Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

パート III ネットワークセキュリティ

23 X Window System と X 認証

本書の冒頭でも記述しているとおり、ネットワークを透過的に扱うことができるというのが Unix システムの特長でもあります。 Unix オペレーティングシステムにおけるウインドウシステムである X も同様に、簡単に扱うことができます。 X ではネットワーク上離れた場所からログインして、グラフィカルなプログラムをネットワーク経由で表示させ、操作することができるようになっています。

24 SSH: 機密を保持するネットワーク操作

ネットワークによる接続が提供されている環境では、一方のホストから他方のホストにログインする必要が生じることがあります。ユーザが認証を目的としてユーザ名とパスワードを送信する際、それをそのままテキスト形式で送ってしまうと、それは容易に傍受することができてしまうため、そのアカウントになりすましてログインできるようになってしまいます。これにより、攻撃者がユーザの保持しているファイルを読み取ることができてしまうほか、管理者や root のアカウントを奪取して不正なアカウントを作成することもできてしまいますし、他のコンピュータを攻撃する際の踏み台として使用することもできてしまいます。その昔は telnet , rsh , rlogin などのコマンドを利用して、ネットワーク上離れた場所との通信を確立していましたが、これらの方法はいずれも盗聴に対する保護が存在せず、暗号化などのセキュリティ機構も備わっていませんでした。それ以外にも、今もなお使用されている FTP などのプロトコルや、 rcp などのプログラムについても、暗号化が行われていませんでした。

25 マスカレードとファイアウオール

Linux マシンがネットワーク内に配置されていれば、カーネルの機能を利用してネットワークパケットの制御を行い、内部ネットワークと外部ネットワークを区別して扱ったり、パケットそのものを書き換えたりすることができます。 Linux では netfilter フレームワークが提供されていて、これによって様々なネットワークを個別に扱う効率的なファイアウオールを構築することができます。この netfilter フレームワークのフロントエンドが iptables で、ルールセットを定義するための汎用的なテーブル構造を作成することができます。これにより、ネットワークインターフェイスからの通過を許可するパケ…

26 VPN サーバの設定

今やインターネット接続は安価であり、どこででも使用できるようになっています。しかしながら、全ての接続で機密が守られる保証はありません。この場合、仮想プライベートネットワーク (Virtual Private Network; VPN) を構築することで、インターネットや Wi-Fi などの機密が守られないネットワークを経由して、社内や家庭内などにアクセスすることができるようになります。この VPN には様々な実装があり、様々な目的で使用されます。本章では OpenVPN と呼ばれる、インターネットと社内/家庭内を結ぶ実装について説明しています。

27 X Window System で動作する PKI マネージャ XCA による管理

従来は独自の公開鍵基盤を管理するのに openssl ユーティリティを使用してきました。 SUSE Linux Enterprise 15.3 では、グラフィカルなツールを希望する管理者向けに、 X Window System で動作する証明書/鍵管理ツール XCA を提供しています。

XCA では X.509 規格の証明書や署名要求のほか、 RSA, DSA, EC などの機密鍵やスマートカード、証明書失効リスト (CRL) を作成したり管理したりすることができます。つまり、 XCA では独自の証明機関を作成/管理するのに必要な全ての機能に対応していることになります。このほか、 XCA には証明書や署名要求の生成にあたって、カスタマイズ可能なテンプレート (雛型) も含まれています。本章では、基本的な手順を説明しています。

このページを印刷