput>
kadmin><userinput> exit</userinput></screen>
kadmin&gt;<userinput> ext host/myserver.example.org</userinput>
kadmin&gt;<userinput> exit</userinput></screen>
<para><command>ext</command> は、デフォルトでは、抽出された鍵を
<filename>/etc/krb5.keytab</filename> に保存します。</para>
@ -1840,8 +1833,8 @@ kadmin><userinput> exit</userinput></screen>
一時ファイルに抽出してください。</para>
<screen>&prompt.root; <userinput>kadmin</userinput>
kadmin><userinput> ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput>
kadmin><userinput> exit</userinput></screen>
kadmin&gt;<userinput> ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput>
kadmin&gt;<userinput> exit</userinput></screen>
<para>その後、&man.scp.1; またはリムーバブルディスクを使って、
keytab を安全にサーバコンピュータにコピーしてください。
@ -1965,14 +1958,9 @@ jdoe@example.org</screen>
Tips, Tricks, およびトラブルシューティング</title>
<itemizedlist>
<indexterm>
<primary>Kerberos5</primary>
<secondary>トラブルシューティング</secondary>
</indexterm>
<listitem>
<para>Heimdal または <acronym>MIT</acronym>
<application>Kerberos</application> ports
<application>Kerberos</application><indexterm><primary>Kerberos5</primary><secondary>troubleshooting</secondary></indexterm> ports
のどちらを使う場合でも、
<envar>PATH</envar> は、
<application>Kerberos</application> 版のクライアント
@ -1997,7 +1985,7 @@ jdoe@example.org</screen>
<systemitem class="username">host/</systemitem>
プリンシパルを変更し、keytab をアップデートする必要があります。
Apache の
<filename role="package">www/mod_auth_kerb</filename>
<package>www/mod_auth_kerb</package>
で使われる
<systemitem class="username">www/</systemitem>
プリンシパルのような特別な
@ -2132,15 +2120,14 @@ jdoe@example.org</screen>
に書かれているガイドに従うことが推奨されます。
path の問題について注意してください。
<acronym>MIT</acronym> port はデフォルトで
<filename class="directory">/usr/local/</filename>
にインストールします。
<filename>/usr/local/</filename> にインストールします。
そのため、もし <envar>PATH</envar>
においてシステムのディレクトが最初に書かれている場合には、
<acronym>MIT</acronym> 版ではなく、<quote>通常の</quote>
システムアプリケーションが起動してしまいます。</para>
<note><para>&os;<acronym>MIT</acronym>
<filename role="package">security/krb5</filename> port において、
<package>security/krb5</package> port において、
&man.telnetd.8; および <command>klogind</command>
経由でのログインが奇妙な振る舞いをすることを理解するには、
port からインストールされる
@ -2157,12 +2144,13 @@ jdoe@example.org</screen>
<programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
kadmind5_server="/usr/local/sbin/kadmind"
kerberos5_server_flags=""
kerberos5_server_enable="YES"
kadmind5_server_enable="YES"</programlisting>
<para>これを行うのは、
<acronym>MIT</acronym> Kerberos のアプリケーションは、
<filename class="directory">/usr/local</filename>
<filename>/usr/local</filename>
構造の下にインストールされるためです。</para>
</sect2>
@ -2197,7 +2185,7 @@ kadmind5_server_enable="YES"</programlisting>
<para>マルチユーザの環境では、
<application>Kerberos</application> は安全ではありません。
チケットは <filename class="directory">/tmp</filename>
チケットは <filename>/tmp</filename>
に保管され、
このチケットは、すべてのユーザが読むことができるためです。
もし、ユーザがコンピュータを他のユーザと同時に共有していると、
@ -2252,7 +2240,7 @@ kadmind5_server_enable="YES"</programlisting>
ホストまたはサービスとの間の認証のメカニズムは提供しません。
これは、トロイの木馬の &man.kinit.1; が、
すべてのユーザ名とパスワードを記録できることを意味しています。
<filename role="package">security/tripwire</filename>
<package>security/tripwire</package>
のような、ファイルシステムの完全性を確認するためのツールにより、
この危険性を軽減することができます。</para>
</sect3>
@ -2330,17 +2318,17 @@ kadmind5_server_enable="YES"</programlisting>
<para><application>OpenSSL</application> は、
メールクライアントの暗号化された認証、
クレジットカードでの支払いといったウェブベースの取引などで使われます。
<filename role="package">www/apache22</filename> および
<filename role="package">mail/claws-mail</filename>
<package>www/apache22</package> および
<package>mail/claws-mail</package>
といった多くの port では、
<application>OpenSSL</application>
とともに構築するコンパイルに対応しています。</para>
<note>
<para>多くの場合、Ports Collection は、
make の WITH_OPENSSL_BASE が明示的に
make の <varname>WITH_OPENSSL_BASE</varname> が明示的に
<quote>yes</quote> に設定されていないと、
<filename role="package">security/openssl</filename> port
<package>security/openssl</package> port
の構築を試みます。</para>
</note>
@ -2357,7 +2345,7 @@ kadmind5_server_enable="YES"</programlisting>
もし使用したいのであれば、ライセンス条項を必ず確認し、
ライセンス条項に合致するのであれば、
<filename>/etc/make.conf</filename> において
MAKE_IDEA 変数を設定してください。</para>
<varname>MAKE_IDEA</varname> 変数を設定してください。</para>
</note>
<para>最も一般的な <application>OpenSSL</application>
@ -2400,18 +2388,18 @@ There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:<userinput><replaceable>US</replaceable></userinput>
State or Province Name (full name) [Some-State]:<userinput><replaceable>PA</replaceable></userinput>
Locality Name (eg, city) []:<userinput><replaceable>Pittsburgh</replaceable></userinput>
Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput><replaceable>My Company</replaceable></userinput>
Organizational Unit Name (eg, section) []:<userinput><replaceable>Systems Administrator</replaceable></userinput>
Common Name (eg, YOUR name) []:<userinput><replaceable>localhost.example.org</replaceable></userinput>
Email Address []:<userinput><replaceable>trhodes@FreeBSD.org</replaceable></userinput>
Country Name (2 letter code) [AU]:<userinput>US</userinput>
State or Province Name (full name) [Some-State]:<userinput>PA</userinput>
Locality Name (eg, city) []:<userinput>Pittsburgh</userinput>
Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput>My Company</userinput>
Organizational Unit Name (eg, section) []:<userinput>Systems Administrator</userinput>
Common Name (eg, YOUR name) []:<userinput>localhost.example.org</userinput>
Email Address []:<userinput>trhodes@FreeBSD.org</userinput>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:<userinput><replaceable>SOME PASSWORD</replaceable></userinput>
An optional company name []:<userinput><replaceable>Another Name</replaceable></userinput></screen>
A challenge password []:<userinput>SOME PASSWORD</userinput>
An optional company name []:<userinput>Another Name</userinput></screen>
<para><quote>Common Name</quote> プロンプト直後に表示されているのは、
ドメイン名です。
@ -2440,21 +2428,21 @@ An optional company name []:<userinput><replaceable>Another Name</replaceable></
自己署名証明書を作成できます。
最初に <acronym>RSA</acronym> の鍵を生成してください。</para>
<screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out <filename>myRSA.key</filename> 1024</userinput></screen>
<screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out myRSA.key 1024</userinput></screen>
<para>次に、<acronym>CA</acronym> 鍵を生成してください。</para>
<screen>&prompt.root; <userinput>openssl gendsa -des3 -out <filename>myca.key</filename> <filename>myRSA.key</filename></userinput></screen>
<screen>&prompt.root; <userinput>openssl gendsa -des3 -out myca.key myRSA.key</userinput></screen>
<para>この鍵を使って証明書を作成してください。</para>
<screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key <filename>myca.key</filename> -out <filename>new.crt</filename></userinput></screen>
<screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key myca.key -out new.crt</userinput></screen>
<para>新しく 2 つのファイルがこのディレクトリに作成されます。
プライベート鍵 <filename>myca.key</filename> および
証明書 <filename>new.crt</filename> です。
これらのファイルを、好ましくは
<filename class="directory">/etc</filename> 以下で、
<filename>/etc</filename> 以下で、
<systemitem class="username">root</systemitem>
のみが読むことのできるディレクトリに置く必要があります。
許可属性は 0700 が適切です。
@ -2491,14 +2479,13 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
<para>この例では、
ローカルで証明書および鍵ファイルは、ローカルの
<filename class="directory">/etc/certs/</filename>
に置かれています。
<filename>/etc/certs/</filename> に置かれています。
ファイルの編集を保存し終わったら、
<filename class="directory">/etc/mail</filename> において
<command>make</command> <parameter>install</parameter>
<filename>/etc/mail</filename> において
<command>make install</command>
と入力することで、ローカルの <filename>.cf</filename>
ファイルを再構築する必要があります。
その後、<command>make</command> <parameter>restart</parameter>
その後、<command>make restart</command>
と入力して、<application>Sendmail</application>
デーモンを再起動してください。</para>
@ -2511,12 +2498,12 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
<para>以下は簡単な試験の例で、&man.telnet.1; を使って、
メールサーバに接続しています。</para>
<screen>&prompt.root; <userinput>telnet <replaceable>example.com</replaceable> 25</userinput>
<screen>&prompt.root; <userinput>telnet example.com 25</userinput>
Trying 192.0.34.166...
Connected to <systemitem class="ipaddress">example.com</systemitem>
Connected to <systemitem class="fqdomainname">example.com</systemitem>
Escape character is '^]'.
220 <systemitem class="ipaddress">example.com</systemitem> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT)
<userinput>ehlo <replaceable>example.com</replaceable></userinput>
220 <systemitem class="fqdomainname">example.com</systemitem> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT)
<userinput>ehlo example.com</userinput>
250-example.com Hello example.com [192.0.34.166], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
@ -2529,7 +2516,7 @@ Escape character is '^]'.
250-DELIVERBY
250 HELP
<userinput>quit</userinput>
221 2.0.0 <systemitem class="ipaddress">example.com</systemitem> closing connection
221 2.0.0 <systemitem class="fqdomainname">example.com</systemitem> closing connection
Connection closed by foreign host.</screen>
<para>出力に <quote>STARTTLS</quote> 行が表示されれば、
@ -2723,7 +2710,7 @@ device crypto</screen>
</info>
<para>最初に Ports Collection から
<filename role="package">security/ipsec-tools</filename>
<package>security/ipsec-tools</package>
をインストールしてください。
このソフトウェアは、
設定をサポートする数多くのアプリケーションを提供します。</para>
@ -2741,9 +2728,9 @@ device crypto</screen>
<screen>&prompt.root; <userinput>ifconfig gif0 create</userinput></screen>
<screen>&prompt.root; <userinput>ifconfig gif0 <replaceable>internal1 internal2</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>ifconfig gif0 internal1 internal2</userinput></screen>
<screen>&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>external1 external2</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>ifconfig gif0 tunnel external1 external2</userinput></screen>
<para>この例では、会社の <acronym>LAN</acronym> の外部
<acronym>IP</acronym> アドレスを
@ -2806,13 +2793,13 @@ round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms</programlisting>
パケットのルーティング情報を両方のゲートウェイに設定する必要があります。
これは以下のコマンドで設定できます。</para>
<screen>&prompt.root; <userinput>corp-net# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0</userinput></screen>
<screen>&prompt.root; <userinput>corp-net# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>corp-net# route add net 10.0.0.0: gateway 10.0.0.5</userinput></screen>
<screen>&prompt.root; <userinput>priv-net# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0</userinput></screen>
<screen>&prompt.root; <userinput>priv-net# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>priv-net# route add host 10.246.38.0: gateway 10.246.38.1</userinput></screen>
<para>これで、ネットワーク内のコンピュータは、
ゲートウェイおよびゲートウェイの奥のコンピュータから到達可能となっています。
@ -2869,7 +2856,7 @@ timer # timing options. change as needed
phase2 15 sec;
}
listen # address [port] that racoon will listening on
listen # address [port] that racoon will listen on
{
isakmp 172.16.5.4 [500];
isakmp_natt 172.16.5.4 [4500];
@ -2955,7 +2942,7 @@ n2006-01-30 01:36:04: INFO: ISAKMP-SA established 172.16.5.4[500]-192.168.1.12[5
ただし、以下の例の <literal>em0</literal> の部分は、
必要に応じて使用しているネットワークインタフェースに置き換えてください。</para>
<screen>&prompt.root; <userinput>tcpdump -i em0 host <replaceable>172.16.5.4 and dst 192.168.1.12</replaceable></userinput></screen>
<screen>&prompt.root; <userinput>tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12</userinput></screen>
<para>以下のようなデータがコンソールに表示されます。
もし、表示されない場合は、設定に何か問題があるので、
@ -3165,7 +3152,7 @@ COPYRIGHT 100% |*****************************| 4735
<para>システム全体の設定ファイルは、<application>OpenSSH</application>
デーモン、クライアントの両方とも
<filename class="directory">/etc/ssh</filename> にあります。</para>
<filename>/etc/ssh</filename> にあります。</para>
<para><filename>ssh_config</filename> はクライアントの動作設定、
<filename>sshd_config</filename>
@ -3181,7 +3168,7 @@ COPYRIGHT 100% |*****************************| 4735
を使ってユーザの認証用の <acronym>DSA</acronym> または
<acronym>RSA</acronym> 暗号鍵を作ることができます。</para>
<screen>&prompt.user; <userinput>ssh-keygen -t <replaceable>dsa</replaceable></userinput>
<screen>&prompt.user; <userinput>ssh-keygen -t dsa</userinput>
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
Created directory '/home/user/.ssh'.
@ -3388,7 +3375,6 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
<title>&man.ssh.1; を用いた SMTP 用の安全なトンネルの作成</title>
<screen>&prompt.user; <userinput>ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com</userinput>
user@mailserver.example.com's password: <userinput>*****</userinput>
&prompt.user; <userinput>telnet localhost 5025</userinput>
Trying 127.0.0.1...
@ -3444,7 +3430,7 @@ user@ssh-server.example.com's password: <userinput>******</userinput></screen>
<acronym>SSH</acronym> 接続を行い、
希望するサービスへのトンネルに利用することです。</para>
<screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>8888:music.example.com:8000 user@unfirewalled-system.example.org</replaceable></userinput>
<screen>&prompt.user; <userinput>ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org</userinput>
user@unfirewalled-system.example.org's password: <userinput>*******</userinput></screen>
<para>この例では、ストリーミング Ogg Vorbis クライアントを
@ -3604,11 +3590,11 @@ drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3
drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
<para>この例では、ディレクトリ
<filename class="directory">directory1</filename>,
<filename class="directory">directory2</filename> および
<filename class="directory">directory3</filename>
<filename>directory1</filename>,
<filename>directory2</filename> および
<filename>directory3</filename>
のすべてで <acronym>ACL</acronym> が働いています。
一方 <filename class="directory">public_html</filename>
一方 <filename>public_html</filename>
は対象外です。</para>
<sect2>
@ -3620,7 +3606,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
<acronym>ACL</acronym> 設定を表示するには、
以下のコマンドを実行してください。</para>
<screen>&prompt.user; <userinput>getfacl <filename>test</filename></userinput>
<screen>&prompt.user; <userinput>getfacl test</userinput>
#file:test
#owner:1001
#group:1001
@ -3631,7 +3617,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
<para>このファイルの <acronym>ACL</acronym> 設定を変更するには、
&man.setfacl.1; を使用してください。</para>
<screen>&prompt.user; <userinput>setfacl -k <filename>test</filename></userinput></screen>
<screen>&prompt.user; <userinput>setfacl -k test</userinput></screen>
<para>ファイルまたはファイルシステムから、
現在設定されている <acronym>ACL</acronym>
@ -3641,7 +3627,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
このオプションを使うと、<acronym>ACL</acronym>
が動作するのに必要な基本のフィールドは残ります。</para>
<screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,group:web:r--,o::--- <filename>test</filename></userinput></screen>
<screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,group:web:r--,o::--- test</userinput></screen>
<para>この例では、<option>-m</option>
は、デフォルト <acronym>ACL</acronym>
@ -3691,7 +3677,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
この目的のために用意されています。</para>
<para>
<filename role="package">ports-mgmt/portaudit</filename>
<package>ports-mgmt/portaudit</package>
port は、&os; セキュリティチームおよび ports
開発者がアップデートし、管理している、
既知のセキュリティ問題に対するデータベースを入手します。</para>
@ -3888,7 +3874,7 @@ VII. References <co xml:id="co-ref"/></programlisting>
&man.ident.1; を実行すると、
その出力からリビジョンを簡単に確認できます。
ports の場合には、
<filename class="directory">/var/db/pkg</filename>
<filename>/var/db/pkg</filename>
の port の名前の後に、バージョン番号が示されています。
もし、システムが &os; Subversion
リポジトリと同期していなかったり、
@ -4007,11 +3993,10 @@ VII. References <co xml:id="co-ref"/></programlisting>
以下のコマンドを使って、
プロセスアカウンティングを有効にしておく必要があります。</para>
<screen>&prompt.root; <userinput>touch <filename>/var/account/acct</filename></userinput>
&prompt.root; <userinput>accton <filename>/var/account/acct</filename></userinput>
&prompt.root; <userinput>echo 'accounting_enable="YES"' &gt;&gt; <filename>/etc/rc.conf</filename></userinput></screen>
<screen>&prompt.root; <userinput>touch /var/account/acct</userinput>
&prompt.root; <userinput>chmod 600 /var/account/acct</userinput>
&prompt.root; <userinput>accton /var/account/acct</userinput>
&prompt.root; <userinput>echo 'accounting_enable="YES"' &gt;&gt; /etc/rc.conf</userinput></screen>
<para>一度有効に設定すると、アカウンティングは、
<acronym>CPU</acronym> の統計、
@ -4033,8 +4018,7 @@ VII. References <co xml:id="co-ref"/></programlisting>
が実行した &man.ls.1;
の使用について、記録されているすべて示します。</para>
<screen>&prompt.root; <userinput>lastcomm ls
<systemitem class="username">trhodes</systemitem> ttyp1</userinput></screen>
<screen>&prompt.root; <userinput>lastcomm ls trhodes ttyp1</userinput></screen>
<para>他にも有用なオプションが多くあり、
&man.lastcomm.1;, &man.acct.5; および &man.sa.8;
@ -4073,7 +4057,7 @@ VII. References <co xml:id="co-ref"/></programlisting>
パスワードデータベースに対しても変更が必要となります。
潜在的に、より多くの制限を加えられたユーザ対してはラベルの追加や、
<command>cap_mkdb</command>
を使ったリソースデータベースの構築、
を使ったリソースデータベースの構築、
<filename>/etc/master.passwd</filename>
への変更が必要となります。
さらに、パスワードデータベースは、