Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Understanding Linux audit
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.6

21 X Window System と X 認証 Edit source

ネットワークを透過的に扱うことができるというのが Unix システムの特長です。 Unix オペレーティングシステムにおけるウインドウシステムである X も同様に、ネットワーク経由で簡単に扱うことができます。 X ではネットワーク上離れた場所からログインして、グラフィカルなプログラムをネットワーク経由で表示させ、操作することができるようになっています。

X クライアントがネットワーク上離れた場所にある X サーバとの間で通信を行う場合、サーバ側では不正なアクセスを行われないようにするため、保護を行う必要があります。もっとわかりやすい表現をすると、クライアントプログラム側に特定の許可を設定する必要があることになります。 X Window System では、ホストベースのアクセス制御と、 Cookie ベースのアクセス制御の 2 種類が用意されています。前者のアクセス制御は IP アドレスを元にした認証で、特定の IP アドレスのクライアントのみが X サーバにアクセスできるようにする仕組みです。この制御を行う際に使用するプログラムが xhost で、許可する IP アドレスをデータベースで管理することで、 IP アドレスベースのアクセス制御を実現します。ただし、 IP アドレスによる保護だけでは安全とは言えません。たとえば許可されている IP アドレスのクライアント内で、複数のユーザがログインしているような場合、異なるユーザにもアクセスを許可してしまうことになるからです。このようなセキュリティ面の問題から、この認証方法については詳しく説明していません。詳しく知りたい場合は、 man   xhost で表示されるマニュアルページをお読みください。

Cookie ベースのアクセス制御では、 ID カードのように X サーバと正規のユーザの 2 者しか知り得ない文字列 (Cookie) を生成して、アクセスを制御します。 Cookie はホームディレクトリ内の .Xauthority というファイル内に保存され、 X サーバに対してウインドウを表示したい、様々なプログラムから使用することができます。 .Xauthority ファイルは xauth というプログラムを使用することで、さまざまな処理を行うことができます。誤って .Xauthority を削除してしまったり、ファイル名を買えたりしてしまった場合は、新しいウインドウを表示することができなくなります。

SSH (Secure SHell) を使用することで、ネットワーク通信を暗号化して X サーバとの通信を透過的に扱うことができます。これを X Forwarding (転送) と呼びます。 X Forwarding はサーバ側で擬似的な X サーバを動作させ、それにアクセスさせるために DISPLAY 環境変数を設定することによって成り立っています。 SSH に関する詳細な説明については、 第22章 「OpenSSH によるネットワーク操作の機密保持 をお読みください。

警告
警告: X Forwarding の機密性について

接続先のコンピュータが安全なホストではないとお考えの場合は、 X Forwarding を使用してはなりません。 X Forwarding が有効化されていると、攻撃者は SSH 接続を介して認証を行うことができてしまうためです。これにより、攻撃者はお使いの X サーバを乗っ取ることができてしまうため、たとえばキーボード入力を読み取るなどの行為が実現できてしまいます。

このページを印刷