From owner-svn-doc-all@freebsd.org Mon Feb 26 12:56:08 2018 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id A526DF22121; Mon, 26 Feb 2018 12:56:08 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from mxrelay.nyi.freebsd.org (mxrelay.nyi.freebsd.org [IPv6:2610:1c1:1:606c::19:3]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client CN "mxrelay.nyi.freebsd.org", Issuer "Let's Encrypt Authority X3" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 5623D73E85; Mon, 26 Feb 2018 12:56:08 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mxrelay.nyi.freebsd.org (Postfix) with ESMTPS id 4C43E1BAB5; Mon, 26 Feb 2018 12:56:08 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id w1QCu8F5026111; Mon, 26 Feb 2018 12:56:08 GMT (envelope-from ryusuke@FreeBSD.org) Received: (from ryusuke@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id w1QCu8w1026110; Mon, 26 Feb 2018 12:56:08 GMT (envelope-from ryusuke@FreeBSD.org) Message-Id: <201802261256.w1QCu8w1026110@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to ryusuke@FreeBSD.org using -f From: Ryusuke SUZUKI Date: Mon, 26 Feb 2018 12:56:08 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r51446 - head/ja_JP.eucJP/books/handbook/security X-SVN-Group: doc-head X-SVN-Commit-Author: ryusuke X-SVN-Commit-Paths: head/ja_JP.eucJP/books/handbook/security X-SVN-Commit-Revision: 51446 X-SVN-Commit-Repository: doc MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.25 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Feb 2018 12:56:09 -0000 Author: ryusuke Date: Mon Feb 26 12:56:08 2018 New Revision: 51446 URL: https://svnweb.freebsd.org/changeset/doc/51446 Log: - Merge the following from the English version: r42267 -> r43278 head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Sun Feb 25 00:19:05 2018 (r51445) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Mon Feb 26 12:56:08 2018 (r51446) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r42267 + Original revision: r43278 $FreeBSD$ --> @@ -347,7 +347,7 @@ アカウントを完全にロックするには、 &man.pw.8; を使ってください。 - &prompt.root; pw lock staff + &prompt.root; pw lock staff これにより、指定されたユーザは、&man.ssh.1; を含むいかなる方法でもログインできなくなります。 @@ -420,11 +420,9 @@ 他のシステムの潜在的なセキュリティホールには、 SUID-root および SGID バイナリがあります。 これらのバイナリは、 - &man.rlogin.1; のように、/bin, /sbin, /usr/bin または /usr/sbin + &man.rlogin.1; のように、/bin, + /sbin, /usr/bin + または /usr/sbin に存在するものがほとんどです。 100% 安全なものは存在しないとはいえ、 システムデフォルトの SUID/SGID バイナリは比較的安全といえます。 @@ -508,7 +506,7 @@ 現在動いているカーネルのセキュリティレベルを高める最も簡単な方法は、 kern.securelevel を設定する方法です。 - &prompt.root; sysctl kern.securelevel=1 + &prompt.root; sysctl kern.securelevel=1 デフォルトでは、&os; のカーネルはセキュリティレベル -1 で起動します。 @@ -536,7 +534,7 @@ セキュリティレベルを 1 以上に設定した場合には、 /dev/io へのアクセスがブロックされるため、 &xorg; や、 - installworld のプロセスでは、 + installworld のプロセスでは、 いくつかのファイルの追加専用および変更不可のフラグは一時的にリセットされるため、 ソースから &os; を構築してインストールするときなどで問題が引き起こされる可能性があります。 @@ -563,8 +561,7 @@ schg フラグを設定しないというところで妥協するという手もあります。 もう一つの可能性としては、単純に - / および /usr + / および /usr を読み込み専用でマウントすることです。 ここで特筆すべきことは、システムを守ろうとして厳しくしすぎると、 侵入を検出することができなくなってしまうということです。 @@ -576,9 +573,8 @@ システム管理者にできることは、 便利さという要素がその醜い頭を上げない程度に、 コアシステムの設定と制御ファイルを防御することだけです。 - たとえば、/ および /usr + たとえば、/ および + /usr にある大部分のファイルに schg ビットを設定するために &man.chflags.1; を使用するのは、おそらく逆効果でしょう。 @@ -620,16 +616,14 @@ などの単純なシステムユーティリティでスクリプトを書くことができます。 少なくとも 1 日 1 回、クライアントのシステムファイルを直接 &man.md5.1; にかけ、 - さらにもっと頻繁に /etc および /usr/local/etc + さらにもっと頻繁に /etc および + /usr/local/etc にあるようなコントロール用ファイルを試験するのが一番です。 アクセス制限されたマシンが正しいと知っている、 基となる md5 情報と比べて違いが見つかった場合、 システム管理者に警告するようにすべきです。 - 優れたセキュリティ用スクリプトは、/ および /usr + 優れたセキュリティ用スクリプトは、 + / および /usr などのシステムパーティション上で不適当に SUID されたバイナリや、 新たに作成されたファイルや削除されたファイルがないかどうかを調べるでしょう。 @@ -911,7 +905,6 @@ - DES, Blowfish, MD5, SHA256, SHA512 および Crypt @@ -1358,7 +1351,7 @@ Enter secret pass phrase: <secret passwo 検索のプロセスは終了します。 例として、POP3 の接続を - mail/qpopper + mail/qpopper デーモン経由で許可するには、以下の行を hosts.allow に追加してください。 @@ -1588,7 +1581,7 @@ sendmail : PARANOID : deny アメリカ合衆国 の輸出規制により制限されてきました。 MIT で実装された Kerberos は、 - security/krb5 package または + security/krb5 package または port から利用できます。 バージョン 5 のもう一つの実装が、 Heimdal Kerberos @@ -1596,7 +1589,7 @@ sendmail : PARANOID : deny この実装は、アメリカ合衆国の外で開発されたため、 輸出の制限を避けることができます。 Heimdal Kerberos は - security/heimdal + security/heimdal> package または port からインストールできますが、最小構成は &os; の base インストールに含まれています。 @@ -1669,7 +1662,7 @@ kadmind5_server_enable="YES" default_realm = EXAMPLE.ORG そして、kerberos.EXAMPLE.ORG + class="fqdomainname">example.org ゾーンファイルには、以下の行が付け加えられます。 _kerberos._udp IN SRV 01 00 88 kerberos.example.org. @@ -1726,9 +1719,9 @@ Master key: xxxxxxxx Verifying password - Master key: xxxxxxxx &prompt.root; kadmin -l -kadmin> init EXAMPLE.ORG +kadmin> init EXAMPLE.ORG Realm max ticket life [unlimited]: -kadmin> add tillman +kadmin> add tillman Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: @@ -1744,7 +1737,7 @@ Verifying password - Password: xxxxxxxx - &prompt.user; kinit tillman + &prompt.user; kinit tillman tillman@EXAMPLE.ORG's Password: &prompt.user; klist @@ -1818,12 +1811,12 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@E &prompt.root; kadmin -kadmin> add --random-key host/myserver.example.org +kadmin> add --random-key host/myserver.example.org Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: -kadmin> ext host/myserver.example.org -kadmin> exit +kadmin> ext host/myserver.example.org +kadmin> exit ext は、デフォルトでは、抽出された鍵を /etc/krb5.keytab に保存します。 @@ -1840,8 +1833,8 @@ kadmin> exit 一時ファイルに抽出してください。 &prompt.root; kadmin -kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org -kadmin> exit +kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org +kadmin> exit その後、&man.scp.1; またはリムーバブルディスクを使って、 keytab を安全にサーバコンピュータにコピーしてください。 @@ -1965,14 +1958,9 @@ jdoe@example.org Tips, Tricks, およびトラブルシューティング - - Kerberos5 - トラブルシューティング - - Heimdal または MIT - Kerberos ports + KerberosKerberos5troubleshooting ports のどちらを使う場合でも、 PATH は、 Kerberos 版のクライアント @@ -1997,7 +1985,7 @@ jdoe@example.org host/ プリンシパルを変更し、keytab をアップデートする必要があります。 Apache の - www/mod_auth_kerb + www/mod_auth_kerb で使われる www/ プリンシパルのような特別な @@ -2132,15 +2120,14 @@ jdoe@example.org に書かれているガイドに従うことが推奨されます。 path の問題について注意してください。 MIT port はデフォルトで - /usr/local/ - にインストールします。 + /usr/local/ にインストールします。 そのため、もし PATH においてシステムのディレクトが最初に書かれている場合には、 MIT 版ではなく、通常の システムアプリケーションが起動してしまいます。 &os; の MIT - security/krb5 port において、 + security/krb5 port において、 &man.telnetd.8; および klogind 経由でのログインが奇妙な振る舞いをすることを理解するには、 port からインストールされる @@ -2157,12 +2144,13 @@ jdoe@example.org kerberos5_server="/usr/local/sbin/krb5kdc" kadmind5_server="/usr/local/sbin/kadmind" +kerberos5_server_flags="" kerberos5_server_enable="YES" kadmind5_server_enable="YES" これを行うのは、 MIT Kerberos のアプリケーションは、 - /usr/local + /usr/local 構造の下にインストールされるためです。 @@ -2197,7 +2185,7 @@ kadmind5_server_enable="YES" マルチユーザの環境では、 Kerberos は安全ではありません。 - チケットは /tmp + チケットは /tmp に保管され、 このチケットは、すべてのユーザが読むことができるためです。 もし、ユーザがコンピュータを他のユーザと同時に共有していると、 @@ -2252,7 +2240,7 @@ kadmind5_server_enable="YES" ホストまたはサービスとの間の認証のメカニズムは提供しません。 これは、トロイの木馬の &man.kinit.1; が、 すべてのユーザ名とパスワードを記録できることを意味しています。 - security/tripwire + security/tripwire のような、ファイルシステムの完全性を確認するためのツールにより、 この危険性を軽減することができます。 @@ -2330,17 +2318,17 @@ kadmind5_server_enable="YES" OpenSSL は、 メールクライアントの暗号化された認証、 クレジットカードでの支払いといったウェブベースの取引などで使われます。 - www/apache22 および - mail/claws-mail + www/apache22 および + mail/claws-mail といった多くの port では、 OpenSSL とともに構築するコンパイルに対応しています。 多くの場合、Ports Collection は、 - make の WITH_OPENSSL_BASE が明示的に + make の WITH_OPENSSL_BASE が明示的に yes に設定されていないと、 - security/openssl port + security/openssl port の構築を試みます。 @@ -2357,7 +2345,7 @@ kadmind5_server_enable="YES" もし使用したいのであれば、ライセンス条項を必ず確認し、 ライセンス条項に合致するのであれば、 /etc/make.conf において - MAKE_IDEA 変数を設定してください。 + MAKE_IDEA 変数を設定してください。 最も一般的な OpenSSL @@ -2400,18 +2388,18 @@ There are quite a few fields but you can leave some bl For some fields there will be a default value, If you enter '.', the field will be left blank. ----- -Country Name (2 letter code) [AU]:US -State or Province Name (full name) [Some-State]:PA -Locality Name (eg, city) []:Pittsburgh -Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company -Organizational Unit Name (eg, section) []:Systems Administrator -Common Name (eg, YOUR name) []:localhost.example.org -Email Address []:trhodes@FreeBSD.org +Country Name (2 letter code) [AU]:US +State or Province Name (full name) [Some-State]:PA +Locality Name (eg, city) []:Pittsburgh +Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company +Organizational Unit Name (eg, section) []:Systems Administrator +Common Name (eg, YOUR name) []:localhost.example.org +Email Address []:trhodes@FreeBSD.org Please enter the following 'extra' attributes to be sent with your certificate request -A challenge password []:SOME PASSWORD -An optional company name []:Another Name +A challenge password []:SOME PASSWORD +An optional company name []:Another Name Common Name プロンプト直後に表示されているのは、 ドメイン名です。 @@ -2440,21 +2428,21 @@ An optional company name []:An 自己署名証明書を作成できます。 最初に RSA の鍵を生成してください。 - &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 + &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 次に、CA 鍵を生成してください。 - &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key + &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key この鍵を使って証明書を作成してください。 - &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt + &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt 新しく 2 つのファイルがこのディレクトリに作成されます。 プライベート鍵 myca.key および 証明書 new.crt です。 これらのファイルを、好ましくは - /etc 以下で、 + /etc 以下で、 root のみが読むことのできるディレクトリに置く必要があります。 許可属性は 0700 が適切です。 @@ -2491,14 +2479,13 @@ define(`confTLS_SRV_OPTIONS', `V')dnl この例では、 ローカルで証明書および鍵ファイルは、ローカルの - /etc/certs/ - に置かれています。 + /etc/certs/ に置かれています。 ファイルの編集を保存し終わったら、 - /etc/mail において - make install + /etc/mail において + make install と入力することで、ローカルの .cf ファイルを再構築する必要があります。 - その後、make restart + その後、make restart と入力して、Sendmail デーモンを再起動してください。 @@ -2511,12 +2498,12 @@ define(`confTLS_SRV_OPTIONS', `V')dnl 以下は簡単な試験の例で、&man.telnet.1; を使って、 メールサーバに接続しています。 - &prompt.root; telnet example.com 25 + &prompt.root; telnet example.com 25 Trying 192.0.34.166... -Connected to example.com +Connected to example.com Escape character is '^]'. -220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) -ehlo example.com +220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) +ehlo example.com 250-example.com Hello example.com [192.0.34.166], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING @@ -2529,7 +2516,7 @@ Escape character is '^]'. 250-DELIVERBY 250 HELP quit -221 2.0.0 example.com closing connection +221 2.0.0 example.com closing connection Connection closed by foreign host. 出力に STARTTLS 行が表示されれば、 @@ -2723,7 +2710,7 @@ device crypto 最初に Ports Collection から - security/ipsec-tools + security/ipsec-tools をインストールしてください。 このソフトウェアは、 設定をサポートする数多くのアプリケーションを提供します。 @@ -2741,9 +2728,9 @@ device crypto &prompt.root; ifconfig gif0 create - &prompt.root; ifconfig gif0 internal1 internal2 + &prompt.root; ifconfig gif0 internal1 internal2 - &prompt.root; ifconfig gif0 tunnel external1 external2 + &prompt.root; ifconfig gif0 tunnel external1 external2 この例では、会社の LAN の外部 IP アドレスを @@ -2806,13 +2793,13 @@ round-trip min/avg/max/stddev = 28.106/94.594/154.524/ パケットのルーティング情報を両方のゲートウェイに設定する必要があります。 これは以下のコマンドで設定できます。 - &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 + &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 - &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 + &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 - &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 + &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 - &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 + &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 これで、ネットワーク内のコンピュータは、 ゲートウェイおよびゲートウェイの奥のコンピュータから到達可能となっています。 @@ -2869,7 +2856,7 @@ timer # timing options. change as needed phase2 15 sec; } -listen # address [port] that racoon will listening on +listen # address [port] that racoon will listen on { isakmp 172.16.5.4 [500]; isakmp_natt 172.16.5.4 [4500]; @@ -2955,7 +2942,7 @@ n2006-01-30 01:36:04: INFO: ISAKMP-SA established 172. ただし、以下の例の em0 の部分は、 必要に応じて使用しているネットワークインタフェースに置き換えてください。 - &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 + &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 以下のようなデータがコンソールに表示されます。 もし、表示されない場合は、設定に何か問題があるので、 @@ -3165,7 +3152,7 @@ COPYRIGHT 100% |*************************** システム全体の設定ファイルは、OpenSSH デーモン、クライアントの両方とも - /etc/ssh にあります。 + /etc/ssh にあります。 ssh_config はクライアントの動作設定、 sshd_config @@ -3181,7 +3168,7 @@ COPYRIGHT 100% |*************************** を使ってユーザの認証用の DSA または RSA 暗号鍵を作ることができます。 - &prompt.user; ssh-keygen -t dsa + &prompt.user; ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/home/user/.ssh/id_dsa): Created directory '/home/user/.ssh'. @@ -3388,7 +3375,6 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ss &man.ssh.1; を用いた SMTP 用の安全なトンネルの作成 &prompt.user; ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com - user@mailserver.example.com's password: ***** &prompt.user; telnet localhost 5025 Trying 127.0.0.1... @@ -3444,7 +3430,7 @@ user@ssh-server.example.com's password: *** SSH 接続を行い、 希望するサービスへのトンネルに利用することです。 - &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org + &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org user@unfirewalled-system.example.org's password: ******* この例では、ストリーミング Ogg Vorbis クライアントを @@ -3604,11 +3590,11 @@ drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directo drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html この例では、ディレクトリ - directory1, - directory2 および - directory3 + directory1, + directory2 および + directory3 のすべてで ACL が働いています。 - 一方 public_html + 一方 public_html は対象外です。 @@ -3620,7 +3606,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_ ACL 設定を表示するには、 以下のコマンドを実行してください。 - &prompt.user; getfacl test + &prompt.user; getfacl test #file:test #owner:1001 #group:1001 @@ -3631,7 +3617,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_ このファイルの ACL 設定を変更するには、 &man.setfacl.1; を使用してください。 - &prompt.user; setfacl -k test + &prompt.user; setfacl -k test ファイルまたはファイルシステムから、 現在設定されている ACL @@ -3641,7 +3627,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_ このオプションを使うと、ACL が動作するのに必要な基本のフィールドは残ります。 - &prompt.user; setfacl -m u:trhodes:rwx,group:web:r--,o::--- test + &prompt.user; setfacl -m u:trhodes:rwx,group:web:r--,o::--- test この例では、 は、デフォルト ACL @@ -3691,7 +3677,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_ この目的のために用意されています。 - ports-mgmt/portaudit + ports-mgmt/portaudit port は、&os; セキュリティチームおよび ports 開発者がアップデートし、管理している、 既知のセキュリティ問題に対するデータベースを入手します。 @@ -3888,7 +3874,7 @@ VII. References &man.ident.1; を実行すると、 その出力からリビジョンを簡単に確認できます。 ports の場合には、 - /var/db/pkg + /var/db/pkg の port の名前の後に、バージョン番号が示されています。 もし、システムが &os; Subversion リポジトリと同期していなかったり、 @@ -4007,12 +3993,11 @@ VII. References 以下のコマンドを使って、 プロセスアカウンティングを有効にしておく必要があります。 - &prompt.root; touch /var/account/acct + &prompt.root; touch /var/account/acct +&prompt.root; chmod 600 /var/account/acct +&prompt.root; accton /var/account/acct +&prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.conf -&prompt.root; accton /var/account/acct - -&prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.conf - 一度有効に設定すると、アカウンティングは、 CPU の統計、 実行されたコマンドの情報の追跡を開始します。 @@ -4033,8 +4018,7 @@ VII. References が実行した &man.ls.1; の使用について、記録されているすべて示します。 - &prompt.root; lastcomm ls - trhodes ttyp1 + &prompt.root; lastcomm ls trhodes ttyp1 他にも有用なオプションが多くあり、 &man.lastcomm.1;, &man.acct.5; および &man.sa.8; @@ -4073,7 +4057,7 @@ VII. References パスワードデータベースに対しても変更が必要となります。 潜在的に、より多くの制限を加えられたユーザ対してはラベルの追加や、 cap_mkdb - を使ったリソースデータベースの構築、 + を使ったリソースデータベースの再構築、 /etc/master.passwd への変更が必要となります。 さらに、パスワードデータベースは、