Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Linux 監査システムの概要
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
openSUSE Leap 15.7

セキュリティ強化ガイド

概要

このガイドでは、システムセキュリティに関する基本的な考え方と AppArmor や SELinux 、監査システム等のように、製品に含まれる各種のセキュリティソフトウエアの 使用方法を説明しています。このほか、システムをより強固にするためのシステム管理者向け ガイドも含まれています。

発行日: 2024/12/14
前書き
利用可能なドキュメンテーション
ドキュメンテーションの改善
文書規約
1 セキュリティと機密保持
1.1 概要
1.2 パスワード
1.3 バックアップ
1.4 システムの完全性保護
1.5 ファイルへのアクセス権
1.6 ネットワーク
1.7 ソフトウエアの脆弱性
1.8 マルウエア
1.9 主なセキュリティヒント
1.10 セキュリティ問題の報告
I 認証
2 PAM を利用した認証
2.1 PAM とは?
2.2 PAM 設定ファイルの構造
2.3 sshd の PAM 設定
2.4 PAM モジュールの設定
2.5 pam-config を利用した PAM の設定
2.6 PAM の手動設定
2.7 ローカルログインのための U2F キーの設定
2.8 さらなる情報
3 NIS の使用
3.1 NIS サーバの設定
3.2 NIS クライアントの設定
4 YaST を利用した認証クライアントの設定
4.1 YaST を利用した認証クライアントの設定
4.2 SSSD
5 389 Directory Server を利用した LDAP サービス
5.1 LDAP のディレクトリツリー構造
5.2 389 Directory Server の Docker コンテナの作成と管理
5.3 389 Directory Server のインストール
5.4 ファイアウオールの設定
5.5 389 Directory Server でのバックアップと復元
5.6 LDAP でのユーザとグループの管理
5.7 プラグインの管理
5.8 LDAP 認証管理のための SSSD の使用
5.9 OpenLDAP から 389 Directory Server への移行
5.10 TLS 証明書と鍵の取り込み
5.11 レプリケーションの設定
5.12 Microsoft Active Directory との同期
5.13 さらなる情報
6 Kerberos を利用したネットワーク認証
6.1 考え方の概要
6.2 Kerberos で使用する用語
6.3 Kerberos の動作概要
6.4 Kerberos のユーザ側からの見た目
6.5 Kerberos のインストールと管理
6.6 Kerberos と NFS
6.7 さらなる情報
7 Active Directory サポート
7.1 Linux と Active Directory 環境の統合
7.2 Linux Active Directory サポートに対する背景情報
7.3 Active Directory 向けの Linux クライアントの設定
7.4 Active Directory ドメインへのログイン
7.5 パスワードの変更
7.6 Active Directory での証明書自動登録
8 FreeRADIUS サーバの構築
8.1 openSUSE Leap でのインストールとテスト
II ローカルセキュリティ
9 物理的なセキュリティ
9.1 システムの施錠
9.2 BIOS のロックダウン
9.3 ブートローダでのセキュリティ
9.4 機密データを含む Linux サーバの廃棄
9.5 リムーバブルメディアへのアクセス制限
9.6 USBGuard による USB デバイスの認可とシステムの保護
10 ソフトウエア管理
10.1 不要なソフトウエアパッケージ (RPM) の削除
10.2 Linux システムへの修正の適用
11 ファイルの管理
11.1 ディスクのパーティション
11.2 特定のシステムファイルに対するパーミッションの変更
11.3 ホームディレクトリに対する 755 から 700 へのパーミッション変更
11.4 既定の umask
11.5 SUID/SGID フラグの付いたファイル
11.6 全てのユーザが書き込むことのできるファイル
11.7 孤立したファイル/所有者のいないファイル
12 パーティションやファイルの暗号化
12.1 YaST を利用した暗号化ファイルシステムの設定
12.2 GPG を利用したファイルの暗号化
12.3 Rage によるファイルの暗号化
13 cryptctl を利用したアプリケーション向けのストレージ暗号化
13.1 cryptctl サーバの設定
13.2 cryptctl クライアントの設定
13.3 LUKS ボリューム向け /etc/fstab の設定
13.4 サーバ側のコマンドでパーティションの解読状態を確認する方法
13.5 手作業での暗号化パーティションの解読
13.6 メンテナンス時の停止手順
13.7 cryptctl-server での HA 環境の構築
13.8 さらなる情報
14 ユーザ管理
14.1 様々なアカウントのチェック
14.2 パスワードの有効期限の設定
14.3 複雑なパスワードの強制
14.4 PAM を利用したパスワードとログインの管理
14.5 root ログインの制限
14.6 sudo を利用できるユーザの制限
14.7 対話型シェルセッションに対する無操作タイムアウトの設定
14.8 不用意なサービス拒否攻撃の防止
14.9 ログインバナーの表示
14.10 各種のアカウント関連ユーティリティ
15 cronat の制限
15.1 cron デーモンの制限
15.2 at スケジューラの制限
16 Spectre/Meltdown チェッカー
16.1 spectre-meltdown-checker の使用
16.2 さらなる情報
17 YaST を利用したセキュリティの設定
17.1 セキュリティの概要
17.2 事前定義済みのセキュリティ設定
17.3 パスワード設定
17.4 起動設定
17.5 ログイン設定
17.6 ユーザ追加
17.7 その他の設定
18 Polkit 認可フレームワーク
18.1 考え方の概要
18.2 認可の種類
18.3 権限の問い合わせ
18.4 Polkit の設定変更
18.5 SUSE 既定の権限設定の復元
19 Linux でのアクセス制御リスト
19.1 従来型のファイルアクセス権
19.2 ACL の利点
19.3 定義
19.4 ACL の処理
19.5 アプリケーション内での ACL サポート
19.6 さらなる情報
20 AIDE を利用した侵入検知
20.1 AIDE を使用する理由
20.2 AIDE データベースの設定
20.3 ローカルの AIDE チェック
20.4 システムから独立したチェック
20.5 さらなる情報
III ネットワークセキュリティ
21 X Window System と X 認証
22 OpenSSH によるネットワーク操作の機密保持
22.1 OpenSSH の概要
22.2 サーバのセキュリティ強化
22.3 パスワード認証
22.4 ユーザ鍵とホスト鍵の管理
22.5 ホスト鍵の切り替え
22.6 公開鍵認証
22.7 パスフレーズ無しの公開鍵認証
22.8 OpenSSH での証明書認証
22.9 gnome-keyring を利用した公開鍵ログインの自動化
22.10 ssh-agent を利用した公開鍵ログインの自動化
22.11 SSH 機密鍵のパスフレーズ変更
22.12 鍵の指紋 (fingerprint) の取得
22.13 ネットワーク上の離れたホストでの X11 アプリケーションの起動
22.14 エージェント転送
22.15 scp - 機密を確保したファイルのコピー
22.16 sftp - 機密を保持したファイルの転送
22.17 ポート転送 (SSH トンネリング)
22.18 さらなる情報
22.19 fail2ban による SSH ブルートフォース攻撃の抑止
23 マスカレードとファイアウオール
23.1 iptables によるパケットフィルタリング
23.2 基本的なマスカレード処理
23.3 基本的なファイアウオール処理
23.4 firewalld
23.5 SuSEfirewall2 からの移行
23.6 さらなる情報
24 VPN サーバの設定
24.1 考え方の概要
24.2 シンプルな構成の構築例
24.3 証明機関を利用した VPN サーバの構築
24.4 YaST を利用した VPN サーバおよびクライアントの設定
24.5 さらなる情報
25 X Window System で動作する PKI マネージャ XCA による管理
25.1 XCA のインストール
25.2 新しい PKI の作成
26 sysctl 変数によるネットワークセキュリティの改善
IV AppArmor による権限の制限
27 AppArmor の紹介
27.1 AppArmor のコンポーネント
27.2 AppArmor プロファイリングに関する背景となる情報
28 入門
28.1 AppArmor のインストール
28.2 AppArmor の有効化/無効化
28.3 プロファイルを作成するアプリケーションの選択
28.4 プロファイルの作成と修正
28.5 プロファイルの更新
29 プログラムに対する予防接種
29.1 AppArmor フレームワークの紹介
29.2 予防接種を行うプログラムの決定
29.3 cron ジョブへの予防接種
29.4 ネットワークアプリケーションへの予防接種
30 プロファイルのコンポーネントと文法
30.1 AppArmor プロファイル内の各部の意味
30.2 プロファイルの種類
30.3 include ステートメント
30.4 ケーパビリティ項目 (POSIX.1e)
30.5 ネットワークアクセス制御
30.6 プロファイル名/フラグ/パス/グロブ
30.7 ファイルアクセス許可のアクセスモード
30.8 マウントルール
30.9 ピボットルートルール
30.10 PTrace ルール
30.11 シグナルルール
30.12 実行モード
30.13 リソース制限制御
30.14 監査ルール
31 AppArmor のプロファイルリポジトリ
32 YaST を利用したプロファイルの構築と管理
32.1 プロファイルの手動追加
32.2 プロファイルの編集
32.3 プロファイルの削除
32.4 AppArmor の管理
33 コマンドラインからのプロファイル構築
33.1 AppArmor の状態確認
33.2 AppArmor プロファイルの構築
33.3 AppArmor プロファイルの追加と作成
33.4 AppArmor プロファイルの編集
33.5 未知の AppArmor プロファイルの読み込み解除
33.6 AppArmor プロファイルの削除
33.7 2 種類のプロファイル作成方法
33.8 主なファイル名とディレクトリ
34 チェンジハット機能による Web アプリケーションのプロファイル作成
34.1 mod_apparmor を利用するための Apache の設定
34.2 チェンジハット対応のアプリケーションの管理
35 pam_apparmor によるユーザの制限
36 プロファイルを作成したアプリケーションの管理
36.1 アクセス拒否イベントへの対応
36.2 セキュリティプロファイルの管理
37 サポート
37.1 AppArmor のオンライン更新
37.2 マニュアルページの使用
37.3 さらなる情報
37.4 トラブルシューティング
37.5 AppArmor のバグ報告
38 AppArmor 用語集
V SELinux
39 SELinux の設定
39.1 なぜ SELinux を使用するのか
39.2 SELinux ポリシーの概要
39.3 SELinux パッケージのインストール
39.4 SELinux ポリシーのインストール
39.5 SELinux での許容 (permissive) モードへの移行
39.6 SELinux での強制 (enforcing) モードへの移行
39.7 SELinux の設定
39.8 SELinux の管理
39.9 トラブルシューティング
VI Linux 監査フレームワーク
40 Linux 監査システムの概要
40.1 Linux 監査システムのコンポーネント紹介
40.2 監査デーモンの設定
40.3 auditctl による監査システムの制御
40.4 監査システムに対するパラメータ指定
40.5 監査ログの仕組みとレポートの生成
40.6 ausearch による監査デーモンログへの問い合わせ
40.7 autrace によるプロセスの解析
40.8 監査データの可視化
40.9 監査イベント通知の中継
41 Linux 監査フレームワークの設定
41.1 監査対象のコンポーネントの決定
41.2 監査デーモンの設定
41.3 システムコールに対する監査の有効化
41.4 監査ルールの設定
41.5 監査レポートの設定
41.6 ログの可視化の設定
42 監査ルールセットの紹介
42.1 基本的な監査設定パラメータの追加
42.2 監査ログファイルと設定ファイルに対する監視の追加
42.3 ファイルシステムオブジェクトの監視
42.4 セキュリティ設定ファイルとデータベースの監視
42.5 その他のシステムコールに対する監視
42.6 システムコールのパラメータでのフィルタリング
42.7 キーを利用した監査イベントレコードの管理
43 その他の情報源
A GNU ライセンス
A.1 GNU Free Documentation License
A.2 GNU フリー文書利用許諾契約書
図の一覧
3.1 NIS サーバのセットアップ
3.2 マスターサーバのセットアップ
3.3 NIS サーバに対するディレクトリと同期するファイルの変更
3.4 NIS サーバのマップのセットアップ
3.5 NIS サーバに対するリクエスト許可の設定
3.6 NIS サーバのドメインとアドレスの設定
5.1 LDAP ディレクトリの構造
6.1 Kerberos ネットワークトポロジ
7.1 Winbind ベースの Active Directory 認証のスキーマ
7.2 ユーザのログイン管理 のメインウインドウ
7.3 ドメインへの登録
7.4 ユーザのログオンの管理 の設定ウインドウ
7.5 Windows ドメインメンバーシップの設定
7.6 管理者での認証
13.1 cryptctl による鍵の取得 (KMIP サーバへの接続を行わない場合の例)
16.1 spectre-meltdown-checker の出力
17.1 YaST セキュリティセンターとセキュリティの強化: セキュリティの概要
19.1 最小 ACL: ACL エントリと許可ビットとの比較
19.2 拡張 ACL: ACL エントリと許可ビットとの比較
22.1 jail.local ファイルの設定
23.1 iptables: パケットの流通経路
24.1 ルーティング型 VPN
24.2 ブリッジ型 VPN - シナリオ 1
24.3 ブリッジ型 VPN - シナリオ 2
24.4 ブリッジ型 VPN - シナリオ 3
25.1 新しい XCA データベースの作成
33.1 GNOME 内での aa-notify メッセージ
34.1 Adminer のログインページ
40.1 Linux 監査システムのコンポーネント紹介
40.2 フローグラフ: プログラムとシステムコールの関係性
40.3 棒グラフ: 一般的なイベントの種類
例の一覧
2.1 sshd の PAM 設定 ( /etc/pam.d/sshd )
2.2 auth セクションに対する既定の設定 ( common-auth )
2.3 account セクションに対する既定の設定 ( common-account )
2.4 password セクションに対する既定の設定 ( common-password )
2.5 session セクションに対する既定の設定 ( common-session )
2.6 pam_env.conf
5.1 CN=schema からの抜粋
5.2 389 Directory Server を構築するための最小限のインスタンス設定ファイル
5.3 ローカル管理用の .dsrc ファイル
5.4 2 つのサプライヤレプリカ
5.5 4 つのサプライヤレプリカ
5.6 6 つのレプリカ
5.7 読み込み専用コンシューマのある 6 つのレプリカ
6.1 KDC の設定例 (/etc/krb5.conf)
9.1 設定
22.1 sshd_config の例
23.1 /etc/modprobe.d/60-nfs.conf 内での nfs カーネルモジュールに対するコールバックポートの設定
23.2 NFS 向けの新しい firewalld RPC サービスの設定コマンド
24.1 VPN サーバの設定ファイル
24.2 VPN クライアントの設定ファイル
28.1 aa-unconfined の出力
33.1 学習モードの例外: 特定のリソースへのアクセス制御
33.2 学習モードの例外: 項目に対する許可の設定
39.1 ls -Z を利用したセキュリティコンテキストの表示
39.2 SELinux が動作していることの確認
39.3 可否設定の一覧表示とポリシーアクセスの確認
39.4 ファイルのコンテキスト情報の取得
39.5 ルートディレクトリ内でのディレクトリ向け既定コンテキスト
39.6 ps Zaux によるプロセス向け SELinux 設定の表示
39.7 既定のファイルコンテキストの表示
39.8 /etc/audit/audit.log の出力例
39.9 監査メッセージの分析
39.10 アクセス拒否内容の表示
39.11 以前に拒否されたアクションを許可するためのポリシー作成
40.1 /etc/audit/auditd.conf の既定値
40.2 auditctl -s の出力例
40.3 監査ルール例: 監査システムのパラメータ
40.4 監査ルール例: ファイルシステムの監査
40.5 監査ルール例: システムコールの監査
40.6 監査ルールとイベントの削除
40.7 auditctl -l によるルール一覧の表示
40.8 シンプルな監査イベント例: 監査ログの表示
40.9 複雑な監査イベント例: SSH でのログイン
40.10 /etc/audit/auditd.conf の例
40.11 /etc/audit/plugins.d/syslog.conf の例

Copyright © 2006– 2024 SUSE LLC and contributors. All rights reserved.

訳: SUSE LLC および貢献者が全権利を留保しています。

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or (at your option) version 1.3; with the Invariant Section being this copyright notice and license. A copy of the license version 1.2 is included in the section entitled GNU Free Documentation License .

訳: この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン 1.2 または (希望すれば) 1.3 が定める条件の下で複製、頒布、あるいは改変することを許可します。ただし、この著作権とライセンス表記については変更不可部分とします。この利用許諾契約書の複製物は、 GNU フリー文書利用許諾契約書 という章に含まれています。

For SUSE trademarks, see https://www.suse.com/company/legal/ . All third-party trademarks are the property of their respective owners. Trademark symbols (®, ™ etc.) denote trademarks of SUSE and its affiliates. Asterisks (*) denote third-party trademarks.

訳: SUSE 社の商標については、 https://www.suse.com/company/legal/ をご覧ください。その他の商標は各所有者の所有物です。商標シンボル (®, ™ など) は、それぞれ SUSE 社およびその関連会社の商標であることを示しています。また、アスタリスク (*) は第三者の商標を示しています。

All information found in this book has been compiled with utmost attention to detail. However, this does not guarantee complete accuracy. Neither SUSE LLC, its affiliates, the authors nor the translators shall be held liable for possible errors or the consequences thereof.

訳: この書籍内にある全ての情報は、細部に至るまで最大限の注意を払って制作されていますが、完全に正確であることを保証するものではありません。 SUSE LLC やその関連会社, 著者, 翻訳者のいずれも、本書籍内の誤りとそこから生じる結果について、 一切の保証はいたしません。

注記
注記

なお、本文書は原文 (英語) の翻訳文書であり、公式な文書ではありません。あらかじめご了承ください。

このページを印刷