openSUSE 13.1

セキュリティガイド

発行日 28/11/2013

Copyright © 2006–2013 SUSE LLC and contributors. All rights reserved.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or (at your option) version 1.3; with the Invariant Section being this copyright notice and license. A copy of the license version 1.2 is included in the section entitled GNU Free Documentation License.

For SUSE or Novell trademarks, see the Novell Trademark and Service Mark list http://www.novell.com/company/legal/trademarks/tmlist.html. All other third party trademarks are the property of their respective owners. A trademark symbol (®, ™ etc.) denotes a SUSE or Novell trademark; an asterisk (*) denotes a third party trademark.

All information found in this book has been compiled with utmost attention to detail. However, this does not guarantee complete accuracy. Neither SUSE LLC, its affiliates, the authors nor the translators shall be held liable for possible errors or the consequences thereof.

下記に上記の日本語翻訳を掲載します。日本語の翻訳は公式なものではないことに注意して ください。

Copyright © 2006–2013 SUSE LLC および貢献者が全権利を留保しています。

この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書 バージョン 1.2 または (希望すれば) 1.3 が定める条件の下で複製、頒布、あるいは 改変することを許可する。ただし、この著作権とライセンス表記については変更不可部分 とする。この利用許諾契約書の複製物は GNU フリー文書利用許諾契約書 という章に含まれている。

SUSE 社, Novell 社の商標については、 Novell 社の商標とサービスマーク一覧 http://www.novell.com/company/legal/trademarks/tmlist.html を ご覧ください。その他の商標は各所有者の所有物です。商標シンボル (®, ™ など) は、それぞれ SUSE 社および Novell 社の商標であることを示しています。 また、アスタリスク (*) は第三者の商標を示しています。

この書籍内にある全ての情報は細部に至るまで最大限の注意を払って制作されていますが、 完全に正確であることを保証するものではありません。 SUSE LLC, SUSE LINUX Products GmbH, 著者, 翻訳者のいずれも、本書籍内の誤りとそこから生じる結果について、 一切の保証はいたしません。


目次

このガイドについて
1. 利用可能な文書
2. フィードバック
3. 文書規約
4. このマニュアルの作成について
5. ソースコード
6. 謝辞
1. セキュリティと機密保持
1.1. ローカルセキュリティとネットワークセキュリティ
1.2. いくつかのセキュリティ関連のヒント
1.3. セキュリティ問題の報告先
I. 認証
2. PAM を利用した認証
2.1. PAM とは
2.2. PAM の設定ファイルの構成
2.3. sshd の PAM 設定
2.4. PAM モジュールの設定
2.5. pam-config を利用した PAM の設定
2.6. 手作業での PAM 設定
2.7. さらなる情報
3. NIS の使用
3.1. NIS サーバの設定
3.2. NIS クライアントの設定
4. ディレクトリサービス LDAP
4.1. LDAP と NIS
4.2. LDAP のディレクトリツリー構造
4.3. YaST を利用した LDAP サーバの設定
4.4. YaST を利用した LDAP クライアントの設定
4.5. YaST による LDAP ユーザとグループの設定
4.6. LDAP ディレクトリツリーの参照
4.7. LDAP サーバの手動設定
4.8. LDAP データの手作業での管理
4.9. さらなる情報
5. Active Directory への対応
5.1. Linux と AD 環境の統合
5.2. Linux における AD 対応の背景となる情報
5.3. Linux クライアントに対して Active Directory を設定する方法
5.4. AD ドメインへのログイン
5.5. パスワードの変更
6. Kerberos を利用したネットワーク認証
6.1. Kerberos で使用する用語
6.2. Kerberos の動作概要
6.3. Kerberos に対するユーザからの外観
6.4. Kerberos のインストールと管理
6.5. さらなる情報
7. 指紋読み取り装置の使用
7.1. 対応するアプリケーションと処理
7.2. YaST を利用した指紋の管理
II. ローカルセキュリティ
8. YaST を利用したセキュリティ設定
8.1. セキュリティの概要
8.2. 事前定義済みのセキュリティ設定
8.3. パスワード設定
8.4. 起動設定
8.5. ログイン設定
8.6. ユーザ追加
8.7. その他の設定
9. PolKit を利用した権限認可
9.1. 考えかたの概要
9.2. 権限の修正と設定
9.3. ローカルセキュリティポリシーを利用した管理者認証の設定
10. Linux におけるアクセス制御リスト
10.1. 従来のファイルパーミッション
10.2. ACL の利点
10.3. 定義
10.4. ACL の処理
10.5. アプリケーションにおける ACL サポート
10.6. さらなる情報
11. パーティションとファイルの暗号化
11.1. YaST を利用した暗号化ファイルシステムの設定
11.2. 暗号化されたホームディレクトリの使用
11.3. vi を使用した単一 ASCII テキストファイルの暗号化
12. AIDE を利用した侵入検知
12.1. AIDE を利用する理由
12.2. AIDE データベースの設定
12.3. ローカルの AIDE チェック
12.4. システムに依存しないチェック
12.5. さらなる情報
III. ネットワークセキュリティ
13. SSH: 機密を保護する通信
13.1. ssh—Secure Shell (機密を保持するシェル)
13.2. scp—機密保護機能付きのファイルコピー
13.3. sftp—機密保護機能付きのファイル転送
13.4. SSH デーモン (sshd)
13.5. SSH 認証の仕組み
13.6. ポート転送
13.7. YaST を利用した SSH デーモンの設定
13.8. さらなる情報
14. マスカレードとファイアウオール
14.1. iptables を利用したパケットフィルタ
14.2. マスカレードの基礎
14.3. ファイアウオールの基礎
14.4. SuSEfirewall2
14.5. さらなる情報
15. VPN サーバの設定
15.1. 考え方の概要
15.2. 最も簡単な VPN の作成例
15.3. 証明機関を利用する VPN サーバの設定
15.4. VPN 内でのネームサーバの変更
15.5. クライアント向けの KDE および GNOME アプレット
15.6. さらなる情報
16. X.509 証明書の管理
16.1. デジタル証明書の仕組み
16.2. CA 管理用の YaST モジュール
16.3. さらなる情報
IV. AppArmor を利用した権利制限
17. AppArmor の紹介
17.1. AppArmor プロファイリングの関連情報
18. 前置き
18.1. AppArmor のインストール
18.2. AppArmor の有効化と無効化
18.3. プロファイルを行なうアプリケーションの選択
18.4. プロファイルの構築と修正
18.5. プロファイルの更新
19. プログラムに対する免疫付与
19.1. AppArmor フレームワークの紹介
19.2. 免疫を与えるプログラムの判断
19.3. cron ジョブへの免疫付与
19.4. ネットワークアプリケーションへの免疫付与
20. プロファイルの構成と文法
20.1. AppArmor プロファイルの構成
20.2. プロファイルの種類
20.3. #include ステートメント
20.4. 機能項目 (POSIX.1e)
20.5. ネットワークアクセス制御
20.6. パスとグロブ
20.7. ファイルのアクセス許可とアクセスモード
20.8. 実行モード
20.9. リソース制限制御
20.10. 監査ルール
21. AppArmor のプロファイルリポジトリ
21.1. ローカルリポジトリの使用
22. YaST を利用したプロファイルの構築と管理
22.1. ウイザードを使用したプロファイルの追加
22.2. 手作業でのプロファイル追加
22.3. プロファイルの編集
22.4. プロファイルの削除
22.5. ログ項目からのプロファイル更新
22.6. AppArmor の管理
23. コマンドラインからのプロファイル構築
23.1. AppArmor のモジュール状態の確認
23.2. AppArmor プロファイルの構築
23.3. AppArmor プロファイルの追加と作成
23.4. AppArmor プロファイルの編集
23.5. AppArmor プロファイルの削除
23.6. プロファイルを作成する際の 2 つの方法
23.7. 重要なファイル名とディレクトリ
24. ハット変更を利用した Web アプリケーションのプロファイル作成
24.1. Apache のハット変更
24.2. mod_apparmor 向けの Apache 設定
25. pam_apparmor によるユーザに対する制限
26. プロファイルを作成したアプリケーションの管理
26.1. セキュリティ拒否イベントへの対応
26.2. セキュリティプロファイルの管理
27. サポート
27.1. AppArmor のオンライン更新
27.2. マニュアルページの使用
27.3. さらなる情報
27.4. トラブルシューティング
27.5. AppArmor のバグ報告について
28. AppArmor 用語集
A. GNU ライセンス
A.1. GNU General Public License
A.2. GNU 一般公衆利用許諾契約書 (日本語訳)
A.3. GNU Free Documentation License
A.4. GNU フリー文書利用許諾契約書

図の一覧

3.1. NIS サーバの設定
3.2. マスターサーバの設定
3.3. NIS サーバ向けのディレクトリ変更とファイル同期
3.4. NIS サーバのマップ設定
3.5. NIS サーバに対するリクエスト許可の設定
3.6. NIS サーバのドメインとアドレスの設定
4.1. LDAP ディレクトリの構造
4.2. YaST LDAP サーバ設定
4.3. YaST LDAP サーバ—新しいデータベース
4.4. YaST LDAP サーバ設定
4.5. YaST LDAP サーバデータベース設定
4.6. YaST: LDAP クライアントの設定
4.7. YaST: 詳細設定
4.8. YaST: モジュール設定
4.9. YaST: オブジェクトのテンプレート設定
4.10. YaST: 追加の LDAP 設定
4.11. LDAP ディレクトリツリーの参照
4.12. 項目データの参照
5.1. Active Directory 認証スキーマ
5.2. Windows ドメインメンバーシップの設定
5.3. 管理者の認証情報設定
6.1. Kerberos のネットワーク構造
6.2. YaST: Kerberos クライアントの基本設定
6.3. YaST: Kerberos クライアントの高度な設定
8.1. YaST セキュリティセンターとセキュリティの強化 - 概要
10.1. 最小 ACL: パーミッションビットと ACL 項目の比較
10.2. 拡張 ACL: パーミッションビットと ACL 項目の比較
14.1. iptables: ありうるパケット経路
14.2. YaST ファイアウオール設定
15.1. ルーティング型 VPN
15.2. ブリッジ型 VPN - シナリオ 1
15.3. ブリッジ型 VPN - シナリオ 2
15.4. ブリッジ型 VPN - シナリオ 3
16.1. YaST CA モジュール—ルート CA に対する基礎データ
16.2. YaST CA モジュール—CA の使用
16.3. CA の証明書
16.4. YaST CA モジュール—拡張設定
22.1. AppArmor に対する YaST の制御
22.2. 学習モードの例外: 特定のリソースに対するアクセス制御
22.3. 学習モードの例外: 項目に対する実行許可の設定

表の一覧

4.1. よく使用されるオブジェクトクラスと属性
9.1. 利用可能なポリシー
10.1. ACL 項目タイプ
10.2. アクセスパーミッションのマスク
12.1. 重要な AIDE チェックオプション
16.1. X.509v3 証明書
16.2. X.509 証明書失効リスト (CRL)
16.3. LDAP エクスポート時のパスワード
27.1. マニュアルページ: セクションと分類

例の一覧

2.1. sshd 向けの PAM 設定 (/etc/pam.d/sshd)
2.2. auth セクションの既定の設定 (common-auth)
2.3. account セクションの既定の設定 (common-account)
2.4. password セクションの既定の設定 (common-password)
2.5. session セクションの既定の設定 (common-session)
2.6. pam_env.conf
4.1. schema.core からの抜粋
4.2. LDIF ファイル
4.3. example.ldif を利用した場合の ldapadd
4.4. Tux 向けの LDIF データ
4.5. 修正済みの LDIF ファイル tux.ldif
9.1. /etc/PolicyKit/PolicyKit.conf ファイルの例
9.2. NetworkManager でのローカル認証設定 (/var/lib/polkit-1/localauthority/10-vendor.d/org.freedesktop.NetworkManager.enable-disable-network.pkla)
15.1. VPN サーバの設定ファイル
15.2. VPN クライアントの設定ファイル
18.1. aa-unconfined の出力
23.1. 学習モードの例外: 特定リソースに対するアクセス制御
23.2. 学習モードの例外: 項目に対する実行許可の設定
24.1. phpsysinfo のハット例

openSUSE セキュリティガイド 13.1