From owner-svn-doc-head@freebsd.org Fri Oct 6 09:32:01 2017 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 3723AE31CDA; Fri, 6 Oct 2017 09:32:01 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id E0FC97703A; Fri, 6 Oct 2017 09:32:00 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id v969W0AI073128; Fri, 6 Oct 2017 09:32:00 GMT (envelope-from ryusuke@FreeBSD.org) Received: (from ryusuke@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id v969W0W1073126; Fri, 6 Oct 2017 09:32:00 GMT (envelope-from ryusuke@FreeBSD.org) Message-Id: <201710060932.v969W0W1073126@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to ryusuke@FreeBSD.org using -f From: Ryusuke SUZUKI Date: Fri, 6 Oct 2017 09:32:00 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r51063 - head/ja_JP.eucJP/books/handbook/security X-SVN-Group: doc-head X-SVN-Commit-Author: ryusuke X-SVN-Commit-Paths: head/ja_JP.eucJP/books/handbook/security X-SVN-Commit-Revision: 51063 X-SVN-Commit-Repository: doc MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.23 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 06 Oct 2017 09:32:01 -0000 Author: ryusuke Date: Fri Oct 6 09:31:59 2017 New Revision: 51063 URL: https://svnweb.freebsd.org/changeset/doc/51063 Log: - Merge the following from the English version: r25140 -> r28158 head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Thu Oct 5 21:13:43 2017 (r51062) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Fri Oct 6 09:31:59 2017 (r51063) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r25140 + Original revision: r28158 $FreeBSD$ --> @@ -64,7 +64,7 @@ - &os; 5.0 以降のリリースにおける、 + &os; における Kerberos5 の設定方法 @@ -949,8 +949,6 @@ なポートをブロックから除外するのはもちろんですが) 4000 より下のすべてのポートをブロックするという設定が考えられます。 - ICMP_BANDLIM - また別のよくあるサービス妨害攻撃として、踏み台攻撃 (springboard attack) と呼ばれるものがあります — これは、 あるサーバを攻撃し、そこ結果として生成される応答が自分自身、ロー @@ -973,10 +971,12 @@ まうようにすることができます。mbuf を消費し尽くさせることによ り、この種の攻撃でサーバをクラッシュさせることも可能です。サー バが生成した ICMP 応答を十分速く送信できない場合、とくにひどい - ことになります。&os; カーネルには、この種の攻撃の効果を抑制する - - と呼ばれる新しいカーネルコンパイルオプション - があります。踏み台攻撃の 3 つめの主要なクラスに属する攻撃は、 + ことになります。 + この種の攻撃の効果を抑制するには、 + sysctl 変数の + net.inet.icmp.icmplim + を使ってください。 + 踏み台攻撃の 3 つめの主要なクラスに属する攻撃は、 udp echo サービスのような、特定の inetd 内部サービスに関連する ものです。攻撃者は、単に送信元アドレスがサーバ A の echo ポー @@ -1129,11 +1129,7 @@ 暗号化機構を理解する - &os; 4.4 の前までは、libcrypt.a - は暗号化に使われるライブラリへのシンボリックリンクでした。 - &os; 4.4 で libcrypt.a - は設定可能なパスワード認証ハッシュライブラリを提供するようになりました。 - 現在のところ、このライブラリは DES, MD5 および Blowfish + 現在では、ライブラリは DES, MD5 および Blowfish ハッシュ関数に対応しています。デフォルトでは、&os; はパスワードの暗号化に MD5 を利用します。 @@ -1173,31 +1169,22 @@ ワンタイムパスワード - S/Key は一方向ハッシュ関数を基にしたワンタイムパスワード方式 - です。&os; では、互換性のために MD4 ハッシュを用いていますが - 他のシステムでは MD5 や DES-MAC を用いてます。S/Key は、バージョ - ン1.1.5 以降のすべての &os; に含まれていますし、&os; 以外 - の数多くのシステムの上でも利用されています。S/Key は Bell - Communications Research, Inc. の登録商標です。 + デフォルトで、&os; は + OPIE (One-time Passwords In Everything) に対応しています。 + OPIE はデフォルトでは MD5 ハッシュを使用します。 - &os; バージョン 5.0 以降では、S/Key - は機能的に同等な OPIE (One-time Passwords In Everything) - で置き換えられました。OPIE はデフォルトでは - MD5 ハッシュを使用します。 - ここでは、三種類の異なる「パスワード」について説明します。 まず一つ目は、あなたが普段使っている普通の &unix; スタイルの、もしくは Kerberos のパスワードです。ここではこれを - &unix; パスワード と呼ぶことにします。二つ目は、S/Key - の key プログラム、または - OPIE の &man.opiekey.1; プログラムによって生成され、 - keyinit または &man.opiepasswd.1; + &unix; パスワード と呼ぶことにします。 + 二つ目は、OPIE の &man.opiekey.1; プログラムによって生成され、 + &man.opiepasswd.1; プログラムとログインプロンプトが受け付けるパスワードです。 ここではこれを ワンタイムパスワード と呼ぶことにします。三つ目のパスワードは、 - key/opiekey (と場合により - keyinit/opiepasswd) + opiekey (と場合により + opiepasswd) プログラムに対してユーザが入力する秘密のパスワードで、 ワンタイムパスワードを生成するのに使われます。ここではこれを 秘密のパスフレーズ もしくは単に @@ -1214,24 +1201,24 @@ パスワードは長さが 8 文字に制限されていました &os; では、標準のログインパスワードは、128 文字までとなります。。 - これに対し、S/Key や OPIE + これに対し、OPIE では秘密のパスフレーズを好きなだけ長くすることができます (訳注: 実装上、key コマンドなどの バッファ長で制限されてしまう可能性があります。200 文字程度に押 えておいた方がよいでしょう :-)。 6 語から 7 語からなるパスフレーズがふつうです。ほとんどの部分で、 - S/Key や OPIE システムは Unix + OPIE システムは &unix; のパスワードシステムと完全に独立して動作するようになっています。 - パスフレーズに加え、S/Key や OPIE + パスフレーズに加え、OPIE システムにとって重要な 2 種類のデータがあります。一つは シード (seed: 種) または キー (key: 鍵) と呼ばれるもので、2 つの文字と 5 つの数字で構成されます。もう一つは シーケンス番号 (iteration - count) で、1 から 100 までの整数です。S/Key はここまで + count) で、1 から 100 までの整数です。OPIE はここまで に述べたデータを利用してワンタイムパスワードを生成します。その方 法は、まずシードと秘密のパスフレーズを連結し、それに対してシーケ - ンス番号の回数だけ MD4/MD5 ハッシュを繰り返し計算します。 + ンス番号の回数だけ MD5 ハッシュを繰り返し計算します。 そしてその結果を 6 つの短い英単語に変換します。 認証システム (一次的には PAM) は、前回最後に受け付けたワンタイムパスワードを記録しています。 @@ -1243,40 +1230,35 @@ る複数のワンタイムパスワードを生成することは不可能です。シーケ ンス番号はログインが成功するたびに一つずつ減らされて、ユーザとロ グインプログラムの間で同期が取られます。シーケンス番号が 1 まで - 減ったら、S/Key や OPIE を再度初期化する必要があります。 + 減ったら、OPIE を再度初期化する必要があります。 次に、それぞれのシステムで関連する - 3 つのプログラムについて説明します。 - keyopiekey - プログラムは、シーケンス番号と、シードと、 + いくつかのプログラムについて説明します。 + opiekey プログラムは、シーケンス番号と、シードと、 秘密のパスフレーズを受け付けて、ワンタイムパスワード 1 つ、 または一連のワンタイムパスワードの一覧を生成します。 - keyinitopiepasswd - プログラムは、それぞれ S/Key と OPIE + opiepasswd + プログラムは、OPIE を初期化するのに使用され、また秘密のパスフレーズ、 シーケンス番号やシードを変更するためにも使用されます。 - それぞれのプログラムを実行するには、秘密のパスフレーズか、 + このプログラムを実行するには、秘密のパスフレーズか、 または、シーケンス番号とシードとワンタイムパスワードの 1 組かの、どちらかを与えます。 - keyinfoopieinfo プログラムは、 - それぞれに対応する認証ファイル (/etc/skeykeys - または /etc/opiekeys) - を調べて、プログラムを起動したユーザの現在のシーケンス番号とシードを表示します。 + opieinfo プログラムは、 + 認証ファイル (/etc/opiekeys) を調べて、 + プログラムを起動したユーザの現在のシーケンス番号とシードを表示します。 この文書では、4 種類の異なる操作について説明します。 - 1 つ目は、keyinit または + 1 つ目は、 opiepasswd を信頼できる通信路上で利用して、 最初にワンタイムパスワードを設定したり、 秘密のパスフレーズやシードを変更する操作です。 - 2 つ目は、同じことを行うために keyinit - または opiepasswd - を信頼できない通信路上で利用する操作です。 - この場合は信頼できる通信路経由の - key または opiekey - を併用します。3 つ目は、key または - opiekey + 2 つ目は、同じことを行うために + opiepasswd を信頼できない通信路上で利用する操作です。 + この場合は信頼できる通信路経由の opiekey + を併用します。3 つ目は、opiekey を使い、信頼できない通信路を通じてログインする操作です。 - 4 番目は、key または opiekey + 4 番目は、opiekey を使って複数のワンタイムパスワードを一気に生成する操作です。 ここで生成した複数のワンタイムパスワードは、 メモしたり印刷したりして携帯し、 @@ -1288,32 +1270,9 @@ 信頼できる通信路での初期化 - 信頼できる通信路 (たとえばあるマシンのコンソール画面や、 - ssh - を使っている時など) を利用しているときに、S/Key を初めて初期化 - すること、S/Key の秘密のパスフレーズを変更すること、またはシー - ドを変更すること、をおこなうことができます。そのためには、まず - あなた自身がログインし、keyinit コマンドを - 以下のようにパラメータなしで実行します。 + OPIE を初めて初期化するには、opiepasswd + コマンドを実行してください。 - &prompt.user; keyinit -Adding unfurl: -Reminder - Only use this method if you are directly connected. -If you are using telnet or rlogin exit with no password and use keyinit -s. - ) `keyinit' コマンドが出力する注意です。訳すと、 - ) 注意 - この動作モードはマシンに直接入力しているときのみ利用 - ) すること。もし今 telnet や rlogin を使っているなら、秘密のパ - ) スフレーズを入力せずにこのままコマンドを終了し、かわりに - ) keyinit -s を実行すること。 -Enter secret password: -Again secret password: - -ID unfurl s/key is 99 to17757 -DEFY CLUB PRO NASH LACE SOFT - - OPIE では opiepasswd - が代わりに使われます。 - &prompt.user; opiepasswd -c [grimreaper] ~ $ opiepasswd -f -c Adding unfurl: @@ -1356,35 +1315,19 @@ MOS MALL GOAT ARM AVID COED 信頼できない通信路での初期化 信頼できない通信路を使って秘密のパスフレーズを初期化または変更するためには、 - それとは別に key または opiekey + それとは別に opiekey プログラムを実行するための信頼できる通信路を用意しておく必要があります。 - たとえばそれは、あなたが信頼できる &macintosh; - のデスクアクセサリや信頼できるマシンのシェルプロンプトだったり - するでしょう。(訳注: ここでの通信路とはマシンそのものになりま + たとえばそれは、 + 信頼できるマシンのシェルプロンプトだったりするでしょう。 + (訳注: ここでの通信路とはマシンそのものになりま す。信頼できるマシンとは、信頼できる人がしっかり管理しているマ シンということです)。他に準備しておくものとして、シーケンス番 号 (100 は適切な値といえるでしょう) と、場合によっては自分で考 えた、またはランダムに生成されたシードがあります。(あなたが S/Key を初期化しようとしているマシンへの) 信頼できない通信路を - 使うときには、keyinit -s コマンドを以下のよ - うに使用します。 + 使うときには、opiepasswd + コマンドを以下のように使用します。 - &prompt.user; keyinit -s -Updating unfurl: -Old key: to17758 -Reminder you need the 6 English words from the key command. - ) `keyinit' コマンドが出力する注意です。訳すと、 - ) 注意 - skey コマンドの出力する 6 英単語が必要になります。 -Enter sequence count from 1 to 9999: 100 -Enter new key [default to17759]: -s/key 100 to 17759 -s/key access password: -s/key access password:CURE MIKE BANE HIM RACY GORE - - - OPIE では、opiepasswd - を使います。 - &prompt.user; opiepasswd Updating unfurl: @@ -1402,22 +1345,11 @@ ID mark OTP key is 499 gr4269 LINE PAP MILK NELL BUOY TROY - デフォルトのシード (keyinit プログラム - は困ったことにこれを key - と呼んでいるのですが、混乱しないよう注意してください) - で構わなければ、Return + デフォルトのシードで構わなければ、Return を押してください。次に、アクセスパスワードを入れる前に、あらか - じめ用意しておいた信頼できる通信路(信頼できるマシンや信頼でき - る S/Key デスクアクセサリなど) へ移って、先ほどと同じパラメータ - を入力します。 + じめ用意しておいた信頼できる通信路へ移って、 + 先ほどと同じパラメータを入力します。 - &prompt.user; key 100 to17759 -Reminder - Do not use this program while logged in via telnet or rlogin. -Enter secret password: <秘密のパスフレーズ> -CURE MIKE BANE HIM RACY GORE - - OPIE では、 - &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. @@ -1432,7 +1364,7 @@ GAME GAG WELT OUT DOWN CHAT ワンタイムパスワードを一つ生成する - S/Key または OPIE を初期化したら、 + OPIE を初期化したら、 ログイン時には以下のようなプロンプトが出てくるでしょう。 &prompt.user; telnet example.com @@ -1443,23 +1375,10 @@ Escape character is '^]'. FreeBSD/i386 (example.com) (ttypa) login: <ユーザ名> -s/key 97 fw13894 -Password: - - OPIE については、 - -&prompt.user; telnet example.com -Trying 10.0.0.1... -Connected to example.com -Escape character is '^]'. - -FreeBSD/i386 (example.com) (ttypa) - -login: <username> otp-md5 498 gr4269 ext Password: - ここでは表示していませんが、S/Key と OPIE + ここでは表示していませんが、OPIE のプロンプトには便利な機能が備わっています。 パスワードプロンプトに対して、何も入力せずに Return を押すとエコーモードに切り替わります。 @@ -1473,7 +1392,7 @@ Password: 次に、 このログインプロンプトに対して入力するワンタイムパスワードを生成しなければなりません。 - これは、key または opiekey + これは、opiekey プログラムを使える信頼できるマシン上で行わなければなりません。 (これらのプログラムには DOS や &windows;, &macos; 版があります)。 どちらも、コマンドラインからシーケンス番号とシードを指定しなければなりません。 @@ -1481,13 +1400,6 @@ Password: 信頼できるシステムで - &prompt.user; key 97 fw13894 -Reminder - Do not use this program while logged in via telnet or rlogin. -Enter secret password: -WELD LIP ACTS ENDS ME HAAG - - OPIE では - &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. @@ -1496,14 +1408,6 @@ GAME GAG WELT OUT DOWN CHAT ここでワンタイムパスワードが得られました。 ログインを続けましょう。 - - login: <username> -s/key 97 fw13894 -Password: <return to enable echo> -s/key 97 fw13894 -Password [echo on]: WELD LIP ACTS ENDS ME HAAG -Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ... - @@ -1512,22 +1416,10 @@ Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ...都合によっては、 信頼できるマシンや信頼できる通信路が一切確保できないようなところで S/Key を使う必要があるでしょう。 - このような場合には、key および - opiekey + このような場合には、opiekey コマンドを使って複数のワンタイムパスワードをあらかじめ一気に生成し、 紙に印刷して携帯していくことができます。たとえば - &prompt.user; key -n 5 30 zz99999 -Reminder - Do not use this program while logged in via telnet or rlogin. -Enter secret password: <秘密のパスフレーズ> -26: SODA RUDE LEA LIND BUDD SILT -27: JILT SPY DUTY GLOW COWL ROT -28: THEM OW COLA RUNT BONG SCOT -29: COT MASH BARR BRIM NAN FLAG -30: CAN KNEE CAST NAME FOLK BILK - - OPIE の場合には以下のようになります。 - &prompt.user; opiekey -n 5 30 zz99999 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. @@ -1555,66 +1447,10 @@ Enter secret pass phrase: <secret passwo &unix; パスワードの利用を制限する - S/Key は、ログインを受け付ける際のホスト名、ユーザ名、 - 端末のポート、IP アドレスなどを利用して、 - &unix; パスワードの利用を制限することができます。 - 設定ファイル /etc/skey.access に、 - 制限が記載されています。 - この設定ファイルの詳細に関してはマニュアル &man.skey.access.5; - をご覧ください。 - マニュアルにはこの機能に関わるセキュリティについて、 - いくつかの警告が記述してあります。 - この機能を使ってセキュリティを高めようとするのならば、 - 絶対にこのマニュアルを読んでください。 - - もし /etc/skey.access - ファイルが存在しないならば (&os; 4.X - のデフォルト状態ではそうです)、すべてのユーザが &unix; - パスワードを利用することができます。 - 逆に、もしファイルが存在するならば、 - skey.access - ファイルに明示的に記述されていない限り、すべてのユーザは S/Key - の利用を要求されます。どちらの場合においても、 - そのマシンのコンソールからはいつでも &unix; - パスワードを使ってログインすることが可能です。 - - 以下によく使われるであろう三種類の設定を含む設定ファイル - skey.access の例を示します。 - - permit internet 192.168.0.0 255.255.0.0 -permit user fnord -permit port ttyd0 - - はじめの行 (permit internet) で、telnet - などで接続するときの IP のソースアドレス (注意: これは偽造され - るおそれがあります) が特定の値とマスクに一致している場合に、 - &unix; パスワードの利用を許可することを指定しています。 - この設定自体はセキュリティを高めるための機能ではありません。そうでは - なく、ログインの権利を持つ許可されたユーザに対して、現在そのユー - ザが使っているネットワークが信頼できないと考えられるので S/Key - を使うべきである、ということを気づかせるための機能であると考え - てください。 - - 二行目 (permit user) - によって、ある特定のユーザ、この場合は - fnord、に対して、 - いつでも &unix; - パスワードの利用を許可するように指定しています。 - 一般的にはこの設定をおこなうべきではありません。 - key プログラムがどうしても使えない環境にい - る人や、ダム端末しかない環境にいる人、または何度教えても聞く耳 - を持たないような人をサポートする必要がある場合にのみ設定をおこ - なってください。 - - 三行目 (permit port) によって、ある特定 - の端末ポートからログインしようとするすべてのユーザに対して - &unix; パスワードの利用を許可するように指定しています。この設定 - はダイヤルアップ回線に対する設定として利用できるでしょう。 - - OPIE は S/Key が行うような、ログインセッションの IP + OPIE は、ログインセッションの IP アドレスをベースとした &unix; パスワードの使用を制限できます。 - 関連ファイルは、/etc/opieaccess です。 - &os; 5.0 以降のシステムではデオフォルトで用意されています。 + 関連ファイルは、/etc/opieaccess で、 + デフォルトで用意されています。 このファイルの詳細や、 このファイルを使用する際に考慮すべきセキュリィについては &man.opieaccess.5; を確認してください。 @@ -2568,14 +2404,8 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 を確認してください。 kerberos5_server_enable="YES" -kadmind5_server_enable="YES" -kerberos_stash="YES" +kadmind5_server_enable="YES" - - は、 - &os; 4.X でのみ利用可能です。 - - 次に、Kerberos の設定ファイル /etc/krb5.conf を編集します。 @@ -3584,8 +3414,8 @@ Connection closed by foreign host. 実装をベースとしています。 - FreeBSD 5.X では hardware - accelerated IPsec スタックが追加されました。 + FreeBSD には hardware + accelerated IPsec スタックが含まれています。 これは、Fast IPsec として知られているもので、 OpenBSD から移植されました。 IPsec のパフォーマンスを最適化するために、(利用できる場合には) @@ -3917,44 +3747,39 @@ Network #2 [ Internal Hosts ] gif デバイスのサポートを組み入れてコンパイルする必要があります。 以下の行を加えることで設定できます。 - pseudo-device gif + device gif 両方のコンピュータのカーネルコンフィグレーションファイルに上記の行を加え、 コンパイル、インストールし、通常通り再起動してください。 トンネルの設定は 2 つのプロセスで行います。 - 最初は、&man.gifconfig.8; を使って、 + 最初は、&man.ifconfig.8; を使って、 外部 (パブリック) IP アドレスを設定するします。 その後、プライベート IP アドレスを &man.ifconfig.8; を使って設定します。 - - &os; 5.X では、 - &man.gifconfig.8; ユーティリティが提供していた機能は、 - &man.ifconfig.8; にマージされました。 - ネットワーク #1 にあるゲートウェイコンピュータで以下の 2 つのコマンドを実行してトンネルを作成します。 - gifconfig gif0 A.B.C.D W.X.Y.Z + ifconfig gif0 A.B.C.D W.X.Y.Z ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff もう片方のゲートウェイコンピュータで、 IP アドレスの順を逆にして同じコマンドを実行します。 - gifconfig gif0 W.X.Y.Z A.B.C.D + ifconfig gif0 W.X.Y.Z A.B.C.D ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff 以下を実行して、設定を確認をしてください。 - gifconfig gif0 + ifconfig gif0 たとえば、ネットワーク #1 のゲートウェイにおいては、 以下のように確認できます。 - &prompt.root; gifconfig gif0 + &prompt.root; ifconfig gif0 gif0: flags=8011<UP,POINTTOPOINT,MULTICAST> mtu 1280 inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffffff physical address inet A.B.C.D --> W.X.Y.Z @@ -4082,8 +3907,8 @@ Destination Gateway Flags Refs Use まとめ - 両方のカーネルを pseudo-device - gif で構築します。 + 両方のカーネルを device gif + で構築します。 ゲートウェイホスト #1 の /etc/rc.conf @@ -4190,14 +4015,15 @@ options IPSEC_ESP でセキュリティアソシエーションを管理するデーモンは数多くあります。 この文書では、その中の一つの racoon の使い方について説明します。 racoon は、&os; Ports Collection の - security/racoon + security/ipsec-tools からインストールできます。 racoon - racoon は、両方のゲートウェイホストで実行される必要があります。 + racoon ソフトウェアは、 + 両方のゲートウェイホストで実行される必要があります。 それぞれのホストで、もう一つの VPN の端の IP アドレスおよび (あなたが選択したもので、両方のゲートウェイで同じ必要のある) 秘密鍵で設定する必要があります。 @@ -4212,7 +4038,7 @@ options IPSEC_ESP -- 彼らがカギをクラックしたときには、 2 つのデーモンは他の鍵を選択していることでしょう。 - racoon's の設定は、 + racoon の設定は、 ${PREFIX}/etc/racoon で行われます。 ここには、設定ファイルが置かれていますが、 それほど多く変更する必要はありません。 @@ -4508,7 +4334,8 @@ options IPSEC_ESP security/racoon をインストールします。 + role="package">security/ipsec-tools + をインストールします。 両方のゲートウェイホストにおいて、 ${PREFIX}/etc/racoon/psk.txt を変更して、 リモートホストの IP @@ -4587,7 +4414,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D これは rlogin, rsh, rcp, telnet をそのまま置き換えて使えます。 - また、他のあらゆる TCP/IP 接続を + また、TCP/IP 接続を SSH 経由でセキュアにトンネル/フォワードすることもできます。 OpenSSH はすべてのトラフィックを暗号化し、 盗聴や接続の乗っ取り等のネットワークレベルの攻撃を事実上無効化します。 @@ -4595,8 +4422,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D OpenSSH は OpenBSD プロジェクトによって維持管理されており、SSH v1.2.12 に最新のすべてのバグ修正と更新を適用したものをベースにしています。 - OpenSSH クライアントは SSH プロトコル 1 と 2 の両方に互換性があります。 - OpenSSH は FreeBSD 4.0 以降ベースシステムに取り込まれています。 + OpenSSH クライアントは SSH プロトコル 1 と 2 の両方に互換性があります。 OpenSSH を使うことの利点 @@ -4616,10 +4442,11 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D 有効化 - sshd デーモンは、 - &os; 4.X および &os; 5.X においてデフォルトで有効です。 - &os; 5.X ではインストール時に無効にすることもできます。 - 有効になっているかどうかを確認するには、 + sshd は、 + &os; の Standard インストールの途中で、 + オプションとして表示されます。 + sshd + が有効になっているかどうかを確認するには、 rc.conf ファイルを確認してください。 sshd_enable="YES" @@ -4627,9 +4454,11 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D 次に起動したときから OpenSSH のデーモンプログラムである &man.sshd.8; が起動します。 - もしくはコマンドラインから単に sshd - と入力して、直接 sshd - デーモンを実行しても構いません。 + もしくは /etc/rc.d/sshd &man.rc.8; + スクリプトを使って、OpenSSH + を起動することもできます。 + + /etc/rc.d/sshd start @@ -5241,11 +5070,11 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_ アカウントに送られます。 この時点では、設定は必要ありません。 - インストールが終わったら、管理者は以下のコマンドを実行して、 - /var/db/portaudit - にローカルで保存されているデータベースをアップデートする必要があります。 + インストールが終わったら、管理者は以下のコマンドを実行することで、 + データベースをアップデートし、インストールされている + package の脆弱性を調べることができます。 - &prompt.root; portaudit -F + &prompt.root; portaudit -Fda データベースは、 @@ -5255,12 +5084,13 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_ Ports Collection - からインストールされたサードパーティ製ユーティリティを監査するためには、 + からインストールされたサードパーティ製ユーティリティを監査するには、 管理者は以下のコマンドだけを実行する必要があります。 &prompt.root; portaudit -a - 以下は出力の例です。 + Portaudit は、脆弱性のある package + について以下のような出力を行います。 Affected package: cups-base-1.1.22.0_1 Type of problem: cups-base -- HPGL buffer overflow vulnerability. @@ -5335,7 +5165,7 @@ Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39) -&os; only: NO +CVE Name: CVE-XXXX-XXXX For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the @@ -5429,10 +5259,9 @@ VII. References タイムゾーン、およびリリースが示されます。 - - &os; only フィールドは、 - この脆弱性が、&os; にのみ影響するか、もしくは、 - 他のオペレーティングシステムにも同様に影響するかどうかを示します。 + + 共通の脆弱性データベースシステムにおいて、 + 脆弱性を探すために使用できる識別情報を示します。