diff --git a/ja_JP.eucJP/books/handbook/security/chapter.xml b/ja_JP.eucJP/books/handbook/security/chapter.xml
index df893a62d3..b6ef601d54 100644
--- a/ja_JP.eucJP/books/handbook/security/chapter.xml
+++ b/ja_JP.eucJP/books/handbook/security/chapter.xml
@@ -3,7 +3,7 @@
The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project
- Original revision: r15536
+ Original revision: r17060
Translation note: "fs-acl" section added in rev.1.118 is moved to
handbook/basics in rev.1.134 and moved back to this file in
rev.1.150. The traslation is already done in handbook/basics, so we
@@ -23,7 +23,7 @@
訳: &a.jp.hino;、(jpman プロジェクトの成果を利用させ
ていただきました)。
-
+
この章では
この章では、基本的なシステムセキュリティの考え方、
@@ -54,8 +54,7 @@
- 代替認証システムである、
- ワンタイムパスワード認証システム S/Key の設定方法
+ ワンタイムパスワード認証の設定方法
@@ -305,7 +304,11 @@
- FreeBSDの安全性を高める
+ FreeBSD の安全性を高める
+
+ セキュリティ
+ FreeBSD の安全性を高める
+
コマンド対プロトコル
@@ -1134,12 +1137,12 @@
-
- S/Key
- S/Key
+
+ ワンタイムパスワード
+ ワンタイムパスワード
セキュリティ
- S/Key
+ ワンタイムパスワード
S/Key は一方向ハッシュ関数を基にしたワンタイムパスワード方式
@@ -1150,11 +1153,11 @@
Communications Research, Inc. の登録商標です。
FreeBSD バージョン 5.0 以降では、S/Key
- は機能的に同等な OPIE (Onetime Passwords In Everything)
+ は機能的に同等な OPIE (One-time Passwords In Everything)
で置き換えられました。OPIE はデフォルトでは
MD5 ハッシュを使用します。
- 以下の説明では、三種類の異なる「パスワード」が使われます。
+ ここでは、三種類の異なる「パスワード」について説明します。
まず一つ目は、あなたが普段使っている普通の
Unix スタイルの、もしくは Kerberos
のパスワードです。ここではこれを
@@ -1476,11 +1479,13 @@ Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ...
複数のワンタイムパスワードを生成する
- 都合によっては、信頼できるマシンや信頼できる通信路が一切確
- 保できないようなところで S/Key を使う必要があるでしょう。この
- ような場合には、key コマンドを使って複数の
- ワンタイムパスワードをあらかじめ一気に生成し、紙に印刷して携帯
- していくことができます。たとえば
+ 都合によっては、
+ 信頼できるマシンや信頼できる通信路が一切確保できないようなところで
+ S/Key を使う必要があるでしょう。
+ このような場合には、key および
+ opiekey
+ コマンドを使って複数のワンタイムパスワードをあらかじめ一気に生成し、
+ 紙に印刷して携帯していくことができます。たとえば
&prompt.user; key -n 5 30 zz99999
Reminder - Do not use this program while logged in via telnet or rlogin.
@@ -1491,6 +1496,18 @@ Enter secret password: <
29: COT MASH BARR BRIM NAN FLAG
30: CAN KNEE CAST NAME FOLK BILK
+ OPIE の場合には以下のようになります。
+
+ &prompt.user; opiekey -n 5 30 zz99999
+Using the MD5 algorithm to compute response.
+Reminder: Don't use opiekey from telnet or dial-in sessions.
+Enter secret pass phrase: <secret password>
+26: JOAN BORE FOSS DES NAY QUIT
+27: LATE BIAS SLAY FOLK MUCH TRIG
+28: SALT TIN ANTI LOON NEAL USE
+29: RIO ODIN GO BYE FURY TIC
+30: GREW JIVE SAN GIRD BOIL PHI
+
という引数によって 5 個のワンタイム
パスワードを順に生成します。ここで は、最
後のシーケンス番号となるべき数字です。出力は普通に使う順番とは
@@ -1508,27 +1525,31 @@ Enter secret password: <
Unix パスワードの利用を制限する
- 設定ファイル /etc/skey.access
- を使って Unix パスワードの利用を制限することができます。
- この場合の判
- 断基準として、ログインを受け付ける際のホスト名、ユーザ名、端末
- のポート、IP アドレスなどが利用できます。この設定ファイルの詳
- 細に関してはマニュアル &man.skey.access.5; をご覧ください。マ
- ニュアルにはこの機能に関わるセキュリティについて、いくつかの警
- 告が記述してあります。この機能を使ってセキュリティを高めようと
- するのならば絶対にこのマニュアルを読んでください。
+ S/Key は、ログインを受け付ける際のホスト名、ユーザ名、
+ 端末のポート、IP アドレスなどを利用して、
+ Unix パスワードの利用を制限することができます。
+ 設定ファイル /etc/skey.access に、
+ 制限が記載されています。
+ この設定ファイルの詳細に関してはマニュアル &man.skey.access.5;
+ をご覧ください。
+ マニュアルにはこの機能に関わるセキュリティについて、
+ いくつかの警告が記述してあります。
+ この機能を使ってセキュリティを高めようとするのならば、
+ 絶対にこのマニュアルを読んでください。
- もし /etc/skey.access ファイルが存在
- しないならば (FreeBSD のデフォルト状態ではそうです)、すべての
- ユーザが Unix パスワードを利用することができます。逆に、もし
- ファイルが存在するならば、skey.access ファ
- イルに明示的に記述されていない限り、すべてのユーザは S/Key の
- 利用を要求されます。どちらの場合においても、そのマシンのコンソー
- ルからはいつでも Unix パスワードを使ってログインすることが可能
- です。
+ もし /etc/skey.access
+ ファイルが存在しないならば (FreeBSD 4.x
+ のデフォルト状態ではそうです)、すべてのユーザが Unix
+ パスワードを利用することができます。
+ 逆に、もしファイルが存在するならば、
+ skey.access
+ ファイルに明示的に記述されていない限り、すべてのユーザは S/Key
+ の利用を要求されます。どちらの場合においても、
+ そのマシンのコンソールからはいつでも Unix
+ パスワードを使ってログインすることが可能です。
- 以下によく使われるであろう三種類の設定を含む設定ファイルの
- 例を示します。
+ 以下によく使われるであろう三種類の設定を含む設定ファイル
+ skey.access の例を示します。
permit internet 192.168.0.0 255.255.0.0
permit user fnord
@@ -1557,8 +1578,28 @@ permit port ttyd0
三行目 (permit port) によって、ある特定
の端末ポートからログインしようとするすべてのユーザに対して
Unix パスワードの利用を許可するように指定しています。この設定
- はダイヤルアップ回線に対する設定として利用できるでしょう。
-
+ はダイヤルアップ回線に対する設定として利用できるでしょう。
+
+ OPIE は S/Key が行うような、ログインセッションの IP
+ アドレスをベースとした Unix パスワードの使用を制限できます。
+ 関連ファイルは、/etc/opieaccess です。
+ FreeBSD 5.0 以降のシステムではデオフォルトで用意されています。
+ このファイルの詳細や、
+ このファイルを使用する際に考慮すべきセキュリィについては
+ &man.opieaccess.5; を確認してください。
+
+ 以下は opieaccess ファイルの例です。
+
+ permit 192.168.0.0 255.255.0.0
+
+ この行では、(なりすましされやすい) IP ソースアドレスが、
+ ある値やマスクにマッチするユーザに対して、
+ Unix パスワードをいつでも許可します。
+
+ もし opieaccess
+ のどのルールにも一致しなければ、
+ デフォルトでは非 OPIE ログインは使えません。
+
@@ -2137,10 +2178,12 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
現在インターネットで普通に使用されている
ファイアウォールには 二つの異なるタイプがあります。一つは、
厳密には パケットフィルタリングルータ
- と 呼ばれるタイプのものです。これはマルチホームのホストマシン
- (複数の ネットワークに接続されているマシン) のカーネルが、
- ある規則にしたがって
- パケットを転送したりブロックしたりするものです。もう一つは、
+ と呼ばれるタイプのものです。
+ このタイプのファイアウォールはマルチホームマシンで利用され、
+ ある規則にしたがってパケットを転送したりブロックしたりするものです。
+ マルチホームマシンとは、
+ 複数のネットワークインタフェースを持つコンピュータのことです。
+ もう一つは、
proxy (代理) サーバ
として知られているタイプのものです。これは、
おそらくはマルチホームのホストマシン上で、
@@ -2169,20 +2212,20 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
パケットフィルタリングルータ
ルータとは、二つまたはそれ以上のネットワークの間で
- パケットの転送をおこなう マシンのことです。
- パケットフィルタリングルータは、そのカーネルの内部に、
- 一つ一つのパケットをルールリストと比較して
- 転送するかしないかを決める 特別なコードを持っています。
- 最近の IP ルーティングソフトウェアのほとんどは、内部に
- パケットのフィルタリングをおこなうためのコードを持っていて、
- デフォルトでは すべてのパケットを転送するようになっています。
+ パケットの転送をおこなうマシンのことです。
+ パケットフィルタリングルータは、
+ 一つ一つのパケットをルールリストと比較して、
+ 転送するかしないかを決めるようにプログラミングされています。
+ 最近の IP ルーティングソフトウェアのほとんどは、
+ 内部にパケットフィルタリング機能を持っていて、
+ デフォルトではすべてのパケットを転送するようになっています。
このフィルタを有効にするためには、
- パケットの通過を許すべきかどうかを決める
- ルールを自分で定義する必要があります。
+ ルールを定義する必要があります。
パケットを通すべきか通すべきでないかを決めるために、
- パケットヘッダの内容にマッチするものが
- ルールリストから探されます。マッチするルールが見つかると、
+ ファイアウォールは、
+ ルールリストからパケットヘッダの内容にマッチするルールがないかどうかを調べます。
+ マッチするルールが見つかると、
ルールアクションが実行されます。ルールアクションには、
パケットを捨てる、パケットを転送する、
またはパケットの発信元に ICMP
@@ -2209,10 +2252,11 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
など) を 特別なサーバで置き換えたマシンのことです。
これらのサーバは、
通常は中継をおこなって特定方向への接続だけを許すため、
- proxy サーバ と呼ばれます。(たとえば)
- proxy telnet
+ proxy サーバ と呼ばれます。(たとえば)
+ proxy telnet
サーバをファイアウォールホストで走らせておきます。
- 外部からユーザがファイアウォールに対して telnet
+ 外部からユーザがファイアウォールに対して
+ telnet
を実行すると、proxy telnet サーバが応答して、
何らかの認証機構を実行します。これを通過した後で、
内部ネットワークへのアクセスがおこなえるように なるのです。
@@ -2226,7 +2270,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
使い捨て
パスワードシステムとは、
どういうものなのでしょうか。仮に誰かが何らかの方法で、
あなたが使用したパスワードを手に入れたとします。しかし、
- 一度使用したことで、
+ 最初に使用した直後に、
そのパスワードは既に無効になっているのです。ですから、
そのパスワードをもう一度使用したとしても、あなたのシステムへ
アクセスすることはできないというわけです。
@@ -2238,11 +2282,10 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
より困難になっています。
proxy サーバはアクセス制限の方法をいくつも持っていて、
- 特定のホスト
- だけがサーバへのアクセス権を得ることができるように
- なっていることがあります。
- そして目的のマシンと通信できるユーザを制限するように
- 設定することもできます。もう一度言いますが、
+ 特定のホストだけがサーバへのアクセス権を得ることができるようになっていることがあります。
+ そして、
+ 管理者は目的のマシンと通信できるユーザを制限するように設定できます。
+ もう一度言いますが、
どんなファシリティ (機能) が使えるかは、どんな proxy
サービスをおこなうソフトウェアを選ぶかに大きく
依存します。
@@ -2259,17 +2302,16 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
を含んでいます。
ルーティングの決定をおこなう際に、これらは互いに協力して、
カーネルで使用されるルールを定義したり、
- 現在使用されているルールを問い合わせたりすることができます。
+ 使用されているルールを問い合わせたりすることができます。
IPFW は互いに関連する二つの部分からなっています。
- ファイアウォールセクションは
- パケットフィルタリングをおこないます。また、IP
- アカウンティングセクションはファイアウォールセクションのものと
- 似たルールに基づいてルータの使用を追跡します。これにより、
- (たとえば) 特定のマシンからルータへのトラフィックがどのくらい
- 発生しているか調べたり、どれだけの WWW (World Wide Web)
- トラフィックが
- フォワードされているかを知ることができます。
+ ファイアウォールセクションはパケットフィルタリングをおこないます。
+ また、IP アカウンティングセクションは、
+ ファイアウォールセクションのものと似たルールに基づいてルータの使用を追跡します。
+ これにより、たとえば、
+ 管理者は特定のマシンからルータへのトラフィックがどのくらい発生しているかを調べたり、
+ どれだけの WWW
+ トラフィックがフォワードされているかを知ることができます。
IPFW は、
ルータではないマシンにおいても入出力コネクションの
@@ -2498,7 +2540,8 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
allow
通常通りパケットを通過させます。(別名:
- pass および
+ pass,
+ permit および
accept)
@@ -2655,7 +2698,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
IP ヘッダが spec
に指定された カンマで区切られた
オプションのリストを含んでいればマッチします。
- サポートされている IP オプションのリストは:
+ サポートされている IP オプションは、
ssrr (ストリクトソースルート)、
lsrr (ルーズソースルート)、
rr (レコードパケットルート)、
@@ -2726,13 +2769,17 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
ipfw
-a
+ -c
+ -d
+ -e
-t
-N
- l
+ -S
+ list
- この形式で使用する際に有効なフラグは三つあります。
+ この形式で使用する際に有効なフラグは 7 つあります。
-a
@@ -2743,7 +2790,34 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
- -t
+
+ -c
+
+
+ コンパクトな形式でルールの一覧を表示します。
+
+
+
+
+ -d
+
+
+ 静的ルールに加え動的ルールも表示します。
+
+
+
+
+ -e
+
+
+ が指定されているときには、
+ 期限が切れた動的ルールも表示します。
+
+
+
+
+ -t
+
各チェーンエントリが最後に
マッチした時刻を表示します。この時刻表示は
@@ -2758,6 +2832,16 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
アドレスやサービス名を文字列に変換して表示します。
+
+
+ -S
+
+
+ 各ルールが所属しているセットを表示します。
+ このフラグが設定されていない場合には、
+ 無効にされているルールは一覧に表示されません。
+
+
@@ -2862,11 +2946,11 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
accept
- コマンドでログを取っていると、
- ファイアウォールをパケットが一つ通過する毎に 1
- 行のログが生成されるため 大量の
- ログデータが発生します。そのため、大規模な FTP/HTTP
- 転送などをおこなうと、システムが非常に 遅くなってしまいます。
+ コマンドでログを取っていると、大量の
+ ログデータが生成されるので注意してください。
+ ファイアウォールをパケットが一つ通過する毎に一つのログのエントリが生成されるので、
+ 大規模な FTP/HTTP 転送などをおこなうと、
+ システムが非常に遅くなってしまいます。
また、パケットが通過するまでにカーネルにより
多くの仕事を要求するため、パケットのレイテンシ (latency)
を増加させてしまいます。syslogd
@@ -2957,7 +3041,9 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
これとは別のファイアウォール設定に 関するチェックリストが
- CERT から 入手可能です。http://www.cert.org/tech_tips/packet_filtering.html
+ CERT ()
+ から入手可能です。
前にも述べたように、これはただの ガイドライン
にすぎません。
@@ -3135,8 +3221,9 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
現在の IPsec の実装は、
トランスポートモードとトンネルモードの両方に対応しています。
- しかし、トンネルモードにはいくつかの制限事項があります。http://www.kame.net/newsletter/
- にはより総合的な例が載っています。
+ しかし、トンネルモードにはいくつかの制限事項があります。
+
+ にはより総合的な例が載っています。
ここで述べる機能を利用するには、以下のオプションをカーネルコ
ンパイル時に指定する必要があることにご注意ください。
@@ -3785,8 +3872,8 @@ user@ssh-server.example.com's password: ******
SSH 接続を行い、Ogg Vorbis
サーバへのトンネルに利用することです。
- &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled.myserver.com
-user@unfirewalled.myserver.com's password: *******
+ &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org
+user@unfirewalled-system.example.org's password: *******
ストリーミングクライアントを localhost
の 8888 番ポートに向けると、music.example.com
@@ -3952,7 +4039,8 @@ user@unfirewalled.myserver.com's password: *******Low-Watermark Mandatory Access Control (LOMAC)
(mac_lomac)
- Low-Watermark Mandatory Access Control
+ MAC
+ Low-Watermark
LOMAC
@@ -3972,14 +4060,17 @@ user@unfirewalled.myserver.com's password: *******
+
Multi-Level Security Policy (MLS) (mac_mls)
Multi-Level Security Policy
- MLS
+ MAC
+ Multi-Level
+
Vendor: TrustedBSD Project
Module name: mac_mls.ko
Kernel option: MAC_MLS