[ 前のページ ] [ 目次 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ 次のページ ]

Debian セキュリティマニュアル
第 8 章 - Debian でのセキュリティ関連の道具


FIXME: 内容がもっと必要。

Debian は Debian マシンをセキュリティ調査用にすることができるセキュリティ 関連の道具もいくつか提供しています。このうちのいくつかは harden-remoteaudit パッケージをインストールすると 提供されます。


8.1 リモートの脆弱性を評価する道具

Debian によって提供される、リモートの脆弱性を評価するための道具は:

断然、最も複雑で最新の道具は nessus です。これは GUI として使われるクライアント (nessus) とプログラムされた 攻撃を行うサーバ (nessusd) で構成されています。 Nessus はネットワーク器具、ftp サーバ、www サーバなどの多くのシステムの 脆弱性の調査を含みます。最新のリリースはウェブサイトを解析してどの対話的な ページが攻撃できるか発見しようすることさえできます。管理サーバに接触するのに 使える Java や Win32 クライアントも (Debian には含まれていませんが) 存在します。

Whisker は anti-IDS tactics (その多くはもはや anti-IDS ではありませんが) を含むウェブの脆弱性だけを評価するスキャナ です。これは利用可能な最高の CGI スキャナのひとつで、WWW サーバを検知して 指定された攻撃だけを行うことができます。スキャンに使われるデータベースは 新しい情報を提供するために容易に変更できます。

Bass (Bulk Auditing Security Scanner) と Satan (Security Auditing Tool for Analysing Networks) は 監査を行うのに使う道具というよりむしろ「概念を証明する」プログラムと 考えるべきです。どちらも非常に古くて更新されていません。しかし、SATAN は 簡単な方法 (GUI) で脆弱性の調査を提供したはじめての道具ですし、Bass は 依然として非常に高性能の調査ツールです。


8.2 ネットワークをスキャンする道具

Debian はホストのリモートスキャンに使う (でも脆弱性の調査用ではない) 道具を いくつか提供しています。場合によっては、利用できるリモートサービスを 知るてめにリモートのホストに対して行う最初の「攻撃」としてこれらの道具が 脆弱性を調査するスキャナによって使われます。現在 Debian が提供しているのは:

quesoxprobe が (TCP/IP 指紋を 使った) リモートのオペレーティングシステムの検知だけを提供するのに対して、 nmapknocker はオペレーティング システムの検知とリモートホストのポートスキャンの両方を行います。一方、 hping2icmpush はリモートの ICMP 攻撃技術に使えます。

Netbios ネットワークのために特に設計された nbtscan は IP ネットワークをスキャンして SMB が有効になっているサーバからユーザ名、 ネットワーク名、MAC アドレス等の情報を引きだすことができます。


8.3 内部監査

現在、Debian で使われている tiger ツールだけが ファイルシステムが適切に設定されているか、どのプロセスがそのホストで応答して いるかなどを知るためにホストの内部の (white box とも呼ばれています) 監査を 行うのに利用できます。


8.4 ソースコードを監査する

C/C++ ソースコードプログラムを監査して潜在的なセキュリティ上の欠陥に つながるかもしれないプログラム上のまちがいを見つけるのに利用できる 2 個のパッケージを Debian は提供しています:


8.5 バーチャルプライベートネットワーク

FIXME: 中身が必要

Debian は暗号化されたバーチャルプライベートネットワークを設置するための パッケージを多く提供しています。

この中では IPsec (すなわち、FreeSWAN) が最もよいでしょう。なぜなら IPsec を 動かしているほとんどすべてのマシンとともに動くことができるからです。しかし 他のパッケージも急いでいるときに安全なトンネルを得るのに役立ちます。PPTP は VPN のための Microsoft プロトコルです。これは Linux でもサポートされて いますが、深刻なセキュリティ問題があることがわかっています。

くわしくは VPN-Masquerade HOWTO (IPsec と PPTP を扱っています)、 VPN HOWTO (SSH 経由の PPP を扱っています) そして Cipe mini-HOWTOPPP and SSH mini-HOWTO をごらんください。


8.6 公開鍵インフラストラクチャー (Public Key Infrastructure、PKI)

PKI について検討すると広範囲の道具に直面することになります:

これらの道具のいくつかをカバーするために Debian GNU/Linux で利用可能な ソフトウェアを使うことができます。これには openSSL (証明書生成のために)、 OpenLDAP (証明書を保存するディレクトリとして)、gnupg および freeswan (X.509 とともに) サポートです。しかし、Debian オペレーティングシステムは (woody リリース、3.0 の時点では) pyCA, OpenCA または OpenSSL の CA サンプルのようなフリーに入手できる 証明書機関を提供していません。くわしくは Open PKI book を ごらんください。


8.7 対ウイルスツール

Debian には対ウイルスツールはそれほど多くありません。たぶん GNU/Linux が 現在のところあまりウイルスに感染していないからでしょう。しかし、Debian ディストリビューション全体に広まったウイルスが (幸運にもまだ) ないにも かかわらず、GNU/Linux のワームやウイルスは存在しています。いずれにせよ、 管理者は対ウイルスゲートウェイを構築するか、自分自身をウイスルから守ろうと したいでしょう。

Debian は対ウイルス環境を構築するために現在以下のような道具を提供しています。

ごらんのとおり、Debian は現時点では対ウイルスソフトウェア自体は提供して いません。しかし、Debian に (将来) 入るかもしれないフリーソフトウェア 対ウイルスプロジェクトが存在します。 openantivirus および jvirus (こちらは可能性が低いかもしれません。というのもこれは完全に Java にもとづいて いるからです) です。また、Debian は以下のような商用対ウイルスソフトウェアを 提供することは決してしないでしょう: Panda AntivirusNAI Netshield (uvscan)Sophos SweepTrendMicro InterscanRAV などです。 くわしくは Linux antivirus software mini-FAQ をごらんください。

ウイルス検知システムを設定する方法についてくわしくは Dave Jones さんの記事 Building an E-mail Virus Detection System for Your Network を ごらんください。


[ 前のページ ] [ 目次 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ 次のページ ]

Debian セキュリティマニュアル

v2.4 Tue, 30 Apr 2002 15:41:13 +0200 (翻訳: Thu, 6 Jun 2002)

Javier Fernández-Sanguino Peña jfs@computer.org
翻訳: 大原雄馬 oohara@libra.interq.or.jp