セキュリティーガイド
1. セキュリティーの概要
Expand section "1. セキュリティーの概要" Collapse section "1. セキュリティーの概要"
1. 1.1. コンピューターセキュリティーとは
  Expand section "1.1. コンピューターセキュリティーとは" Collapse section "1.1. コンピューターセキュリティーとは"
  1. 1.1.1. セキュリティーの標準化
  2. 1.1.2. 暗号化ソフトウェアおよび認定
2. 1.2. セキュリティーコントロール
  Expand section "1.2. セキュリティーコントロール" Collapse section "1.2. セキュリティーコントロール"
3. 1.3. 脆弱性のアセスメント
  Expand section "1.3. 脆弱性のアセスメント" Collapse section "1.3. 脆弱性のアセスメント"
  1. 1.3.1. アセスメントとテストの定義
  2. 1.3.2. 脆弱性評価に関する方法論の確立
  3. 1.3.3. 脆弱性アセスメントのツール
    
    Expand section "1.3.3. 脆弱性アセスメントのツール" Collapse section "1.3.3. 脆弱性アセスメントのツール"
    
    1.3.3.1. Nmap を使用したホストのスキャン
    
    Expand section "1.3.3.1. Nmap を使用したホストのスキャン" Collapse section "1.3.3.1. Nmap を使用したホストのスキャン"
    
    1.3.3.1.1. Nmap の使用
    
    1.3.3.2. Nessus
    
    1.3.3.3. OpenVAS
    
    1.3.3.4. Nikto
4. 1.4. セキュリティーへの脅威
  Expand section "1.4. セキュリティーへの脅威" Collapse section "1.4. セキュリティーへの脅威"
5. 1.5. 一般的な不正使用と攻撃
2. インストール時におけるセキュリティーのヒント
Expand section "2. インストール時におけるセキュリティーのヒント" Collapse section "2. インストール時におけるセキュリティーのヒント"
1. 2.1. BIOS のセキュア化
  Expand section "2.1. BIOS のセキュア化" Collapse section "2.1. BIOS のセキュア化"
  1. 2.1.1. BIOS パスワード
    
    Expand section "2.1.1. BIOS パスワード" Collapse section "2.1.1. BIOS パスワード"
    
    2.1.1.1. 非 BIOS ベースのシステムの保護
2. 2.2. ディスクのパーティション設定
3. 2.3. 必要なパッケージの最小限のインストール
4. 2.4. インストールプロセス時のネットワーク接続の制限
5. 2.5. インストール後の手順
6. 2.6. 関連情報
3. システムを最新の状態に保つ
Expand section "3. システムを最新の状態に保つ" Collapse section "3. システムを最新の状態に保つ"
1. 3.1. インストール済みソフトウェアのメンテナンス
  Expand section "3.1. インストール済みソフトウェアのメンテナンス" Collapse section "3.1. インストール済みソフトウェアのメンテナンス"
  1. 3.1.1. セキュリティーの更新の立案と設定
    
    Expand section "3.1.1. セキュリティーの更新の立案と設定" Collapse section "3.1.1. セキュリティーの更新の立案と設定"
    
    3.1.1.1. Yum のセキュリティー機能の使用
  2. 3.1.2. パッケージの更新とインストール
    
    Expand section "3.1.2. パッケージの更新とインストール" Collapse section "3.1.2. パッケージの更新とインストール"
    
    3.1.2.1. 署名パッケージの検証
    
    3.1.2.2. 署名パッケージのインストール
  3. 3.1.3. インストールされた更新によって導入された変更の適用
2. 3.2. Red Hat カスタマーポータルの使用
  Expand section "3.2. Red Hat カスタマーポータルの使用" Collapse section "3.2. Red Hat カスタマーポータルの使用"
3. 3.3. 関連情報
4. ツールとサービスでシステムを強化する
Expand section "4. ツールとサービスでシステムを強化する" Collapse section "4. ツールとサービスでシステムを強化する"
1. 4.1. デスクトップのセキュリティー
  Expand section "4.1. デスクトップのセキュリティー" Collapse section "4.1. デスクトップのセキュリティー"
  1. 4.1.1. パスワードセキュリティー
    
    Expand section "4.1.1. パスワードセキュリティー" Collapse section "4.1.1. パスワードセキュリティー"
    
    4.1.1.1. 強固なパスワードの作成
    
    4.1.1.2. 強固なパスワードの強制
    
    4.1.1.3. パスワードエージングの設定
  2. 4.1.2. アカウントのロック
  3. 4.1.3. セッションのロック
    
    Expand section "4.1.3. セッションのロック" Collapse section "4.1.3. セッションのロック"
    
    4.1.3.1. vlock を使った仮想コンソールのロック
  4. 4.1.4. リムーバブルメディアの読み取り専用マウントの強制
2. 4.2. Root アクセスの制御
  Expand section "4.2. Root アクセスの制御" Collapse section "4.2. Root アクセスの制御"
  1. 4.2.1. Root アクセスの拒否
  2. 4.2.2. Root アクセスの許可
  3. 4.2.3. Root アクセスの制限
  4. 4.2.4. 自動ログアウトの有効化
  5. 4.2.5. ブートローダーのセキュア化
    
    Expand section "4.2.5. ブートローダーのセキュア化" Collapse section "4.2.5. ブートローダーのセキュア化"
    
    4.2.5.1. インタラクティブスタートアップの無効化
  6. 4.2.6. ハードリンクおよびシンボリックリンクの保護
3. 4.3. サービスのセキュア化
  Expand section "4.3. サービスのセキュア化" Collapse section "4.3. サービスのセキュア化"
  1. 4.3.1. サービスへのリスク
  2. 4.3.2. サービスの識別と設定
  3. 4.3.3. 安全でないサービス
  4. 4.3.4. rpcbind のセキュア化
    
    Expand section "4.3.4. rpcbind のセキュア化" Collapse section "4.3.4. rpcbind のセキュア化"
    
    4.3.4.1. TCP Wrapper による rpcbind の保護
    
    4.3.4.2. firewalld による rpcbind の保護
  5. 4.3.5. rpc.mountd のセキュア化
    
    Expand section "4.3.5. rpc.mountd のセキュア化" Collapse section "4.3.5. rpc.mountd のセキュア化"
    
    4.3.5.1. TCP ラッパーによる rpc.mountd の保護
    
    4.3.5.2. firewalld による rpc.mountd の保護
  6. 4.3.6. NIS のセキュア化
    
    Expand section "4.3.6. NIS のセキュア化" Collapse section "4.3.6. NIS のセキュア化"
    
    4.3.6.1. ネットワークの注意深いプランニング
    
    4.3.6.2. パスワードのような NIS ドメイン名とホスト名の使用
    
    4.3.6.3. /var/yp/securenets ファイルを編集する
    
    4.3.6.4. 静的ポートの割り当てとリッチ言語ルールの使用
    
    4.3.6.5. Kerberos 認証の使用
  7. 4.3.7. NFS のセキュア化
    
    Expand section "4.3.7. NFS のセキュア化" Collapse section "4.3.7. NFS のセキュア化"
    
    4.3.7.1. ネットワークの注意深いプランニング
    
    4.3.7.2. NFS マウントオプションのセキュア化
    
    Expand section "4.3.7.2. NFS マウントオプションのセキュア化" Collapse section "4.3.7.2. NFS マウントオプションのセキュア化"
    
    4.3.7.2.1. NFS サーバーのレビュー
    
    4.3.7.2.2. NFS クライアントのレビュー
    
    4.3.7.3. 構文エラーに注意
    
    4.3.7.4. no_root_squash オプションを使用しないでください
    
    4.3.7.5. NFS ファイアウォールの設定
    
    4.3.7.6. Red Hat Identity Management による NFS のセキュリティー保護
  8. 4.3.8. HTTP サーバーのセキュリティー保護
    
    Expand section "4.3.8. HTTP サーバーのセキュリティー保護" Collapse section "4.3.8. HTTP サーバーのセキュリティー保護"
    
    4.3.8.1. Apache HTTP Server のセキュリティー保護
    
    4.3.8.2. NGINX のセキュリティー保護
  9. 4.3.9. FTP のセキュア化
    
    Expand section "4.3.9. FTP のセキュア化" Collapse section "4.3.9. FTP のセキュア化"
    
    4.3.9.1. FTP グリーティングバナー
    
    4.3.9.2. 匿名アクセス
    
    Expand section "4.3.9.2. 匿名アクセス" Collapse section "4.3.9.2. 匿名アクセス"
    
    4.3.9.2.1. 匿名のアップロード
    
    4.3.9.3. ユーザーアカウント
    
    Expand section "4.3.9.3. ユーザーアカウント" Collapse section "4.3.9.3. ユーザーアカウント"
    
    4.3.9.3.1. ユーザーアカウントの制限
    
    4.3.9.4. TCP Wrapper を使用してアクセスを制御する
  10. 4.3.10. Postfix のセキュア化
    
    Expand section "4.3.10. Postfix のセキュア化" Collapse section "4.3.10. Postfix のセキュア化"
    
    4.3.10.1. サービス拒否攻撃を制限する
    
    4.3.10.2. NFS と Postfix
    
    4.3.10.3. メール専用ユーザー
    
    4.3.10.4. Postfix ネットワークリスニングの無効化
    
    4.3.10.5. Postfix が SASL を使用する設定
  11. 4.3.11. SSH のセキュア化
    
    Expand section "4.3.11. SSH のセキュア化" Collapse section "4.3.11. SSH のセキュア化"
    
    4.3.11.1. 暗号化ログイン
    
    4.3.11.2. 複数の認証方法
    
    4.3.11.3. SSH の他のセキュア化
  12. 4.3.12. PostgreSQL のセキュリティー確保
  13. 4.3.13. Docker のセキュリティー確保
  14. 4.3.14. DDoS 攻撃からの memcached の保護
4. 4.4. ネットワークアクセスのセキュア化
  Expand section "4.4. ネットワークアクセスのセキュア化" Collapse section "4.4. ネットワークアクセスのセキュア化"
  1. 4.4.1. TCP Wrapper と xinetd を使用したサービスの保護
    
    Expand section "4.4.1. TCP Wrapper と xinetd を使用したサービスの保護" Collapse section "4.4.1. TCP Wrapper と xinetd を使用したサービスの保護"
    
    4.4.1.1. TCP Wrapper と接続バナー
    
    4.4.1.2. TCP Wrapper と攻撃警告
    
    4.4.1.3. TCP Wrapper とロギングの強化
  2. 4.4.2. リッスンしているポートの確認
  3. 4.4.3. ソースルーティングの無効化
    
    Expand section "4.4.3. ソースルーティングの無効化" Collapse section "4.4.3. ソースルーティングの無効化"
    
    4.4.3.1. 逆方向パス転送
    
    4.4.3.2. 関連情報
5. 4.5. DNSSEC を使用した DNS トラフィックのセキュア化
  Expand section "4.5. DNSSEC を使用した DNS トラフィックのセキュア化" Collapse section "4.5. DNSSEC を使用した DNS トラフィックのセキュア化"
  1. 4.5.1. DNS の概要
  2. 4.5.2. DNSSEC について
  3. 4.5.3. Dnssec-trigger について
  4. 4.5.4. VPN が提供されるドメインサーバーおよびネームサーバー
  5. 4.5.5. 推奨される命名プラクティス
  6. 4.5.6. トラストアンカーについて
  7. 4.5.7. DNSSEC のインストール
    
    Expand section "4.5.7. DNSSEC のインストール" Collapse section "4.5.7. DNSSEC のインストール"
    
    4.5.7.1. unbound のインストール
    
    4.5.7.2. unbound の稼働確認
    
    4.5.7.3. unbound の起動
    
    4.5.7.4. Dnssec-trigger のインストール
    
    4.5.7.5. dnssec-trigger デーモンが動作しているかどうかの確認
  8. 4.5.8. Dnssec-trigger の使用
  9. 4.5.9. DNSSEC における dig の使用
  10. 4.5.10. Dnssec-trigger の Hotspot 検出インフラストラクチャーのセットアップ
  11. 4.5.11. 接続が提供されるドメインの DNSSEC 検証の設定
    
    Expand section "4.5.11. 接続が提供されるドメインの DNSSEC 検証の設定" Collapse section "4.5.11. 接続が提供されるドメインの DNSSEC 検証の設定"
    
    4.5.11.1. Wi-Fi 提供ドメインの DNSSEC 検証の設定
  12. 4.5.12. 関連情報
    
    Expand section "4.5.12. 関連情報" Collapse section "4.5.12. 関連情報"
    
    4.5.12.1. インストールされているドキュメント
    
    4.5.12.2. オンラインドキュメント
6. 4.6. Libreswan を使った仮想プライベートネットワーク (VPN) の保護
  Expand section "4.6. Libreswan を使った仮想プライベートネットワーク (VPN) の保護" Collapse section "4.6. Libreswan を使った仮想プライベートネットワーク (VPN) の保護"
  1. 4.6.1. Libreswan のインストール
  2. 4.6.2. Libreswan を使用した VPN 設定の作成
  3. 4.6.3. Libreswan を使用したホスト間 VPN の作成
    
    Expand section "4.6.3. Libreswan を使用したホスト間 VPN の作成" Collapse section "4.6.3. Libreswan を使用したホスト間 VPN の作成"
    
    4.6.3.1. Libreswan を使用したホスト間 VPN の検証
  4. 4.6.4. Libreswan を使用したサイト間の VPN の設定
    
    Expand section "4.6.4. Libreswan を使用したサイト間の VPN の設定" Collapse section "4.6.4. Libreswan を使用したサイト間の VPN の設定"
    
    4.6.4.1. Libreswan を使用したサイト間 VPN の検証
  5. 4.6.5. Libreswan を使ったサイト間シングルトンネル VPN の設定
  6. 4.6.6. Libreswan を使用したサブネット押し出しの設定
  7. 4.6.7. IKEv2 リモートアクセス VPN Libreswan の設定
  8. 4.6.8. X.509 を使用した IKEv1 リモートアクセス VPN Libreswan および XAUTH の設定
  9. 4.6.9. 量子コンピューターに対する保護の使用
  10. 4.6.10. 関連情報
    
    Expand section "4.6.10. 関連情報" Collapse section "4.6.10. 関連情報"
    
    4.6.10.1. インストールされているドキュメント
    
    4.6.10.2. オンラインドキュメント
7. 4.7. OpenSSL の使用
  Expand section "4.7. OpenSSL の使用" Collapse section "4.7. OpenSSL の使用"
  1. 4.7.1. 暗号鍵の作成および管理
  2. 4.7.2. 証明書の生成
    
    Expand section "4.7.2. 証明書の生成" Collapse section "4.7.2. 証明書の生成"
    
    4.7.2.1. 証明書署名要求の作成
    
    4.7.2.2. 自己署名証明書の作成
    
    4.7.2.3. Makefile を使った証明書の作成
  3. 4.7.3. 証明書の確認
  4. 4.7.4. ファイルの暗号化および暗号化解除
  5. 4.7.5. メッセージダイジェストの生成
  6. 4.7.6. パスワードハッシュの生成
  7. 4.7.7. ランダムデータの生成
  8. 4.7.8. システムのベンチマーキング
  9. 4.7.9. OpenSSL の設定
8. 4.8. stunnel の使用
  Expand section "4.8. stunnel の使用" Collapse section "4.8. stunnel の使用"
9. 4.9. 暗号化
  Expand section "4.9. 暗号化" Collapse section "4.9. 暗号化"
  1. 4.9.1. LUKS ディスクの暗号化の使用
    
    Expand section "4.9.1. LUKS ディスクの暗号化の使用" Collapse section "4.9.1. LUKS ディスクの暗号化の使用"
    
    4.9.1.1. Red Hat Enterprise Linux における LUKS の実装
    
    4.9.1.2. 手動でのディレクトリーの暗号化
    
    4.9.1.3. 既存のデバイスへの新しいパスフレーズの追加
    
    4.9.1.4. 既存のデバイスからのパスフレーズ削除
    
    4.9.1.5. Anaconda での暗号化したブロックデバイスの作成
    
    4.9.1.6. 関連情報
  2. 4.9.2. GPG 鍵の作成
    
    Expand section "4.9.2. GPG 鍵の作成" Collapse section "4.9.2. GPG 鍵の作成"
    
    4.9.2.1. GNOME での GPG 鍵の作成
    
    4.9.2.2. KDE での GPG 鍵の作成
    
    4.9.2.3. コマンドラインを用いた GPG 鍵の生成
    
    4.9.2.4. 公開鍵の暗号化について
  3. 4.9.3. 公開鍵暗号化における openCryptoki の使用
    
    Expand section "4.9.3. 公開鍵暗号化における openCryptoki の使用" Collapse section "4.9.3. 公開鍵暗号化における openCryptoki の使用"
    
    4.9.3.1. openCryptoki のインストールとサービスの起動
    
    4.9.3.2. openCryptoki の設定と使用
  4. 4.9.4. OpenSSH に認証情報を提供するスマートカードの使用
    
    Expand section "4.9.4. OpenSSH に認証情報を提供するスマートカードの使用" Collapse section "4.9.4. OpenSSH に認証情報を提供するスマートカードの使用"
    
    4.9.4.1. カードからの公開鍵の取得
    
    4.9.4.2. サーバーへの公開鍵の保存
    
    4.9.4.3. スマートカードのキーを使用したサーバーへの認証
    
    4.9.4.4. PIN でのログインを自動化するための ssh-agent の使用
    
    4.9.4.5. 関連情報
  5. 4.9.5. 信頼できる鍵および暗号化された鍵
    
    Expand section "4.9.5. 信頼できる鍵および暗号化された鍵" Collapse section "4.9.5. 信頼できる鍵および暗号化された鍵"
    
    4.9.5.1. 鍵を使った作業
    
    4.9.5.2. 関連情報
  6. 4.9.6. 乱数ジェネレーターの使用
10. 4.10. ポリシーベースの復号を使用して暗号化ボリュームの自動アンロックの設定
  Expand section "4.10. ポリシーベースの復号を使用して暗号化ボリュームの自動アンロックの設定" Collapse section "4.10. ポリシーベースの復号を使用して暗号化ボリュームの自動アンロックの設定"
  1. 4.10.1. NBDE (Network-Bound Disk Encryption)
  2. 4.10.2. 暗号化クライアント (Clevis) のインストール
  3. 4.10.3. SELinux を Enforcing モードで有効にした Tang サーバーのデプロイメント
    
    Expand section "4.10.3. SELinux を Enforcing モードで有効にした Tang サーバーのデプロイメント" Collapse section "4.10.3. SELinux を Enforcing モードで有効にした Tang サーバーのデプロイメント"
    
    4.10.3.1. 高可用性システムのデプロイメント
  4. 4.10.4. Tang を使用する NBDE システムへの暗号化クライアントのデプロイメント
  5. 4.10.5. TPM 2.0 ポリシーを使用した暗号化クライアントのデプロイメント
  6. 4.10.6. root ボリュームの手動登録の設定
  7. 4.10.7. キックスタートを使用した自動登録の設定
  8. 4.10.8. リムーバブルストレージデバイスの自動ロック解除の設定
  9. 4.10.9. ブート時に非 root ボリュームのロックを自動解除する設定
  10. 4.10.10. NBDE ネットワークでの仮想マシンのデプロイ
  11. 4.10.11. NBDE を使用してクラウド環境に自動的に登録可能な仮想マシンイメージの構築
  12. 4.10.12. 関連情報
11. 4.11. AIDE で整合性の確認
  Expand section "4.11. AIDE で整合性の確認" Collapse section "4.11. AIDE で整合性の確認"
12. 4.12. USBGuard の使用
  Expand section "4.12. USBGuard の使用" Collapse section "4.12. USBGuard の使用"
13. 4.13. TLS 設定の強化
  Expand section "4.13. TLS 設定の強化" Collapse section "4.13. TLS 設定の強化"
  1. 4.13.1. 有効にするアルゴリズムの選択
  2. 4.13.2. TLS 実装の使用
    
    Expand section "4.13.2. TLS 実装の使用" Collapse section "4.13.2. TLS 実装の使用"
    
    4.13.2.1. OpenSSL での暗号化スイートの使用
    
    4.13.2.2. GnuTLS での暗号化スイートの使用
  3. 4.13.3. 特定アプリケーションの設定
    
    Expand section "4.13.3. 特定アプリケーションの設定" Collapse section "4.13.3. 特定アプリケーションの設定"
    
    4.13.3.1. Apache HTTP Server の設定
    
    4.13.3.2. Dovecot メールサーバーの設定
  4. 4.13.4. 追加情報
14. 4.14. 共通システム証明書の使用
  Expand section "4.14. 共通システム証明書の使用" Collapse section "4.14. 共通システム証明書の使用"
15. 4.15. MACsec の使用
16. 4.16. scrub を使用してデータを安全に削除
5. ファイアウォールの使用
Expand section "5. ファイアウォールの使用" Collapse section "5. ファイアウォールの使用"
1. 5.1. firewalld の使用
  Expand section "5.1. firewalld の使用" Collapse section "5.1. firewalld の使用"
2. 5.2. firewall-config GUI 設定ツールのインストール
3. 5.3. firewalld の現在の状況および設定の表示
  Expand section "5.3. firewalld の現在の状況および設定の表示" Collapse section "5.3. firewalld の現在の状況および設定の表示"
  1. 5.3.1. firewalld の現在の状況の表示
  2. 5.3.2. 現在の firewalld 設定の表示
    
    Expand section "5.3.2. 現在の firewalld 設定の表示" Collapse section "5.3.2. 現在の firewalld 設定の表示"
    
    5.3.2.1. GUI を使用して許可されるサービスの表示
    
    5.3.2.2. CLI を使用した firewalld 設定の表示
4. 5.4. firewalld の起動
5. 5.5. firewalld の停止
6. 5.6. トラフィックの制御
  Expand section "5.6. トラフィックの制御" Collapse section "5.6. トラフィックの制御"
7. 5.7. ゾーンの使用
  Expand section "5.7. ゾーンの使用" Collapse section "5.7. ゾーンの使用"
8. 5.8. ゾーンを使用し、ソースに応じた着信トラフィックの管理
  Expand section "5.8. ゾーンを使用し、ソースに応じた着信トラフィックの管理" Collapse section "5.8. ゾーンを使用し、ソースに応じた着信トラフィックの管理"
9. 5.9. ポート転送
  Expand section "5.9. ポート転送" Collapse section "5.9. ポート転送"
  1. 5.9.1. リダイレクトするポートの追加
  2. 5.9.2. リダイレクトしているポートの削除
10. 5.10. IP アドレスのマスカレードの設定
11. 5.11. ICMP リクエストの管理
  Expand section "5.11. ICMP リクエストの管理" Collapse section "5.11. ICMP リクエストの管理"
12. 5.12. firewalld を使用した IP セットの設定および制御
  Expand section "5.12. firewalld を使用した IP セットの設定および制御" Collapse section "5.12. firewalld を使用した IP セットの設定および制御"
  1. 5.12.1. コマンドラインクライアントを使用した IP セットオプションの設定
  2. 5.12.2. IP セットのカスタムサービスの設定
13. 5.13. iptables を使用した IP セットの設定および制御
14. 5.14. ダイレクトインターフェースの使用
  Expand section "5.14. ダイレクトインターフェースの使用" Collapse section "5.14. ダイレクトインターフェースの使用"
15. 5.15. リッチランゲージ構文を使用した複雑なファイアウォールルールの設定
  Expand section "5.15. リッチランゲージ構文を使用した複雑なファイアウォールルールの設定" Collapse section "5.15. リッチランゲージ構文を使用した複雑なファイアウォールルールの設定"
  1. 5.15.1. リッチ言語コマンドの形式
  2. 5.15.2. リッチルールの構造について
  3. 5.15.3. リッチルールのコマンドオプションについて
  4. 5.15.4. リッチルールログコマンドの使用
    
    Expand section "5.15.4. リッチルールログコマンドの使用" Collapse section "5.15.4. リッチルールログコマンドの使用"
    
    5.15.4.1. リッチルールログコマンドの使用例 1
    
    5.15.4.2. リッチルールログコマンドの使用例 2
    
    5.15.4.3. リッチルールログコマンドの使用例 3
    
    5.15.4.4. リッチルールログコマンドの使用例 4
    
    5.15.4.5. リッチルールログコマンドの使用例 5
    
    5.15.4.6. リッチルールログコマンドの使用例 6
16. 5.16. ファイアウォールロックダウンの設定
  Expand section "5.16. ファイアウォールロックダウンの設定" Collapse section "5.16. ファイアウォールロックダウンの設定"
17. 5.17. 拒否されたパケットに対するロギングの設定
18. 5.18. 関連情報
  Expand section "5.18. 関連情報" Collapse section "5.18. 関連情報"
  1. 5.18.1. インストールされているドキュメント
  2. 5.18.2. オンラインドキュメント
6. nftables の使用
Expand section "6. nftables の使用" Collapse section "6. nftables の使用"
1. 6.1. nftables スクリプトの作成および実行
  Expand section "6.1. nftables スクリプトの作成および実行" Collapse section "6.1. nftables スクリプトの作成および実行"
2. 6.2. nftables テーブル、チェーン、およびルールの作成および管理
  Expand section "6.2. nftables テーブル、チェーン、およびルールの作成および管理" Collapse section "6.2. nftables テーブル、チェーン、およびルールの作成および管理"
3. 6.3. nftables を使用した NAT の設定
  Expand section "6.3. nftables を使用した NAT の設定" Collapse section "6.3. nftables を使用した NAT の設定"
4. 6.4. nftables コマンドを使用したセットの使用
  Expand section "6.4. nftables コマンドを使用したセットの使用" Collapse section "6.4. nftables コマンドを使用したセットの使用"
5. 6.5. nftables コマンドにおける決定マップの使用
  Expand section "6.5. nftables コマンドにおける決定マップの使用" Collapse section "6.5. nftables コマンドにおける決定マップの使用"
6. 6.6. nftables を使用したポート転送の設定
  Expand section "6.6. nftables を使用したポート転送の設定" Collapse section "6.6. nftables を使用したポート転送の設定"
  1. 6.6.1. 着信パケットの別のローカルポートへの転送
  2. 6.6.2. 特定のローカルポートで着信パケットを別のホストに転送
7. 6.7. nftables を使用した接続の量の制限
  Expand section "6.7. nftables を使用した接続の量の制限" Collapse section "6.7. nftables を使用した接続の量の制限"
8. 6.8. nftables ルールのデバッグ
  Expand section "6.8. nftables ルールのデバッグ" Collapse section "6.8. nftables ルールのデバッグ"
7. システム監査
Expand section "7. システム監査" Collapse section "7. システム監査"
1. 7.1. Audit システムのアーキテクチャー
2. 7.2. audit パッケージのインストール
3. 7.3. audit サービスの設定
  Expand section "7.3. audit サービスの設定" Collapse section "7.3. audit サービスの設定"
  1. 7.3.1. セキュアな環境への auditd の設定
4. 7.4. audit サービスの起動
5. 7.5. Audit ルールの定義
  Expand section "7.5. Audit ルールの定義" Collapse section "7.5. Audit ルールの定義"
6. 7.6. Audit ログファイルについて
7. 7.7. Audit ログファイルの検索
8. 7.8. Audit レポートの作成
9. 7.9. 関連情報
8. 設定コンプライアンスおよび脆弱性スキャンの開始
Expand section "8. 設定コンプライアンスおよび脆弱性スキャンの開始" Collapse section "8. 設定コンプライアンスおよび脆弱性スキャンの開始"
1. 8.1. RHEL における設定コンプライアンスツール
2. 8.2. 脆弱性スキャン
  Expand section "8.2. 脆弱性スキャン" Collapse section "8.2. 脆弱性スキャン"
3. 8.3. 設定コンプライアンススキャン
  Expand section "8.3. 設定コンプライアンススキャン" Collapse section "8.3. 設定コンプライアンススキャン"
4. 8.4. 特定のベースラインに合わせたシステムの修復
5. 8.5. SSG Ansible Playbook を使用して特定のベースラインに合わせるようにシステムを修正
6. 8.6. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成
7. 8.7. SCAP Workbench を使用したカスタムプロファイルでシステムのスキャン
  Expand section "8.7. SCAP Workbench を使用したカスタムプロファイルでシステムのスキャン" Collapse section "8.7. SCAP Workbench を使用したカスタムプロファイルでシステムのスキャン"
8. 8.8. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント
  Expand section "8.8. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント" Collapse section "8.8. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント"
  1. 8.8.1. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント
  2. 8.8.2. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
9. 8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン
  Expand section "8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン" Collapse section "8.9. コンテナーおよびコンテナーイメージの脆弱性スキャン"
  1. 8.9.1. oscap-docker を使用したコンテナーイメージとコンテナーの脆弱性のスキャン
  2. 8.9.2. atomic scan を使用したコンテナーイメージとコンテナーの脆弱性スキャン
10. 8.10. 特定のベースラインを使用したコンテナーまたはコンテナーイメージの設定コンプライアンスの評価
11. 8.11. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャンと修正
  Expand section "8.11. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャンと修正" Collapse section "8.11. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャンと修正"
  1. 8.11.1. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャン
  2. 8.11.2. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスの修正
12. 8.12. RHEL 7 で対応する SCAP セキュリティーガイドプロファイル
13. 8.13. 関連情報
9. 米連邦政府の標準および規制
Expand section "9. 米連邦政府の標準および規制" Collapse section "9. 米連邦政府の標準および規制"
1. 9.1. FIPS (Federal Information Processing Standard)
  Expand section "9.1. FIPS (Federal Information Processing Standard)" Collapse section "9.1. FIPS (Federal Information Processing Standard)"
  1. 9.1.1. FIPS モードの有効化
2. 9.2. NISPOM (National Industrial Security Program Operating Manual)
3. 9.3. PCI DSS (Payment Card Industry Data Security Standard)
4. 9.4. セキュリティー技術実装ガイド
A. 暗号の標準
Expand section "A. 暗号の標準" Collapse section "A. 暗号の標準"
1. A.1. 同期式の暗号
  Expand section "A.1. 同期式の暗号" Collapse section "A.1. 同期式の暗号"
  1. A.1.1. 高度暗号化標準 — AES
    
    Expand section "A.1.1. 高度暗号化標準 — AES" Collapse section "A.1.1. 高度暗号化標準 — AES"
    
    A.1.1.1. AES の歴史
  2. A.1.2. データ暗号化標準 — DES
    
    Expand section "A.1.2. データ暗号化標準 — DES" Collapse section "A.1.2. データ暗号化標準 — DES"
    
    A.1.2.1. DES の歴史
2. A.2. 公開鍵の暗号化
  Expand section "A.2. 公開鍵の暗号化" Collapse section "A.2. 公開鍵の暗号化"
  1. A.2.1. Diffie-Hellman
    
    Expand section "A.2.1. Diffie-Hellman" Collapse section "A.2.1. Diffie-Hellman"
    
    A.2.1.1. Diffie-Hellman の歴史
  2. A.2.2. RSA
  3. A.2.3. DSA
  4. A.2.4. SSL/TLS
  5. A.2.5. Cramer-Shoup 暗号システム
  6. A.2.6. ElGamal 暗号
B. 改訂履歴

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第3章システムを最新の状態に保つ

この章では、システムを最新の状態に保つためのプロセスについて説明します。これには、セキュリティー更新のインストール方法の計画と設定、新しく更新されたパッケージによって導入された変更の適用、およびセキュリティー勧告を追跡するための Red Hat カスタマーポータルの使用が含まれます。

3.1. インストール済みソフトウェアのメンテナンス

セキュリティー上の脆弱性が検出されると、潜在的なセキュリティーリスクを制限するために、影響を受けるソフトウェアを更新する必要があります。ソフトウェアが現在サポートされている Red Hat Enterprise Linux ディストリビューション内のパッケージの一部である場合、Red Hat では、脆弱性を修正する更新されたパッケージをできるだけ早くリリースするよう尽力しています。

多くの場合、特定のセキュリティーの不正使用に関する発表には、問題を修正するパッチ (またはソースコード) も含まれます。このパッチは、その後、Red Hat Enterprise Linux パッケージに適用され、エラータ更新としてテストされ、リリースされます。しかし、発表にパッチが含まれていない場合、Red Hat の開発者はまずソフトウェアのメンテナーと協力して問題を解決します。問題が修正されると、パッケージはエラータ更新としてテストされ、リリースされます。

お使いのシステムで使用されているソフトウェアのエラータ更新がリリースされた場合は、システムが潜在的に脆弱となる時間を最小限に抑えるため、影響を受けるパッケージをできるだけ早く更新することを強く推奨します。

3.1.1. セキュリティーの更新の立案と設定

すべてのソフトウェアにはバグが含まれます。多くの場合、これらのバグは、システムを悪意のあるユーザーにさらす可能性のある脆弱性をもたらすことがあります。更新されていないパッケージは、コンピューターへの不正侵入の原因としてよく知られています。発見された脆弱性を迅速に排除し、悪用されないようにするために、セキュリティーパッチを適時にインストールする計画を実施します。

セキュリティー更新が利用可能になったらテストし、インストールするようにスケジュールします。更新がリリースされてからシステムにインストールされるまでの間、システムを保護するために追加の制御を行う必要があります。これらの制御は脆弱性そのものによって異なりますが、追加のファイアウォールルール、外部ファイアウォールの使用、またはソフトウェア設定の変更が含まれる場合があります。

サポート対象パッケージのバグは、エラータメカニズムを使用して修正されます。エラータは、1 つ以上のRPMパッケージとそのエラータが対処する問題の簡単な説明で構成されています。エラータはすべて、アクティブなサブスクリプションを持つお客様に Red Hat サブスクリプション管理サービスで配布されます。セキュリティー問題に対処するエラータは、Red Hat セキュリティーアドバイザリー と呼ばれます。

セキュリティーエラータを使った作業についての詳細情報は、「カスタマーポータルでのセキュリティーアドバイザリーの表示」を参照してください。RHN Classic からの移行方法など、Red Hat Subscription Management サービスの詳細は、このサービスに関する Red Hat Subscription Management のドキュメントを参照してください。

3.1.1.1. Yum のセキュリティー機能の使用

Yum パッケージマネージャーには、セキュリティーエラータの検索、一覧、表示、インストールに使用可能なセキュリティー関連の機能がいくつか含まれています。これらの機能を使うと、Yum を使ってセキュリティー更新のみをインストールすることもできます。

使用中のシステムで利用可能なセキュリティー関連の更新を確認するには、root で以下のコマンドを実行します。

~]# yum check-update --security
Loaded plugins: langpacks, product-id, subscription-manager
rhel-7-workstation-rpms/x86_64                  | 3.4 kB  00:00:00
No packages needed for security; 0 packages available

上記のコマンドは非対話型モードで実行されるため、利用可能な更新があるかどうかを自動チェックするためのスクリプトで使用できることに注意してください。このコマンドは、利用可能なセキュリティー更新がある場合は 100 を、ない場合は 0 を終了値として返します。エラーが発生すると、1 が返されます。

同様に、以下のコマンドを使用して、セキュリティー関連の更新のみをインストールします。

~]# yum update --security

updateinfoサブコマンドを使用して、利用可能な更新に関するリポジトリーによって提供される情報を表示または操作します。この updateinfo サブコマンド自体は、多くのコマンドを受け付け、この中にはセキュリティー関連の使用も含まれます。これらのコマンドの概要については、表3.1「yum updateinfo で使用できるセキュリティー関連コマンドです。」を参照してください。

表3.1 yum updateinfo で使用できるセキュリティー関連コマンドです。

コマンド	説明
advisory [advisories]	1 つ以上のアドバイザリーに関する情報を表示します。advisories をアドバイザリー番号に置き換えます。
cves	CVE (Common Vulnerabilities and Exposures) に関連する情報のサブセットを表示します。
security または sec	すべてのセキュリティー関連情報を表示します。
severity [severity_level] または sev [severity_level]	指定された severity_level のセキュリティ関連パッケージに関する情報を表示します。

3.1.2. パッケージの更新とインストール

システムでソフトウェアを更新する場合は、信頼できるソースから更新をダウンロードすることが重要です。攻撃者は、問題を解決するはずのパッケージと同じバージョン番号で、異なるセキュリティーエクスプロイトを施したパッケージを簡単に作り直し、インターネット上で公開することができます。こうした事態が発生すると、元の RPM に対するファイル検証などのセキュリティー対策を講じても、不正アクセスを検知することができません。このため、RPM は Red Hat などの信頼できるソールからのみダウンロードし、その保全性を検証するためにパッケージの署名を確認することが極めて重要になります。

Yum パッケージマネージャーの使用方法に関する詳細情報は、Red Hat Enterprise Linux 7 システム管理者のガイドの Yum の章を参照してください。

3.1.2.1. 署名パッケージの検証

Red Hat Enterprise Linux のパッケージはすべて、Red Hat GPG 鍵を使って署名されています。GPG は GNU Privacy Guard または GnuPG の略で、配信ファイルの信頼性を保証するために使用されるフリーソフトウェアのパッケージです。パッケージ署名の検証に失敗した場合は、パッケージが改ざんされている可能性があるため、信頼することができません。

Yum パッケージマネージャーを使うと、インストールまたはアップグレード対象の全パッケージを自動的に検証できます。この機能はデフォルトで無効にされています。このオプションをシステムで設定するには、/etc/yum.conf 設定ファイルで、gpgcheck 設定ディレクティブが 1 に設定されていることを確認してください。

ファイルシステム上のパッケージファイルを手動で確認するには、次のコマンドを使用します。

rpmkeys --checksig package_file.rpm

Red Hat パッケージの署名のプラクティスに関する追加情報は、Red Hat カスタマーポータルの Product Signing (GPG) Keys の記事を参照してください。

3.1.2.2. 署名パッケージのインストール

ファイルシステムから検証済みのパッケージ (パッケージの検証方法については、「署名パッケージの検証」を参照) をインストールするには、以下のように root で yum install コマンドを実行します。

yum install package_file.rpm

シェルグロブを使用して、複数のパッケージを一度にインストールします。たとえば、以下のコマンドを実行すると、現行ディレクトリーにすべての .rpm パッケージがインストールされます。

yum install *.rpm

重要

セキュリティーエラータをインストールする前に、エラータレポートに含まれる特別な指示を必ず読み、それに従って実行してください。エラータ更新に基づく変更の適用についての全般的な指示は、「インストールされた更新によって導入された変更の適用」を参照してください。

3.1.3. インストールされた更新によって導入された変更の適用

セキュリティーエラータや更新をダウンロードしてインストールした後は、古いソフトウェアの使用を停止し、新しいソフトウェアの使用を開始することが重要です。これがどのように行われるかは、更新されたソフトウェアのタイプによって異なります。以下のリストは、ソフトウェアの一般的なカテゴリーを項目別に分類し、パッケージのアップグレード後に更新されたバージョンを使用するための手順を示したものです。

注記

一般に、システムを再起動することが、ソフトウェアパッケージの最新バージョンが使用されていることを確認する最も確実な方法です。ただし、このオプションは必ずしも必須ではなく、システム管理者が常に利用できるわけでもありません。

アプリケーション

ユーザースペースアプリケーションとは、ユーザーが起動することができるすべてのプログラムのことです。通常、このようなアプリケーションは、ユーザー、スクリプト、または自動タスクユーティリティーが、これらのアプリケーションを起動したときにのみ使用されます。

このようなユーザースペースのアプリケーションが更新されたら、システム上のアプリケーションのインスタンスをすべて停止し、プログラムを再度起動して更新されたバージョンを使用します。

カーネル

カーネルは、Red Hat Enterprise Linux 7 オペレーティングシステムの中核となるソフトウェアコンポーネントです。メモリー、プロセッサー、周辺機器へのアクセスを管理し、すべてのタスクをスケジューリングします。

カーネルはその中心的な役割を担っているため、コンピューターを再起動せずにカーネルを再起動することはできません。そのため、システムを再起動するまで、更新されたバージョンのカーネルを使用することはできません。

KVM

qemu-kvm および libvirt のパッケージが更新されると、すべてのゲスト仮想マシンを停止して、関連の仮想化モジュールを再読み込みし (またはホストシステムを再起動し)、仮想マシンを再起動する必要があります。

lsmod コマンドを使用して、kvm、kvm-intel、または kvm-amd のモジュールが読み込まれているかを確認します。次に、modprobe -r コマンドを使用して、その後 modprobe -a コマンドを実行して、影響を受けるモジュールを再読み込みします。以下に例を示します。

~]# lsmod | grep kvm
kvm_intel             143031  0
kvm                   460181  1 kvm_intel
~]# modprobe -r kvm-intel
~]# modprobe -r kvm
~]# modprobe -a kvm kvm-intel

共有ライブラリ

共有ライブラリーは、多くのアプリケーションやサービスで使用される glibc などのコードの単位です。共有ライブラリーを利用するアプリケーションは、通常、アプリケーションの初期化時に共有コードをロードするため、更新されたライブラリーを利用するアプリケーションはすべて、一旦停止して再スタートする必要があります。

実行中のどのアプリケーションが特定のライブラリーに対してリンクしているかを判別するには、lsof コマンドを使用します。

lsof library

たとえば、実行中のどのアプリケーションが libwrap.so.0 ライブラリーに対してリンクしているかを判別するには、以下を入力します。

~]# lsof /lib64/libwrap.so.0
COMMAND     PID USER  FD   TYPE DEVICE SIZE/OFF     NODE NAME
pulseaudi 12363 test mem    REG  253,0    42520 34121785 /usr/lib64/libwrap.so.0.7.6
gnome-set 12365 test mem    REG  253,0    42520 34121785 /usr/lib64/libwrap.so.0.7.6
gnome-she 12454 test mem    REG  253,0    42520 34121785 /usr/lib64/libwrap.so.0.7.6

このコマンドは、ホストアクセス制御に TCP ラッパーを使用するすべての実行中のプログラムのリストを返します。したがって、tcp_wrappers パッケージの更新時に一覧表示されるプログラムをすべて停止し、再起動する必要があります。

systemd サービス

systemd サービスは通常ブートプロセス中に起動する永続的なサーバープログラムです。systemd サービスの例としては、sshd や vsftpd などがあります。

これらのプログラムは通常、マシンが実行されている限りメモリーに保持されるため、更新された各 systemd サービスは、パッケージがアップグレードされた後に停止して再起動する必要があります。これは、systemctl コマンドを使用し、root ユーザーとして実行できます。

systemctl restart service_name

service_nameを、sshd などの再起動するサービスの名前に置き換えます。

他のソフトウェア

下のアプリケーションを正しく更新するには、以下のリンク先のリソースに記載されている手順に従ってください。

Red Hat Directory Server - 問題の Red Hat Directory Server バージョンの『リリースノート』 ( https://access.redhat.com/documentation/ja-JP/Red_Hat_Directory_Server/ )を参照してください。
Red Hat Enterprise Virtualization Manager: 問題の Red Hat Enterprise Virtualization バージョンについては『『インストールガイド』』を参照してください。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第3章システムを最新の状態に保つ

3.1. インストール済みソフトウェアのメンテナンス

3.1.1. セキュリティーの更新の立案と設定

3.1.1.1. Yum のセキュリティー機能の使用

3.1.2. パッケージの更新とインストール

3.1.2.1. 署名パッケージの検証

3.1.2.2. 署名パッケージのインストール

3.1.3. インストールされた更新によって導入された変更の適用

Red Hat Training

第3章 システムを最新の状態に保つ

3.1. インストール済みソフトウェアのメンテナンス

3.1.1. セキュリティーの更新の立案と設定

3.1.1.1. Yum のセキュリティー機能の使用

3.1.2. パッケージの更新とインストール

3.1.2.1. 署名パッケージの検証

3.1.2.2. 署名パッケージのインストール

3.1.3. インストールされた更新によって導入された変更の適用

第3章システムを最新の状態に保つ