Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 Directory Server での LDAP
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 ソフトウエア管理
    3. 12 ファイルの管理
    4. 13 パーティションやファイルの暗号化
    5. 14 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 15 ユーザ管理
    7. 16 cronat の制限
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
    6. 28 sysctl 変数によるネットワークセキュリティの改善
    7. 29 FIPS 140-2 の有効化
  7. IV AppArmor による権限の制限
    1. 30 AppArmor の紹介
    2. 31 入門
    3. 32 プログラムに対する予防接種
    4. 33 プロファイルのコンポーネントと文法
    5. 34 AppArmor のプロファイルリポジトリ
    6. 35 YaST を利用したプロファイルの構築と管理
    7. 36 コマンドラインからのプロファイル構築
    8. 37 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 38 pam_apparmor によるユーザの制限
    10. 39 プロファイルを作成したアプリケーションの管理
    11. 40 サポート
    12. 41 AppArmor 用語集
  8. V SELinux
    1. 42 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 43 Linux 監査システムの概要
    2. 44 Linux 監査フレームワークの設定
    3. 45 監査ルールセットの紹介
    4. 46 その他の情報源
  10. A GNU ライセンス
ナビゲーション
openSUSE Leap 15.4

セキュリティ強化ガイド

システムセキュリティに関する基本的なコンセプトを説明しています。 ローカル環境でのセキュリティのほか、ネットワーク環境下におけるセキュリティについても 記述しています。また、 AppArmor や SELinux のようなセキュリティソフトウエアに関する説明や、 セキュリティ関連のイベントを収集することのできる監査システムについても 説明しているほか、 SUSE Linux Enterprise Server や他のプロセスをさらに強固にするため、管理者が取るべき インストール時や設定時のセキュリティ指針や判断も説明しています。

発行日: 2021/12/01
前書き
利用可能なドキュメンテーション
ドキュメンテーションの改善
文書規約
1 セキュリティと機密保持
1.1 概要
1.2 パスワード
1.3 バックアップ
1.4 システムの完全性保護
1.5 ファイルへのアクセス権
1.6 ネットワーク
1.7 ソフトウエアの脆弱性
1.8 マルウエア
1.9 主なセキュリティヒント
1.10 セキュリティ問題の報告
2 コモンクライテリア (Common Criteria)
2.1 概要
2.2 評価保証レベル (Evaluation Assurance Level (EAL))
2.3 一般的な原則
2.4 さらなる情報
I 認証
3 PAM を利用した認証
3.1 PAM とは?
3.2 PAM 設定ファイルの構造
3.3 sshd の PAM 設定
3.4 PAM モジュールの設定
3.5 pam-config を利用した PAM の設定
3.6 PAM の手動設定
3.7 さらなる情報
4 NIS の使用
4.1 NIS サーバの設定
4.2 NIS クライアントの設定
5 YaST を利用した認証クライアントの設定
5.1 YaST を利用した認証クライアントの設定
5.2 SSSD
6 389 Directory Server での LDAP
6.1 LDAP のディレクトリツリー構造
6.2 389 Directory Server のインストール
6.3 ファイアウオールの設定
6.4 389 Directory Server でのバックアップと復元
6.5 LDAP でのユーザとグループの管理
6.6 認証管理のための SSSD の使用
6.7 モジュールの管理
6.8 OpenLDAP から 389 Directory Server への移行
6.9 TLS 証明書と鍵の取り込み
6.10 レプリケーションの設定
6.11 さらなる情報
7 Kerberos を利用したネットワーク認証
7.1 考え方の概要
7.2 Kerberos で使用する用語
7.3 Kerberos の動作概要
7.4 Kerberos のユーザ側からの見た目
7.5 Kerberos のインストールと管理
7.6 Kerberos と NFS
7.7 さらなる情報
8 Active Directory サポート
8.1 Linux と Active Directory 環境の統合
8.2 Linux Active Directory サポートに対する背景情報
8.3 Active Directory 向けの Linux クライアントの設定
8.4 Active Directory ドメインへのログイン
8.5 パスワードの変更
9 FreeRADIUS サーバの構築
9.1 SUSE Linux Enterprise でのインストールとテスト
II ローカルセキュリティ
10 物理的なセキュリティ
10.1 システムの施錠
10.2 BIOS のロックダウン
10.3 ブートローダでのセキュリティ
10.4 機密データを含む Linux サーバの廃棄
10.5 リムーバブルメディアへのアクセス制限
11 ソフトウエア管理
11.1 不要なソフトウエアパッケージ (RPM) の削除
11.2 Linux システムへの修正の適用
12 ファイルの管理
12.1 ディスクのパーティション
12.2 特定のシステムファイルに対するパーミッションの変更
12.3 ホームディレクトリに対する 755 から 700 へのパーミッション変更
12.4 既定の umask
12.5 SUID/SGID フラグの付いたファイル
12.6 全てのユーザが書き込むことのできるファイル
12.7 孤立したファイル/所有者のいないファイル
13 パーティションやファイルの暗号化
13.1 YaST を利用した暗号化ファイルシステムの設定
13.2 GPG を利用したファイルの暗号化
14 cryptctl を利用したアプリケーション向けのストレージ暗号化
14.1 cryptctl サーバの設定
14.2 cryptctl クライアントの設定
14.3 サーバ側のコマンドでパーティションの解読状態を確認する方法
14.4 手作業での暗号化パーティションの解読
14.5 メンテナンス時の停止手順
14.6 さらなる情報
15 ユーザ管理
15.1 様々なアカウントのチェック
15.2 パスワードの有効期限の設定
15.3 複雑なパスワードの強制
15.4 PAM を利用したパスワードとログインの管理
15.5 root ログインの制限
15.6 sudo を利用できるユーザの制限
15.7 対話型シェルセッションに対する無操作タイムアウトの設定
15.8 不用意なサービス拒否攻撃の防止
15.9 ログインバナーの表示
15.10 各種のアカウント関連ユーティリティ
16 cronat の制限
16.1 cron デーモンの制限
16.2 at スケジューラの制限
17 Spectre/Meltdown チェッカー
17.1 spectre-meltdown-checker の使用
17.2 さらなる情報
18 YaST を利用したセキュリティの設定
18.1 セキュリティの概要
18.2 事前定義済みのセキュリティ設定
18.3 パスワード設定
18.4 起動設定
18.5 ログイン設定
18.6 ユーザ追加
18.7 その他の設定
19 PolKit による認可制御
19.1 考え方の概要
19.2 認可の種類
19.3 権限の問い合わせ
19.4 設定ファイルの修正
19.5 既定の権限の復元
20 Linux でのアクセス制御リスト
20.1 従来型のファイルアクセス権
20.2 ACL の利点
20.3 定義
20.4 ACL の処理
20.5 アプリケーション内での ACL サポート
20.6 さらなる情報
21 証明書ストア
21.1 証明書ストアの有効化
21.2 証明書の取り込み
22 AIDE を利用した侵入検知
22.1 AIDE を使用する理由
22.2 AIDE データベースの設定
22.3 ローカルの AIDE チェック
22.4 システムから独立したチェック
22.5 さらなる情報
III ネットワークセキュリティ
23 X Window System と X 認証
24 SSH: 機密を保持するネットワーク操作
24.1 ssh - Secure SHell
24.2 scp - 機密を確保したファイルのコピー
24.3 sftp - 機密を保持したファイルの転送
24.4 SSH デーモン ( sshd )
24.5 SSH 認証の仕組み
24.6 SSH ログインの制限
24.7 ポート転送
24.8 インストール済みのシステムにおける公開鍵の追加と削除
24.9 さらなる情報
25 マスカレードとファイアウオール
25.1 iptables によるパケットフィルタリング
25.2 基本的なマスカレード処理
25.3 基本的なファイアウオール処理
25.4 firewalld
25.5 SuSEfirewall2 からの移行
25.6 さらなる情報
26 VPN サーバの設定
26.1 考え方の概要
26.2 シンプルな構成の構築例
26.3 証明機関を利用した VPN サーバの構築
26.4 YaST を利用した VPN サーバおよびクライアントの設定
26.5 さらなる情報
27 X Window System で動作する PKI マネージャ XCA による管理
27.1 XCA のインストール
27.2 新しい PKI の作成
28 sysctl 変数によるネットワークセキュリティの改善
29 FIPS 140-2 の有効化
29.1 FIPS の有効化
IV AppArmor による権限の制限
30 AppArmor の紹介
30.1 AppArmor のコンポーネント
30.2 AppArmor プロファイリングに関する背景となる情報
31 入門
31.1 AppArmor のインストール
31.2 AppArmor の有効化/無効化
31.3 プロファイルを作成するアプリケーションの選択
31.4 プロファイルの作成と修正
31.5 プロファイルの更新
32 プログラムに対する予防接種
32.1 AppArmor フレームワークの紹介
32.2 予防接種を行うプログラムの決定
32.3 cron ジョブへの予防接種
32.4 ネットワークアプリケーションへの予防接種
33 プロファイルのコンポーネントと文法
33.1 AppArmor プロファイル内の各部の意味
33.2 プロファイルの種類
33.3 include ステートメント
33.4 ケーパビリティ項目 (POSIX.1e)
33.5 ネットワークアクセス制御
33.6 プロファイル名/フラグ/パス/グロブ
33.7 ファイルアクセス許可のアクセスモード
33.8 マウントルール
33.9 ピボットルートルール
33.10 PTrace ルール
33.11 シグナルルール
33.12 実行モード
33.13 リソース制限制御
33.14 監査ルール
34 AppArmor のプロファイルリポジトリ
35 YaST を利用したプロファイルの構築と管理
35.1 プロファイルの手動追加
35.2 プロファイルの編集
35.3 プロファイルの削除
35.4 AppArmor の管理
36 コマンドラインからのプロファイル構築
36.1 AppArmor の状態確認
36.2 AppArmor プロファイルの構築
36.3 AppArmor プロファイルの追加と作成
36.4 AppArmor プロファイルの編集
36.5 未知の AppArmor プロファイルの読み込み解除
36.6 AppArmor プロファイルの削除
36.7 2 種類のプロファイル作成方法
36.8 主なファイル名とディレクトリ
37 チェンジハット機能による Web アプリケーションのプロファイル作成
37.1 mod_apparmor を利用するための Apache の設定
37.2 チェンジハット対応のアプリケーションの管理
38 pam_apparmor によるユーザの制限
39 プロファイルを作成したアプリケーションの管理
39.1 アクセス拒否イベントへの対応
39.2 セキュリティプロファイルの管理
40 サポート
40.1 AppArmor のオンライン更新
40.2 マニュアルページの使用
40.3 さらなる情報
40.4 トラブルシューティング
40.5 AppArmor のバグ報告
41 AppArmor 用語集
V SELinux
42 SELinux の設定
42.1 なぜ SELinux を使用するのか
42.2 SELinux ポリシーの概要
42.3 SELinux パッケージのインストール
42.4 SELinux ポリシーのインストール
42.5 GRUB 2 ブートローダの修正
42.6 SELinux の設定
42.7 SELinux の管理
42.8 トラブルシューティング
VI Linux 監査フレームワーク
43 Linux 監査システムの概要
43.1 Linux 監査システムのコンポーネント紹介
43.2 監査デーモンの設定
43.3 auditctl による監査システムの制御
43.4 監査システムに対するパラメータ指定
43.5 監査ログの仕組みとレポートの生成
43.6 ausearch による監査デーモンログへの問い合わせ
43.7 autrace によるプロセスの解析
43.8 監査データの可視化
43.9 監査イベント通知の中継
44 Linux 監査フレームワークの設定
44.1 監査対象のコンポーネントの決定
44.2 監査デーモンの設定
44.3 システムコールに対する監査の有効化
44.4 監査ルールの設定
44.5 監査レポートの設定
44.6 ログの可視化の設定
45 監査ルールセットの紹介
45.1 基本的な監査設定パラメータの追加
45.2 監査ログファイルと設定ファイルに対する監視の追加
45.3 ファイルシステムオブジェクトの監視
45.4 セキュリティ設定ファイルとデータベースの監視
45.5 その他のシステムコールに対する監視
45.6 システムコールのパラメータでのフィルタリング
45.7 キーを利用した監査イベントレコードの管理
46 その他の情報源
A GNU ライセンス
A.1 GNU free documentation license
A.2 GNU フリー文書利用許諾契約書
図の一覧
4.1 NIS サーバのセットアップ
4.2 マスターサーバのセットアップ
4.3 NIS サーバに対するディレクトリと同期するファイルの変更
4.4 NIS サーバのマップのセットアップ
4.5 NIS サーバに対するリクエスト許可の設定
4.6 NIS サーバのドメインとアドレスの設定
6.1 LDAP ディレクトリの構造
7.1 Kerberos ネットワークトポロジ
8.1 Winbind ベースの Active Directory 認証のスキーマ
8.2 ユーザのログイン管理 のメインウインドウ
8.3 ドメインへの登録
8.4 ユーザのログオンの管理 の設定ウインドウ
8.5 Windows ドメインメンバーシップの設定
8.6 管理者での認証
14.1 cryptctl による鍵の取得 (KMIP サーバへの接続を行わない場合の例)
17.1 spectre-meltdown-checker の出力
18.1 YaST セキュリティセンターとセキュリティの強化: セキュリティの概要
20.1 最小 ACL: ACL エントリと許可ビットとの比較
20.2 拡張 ACL: ACL エントリと許可ビットとの比較
25.1 iptables: パケットの流通経路
26.1 ルーティング型 VPN
26.2 ブリッジ型 VPN - シナリオ 1
26.3 ブリッジ型 VPN - シナリオ 2
26.4 ブリッジ型 VPN - シナリオ 3
27.1 新しい XCA データベースの作成
36.1 GNOME 内での aa-notify メッセージ
37.1 Adminer のログインページ
43.1 Linux 監査システムのコンポーネント紹介
43.2 フローグラフ: プログラムとシステムコールの関係性
43.3 棒グラフ: 一般的なイベントの種類
例の一覧
3.1 sshd の PAM 設定 ( /etc/pam.d/sshd )
3.2 auth セクションに対する既定の設定 ( common-auth )
3.3 account セクションに対する既定の設定 ( common-account )
3.4 password セクションに対する既定の設定 ( common-password )
3.5 session セクションに対する既定の設定 ( common-session )
3.6 pam_env.conf
6.1 CN=schema からの抜粋
6.2 389 Directory Server を構築するための最小限のインスタンス設定ファイル
6.3 ローカル管理用の .dsrc ファイル
6.4 2 つのサプライヤレプリカ
6.5 4 つのサプライヤレプリカ
6.6 6 つのレプリカ
6.7 読み込み専用コンシューマのある 6 つのレプリカ
7.1 KDC の設定例 (/etc/krb5.conf)
25.1 /etc/modprobe.d/60-nfs.conf 内での nfs カーネルモジュールに対するコールバックポートの設定
25.2 NFS 向けの新しい firewalld RPC サービスの設定コマンド
26.1 VPN サーバの設定ファイル
26.2 VPN クライアントの設定ファイル
31.1 aa-unconfined の出力
36.1 学習モードの例外: 特定のリソースへのアクセス制御
36.2 学習モードの例外: 項目に対する許可の設定
42.1 ls -Z を利用したセキュリティコンテキストの表示
42.2 SELinux が動作していることの確認
42.3 可否設定の一覧表示とポリシーアクセスの確認
42.4 ファイルのコンテキスト情報の取得
42.5 ルートディレクトリ内でのディレクトリ向け既定コンテキスト
42.6 ps Zaux によるプロセス向け SELinux 設定の表示
42.7 既定のファイルコンテキストの表示
42.8 /etc/audit/audit.log の例
42.9 監査メッセージの分析
42.10 アクセス拒否内容の表示
42.11 以前に拒否されたアクションを許可するためのポリシー作成
43.1 auditctl -s の出力例
43.2 監査ルール例: 監査システムのパラメータ
43.3 監査ルール例: ファイルシステムの監査
43.4 監査ルール例: システムコールの監査
43.5 監査ルールとイベントの削除
43.6 auditctl -l によるルール一覧の表示
43.7 シンプルな監査イベント例: 監査ログの表示
43.8 複雑な監査イベント例: SSH でのログイン
43.9 /etc/audisp/audispd.conf の例
43.10 /etc/audisp/plugins.d/syslog.conf の例

Copyright © 2006– 2021 SUSE LLC and contributors. All rights reserved.

訳: SUSE LLC および貢献者が全権利を留保しています。

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or (at your option) version 1.3; with the Invariant Section being this copyright notice and license. A copy of the license version 1.2 is included in the section entitled GNU Free Documentation License .

訳: この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン 1.2 または (希望すれば) 1.3 が定める条件の下で複製、頒布、あるいは改変することを許可します。ただし、この著作権とライセンス表記については変更不可部分とします。この利用許諾契約書の複製物は、 GNU フリー文書利用許諾契約書 という章に含まれています。

For SUSE trademarks, see https://www.suse.com/company/legal/ . All other third-party trademarks are the property of their respective owners. Trademark symbols (®, ™ etc.) denote trademarks of SUSE and its affiliates. Asterisks (*) denote third-party trademarks.

訳: SUSE 社の商標については、 https://www.suse.com/company/legal/ をご覧ください。その他の商標は各所有者の所有物です。商標シンボル(®, ™ など) は、それぞれ SUSE 社およびその関連会社の商標であることを示しています。また、アスタリスク (*) は第三者の商標を示しています。

All information found in this book has been compiled with utmost attention to detail. However, this does not guarantee complete accuracy. Neither SUSE LLC, its affiliates, the authors nor the translators shall be held liable for possible errors or the consequences thereof.

訳: この書籍内にある全ての情報は、細部に至るまで最大限の注意を払って制作されていますが、完全に正確であることを保証するものではありません。 SUSE LLC やその関連会社, 著者, 翻訳者のいずれも、本書籍内の誤りとそこから生じる結果について、 一切の保証はいたしません。

注記
注記

なお、本文書は原文 (英語) の翻訳文書であり、公式な文書ではありません。あらかじめご了承ください。

このページを印刷