パート III ネットワークセキュリティ #Edit source

ネットワークを透過的に扱うことができるというのが Unix システムの特長です。 Unix オペレーティングシステムにおけるウインドウシステムである X も同様に、ネットワーク経由で簡単に扱うことができます。 X ではネットワーク上離れた場所からログインして、グラフィカルなプログラムをネットワーク経由で表示させ、操作することができるようになっています。

OpenSSH は openSUSE Leap に同梱される SSH (secure shell) 実装で、遠隔からの管理やファイル転送、機密を保持できないプロトコルへの機密トンネル設定など、さまざまな機能を提供するソフトウエアです。 SSH は 2 つのホスト間での認証を含む全通信を暗号化しますので、盗聴や接続の乗っ取りなどの被害から通信を保護することができます。本章では基本的な操作のほか、ホスト鍵の切り替えや証明書認証など、大規模展開向けに便利な機能を説明しています。

Linux マシンがネットワーク内に配置されていれば、カーネルの機能を利用してネットワークパケットの制御を行い、内部ネットワークと外部ネットワークを区別して扱ったり、パケットそのものを書き換えたりすることができます。 Linux では netfilter フレームワークが提供されていて、これによって様々なネットワークを個別に扱う効率的なファイアウオールを構築することができます。この netfilter フレームワークのフロントエンドが iptables で、ルールセットを定義するための汎用的なテーブル構造を作成することができます。これにより、ネットワークインターフェイスからの通過を許可するパケ…

今やインターネット接続は手頃でどこでも利用できるようになっています。しかしながら、全ての接続で機密が守られる保証はありません。この場合、仮想プライベートネットワーク (Virtual Private Network; VPN) を構築することで、インターネットや Wi-Fi などの機密が守られないネットワークを経由して、社内や家庭内などにアクセスすることができるようになります。この VPN には様々な実装があり、様々な目的で使用されます。本章では OpenVPN と呼ばれる、インターネットと社内／家庭内を結ぶ実装について説明しています。

従来は独自の公開鍵基盤を管理するのに openssl ユーティリティを使用してきました。 openSUSE Leap 15.7 では、グラフィカルなツールを希望する管理者向けに、 X Window System で動作する証明書／鍵管理ツール XCA ( https://hohnstaedt.de/xca ) を提供しています。

XCA では X.509 規格の証明書や署名要求のほか、 RSA, DSA, EC などの機密鍵やスマートカード、証明書失効リスト (CRL) を作成したり管理したりすることができます。つまり、 XCA では独自の証明機関を作成／管理するのに必要な全ての機能に対応していることになります。このほか、 XCA には証明書や署名要求の生成にあたって、カスタマイズ可能なテンプレート (雛型) も含まれています。本章では、基本的な手順を説明しています。

sysctl (system control; システム制御) 変数はカーネルのパラメータを制御するための変数で、オペレーティングシステム内の様々な箇所の動作に影響する変数です。これらのパラメータは、 proc ファイルシステム内の /proc/sys 経由でアクセスすることができます。多くのカーネルパラメータは、このディレクトリ内の擬似ファイルに直接書き込むことで値を直接変更することができますが、指定した値は保存されませんので、システムを再起動してしまうと元の値に戻ってしまいます。このような構造から、システムの起動時に値を変更するよう、変更点を sysctl の設定ファイルに書き込んでおくこ…