From owner-svn-doc-head@freebsd.org Tue Feb 7 11:49:07 2017 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id A8804CD430C; Tue, 7 Feb 2017 11:49:07 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 667C6789; Tue, 7 Feb 2017 11:49:07 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id v17Bn6gL037938; Tue, 7 Feb 2017 11:49:06 GMT (envelope-from ryusuke@FreeBSD.org) Received: (from ryusuke@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id v17Bn6n8037937; Tue, 7 Feb 2017 11:49:06 GMT (envelope-from ryusuke@FreeBSD.org) Message-Id: <201702071149.v17Bn6n8037937@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to ryusuke@FreeBSD.org using -f From: Ryusuke SUZUKI Date: Tue, 7 Feb 2017 11:49:06 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r49944 - head/ja_JP.eucJP/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.23 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 07 Feb 2017 11:49:07 -0000 Author: ryusuke Date: Tue Feb 7 11:49:06 2017 New Revision: 49944 URL: https://svnweb.freebsd.org/changeset/doc/49944 Log: - Merge the following from the English version: r19377 -> r21127 head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Tue Feb 7 08:25:39 2017 (r49943) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Tue Feb 7 11:49:06 2017 (r49944) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r19377 + Original revision: r21127 $FreeBSD$ --> @@ -115,7 +115,7 @@ マシンの安全性に反映されるのは、管理者が作業したことだけです。 またセキュリティ問題は、快適な環境に必要なものと競合します。 一般に &unix; システムは膨大な数のプロセスを同時に動作させることができ、 - そのプロセスの大部分は、サーバ – + そのプロセスの大部分は、サーバ — 外部から接続し、通信するものとして動作します。 かつてのミニコンとメインフレームがデスクトップにとってかわり、 さらにコンピュータが相互に接続されたネットワークを形成するようになった今日、 @@ -279,7 +279,7 @@ - root の安全性を高める – + root の安全性を高める — root 権限で動作するサーバと suid/sgid バイナリ。 @@ -368,7 +368,7 @@ sshd のような、別のログインサービス を使っている場合でも同様に、直接 root へログインすることを許し - ていないかどうか確認してください。すべてのアクセス手段 – + ていないかどうか確認してください。すべてのアクセス手段 — たとえば FTP のようなサービスが、良くクラックの対象となることを考えましょう。 root への直接ログインは、 @@ -715,7 +715,7 @@ めに chflags を使用するのは、おそらく逆効果 でしょう。なぜなら、そうすることでファイルは保護できますが、侵 入を検出する窓を閉ざしてしまうことにもなるからです。セキュリティ - のタマネギの最後の層はおそらく最も重要なもの – 検出で + のタマネギの最後の層はおそらく最も重要なもの — 検出で す。セキュリティの残りのものは、突然の侵入を検出できなければ、 まったく有用ではありません (あるいは、もっと悪ければ、安全性に 対する間違った感覚を植え付けてしまいます)。タマネギの仕事の半 @@ -737,7 +737,7 @@ ssh 接続を行なうために、 ssh 鍵のペアを作ったりすることで行います。 ネットワークのトラフィックを別にして、NFS は最も可視性 - のない方法です – 各クライアント上のファイルシステムを、 + のない方法です — 各クライアント上のファイルシステムを、 事実上検出されずに監視できるようになります。アクセス制限された サーバがスイッチを通してクライアントに接続されている場合、たい てい NFS がより良い選択肢です。アクセス制限されたサーバがハブ @@ -798,7 +798,7 @@ 最後に、セキュリティスクリプトはログファイルを処理するよう にし、ログファイル自体もできるだけ安全性の高い方法で生成するよ - うにすべきです – リモート syslog は極めて有益になり得ま + うにすべきです — リモート syslog は極めて有益になり得ま す。侵入者は自分の侵入の痕跡を覆い隠そうとしますし、また、ログ ファイルはシステム管理者が最初の侵入の時刻と方法を追跡してゆく ために極めて重要です。ログファイルを永久に残しておくための 1 @@ -817,7 +817,7 @@ 便利さに影響を与えるセキュリティ機能を追加することもできます。 より重要なことは、 セキュリティ管理者はこれを多少混ぜこぜにして使うべきだということです。 - – もしあなたが、本文書に書かれている勧告をそのまま使用した場合は、 + — もしあなたが、本文書に書かれている勧告をそのまま使用した場合は、 予想される攻撃者はやはり本文書を読んでいるわけですから、 あなたの防御策を教えてしまうことになります。 @@ -912,7 +912,7 @@ sendmail などのインターネットからア クセスできるサービスとして特に指定するもの以外の、小さい番号の ポートすべてをファイアウォールで防御することができます。ファイ - アウォールをこの他のやり方 – つまり包含的もしくは受容的 + アウォールをこの他のやり方 — つまり包含的もしくは受容的 なファイアウォールとして設定しようとする場合、 close することを忘れてしまうサービスがいくつか 出てきたり、新しい内部サービスを追加したのにファイアウォールの @@ -933,7 +933,7 @@ ICMP_BANDLIM また別のよくあるサービス妨害攻撃として、踏み台攻撃 - (springboard attack) と呼ばれるものがあります – これは、 + (springboard attack) と呼ばれるものがあります — これは、 あるサーバを攻撃し、そこ結果として生成される応答が自分自身、ロー カルネットワーク、そして他のマシンを過負荷に追い込むようにする 攻撃です。この種の攻撃の中で最もありふれたものに、 @@ -1125,7 +1125,7 @@ 号化されたパスワードは、DES ハッシュで暗号化されたパスワードよ りも長く、$1$ という文字で始まるという特徴を持っています。 - $2$ + $2a$ で始まるパスワードは、Blowfish ハッシュ関数で暗号化されています。 DES のパスワードはこ れといって識別可能な特徴は持っていませんが、MD5 のパスワードよ @@ -2392,18 +2392,18 @@ _kerberos IN TXT EXAMPLE. データベース作成のセッションの例は以下のようになります。 &prompt.root; kstash - Master key: xxxxxxxx - Verifying password - Master key: xxxxxxxx +Master key: xxxxxxxx +Verifying password - Master key: xxxxxxxx - &prompt.root; kadmin -l - kadmin> init EXAMPLE.ORG - Realm max ticket life [unlimited]: - kadmin> add tillman - Max ticket life [unlimited]: - Max renewable life [unlimited]: - Attributes []: - Password: xxxxxxxx - Verifying password - Password: xxxxxxxx +&prompt.root; kadmin -l +kadmin> init EXAMPLE.ORG +Realm max ticket life [unlimited]: +kadmin> add tillman +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Attributes []: +Password: xxxxxxxx +Verifying password - Password: xxxxxxxx これで KDC サービスを起動することができるようになりました。 @@ -2415,19 +2415,15 @@ _kerberos IN TXT EXAMPLE. プリンシパルのチケットを入手したり、 一覧を表示することができることを確認してください。 - &prompt.user;k5init tillman - tillman@EXAMPLE.ORG's Password: + &prompt.user; k5init tillman +tillman@EXAMPLE.ORG's Password: - &prompt.user;k5list - Credentials cache: FILE:/tmp/krb5cc_500 - Principal: tillman@EXAMPLE.ORG - - Issued Expires Principal - Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG - Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG +&prompt.user; k5list +Credentials cache: FILE:/tmp/krb5cc_500 + Principal: tillman@EXAMPLE.ORG - v4-ticket file: /tmp/tkt500 - k5list: No ticket file (tf_util) + Issued Expires Principal +Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG @@ -2499,12 +2495,13 @@ _kerberos IN TXT EXAMPLE. サーバのホストプリンシパルを keytab に抽出してください。 &prompt.root; kadmin - kadmin> add --random-key host/myserver.EXAMPLE.ORG - Max ticket life [unlimited]: - Max renewable life [unlimited]: - Attributes []: - kadmin> ext host/myserver.EXAMPLE.ORG - kadmin> exit + +kadmin> add --random-key host/myserver.example.org +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Attributes []: +kadmin> ext host/myserver.example.org +kadmin> exit ext コマンド (extract の省略形) は、デフォルトでは、抽出された鍵を @@ -2522,8 +2519,8 @@ _kerberos IN TXT EXAMPLE. 一時ファイルに抽出してください。 &prompt.root; kadmin - kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org - kadmin> exit +kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org +kadmin> exit その後、keytab を安全に (たとえば scp またはフロッピーを使って) @@ -2663,7 +2660,7 @@ _kerberos IN TXT EXAMPLE. .k5login tillman@example.org - jdoe@example.org +jdoe@example.org ローカルユーザ webdevelopers @@ -2998,7 +2995,7 @@ _kerberos IN TXT EXAMPLE. - The Kerberos FAQ + The Kerberos FAQ @@ -5267,7 +5264,7 @@ Your identification has been saved in /h &man.ssh-keygen.1; を参照して、問題が起こることを避けてください。 - + SSH トンネリング OpenSSH @@ -5913,7 +5910,7 @@ Corrected: 2003-09-23 16:42:59 UTC For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit -http://www.freebsd.org/security/. +http://www.FreeBSD.org/security/. I. Background