[ 前のページ ]
[ 目次 ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ 次のページ ]
Debian セキュリティマニュアル
第 1 章 - まえがき
セキュリティ関連の文書を書くときに最もむずかしいのはどの事例も唯一であると
いうことです。あなたが注意しなければならないのは脅威となる環境とそれぞれの
サイト、ホスト、ネットワークのセキュリティの必要性です。たとえば、家庭の
ユーザのセキュリティの必要性は銀行のネットワークとは全く異なります。家庭の
ユーザが直面する必要がある主要な脅威は script kiddie タイプの
クラッカーですが、銀行のネットワークはねらいうちの攻撃について心配しなければ
なりません。さらに、銀行は顧客の情報を数学的な正確さで守らなければ
なりません。要するに、どのユーザも有用性と安全性 (またはパラノイア) との
かねあいを考えなければならないのです。
このマニュアルはソフトウェア関連の問題しか扱っていないことに注意してください。
だれかが物理的にマシンに接触できるなら世界最良のソフトウェアでもあなたを
守ることができません。マシンを机の下に置くこともできますし、軍隊が守っている
強化された掩蔽壕に設置することもできます。それにもかかわらず、ある
デスクトップマシンが適切に設定されていて、物理的に保護されているあるマシンが
セキュリティホールだらけだとしたら、デスクトップマシンのほうが物理的に
保護されているマシンより (ソフトウェアの観点では) はるかに安全ということも
ありえます。明らかに、どちらの問題についても考えなければなりません。
この文書はあなたの Debian GNU/Linux システムのセキュリティを高める
ためにできることの概略を述べるだけです。Linux のセキュリティに関する
ほかの文書を読んだことがあるなら、この文書と重なる共通の問題があるのに
気づくでしょう。しかし、この文書はあなたが使う情報源の決定版たることを
めざしているわけではありません。その同じ情報を Debian GNU/Linux システムに
とって意味があるように適応させようとしているだけです。ディストリビューション
ごとにあつかい方が異なる物事もあります。(デーモンの起動法がよくある例です。)
ここには Debian のやり方や道具に適した資料があります。
感想、追加点や提案がありましたら、 Javier Fern\|[aacute]\|ndez-Sanguino
Pe\|[ntilde]\|a
(または: jfs@debian.org) に
電子メールで送ってください。そうすればそれをこのマニュアルの中に取り入れる
でしょう。
1.1 このマニュアルをダウンロードする
Debian セキュリティマニュアルの最新版は Debian
Documentation Project
で
ダウンロードしたり閲覧したりすることができます。CVS
server
からバージョン管理システムをチェックアウトすることもできます。
Debian Documentation's Project のウェブサイトからはこの文書の別の形式 (PDF
やテキスト) をダウンロードすることはできません。しかし、HTML、テキスト および
PDF 形式のこの文書を含む harden-doc
をダウンロードしたりインストールしたりすることができます。
1.2 組織化についてのメモおよび感想
公的な話にうつります。現時点では私 (Alexander Reelsen) がこのマニュアルの
大部分を書いています。でも私の考えではこのままでいるべきではありません。
私はフリーソフトウェアとともに成長し生活しています。フリーソフトウェアは
私が毎日使うものの一部ですし、あなたが毎日使うものの一部でもあると思います。
だれでも感想、追加のヒントやその他の提案があればぜひ私に送ってください。
ある章や段落をよりうまく開発することができると思うなら、この文書のメンテナに
メールを書いていただければ、そうしていただいてかまいません。特に FIXME と
印のついている章があれば、それは著者に時間がないか、著者がその話題について
必要とされる知識を持っていないということです。すぐに著者にメールを送って
ください。
このマニュアルの話題から明らかなように、このマニュアルを最新の状態に保つのは
重要です。あなたも協力できます。貢献してください。
1.3 前提となる知識
Debian GNU/Linux のインストールはそれほどむずかしくありませんし、あなたは
きっとインストールできているはずです。Linux やその他の Unix の知識があって、
セキュリティの基礎を知っていれば、このマニュアルを理解するのはより
容易でしょう。というのも、この文書で物事のあらゆる細部を説明することは
不可能だからです。
(そうでないとこれはマニュアルではなく一冊の本になってしまうでしょう。)
しかし、もしそれほどくわしくなければ、より深い情報をどこで見つけたらいいか
知るために 一般的なセキュリティ問題について知る, 第 2.2
節 を見たくなるかもしれません。
1.4 書くべきこと (FIXME/TODO)
-
Debian GNU/Linux を使ってファイアウォールを構築する方法に
ついての情報を加える。ファイアウォールについての章は今のところ
一台だけのシステム向けだ (他のマシンを守るわけではない...)
-
どのパッケージがプロキシサービスを提供するかを明記しつつ Debian GNU/Linux
でプロキシファイアウォールを構築することに ついての情報を加える
(
xfwp
、 xproxy
、ftp-proxy
、
redir
、 smtpd
、nntp-cache
、
dnrd
、
jftpgw
、oops
、pdnsd
、
perdition
、transproxy
、
tsocks
など)。他の情報についてはそのマニュアルを 示すべきだ。zorp
は (まだ) Debian パッケージとして入手可能ではないが、
これはプロキシファイアウォールであることも述べるべきだ (上流は Debian
パッケージを提供している)。
-
参照している URL をすべて調べて、もう有効でないものを削除するなり
修正するなりする
-
一般的なサーバについて、限定された機能に役立つ (Debian で) 利用可能な代替物に
ついての情報を加える。たとえば:
-
ローカル lpr のかわりに cups (パッケージ)?
-
apache のかわりに dhttpd/thttpd/wn (tux?)
-
exim/sendmail のかわりに ssmtpd/smtpd/postfix
-
Debian のセキュリティ関連のカーネルパッチについて、それを紹介すると
ともにそれらのパッチを Debian システムでどう有効にするかを特に述べた情報を
さらに多く。
-
Linux Intrusion Detection (
lids-2.2.19
)
-
Linux Trustees (
trustees
パッケージ中)
-
kernel-patch-2.2.19-harden
-
Linux capabilities (
lcap
パッケージ中)
-
kernel-patch-freeswan、kernel-patch-int
-
不要なネットワークサービスを切ることの詳細 (inetd のほかに)。
強化過程の一部だがすこし広くできるかも。
-
ポリシーと密接に関連したパスワード回転についての情報。
-
tcpwrappers についてさらに、そして wrapper 一般?
-
hosts.equiv
そしてその他のセキュリティホール。
-
suidmanager/dpkg-statoverrides。
-
chroot の檻を作るためのプログラムについて述べる。
Compartment
と
chrootuid
が incoming に入っている。他にもいくつか
(makejail、jailer) 紹介できるだろう。
-
ログ解析ソフトウェアに関するより多くの情報 (すなわち、logcheck や
logcolorise)。
1.5 Changelog/History
1.5.1 dated Thu, 6 Jun 2002
Changes by Oohara Yuuma
-
New upstream version (version 2.4, cvs revision 1.57).
1.5.2 Version 2.3
Changes by Javier Fernández-Sanguino Peña.
-
Wrapped most file locations with the file tag.
-
Fixed typo noticed by Edi Stojicevi.
-
Slightly changed the remote audit tools section.
-
Added more information regarding printers and cups config file (taken from a
thread on debian-security).
-
Added a patch submitted by Jesus Climent regarding access of valid system users
to Proftpd when configured as anonymous server.
-
Small change on partition schemes for the special case of mail servers.
-
Added Hacking Linux Exposed to the books section.
-
Fixed directory typo noticed by Eduardo Pérez Ureta.
-
Fixed /etc/ssh typo in checklist noticed by Edi Stojicevi.
1.5.3 Version 2.3
Changes by Javier Fernández-Sanguino Peña.
-
Fixed location of dpkg conffile.
-
Remove Alexander from contact information.
-
Added alternate mail address.
-
Fixed Alexander mail address (even if commented out).
-
Fixed location of release keys (thanks to Pedro Zorzenon for pointing this
out).
1.5.4 dated Sat, 27 Apr 2002
Changes by Oohara Yuuma
-
New upstream version (version 2.2, cvs revision 1.53).
-
The changelog for "dated Fri, 26 Apr 2002" had a typo --- it was
based on cvs revision 1.51, not 1.31 .
1.5.5 dated Fri, 26 Apr 2002
Changes by Oohara Yuuma
-
New upstream version (version 2.1, cvs revision 1.31).
1.5.6 Version 2.2
Changes by Javier Fernández-Sanguino Peña.
-
Fixed typos, thanks to Jamin W. Collins.
-
Added a reference to apt-extracttemplate manpage (documents the
APT::ExtracTemplate config).
-
Added section about restricted SSH. Information based on that posted by Mark
Janssen, Christian G. Warden and Emmanuel Lacour on the debian-security
mailing list.
-
Added information on antivirus software.
-
Added a FAQ: su logs due to the cron running as root.
1.5.7 Version 2.1
Changes by Javier Fernández-Sanguino Peña.
-
Changed FIXME from lshell thanks to Oohara Yuuma.
-
Added package to sXid and removed comment since it *is* available.
-
Fixed a number of typos discovered by Oohara Yuuma.
-
ACID is now available in Debian (in the acidlab package) thanks to Oohara Yuuma
for noticing.
-
Fixed LinuxSecurity links (thanks to Dave Wreski for telling).
1.5.8 dated Sat, 23 Mar 2002
Changes by Oohara Yuuma
-
New upstream version (version 2.0, cvs revision 1.49).
1.5.9 Version 2.0
Changes by Javier Fernández-Sanguino Peña. I wanted to change to
2.0 when all the FIXMEs were, er, fixed but I run out of 1.9X numbers :(
-
Converted the HOWTO into a Manual (now I can properly say RTFM)
-
Added more information regarding tcp wrappers and Debian (now many services are
compiled with support for them so it's no longer an inetd issue).
-
Clarified the information on disabling services to make it more consistent (rpc
info still refered to update-rc.d)
-
Added small note on lprng.
-
Added some more info on compromised servers (still very rough)
-
Fixed typos reported by Mark Bucciarelli.
-
Added some more steps in password recovery to cover the cases when the admin
has set paranoid-mode=on.
-
Added some information to set paranoid-mode=on when login in console.
-
New paragraph to introduce service configuration.
-
Reorganised the After installation section so it is more broken up
into several issues and it's easier to read.
-
Written information on howto setup firewalls with the standard Debian 3.0 setup
(iptables package).
-
Small paragraph explaining why installing connected to the Internet is not a
good idea and how to avoid this using Debian tools.
-
Small paragraph on timely patching referencing to IEEE paper.
-
Appendix on how to setup a Debian snort box, based on what Vladimir sent to the
debian-security mailing list (september 3rd 2001)
-
Information on how logcheck is setup in Debian and how it can be used to setup
HIDS.
-
Information on user accounting and profile analysis.
-
Included apt.conf configuration for read-only /usr copied from Olaf
Meeuwissen's post to the debian-security mailing list
-
New section on VPN with some pointers and the packages available in Debian
(needs content on how to setup the VPNs and Debian-specific issues), based on
Jaroslaw Tabor's and Samuli Suonpaa's post to debian-security.
-
Small note regarding some programs to automatically build chroot jails
-
New FAQ item regarding identd based on a discussion in the debian-security
mailing list (februrary 2002, started by Johannes Weiss).
-
New FAQ item regarding inetd based on a discussion in the debian-security
mailing list (february 2002).
-
Introduced note on rcconf in the "disabling services" section.
-
Varied the approach regarding LKM, thanks to Philipe Gaspar
-
Added pointers to CERT documents and Couterpane resources
1.5.10 dated Tue, 26 Feb 2002
Changes by Oohara Yuuma
-
New upstream version (version 1.99, cvs revision 1.45).
1.5.11 dated Sat, 16 Feb 2002
Changes by Oohara Yuuma
-
New upstream version (version 1.99, cvs revision 1.41).
1.5.12 dated Tue, 29 Jan 2002
Changes by Oohara Yuuma
-
New upstream version (version 1.99, cvs revision 1.39).
-
Now this translation uses the same title as the original (I have a permission
to do so --- see the sgml source for details)
-
Replaced the author's name with the correct diacritics.
1.5.13 dated Tue, 15 Jan 2002
Changes by Oohara Yuuma
-
New upstream version (version 1.99, cvs revision 1.36).
1.5.14 Version 1.99
Changes by Javier Fernández-Sanguino Peña.
-
Added a new FAQ item regarding time to fix security vulnerabilities.
-
Reorganised FAQ sections.
-
Started writing a section regarding firewalling in Debian GNU/Linux (could be
broadened a bit)
-
Fixed typos sent by Matt Kraai
-
Added information on whisker and nbtscan to the auditing section.
1.5.15 Version 1.98
Changes by Javier Fernández-Sanguino Peña.
-
Added a new section regarding auditing using Debian GNU/Linux.
-
Added info regarding finger daemon taken from the security mailing list.
1.5.16 dated Thu, 10 Jan 2002
Changes by Oohara Yuuma
-
New upstream version (version 1.97, cvs revision 1.33).
-
Changed the Japanese word for "Securing" in the title to clarify its
meaning.
-
Changed the name of the section "History" to
"Changelog/History", which the upstream uses.
1.5.17 Version 1.97
Changes by Javier Fernández-Sanguino Peña.
-
Fixed link for Linux Trustees
-
Fixed typos (patches from Oohara Yuuma and Pedro Zorzenon)
1.5.18 dated Thu, 3 Jan 2002
Changes by Oohara Yuuma
-
Translated into Japanese.
1.5.19 Version 1.96
Changes by Javier Fernández-Sanguino Peña.
-
Reorganized service installation and removal and added some new notes.
-
Added some notes regarding using integrity checkers as intrusion detection
tools.
-
Added a chapter regarding package signatures.
1.5.20 Version 1.95
Changes by Javier Fernández-Sanguino Peña.
-
Added notes regarding Squid security sent by Philipe Gaspar.
-
Fixed rookit links thanks to Philipe Gaspar.
1.5.21 Version 1.94
Changes by Javier Fernández-Sanguino Peña.
-
Added some notes regarding Apache and Lpr/lpng.
-
Added some information regarding noexec and readonly partitions.
-
Rewritten how can users help in Debian security issues (FAQ item).
1.5.22 Version 1.93
Changes by Javier Fernández-Sanguino Peña.
-
Fixed location of mail program.
-
Added some new items to the FAQ.
1.5.23 Version 1.92
Changes by Javier Fernández-Sanguino Peña.
-
Added a small section on how Debian handles security
-
Clarified MD5 passwords (thanks to `rocky')
-
Added some more information regarding harden-X from Stephen van Egmond
-
Added some new items to the FAQ
1.5.24 Version 1.91
Changes by Javier Fernández-Sanguino Peña.
-
Added some forensics information sent by Yotam Rubin.
-
Added information on how to build a honeynet using Debian GNU/Linux.
-
Fixed more typos (thanks Yotam!)
1.5.25 Version 1.9
Changes by Javier Fernández-Sanguino Peña.
-
Added patch to fix mispellings and some new information (contributed by Yotam
Rubin)
-
Added references to other online (and offline) documentation both in a section
(see 一般的なセキュリティ問題について知る,
第 2.2 節) by itself and inline in some sections.
-
Added some information on configuring Bind options to restrict access to the
DNS server.
-
Added information on how to automatically harden a Debian system (regarding the
harden package and bastille).
-
Removed some done TODOs and added some new ones.
1.5.26 Version 1.8
Changes by Javier Fernández-Sanguino Peña.
-
Added the default user/group list provided by Joey Hess to the debian-security
mailing list.
-
Added information on Proftp contributed by Emmanuel Lacour.
-
Recovered the checklist Appendix from Era Eriksson.
-
Added some new TODO items and removed other fixed ones.
-
Manually included Era's patches since they were not all included in the
previous version.
1.5.27 Version 1.7
Changes by Era Eriksson.
-
Typo fixes and wording changes
Changes by Javier Fernández-Sanguino Peña.
-
Minor changes to tags in order to keep on removing the tt tags and substitute
them for prgn/package tags.
1.5.28 Version 1.6
Changes by Javier Fernández-Sanguino Peña.
-
Added pointer to document as published in the DDP (should supersede the
original in the near future)
-
Started a mini-FAQ (should be expanded) with some questions recovered from my
mailbox.
-
Added general information to consider while securing.
-
Added a paragraph regarding local (incoming) mail delivery.
-
Added some pointers to more information.
-
Added information regarding the printing service.
-
Added a security hardening checklist.
-
Reorganized NIS and RPC information.
-
Added some notes taken while reading this document on my new Visor :)
-
Fixed some badly formatted lines.
-
Added a Genius/Paranoia idea contributed by Gaby Schilders.
1.5.29 Version 1.5
Changes by Josip Rodin and Javier Fernández-Sanguino Peña.
-
Added paragraphs related to BIND and some FIXMEs.
1.5.30 Version 1.4
-
Small setuid check paragraph
-
Found out how to use sgml2txt -f for the txt version
1.5.31 Version 1.3
-
Added a security update after installation paragraph
-
Added a proftpd paragraph
-
This time really wrote something about XDM, sorry for last time
1.5.32 Version 1.2
-
Lots of grammar corrections by James Treacy, new XDM paragraph
1.5.33 Version 1.1
-
Typo fixes, miscellaneous additions
1.5.34 Version 1.0
1.6 Credits
-
Alexander Reelsen が原作を書きました。
-
Javier Fernández-Sanguino が原作に情報を追加しました。
-
Robert van der Meulen が quota の記事と多くのよいアイデアを 提供しました。
-
Ethan Benson が PAM の記事を訂正して、いくつかのよいアイデアを 提供しました。
-
Dariusz Puchalak がいくつかの章に情報を提供しました。
-
Gaby Schilders がすてきな「天才的な (またはパラノイアの)」アイデアを
提供しました。
-
Era Eriksson が多くの場所で言葉づかいをよくして、付録のチェックリストを
提供しました。
-
Philipe Gaspar が LKM の情報を書きました。
-
Yotam Rubin が多くの誤植の修正に貢献するとともに、bind のバージョンや md5
パスワードについての情報を提供しました。
-
この文書に (とうとう) 取りいれられた改善を提案したすべての人々。
-
私 (Alexander) にこの HOWTO (のちにマニュアルへと変更されました) を
書くようすすめたすべての人々。
[ 前のページ ]
[ 目次 ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ 次のページ ]
Debian セキュリティマニュアル
v2.4 Tue, 30 Apr 2002 15:41:13 +0200 (翻訳: Thu, 6 Jun 2002)
Javier Fernández-Sanguino Peña jfs@computer.org
翻訳: 大原雄馬 oohara@libra.interq.or.jp