From owner-svn-doc-all@freebsd.org  Mon Oct  9 02:09:44 2017
Return-Path: <owner-svn-doc-all@freebsd.org>
Delivered-To: svn-doc-all@mailman.ysv.freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org
 [IPv6:2001:1900:2254:206a::19:1])
 by mailman.ysv.freebsd.org (Postfix) with ESMTP id C4376E457F2;
 Mon,  9 Oct 2017 02:09:44 +0000 (UTC)
 (envelope-from ryusuke@FreeBSD.org)
Received: from repo.freebsd.org (repo.freebsd.org
 [IPv6:2610:1c1:1:6068::e6a:0])
 (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (Client did not present a certificate)
 by mx1.freebsd.org (Postfix) with ESMTPS id 5832E6C313;
 Mon,  9 Oct 2017 02:09:44 +0000 (UTC)
 (envelope-from ryusuke@FreeBSD.org)
Received: from repo.freebsd.org ([127.0.1.37])
 by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id v9929h4Y006533;
 Mon, 9 Oct 2017 02:09:43 GMT (envelope-from ryusuke@FreeBSD.org)
Received: (from ryusuke@localhost)
 by repo.freebsd.org (8.15.2/8.15.2/Submit) id v9929hSb006532;
 Mon, 9 Oct 2017 02:09:43 GMT (envelope-from ryusuke@FreeBSD.org)
Message-Id: <201710090209.v9929hSb006532@repo.freebsd.org>
X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to
 ryusuke@FreeBSD.org using -f
From: Ryusuke SUZUKI <ryusuke@FreeBSD.org>
Date: Mon, 9 Oct 2017 02:09:43 +0000 (UTC)
To: doc-committers@freebsd.org, svn-doc-all@freebsd.org,
 svn-doc-head@freebsd.org
Subject: svn commit: r51084 - head/ja_JP.eucJP/books/handbook/security
X-SVN-Group: doc-head
X-SVN-Commit-Author: ryusuke
X-SVN-Commit-Paths: head/ja_JP.eucJP/books/handbook/security
X-SVN-Commit-Revision: 51084
X-SVN-Commit-Repository: doc
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-BeenThere: svn-doc-all@freebsd.org
X-Mailman-Version: 2.1.23
Precedence: list
List-Id: "SVN commit messages for the entire doc trees \(except for &quot;
 user&quot; , &quot; projects&quot; , and &quot; translations&quot;
 \)" <svn-doc-all.freebsd.org>
List-Unsubscribe: <https://lists.freebsd.org/mailman/options/svn-doc-all>,
 <mailto:svn-doc-all-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/svn-doc-all/>
List-Post: <mailto:svn-doc-all@freebsd.org>
List-Help: <mailto:svn-doc-all-request@freebsd.org?subject=help>
List-Subscribe: <https://lists.freebsd.org/mailman/listinfo/svn-doc-all>,
 <mailto:svn-doc-all-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Mon, 09 Oct 2017 02:09:45 -0000

Author: ryusuke
Date: Mon Oct  9 02:09:43 2017
New Revision: 51084
URL: https://svnweb.freebsd.org/changeset/doc/51084

Log:
  - Merge the following from the English version:
  
  	r28158 -> r29000	head/ja_JP.eucJP/books/handbook/security/chapter.xml

Modified:
  head/ja_JP.eucJP/books/handbook/security/chapter.xml

Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml
==============================================================================
--- head/ja_JP.eucJP/books/handbook/security/chapter.xml	Sun Oct  8 12:38:21 2017	(r51083)
+++ head/ja_JP.eucJP/books/handbook/security/chapter.xml	Mon Oct  9 02:09:43 2017	(r51084)
@@ -3,7 +3,7 @@
      The FreeBSD Documentation Project
      The FreeBSD Japanese Documentation Project
 
-     Original revision: r28158
+     Original revision: r29000
      $FreeBSD$
 -->
 <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
@@ -131,26 +131,6 @@
       さらにコンピュータが相互に接続されたネットワークを形成するようになった今日、
       セキュリティは一層大きな関心事になってきています。</para>
 
-    <para>セキュリティを実装するには、
-      タマネギのように階層化する手法
-      (a layered <quote>onion</quote> approach)
-      が最適です。
-      どうすれば良いのか簡単に説明すると、
-      便利な機能と同じ数だけセキュリティの階層を作り、
-      システムへの侵入を注意深く監視するのです。
-      あなたはセキュリティを過度に厳重にしたり、
-      侵入の監視に時間をとられたいとは思わないでしょう。
-      この侵入の発見という部分は、
-      あらゆるセキュリティ機構において最も重要な部分の一つなのです。
-      たとえば、システムの各バイナリに
-      <literal>schg</literal> フラグ (&man.chflags.1; 参照)
-      を設定するのは、大して意味がありません。
-      フラグを設定すると一時的にバイナリが保護され、
-      侵入してきた攻撃者によってシステムに加えられる変更のうち、
-      容易に検出可能な変更は行なえなくなります。
-      しかしその結果として、セキュリティ機構がその侵入者を検出することも
-      まったくできなくなってしまうでしょう。</para>
-
     <para>また、システムセキュリティには、
       さまざまな形での攻撃に対処することとも関係しています。
       攻撃の中には <systemitem class="username">root</systemitem>
@@ -1950,7 +1930,7 @@ Edit O.K.
 	すべてのインスタンスを展開します。
 	これには <command>ext_srvtab</command> というコマンドを使用します。
 	このコマンドで作成されるファイルは、Kerberos
-	の各クライアントの <filename>/etc/kerberosIV</filename>
+	の各クライアントの <filename>/etc</filename>
 	ディレクトリに<emphasis>安全な方法で</emphasis>
 	コピーまたは移動する必要があります。
 	このファイルはそれぞれのサーバとクライアントに存在しなければならず、
@@ -1979,7 +1959,7 @@ Generating 'grunt-new-srvtab'....</screen>
 	を移動
 	可能なメディアにコピーして物理的に安全な方法で運んでください。
 	クラ
-	イアントの<filename>/etc/kerberosIV</filename>ディレクトリで、
+	イアントの<filename>/etc</filename>ディレクトリで、
 	名前を <filename>srvtab</filename>に変更し、
 	modeを600にするのを忘れないでください。</para>
 
@@ -2514,16 +2494,19 @@ Verifying password - Password: <userinput>xxxxxxxx</us
 	プリンシパルのチケットを入手したり、
 	一覧を表示することができることを確認してください。</para>
 
-      <screen>&prompt.user; <userinput>k5init <replaceable>tillman</replaceable></userinput>
+      <screen>&prompt.user; <userinput>kinit <replaceable>tillman</replaceable></userinput>
 tillman@EXAMPLE.ORG's Password:
 
-&prompt.user; <userinput>k5list</userinput>
+&prompt.user; <userinput>klist</userinput>
 Credentials cache: FILE:<filename>/tmp/krb5cc_500</filename>
 	Principal: tillman@EXAMPLE.ORG
 
   Issued           Expires          Principal
 Aug 27 15:37:58  Aug 28 01:37:58  krbtgt/EXAMPLE.ORG@EXAMPLE.ORG</screen>
 
+	<para>必要がなくなった時には、チケットを破棄できます。</para>
+
+	<screen>&prompt.user; <userinput>k5destroy</userinput></screen>
       </sect2>
 
       <sect2>
@@ -2689,19 +2672,6 @@ kadmin><userinput> exit</userinput></screen>
 	  (<command>ssh</command> のように)
 	  すべてのデータストリームが暗号化されます。</para>
 
-	<para><application>Kerberos</application>
-	  のコアのクライアントアプリケーション
-	  (伝統的に、<command>kinit</command>,
-	  <command>klist</command>, <command>kdestroy</command> および
-	  <command>kpasswd</command> という名前です) は、&os;
-	  のベースにインストールされています。
-	  5.0 以前の &os; では、
-	  <command>k5init</command>,
-	  <command>k5list</command>, <command>k5destroy</command>,
-	  <command>k5passwd</command> および <command>k5stash</command>
-	  と言う名前でインストールされています。
-	  これらは通常一度しか用いられません。</para>
-
 	<para>デフォルトでは、Heimdal インストールの
 	  <quote>最小</quote> と考えられる、コア以外の
 	  <application>Kerberos</application> 
@@ -2975,6 +2945,19 @@ jdoe@example.org</screen>
 	  フォワードされたクレデンシャリングの所有権を適切に変更できるように、
 	  <command>login.krb5</command>
 	  バイナリが認証に使われる必要があります。</para></note>
+
+	<para><filename>rc.conf</filename>
+	  を以下の設定を含むように変更する必要があります。</para>
+
+	<programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
+kadmind5_server="/usr/local/sbin/kadmind"
+kerberos5_server_enable="YES"
+kadmind5_server_enable="YES"</programlisting>
+
+	<para>これを行うのは、
+	  <acronym>MIT</acronym> kerberos のアプリケーションは、
+	  <filename role="directory">/usr/local</filename>
+	  構造の下にインストールされるためです。</para>
       </sect2>
 
       <sect2>
@@ -3441,6 +3424,17 @@ options	  FAST_IPSEC  # new IPsec (cannot define w/ IP
 	  を参照してください。</para>
       </note>
 
+      <note>
+	<para>ファイアウォールが適切に &man.gif.4;
+	  も追跡できるようにするには、
+	  カーネルコンフィグレーションにおいて、
+	  <option>IPSEC_FILTERGIF</option> を有効にする必要があります。</para>
+
+	<screen>
+options   IPSEC_FILTERGIF  #filter ipsec packets from a tunnel
+	</screen>
+      </note>
+
       <indexterm>
 	<primary>IPsec</primary>
 	<secondary>ESP</secondary>
@@ -3758,20 +3752,22 @@ Network #2            [ Internal Hosts ]
 	その後、プライベート IP アドレスを
 	&man.ifconfig.8; を使って設定します。</para>
 
-      <para>ネットワーク #1 にあるゲートウェイコンピュータで以下の
-        2 つのコマンドを実行してトンネルを作成します。</para>
+      <para>ネットワーク #1
+	にあるゲートウェイコンピュータで以下のコマンドを実行してトンネルを作成します。</para>
  
-      <programlisting>ifconfig gif0 A.B.C.D W.X.Y.Z
-ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff
-      </programlisting>
+      <screen>&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> create</userinput>
+&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> tunnel <replaceable>A.B.C.D</replaceable> <replaceable>W.X.Y.Z</replaceable></userinput>
+&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> inet <replaceable>192.168.1.1</replaceable> <replaceable>192.168.2.1</replaceable> netmask <replaceable>0xffffffff</replaceable></userinput>
+      </screen>
 
       <para>もう片方のゲートウェイコンピュータで、
         IP アドレスの順を逆にして同じコマンドを実行します。</para>
- 
-      <programlisting>ifconfig gif0 W.X.Y.Z A.B.C.D
-ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff
-      </programlisting>
 
+      <screen>&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> create</userinput>
+&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> tunnel <replaceable>W.X.Y.Z</replaceable> <replaceable>A.B.C.D</replaceable></userinput>
+&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> inet <replaceable>192.168.2.1</replaceable> <replaceable>192.168.1.1</replaceable> netmask <replaceable>0xffffffff</replaceable></userinput>
+      </screen>
+
       <para>以下を実行して、設定を確認をしてください。</para>
  
       <programlisting>ifconfig gif0</programlisting>
@@ -3780,9 +3776,9 @@ ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xf
         以下のように確認できます。</para>
  
       <screen>&prompt.root; <userinput>ifconfig gif0</userinput>
-gif0: flags=8011&lt;UP,POINTTOPOINT,MULTICAST&gt; mtu 1280
-inet 192.168.1.1 --&gt; 192.168.2.1 netmask 0xffffffff
-physical address inet A.B.C.D --&gt; W.X.Y.Z
+gif0: flags=8051&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt; mtu 1280
+        tunnel inet A.B.C.D --&gt; W.X.Y.Z
+        inet 192.168.1.1 --&gt; 192.168.2.1 netmask 0xffffffff
       </screen>
 
       <para>出力からわかるように、
@@ -3914,7 +3910,8 @@ Destination      Gateway       Flags    Refs    Use   
           <para>ゲートウェイホスト #1 の <filename>/etc/rc.conf</filename>
 	    を編集して、以下の行を (必要に応じて IP アドレスを変更して)
 	    追加します。</para>
-          <programlisting>gifconfig_gif0="A.B.C.D W.X.Y.Z"
+          <programlisting>gif_interfaces="gif0"
+gifconfig_gif0="A.B.C.D W.X.Y.Z"
 ifconfig_gif0="inet 192.168.1.1 192.168.2.1 netmask 0xffffffff"
 static_routes="vpn"
 route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00"