os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

- Replace 8 spaces with a tab.

Browse source 
- Rewrap lines.
- Remove trailing whitespaces.

Submitted by:	Hiroo Ono <hiroo _at_ jp dot FreeBSD dot org>
Reference:	[doc-jp-work 1729]
This commit is contained in:
Ryusuke SUZUKI 2010-12-29 08:09:52 +00:00
parent 420d04de0d
commit 89a16bbe1c
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=36737
1 changed files with 72 additions and 65 deletions

137
ja_JP.eucJP/books/handbook/security/chapter.sgml
View file

@ -476,16 +476,16 @@
<sect2>
<title>root 権限で実行されているサーバと SUID/SGID バイナリの安全性を高める</title>
<indexterm>
<primary><command>ntalk</command></primary>
<primary><command>ntalk</command></primary>
</indexterm>
<indexterm>
<primary><command>comsat</command></primary>
<primary><command>comsat</command></primary>
</indexterm>
<indexterm>
<primary><command>finger</command></primary>
<primary><command>finger</command></primary>
</indexterm>
<indexterm>
<primary>砂場 (sandbox)</primary>
<primary>砂場 (sandbox)</primary>
</indexterm>
<indexterm>
<primary><application>sshd</application></primary>
@ -651,7 +651,7 @@
デバイスを組み込むべきではありません。</para>
<indexterm>
<primary><command>sysctl</command></primary>
<primary><command>sysctl</command></primary>
</indexterm>
<para><devicename>bpf</devicename> デバイスを外しても、
<devicename>/dev/mem</devicename> と
@ -1148,7 +1148,7 @@ lrwxr-xr-x 1 root wheel 15 Mar 19 06:56 libcrypt_p.a -&gt; libdescrypt_p.a</s
御されます。その値としては、<quote>des</quote> または
<quote>md5</quote> を設定することができます。ログインケーパビ
リティに関するより詳細な情報は、&man.login.conf.5; マニュアルページ
をご覧ください。</para>
をご覧ください。</para>
</sect2>
</sect1>
@ -2315,8 +2315,8 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
<sect2>
<title>FreeBSD で IPFW を有効にする</title>
<indexterm>
<primary><command>ipfw</command></primary>
<secondary>有効化</secondary>
<primary><command>ipfw</command></primary>
<secondary>有効化</secondary>
</indexterm>
<para>IPFW システムの中心となる部分はカーネル内部にあります。
@ -2883,13 +2883,13 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
現在のルールセットを <filename>rc.conf</filename> から読み込める形で
ファイルに出力できます。
また、<filename>/etc/rc.conf.local</filename> や
<filename>/etc/rc.conf</filename> によってファイアウォールを
有効化しない場合には、すべての IP インタフェースが設定されるよりも前に
確実にファイアウォールの有効化が行なわれるようにすることが重要です。
</para>
<filename>/etc/rc.conf</filename>
によってファイアウォールを有効化しない場合には、
すべての IP インタフェースが設定されるよりも前に、
確実にファイアウォールの有効化が行なわれるようにすることが重要です。</para>
<para>次の問題は、ファイアウォールが実際には何を <emphasis> する
</emphasis> べきかです !
<para>次の問題は、ファイアウォールが実際には何を
<emphasis>する</emphasis> べきかです !
これは外部からそのネットワークへのどんなアクセスを許したいか、
また内部から外界へのアクセスを
どのくらい許したいかに大きく依存します。
@ -3057,9 +3057,9 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
<!-- si006:2001/08/11 - developers handbook is not translated yet. -->
</para>
<para>現在の IPsec の実装は、トランスポートモードとトンネルモード
の両方に対応しています。しかし、トンネルモードにはいくつかの
制限事項があります。<ulink
<para>現在の IPsec の実装は、
トランスポートモードとトンネルモードの両方に対応しています。
しかし、トンネルモードにはいくつかの制限事項があります。<ulink
url="http://www.kame.net/newsletter/">http://www.kame.net/newsletter/
</ulink> にはより総合的な例が載っています。</para>
@ -3072,31 +3072,35 @@ options IPSEC_ESP #IP security (crypto; define w/IPSEC)</progr
<sect2>
<title>IPv4 におけるトランスポートモードの例</title>
<para>ホスト A (10.2.3.4) とホスト B (10.6.7.8) との間に安全なチャ
ネルを配置するために、セキュリティアソシエーションを設定しましょ
う。ここでは、少し込み入った例を示します。ホスト A からホストB
へは old AH のみを使います。ホスト B からホスト A へは new AH
と new ESP を組み合わせます。</para>
<para>ホスト A (10.2.3.4) とホスト B (10.6.7.8)
との間に安全なチャネルを配置するために、
セキュリティアソシエーションを設定しましょう。
ここでは、少し込み入った例を示します。ホスト A からホストB
へは old AH のみを使います。ホスト B からホスト A へは
new AH と new ESP を組み合わせます。</para>
<para>ここで "AH"/"new AH"/"ESP"/"new ESP" に対応するアルゴリズ
ムを決めないといけません。アルゴリズムの名前を知るには、
<para>ここで "AH"/"new AH"/"ESP"/"new ESP"
に対応するアルゴリズムを決めないといけません。
アルゴリズムの名前を知るには、
&man.setkey.8; マニュアルページをご覧ください。ここでは、AH に
MD5 を、new AH には new-HMAC-SHA1 を、new ESP には 8 バイト IV
の new-DES-expIV を選びました。</para>
<para>鍵長はそれぞれのアルゴリズムに大きく依存します。たとえば、
MD5 では鍵長は 16 バイトでなければなりませんし、new-HMAC-SHA1
では 20 バイトでなければなりませんし、new-DES-expIV では 8 バ
イトでなければなりません。ここではそれぞれ "MYSECRETMYSECRET",
"KAMEKAMEKAMEKAMEKAME", "PASSWORD" とします。</para>
では 20 バイトでなければなりませんし、new-DES-expIV では
8 バイトでなければなりません。ここではそれぞれ
"MYSECRETMYSECRET", "KAMEKAMEKAMEKAMEKAME",
"PASSWORD" とします。</para>
<para>次に、それぞれのプロトコルに対して SPI (セキュリティパラメー
タインデックス: Security Parameter Index) を割り当てます。3 種
類のセキュリティヘッダ (ホスト A からホスト B に 1 つ、ホスト B
から ホスト A に 2 つ) を生成するので、この安全なチャネルには 3
つの SPI が必要になることに注意してください。さらに、SPI は
256 以上でなければならないことにも注意してください。ここではそれ
ぞれ 1000, 2000, 3000 を割り当てます。</para>
<para>次に、それぞれのプロトコルに対して SPI
(セキュリティパラメータインデックス: Security Parameter Index)
を割り当てます。3 種類のセキュリティヘッダ
(ホスト A からホスト B に 1 つ、ホスト B から ホスト A に 2 つ)
を生成するので、この安全なチャネルには 3 つの SPI
が必要になることに注意してください。さらに、SPI は
256 以上でなければならないことにも注意してください。
ここではそれぞれ 1000, 2000, 3000 を割り当てます。</para>
<screen>
(1)
@ -3127,7 +3131,7 @@ options IPSEC_ESP #IP security (crypto; define w/IPSEC)</progr
</screen>
<para>次に、セキュリティアソシエーションを設定しましょう。ホスト
A とホスト B の両方で、&man.setkey.8; を実行します。</para>
A とホスト B の両方で、&man.setkey.8; を実行します。</para>
<screen>
&prompt.root; <command>setkey -c</command>
@ -3137,11 +3141,11 @@ add 10.6.7.8 10.2.3.4 esp 3000 -m transport -E des-cbc "PASSWORD" ;
^D
</screen>
<para>実際には、セキュリティポリシのエントリが定義されるまでは
IPsec による通信は行われません。この例の場合、両方のホストを設
定する必要があります。</para>
<para>実際には、セキュリティポリシのエントリが定義されるまでは
IPsec による通信は行われません。
この例の場合、両方のホストを設定する必要があります。</para>
<screen>
<screen>
A で:
&prompt.root; <command>setkey -c</command>
@ -3230,8 +3234,8 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
<para>2 台のセキュリティゲートウェイ間のトンネルモード</para>
<para>セキュリティプロトコルは old AH トンネルモード、すなわち
RFC1826 で指定されるものです。認証アルゴリズムは "this is the
test" を鍵とする keyed-md5 です。</para>
RFC1826 で指定されるものです。認証アルゴリズムは "this is the
test" を鍵とする keyed-md5 です。</para>
<screen>
======= AH =======
@ -3257,10 +3261,10 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
</screen>
<para>上記の例のように、もしポート番号フィールドを書かないと、
"[any]" と同じ意味になります。`-m' は使用される SA のモードを
指定します。"-m any" はセキュリティプロトコルのモードのワイル
ドカードを意味します。この SA をトンネルモードとトランスポート
モードの両方で使用できます。</para>
"[any]" と同じ意味になります。`-m' は使用される SA
のモードを指定します。"-m any"
はセキュリティプロトコルのモードのワイルドカードを意味します。
この SA をトンネルモードとトランスポートモードの両方で使用できます。</para>
<para>そしてゲートウェイ-B では次のようになります。</para>
@ -3280,10 +3284,10 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
<para>二台のセキュリティゲートウェイ間の SA の束の作成</para>
<para>ゲートウェイ-A とゲートウェイ-B の間では、AH トランスポー
トモードと ESP トンネルモードが要求されます。この例では、まず ESP ト
ンネルモードが適用され、次に AH トランスポートモードが適用さ
れます。</para>
<para>ゲートウェイ-A とゲートウェイ-B の間では、
AH トランスポートモードと ESP トンネルモードが要求されます。
この例では、まず ESP トンネルモードが適用され、次に
AH トランスポートモードが適用されます。</para>
<screen>
========== AH =========
@ -3325,12 +3329,13 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
<para>異なる通信端での SA の作成</para>
<para>ホスト-A とゲートウェイ-A の間では ESP トンネルモードが要
求されています。暗号化アルゴリズムは cast128-cbc で、ESP の認
証アルゴリズムは hmac-sha1 です。ホスト-A とホスト-B との間で
は ESP トランスポートモードが推奨されています。暗号化アルゴリ
ズムは rc5-cbc で、ESP の認証アルゴリズムは hmac-md5 です。
</para>
<para>ホスト-A とゲートウェイ-A の間では
ESP トンネルモードが要求されています。暗号化アルゴリズムは
cast128-cbc で、ESP の認証アルゴリズムは hmac-sha1
です。ホスト-A とホスト-B との間では
ESP トランスポートモードが推奨されています。
暗号化アルゴリズムは rc5-cbc で、ESP
の認証アルゴリズムは hmac-md5 です。</para>
<screen>
================== ESP =================
@ -3509,10 +3514,12 @@ COPYRIGHT 100% |*****************************| 4735
</indexterm>
<para>システム全体の設定ファイルは、OpenSSH デーモン、
クライアントの両方とも <filename>/etc/ssh</filename> ディレクトリにあります。</para>
クライアントの両方とも <filename>/etc/ssh</filename>
ディレクトリにあります。</para>
<para><filename>ssh_config</filename> はクライアントの動作設定、
<filename>sshd_config</filename> はデーモンの動作設定を行ないます。</para>
<filename>sshd_config</filename>
はデーモンの動作設定を行ないます。</para>
<para>さらに、<filename>rc.conf</filename> オプションの
<option>sshd_program</option>
@ -3524,8 +3531,8 @@ COPYRIGHT 100% |*****************************| 4735
<sect2>
<title>ssh-keygen</title>
<para>パスワードの代わりに &man.ssh-keygen.1; を使って
ユーザの認証用の RSA 暗号鍵を作ることができます。</para>
<para>パスワードの代わりに &man.ssh-keygen.1;
を使ってユーザの認証用の RSA 暗号鍵を作ることができます。</para>
<screen>&prompt.user <userinput>ssh-keygen</userinput>
Initializing random number generator...
@ -3545,8 +3552,8 @@ Your identification has been saved in /home/user/.ssh/identity.
公開鍵はリモートマシンの <filename>~/.ssh/authorized_keys</filename>
にも置かなければなりません。</para>
<para>これでパスワードの代わり RSA 認証を使って
リモートマシンに接続できるようになったはずです。</para>
<para>これでパスワードの代わり
RSA 認証を使ってリモートマシンに接続できるようになったはずです。</para>
<para>&man.ssh-keygen.1; でパスフレーズを使っている場合は、
ユーザは秘密鍵を使うために毎回パスフレーズの入力を行なう必要があります。</para>
@ -3640,9 +3647,9 @@ Your identification has been saved in /home/user/.ssh/identity.
SSH はローカルのホスト/ポートで受けた接続すべてを SSH
接続経由で指定されたリモートホストのポートへ転送します。</para>
<para>この例では、ローカルホストのポート <replaceable>5023</replaceable>
がリモートマシンの <replaceable>23</replaceable>
に転送されるようになっています。
<para>この例では、ローカルホストのポート
<replaceable>5023</replaceable> がリモートマシンの
<replaceable>23</replaceable> に転送されるようになっています。
<replaceable>23</replaceable> は telnet なのでこれは SSH
トンネルを通るセキュアな telnet セッションを作ります。</para>
@ -3657,7 +3664,7 @@ user@mailserver.example.com's password: <userinput>*****</userinput>
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mailserver.example.com ESMTP</screen>
220 mailserver.example.com ESMTP</screen>
<para>&man.ssh-keygen.1; と別のユーザアカウントを組み合わせて使うことで
より透過的で悩まずに済むような SSH のトンネル環境を作ることができます。