Red Hat Enterprise Linux 6

セキュリティガイド

Red Hat Enterprise Linux のセキュリティに関するガイド

Logo

Martin Prpič

Red Hat Customer Content Services

Tomáš Čapek

Red Hat Customer Content Services

Stephen Wadeley

Red Hat Customer Content Services

Yoana Ruseva

Red Hat Customer Content Services

Miroslav Svoboda

Red Hat Customer Content Services

Robert Krátký

Red Hat Customer Content Services

法律上の通知

Copyright © 2014 Red Hat, Inc.
Based on the Fedora Security Guide (current version at http://docs.fedoraproject.org/en-US/Fedora/16/html/Security_Guide/index.html), written by Johnray Fuller, Eric Christensen, Adam Ligas, and other Fedora Project contributors.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
All other trademarks are the property of their respective owners.

 1801 Varsity Drive RaleighNC 27606-2072 USA Phone: +1 919 754 3700 Phone: 888 733 4281 Fax: +1 919 754 3701

概要

本書は、ユーザーおよび管理者が、ローカルまたはリモートからの侵入、悪用および悪意のある行為に対してワークステーションとサーバーを保護するプロセスと方法を習得する際の手助けとなります。
本ガイドは Red Hat Enterprise Linux にフォーカスしたものですが、概念と手法はすべての Linux システムに適用できるものです。データセンター、勤務先および個人宅での安全なコンピューター環境の構築に必要となるプランニングとツールについて詳細に説明しています。
管理上の適切な知識と警戒体制およびツールを備えることで、Linux を実行しているシステムの機能をフルに活用し、かつこれらのシステムをほとんどの一般的な侵入や悪用の手法から保護することができます。
1. セキュリティの概要
1.1. セキュリティの概要
1.1.1. コンピューターセキュリティとは
1.1.2. SELinux
1.1.3. セキュリティ制御
1.1.4. 結論
1.2. 脆弱性のアセスメント
1.2.1. 敵の視点で考える
1.2.2. アセスメントとテストの定義
1.2.3. ツールの評価
1.3. 攻撃者と脆弱性
1.3.1. ハッカーの歴史の概観
1.3.2. ネットワークセキュリティへの脅威
1.3.3. サーバーセキュリティへの脅威
1.3.4. ワークステーションおよび家庭用 PC のセキュリティに対する脅威
1.4. 一般的な不正使用と攻撃
1.5. セキュリティの更新
1.5.1. パッケージの更新
1.5.2. 署名パッケージの検証
1.5.3. 署名パッケージのインストール
1.5.4. 変更の適用
2. ネットワークのセキュリティ保護
2.1. ワークステーションのセキュリティ
2.1.1. ワークステーションのセキュリティ評価
2.1.2. BIOS およびブートローダーのセキュリティ
2.1.3. パスワードのセキュリティ
2.1.4. 組織内でのユーザーパスワード作成
2.1.5. 動きのないアカウントをロックする
2.1.6. アクセス制御のカスタマイズ
2.1.7. 時間ベースのアクセス制限
2.1.8. アカウント制限の適用
2.1.9. 管理者コントロール
2.1.10. セッションのロック
2.1.11. 利用可能なネットワーク
2.1.12. 個人用ファイアウォール
2.1.13. セキュリティ強化の通信ツール
2.2. サーバーのセキュリティ
2.2.1. TCP Wrapperおよび xinetd によるサービスのセキュア化
2.2.2. ポートマップのセキュア化
2.2.3. NIS のセキュア化
2.2.4. NFS のセキュア化
2.2.5. Apache HTTP サーバーのセキュア化
2.2.6. FTP のセキュア化
2.2.7. Postfix のセキュア化
2.2.8. Sendmail のセキュア化
2.2.9. リッスンしているポートの確認
2.2.10. ソースルーティングの無効化
2.2.11. 逆方向パス転送
2.3. シングルサインオン (SSO)
2.4. PAM (プラグ可能な認証モジュール)
2.5. Kerberos
2.6. TCP Wrapper と xinetd
2.6.1. TCP Wrapper
2.6.2. TCP Wrapper の設定ファイル
2.6.3. xinetd
2.6.4. xinetd の設定ファイル
2.6.5. その他のリソース
2.7. 仮想プライベートネットワーク (VPN)
2.7.1. VPN の機能
2.7.2. Openswan
2.7.3. Openswan を使った IPsec VPN
2.7.4. Openswan を使った VPN 設定
2.7.5. Openswan を使用したホスト間の VPN
2.7.6. Openswan を使ったサイト間の VPN
2.7.7. Openswan を使ったサイト間の単一トンネル VPN
2.7.8. Openswan を使ったサブネット押し出し
2.7.9. Openswan を使ったロードウォリアーアプリケーション
2.7.10. その他のリソース
2.8. ファイアウォール
2.8.1. Netfilter と IPTables
2.8.2. 基本的なファイアウォールの設定
2.8.3. IPTables の使用
2.8.4. 一般的な IPTables によるフィルタリング
2.8.5. FORWARD および NAT ルール
2.8.6. 悪意のあるソフトウェアと偽装された IP アドレス
2.8.7. IPTables と接続追跡 (Connection Tracking)
2.8.8. IPv6
2.8.9. IPTables
3. 暗号化
3.1. 静止しているデータ
3.1.1. ディスク全体の暗号化
3.1.2. ファイルベースの暗号化
3.1.3. LUKS のディスク暗号化
3.2. 移動中のデータ
3.2.1. 仮想プライベートネットワーク (VPN)
3.2.2. SSH (Secure Shell)
3.3. OpenSSL インテル AES-NI エンジン
3.4. 乱数ジェネレーターの使用
3.5. GNU Privacy Guard (GPG)
3.5.1. GNOME での GPG 鍵の生成
3.5.2. KDE での GPG 鍵の作成
3.5.3. コマンドラインを用いた GPG 鍵の生成
3.5.4. 公開鍵の暗号化について
3.6. stunnel の使用
3.6.1. stunnel のインストール
3.6.2. stunnel を TLS ラッパーとして設定する
3.6.3. stunnel の起動、停止、再起動
3.7. TLS 設定の強化
3.7.1. 有効にするアルゴリズムの選択
3.7.2. TLS 実装の使用
3.7.3. 特定アプリケーションの設定
3.7.4. その他の情報
4. 情報セキュリティの一般原則
5. セキュアなインストール
5.1. ディスクパーティション
5.2. LUKS パーティション暗号化の利用
6. ソフトウェアのメンテナンス
6.1. 最小限のソフトウェアインストール
6.2. セキュリティ更新の計画と設定
6.3. 自動更新の調整
6.4. 一般的なリポジトリからの署名パッケージのインストール
7. システム監査
7.1. Audit システムのアーキテクチャー
7.2. audit パッケージのインストール
7.3. audit サービスの設定
7.3.1. CAPP 環境用の auditd 設定
7.4. audit サービスの起動
7.5. Audit ルールの定義
7.5.1. auditctl ユーティリティーを使った Audit ルールの定義
7.5.2. 永続的な Audit ルールの定義と /etc/audit/audit.rules ファイルでの制御
7.6. Audit ログファイルについて
7.7. Audit ログファイルの検索
7.8. Audit レポートの作成
7.9. Audit 用の PAM 設定
7.9.1. pam_tty_audit の設定
7.10. その他のリソース
8. コンプライアンスおよび OpenSCAP を使った脆弱性のスキャン
8.1. Red Hat Enterprise Linux におけるセキュリティコンプライアンス
8.2. コンプライアンスポリシーの定義
8.2.1. XCCDF ファイル形式
8.2.2. OVAL ファイル形式
8.2.3. データストリームの形式
8.3. oscap の使用
8.3.1. oscap のインストール
8.3.2. SCAP コンテンツの表示
8.3.3. システムのスキャン
8.3.4. レポートおよびガイドの生成
8.3.5. SCAP コンテンツの検証
8.4. Red Hat Satellite での OpenSCAP の使用
8.5. 実用的な使用例
8.5.1. Red Hat 製品のセキュリティ脆弱性の監査
8.5.2. SCAP セキュリティガイドを使ったシステム設定の監査
8.6. その他のリソース
9. 米連邦政府の標準および規制
9.1. はじめに
9.2. 連邦情報処理標準 (FIPS: Federal Information Processing Standard)
9.2.1. FIPS モードの有効化
9.3. NISPOM (National Industrial Security Program Operating Manual)
9.4. PCI DSS (Payment Card Industry Data Security Standard)
9.5. セキュリティ技術導入ガイド (Security Technical Implementation Guide)
10. 参考資料
A. 暗号の標準
A.1. 同期式の暗号
A.1.1. 高度暗号化標準 (AES)
A.1.2. データ暗号化標準 (DES)
A.2. 公開鍵暗号
A.2.1. Diffie-Hellman
A.2.2. RSA
A.2.3. DSA
A.2.4. SSL/TLS
A.2.5. Cramer-Shoup 暗号システム
A.2.6. ElGamal 暗号
B. Audit システムのリファレンス
B.1. Audit イベントフィールド
B.2. Audit 記録のタイプ
C. 改訂履歴