Index: head/ja_JP.eucJP/books/handbook/security/chapter.xml =================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml (revision 51445) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml (revision 51446) @@ -1,4171 +1,4155 @@ セキュリティ Matthew Dillon 本章の基にした security(7) マニュアルページの執筆: セキュリティ 訳: &a.jp.hino;、(jpman プロジェクトの成果を利用させていただきました)。 この章では この章では、基本的なシステムセキュリティの考え方、 覚えておくべき一般的なルールを紹介し、 &os; における高度な話題について簡単に説明します。 ここで扱う話題の多くは、 一般的なシステムやインターネットセキュリティにもあてはまります。 システムを安全に保つことは、データ、知的財産、時間、その他を、 ハッカーやその同類から守るためには欠かせません。 &os; は、 システムとネットワークの整合性および安全性を保護する仕組みと一連のユーティリティを提供しています。 この章を読むと、以下のことがわかります。 &os; における基本的なシステムセキュリティの考え方 &os; で利用できるさまざまな暗号化手法 ワンタイムパスワード認証の設定方法 &man.inetd.8; と組み合わせて TCP Wrappers を設定する方法 &os; における Kerberos の設定方法 IPsec を設定して VPN を構築する方法 &os; にける OpenSSH の設定および使用方法 ファイルシステム ACL (アクセス制御リスト) の使用方法 Ports Collection からインストールされたサードパーティ製ソフトウェア packages を Portaudit を使って監査する方法 &os; セキュリティ勧告の利用方法 プロセスアカウンティングがどのようなものか、 &os; 上で有効にする方法について リソース制限データベースとは何か、 この仕組みを使ったユーザ資源の管理方法 この章を読む前に、次のことが必要になります。 &os; およびインターネットの基本概念の理解 はじめに セキュリティとは、システム管理者をいつも悩ませる仕事の一つです。 &os; は、固有のセキュリティ機構を備えていますが、 追加のセキュリティ機構を設定し保守する仕事はおそらく、 システム管理者としてもっとも大きな責務の一つでしょう。 また、システムセキュリティには、 さまざまな形での攻撃に対処することとも関係しています。 攻撃の中には root 権限を奪おうとはしないけれども、 クラッシュやシステムの不安定状態を引き起こそうとするものもあります。 このセキュリティ問題は、いくつかに分類することが可能です。 サービス妨害攻撃 (denial of service attack) ユーザアカウントの不正利用 (user account compromise) アクセス可能なサービスを使った root 権限の不正利用 ユーザアカウントを経由した root 権限の不正使用 バックドアの設置 DoS 攻撃 サービス妨害 (DoS) セキュリティ DoS 攻撃 サービス妨害 (DoS) サービス妨害 (DoS) サービス妨害攻撃 (DoS 攻撃) とは、 マシンから必要な資源を奪う行為です。 通常、サービス妨害攻撃はそのマシンで実行されるサーバやネットワークスタックを過負荷状態にして、 マシンをクラッシュさせたり、 マシンを使えなくしたりするような力任せの方法です。 サーバプロセスに対する攻撃は、オプションを適切に指定することによって、 攻撃されている状況でサーバプロセスの負荷上昇に限界を設定することで対応できる場合が多いです。これらに比べると、 ネットワークへの力任せの攻撃への対応はずっと難しくなります。 この攻撃によって、マシンを落としてしまうことはできないかもしれませんが、 接続しているインターネット回線を飽和させてしまうことはできます。 セキュリティ アカウント不正利用 ユーザアカウントの不正利用は、 DoS 攻撃よりもずっとよくある問題です。 このご時勢でも、 暗号化されていないサービスを実行させているシステム管理者は多く、 そのため、リモートからログインしているユーザは、 パスワードを覗き見られてしまう危険性があります。 システム管理者が注意深い人ならば、 リモートアクセスログを解析して、 疑わしい送信元アドレスや疑わしいログインを探すものです。 セキュリティを十分維持し、 手入れの行き届いたシステムにおいては、 あるユーザアカウントへのアクセスが可能となっても、 必ずしも攻撃者に root へのアクセス権を与えるとは限りません。 root へのアクセス権がなければ、 攻撃者は自分の侵入の痕跡を隠蔽することができませんし、 そのユーザのファイルを引っかき回したり、 マシンをクラッシュさせたりするのがせいぜいです。 ユーザアカウントの不正利用はめずらしいことではありません。 なぜなら一般ユーザは、 システム管理者ほど注意を払わない傾向があるからです。 セキュリティ 裏口 (バックドア) root 権限を奪取する方法は、潜在的に何通りもあります。 攻撃者は root のパスワードを知っているかもしれませんし、 攻撃者が root 権限で実行されているサービスのバグの脆弱性を利用できるかもしれません。 また、攻撃者は SUID-root プログラムに存在するバグを知っているかもしれません。 攻撃者は、 バックドアとして知られているプログラムを使って脆弱性なシステムを探したり、 修正されていない脆弱性を利用してアクセスしたり、 攻撃者による違法行為の痕跡を消そうとしたりするかもしれません。 セキュリティを改善する方法は、常に、 タマネギの皮のように階層化する手法 (a multi-layered onion peel approach) で実装されるべきです。これらは次のように分類できます。 root とスタッフのアカウントの安全性を高める。 root の安全性を高める – root 権限で動作するサーバと SUID/SGID バイナリ。 ユーザアカウントの安全性を高める。 パスワードファイルの安全性を高める。 カーネルのコア、raw デバイス、 ファイルシステムの安全性を高める。 システムに対して行なわれた、 不適切な変更をすばやく検出する。 必要と思われる以上の対応をとる (paranoia)。 次の節では、上記の項目についてより深く掘り下げていきます。 &os; の安全性を高める セキュリティ &os; の安全性を高める この節では、前節 でとりあげた &os; システムの安全性を高める方法について説明します。 <systemitem class="username">root</systemitem> アカウントの安全性を高める &man.su.1; ほとんどのシステムでは、 root アカウントに割り当てたパスワードが 1 つあります。 このパスワードはいつでも不正利用の危険に晒されていると考えてください。 これはパスワードを無効にすべきだと言っているのではありません。 パスワードは、マシンにコンソールからアクセスするのには、 ほとんどいつでも必要なものです。 しかしながら、コンソール以外からは、 そして可能なら &man.su.1; コマンドを実行する場合もパスワードを使えないようにするべきです。 たとえば、/etc/ttys のエントリにおいて、 特定のターミナルに対し root でログインできないように insecure と設定してください。 &os; では、デフォルトで、 /etc/ssh/sshd_config において PermitRootLoginno と設定されているので、&man.ssh.1; を使った root へログインは無効になっています。 すべてのアクセス手段、たとえば FTP ようなサービスは、良くクラックの対象となることを理解してください。 root への直接ログインは、 システムコンソール経由でのみ可能であるべきなのです。 wheel システム管理者は root になれるようにしておく必要があるので、 追加のパスワード認証の設定が必要となります。 ひとつは、適切なユーザアカウントを /etc/group 中の wheel に加える方法です。 wheel のメンバは、&man.su.1; を使って root になることが許されます。 実際に root アクセスの必要なユーザのみ wheel に置くようにすべきです。 Kerberos を使用して認証行う場合には、 root のホームディレクトリに .k5login を作成することで、 誰も wheel に置く必要なく &man.ksu.1; することを許可できます。 アカウントを完全にロックするには、 &man.pw.8; を使ってください。 - &prompt.root; pw lock staff + &prompt.root; pw lock staff これにより、指定されたユーザは、&man.ssh.1; を含むいかなる方法でもログインできなくなります。 アカウントへのアクセスをブロックするもう一つの方法は、 暗号化されたパスワードを * 1 文字に置き換えることです。 この文字は、暗号化されたパスワードにマッチすることはないので、 ユーザアクセスをブロックします。 たとえば、次のアカウントのエントリを、 foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh &man.vipw.8; を使って以下のように変更します。 foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh この変更によって foobar は、 通常のログインはできなくなります。 このようなアクセス制限をした後は、 サイトで Kerberos をセットアップしたり、 ユーザが &man.ssh.1; の鍵を設定するなどといった認証手段を利用しなければなりません。 これらのセキュリティの仕組みでは、 制限の強いサーバから制限の弱いサーバへログインすることを前提としています。 たとえば、サーバがネットワークサービスを実行させている場合、 ワークステーションではそれらのサービスを実行させてはなりません。 ワークステーションを十分に安全にしておくためには、 実行するサービスをゼロにするか、可能な限り減らし、 パスワードで保護されたスクリーンセーバを走らせておくべきです。 システムへの物理的アクセスが与えられたとすると、 もちろん言うまでもなく、 攻撃者はいかなる種類のセキュリティをもうち破ることができるのです。 幸いにも、システム破りの大多数は、ネットワーク経由でリモートから、 システムへの物理的アクセス手段を持たない人々によって行われています。 Kerberos を使うことで、 ユーザのパスワードの変更もしくは停止を一箇所で行なうことと、 ユーザがアカウントを持つすべてのマシンに即時にその効果を及ぼすことが可能となります。 アカウントが危険に晒されたときに、 すべてのマシン上の関連するパスワードを即座に変更する能力を過小評価してはいけません。 Kerberos では、Kerberos チケットにタイムアウトを設定でき、 設定した期間が経過するとユーザに新しいパスワードを選ぶように要求するといった追加の制限を課することができます。 root 権限で実行されているサーバと SUID/SGID バイナリの安全性を高める 砂場 (sandbox) &man.sshd.8; 用心深いシステム管理者は、必要なサービスだけを有効にし、 サードパーティ製のサーバは、 よくバグを持っていがちだということに注意しているものです。 注意深くチェックしていないサーバは、決して実行してはいけません。 多くのデーモンは、サービス専用のアカウント、もしくは 砂場 (sandbox) で起動させることができるので、 root 権限でサービスを実行する前には、よく考えてください。 &man.telnetd.8; または &man.rlogind.8; のような安全ではないサービスは有効にしないでください。 他のシステムの潜在的なセキュリティホールには、 SUID-root および SGID バイナリがあります。 これらのバイナリは、 - &man.rlogin.1; のように、/bin, /sbin, /usr/bin または /usr/sbin + &man.rlogin.1; のように、/bin, + /sbin, /usr/bin + または /usr/sbin に存在するものがほとんどです。 100% 安全なものは存在しないとはいえ、 システムデフォルトの SUID/SGID バイナリは比較的安全といえます。 SUID バイナリは、 スタッフのみがアクセス可能な特別なグループに制限し、 使わない SUID バイナリは削除することが推奨されます。 SGID バイナリもほとんど同様の危険な存在になり得ます。 侵入者が kmem に SGID されたバイナリを破ることができた場合、 その侵入者は /dev/kmem を読み出すことができるようになるでしょう。つまり、 暗号化されたパスワードファイルを読み出すことができるようになるので、 ユーザアカウントを、潜在的な危険に晒すことになります。他にも、 kmem グループを破った侵入者が pty を通して送られたキーストロークを監視できるという危険があります。 キーストロークには、安全な方法でログインするユーザが使っている pty も含まれます。 tty グループを破った侵入者は、ほぼ任意のユーザの tty へ書き込みができます。 ユーザが端末プログラムやキーボードをシミュレーションする機能を持ったエミュレータを使っている場合、 侵入者は潜在的に、 結局そのユーザとして実行されるコマンドをユーザの端末にエコーさせるデータストリームを生成できる可能性があります。 ユーザアカウントの安全性を高める ユーザアカウントは、普通、安全性を高めることが最も困難です。 気を配ってユーザアカウントを監視するよりほかありません。 ユーザアカウントに対し &man.ssh.1; や Kerberos を利用するには、 システム管理がさらに増えたりテクニカルサポートが必要になりますが、 暗号化パスワードファイルと比較するとはるかに良い方法を提供します。 パスワードファイルの安全性を高める できるだけ多くのパスワードをアスタリスクで外し、 それらのアカウントのアクセスには &man.ssh.1; や Kerberos を使うようにすることが、唯一の確実な方法です。 暗号化パスワードファイル (/etc/spwd.db) は root でのみ読み出し可能だけれども、 たとえ、侵入者が root の書き込み権限は得られなくとも、 読み出しアクセス権限を得ることは可能かもしれません。 ファイルの完全性のチェック 節で説明されているように、 セキュリティスクリプトでパスワードファイルの変更をチェックし、 報告するようにすべきです。 カーネルのコア、raw デバイス、 ファイルシステムの安全性を高める 最近のカーネルは、組み込みのパケット覗き見デバイス (packet sniffing device) ドライバを備えているものがほとんどです。 &os; では bpf と呼ばれています。 このデバイスは DHCP で必要となるため、 DHCP を提供したり使う必要のないシステムでは、 カスタムカーネルコンフィグレーションファイルから外すことができます。 &man.sysctl.8; bpf を外しても、 /dev/mem および /dev/kmem という問題がまだ残っています。 侵入者は raw ディスクデバイスに書き込むこともできます。 やる気まんまんの侵入者は、&man.kldload.8; を使って自分独自の bpf、 もしくは他の覗き見デバイスを動作中のカーネルにインストールできます。 この問題を避けるため、カーネルをより高いセキュリティレベル、 少なくともセキュリティレベル 1 で実行させる必要があります。 カーネルのセキュリティレベルはいくつかの方法で設定できます。 現在動いているカーネルのセキュリティレベルを高める最も簡単な方法は、 kern.securelevel を設定する方法です。 - &prompt.root; sysctl kern.securelevel=1 + &prompt.root; sysctl kern.securelevel=1 デフォルトでは、&os; のカーネルはセキュリティレベル -1 で起動します。 このセキュリティレベルは、 変更不可のファイルフラグを外したり、 すべてのデバイスに対して読み込みおよび書き込みができたりするので、 insecure mode と呼ばれます。 このセキュアレベルは、管理者または &man.init.8; による起動時のスクリプトにより変更されない限り -1 のままです。 /etc/rc.conf において、 kern_securelevel_enableYES とし、 kern_securelevel に必要とする値を設定することで、 システム起動時にセキュアレベルを高めることができます。 セキュリティレベルを 1 以上に設定すると、 追加専用および変更不可ファイルのフラグを外すことはできなくなり、 また raw デバイスへのアクセスが拒否されます。 より高いレベルに設定すると、より多くの操作に制限がかかります。 各セキュリティレベルの完全な説明については、 &man.security.7; および &man.init.8; をご覧ください。 セキュリティレベルを 1 以上に設定した場合には、 /dev/io へのアクセスがブロックされるため、 &xorg; や、 - installworld のプロセスでは、 + installworld のプロセスでは、 いくつかのファイルの追加専用および変更不可のフラグは一時的にリセットされるため、 ソースから &os; を構築してインストールするときなどで問題が引き起こされる可能性があります。 &xorg; の問題については、 起動プロセス初期のセキュアレベルが十分低いときに &man.xdm.1; を起動することで、この問題に対応できます。 このような応急処置は、 すべてのセキュリティレベルやそれらが課す潜在的なすべての制限には対応できないでしょう。 少し先を見越した計画的な対応をすべきです。 各セキュリティレベルで課される制限は、 システムを使用することによる利便性を著しく減らしてしまうため、 この制限を理解することは重要です。 また、各セキュリティレベルの制限を理解することで、 デフォルトの設定をよりシンプルにでき、 設定に関する意外性を少なくできるでしょう。 カーネルのセキュリティレベルを 1 以上に設定した場合には、 システム起動に関わる重要なバイナリやディレクトリ、 スクリプトファイル、そして、 セキュリティレベルが設定されるまでの間に実行されるすべてのものに対して、 schg フラグを設定することは有用でしょう。 システムをより高いセキュリティレベルで実行させるようにするが、 schg フラグを設定しないというところで妥協するという手もあります。 もう一つの可能性としては、単純に - / および /usr + / および /usr を読み込み専用でマウントすることです。 ここで特筆すべきことは、システムを守ろうとして厳しくしすぎると、 侵入を検出することができなくなってしまうということです。 ファイルの完全性のチェック システム管理者にできることは、 便利さという要素がその醜い頭を上げない程度に、 コアシステムの設定と制御ファイルを防御することだけです。 - たとえば、/ および /usr + たとえば、/ および + /usr にある大部分のファイルに schg ビットを設定するために &man.chflags.1; を使用するのは、おそらく逆効果でしょう。 なぜなら、そうすることでファイルは保護できますが、 侵入を検出する窓を閉ざしてしまうことにもなるからです。 セキュリティ対策は、 侵入の可能性を検出できなければ、有用ではなく、 もっと悪ければ、安全性に対する間違った感覚を植え付けてしまいます。 セキュリティに対する仕事の半分は、 攻撃者を攻撃の最中に捕えるようにするために、 攻撃者を食い止めるのではなく侵入を遅らせることなのです。 侵入を検出する最も良い方法は、変更されていたり、 消えていたり、入れた覚えがないのに入っているファイルを探すことです。 変更されたファイルを探すのに最も良い方法は、もう一つの しばしば中央に集められた、 アクセスが制限されたシステムから行なうものです。 さらに安全でアクセス制限されたシステム上でセキュリティ用スクリプトを書けば、 スクリプトは潜在的な攻撃者からはほぼ見えなくなります。 この有効性を最大限に活用するためには、 アクセスの制限されたマシンから他のマシンへのかなりのアクセスを許可する必要があります。 普通は、読み込み専用の NFS エクスポートをしたり、 &man.ssh.1; 鍵のペアを設定したりします。 ネットワークのトラフィックを別にして、 NFS は最も可視性のない方法です。 管理者は、各クライアント上のファイルシステムを、 事実上検出されずに監視できるようになります。 アクセス制限されたサーバがスイッチを通してクライアントに接続されている場合、 たいてい NFS がより良い選択肢です。 アクセス制限されたサーバが、 いくつかのルーティング層を通してクライアントに接続している場合、 NFS はあまりにも危険なので、 &man.ssh.1; の方が良い方法でしょう。 アクセス制限されたマシンに、 監視しようとするクライアントシステムへの少なくとも読み込みのアクセス権を与えたら、 次に監視するためのスクリプトを書かなくてはいけません。 NFS マウントをすれば、&man.find.1; や &man.md5.1; などの単純なシステムユーティリティでスクリプトを書くことができます。 少なくとも 1 日 1 回、クライアントのシステムファイルを直接 &man.md5.1; にかけ、 - さらにもっと頻繁に /etc および /usr/local/etc + さらにもっと頻繁に /etc および + /usr/local/etc にあるようなコントロール用ファイルを試験するのが一番です。 アクセス制限されたマシンが正しいと知っている、 基となる md5 情報と比べて違いが見つかった場合、 システム管理者に警告するようにすべきです。 - 優れたセキュリティ用スクリプトは、/ および /usr + 優れたセキュリティ用スクリプトは、 + / および /usr などのシステムパーティション上で不適当に SUID されたバイナリや、 新たに作成されたファイルや削除されたファイルがないかどうかを調べるでしょう。 NFS ではなく、&man.ssh.1; を使用する場合は、 セキュリティ用スクリプトを書くのはより難しいことです。 たとえば、スクリプトを動かすためには、クライアントに対してスクリプトを &man.scp.1; しなくてはいけませんし、 クライアントマシンの &man.ssh.1; クライアントはすでに攻撃されてしまっているかもしれません。 安全でないリンク上の場合は &man.ssh.1; は必要かもしれませんが、 扱いはとても大変になります。 優れたセキュリティ用スクリプトは、 .rhosts, .ssh/authorized_keys などの隠し設定ファイルの変更もチェックするものです。 これらは MD5 チェックの範囲外になってしまうであろうファイル群です。 ユーザ用のディスク容量が非常に大きい場合は、 パーティション上の各ファイルを見て回るのに大変な時間がかかるかもしれません。 この場合は、&man.mount.8; により nosuid を使うことで、マウントフラグを設定して、 SUID されたバイナリを置けないようにするのが良い考えです。 少なくとも週に 1 度はファイルシステムをスキャンするべきです。 なぜなら、目的は、侵入が成功したかどうかに関わらず、 不正侵入の試みがあったことの検出をすることだからです。 プロセスアカウンティング (&man.accton.8; 参照) は、 マシンへの侵入を検出するためのメカニズムとして推奨できる、 比較的オーバヘッドの少ない &os; の機能です。 侵入を受けた後でも当該ファイルが無傷である場合に、 侵入者がどのようにしてシステムに侵入したかを追跡するのに特に役立ちます。 最後に、 セキュリティスクリプトはログファイルを処理するようにし、 ログファイル自体もできるだけ安全性の高い方法で生成するようにし、 リモートの syslog サーバに送信するようにすべきです。 侵入者は自分の侵入の痕跡を覆い隠そうとしますし、また、 ログファイルはシステム管理者が最初の侵入の時刻と方法を追跡してゆくために極めて重要です。 ログファイルを永久に残しておくための 1 つの方法は、 システムコンソールをシリアルポートにつないで走らせ、 コンソールを監視している安全なマシンに情報を集めることです。 偏執狂的方法 多少偏執狂的になっても決して悪いことにはなりません。 原則的に、システム管理者は、 便利さに影響を与えない範囲でいくつでもセキュリティ機能を追加することができます。 また、いくらか考慮した結果、 便利さに影響を与えるセキュリティ機能を追加することもできます。 より重要なことは、 セキュリティ管理者はこれを多少混ぜこぜにして使うべきだということです。 もしこの章で書かれている推奨される方法をそのまま使用した場合は、 予想される攻撃者はやはりこの文書を読んでいるわけですから、 防御策を教えてしまうことになります。 サービス妨害攻撃 サービス妨害 (DoS) DoS 攻撃は、普通は、パケット攻撃です。 ネットワークを飽和させる最先端の偽造パケット (spoofed packet) 攻撃に対してシステム管理者が打てる手はそれほど多くありませんが、 一般的に、以下のような方法により、 その種の攻撃によってサーバがダウンしないことを確実にすることで、 被害をある限度に食い止めることはできます。 サーバの fork の制限。 ICMP 応答攻撃、ping broadcast などの踏み台攻撃の制限。 カーネルの経路情報のキャッシュを過剰に用意する。 よくある DoS 攻撃は、fork するサーバに対して攻撃するもので、 多くの子プロセスを起動させることにより、 メモリ、ファイル記述子などを使いつくし、 ホストシステムを最終的に停止させます。 &man.inetd.8; には、 この種の攻撃を制限するオプションがいくつかあります。 マシンがダウンすることを防止することは可能ですが、 この種の攻撃によりサービスが中断することを防止することは一般的に言ってできないことに注意する必要があります。 &man.inetd.8; を注意深く読んで下さい。特に、 , , に注意して下さい。IP 偽造攻撃 (spoofed-IP attack) は &man.inetd.8; の の裏をかけるので、 一般にオプションを組み合わせて使用すべきです。 スタンドアロンサーバの中には、自分自身で fork を制限するパラメータを持っているものがあります。 Sendmail には、 があります。 システム負荷の値変化には遅れがあるので、 Sendmail の負荷限界指定オプションを使うよりも、 このオプションを使う方がまともに動作する可能性ははるかに高いです。 Sendmail を開始する際は、 通常見込まれる負荷を扱える程度に十分高いが、 コンピュータが操作できない数の Sendmail インスタンスの値よりは低い値に MaxDaemonChildren を設定してください。 Sendmail を使って、 キュー処理モードで実行したり、 デーモン (sendmail -bd) をキュー処理用プロセス (sendmail -q15m) と別に実行することも、用心深いことと言えます。 リアルタイムでの配送を望むのであれば、 のようにすることで、 キュー処理をはるかに短い時間間隔で行うことができます。 いずれにしても、MaxDaemonChildren に合理的な値を確実に指定して、 なだれをうって失敗することがないようにして下さい。 &man.syslogd.8; は直接攻撃される可能性があるので、可能ならばいつでも を用いることを強く推奨します。 これができないなら、 を使って下さい。 逆 identd などの接続返し (connect-back) を行うサービスについては直接攻撃を受ける可能性があるので、 十分注意を払うようにするべきです。 こういう事情があるので、TCP wrapper の逆 ident 機能を使うことは推奨されません。 境界ルータのところでファイアウォールを設けて、 外部からのアクセスに対して内部サービスを防御することは推奨されます。 これは、LAN の外部からの飽和攻撃を防ぐことにあり、 内部サービスをネットワークベースの root 権限への攻撃から防御することにはあまり考慮を払っていません。 ファイアウォールは、デフォルトではすべての通信を禁止し、 許可する通信のみを明示して設定するように、常に排他的に設定して下さい。 &os; では、net.inet.ip.portrange &man.sysctl.8; 変数により、 動的バインドに使用されるポート番号の範囲を制御できます。 また別のよくある DoS 攻撃として、 踏み台攻撃と呼ばれるものがあります。これは、 あるサーバを攻撃し、その結果として生成される応答がサーバ自身、 ローカルネットワーク、 もしくは他のマシンを過負荷に追い込むようにする攻撃です。 この種の攻撃の中で最もありふれたものに、 ICMP ping broadcast 攻撃があります。 攻撃者は、攻撃するマシンのアドレスを送信元アドレスに設定した ping パケットを偽造して、対象の LAN のブロードキャストアドレスに向けてパケットを送信します。 境界にあるルータがブロードキャストアドレスに対する ping パケットをドロップするように設定されていない場合、LAN は、 詐称された送信元アドレスに向けて、 犠牲となるマシンが飽和するまで応答パケットを生成します。 異なるネットワーク上のいくつものブロードキャストアドレスに対して同時に攻撃する場合には、 とくにひどいことになります。 2 番目の踏み台攻撃は、 サーバの受信ネットワークを飽和させるような ICMP エラー応答を生成するパケットを生成し、 その結果としてサーバが送信ネットワークを ICMP 応答で飽和させてしまう攻撃です。 メモリを消費し尽くさせることにより、 この種の攻撃でサーバをクラッシュさせることが可能です。 サーバが生成した ICMP 応答を十分速く送信できない場合、 とくにひどいことになります。 この種の攻撃の効果を抑制するには、 &man.sysctl.8; 変数の net.inet.icmp.icmplim を使ってください。 踏み台攻撃の 3 つめの主要なクラスに属する攻撃は、 UDP echo サービスのような、特定の &man.inetd.8; 内部サービスに関連するものです。 攻撃者は、送信元アドレスがサーバ A の echo ポートであり、送信先アドレスがサーバ B の echo ポートであるように UDP パケットを偽造します。 ここでサーバ A, B はともに同じ LAN に接続されています。この 2 つのサーバは、 この一つのパケットを両者の間で互いに相手に対して打ち返しあいます。 攻撃者は、このようなパケットをほんのいくつか注入するだけで、 両方のサーバと LAN を過負荷状態にすることができます。 同様の問題が chargen ポートにも存在します。 この手の inetd 内部テストサービスは無効にしてください。 偽造パケット攻撃は、 カーネルの経路情報キャッシュに過負荷を生じさせるために用いられることもあります。 net.inet.ip.rtexpire, rtminexpire, rtmaxcache の &man.sysctl.8; パラメータを参照して下さい。 でたらめな送信元 IP アドレスを用いた偽造パケット攻撃により、 カーネルは、一時的なキャッシュ経路を経路情報テーブルに生成します。 これは netstat -rna | fgrep W3 で見ることができます。 これらの経路は、普通は 1600 秒程度でタイムアウトになります。 カーネルがキャッシュ経路テーブルが大きくなり過ぎたことを検知すると、 カーネルは動的に rtexpire を減らしますが、rtminexpire より小さくなるようには決して減らしません。 これにより 2 つの問題が引き起こされます。 負荷の軽いサーバが突然攻撃された場合、 カーネルが十分素早く反応できないこと。 カーネルが持続的攻撃に耐えられるほど十分 rtminexpire が低く設定されていないこと。 サーバが T3 もしくはそれより高速の回線でインターネットに接続されている場合、 &man.sysctl.8; を用いて rtexpirertminexpire を手動で上書きしておくことが思慮深いことといえます。 ただし、どちらか一方でも 0 には決してしないで下さい。 コンピュータをクラッシュさせてしまうことになります。 両パラメータを 2 秒に設定すれば、 攻撃から経路情報テーブルを守るには十分でしょう。 Kerberos および &man.ssh.1; を用いたアクセスの問題 &man.ssh.1; もし、Kerberos と &man.ssh.1; を使いたいのだとしたら、 両者に関して言っておかねばならない問題がいくつかあります。 Kerberos は大変優れた認証プロトコルですが、Kerberos 化された &man.telnet.1; および &man.rlogin.1; には、 バイナリストリームを扱うのに不向きになってしまうようなバグがあります。 デフォルトでは、Kerberos は を使わない限りセッションを暗号化してくれません。 一方 &man.ssh.1; では、 デフォルトですべてを暗号化してくれます。 &man.ssh.1; はとても良く働いてくれますが、 デフォルトで暗号鍵を転送してしまいます。 これは、安全なワークステーションから、 安全でないマシンへのアクセスに &man.ssh.1; を使っているユーザにセキュリティリスクを引き起こします。 鍵そのものが見えてしまうわけではありませんが、 &man.ssh.1; は login している間、転送用ポートを作ります。 攻撃者が安全でないマシンの root を破ったら、 このポートを使って、 この暗号鍵でロックが外れる他のマシンへのアクセスを得てしまいます。 可能な時はいつでも、スタッフのログインには Kerberos を組み合せた &man.ssh.1; を使用することを勧めます。 &man.ssh.1; は、Kerberos 対応機能と一緒にコンパイルできます。 こうすると、見えてしまうかもしれない SSH 鍵をあまりあてにしないで良いようになり、 一方で、Kerberos 経由でパスワードが保護されます。 鍵は、安全なマシンからの自動化されたタスクのみに使用するべきです。 Kerberos はこの用途には不向きです。 また、SSH の設定で鍵転送をしないようにするか、 あるいは authorized_keysfrom=IP/DOMAIN を使用して、 特定のマシンからログインしてきたときのみ鍵が有効であるようにすることも勧めます。 - DES, Blowfish, MD5, SHA256, SHA512 および Crypt Bill Swingle 改訂: セキュリティ crypt crypt Blowfish DES MD5 SHA256 SHA512 訳: &a.hanai;, 12 September 1996. 訳改訂: &a.jp.hino;, 12 March 2001. &unix; システムにおけるすべてのユーザは、 そのアカウントに対応した一つのパスワードを持っています。 それらのパスワードを秘密に保っておくために、 パスワードは 一方向ハッシュ として知られる方式で暗号化されます。 一方向ハッシュとは、 簡単に暗号化はできるが解読は難しいという方法です。 オペレーティングシステム自身はパスワードを知りません。 その代わりに 暗号化された 形でのみパスワードを知っています。 素のテキスト としてパスワードを得る唯一の方法は、 可能な限りのパスワード空間を検索するという力任せの方法です。 元々、&unix; においてパスワードを安全な形で暗号化できる方式は Data Encryption Standard (DES) に基づいたものだけでした。DES のソースコードを米国外に輸出することはできないという問題があったため、 &os; は、米国の法律を守ることと、 未だに DES を使っていた他の &unix; 一族との互換性を保つこととを両立する方法を探し出す必要がありました。 その解決方法は、DES よりも安全であると考えられている MD5 を使うことでした。 暗号化機構を理解する 現在では、ライブラリは DES, MD5, Blowfish, SHA256 および SHA512 ハッシュ関数に対応しています。&os; がどの暗号化方式を使うようにセットアップされているかを判断するには、 /etc/master.passwd の暗号化されたパスワードを調べてください。 MD5 ハッシュで暗号化されたパスワードは、DES ハッシュで暗号化されたパスワードよりも長く、 $1$ という文字で始まるという特徴を持っています。 $2a$ で始まるパスワードは、Blowfish ハッシュ関数で暗号化されています。 DES のパスワードはこれといって識別可能な特徴は持っていませんが、 MD5 のパスワードよりは短く、そして $ という文字を含まない 64 文字のアルファベットを使って表現されているので、 比較的短い文字列でドル記号で始まっていないものはおそらく DES のパスワードでしょう。 SHA256 と SHA512 の場合は、$6$ から始まります。 新規パスワードがどちらのパスワード形式になるかは、 /etc/login.conf の中の passwd_format ログインケーパビリティによって制御されます。 その値としては、 des, md5, blf, sha256 または sha512 を設定することができます。 ログインケーパビリティに関するより詳細な情報は、 &man.login.conf.5; をご覧ください。 ワンタイムパスワード ワンタイムパスワード セキュリティ ワンタイムパスワード デフォルトで、&os; は One-time Passwords In Everything (OPIE) に対応しています。 OPIE はデフォルトでは MD5 ハッシュを使用します。 三種類の異なる「パスワード」があります。 まず一つ目は、通常の &unix; スタイル、もしくは Kerberos のパスワードです。 二つ目は、&man.opiekey.1; によって生成され、 &man.opiepasswd.1; およびログインプロンプトが受け付けるワンタイムパスワードです。 三つ目のパスワードは、&man.opiekey.1; と場合により opiepasswd に対してワンタイムパスワードを生成するのに使われる 秘密のパスワード です。 秘密のパスワードは、&unix; パスワードと何の関連性もありません。 両者を同一に設定することは可能ですが、お奨めしません。古い &unix; パスワードは長さが 8 文字に制限されていました &os; では、標準のログインパスワードは、128 文字までとなります。。 これに対し、OPIE の秘密のパスワードには 8 文字の制限はありません。 6 語から 7 語からなるパスフレーズがふつうです。ほとんどの部分で、 OPIE システムは &unix; のパスワードシステムと完全に独立して動作するようになっています。 パスフレーズに加え、OPIE システムにとって重要な 2 種類のデータがあります。一つは シード (seed: 種) または キー (key: 鍵) と呼ばれるもので、2 つの文字と 5 つの数字で構成されます。もう一つは シーケンス番号 (iteration count) で、1 から 100 までの整数です。 OPIE はここまでに述べたデータを利用してワンタイムパスワードを生成します。 その方法は、まずシードと秘密のパスフレーズを連結し、 それに対してシーケンス番号の回数だけ MD5 ハッシュを繰り返し計算します。 そしてその結果を 6 つの短い英単語に変換します。 この 6 つの英単語がワンタイムパスワードです。 認証システム (主は PAM) は、 前回最後に受け付けたワンタイムパスワードを記録しています。 そして、その前回のワンタイムパスワードと、 ユーザが入力したワンタイムパスワードを 1 回ハッシュ関数にかけた結果とが一致した場合に、 このユーザは認証されます。 一方向ハッシュ関数を使っているので、 もし正しく認証されたワンタイムパスワードが一回盗聴されたとしても、 次回以降に使われる複数のワンタイムパスワードを生成することは不可能です。 シーケンス番号はログインが成功するたびに一つずつ減らされて、 ユーザとログインプログラムの間で同期が取られます。 シーケンス番号が 1 まで減ったら、 OPIE を再度初期化する必要があります。 このプロセスに関連するいくつかのプログラムがあります。 &man.opiekey.1; は、シーケンス番号と、シードと、 秘密のパスフレーズを受け付けて、ワンタイムパスワード 1 つ、 または一連のワンタイムパスワードの一覧を生成します。 &man.opiepasswd.1; は、OPIE の初期化に加え、パスワード、 シーケンス番号やシードを変更するためにも使用されます。 このプログラムを実行するには、秘密のパスフレーズか、 または、シーケンス番号とシードとワンタイムパスワードの 1 組かの、どちらかを与えます。 &man.opieinfo.1; は、 認証ファイル (/etc/opiekeys) を調べて、 プログラムを起動したユーザの現在のシーケンス番号とシードを表示します。 4 種類の異なる操作があります。 1 つ目は、&man.opiepasswd.1; を信頼できる通信路上で利用して、 最初にワンタイムパスワードを設定したり、 秘密のパスフレーズやシードを変更する操作です。 2 つ目は、同じことを行うために &man.opiepasswd.1; を信頼できない通信路上で利用する操作です。 この場合は信頼できる通信路経由の &man.opiekey.1; を併用します。3 つ目は、&man.opiekey.1; を使い、信頼できない通信路を通じてログインする操作です。 4 番目は、&man.opiekey.1; を使って複数のワンタイムパスワードを一気に生成する操作です。 ここで生成した複数のワンタイムパスワードは、 メモしたり印刷したりして携帯し、 信頼できる通信路が一切ないところからの接続に利用できます。 (訳注: ワンタイムパスワードを記録した紙をなくさないこと! 電話番号や IP アドレス、ユーザ名を一緒にメモしていたら最悪です!!) 信頼できる通信路での初期化 OPIE を初めて初期化するには、 &man.opiepasswd.1; を実行してください。 &prompt.user; opiepasswd -c [grimreaper] ~ $ opiepasswd -f -c Adding unfurl: Only use this method from the console; NEVER from remote. If you are using telnet, xterm, or a dial-in, type ^C now or exit with no password. Then run opiepasswd without the -c parameter. Using MD5 to compute responses. Enter new secret pass phrase: Again new secret pass phrase: ID unfurl OTP key is 499 to4268 MOS MALL GOAT ARM AVID COED Enter new secret pass phrase: または Enter secret password: というプロンプトに対して、 パスワードまたはパスフレーズを入力してください。 このパスワードは、 ログインするときに使うワンタイムパスワードを生成するために使うものであり、 ログインのためのパスワードではありません。 ID から始まる行は、1 回分のパラメータで、 ログイン名とシーケンス番号とシードです。 ログインするときには、 システム側がこれらのパラメータを覚えていて表示してくれるので、 これらのパラメータを覚えておく必要はありません。 最後の行が、今述べたパラメータと入力された秘密のパスワードから計算されたワンタイムパスワードです。 次にログインするときに打ち込むべきワンタイムパスワードがこれです。 信頼できない通信路での初期化 信頼できない通信路を使って秘密のパスフレーズを初期化または変更するためには、 &man.opiekey.1; を実行するための信頼できる通信路を用意しておく必要があります。 たとえばそれは、 信頼できるマシンのシェルプロンプトだったりするでしょう。 (訳注: ここでの通信路とはマシンそのものになります。 信頼できるマシンとは、 信頼できる人がしっかり管理しているマシンということです)。 他に準備しておくものとして、シーケンス番号 (100 は適切な値といえるでしょう) と、場合によっては自分で考えた、 またはランダムに生成されたシードがあります。 信頼できない通信路を使うときには、&man.opiepasswd.1; を使ってコンピュータを初期化してください。 &prompt.user; opiepasswd Updating unfurl: You need the response from an OTP generator. Old secret pass phrase: otp-md5 498 to4268 ext Response: GAME GAG WELT OUT DOWN CHAT New secret pass phrase: otp-md5 499 to4269 Response: LINE PAP MILK NELL BUOY TROY ID mark OTP key is 499 gr4269 LINE PAP MILK NELL BUOY TROY デフォルトのシードで構わなければ、Return を押してください。アクセスパスワードを入れる前に、 あらかじめ用意しておいた信頼できる通信路へ移って、 先ほどと同じパラメータを入力します。 &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Do not use opiekey from telnet or dial-in sessions. Enter secret pass phrase: GAME GAG WELT OUT DOWN CHAT 信頼できない通信路の方に戻って、 生成されたワンタイムパスワードをコピーして対応するプログラムに入力します。 ワンタイムパスワードを一つ生成する OPIE を初期化したら、 ログイン時には以下のようなプロンプトが出てくるでしょう。 &prompt.user; telnet example.com Trying 10.0.0.1... Connected to example.com Escape character is '^]'. FreeBSD/i386 (example.com) (ttypa) login: <ユーザ名> otp-md5 498 gr4269 ext Password: OPIE のプロンプトには便利な機能が備わっています。 パスワードプロンプトに対して、 Return を押すとエコーモードに切り替わり、 タイプした文字がそのまま見えるようになるのです。 これは、 紙に印刷していたりするワンタイムパスワードを手で入力しなければならない場合に役立つ機能です。 MS-DOS Windows MacOS 次に、 このログインプロンプトに対して入力するワンタイムパスワードを生成してください。 これは、&man.opiekey.1; プログラムを使える信頼できるマシン上で行わなければなりません。 このプログラムには &windows;, &macos; および &os; 版があります。 どちらも、 コマンドラインからシーケンス番号とシードを指定しなければなりません。 ログインしようとしているマシンのログインプロンプトから直接カットアンドペーストすると楽でしょう。 信頼できるシステムで &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Do not use opiekey from telnet or dial-in sessions. Enter secret pass phrase: GAME GAG WELT OUT DOWN CHAT ワンタイムパスワードが生成されたので、 ログインを続けてください。 複数のワンタイムパスワードを生成する 都合によっては、 信頼できるマシンや信頼できる通信路が一切確保できないようなことがあるでしょう。 このような場合には、&man.opiekey.1; を使って複数のワンタイムパスワードを生成できます。 たとえば &prompt.user; opiekey -n 5 30 zz99999 Using the MD5 algorithm to compute response. Reminder: Do not use opiekey from telnet or dial-in sessions. Enter secret pass phrase: <secret password> 26: JOAN BORE FOSS DES NAY QUIT 27: LATE BIAS SLAY FOLK MUCH TRIG 28: SALT TIN ANTI LOON NEAL USE 29: RIO ODIN GO BYE FURY TIC 30: GREW JIVE SAN GIRD BOIL PHI という引数によって 5 個のワンタイムパスワードを順に生成します。 また は、 最後のシーケンス番号となるべき数字です。出力は使う順番とは に出力されていることに注意してください (訳注: 一番最初に使うワンタイムパスワードは一番最後に出力されたものです)。 もしあなたがセキュリティに偏執するなら、 この結果を紙と鉛筆を使って手で書き移した方がよいかもしれません。 そうでなければ、この結果を印刷すると良いでしょう。 ここで、 出力の各行はシーケンス番号とそれに対応する一回分のワンタイムパスワードです。 消費済みのワンタイムパスワードをペンで消していってください。 &unix; パスワードの利用を制限する OPIE は、ログインセッションの IP アドレスをベースとした &unix; パスワードの使用を制限できます。 関連ファイルは、/etc/opieaccess で、 デフォルトで用意されています。 このファイルの詳細や、 このファイルを使用する際に考慮すべきセキュリィについては &man.opieaccess.5; を確認してください。 以下は opieaccess の例です。 permit 192.168.0.0 255.255.0.0 この行では、(なりすましされやすい) IP ソースアドレスが、 ある値やマスクにマッチするユーザに対して、 &unix; パスワードをいつでも許可します。 もし opieaccess のどのルールにも一致しなければ、 デフォルトでは非 OPIE ログインは使えません。 TCP Wrappers Tom Rhodes 執筆: TCP Wrappers TCP Wrappers は、 すべてのサーバデーモンに対するサポートをその管理下で提供できるように、 の機能を拡張します。 この方法を使うことで、ログへの対応、 接続に対してメッセージを返したり、 内部の接続だけを許可するようにデーモンを設定することが可能となります。 これらの機能のいくつかはファイアウォールでも実装できますが、 TCP Wrappers は、 システムを守るためのレイヤを追加し、 ファイアウォールが提供する以上の管理機能を提供します。 TCP Wrappers は、 適切に設定されたファイアウォールの置き換えと考えるべきではありません。 TCP Wrappers は、 ファイアウォールや他のセキュリティ強化のツールと組み合わせて使うべきです。 初期設定 &os; 上で TCP Wrappers を有効にするには、 rc.conf から オプションで &man.inetd.8; サーバが起動されることを確認してください。 その後、/etc/hosts.allow を適切に設定してください。 他の TCP Wrappers の実装と異なり、 hosts.deny は廃止されました。 すべての設定オプションは /etc/hosts.allow に書かれている必要があります。 最も簡単な設定におけるデーモンの接続ポリシは、 /etc/hosts.allow の中で、 オプションごとに許可またはブロックするように設定するというものです。 &os; のデフォルトの設定では、&man.inetd.8; から起動されたすべてのデーモンの接続を許可します。 基本的な設定は、通常 daemon : address : action という形式です。ここで、 daemon は、 &man.inetd.8; が起動するデーモンの名前です。 address の部分は、有効なホスト名、 IP アドレスまたは、 括弧 ([ ]) で囲まれた IPv6 アドレスです。 action は、 allow または deny です。 TCP Wrappers は、 最初にマッチしたルールが適用されます。 これは、設定ファイルに対するルールにマッチするかどうかのスキャンは、 昇順に行われることを意味しています。 マッチすると、ルールが適用され、 検索のプロセスは終了します。 例として、POP3 の接続を - mail/qpopper + mail/qpopper デーモン経由で許可するには、以下の行を hosts.allow に追加してください。 # This line is required for POP3 connections: qpopper : ALL : allow この行を追加したら、 &man.inetd.8; を再起動してください。 &prompt.root; service inetd restart 高度な設定 TCP Wrappers は、 接続を取り扱う以上の制御を行う高度な設定も提供しています。 ある時は、 接続しているホストまたはデーモンにコメントを返すことが適切であることがあります。 別の場合では、おそらくログエントリを記録したり、 管理者にメールで送る必要があることもあるでしょう。 またその他の状況としては、 サービスをローカルの接続のみの使用に制限する必要がある場合もあります。 これらはすべて、ワイルドカード と呼ばれる設定のオプション (拡張文字および外部コマンドの実行) で可能となります。 外部コマンド 接続は拒否しなければならないが、 その理由を接続の確立を試みた相手に送りたい状況を考えてください。 このアクションは、 を使うことで実現可能です。 接続が試みられると、 はシェルコマンドまたはスクリプトを実行します。 この場合の例は、 hosts.allow に書かれています。 # The rest of the daemons are protected. ALL : ALL \ : severity auth.info \ : twist /bin/echo "You are not welcome to use %d from %h." この例では、 You are not allowed to use daemon from hostname. というメッセージを、 アクセスファイルの中で設定されていないすべてのデーモンに対して返します。 接続元に対し、 確立された接続が破棄された直後に返答することは有効です。 返信に使われるメッセージは、引用符 (") で囲む 必要 があります。 攻撃者や攻撃者のグループは、 これらのデーモンの接続のリクエストであふれさせることにより、 サーバに対して DoS 攻撃を仕掛けることができます。 他の可能性は を使うことです。 と同様に、 は、暗黙のうちに接続を拒否し、 外部のシェルコマンドやスクリプトを実行できます。 と異なり、 は、 接続を確立した相手に対し、返事を返すことはありません。 たとえば、以下のような設定の行を考えてみてください。 # We do not allow connections from example.com: ALL : .example.com \ : spawn (/bin/echo %a from %h attempted to access %d >> \ /var/log/connections.log) \ : deny この行は、*.example.com からの接続をすべて拒否します。 ホスト名、IP アドレスおよびアクセスを試みたデーモンが、 /var/log/connections.log に記録されます。 この例では、置換文字 %a および %h が使われています。 置換文字の完全な一覧は &man.hosts.access.5; をご覧ください。 ワイルドカードオプション ALL オプションは、 デーモン、ドメインまたは IP アドレスのすべてのインスタンスのどれかにマッチするかどうかに使われます。 他のワイルドカードは、偽造された IP アドレスを提供するホストにマッチするかどうかに用いられる PARANOID です。 たとえば、PARANOID を使うことで、 ホスト名と異なる IP アドレスからの接続があった時のアクションを定義できます。 以下の例では、ホスト名から検索される IP アドレスと異なる IP アドレスを持つ &man.sendmail.8; への接続のすべてのリクエストを拒否します。 # Block possibly spoofed requests to sendmail: sendmail : PARANOID : deny クライアントもしくはサーバの DNS の設定が間違っている場合に、 PARANOID ワイルドカードを使うと、 サーバがとても使いづらくなります。 管理者の慎重さが求められます。 ワイルドカードおよび関連する機能についてもっと知りたい場合には、 &man.hosts.access.5; をご覧ください。 上記の設定が動作するには、hosts.allow の中で、 最初の設定の行がコメントアウトされている必要があります。 <application>Kerberos5</application> Tillman Hodgson 寄稿: Mark Murray 基にした文書の執筆: Kerberos は、 サーバのサービスによってユーザが安全に認証を受けられるようにするための、 ネットワークの付加システムおよびプロトコルです。 Kerberos は、 身元確認プロキシシステムや、 信頼される第 3 者認証システムとも説明されます。 ユーザが Kerberos を使って認証を行った後は、 通信は暗号化され、 プライバシおよびデータの完全性を保証することができます。 Kerberos の唯一の機能は、 ネットワーク上のユーザの安全な認証を提供することです。 承認 (どのユーザが許可されているか) や監査 (ユーザがどのような作業を行っているか) の機能は提供しません。 Kerberos を使う際は、 承認および監査サービスを提供する他のセキュリティの手段との利用が、 推奨されます。 この節では、&os; 用として配布されている Kerberos をセットアップする際のガイドを提供します。 完全な説明が必要な場合には、 マニュアルページを参照してください。 この節における Kerberos のインストールのデモでは、以下のような名前空間が使われます。 DNS ドメイン (ゾーン) は、 example.org です。 Kerberos の領域は、 EXAMPLE.ORG です。 Kerberos の設定では、 内部での使用でも実際のドメイン名を使ってください。 DNS の問題を避けることができ、 他の Kerberos のレルム (realm) との相互運用を保証します。 歴史 Kerberos5 歴史 Kerberos は、 ネットワークのセキュリティ問題を解決するために、 MIT で開発されました。 Kerberos プロトコルは、 必ずしも安全ではないインターネット接続においても、 サーバに対して (逆もまた同様に)、 強い暗号を使って身元を証明します。 Kerberos は、 ネットワーク認証プロトコルの名前であり、 Kerberos telnet のように、 このプログラムを実装しているプログラムを表すための形容詞でもあります。 プロトコルの現在のバージョンはバージョン 5 で、 RFC 1510 として文書化されています。 このプロトコルのいくつものフリーの実装が、 さまざまなオペレーティングシステムで利用できます。 最初の Kerberos を開発したマサチューセッツ工科大学 (MIT) は、 開発した Kerberos パッケージを継続的に保守しています。 アメリカ合衆国では暗号製品として良く使われていますが、 歴史的には、 アメリカ合衆国 の輸出規制により制限されてきました。 MIT で実装された Kerberos は、 - security/krb5 package または + security/krb5 package または port から利用できます。 バージョン 5 のもう一つの実装が、 Heimdal Kerberos です。 この実装は、アメリカ合衆国の外で開発されたため、 輸出の制限を避けることができます。 Heimdal Kerberos は - security/heimdal + security/heimdal> package または port からインストールできますが、最小構成は &os; の base インストールに含まれています。 以下の説明では &os; に含まれている Heimdal ディストリビューションの使用を想定しています。 Heimdal <acronym>KDC</acronym> の設定 Kerberos5 鍵配布センター 鍵配布センター (KDC) は、 Kerberos が提供する中心的な認証サービスで、 Kerberos チケットを発行するコンピュータです。 KDC は、 Kerberos のレルムの中のすべてのコンピュータから 信頼されています。 そのため、厳重なセキュリティに対する配慮が必要となります。 Kerberos サーバの実行にコンピュータのリソースはほとんど必要ありませんが、 セキュリティの観点から、KDC としてのみ機能する専用のコンピュータが推奨されます。 KDC を設定するにあたって、 KDC として動作するために、 適切に /etc/rc.conf が設定されていることを確認してください。 必要に応じて、 システムの設定を反映するようにパスを調整する必要があります。 kerberos5_server_enable="YES" kadmind5_server_enable="YES" 次に、/etc/krb5.conf を以下のように編集してください。 [libdefaults] default_realm = EXAMPLE.ORG [realms] EXAMPLE.ORG = { kdc = kerberos.example.org admin_server = kerberos.example.org } [domain_realm] .example.org = EXAMPLE.ORG /etc/krb5.conf の中で、 KDC は、 完全修飾されたホスト名 kerberos.example.org を使うことが想定されています。 KDC が異なるホスト名を持つ場合には、 名前の解決が行われるように、適切に CNAME (エイリアス) エントリをゾーンファイルに追加してください。 適切に DNS サーバが設定されている大きなネットワークでは、 上記の例は、以下のように整理されます。 [libdefaults] default_realm = EXAMPLE.ORG そして、kerberos.EXAMPLE.ORG + class="fqdomainname">example.org ゾーンファイルには、以下の行が付け加えられます。 _kerberos._udp IN SRV 01 00 88 kerberos.example.org. _kerberos._tcp IN SRV 01 00 88 kerberos.example.org. _kpasswd._udp IN SRV 01 00 464 kerberos.example.org. _kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. _kerberos IN TXT EXAMPLE.ORG クライアントが、 Kerberos サービスを見つけるためには、 /etc/krb5.conf を完全に設定するか、 /etc/krb5.conf を最低限に設定し、 さらに DNS サーバを適切に設定する 必要 があります。 次に Kerberos データベースを作成してください。 このデータベースには、 マスター鍵により暗号化されたすべてのプリンシパルの鍵が含まれています。 このパスワードは、 /var/heimdal/m-key に保存されるため、 覚える必要はありません。 マスター鍵を作成するには、&man.kstash.8; を実行して、 パスワードを入力してください。 マスター鍵を作成したら、kadmin -l を使ってデータベースを初期化してください。 このオプションを使うと、&man.kadmin.8; は、 &man.kadmind.8; ネットワークサービスを使わず、 ローカルのデータベースファイルを直接変更します。 これにより、 データベースを作成する前に、データベースへの接続を試みてしまうという、 卵が先か鶏が先かという問題を回避できます。 &man.kadmin.8; プロンプトで、 init を使って、 レルムに関する初期のデータベースを作成してください。 最後に、&man.kadmin.8; プロンプトで add を使って最初のプリンシパルを作成して下さい。 差し当たりは、 プリンシパルに対するデフォルトのオプションに従ってください。 後で modify を使うことで、 変更することができます。 &man.kadmin.8; プロンプトで ? と入力すると、 利用可能なオプションを確認できます。 データベース作成のセッションの例は以下のようになります。 &prompt.root; kstash Master key: xxxxxxxx Verifying password - Master key: xxxxxxxx &prompt.root; kadmin -l -kadmin> init EXAMPLE.ORG +kadmin> init EXAMPLE.ORG Realm max ticket life [unlimited]: -kadmin> add tillman +kadmin> add tillman Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: Password: xxxxxxxx Verifying password - Password: xxxxxxxx 次に KDC サービスを起動してください。 service kerberos start および service kadmind start を実行してサービスを起動してください。 この時点で、kerberos 化されたデーモンが走っていなくても、 KDC のコマンドラインから、作成したばかりの (ユーザ) プリンシパルのチケットを入手したり、 一覧を表示することができることを確認できます。 - &prompt.user; kinit tillman + &prompt.user; kinit tillman tillman@EXAMPLE.ORG's Password: &prompt.user; klist Credentials cache: FILE:/tmp/krb5cc_500 Principal: tillman@EXAMPLE.ORG Issued Expires Principal Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG 必要がなくなった時には、チケットを破棄できます。 &prompt.user; kdestroy Heimdal <application>Kerberos</application> サービスを有効にする。 Kerberos5 Enabling サービス 最初に /etc/krb5.confKDC からクライアントコンピュータへ、 &man.scp.1; または物理的にリムーバブルディスクを使うといった安全な方法でコピーしてください。 次に /etc/krb5.keytab を作成してください。 これが Kerberos 化されたデーモンを提供するサーバとワークステーションの間での大きな違いです: サーバには keytab が置かれている必要があります。 このファイルには、サーバのホスト鍵が含まれています。 この鍵により、ホストおよび KDC が他の身元の検証ができます。 鍵が公開されてしまうと、 サーバのセキュリティが破られてしまうため、 このファイルは安全にサーバに転送しなければなりません。 一般的には、&man.kadmin.8; を使って、 keytab をサーバに転送します。 ホストプリンシパル (KDC 側の krb5.keytab) も &man.kadmin.8; を使って作成するので便利です。 すでにチケットを入手し、そのチケットは、 &man.kadmin.8; インタフェースで使用できることが kadmind.acl で許可されている必要があります。 アクセスコントロールリストの設計の詳細については、 info heimdalRemote administration というタイトルの章をご覧ください。 リモートからの kadmin アクセスを有効にする代わりに、 管理者は、ローカルコンソールまたは &man.ssh.1; を用いて安全に KDC に接続し、 kadmin -l を使用して、 ローカルで管理作業を行うことができます。 /etc/krb5.conf をインストールしたら、 Kerberos サーバから add --random-key を使ってください。 このコマンドは、サーバのホストプリンシパルを追加します。 そして、ext を用いて、 サーバのホストプリンシパルを keytab に抽出してください。 以下は、使用例です。 &prompt.root; kadmin -kadmin> add --random-key host/myserver.example.org +kadmin> add --random-key host/myserver.example.org Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: -kadmin> ext host/myserver.example.org -kadmin> exit +kadmin> ext host/myserver.example.org +kadmin> exit ext は、デフォルトでは、抽出された鍵を /etc/krb5.keytab に保存します。 KDC 上で &man.kadmind.8; を走らせていない場合で、 リモートから &man.kadmin.8; に接続出来ない場合には、 ホストプリンシパル (host/myserver.EXAMPLE.ORG) を直接 KDC 上で追加し、 その後、以下のように KDC 上の /etc/krb5.keytab の上書きを避けるため、 一時ファイルに抽出してください。 &prompt.root; kadmin -kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org -kadmin> exit +kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org +kadmin> exit その後、&man.scp.1; またはリムーバブルディスクを使って、 keytab を安全にサーバコンピュータにコピーしてください。 KDC 上の keytab を上書きすることを避けるため、 デフォルトとは異なる名前を指定してください。 これでサーバは、 krb5.conf を使って KDC と通信ができるようになりました。 そして、krb5.keytab によって身元を証明できるようになったので、 Kerberos サービスを有効にする準備が出来ました。 この例では、 &man.telnetd.8; サービスが /etc/inetd.conf で有効に設定され、 service inetd restart によって、 &man.inetd.8; サービスを再起動します。 telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user 重要な変更箇所は、 認証がユーザに設定されていることです。 詳細については、 &man.telnetd.8; を参照してください。 Heimdal <application>Kerberos</application> クライアントを有効にする Kerberos5 クライアントの設定 クライアントコンピュータの設定は簡単です。 /etc/krb5.conf のみが必要です。 このファイルをセキュリティ的に安全な方法で、KDC からクライアントコンピュータへコピーしてください。 クライアントから、&man.kinit.1;, &man.klist.1; および &man.kdestroy.1; を使用し、 上記で作成したプリンシパルに対するチケットの入手、表示、 削除を行い、クライアントコンピュータを試験してください。 Kerberos アプリケーションを使って Kerberos が有効なサーバに接続することもできるはずです。 もしうまく機能しない場合でも、チケットを入手できるのであれば、 問題はおそらくサーバにあり、 クライアントまたは KDC の問題ではないと考えられます。 Kerberos 化されたアプリケーションを試験する際には、 &man.tcpdump.1; といったパケットスニファを使用して、 パスワードが平文で送られていないことを確認してください。 コア以外の さまざまな Kerberos クライアントアプリケーションが利用可能です。 &os; の 最小 インストールでは、 インストールされる Kerberos 化された唯一のサービスは、&man.telnetd.8; です。 Heimdal port は、 Kerberos 化されている &man.ftpd.8;, &man.rshd.8;, &man.rcp.1;, &man.rlogind.8; および他のあまり一般的ではないプログラムをインストールします。 MIT port も、すべての Kerberos クライアントアプリケーションをインストールします。 ユーザ設定ファイル: <filename>.k5login</filename> および <filename>.k5users</filename> .k5login .k5users レルムのユーザは、一般的には、 ローカルユーザアカウントに対応する Kerberos プリンシパルを持ちます。 しかしながら、時々 Kerberos プリンシパルに対応しないローカルユーザアカウントへのアクセスが必要となることがあります。 たとえば、 tillman@EXAMPLE.ORG が、ローカルユーザアカウント webdevelopers へのアクセスが必要となることがあります。そして、 他のプリンシパルが同じローカルアカウントにアクセスが必要になることもあります。 ユーザのホームディレクトリに置かれた .k5login および .k5users ファイルを使うことで、 この問題を解決出来ます。 たとえば、以下の行を含む .k5loginwebdevelopers のホームディレクトリに置くと、 一覧にある両方のプリンシパルは、 共有のパスワードを必要としなくても、 このアカウントにアクセス出来ます。 tillman@example.org jdoe@example.org .k5users の詳細については、 &man.ksu.1; を参照してください。 <application>Kerberos</application> Tips, Tricks, およびトラブルシューティング - - Kerberos5 - トラブルシューティング - - Heimdal または MIT - Kerberos ports + KerberosKerberos5troubleshooting ports のどちらを使う場合でも、 PATH は、 Kerberos 版のクライアント アプリケーションが、 システムにあるアプリケーションより先に見つかるように設定されていることを確認してください。 レルムにあるすべてのコンピュータの間で時刻が同期していないと、 認証に失敗してしまいます。 NTP を用いた、時刻の同期方法については、 をご覧ください。 MIT および Heimdal 間の運用は、 標準化されていない &man.kadmin.8; を除けばうまく機能します。 ホスト名が変更された場合は、 host/ プリンシパルを変更し、keytab をアップデートする必要があります。 Apache の - www/mod_auth_kerb + www/mod_auth_kerb で使われる www/ プリンシパルのような特別な keytab エントリでも必要となります。 レルムの中のすべてのホストは、DNS、 もしくは、最低限 /etc/hosts において正引きおよび逆引き両方で名前解決できる必要があります。 CNAME は動作しますが、A および PTR レコードは、 正しく適切な位置に記述されている必要があります。 名前が解決できない場合のエラーメッセージは、 次の例のように、直感的に原因が分かるようなものではありません。 Kerberos5 refuses authentication because Read req failed: Key table entry not found. KDC に対しクライアントとして振る舞うオペレーティングシステムの中には、 &man.ksu.1; に対して、 root 権限に setuid を許可しないものがあります。 この設定では、 &man.ksu.1; は動作しないことを意味します。 これは KDC のエラーではありません。 MIT Kerberos において、 プリンシパルが、デフォルトの 10 時間を超えるチケットの有効期限としたい場合には、 &man.kadmin.8; のプロンプトで modify_principal を使って、 対象のプリンシパルおよび krbtgt プリンシパル両方の有効期限の最大値を変更してください。 プリンシパルは、 kinit -l を使用して、 長い有効期限のチケットを要求できます。 トラブルシューティングのために、 KDC でパケットスニファを走らせ、 一方で、ワークステーションにおいて &man.kinit.1; を実行すると、 &man.kinit.1; を実行するやいなや、 パスワードを入力し終わる前でも、 Ticket Granting Ticket (TGT) が送られてきます。 これに関する説明は、以下の通りです。 Kerberos サーバは、 いかなる未承認のリクエストに対して、 自由に TGT を送信します。 しかしながら、すべての TGT は、 ユーザのパスワードから生成された鍵により、暗号化されています。 そのため、ユーザがパスワードを入力した時には、 パスワードは KDC には送られません。 その代わりこのパスワードは、&man.kinit.1; がすでに入手した TGT の復号化に使われます。 もし、復号化の結果、 有効なチケットで有効なタイムスタンプの場合には、 ユーザは、有効な Kerberos クレデンシャルを持ちます。 このクレデンシャルには、 Kerberos サーバ自身の鍵により暗号化された実際の TGT とともに、将来 Kerberos サーバと安全な通信を確立するためのセッション鍵が含まれています。 この暗号の 2 番目のレイヤは、 Kerberos サーバが、 各 TGT の真偽の検証を可能にしている部分です。 たとえば一週間といった長い有効期限のチケットを使いたい場合で、 OpenSSH を使って、 チケットが保存されているコンピュータに接続しようとする場合は、 Kerberos sshd_config において no と設定されているか、 チケットが、ログアウト時に削除されることを確認してください。 ホストプリンシパルは長い有効期限のチケットを持つことができます。 もし、ユーザプリンシパルが 1 週間の有効期限を持ち、 接続しているホストが、9 時間の有効期限を持っている場合には、 ユーザキャッシュは有効期限が切れたホストプリンシパルを持つことになり、 想定したように、 チケットキャッシュが振る舞わないことが起こりえます。 &man.kadmind.8; で説明されているような、 特定の問題のあるパスワードが使われることを避けるために krb5.dict を設定する時には、 パスワードポリシが割り当てられたプリンシパルにのみ適用されることを覚えていてください。 krb5.dict で使われている形式では、 一行に一つの文字列が置かれています。 /usr/share/dict/words にシンボリックリンクを作成することは、有効です。 <acronym>MIT</acronym> port との違いについて MIT と Heimdal 版の大きな違いは、 &man.kadmin.8; に関連しています。 このプログラムは、異なる (ただし等価な) コマンド群を持ち、そして、 異なるプロトコルを使用します。 もし KDCMIT を使用している場合には、 Heimdal 版の &man.kadmin.8; を使って KDC をリモートから (逆も同様に) 管理できないことを意味しています。 クライアントアプリケーションでは、同じタスクを行う際に、 若干異なるコマンドラインのオプションが使われることもあります。 MIT Kerberos ウェブサイト に書かれているガイドに従うことが推奨されます。 path の問題について注意してください。 MIT port はデフォルトで - /usr/local/ - にインストールします。 + /usr/local/ にインストールします。 そのため、もし PATH においてシステムのディレクトが最初に書かれている場合には、 MIT 版ではなく、通常の システムアプリケーションが起動してしまいます。 &os; の MIT - security/krb5 port において、 + security/krb5 port において、 &man.telnetd.8; および klogind 経由でのログインが奇妙な振る舞いをすることを理解するには、 port からインストールされる /usr/local/share/doc/krb5/README.FreeBSD を読んで下さい。 incorrect permissions on cache file の振る舞いを修正するには、 フォワードされたクレデンシャリングの所有権を適切に変更できるように、 login.krb5 バイナリが認証に使われる必要があります。 rc.conf を以下のように変更する必要もあります。 kerberos5_server="/usr/local/sbin/krb5kdc" kadmind5_server="/usr/local/sbin/kadmind" +kerberos5_server_flags="" kerberos5_server_enable="YES" kadmind5_server_enable="YES" これを行うのは、 MIT Kerberos のアプリケーションは、 - /usr/local + /usr/local 構造の下にインストールされるためです。 <application>Kerberos</application> で見つかった制限を緩和する Kerberos5 制限および欠点 <application>Kerberos</application> は、All or Nothing アプローチです。 ネットワーク上で有効なすべてのサービスは、 Kerberos 化されるか、 または、ネットワーク攻撃に対して安全であるべきです。 さもないと、ユーザのクレデンシャルが盗まれ、 利用されることが起きるかもしれません。 この例は、 Kerberos 化されたすべてのリモートシェルです。 パスワードを平文で送るような POP3 メールサーバは変換していません。 <application>Kerberos</application> は、 シングルユーザのワークステーションでの使用を想定しています。 マルチユーザの環境では、 Kerberos は安全ではありません。 - チケットは /tmp + チケットは /tmp に保管され、 このチケットは、すべてのユーザが読むことができるためです。 もし、ユーザがコンピュータを他のユーザと同時に共有していると、 他のユーザは、そのユーザのチケットを盗んだり、 コピーが出来てしまいます。 この問題は、-c コマンドラインオプションまたは、好ましくは KRB5CCNAME 環境変数によって克服されます。 この問題への対応には、 チケットをユーザのホームディレクトリに保存し、 ファイルの許可属性を設定することが一般的に行われます。 KDC は、単一障害点である 設計上、KDC は、 マスターパスワードのデータベースと同様に安全である必要があります。 KDC では、 絶対に他のサービスを走らせるべきではありませんし、 物理的に安全であるべきです。 Kerberos は、 KDC 上で、ファイルとして保存されている同じ マスター 鍵で暗号化されたすべてのパスワードを保存しているので、 非常に危険です。 マスター鍵が漏洩しても、 懸念するほど悪いことにはなりません。 マスター鍵は、Kerberos データベースの暗号時にのみ、 乱数を生成するためのシードとして使われます。 KDC へのアクセスが安全である限りにおいては、 マスター鍵を用いて、それほど多くのことはできません。 さらに、KDC が利用できないと、 認証ができないため、ネットワークサービスを利用できなくなります。 この攻撃による被害は、 ひとつのマスタ KDC とひとつまたはそれ以上のスレーブ、 そして、セカンダリもしくは PAM を用いたフォールバック認証を注意深く実装することにより軽減できます。 <application>Kerberos</application> の欠点 Kerberos は、 ユーザ、ホストおよびサービスの間での認証を可能にしますが、 KDC とユーザ、 ホストまたはサービスとの間の認証のメカニズムは提供しません。 これは、トロイの木馬の &man.kinit.1; が、 すべてのユーザ名とパスワードを記録できることを意味しています。 - security/tripwire + security/tripwire のような、ファイルシステムの完全性を確認するためのツールにより、 この危険性を軽減することができます。 リソースおよび他の情報源 Kerberos5 External Resources The Kerberos FAQ Designing an Authentication System: a Dialog in Four Scenes RFC 1510, The Kerberos Network Authentication Service (V5) MIT Kerberos home page Heimdal Kerberos home page OpenSSL Tom Rhodes 執筆: セキュリティ OpenSSL &os; には、OpenSSL ツールキットが含まれています。 OpenSSL は、 通常の通信層の上位にあるトランスポート層を暗号化し、 多くのネットワークアプリケーションおよびサービスと組み合わせて使用できます。 OpenSSL は、 メールクライアントの暗号化された認証、 クレジットカードでの支払いといったウェブベースの取引などで使われます。 - www/apache22 および - mail/claws-mail + www/apache22 および + mail/claws-mail といった多くの port では、 OpenSSL とともに構築するコンパイルに対応しています。 多くの場合、Ports Collection は、 - make の WITH_OPENSSL_BASE が明示的に + make の WITH_OPENSSL_BASE が明示的に yes に設定されていないと、 - security/openssl port + security/openssl port の構築を試みます。 &os; に含まれている OpenSSL  のバージョンは、Secure Sockets Layer v2/v3 (SSLv2/SSLv3) および Transport Layer Security v1 (TLSv1) ネットワークセキュリティプロトコルに対応しており、 多目的な暗号化ライブラリとして使うことができます。 OpenSSL は、 IDEA アルゴリズムに対応していますが、 合衆国の特許により、デフォルトでは無効になっています。 もし使用したいのであれば、ライセンス条項を必ず確認し、 ライセンス条項に合致するのであれば、 /etc/make.conf において - MAKE_IDEA 変数を設定してください。 + MAKE_IDEA 変数を設定してください。 最も一般的な OpenSSL の利用方法のひとつは、 ソフトウェアアプリケーションが使えるように証明書を提供することです。 これらの証明書により、会社または個人の公開鍵が、 改ざんやなりすましが行われていないことを確認できます。 もし問題となっている証明書が、認証局 (CA) により検証されなければ、 警告が表示されます。 CA は、VeriSign のような会社で、個人または会社の公開鍵の検証を行えるように、 証明書に署名を行います。 証明書を作成するには費用がかかり、 証明書の使用は必要条件ではありませんが、 証明書を使うことで、 ユーザを安心させることができます。 証明書の作成 OpenSSL 証明書の作成 以下のコマンドにより、証明書を作成できます。 &prompt.root; openssl req -new -nodes -out req.pem -keyout cert.pem Generating a 1024 bit RSA private key ................++++++ .......................................++++++ writing new private key to 'cert.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- -Country Name (2 letter code) [AU]:US -State or Province Name (full name) [Some-State]:PA -Locality Name (eg, city) []:Pittsburgh -Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company -Organizational Unit Name (eg, section) []:Systems Administrator -Common Name (eg, YOUR name) []:localhost.example.org -Email Address []:trhodes@FreeBSD.org +Country Name (2 letter code) [AU]:US +State or Province Name (full name) [Some-State]:PA +Locality Name (eg, city) []:Pittsburgh +Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company +Organizational Unit Name (eg, section) []:Systems Administrator +Common Name (eg, YOUR name) []:localhost.example.org +Email Address []:trhodes@FreeBSD.org Please enter the following 'extra' attributes to be sent with your certificate request -A challenge password []:SOME PASSWORD -An optional company name []:Another Name +A challenge password []:SOME PASSWORD +An optional company name []:Another Name Common Name プロンプト直後に表示されているのは、 ドメイン名です。 このプロンプトでは、検証するサーバ名の入力が必要となります。 ドメイン名以外を入力すると、役に立たない証明書が作成されます。 他のオプションとして、有効期限を指定したり、 別の暗号化アルゴリズムを選択することができます。 オプションの完全なリストは、 &man.openssl.1; で説明されています。 このコマンドを実行したディレクトリには、 2 つのファイルが作成されているはずです。 1 つは、証明書要求 req.pem です。 このファイルを CA に送ると、 CA は含まれている内容を検証し、 検証に成功すると、証明書要求に署名を行い、 作成された証明書を送り返します。 もうひとつ、cert.pem と呼ばれるファイルが生成されます。 これは証明書の秘密鍵であり、 どのようなことがあっても保護しなくてはなりません。 もし、他の人の手に渡ると、手に入れた人は、 ユーザまたはサーバになりすますことができてしまいます。 CA の署名が必要ない場合には、 自己署名証明書を作成できます。 最初に RSA の鍵を生成してください。 - &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 + &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 次に、CA 鍵を生成してください。 - &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key + &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key この鍵を使って証明書を作成してください。 - &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt + &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt 新しく 2 つのファイルがこのディレクトリに作成されます。 プライベート鍵 myca.key および 証明書 new.crt です。 これらのファイルを、好ましくは - /etc 以下で、 + /etc 以下で、 root のみが読むことのできるディレクトリに置く必要があります。 許可属性は 0700 が適切です。 許可属性は &man.chmod.1; を使って設定できます。 証明書の使用 証明書の一つの利用方法は、Sendmail MTA への接続を暗号化することです。 これにより、 ローカルの MTA 経由でメールを送信するユーザが、 テキスト認証を使用しなくてもすむようになります。 いくつかの MUA は、 ユーザが証明書をローカルにインストールしていないと、 エラーを出力します。 証明書のインストールに関する詳細な情報については、 ソフトウェアに付随の文書を参照してください。 Sendmail を設定するには、以下の行をローカルの .mc ファイルに含めてください。 dnl SSL Options define(`confCACERT_PATH',`/etc/certs')dnl define(`confCACERT',`/etc/certs/new.crt')dnl define(`confSERVER_CERT',`/etc/certs/new.crt')dnl define(`confSERVER_KEY',`/etc/certs/myca.key')dnl define(`confTLS_SRV_OPTIONS', `V')dnl この例では、 ローカルで証明書および鍵ファイルは、ローカルの - /etc/certs/ - に置かれています。 + /etc/certs/ に置かれています。 ファイルの編集を保存し終わったら、 - /etc/mail において - make install + /etc/mail において + make install と入力することで、ローカルの .cf ファイルを再構築する必要があります。 - その後、make restart + その後、make restart と入力して、Sendmail デーモンを再起動してください。 すべてがうまくいっていれば、 /var/log/maillog にはエラーメッセージは出力されず、 Sendmail がプロセスの一覧に表示されます。 以下は簡単な試験の例で、&man.telnet.1; を使って、 メールサーバに接続しています。 - &prompt.root; telnet example.com 25 + &prompt.root; telnet example.com 25 Trying 192.0.34.166... -Connected to example.com +Connected to example.com Escape character is '^]'. -220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) -ehlo example.com +220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) +ehlo example.com 250-example.com Hello example.com [192.0.34.166], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-AUTH LOGIN PLAIN 250-STARTTLS 250-DELIVERBY 250 HELP quit -221 2.0.0 example.com closing connection +221 2.0.0 example.com closing connection Connection closed by foreign host. 出力に STARTTLS 行が表示されれば、 すべてが適切に機能しています。 <acronym>VPN</acronym> over IPsec Nik Clayton
nik@FreeBSD.org
 執筆: IPsec IPsec を理解する Hiten M. Pandya
hmp@FreeBSD.org
 執筆: この節では、IPsec を設定する過程を説明します。 IPsec を設定するためには、 カスタムカーネルの構築方法をよく知っている必要があります ( をご覧ください)。 IPsec は、インターネットプロトコル (IP) レイヤのトップにあるプロトコルです。 二つもしくはそれ以上のホスト間で安全に通信することを可能にします。 &os; の IPsec ネットワークスタック は、 IPv4 および IPv6 の両方に対応している KAME 実装をベースとしています。 IPsec ESP IPsec AH IPsec は二つのサブプロトコルから構成されます。 Encapsulated Security Payload (ESP): このプロトコルは、Blowfish, 3DES といった対称暗号アルゴリズムを使ってデータを暗号化することで、 サードパーティのインタフェースから IP パケットデータを保護します。 Authentication Header AH(AH): このプロトコルは、暗号チェックサムを計算し、IP パケットのヘッドフィールドを安全なハッシュ関数でハッシュ化することで、 IP パケットヘッダをサードパーティのインタフェースやなりすましから守ります。 ハッシュを含む追加のヘッダが追加され、 パケット情報の検証が可能になります。 ESP および AH は、使用する環境に合わせて、 一緒に使うことも別々に使うこともできます。 VPN virtual private network VPN IPsec は、直接二つのホスト間のトラフィックを暗号化する Transport Mode、もしくは virtual tunnels を構築する Tunnel Mode のどちらでも用いることができます。 後者のモードはより一般的には、 Virtual Private Network (VPN) として知られています。 &os; での IPsec サブシステムに関するより詳細な情報については、 &man.ipsec.4; を参照してください。 カーネルに IPsec のサポートを追加するには、 カスタムカーネルコンフィグレーションファイルに以下のオプションを追加してください。 カーネルオプション IPSEC options IPSEC #IP security device crypto カーネルオプション IPSEC_DEBUG IPsec のデバッグサポートが必要であれば、 以下のカーネルオプションを追加してください。 options IPSEC_DEBUG #debug for IP security 家庭と会社間の <acronym>VPN</acronym> VPN creating VPN の構成についての標準はありません。 VPN は、数多くの技術と共に実装することが可能です。 その各技術には、それ自身の長所と短所があります。 この節では、以下のシナリオに対して VPN を実装する戦略について説明します。 少なくとも 2 つのサイトがあり、 それぞれのサイトは内部で IP を使っています。 2 つのサイトは、&os; で運用されているゲートウェイを通して、 インターネットに接続しています。 それぞれのネットワークのゲートウェイは、 少なくとも一つのパブリック IP アドレスを持っています。 2 つのネットワークの内部アドレスは、 パブリックでもプライベート IP アドレスでも構いません。 しかしながら、アドレス空間は衝突してはいけません。 たとえば、両方のネットワークが 192.168.1.x を使ってはいけません。 &os; 上で IPsec を設定する。 Tom Rhodes
trhodes@FreeBSD.org
 寄稿: 最初に Ports Collection から - security/ipsec-tools + security/ipsec-tools をインストールしてください。 このソフトウェアは、 設定をサポートする数多くのアプリケーションを提供します。 次に、パケットをトンネリングし、 両方のネットワークが適切に通信するように、 2 つの &man.gif.4; 疑似デバイスを作成します。 root 権限で以下のコマンドを実行してください。 ただし、実行する際には、以下のコマンドの中の internal および external を、 2 つのゲートウェイの内部および外部インタフェースの実際の IP アドレスに置き換えてください。 &prompt.root; ifconfig gif0 create - &prompt.root; ifconfig gif0 internal1 internal2 + &prompt.root; ifconfig gif0 internal1 internal2 - &prompt.root; ifconfig gif0 tunnel external1 external2 + &prompt.root; ifconfig gif0 tunnel external1 external2 この例では、会社の LAN の外部 IP アドレスを 172.16.5.4、 内部 IP アドレスを 10.246.38.1 とします。また、家庭 LAN の外部 IP アドレスを 192.168.1.12、 内部のプライベート IP アドレスを 10.0.0.5 とします。 この説明で分かりにくい場合は、以下の &man.ifconfig.8; コマンドの出力例をご覧ください。 Gateway 1: gif0: flags=8051 mtu 1280 tunnel inet 172.16.5.4 --> 192.168.1.12 inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 Gateway 2: gif0: flags=8051 mtu 1280 tunnel inet 192.168.1.12 --> 172.16.5.4 inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4 設定が完了したら、両方の内部 IP アドレスは、&man.ping.8; で到達できるようになっているはずです。 priv-net# ping 10.0.0.5 PING 10.0.0.5 (10.0.0.5): 56 data bytes 64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms 64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms 64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=20.440 ms 64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=21.036 ms --- 10.0.0.5 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 19.255/25.879/42.786/9.782 ms corp-net# ping 10.246.38.1 PING 10.246.38.1 (10.246.38.1): 56 data bytes 64 bytes from 10.246.38.1: icmp_seq=0 ttl=64 time=28.106 ms 64 bytes from 10.246.38.1: icmp_seq=1 ttl=64 time=42.917 ms 64 bytes from 10.246.38.1: icmp_seq=2 ttl=64 time=127.525 ms 64 bytes from 10.246.38.1: icmp_seq=3 ttl=64 time=119.896 ms 64 bytes from 10.246.38.1: icmp_seq=4 ttl=64 time=154.524 ms --- 10.246.38.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms 予想通り、プライベートアドレスを使って、 両方のネットワークから ICMP パケットを送受信できます。 次に、どちらのネットワークからもメッセージを送信できるように、 パケットのルーティング情報を両方のゲートウェイに設定する必要があります。 これは以下のコマンドで設定できます。 - &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 + &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 - &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 + &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 - &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 + &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 - &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 + &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 これで、ネットワーク内のコンピュータは、 ゲートウェイおよびゲートウェイの奥のコンピュータから到達可能となっています。 もう一度 &man.ping.8; で確認してください。 corp-net# ping 10.0.0.8 PING 10.0.0.8 (10.0.0.8): 56 data bytes 64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms 64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms 64 bytes from 10.0.0.8: icmp_seq=2 ttl=63 time=198.022 ms 64 bytes from 10.0.0.8: icmp_seq=3 ttl=63 time=22.241 ms 64 bytes from 10.0.0.8: icmp_seq=4 ttl=63 time=174.705 ms --- 10.0.0.8 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 21.870/101.846/198.022/74.001 ms priv-net# ping 10.246.38.107 PING 10.246.38.1 (10.246.38.107): 56 data bytes 64 bytes from 10.246.38.107: icmp_seq=0 ttl=64 time=53.491 ms 64 bytes from 10.246.38.107: icmp_seq=1 ttl=64 time=23.395 ms 64 bytes from 10.246.38.107: icmp_seq=2 ttl=64 time=23.865 ms 64 bytes from 10.246.38.107: icmp_seq=3 ttl=64 time=21.145 ms 64 bytes from 10.246.38.107: icmp_seq=4 ttl=64 time=36.708 ms --- 10.246.38.107 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 ms トンネリングの設定は以上のように簡単ですが、 リンクを安全にするには、もう少し掘り下げた設定が必要となります。 以下の設定では、事前共有 (PSK) RSA 鍵を使います。 IP アドレスを除けば、両方のゲートウェイの /usr/local/etc/racoon/racoon.conf は同じで、以下のようになります。 path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file log debug; #log verbosity setting: set to 'notify' when testing and debugging is complete padding # options are not to be changed { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } timer # timing options. change as needed { counter 5; interval 20 sec; persend 1; # natt_keepalive 15 sec; phase1 30 sec; phase2 15 sec; } -listen # address [port] that racoon will listening on +listen # address [port] that racoon will listen on { isakmp 172.16.5.4 [500]; isakmp_natt 172.16.5.4 [4500]; } remote 192.168.1.12 [500] { exchange_mode main,aggressive; doi ipsec_doi; situation identity_only; my_identifier address 172.16.5.4; peers_identifier address 192.168.1.12; lifetime time 8 hour; passive off; proposal_check obey; # nat_traversal off; generate_policy off; proposal { encryption_algorithm blowfish; hash_algorithm md5; authentication_method pre_shared_key; lifetime time 30 sec; dh_group 1; } } sainfo (address 10.246.38.0/24 any address 10.0.0.0/24 any) # address $network/$netmask $type address $network/$netmask $type ( $type being any or esp) { # $network must be the two internal networks you are joining. pfs_group 1; lifetime time 36000 sec; encryption_algorithm blowfish,3des,des; authentication_algorithm hmac_md5,hmac_sha1; compression_algorithm deflate; } 利用可能なオプションの説明については、 racoon のマニュアルページを参照してください。 &os; および racoon がホスト間のネットワークトラフィックを暗号化、 復号化できるようにするには、 Security Policy Database (SPD) の設定が必要です。 これは、会社のゲートウェイ上で、 以下のようなシェルスクリプトで設定できます。 このファイルをシステムの初期化中に使われるようにするには、 /usr/local/etc/racoon/setkey.conf に保存する必要があります。 flush; spdflush; # To the home network spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use; spdadd 10.0.0.0/24 10.246.38.0/24 any -P in ipsec esp/tunnel/192.168.1.12-172.16.5.4/use; 設定ファイルを適切に置くと、以下のコマンドにより、 両方のゲートウェイ上で racoon を起動できます。 &prompt.root; /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log 出力は以下のようになるでしょう。 corp-net# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf Foreground mode. 2006-01-30 01:35:47: INFO: begin Identity Protection mode. 2006-01-30 01:35:48: INFO: received Vendor ID: KAME/racoon 2006-01-30 01:35:55: INFO: received Vendor ID: KAME/racoon n2006-01-30 01:36:04: INFO: ISAKMP-SA established 172.16.5.4[500]-192.168.1.12[500] spi:623b9b3bd2492452:7deab82d54ff704a 2006-01-30 01:36:05: INFO: initiate new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0] 2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=28496098(0x1b2d0e2) 2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=47784998(0x2d92426) 2006-01-30 01:36:13: INFO: respond new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0] 2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=124397467(0x76a279b) 2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=175852902(0xa7b4d66) トンネリングが適切に行われているかどうかを確認するため、 別のコンソール上で &man.tcpdump.1; を使い、 以下のようなコマンドでネットワークの通信を確認してください。 ただし、以下の例の em0 の部分は、 必要に応じて使用しているネットワークインタフェースに置き換えてください。 - &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 + &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 以下のようなデータがコンソールに表示されます。 もし、表示されない場合は、設定に何か問題があるので、 表示されるデータを使ってデバッグする必要があります。 01:47:32.021683 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xa) 01:47:33.022442 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xb) 01:47:34.024218 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xc) これで 2 つのネットワークは、 1 つのネットワークのように利用できます。 多くの場合、 両方のネットワークはファイアウォールにより保護されています。 両方を流れる通信を許可するには、 パケットが両方を行き来できるようにルールを追加する必要があります。 &man.ipfw.8; を使ったファイアウォールの場合は、 ファイアウォールの設定ファイルに、以下の行を追加してください。 ipfw add 00201 allow log esp from any to any ipfw add 00202 allow log ah from any to any ipfw add 00203 allow log ipencap from any to any ipfw add 00204 allow log udp from any 500 to any ルール番号は、 現在のホストの設定によっては変更する必要があるでしょう。 &man.pf.4; または &man.ipf.8; を使用しているシステムでは、 以下のルールで上手くいくでしょう。 pass in quick proto esp from any to any pass in quick proto ah from any to any pass in quick proto ipencap from any to any pass in quick proto udp from any port = 500 to any port = 500 pass in quick on gif0 from any to any pass out quick proto esp from any to any pass out quick proto ah from any to any pass out quick proto ipencap from any to any pass out quick proto udp from any port = 500 to any port = 500 pass out quick on gif0 from any to any 最後に、システムの初期化中に VPN が起動するように、以下の行を /etc/rc.conf に追加してください。 ipsec_enable="YES" ipsec_program="/usr/local/sbin/setkey" ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot racoon_enable="yes" OpenSSH Chern Lee 寄稿: OpenSSH セキュリティ OpenSSH OpenSSH はリモートマシンへのセキュアなアクセスに使われるネットワーク接続ツールの集合です。 また、TCP/IP 接続を OpenSSH 接続経由でセキュアにトンネル/フォワードすることもできます。 OpenSSH はすべてのトラフィックを暗号化し、 盗聴や接続の乗っ取り等のネットワークレベルの攻撃を事実上無効化します。 OpenSSH は OpenBSD プロジェクトによって維持管理されており、 &os; にはデフォルトでインストールされています。 OpenSSH は、 SSH バージョン 1 と 2 の両方に互換性があります。 <application>OpenSSH</application> を使うことの利点 データがネットワークを平文で流れてしまうと、 ネットワークをクライアントとサーバの間のどこかで盗聴することで、 あなたのユーザ/パスワード情報やセション中を流れるデータを盗むことが可能です。 OpenSSH はこれらを予防する為にさまざまな認証と暗号化の方法を提供します。 SSH サーバを有効にする OpenSSH 有効化 &man.sshd.8; が有効になっているかどうかを確認するには、 /etc/rc.conf の以下の行を確認してください。 sshd_enable="YES" この設定により、次のシステムの初期化時に OpenSSH のデーモンプログラムである &man.sshd.8; が起動します。 もしくは &man.service.8; を使って、すぐに OpenSSH を起動することもできます。 &prompt.root; service sshd start SSH クライアント OpenSSH クライアント &man.ssh.1; を使って、 &man.sshd.8; が動いているシステムに接続するには、 ログインをするユーザ名とホストを指定してください。 &prompt.root; ssh user@example.com Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes Host 'example.com' added to the list of known hosts. user@example.com's password: ******* SSH はクライアントが接続した時、 サーバの信頼性の検証のために鍵指紋システム (key fingerprint system) を利用します。 初めての接続の際に、ユーザは yes と入力することを要求されます。 これ以降の login では保存されていた鍵指紋を照合することで検証が行われ、 &man.ssh.1; クライアントは保存されていた鍵指紋が login しようとした際に送られてきたものと異なっていた場合には警告を表示します。 指紋は ~/.ssh/known_hosts に保存されます。 デフォルトでは、&man.sshd.8; の最近の版では SSH v2 の接続のみを受け付けるように設定されています。 クライアントは可能であればバージョン 2 を用い、 バージョン 1 にフォールバックします。 クライアントは、プロトコル v1 と v2 についてそれぞれ、引数 または を渡すことで、利用するプロトコルを指定できます。 クライアントにおけるバージョン 1 への互換性は、 古いバージョンへの上位互換のために維持されています。 Secure copy OpenSSH secure copy &man.scp.1; ローカルのファイルをリモートマシンへ、 あるいはリモートマシンのファイルをローカルに安全な方法でコピーするには、 &man.scp.1; を使用してください。 &prompt.root; scp user@example.com:/COPYRIGHT COPYRIGHT user@example.com's password: ******* COPYRIGHT 100% |*****************************| 4735 00:00 &prompt.root; 前回の例でこのホストの指紋がすでに保存されていれば この &man.scp.1; を使う時に検証が行なわれます。 &man.scp.1; に渡される引数は、&man.cp.1; のものと似ており、コピーするファイル (1 つまたは複数) が 1 つめの引数になり、コピー先が 2 つめの引数になります。 ファイルはネットワーク越しに SSH 接続を通して送られるので、 引数に指定するファイルに という形式をとるものがあります。 設定 OpenSSH 設定 システム全体の設定ファイルは、OpenSSH デーモン、クライアントの両方とも - /etc/ssh にあります。 + /etc/ssh にあります。 ssh_config はクライアントの動作設定、 sshd_config はデーモンの動作設定を行ないます。 それぞれのファイル毎にマニュアルページが用意されており、 利用可能な設定オプションについて説明されています。 &man.ssh-keygen.1; パスワードの代わりに &man.ssh-keygen.1; を使ってユーザの認証用の DSA または RSA 暗号鍵を作ることができます。 - &prompt.user; ssh-keygen -t dsa + &prompt.user; ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/home/user/.ssh/id_dsa): Created directory '/home/user/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user/.ssh/id_dsa. Your public key has been saved in /home/user/.ssh/id_dsa.pub. The key fingerprint is: bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com &man.ssh-keygen.1; は認証に使う為の公開鍵と秘密鍵のペアを作ります。 DSA または RSA 鍵に応じて、 秘密鍵は ~/.ssh/id_dsa または ~/.ssh/id_rsa に保存され、 公開鍵は ~/.ssh/id_dsa.pub または ~/.ssh/id_rsa.pub にそれぞれ保存されます。 公開鍵はセットアップのために、 DSA または RSA のどちらを使う場合にも、 リモートマシンの ~/.ssh/authorized_keys に含まれてなければなりません。 この設定により、パスワードに代わり、 SSH 鍵を使ってリモートマシンに接続できるようになります。 多くのユーザは、鍵が設計上安全と信じ、 パスフレーズなしに鍵を利用しています。 このような使用方法は 危険 です。 管理者が鍵にパスフレーズが設定されているかを確認する方法は、 手動で鍵を調べる方法です。 秘密鍵のファイルに ENCRYPTED という単語が含まれている場合には、 鍵の所有者は、パスフレーズを使用しています。 弱いパスフレーズが使われている間、 少なくともシステムが危険にさらされているときには、 他のサイトへのアクセスには、 あるレベルでのパスワード類推が必要となります。 さらに、公開鍵ファイルに from を含めることで、 エンドユーザをより安全にできます。 たとえば、 ssh-rsa または rsa-dsa の前に、 from="192.168.10.5 を加えることで、 この IP を持つホストからのユーザのみがアクセスできるようになります。 &man.ssh-keygen.1; でパスフレーズを使っている場合は、 秘密鍵を使うためにユーザは毎回パスフレーズを入力する必要があります。 長いパスフレーズを毎回入力しなくてはならない負担は、 &man.ssh-agent.1; を使うと軽減できます。 これについては、 で説明されています。 OpenSSH のバージョンによって、 オプションやファイルに違いが出てくることがあります。 &man.ssh-keygen.1; を参照して、 問題が起こることを避けてください。 SSH Agent による鍵のキャッシュ パスフレーズを毎回入力することなしに、 SSH 鍵を利用できるようにメモリに読み込むには、 &man.ssh-agent.1; および &man.ssh-add.1; を使用してください。 &man.ssh-agent.1; は、 読み込まれた秘密鍵による認証を取り扱います。 &man.ssh-agent.1; は他のアプリケーションの起動に用いられる必要があります。 基本的なレベルではシェル、 またはウィンドウマネージャを起動します。 シェル上で &man.ssh-agent.1; を使うには、 引数としてシェルを起動してください。 次に、&man.ssh-add.1; を実行し、 秘密鍵のパスフレーズを入力することにより、 鍵を追加してください。 一度この過程を終えてしまえば、ユーザは、 対応する公開鍵が置かれているホストに &man.ssh.1; でログインできるようになります。 以下はその例です。 &prompt.user; ssh-agent csh &prompt.user; ssh-add Enter passphrase for /home/user/.ssh/id_dsa: Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) &prompt.user; &xorg; 上で &man.ssh-agent.1; を使うには、 &man.ssh-agent.1; への呼び出しが ~/.xinitrc に置かれている必要があります。 これにより、&xorg; 上で起動されるすべてのプログラムにおいて、 &man.ssh-agent.1; サービスが提供されるようになります。 ~/.xinitrc の例は以下となります。 exec ssh-agent startxfce4 これで、&xorg; を開始するときにはいつでも &man.ssh-agent.1; が起動され、 このプログラムから XFCE が起動されます。 &xorg; を再起動した後は有効になりますので、 &man.ssh-add.1; を実行して、 すべての SSH 鍵を読み込ませてください。 <acronym>SSH</acronym> トンネリング OpenSSH トンネリング OpenSSH は暗号化されたセッションの中に他のプロトコルをカプセル化するトンネルを作ることができます。 以下のコマンドは &man.ssh.1; で &man.telnet.1; 用のトンネルを作成します。 &prompt.user; ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com &prompt.user; この例では、以下のオプションを使っています。 サーバへの接続に &man.ssh.1; バージョン 2 を使うことを指示します。 はトンネルだけでコマンドはないことを示します。 省略されると &man.ssh.1; は通常のセッションを開始します。 &man.ssh.1; にバックグラウンド実行を強制します。 ローカルトンネルを localport:remotehost:remoteport という形式で指定します。 指定したリモート SSH サーバへログインに用いるログイン名。 SSH のトンネルは localhost の指定されたポートに listen するソケットを作ることで実現されています。 SSH はローカルのホスト/ポートで受けた接続すべてを SSH 接続経由で指定されたリモートホストのポートへ転送します。 この例では、localhost のポート 5023 がリモートマシンの localhost のポート 23 に転送されるようになっています。 23 は &man.telnet.1; で用いられるので、これは SSH トンネルを通る暗号化された man.telnet.1; セッションを作ります。 このようにして SMTP や POP3 および FTP といったセキュアではない TCP プロトコルをカプセル化できます。 &man.ssh.1; を用いた SMTP 用の安全なトンネルの作成 &prompt.user; ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com - user@mailserver.example.com's password: ***** &prompt.user; telnet localhost 5025 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 mailserver.example.com ESMTP &man.ssh-keygen.1; と別のユーザアカウントを組み合わせて使うことでより透過的な SSH のトンネル環境を作ることができます。 パスワードを入力するところで暗号鍵を使い、 トンネルは別のユーザ権限で実行することが可能です。 実用的な <acronym>SSH</acronym> トンネルの例 POP3 サーバへの安全な接続 ここでの例は、外部からの接続を受ける SSH サーバがあるとします。 同じネットワークには、POP3 サーバが動いているメールサーバがあるとします。 電子メールを安全なやり方で見るようにするには、 SSH サーバへの SSH 接続を行い、 メールサーバへのトンネルを作成することです。 &prompt.user; ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com user@ssh-server.example.com's password: ****** トンネルが作成されて動作したら、 メールクライアントに対し localhost のポート 2110 に POP3 リクエストを送るように指示してください。 そこへの接続は、トンネルを経由して安全に mail.example.com に転送されます。 厳格なファイアウォールをすり抜ける 内向けおよび外向きの接続両方をフィルタするファイアウォールルールを課すネットワーク管理者もいます。 たとえば、 リモートのマシンからのアクセスに、&man.ssh.1; および web サーフィンのための 22 番および 80 番ポートにしか接続させてもらえないかもしれません。 この場合 22 または 80 番以外を使う他のサービスへのアクセスを妨げます。 それに対する解決策は、 あなたが接続しているネットワークのファイアウォールの外部にあるマシンに対して SSH 接続を行い、 希望するサービスへのトンネルに利用することです。 - &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org + &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org user@unfirewalled-system.example.org's password: ******* この例では、ストリーミング Ogg Vorbis クライアントを localhost の 8888 番ポートに向けると、 music.example.com の 8000 番ポートに転送され、ファイアウォールをすり抜けられます。 <varname>AllowUsers</varname> オプション ログインできるユーザや接続元を AllowUsers を使って制限することは、通常は良い考えです。 たとえば、 root192.168.1.32 からのみログインできるようにするには、 以下の行を /etc/ssh/sshd_config に追加してください。 AllowUsers root@192.168.1.32 admin がどこからでもログインできるようにするには、 ユーザ名そのものを記述してください。 AllowUsers admin 複数のユーザは、以下のように同じ行に追加してください。 AllowUsers root@192.168.1.32 admin 注意すべきことは、 このコンピュータにログインする必要のあるすべてのユーザを指定することです。 設定されていないと、そのユーザはログインできなくなります。 /etc/ssh/sshd_config への変更が終わったら、 以下を実行して、設定ファイルを &man.sshd.8; に読み込ませてください。 &prompt.root; service sshd reload もっと詳しく知りたい人へ OpenSSH ウェブサイト クライアントオプションについて &man.ssh.1;, &man.scp.1;, &man.ssh-keygen.1;, &man.ssh-agent.1;, &man.ssh-add.1; および &man.ssh.config.5; サーバオプションについて &man.sshd.8;, &man.sftp-server.8;, &man.sshd.config.5; ファイルシステムアクセス制御リスト (<acronym>ACL</acronym>) TomRhodes寄稿: ACL アクセス制御リスト (ACL) は、標準的な &unix; のパーミッションモデルを、 &posix;.1e に互換する方法で拡張しています。 これにより、管理者がより洗練されたセキュリティモデルを利用し、 その恩恵を受けられるようになります。 &os; の GENERIC カーネルは、 UFS ファイルシステム用の ACL サポートを提供します。 カスタムカーネルをコンパイルして使用するユーザは、 カスタムカーネルのコンフィグレーションファイルに以下を追加してください。 options UFS_ACL もしこのオプションが組み込まれていなければ、ACL に対応したファイルシステムをマウントしようとすると、 警告が表示されます。ACL は、ファイルシステムの拡張属性が有効になっていることに依存しています。 拡張属性は、UFS2 でネイティブ対応されています。 UFS1 に拡張属性を付すように設定するのは、 UFS2 よりも高いレベルの管理オーバヘッドが必要になります。 また、UFS2 における拡張属性のパフォーマンスも大きく上がっています。 そのため、アクセス制御リストを利用する上では UFS2 を使うことが推奨されます。 ACL は、マウント時の管理フラグ で有効にされます。 これは /etc/fstab に記述できます。 マウント時のフラグは、&man.tunefs.8; を使って、ファイルシステムヘッダのスーパブロックにある ACL フラグを変更するという方法で、 常に自動で設定されるようになります。一般的には、 下記の理由からスーパブロックフラグを使う方がよいでしょう。 マウント時に指定した ACL フラグは による再マウントでは変更できません。 完全に &man.umount.8; した上で、新たに &man.mount.8; するしかありません。これは、起動後にルートファイルシステムで ACL を有効にできないことを意味します。 また、ファイルシステムを利用し始めた後では、 その配列を変えられないことも意味しています。 スーパブロックフラグを設定すると、fstab に記述されていなかったり、デバイスの順番が変わってしまっても、常に ACL が有効な状態でマウントされます。 こうすることで、ファイルシステムを ACL を有効にしないままマウントしてしまい、ACL が正しくないかたちで強制されるセキュリティの問題を防ぎます。 予期せず ACL を有効にしないでマウントしてしまうことを防ぐことが望まれます。 ACL を有効にし、その後無効にしてから、 拡張属性を取り消さないでまた有効にしてしまうと、 大変な状況になってしまいます。 一般的には、一度ファイルシステムで ACL を有効にしたら、無効にすべきではありません。そうしてしまうと、 ファイル保護がシステムのユーザの意図と齟齬をきたす可能性があるばかりか、 ACL を再度有効にすると、 それまでパーミッションが変更されてきたファイルに古い ACL を割り当ててしまい、 予想しない動作につながることも考えられます。 ACL を有効にしたファイルシステムは、 パーミッション設定の表示に + (プラス) 記号がつきます。例えば、次のようになります。 drwx------ 2 robert robert 512 Dec 27 11:54 private drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html この例では、ディレクトリ - directory1, - directory2 および - directory3 + directory1, + directory2 および + directory3 のすべてで ACL が働いています。 - 一方 public_html + 一方 public_html は対象外です。 <acronym>ACL</acronym> を利用する &man.getfacl.1; は、 ファイルシステムの ACL を表示します。 たとえば、testACL 設定を表示するには、 以下のコマンドを実行してください。 - &prompt.user; getfacl test + &prompt.user; getfacl test #file:test #owner:1001 #group:1001 user::rw- group::r-- other::r-- このファイルの ACL 設定を変更するには、 &man.setfacl.1; を使用してください。 - &prompt.user; setfacl -k test + &prompt.user; setfacl -k test ファイルまたはファイルシステムから、 現在設定されている ACL をすべて取り除くには、 を使ってください。 しかしながら、より好ましい方法は、 を使う方法です。 このオプションを使うと、ACL が動作するのに必要な基本のフィールドは残ります。 - &prompt.user; setfacl -m u:trhodes:rwx,group:web:r--,o::--- test + &prompt.user; setfacl -m u:trhodes:rwx,group:web:r--,o::--- test この例では、 は、デフォルト ACL エントリを修正するために使われています。 先ほどのコマンドで設定は削除されたため、 定義されたエントリはありません。 このコマンドは、デフォルトオプションに戻し、 指定したオプションを割り当てます。 システムに存在しないユーザまたはグループを追加すると、 Invalid argument エラーが出力されてしまいます。 サードパーティ製ソフトウェアのセキュリティ問題を監視する Tom Rhodes 寄稿: portaudit 近年、セキュリティの分野では、 脆弱性の評価方法に関して多くの改善が行わています。 今日ではどのオペレーティングシステムにおいても、 システムへの侵入の脅威は、 サードパーティ製ユーティリティをインストールし、 設定するほどに増加していきます。 脆弱性を評価することは、セキュリティにおいて主要な要素です。 &os; は、ベースシステムに対して勧告を発行していますが、 すべてのサードパーティ製ユーティリティに対して勧告を発行することは、 &os; プロジェクトの能力を超えています。 サードパーティ製ユーティリティに関わる脆弱性を軽減し、 管理者に対し、既知のセキュリティ問題について警告する方法が存在します。 &os; には、portaudit と呼ばれる追加のユーティリティが、 この目的のために用意されています。 - ports-mgmt/portaudit + ports-mgmt/portaudit port は、&os; セキュリティチームおよび ports 開発者がアップデートし、管理している、 既知のセキュリティ問題に対するデータベースを入手します。 Ports Collection から portaudit をインストールするには、以下のように実行してください。 &prompt.root; cd /usr/ports/ports-mgmt/portaudit && make install clean インストールの途中で、 &man.periodic.8; の設定ファイルはアップデートされ、 毎日のセキュリティに関するスクリプトの実行中に portaudit が出力するように設定されます。 毎日のセキュリティに関するスクリプトの実行結果のメールが読めることを確認してください。 このメールは、root アカウントに送られます。 他の設定は必要ありません。 インストールが終わったら、管理者は以下のコマンドを実行することで、 データベースをアップデートし、インストールされている package の脆弱性を調べることができます。 &prompt.root; portaudit -Fda データベースは、 &man.periodic.8; の実行中に自動的にアップデートされます。 先程のコマンドの実行は任意で、 データベースを手動で直ちにアップデートするときに使われます。 Ports Collection からインストールされたサードパーティ製ユーティリティを監査するには、 管理者は以下のコマンドを実行する必要があります。 &prompt.root; portaudit -a portaudit は、インストールされている package の中で、 脆弱性のあるものについて以下のようなメッセージを出力します。 Affected package: cups-base-1.1.22.0_1 Type of problem: cups-base -- HPGL buffer overflow vulnerability. Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html> 1 problem(s) in your installed packages found. You are advised to update or deinstall the affected package(s) immediately. 表示されている URL をウェブブラウザで開くと、管理者は、 脆弱性についてより多くの情報を得ることができます。 ここでの出力では、影響するバージョンが &os; の port バージョンにより示され、 セキュリティ勧告を含む他のウェブサイトが含まれています。 portaudit は強力で、 portmaster port と共に使うときわめて有用なユーティリティです。 &os; セキュリティ勧告 Tom Rhodes 寄稿: &os; セキュリティ勧告 多くの高品質なオペレーティングシステムと同様、 &os; は セキュリティ勧告 を発行しています。 これらの勧告は、通常セキュリティに関連したのメーリングリストに投稿され、 サポートされているリリースに対してパッチが作成された後、 Errata に記載されます。 この章では、セキュリティ勧告とは何か、どのように理解すべきか、 システムにパッチを当てるにはどのように対応すればよいかについて説明します。 セキュリティ勧告はどのようなものか? &os; セキュリティ勧告では、 以下のようなフォーマットが用いられています。 ============================================================================= FreeBSD-SA-XX:XX.UTIL Security Advisory The FreeBSD Project Topic: denial of service due to some problem Category: core Module: sys Announced: 2003-09-23 Credits: Person Affects: All releases of &os; &os; 4-STABLE prior to the correction date Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39) CVE Name: CVE-XXXX-XXXX For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit http://www.FreeBSD.org/security/. I. Background II. Problem Description III. Impact IV. Workaround V. Solution VI. Correction details VII. References Topic フィールドでは、 問題について明記されています。 セキュリティ勧告の導入部であり、 脆弱性に影響されるユーティリティを示します。 Category フィールドでは、 脆弱性がシステムのどの部分に影響するかを示します。 core, contrib または ports のどれかが示されます。 core カテゴリは、 &os; オペレーティングシステムの core コンポーネントに影響する脆弱性であることを意味します。 contrib カテゴリは、 Sendmail のように、&os; の外で開発され、&os; プロジェクトに取り込まれたソフトウェアに影響する脆弱性であることを意味します。 ports カテゴリは、Ports Collection からインストールされるソフトウェアに影響する脆弱性であることを示しています。 Module フィールドは、 影響するコンポーネントについて言及します。 この例では、sys モジュールに影響することがわかります。 そのため、この脆弱性は、 カーネルの中で使われるコンポーネントに影響します。 Announced フィールドは、 セキュリティ勧告が発行された日、 またはアナウンスされた日が記載されています。 セキュリティチームによりこの問題が存在することが確認され、 パッチが &os; ソースコードリポジトリにコミットされたことを意味します。 Credits フィールドは、 脆弱性を通知し、報告した個人または組織を示します。 Affects フィールドは、この脆弱性がどの &os; リリースに影響するかを説明します。 カーネルでは、影響するファイルに対して &man.ident.1; を実行すると、 その出力からリビジョンを簡単に確認できます。 ports の場合には、 - /var/db/pkg + /var/db/pkg の port の名前の後に、バージョン番号が示されています。 もし、システムが &os; Subversion リポジトリと同期していなかったり、 再構築が毎日行われているような状況でなければ、 おそらく、そのシステムには影響しているでしょう。 Corrected フィールドは、 脆弱性が修正された日、時間、 タイムゾーン、およびリリースが示されます。 Common Vulnerabilities and Exposures データベースにおいて、 脆弱性を探すために使用できる識別情報を示します。 Background フィールドは、 影響しているユーティリティに関する情報を示します。 大体の場合は、なぜユーティリティが &os; に存在するか、 何のために使われているか、 どのように用いられるようになってきたか、 といった情報が示されます。 Problem Description フィールドは、 より深くセキュリティホールについて説明します。 問題のあるコードの情報や、 このユーティリティが悪意のある使い方により、 どのようにセキュリティホールを開けうるかといったことが示されます。 Impact フィールドは、 この問題がシステムに対して、 どのような形式の影響を与えるかについて示します。 たとえば、DoS 攻撃によるものか、 ユーザに対して意図しない特権を持たせてしまうものか、 または、攻撃者にスーパユーザのアクセスを与えるようなものか、 といったことが示されます。 Workaround フィールドは、 時間による制限や、ネットワークの可用性または他の理由により、 システムをアップグレードできないシステム管理者に対して、 回避方法を提供します。 セキュリティを甘く見るべきではなく、 影響するシステムにはパッチを当てるか、 セキュリティホールの回避方法を実行すべきです。 Solution フィールドは、 影響のあるシステムにパッチを当てる手順を提供します。 ここではステップごとにシステムにパッチを当て、 安全に動作するように、 試験され検証された方法が記載されます。 Correction Details フィールドは、 Subversion ブランチまたはリリース名のピリオドをアンダースコアに置き換えたものを示します。 ここでは、 各ブランチにおいて影響するファイルのリビジョン番号も示します。 References フィールドは、 通常、ウェブページの URL, books, メーリングリストおよびニュースグループといった、 ほかの情報へのソースを提供します。 プロセスアカウンティング Tom Rhodes 寄稿: プロセスアカウンティング プロセスアカウンティングは、 管理者が使用されているシステムのリソースを記録したり、 リソースのユーザへの割り当て、 システムのモニタリングおよびユーザのコマンドの最低限の記録を提供します。 これは実際には、長所と短所があります。 長所の一つは、侵入を入り口の時点で絞ることができます。 短所は、プロセスアカウンティングにより生成されるログの量で、 多くのディスク容量を必要とします。この節では、 管理者を対象にプロセスアカウンティングの基礎を説明します。 プロセスアカウンティングを有効にする プロセスアカウンティングを使用する前に、 以下のコマンドを使って、 プロセスアカウンティングを有効にしておく必要があります。 - &prompt.root; touch /var/account/acct + &prompt.root; touch /var/account/acct +&prompt.root; chmod 600 /var/account/acct +&prompt.root; accton /var/account/acct +&prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.conf -&prompt.root; accton /var/account/acct - -&prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.conf - 一度有効に設定すると、アカウンティングは、 CPU の統計、 実行されたコマンドの情報の追跡を開始します。 すべてのアカウンティングログは、 人が読めるような形式ではなく、 &man.sa.8; を使って見ることができます。 オプションを設定せずに実行すると、 &man.sa.8; はユーザコールの数、全経過時間 (分)、 全 CPU、ユーザの時間 (分)、および I/O 操作の平均数などを出力します。 実行されたコマンドに関する情報を見るには、 &man.lastcomm.1; を使ってください。 このコマンドは、 ユーザが特定の &man.ttys.5; で実行したコマンドを出力します。 たとえば、以下のコマンドは ttyp1 ターミナル上で trhodes が実行した &man.ls.1; の使用について、記録されているすべて示します。 - &prompt.root; lastcomm ls - trhodes ttyp1 + &prompt.root; lastcomm ls trhodes ttyp1 他にも有用なオプションが多くあり、 &man.lastcomm.1;, &man.acct.5; および &man.sa.8; で説明されています。 リソースの制限 Tom Rhodes 寄稿: リソースの制限 長年にわたり &os; は、 リソースを制限するためのデータベースとしてフラットファイル形式の /etc/login.conf により管理していました。 この方法は、現在でも使われていますが、 リソースを管理する方法としては最適な方法でないことが、 以前から議論されています。 フラットファイル形式では、 クラスとして知られるグループラベルにユーザを分類する必要があります。 この場合、フラットファイルだけではなく、 パスワードデータベースに対しても変更が必要となります。 潜在的に、より多くの制限を加えられたユーザ対してはラベルの追加や、 cap_mkdb - を使ったリソースデータベースの構築、 + を使ったリソースデータベースの再構築、 /etc/master.passwd への変更が必要となります。 さらに、パスワードデータベースは、 pwd_mkdb を使って再構築する必要があります。 この複数回に渡るプロセスは、 多くのユーザについて設定する必要がある場合には、 大変な時間の浪費につながる可能性があります。 &os; の新しいコマンドである &man.rctl.8; は、 ユーザに対して、 よりきめ細かにリソースの制限を管理する方法を提供します。 このコマンドは、ユーザだけではなく、プロセス、jails およびオリジナルのログインクラスに対してもリソースの制限を行うことができます。 これらの高度な機能は、管理者およびユーザに対し、 リソースをコマンドラインで管理したり、 設定ファイルを用いることで、システムの初期化時に、 ルールを設定する方法を提供します。 この機能を有効にするには、以下の行を GENERIC またはカスタムカーネルコンフィグレーションファイルに追加し、 再構築してください。 options RACCT options RCTL その後、システムの再起動が必要になります。 この過程の手順については、 をご覧ください。 これらの準備が完了すると、rctl を用いてシステムにルールを設定できるようになります。 ルールの構文は簡単で、 subject, subject-id, resource および action を使って管理されます。 以下のルールの例を参照してください。 user:trhodes:maxproc:deny=10/user これは基本的なルールです。 ここで、subject は user、 subject-id は trhodes です。 maxproc はもちろんプロセスの最大数であり、resource です。 ここで action は、deny と設定されており、 新しいプロセスの生成がブロックされます。 この例では、ユーザ trhodes のプロセスは 10 個に制限され、それ以上のプロセスは作成できません。 コンソールにログを出力したり、 &man.devd.8; に対し通知したり、プロセスに sigterm を送ったりといった、 他の action も利用できます。 ルールを追加する際には、注意すべき点がいくつかあります。 上の例では、ログインして screen セッションを実行してしまうと、 不幸にもユーザは最も簡単なタスクの実行ですらブロックされてしまうでしょう。 リソースの制限が適応されると、エラーが出力されます。 この例では以下のような出力が行われます。 &prompt.user; man test /usr/bin/man: Cannot fork: Resource temporarily unavailable eval: Cannot fork: Resource temporarily unavailable 他の例としては、&man.rctl.8; を使って jail がメモリの制限を超えることを防ぐことができます。 このルールは以下のように書くことができます。 &prompt.root; rctl -a jail:httpd:memoryuse:deny=2G/jail ルールを /etc/rctl.conf に追加すると、 再起動してもルールは持続します。 フォーマットは、ルールから最初のコマンドの部分を除いたものとなります。 たとえば、上のルールを追加するには、 以下のように追加してください。 # Block jail from using more than 2G memory: jail:httpd:memoryuse:deny=2G/jail ルールを削除するには、rctl に対し、 リストから削除するように指定してください。 &prompt.root; rctl -r user:trhodes:maxproc:deny=10/user マニュアルページには、 ルールをすべて削除する方法が記載されています。 しかしながら、特定のユーザのルールをすべて削除するには、 以下のようなコマンドを実行してください。 &prompt.root; rctl -r user:trhodes subjects をコントロールするリソースは他にも多く用意されています。 これらについて知るには、&man.rctl.8; をご覧ください。