セキュリティーガイド
1. セキュリティーの概要
Expand section "1. セキュリティーの概要" Collapse section "1. セキュリティーの概要"
1. 1.1. セキュリティーの概要
  Expand section "1.1. セキュリティーの概要" Collapse section "1.1. セキュリティーの概要"
  1. 1.1.1. コンピューターセキュリティーとは
    
    Expand section "1.1.1. コンピューターセキュリティーとは" Collapse section "1.1.1. コンピューターセキュリティーとは"
    
    1.1.1.1. コンピューターセキュリティーのサポート状況
    
    1.1.1.2. Security Today
    
    1.1.1.3. セキュリティーの標準化
  2. 1.1.2. SELinux
  3. 1.1.3. セキュリティーコントロール
    
    Expand section "1.1.3. セキュリティーコントロール" Collapse section "1.1.3. セキュリティーコントロール"
    
    1.1.3.1. 物理的コントロール
    
    1.1.3.2. 技術的コントロール
    
    1.1.3.3. 管理的コントロール
  4. 1.1.4. まとめ
2. 1.2. 脆弱性の評価
  Expand section "1.2. 脆弱性の評価" Collapse section "1.2. 脆弱性の評価"
  1. 1.2.1. 重要です。
  2. 1.2.2. 評価とテストの定義
    
    Expand section "1.2.2. 評価とテストの定義" Collapse section "1.2.2. 評価とテストの定義"
    
    1.2.2.1. 方法論の確立
  3. 1.2.3. ツールの評価
    
    Expand section "1.2.3. ツールの評価" Collapse section "1.2.3. ツールの評価"
    
    1.2.3.1. Nmap を使用したホストのスキャン
    
    Expand section "1.2.3.1. Nmap を使用したホストのスキャン" Collapse section "1.2.3.1. Nmap を使用したホストのスキャン"
    
    1.2.3.1.1. Nmap の使用
    
    1.2.3.2. Nessus
    
    1.2.3.3. grikto
    
    1.2.3.4. 将来のニーズを予測
3. 1.3. セキュリティーに関する影響
  Expand section "1.3. セキュリティーに関する影響" Collapse section "1.3. セキュリティーに関する影響"
  1. 1.3.1. ネットワークセキュリティーへの脅威
    
    Expand section "1.3.1. ネットワークセキュリティーへの脅威" Collapse section "1.3.1. ネットワークセキュリティーへの脅威"
    
    1.3.1.1. 安全ではないアーキテクチャー
    
    Expand section "1.3.1.1. 安全ではないアーキテクチャー" Collapse section "1.3.1.1. 安全ではないアーキテクチャー"
    
    1.3.1.1.1. ブロードキャストネットワーク
    
    1.3.1.1.2. 集中化サーバー
  2. 1.3.2. サーバーセキュリティーへの脅威
    
    Expand section "1.3.2. サーバーセキュリティーへの脅威" Collapse section "1.3.2. サーバーセキュリティーへの脅威"
    
    1.3.2.1. 未使用のサービスとオープンポート
    
    1.3.2.2. 管理の不注意
    
    1.3.2.3. 本質的に安全ではないサービス
  3. 1.3.3. ワークステーションおよびホーム PC セキュリティーに対する脅威
    
    Expand section "1.3.3. ワークステーションおよびホーム PC セキュリティーに対する脅威" Collapse section "1.3.3. ワークステーションおよびホーム PC セキュリティーに対する脅威"
    
    1.3.3.1. 不適切なパスワード
    
    1.3.3.2. 脆弱なクライアントアプリケーション
4. 1.4. 一般的な展開および A fixescks
5. 1.5. セキュリティー更新
  Expand section "1.5. セキュリティー更新" Collapse section "1.5. セキュリティー更新"
2. ネットワークのセキュリティー保護
Expand section "2. ネットワークのセキュリティー保護" Collapse section "2. ネットワークのセキュリティー保護"
1. 2.1. ワークステーションのセキュリティー
  Expand section "2.1. ワークステーションのセキュリティー" Collapse section "2.1. ワークステーションのセキュリティー"
  1. 2.1.1. ワークステーションセキュリティーの評価
  2. 2.1.2. BIOS およびブートローダーのセキュリティー
    
    Expand section "2.1.2. BIOS およびブートローダーのセキュリティー" Collapse section "2.1.2. BIOS およびブートローダーのセキュリティー"
    
    2.1.2.1. BIOS パスワード
    
    Expand section "2.1.2.1. BIOS パスワード" Collapse section "2.1.2.1. BIOS パスワード"
    
    2.1.2.1.1. x86 以外のプラットフォームのセキュリティー保護
    
    2.1.2.2. ブートローダーのパスワード
    
    Expand section "2.1.2.2. ブートローダーのパスワード" Collapse section "2.1.2.2. ブートローダーのパスワード"
    
    2.1.2.2.1. GRUB のパスワード保護
    
    2.1.2.2.2. 対話的な起動の無効化
  3. 2.1.3. パスワードセキュリティー
    
    Expand section "2.1.3. パスワードセキュリティー" Collapse section "2.1.3. パスワードセキュリティー"
    
    2.1.3.1. 強固なパスワードの作成
  4. 2.1.4. 組織内におけるユーザーパスワードの作成
    
    Expand section "2.1.4. 組織内におけるユーザーパスワードの作成" Collapse section "2.1.4. 組織内におけるユーザーパスワードの作成"
    
    2.1.4.1. 強固なパスワードの強制
    
    2.1.4.2. passphrases
    
    2.1.4.3. パスワードの集約
  5. 2.1.5. 非アクティブアカウントのロック
  6. 2.1.6. アクセス制御のカスタマイズ
  7. 2.1.7. 時間ベースのアクセス制限
  8. 2.1.8. アカウント制限の適用
  9. 2.1.9. 管理的コントロール
    
    Expand section "2.1.9. 管理的コントロール" Collapse section "2.1.9. 管理的コントロール"
    
    2.1.9.1. Root アクセスの許可
    
    2.1.9.2. Root アクセスの拒否
    
    2.1.9.3. 自動ログアウトの有効化
    
    2.1.9.4. ルートアクセスの制限
    
    2.1.9.5. アカウントのロック
  10. 2.1.10. セッションのロック
    
    Expand section "2.1.10. セッションのロック" Collapse section "2.1.10. セッションのロック"
    
    2.1.10.1. gnome-screensaver-command を使用した GNOME のロック
    
    Expand section "2.1.10.1. gnome-screensaver-command を使用した GNOME のロック" Collapse section "2.1.10.1. gnome-screensaver-command を使用した GNOME のロック"
    
    2.1.10.1.1. スクリーンセーバーのアクティベーションの自動ロック
    
    2.1.10.1.2. リモートセッションのロック
    
    2.1.10.2. vlock を使用した仮想コンソールのロック
  11. 2.1.11. 利用可能なネットワークサービス
    
    Expand section "2.1.11. 利用可能なネットワークサービス" Collapse section "2.1.11. 利用可能なネットワークサービス"
    
    2.1.11.1. サービスへのリスク
    
    2.1.11.2. サービスの特定と設定
    
    2.1.11.3. 安全ではないサービス
  12. 2.1.12. 個人ファイアウォール
  13. 2.1.13. セキュリティーの強化通信ツール
  14. 2.1.14. リムーバブルメディアの読み取り専用マウントの強制
2. 2.2. サーバーセキュリティー
  Expand section "2.2. サーバーセキュリティー" Collapse section "2.2. サーバーセキュリティー"
  1. 2.2.1. TCP Wrapper および xinetd でのサービスのセキュリティー保護
    
    Expand section "2.2.1. TCP Wrapper および xinetd でのサービスのセキュリティー保護" Collapse section "2.2.1. TCP Wrapper および xinetd でのサービスのセキュリティー保護"
    
    2.2.1.1. TCP Wrapper によるセキュリティーの強化
    
    Expand section "2.2.1.1. TCP Wrapper によるセキュリティーの強化" Collapse section "2.2.1.1. TCP Wrapper によるセキュリティーの強化"
    
    2.2.1.1.1. TCP Wrapper および接続バナー
    
    2.2.1.1.2. TCP Wrapper および Attack の警告
    
    2.2.1.1.3. TCP Wrapper および強化されたロギング
    
    2.2.1.2. xinetd によるセキュリティーの強化
    
    Expand section "2.2.1.2. xinetd によるセキュリティーの強化" Collapse section "2.2.1.2. xinetd によるセキュリティーの強化"
    
    2.2.1.2.1. トレースの設定
    
    2.2.1.2.2. サーバーリソースの制御
  2. 2.2.2. ポートマップのセキュリティー保護
    
    Expand section "2.2.2. ポートマップのセキュリティー保護" Collapse section "2.2.2. ポートマップのセキュリティー保護"
    
    2.2.2.1. TCP Wrapper によるポートマップの保護
    
    2.2.2.2. iptables を使用したポートマップの保護
  3. 2.2.3. NIS のセキュリティー保護
    
    Expand section "2.2.3. NIS のセキュリティー保護" Collapse section "2.2.3. NIS のセキュリティー保護"
    
    2.2.3.1. ネットワークの慎重に計画
    
    2.2.3.2. パスワードのような NIS ドメイン名およびホスト名の使用
    
    2.2.3.3. /var/yp/securenets ファイルの編集
    
    2.2.3.4. 静的ポートの割り当ておよび iptables ルールの使用
    
    2.2.3.5. Kerberos 認証の使用
  4. 2.2.4. NFS のセキュア化
    
    Expand section "2.2.4. NFS のセキュア化" Collapse section "2.2.4. NFS のセキュア化"
    
    2.2.4.1. ネットワークの慎重に計画
    
    2.2.4.2. NFS マウントオプションのセキュリティー保護
    
    Expand section "2.2.4.2. NFS マウントオプションのセキュリティー保護" Collapse section "2.2.4.2. NFS マウントオプションのセキュリティー保護"
    
    2.2.4.2.1. NFS サーバーの確認
    
    2.2.4.2.2. NFS クライアントの確認
    
    2.2.4.3. 構文エラーに注意してください。
    
    2.2.4.4. オプションを使用し no_root_squash ない
    
    2.2.4.5. NFS ファイアウォールの設定
  5. 2.2.5. Apache HTTP サーバーのセキュア化
  6. 2.2.6. FTP のセキュリティー保護
    
    Expand section "2.2.6. FTP のセキュリティー保護" Collapse section "2.2.6. FTP のセキュリティー保護"
    
    2.2.6.1. FTP Greetingbanner
    
    2.2.6.2. Anonymous Access
    
    2.2.6.3. ユーザーアカウント
    
    Expand section "2.2.6.3. ユーザーアカウント" Collapse section "2.2.6.3. ユーザーアカウント"
    
    2.2.6.3.1. ユーザーアカウントの制限
    
    2.2.6.4. TCP Wrapper を使用した制御アクセスの使用
  7. 2.2.7. Postfix のセキュリティー保護
    
    Expand section "2.2.7. Postfix のセキュリティー保護" Collapse section "2.2.7. Postfix のセキュリティー保護"
    
    2.2.7.1. サービス拒否攻撃の制限
    
    2.2.7.2. NFS および Postfix
    
    2.2.7.3. メールのみのユーザー
    
    2.2.7.4. Postfix ネットワークリスティングの無効化
    
    2.2.7.5. Postfix が SASL を使用するよう設定
  8. 2.2.8. Sendmail のセキュリティー保護
    
    Expand section "2.2.8. Sendmail のセキュリティー保護" Collapse section "2.2.8. Sendmail のセキュリティー保護"
    
    2.2.8.1. サービス拒否攻撃の制限
    
    2.2.8.2. NFS および Sendmail
    
    2.2.8.3. メールのみのユーザー
    
    2.2.8.4. Sendmail ネットワークリスティングの無効化
  9. 2.2.9. ポートが一覧表示されるかどうかの確認
  10. 2.2.10. ソースルーティングの無効化
  11. 2.2.11. 逆方向パス転送
    
    Expand section "2.2.11. 逆方向パス転送" Collapse section "2.2.11. 逆方向パス転送"
    
    2.2.11.1. その他のリソース
3. 2.3. シングルサインオン(SSO)
4. 2.4. プラグ可能な認証モジュール(PAM)
5. 2.5. Kerberos
6. 2.6. TCP Wrapper および xinetd
  Expand section "2.6. TCP Wrapper および xinetd" Collapse section "2.6. TCP Wrapper および xinetd"
  1. 2.6.1. TCP Wrapper
    
    Expand section "2.6.1. TCP Wrapper" Collapse section "2.6.1. TCP Wrapper"
    
    2.6.1.1. TCP Wrapper の利点
  2. 2.6.2. TCP Wrapper 設定ファイル
    
    Expand section "2.6.2. TCP Wrapper 設定ファイル" Collapse section "2.6.2. TCP Wrapper 設定ファイル"
    
    2.6.2.1. アクセスルールのフォーマット
    
    Expand section "2.6.2.1. アクセスルールのフォーマット" Collapse section "2.6.2.1. アクセスルールのフォーマット"
    
    2.6.2.1.1. ワイルドカード
    
    2.6.2.1.2. パターン
    
    2.6.2.1.3. Portmap および TCP Wrapper
    
    2.6.2.1.4. Operator
    
    2.6.2.2. オプションフィールド
    
    Expand section "2.6.2.2. オプションフィールド" Collapse section "2.6.2.2. オプションフィールド"
    
    2.6.2.2.1. ロギング
    
    2.6.2.2.2. アクセス制御
    
    2.6.2.2.3. シェルコマンド
    
    2.6.2.2.4. expansions
  3. 2.6.3. xinetd
  4. 2.6.4. xinetd 設定ファイル
    
    Expand section "2.6.4. xinetd 設定ファイル" Collapse section "2.6.4. xinetd 設定ファイル"
    
    2.6.4.1. /etc/xinetd.conf ファイル
    
    2.6.4.2. /etc/xinetd.d/ ディレクトリー
    
    2.6.4.3. xinetd 設定ファイルの変更
    
    Expand section "2.6.4.3. xinetd 設定ファイルの変更" Collapse section "2.6.4.3. xinetd 設定ファイルの変更"
    
    2.6.4.3.1. ロギングのオプション
    
    2.6.4.3.2. アクセス制御オプション
    
    2.6.4.3.3. バインディングおよびリダイレクトオプション
    
    2.6.4.3.4. リソース管理オプション
  5. 2.6.5. その他のリソース
    
    Expand section "2.6.5. その他のリソース" Collapse section "2.6.5. その他のリソース"
    
    2.6.5.1. インストールされた TCP Wrapper ドキュメンテーション
    
    2.6.5.2. 関連書籍
7. 2.7. 仮想プライベートネットワーク(VPN)のセキュリティー保護
  Expand section "2.7. 仮想プライベートネットワーク(VPN)のセキュリティー保護" Collapse section "2.7. 仮想プライベートネットワーク(VPN)のセキュリティー保護"
  1. 2.7.1. Libreswan を使用した IPsec VPN
  2. 2.7.2. Libreswan を使用した VPN 設定
  3. 2.7.3. Libreswan を使用したホスト間の VPN
    
    Expand section "2.7.3. Libreswan を使用したホスト間の VPN" Collapse section "2.7.3. Libreswan を使用したホスト間の VPN"
    
    2.7.3.1. Libreswan を使用したホスト間の VPN の検証
  4. 2.7.4. Libreswan を使用したサイト間の VPN
    
    Expand section "2.7.4. Libreswan を使用したサイト間の VPN" Collapse section "2.7.4. Libreswan を使用したサイト間の VPN"
    
    2.7.4.1. Libreswan を使用したサイト間の VPN の確認
  5. 2.7.5. Libreswan を使用したサイト間のシングルトンネリング VPN
  6. 2.7.6. Libreswan を使用したサブネットの追加
  7. 2.7.7. Libreswan を使用したロードエリアアクセス VPN
  8. 2.7.8. Libreswan を使用したロードロードアクセス VPN および X.509 による XAUTH
  9. 2.7.9. その他のリソース
    
    Expand section "2.7.9. その他のリソース" Collapse section "2.7.9. その他のリソース"
    
    2.7.9.1. インストールされているドキュメント
    
    2.7.9.2. オンラインドキュメント
8. 2.8. ファイアウォール
  Expand section "2.8. ファイアウォール" Collapse section "2.8. ファイアウォール"
  1. 2.8.1. netfilter および IPTables
    
    Expand section "2.8.1. netfilter および IPTables" Collapse section "2.8.1. netfilter および IPTables"
    
    2.8.1.1. iptables の概要
  2. 2.8.2. ファイアウォールの基本設定
    
    Expand section "2.8.2. ファイアウォールの基本設定" Collapse section "2.8.2. ファイアウォールの基本設定"
    
    2.8.2.1. ファイアウォール設定ツール
    
    2.8.2.2. ファイアウォールの有効化および無効化
    
    2.8.2.3. 信頼できるサービス
    
    2.8.2.4. その他のポート
    
    2.8.2.5. 設定の保存
    
    2.8.2.6. IPTables サービスのアクティブ化
  3. 2.8.3. IPTables の使用
    
    Expand section "2.8.3. IPTables の使用" Collapse section "2.8.3. IPTables の使用"
    
    2.8.3.1. iptables コマンドの構文
    
    2.8.3.2. 基本的なファイアウォールポリシー
    
    2.8.3.3. IPTables ルールの保存および復元
  4. 2.8.4. 一般的な IPTables フィルター
  5. 2.8.5. FORWARD および NAT ルール
    
    Expand section "2.8.5. FORWARD および NAT ルール" Collapse section "2.8.5. FORWARD および NAT ルール"
    
    2.8.5.1. POSTROUTING および IP マスカレード
    
    2.8.5.2. PREROUTING
    
    2.8.5.3. DMZ および IPTables
  6. 2.8.6. 悪意のあるソフトウェアおよびなりすましの IP アドレス
  7. 2.8.7. iptables と接続追跡
  8. 2.8.8. IPv6
  9. 2.8.9. iptables
    
    Expand section "2.8.9. iptables" Collapse section "2.8.9. iptables"
    
    2.8.9.1. パケットのフィルタリング
    
    2.8.9.2. IPTables のコマンドオプション
    
    Expand section "2.8.9.2. IPTables のコマンドオプション" Collapse section "2.8.9.2. IPTables のコマンドオプション"
    
    2.8.9.2.1. IPTables コマンドオプションの構造
    
    2.8.9.2.2. コマンドオプション
    
    2.8.9.2.3. iptables パラメーターオプション
    
    2.8.9.2.4. iptables マッチングオプション
    
    Expand section "2.8.9.2.4. iptables マッチングオプション" Collapse section "2.8.9.2.4. iptables マッチングオプション"
    
    2.8.9.2.4.1. TCP プロトコル
    
    2.8.9.2.4.2. UDP プロトコル
    
    2.8.9.2.4.3. ICMP プロトコル
    
    2.8.9.2.4.4. 追加の一致オプションモジュール
    
    2.8.9.2.5. ターゲットオプション
    
    2.8.9.2.6. オプションの一覧表示
    
    2.8.9.3. IPTables ルールの保存
    
    2.8.9.4. iptables の制御スクリプト
    
    Expand section "2.8.9.4. iptables の制御スクリプト" Collapse section "2.8.9.4. iptables の制御スクリプト"
    
    2.8.9.4.1. iptables の制御スクリプト設定ファイル
    
    2.8.9.5. iptables および IP セット
    
    Expand section "2.8.9.5. iptables および IP セット" Collapse section "2.8.9.5. iptables および IP セット"
    
    2.8.9.5.1. ipset のインストール
    
    2.8.9.5.2. ipset コマンド
    
    2.8.9.5.3. IP セットの種類
    
    2.8.9.6. iptables および IPv6
    
    2.8.9.7. その他のリソース
    
    Expand section "2.8.9.7. その他のリソース" Collapse section "2.8.9.7. その他のリソース"
    
    2.8.9.7.1. 便利なファイアウォールの Web サイト
    
    2.8.9.7.2. 関連ドキュメント
    
    2.8.9.7.3. インストールした IP テーブルに関するドキュメント
3. 暗号化
Expand section "3. 暗号化" Collapse section "3. 暗号化"
1. 3.1. 復元中のデータ
  Expand section "3.1. 復元中のデータ" Collapse section "3.1. 復元中のデータ"
  1. 3.1.1. 完全なディスク暗号化
  2. 3.1.2. ファイルベースの暗号化
  3. 3.1.3. LUKS ディスクの暗号化
    
    Expand section "3.1.3. LUKS ディスクの暗号化" Collapse section "3.1.3. LUKS ディスクの暗号化"
    
    3.1.3.1. Red Hat Enterprise Linux の LUKS 実装
    
    3.1.3.2. ディレクトリーの手動暗号化
    
    3.1.3.3. 既存のデバイスへの新規パスフレーズの追加
    
    3.1.3.4. 既存デバイスからのパスフレーズの削除
    
    3.1.3.5. Anaconda での暗号化ブロックデバイスの作成
    
    3.1.3.6. その他のリソース
2. 3.2. Motion のデータ
  Expand section "3.2. Motion のデータ" Collapse section "3.2. Motion のデータ"
  1. 3.2.1. 仮想プライベートネットワーク
  2. 3.2.2. セキュアなシェル
    
    Expand section "3.2.2. セキュアなシェル" Collapse section "3.2.2. セキュアなシェル"
    
    3.2.2.1. 暗号化ログイン
    
    3.2.2.2. 複数の認証方法
    
    3.2.2.3. SSH のセキュリティー保護のその他の方法
3. 3.3. OpenSSL Intel AES-NI Engine
4. 3.4. Random number Generator の使用
5. 3.5. GNU Privacy Guard(GPG)
  Expand section "3.5. GNU Privacy Guard(GPG)" Collapse section "3.5. GNU Privacy Guard(GPG)"
6. 3.6. stunnel の使用
  Expand section "3.6. stunnel の使用" Collapse section "3.6. stunnel の使用"
7. 3.7. TLS 設定のハードニング
  Expand section "3.7. TLS 設定のハードニング" Collapse section "3.7. TLS 設定のハードニング"
  1. 3.7.1. 有効にするアルゴリズムの選択
  2. 3.7.2. TLS の実装の使用
    
    Expand section "3.7.2. TLS の実装の使用" Collapse section "3.7.2. TLS の実装の使用"
    
    3.7.2.1. OpenSSL での暗号スイートの使用
    
    3.7.2.2. GnuTLS での暗号スイートの使用
  3. 3.7.3. 特定のアプリケーションの設定
    
    Expand section "3.7.3. 特定のアプリケーションの設定" Collapse section "3.7.3. 特定のアプリケーションの設定"
    
    3.7.3.1. Apache HTTP サーバーの設定
  4. 3.7.4. 追加情報
4. 情報セキュリティーの一般的な原則
5. セキュアなインストール
Expand section "5. セキュアなインストール" Collapse section "5. セキュアなインストール"
1. 5.1. ディスクパーティション
2. 5.2. LUKS パーティション暗号化の使用
6. ソフトウェアメンテナンス
Expand section "6. ソフトウェアメンテナンス" Collapse section "6. ソフトウェアメンテナンス"
7. システム監査
Expand section "7. システム監査" Collapse section "7. システム監査"
1. 7.1. Audit システムのアーキテクチャー
2. 7.2. audit パッケージのインストール
3. 7.3. 監査サービスの設定
  Expand section "7.3. 監査サービスの設定" Collapse section "7.3. 監査サービスの設定"
  1. 7.3.1. CAPP 環境での auditd の設定
4. 7.4. 監査サービスの起動
5. 7.5. 監査ルールの定義
  Expand section "7.5. 監査ルールの定義" Collapse section "7.5. 監査ルールの定義"
  1. 7.5.1. auditctl ユーティリティーを使用した Audit ルールの定義
  2. 7.5.2. ファイルでの永続監査ルールおよび制御の /etc/audit/audit.rules 定義
6. 7.6. Audit ログファイルについて
7. 7.7. 監査ログファイルの検索
8. 7.8. 監査レポートの作成
9. 7.9. 監査用の PAM の設定
  Expand section "7.9. 監査用の PAM の設定" Collapse section "7.9. 監査用の PAM の設定"
  1. 7.9.1. pam_tty_audit の設定
10. 7.10. その他のリソース
8. OpenSCAP を使用したコンプライアンスおよび脆弱性のスキャン
Expand section "8. OpenSCAP を使用したコンプライアンスおよび脆弱性のスキャン" Collapse section "8. OpenSCAP を使用したコンプライアンスおよび脆弱性のスキャン"
1. 8.1. Red Hat Enterprise Linux におけるセキュリティーコンプライアンス
2. 8.2. コンプライアンスポリシーの定義
  Expand section "8.2. コンプライアンスポリシーの定義" Collapse section "8.2. コンプライアンスポリシーの定義"
3. 8.3. SCAP Workbench の使用
  Expand section "8.3. SCAP Workbench の使用" Collapse section "8.3. SCAP Workbench の使用"
4. 8.4. oscapの使用
  Expand section "8.4. oscapの使用" Collapse section "8.4. oscapの使用"
  1. 8.4.1. oscapのインストール
  2. 8.4.2. SCAP コンテンツの表示
  3. 8.4.3. システムのスキャン
  4. 8.4.4. レポートおよびガイドの生成
  5. 8.4.5. SCAP コンテンツの検証
  6. 8.4.6. OpenSCAP を使用したシステムの修復
    
    Expand section "8.4.6. OpenSCAP を使用したシステムの修復" Collapse section "8.4.6. OpenSCAP を使用したシステムの修復"
    
    8.4.6.1. OpenSCAP オンライン修正
    
    8.4.6.2. OpenSCAP オフライン修正
    
    8.4.6.3. OpenSCAP 修正の確認
5. 8.5. Red Hat Satellite での OpenSCAP の使用
6. 8.6. キックスタートによる USGCB 対応システムのインストール
7. 8.7. 実用的な例
  Expand section "8.7. 実用的な例" Collapse section "8.7. 実用的な例"
  1. 8.7.1. セキュリティー脆弱性の監査 Red Hat 製品の脆弱性
  2. 8.7.2. SCAP セキュリティーガイドを使用したシステム設定の監査
8. 8.8. その他のリソース
9. AIDEでの整合性の確認
Expand section "9. AIDEでの整合性の確認" Collapse section "9. AIDEでの整合性の確認"
10. 電子規格および規則
Expand section "10. 電子規格および規則" Collapse section "10. 電子規格および規則"
1. 10.1. はじめに
2. 10.2. 連邦情報処理標準(FIPS)
  Expand section "10.2. 連邦情報処理標準(FIPS)" Collapse section "10.2. 連邦情報処理標準(FIPS)"
  1. 10.2.1. FIPS モードの有効化
  2. 10.2.2. NSS を使用したアプリケーションの FIPS モードの有効化
3. 10.3. NISPOM (National Industrial Security Program Operating Manual)
4. 10.4. PCI DSS(Payment Card Industry Data Security Standard)
5. 10.5. セキュリティー技術実装ガイド
11. リファレンス
A. 暗号化の標準
Expand section "A. 暗号化の標準" Collapse section "A. 暗号化の標準"
1. A.1. 同期暗号化
  Expand section "A.1. 同期暗号化" Collapse section "A.1. 同期暗号化"
  1. A.1.1. 高度な暗号化標準 - AES
    
    Expand section "A.1.1. 高度な暗号化標準 - AES" Collapse section "A.1.1. 高度な暗号化標準 - AES"
    
    A.1.1.1. AES 履歴
  2. A.1.2. データ暗号化標準 - DES
    
    Expand section "A.1.2. データ暗号化標準 - DES" Collapse section "A.1.2. データ暗号化標準 - DES"
    
    A.1.2.1. DES 履歴
2. A.2. 公開鍵暗号化
  Expand section "A.2. 公開鍵暗号化" Collapse section "A.2. 公開鍵暗号化"
  1. A.2.1. Diffie-Hellman
    
    Expand section "A.2.1. Diffie-Hellman" Collapse section "A.2.1. Diffie-Hellman"
    
    A.2.1.1. Diffie-Hellman 履歴
  2. A.2.2. RSA
  3. A.2.3. DSA
  4. A.2.4. SSL/TLS
  5. A.2.5. Cramer-Shoup Cryptosystem
  6. A.2.6. ElasticsearchGamal Encryption
B. Audit システムのリファレンス
Expand section "B. Audit システムのリファレンス" Collapse section "B. Audit システムのリファレンス"
1. B.1. 監査イベントフィールド
2. B.2. 監査レコードタイプ
C. 改訂履歴
法律上の通知

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.2.2. OVAL ファイル形式

セキュリティー検査言語 OVAL (Open Vulnerability Assessment Language) は、SCAP に不可欠で最も古いコンポーネントです。OVAL 規格の主な目的は、セキュリティー製品間の相互運用性を有効にすることです。これは、以下の 3 つのドメインを標準化することで実現されます。

ターゲットシステム設定の表現。
ターゲットシステムの分析で特定のマシン状態が存在する。
指定されたマシンの状態と観察されたマシン状態の比較の結果を報告します。

その他のツールやカスタムスクリプトとは異なり、OVAL 言語は、宣言型でリソースの望ましい状態を記述します。OVAL 言語コードは直接実行されることはありませんが、スキャナー と呼ばれる OVAL インタープリターツールを用いて実行します。OVAL が宣言型であるため、評価されるシステムの状態が誤って変更されません。これは、セキュリティースキャナーが最も高い権限で実行される場合があるためです。

OVAL 仕様は、公開コメントとマーケティングのために開かれており、IT 業界が MITRE に提供され、プロモーションの非プロモーション組織が多数公開されています。OVAL 仕様は継続的に進化し、さまざまな資料はバージョン番号によって区別されます。現在のバージョン 5.10.1 は 2012 年 1 月にリリースされました。

他のすべての SCAP コンポーネントと同様に、OVAL は XML に基づいています。OVAL 標準は、いくつかのドキュメント形式を定義します。これらはそれぞれ異なる種類の情報が含まれ、異なる目的を提供します。

OVAL ドキュメント形式

OVAL Definitions 形式は、システムスキャンに直接使用される OVAL ファイル形式です。OVAL Definitions ドキュメントでは、ターゲットシステムの望ましい状態を説明します。
OVAL 変数の形式は、OVAL Definitions ドキュメントの修正に使用される変数を定義します。OVAL 変数のドキュメントは通常、実行時にターゲットシステムのセキュリティーコンテンツを調整するために、OVAL Definitions ドキュメントとともに使用されます。
OVAL System Characteristics 形式は、評価されるシステムに関する情報を保持します。OVAL System Characteristics ドキュメントは、通常、OVAL Definitions ドキュメントで定義されている期待される状態と比較するために、システムの実際の状態を比較するために使用されます。
OVAL Results は、システム評価の結果を報告するのに使用される最も包括的な OVAL 形式です。OVAL Results ドキュメントには、一般的に評価される OVAL 定義のコピー、バインドされた OVAL 変数、OVAL システム特性、およびシステムの特性と定義の比較に基づいて計算されるテストの結果が含まれます。
OVAL Directives 形式は、特定の詳細を含めるまたは除外することで、OVAL Result ドキュメントの冗長性を調整するために使用されます。
OVAL Common Model 形式には、その他の複数の OVAL スキームで使用されるコンストラクトおよびエミュレーションの定義が含まれています。これは、複数のドキュメントでの重複を避けるために、OVAL 定義を再利用するために使用されます。

OVAL Definitions ドキュメントは、定義、テスト、オブジェクト、状態、変数の 5 つの基本的なセクションで各要件が定義 されている設定要件のセットで構成されています。define セクション内の要素は、指定の定義を満たすためにテストを実行するかどうかを記述します。test 要素のリンクオブジェクトと状態をまとめます。システム評価中に、指定のオブジェクト要素によって示される評価されたシステムのリソースが指定の state 要素と一致する場合に、テストが渡されるとみなされます。variables セクションは、State セクションから要素を調整するのに使用できる外部変数を定義します。これらのセクション以外には、OVAL Definitions ドキュメントには、通常 ジェネレーター と署名セクションが含まれています。generator セクションは、ドキュメントの作成元と、そのコンテンツに関するさまざまな追加情報を保持します。

OVAL ドキュメントの基本セクションの各要素は、以下の形式の識別子によって明確に識別されます。

oval:namespace:type:ID

namespace は識別子を定義する名前空間で、type は定義要素の場合は def、tests 要素の場合は tst、オブジェクト要素の場合は obj、および変数要素の場合は var、ID は識別子の整数値になります。

例8.2 OVAL Definitions ドキュメントの例

          
<?xml version="1.0" encoding="utf-8"?>
<oval_definitions
    xmlns:lin-def="http://oval.mitre.org/XMLSchema/oval-definitions-5#linux"
    xmlns:oval="http://oval.mitre.org/XMLSchema/oval-common-5"
    xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <generator>
    <oval:product_name>vim</oval:product_name>
    <oval:schema_version>5.10.1</oval:schema_version>
    <oval:timestamp>2012-11-22T15:00:00+01:00</oval:timestamp>
  </generator>
  <definitions>
    <definition class="inventory" 
        id="oval:org.open-scap.cpe.rhel:def:6" 
        version="1">
      <metadata>
        <title>Red Hat Enterprise Linux 6</title>
        <affected family="unix">
          <platform>Red Hat Enterprise Linux 6</platform>
        </affected>
        <reference ref_id="cpe:/o:redhat:enterprise_linux:6" 
            source="CPE"/>
        <description>
          The operating system installed on the system is Red Hat Enterprise Linux 6
        </description>
      </metadata>
      <criteria>
        <criterion comment="Red Hat Enterprise Linux 6 is installed" 
            test_ref="oval:org.open-scap.cpe.rhel:tst:6"/>
      </criteria>
    </definition>
  </definitions>
  <tests>
    <lin-def:rpminfo_test check_existence="at_least_one_exists" 
        id="oval:org.open-scap.cpe.rhel:tst:6" 
        version="1" 
        check="at least one" 
        comment="redhat-release is version 6">
      <lin-def:object object_ref="oval:org.open-scap.cpe.redhat-release:obj:1"/>
      <lin-def:state state_ref="oval:org.open-scap.cpe.rhel:ste:6"/>
    </lin-def:rpminfo_test>
  </tests>
  <objects>
    <lin-def:rpmverifyfile_object id="oval:org.open-scap.cpe.redhat-release:obj:1" 
        version="1">
      <!-- This object represents rpm package which owns /etc/redhat-release file -->
      <lin-def:behaviors nolinkto='true' 
          nomd5='true' 
          nosize='true' 
          nouser='true' 
          nogroup='true' 
          nomtime='true' 
          nomode='true' 
          nordev='true' 
          noconfigfiles='true' 
          noghostfiles='true' />
      <lin-def:name operation="pattern match"/>
      <lin-def:epoch operation="pattern match"/>
      <lin-def:version operation="pattern match"/>
      <lin-def:release operation="pattern match"/>
      <lin-def:arch operation="pattern match"/>
      <lin-def:filepath>/etc/redhat-release</lin-def:filepath>
    </lin-def:rpmverifyfile_object>
  </objects>
  <states>
    <lin-def:rpminfo_state id="oval:org.open-scap.cpe.rhel:ste:6" 
        version="1">
      <lin-def:name operation="pattern match">^redhat-release</lin-def:name>
      <lin-def:version operation="pattern match">^6[^\d]</lin-def:version>
    </lin-def:rpminfo_state>
  </states>
</oval_definitions>

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

8.2.2. OVAL ファイル形式