Date: Tue, 7 Feb 2017 11:49:06 +0000 (UTC) From: Ryusuke SUZUKI <ryusuke@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r49944 - head/ja_JP.eucJP/books/handbook/security Message-ID: <201702071149.v17Bn6n8037937@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: ryusuke Date: Tue Feb 7 11:49:06 2017 New Revision: 49944 URL: https://svnweb.freebsd.org/changeset/doc/49944 Log: - Merge the following from the English version: r19377 -> r21127 head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Tue Feb 7 08:25:39 2017 (r49943) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Tue Feb 7 11:49:06 2017 (r49944) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r19377 + Original revision: r21127 $FreeBSD$ --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> @@ -115,7 +115,7 @@ マシンの安全性に反映されるのは、管理者が作業したことだけです。 またセキュリティ問題は、快適な環境に必要なものと競合します。 一般に &unix; システムは膨大な数のプロセスを同時に動作させることができ、 - そのプロセスの大部分は、サーバ – + そのプロセスの大部分は、サーバ — 外部から接続し、通信するものとして動作します。 かつてのミニコンとメインフレームがデスクトップにとってかわり、 さらにコンピュータが相互に接続されたネットワークを形成するようになった今日、 @@ -279,7 +279,7 @@ </listitem> <listitem> - <para><systemitem class="username">root</systemitem> の安全性を高める – + <para><systemitem class="username">root</systemitem> の安全性を高める — <systemitem class="username">root</systemitem> 権限で動作するサーバと suid/sgid バイナリ。</para> </listitem> @@ -368,7 +368,7 @@ <application>sshd</application> のような、別のログインサービス を使っている場合でも同様に、直接 <systemitem class="username">root</systemitem> へログインすることを許し - ていないかどうか確認してください。すべてのアクセス手段 – + ていないかどうか確認してください。すべてのアクセス手段 — たとえば FTP のようなサービスが、良くクラックの対象となることを考えましょう。 <systemitem class="username">root</systemitem> への直接ログインは、 @@ -715,7 +715,7 @@ めに <command>chflags</command> を使用するのは、おそらく逆効果 でしょう。なぜなら、そうすることでファイルは保護できますが、侵 入を検出する窓を閉ざしてしまうことにもなるからです。セキュリティ - のタマネギの最後の層はおそらく最も重要なもの – 検出で + のタマネギの最後の層はおそらく最も重要なもの — 検出で す。セキュリティの残りのものは、突然の侵入を検出できなければ、 まったく有用ではありません (あるいは、もっと悪ければ、安全性に 対する間違った感覚を植え付けてしまいます)。タマネギの仕事の半 @@ -737,7 +737,7 @@ ssh 接続を行なうために、 ssh 鍵のペアを作ったりすることで行います。 ネットワークのトラフィックを別にして、NFS は最も可視性 - のない方法です – 各クライアント上のファイルシステムを、 + のない方法です — 各クライアント上のファイルシステムを、 事実上検出されずに監視できるようになります。アクセス制限された サーバがスイッチを通してクライアントに接続されている場合、たい てい NFS がより良い選択肢です。アクセス制限されたサーバがハブ @@ -798,7 +798,7 @@ <para>最後に、セキュリティスクリプトはログファイルを処理するよう にし、ログファイル自体もできるだけ安全性の高い方法で生成するよ - うにすべきです – リモート syslog は極めて有益になり得ま + うにすべきです — リモート syslog は極めて有益になり得ま す。侵入者は自分の侵入の痕跡を覆い隠そうとしますし、また、ログ ファイルはシステム管理者が最初の侵入の時刻と方法を追跡してゆく ために極めて重要です。ログファイルを永久に残しておくための 1 @@ -817,7 +817,7 @@ 便利さに<emphasis>影響を与える</emphasis>セキュリティ機能を追加することもできます。 より重要なことは、 セキュリティ管理者はこれを多少混ぜこぜにして使うべきだということです。 - – もしあなたが、本文書に書かれている勧告をそのまま使用した場合は、 + — もしあなたが、本文書に書かれている勧告をそのまま使用した場合は、 予想される攻撃者はやはり本文書を読んでいるわけですから、 あなたの防御策を教えてしまうことになります。</para> </sect2> @@ -912,7 +912,7 @@ <application>sendmail</application> などのインターネットからア クセスできるサービスとして特に指定するもの以外の、小さい番号の ポートすべてをファイアウォールで防御することができます。ファイ - アウォールをこの他のやり方 – つまり包含的もしくは受容的 + アウォールをこの他のやり方 — つまり包含的もしくは受容的 なファイアウォールとして設定しようとする場合、 <quote>close</quote> することを忘れてしまうサービスがいくつか 出てきたり、新しい内部サービスを追加したのにファイアウォールの @@ -933,7 +933,7 @@ <indexterm><primary>ICMP_BANDLIM</primary></indexterm> <para>また別のよくあるサービス妨害攻撃として、踏み台攻撃 - (springboard attack) と呼ばれるものがあります – これは、 + (springboard attack) と呼ばれるものがあります — これは、 あるサーバを攻撃し、そこ結果として生成される応答が自分自身、ロー カルネットワーク、そして他のマシンを過負荷に追い込むようにする 攻撃です。この種の攻撃の中で最もありふれたものに、 @@ -1125,7 +1125,7 @@ 号化されたパスワードは、DES ハッシュで暗号化されたパスワードよ りも長く、<literal>$1$</literal> という文字で始まるという特徴を持っています。 - <literal>$2$</literal> + <literal>$2a$</literal> で始まるパスワードは、Blowfish ハッシュ関数で暗号化されています。 DES のパスワードはこ れといって識別可能な特徴は持っていませんが、MD5 のパスワードよ @@ -2392,18 +2392,18 @@ _kerberos IN TXT EXAMPLE. <para>データベース作成のセッションの例は以下のようになります。</para> <screen>&prompt.root; <userinput>kstash</userinput> - Master key: <userinput>xxxxxxxx</userinput> - Verifying password - Master key: <userinput>xxxxxxxx</userinput> +Master key: <userinput>xxxxxxxx</userinput> +Verifying password - Master key: <userinput>xxxxxxxx</userinput> - &prompt.root; <userinput>kadmin -l</userinput> - kadmin> <userinput>init EXAMPLE.ORG</userinput> - Realm max ticket life [unlimited]: - kadmin> <userinput>add tillman</userinput> - Max ticket life [unlimited]: - Max renewable life [unlimited]: - Attributes []: - Password: <userinput>xxxxxxxx</userinput> - Verifying password - Password: <userinput>xxxxxxxx</userinput></screen> +&prompt.root; <userinput>kadmin -l</userinput> +kadmin> <userinput>init EXAMPLE.ORG</userinput> +Realm max ticket life [unlimited]: +kadmin> <userinput>add tillman</userinput> +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Attributes []: +Password: <userinput>xxxxxxxx</userinput> +Verifying password - Password: <userinput>xxxxxxxx</userinput></screen> <para>これで <acronym>KDC</acronym> サービスを起動することができるようになりました。 @@ -2415,19 +2415,15 @@ _kerberos IN TXT EXAMPLE. プリンシパルのチケットを入手したり、 一覧を表示することができることを確認してください。</para> - <screen>&prompt.user;<userinput>k5init <replaceable>tillman</replaceable></userinput> - tillman@EXAMPLE.ORG's Password: + <screen>&prompt.user; <userinput>k5init <replaceable>tillman</replaceable></userinput> +tillman@EXAMPLE.ORG's Password: - &prompt.user;<userinput>k5list</userinput> - Credentials cache: FILE:<filename>/tmp/krb5cc_500</filename> - Principal: tillman@EXAMPLE.ORG - - Issued Expires Principal - Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG - Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG +&prompt.user; <userinput>k5list</userinput> +Credentials cache: FILE:<filename>/tmp/krb5cc_500</filename> + Principal: tillman@EXAMPLE.ORG - v4-ticket file: /tmp/tkt500 - k5list: No ticket file (tf_util)</screen> + Issued Expires Principal +Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG</screen> </sect2> @@ -2499,12 +2495,13 @@ _kerberos IN TXT EXAMPLE. サーバのホストプリンシパルを keytab に抽出してください。</para> <screen>&prompt.root; <userinput>kadmin</userinput> - kadmin><userinput> add --random-key host/myserver.EXAMPLE.ORG</userinput> - Max ticket life [unlimited]: - Max renewable life [unlimited]: - Attributes []: - kadmin><userinput> ext host/myserver.EXAMPLE.ORG</userinput> - kadmin><userinput> exit</userinput></screen> + +kadmin><userinput> add --random-key host/myserver.example.org</userinput> +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Attributes []: +kadmin><userinput> ext host/myserver.example.org</userinput> +kadmin><userinput> exit</userinput></screen> <para><command>ext</command> コマンド (<quote>extract</quote> の省略形) は、デフォルトでは、抽出された鍵を @@ -2522,8 +2519,8 @@ _kerberos IN TXT EXAMPLE. 一時ファイルに抽出してください。</para> <screen>&prompt.root; <userinput>kadmin</userinput> - kadmin><userinput> ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput> - kadmin><userinput> exit</userinput></screen> +kadmin><userinput> ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput> +kadmin><userinput> exit</userinput></screen> <para>その後、keytab を安全に (たとえば <command>scp</command> またはフロッピーを使って) @@ -2663,7 +2660,7 @@ _kerberos IN TXT EXAMPLE. <filename>.k5login</filename> を</para> <screen>tillman@example.org - jdoe@example.org</screen> +jdoe@example.org</screen> <para>ローカルユーザ <systemitem class="username">webdevelopers</systemitem> @@ -2998,7 +2995,7 @@ _kerberos IN TXT EXAMPLE. <listitem> <para><link xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">; - The Kerberos FAQ</link></para> + The <application>Kerberos</application> FAQ</link></para> </listitem> <listitem> @@ -5267,7 +5264,7 @@ Your identification has been saved in /h &man.ssh-keygen.1; を参照して、問題が起こることを避けてください。</para></warning> </sect2> - <sect2> + <sect2 xml:id="security-ssh-tunneling"> <title>SSH トンネリング</title> <indexterm> <primary>OpenSSH</primary> @@ -5913,7 +5910,7 @@ Corrected: 2003-09-23 16:42:59 UTC For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit -http://www.freebsd.org/security/. +http://www.FreeBSD.org/security/. I. Background<co xml:id="co-backround"/>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201702071149.v17Bn6n8037937>