Product SiteDocumentation Site

Debian セキュリティマニュアル 3.19

Debian セキュリティマニュアル

Javier Fernández-Sanguino Peña

法律上の通知

Copyright © 2017 | SPI inc. | This material may only be distributed subject to the terms and conditions set forth in the GNU Free Documentation License (GFDL), V1.2 or later (the latest version is presently available at http://www.gnu.org/licenses/fdl.txt).

概要

この文書では Debian のデフォルトのインストールを安全にし強化する 過程について述べます。Debian GNU/Linux を使って安全なネットワーク環境を 構築するための一般的な作業を扱います。セキュリティ関連の道具や、Debian security team によって行われるセキュリティ関連の作業についての情報もあります。
1. まえがき
1.1. Authors
1.2. Where to get the manual (and available formats)
1.3. 組織化についてのメモおよび感想
1.4. 前提となる知識
1.5. 書くべきこと (FIXME/TODO)
1.6. Credits and thanks!
2. はじめる前に
2.1. このシステムの目的は何ですか?
2.2. 一般的なセキュリティ問題について知る
2.3. Debian はセキュリティをどう扱っていますか?
3. インストール前およびインストール中
3.1. BIOS のパスワードを選ぶ
3.2. Partitioning the system
3.2.1. かしこいパーティション構造を選ぶ
3.2.2. Selecting the appropriate file systems
3.3. 準備ができるまでインターネットに接続しない
3.4. root のパスワードを設定する
3.5. 必要最小限のサービスを走らせる
3.5.1. デーモンサービスを停止する
3.5.2. Disabling inetd or its services
3.6. Install the minimum amount of software required
3.6.1. Removing Perl
3.7. Debian のセキュリティメーリングリストを読む
4. インストール後
4.1. Subscribe to the Debian Security Announce mailing list
4.2. セキュリティ上の更新を実行する
4.2.1. Security update of libraries
4.2.2. Security update of the kernel
4.3. Change the BIOS (again)
4.4. LILO または GRUB パスワードを設定する
4.5. Disable root prompt on the initramfs
4.6. Remove root prompt on the kernel
4.7. コンソールログインのアクセスを制限する
4.8. Restricting system reboots through the console
4.9. Restricting the use of the Magic SysRq key
4.10. パーティションを正しくマウントする
4.10.1. Setting /tmp noexec
4.10.2. /usr を読みとり専用に設定する
4.11. Providing secure user access
4.11.1. ユーザ認証: PAM
4.11.2. Password security in PAM
4.11.3. User access control in PAM
4.11.4. User limits in PAM
4.11.5. Control of su in PAM
4.11.6. Temporary directories in PAM
4.11.7. Configuration for undefined PAM applications
4.11.8. Limiting resource usage: the limits.conf file
4.11.9. User login actions: edit /etc/login.defs
4.11.10. User login actions: edit /etc/pam.d/login
4.11.11. Restricting ftp: editing /etc/ftpusers
4.11.12. su を使う
4.11.13. sudo を使う
4.11.14. Disallow remote administrative access
4.11.15. ユーザを制限する
4.11.16. User auditing
4.11.17. ユーザのプロファイルを調べる
4.11.18. Setting users umasks
4.11.19. Limiting what users can see/access
4.11.20. Generating user passwords
4.11.21. Checking user passwords
4.11.22. Logging off idle users
4.12. tcpwrappers を使う
4.13. ログや警告の重要性
4.13.1. Using and customizing logcheck
4.13.2. 警告の送り先を設定する
4.13.3. ログホストを使う
4.13.4. ログファイルのパーミッション
4.14. カーネルパッチを追加する
4.15. Protecting against buffer overflows
4.15.1. Kernel patch protection for buffer overflows
4.15.2. Testing programs for overflows
4.16. ファイルの安全な転送
4.17. ファイルシステムの制限と制御
4.17.1. quota を使う
4.17.2. The ext2 filesystem specific attributes (chattr/lsattr)
4.17.3. ファイルシステムの完全性を確かめる
4.17.4. setuid チェックを設定する
4.18. Securing network access
4.18.1. カーネルのネットワーク機能を設定する
4.18.2. Configuring syncookies
4.18.3. Securing the network on boot-time
4.18.4. ファイアウォール機能を設定する
4.18.5. Disabling weak-end hosts issues
4.18.6. Protecting against ARP attacks
4.19. Taking a snapshot of the system
4.20. 推奨されている他の事項
4.20.1. svgalib に依存するソフトウェアを使わない
5. システム上で動いているサービスを安全にする
5.1. ssh を使う
5.1.1. Chrooting ssh
5.1.2. Ssh clients
5.1.3. Disallowing file transfers
5.1.4. Restricing access to file transfer only
5.2. Squid を安全にする
5.3. FTP を安全にする
5.4. X Window System へのアクセスを安全にする
5.4.1. ディスプレイマネージャを調べる
5.5. プリントサービスを安全にする (lpd と lprng の問題)
5.6. Securing the mail service
5.6.1. Configuring a Nullmailer
5.6.2. Providing secure access to mailboxes
5.6.3. メールを安全に受けとる
5.7. BIND を安全にする
5.7.1. Bind configuration to avoid misuse
5.7.2. Changing BIND's user
5.7.3. Chrooting the name server
5.8. Apache を安全にする
5.8.1. Disabling users from publishing web contents
5.8.2. ログファイルのパーミッション
5.8.3. Published web files
5.9. finger を安全にする
5.10. 一般的な chroot および suid のパラノイア
5.10.1. Making chrooted environments automatically
5.11. 一般的な平文パスワードのパラノイア
5.12. NIS を無効にする
5.13. Securing RPC services
5.13.1. RPC サービスを無効にする
5.13.2. Limiting access to RPC services
5.14. ファイアウォール機能を追加する
5.14.1. ローカルシステムをファイアウォールで守る
5.14.2. 他のシステムを守るのにファイアウォールを使う
5.14.3. Setting up a firewall
6. Debian システムを自動的に強化する
6.1. Harden
6.2. Bastille Linux
7. Debian Security Infrastructure
7.1. The Debian Security Team
7.2. Debian Security Advisories
7.2.1. Vulnerability cross references
7.2.2. CVE compatibility
7.3. Security Tracker
7.4. Debian Security Build Infrastructure
7.4.1. Developer's guide to security updates
7.5. Debian におけるパッケージへの署名
7.5.1. パッケージの署名チェックについての提案中のしくみ
7.5.2. Secure apt
7.5.3. Per distribution release check
7.5.4. Release check of non Debian sources
7.5.5. ほかのパッケージごとの署名のしくみ
8. Debian でのセキュリティ関連の道具
8.1. リモートの脆弱性を評価する道具
8.2. ネットワークをスキャンする道具
8.3. 内部監査
8.4. ソースコードを監査する
8.5. バーチャルプライベートネットワーク
8.5.1. Point to Point tunneling
8.6. 公開鍵インフラストラクチャー (Public Key Infraestructure、PKI)
8.7. SSL Infrastructure
8.8. 対ウイルスツール
8.9. GPG agent
9. Developer's Best Practices for OS Security
9.1. Best practices for security review and design
9.2. Creating users and groups for software daemons
10. システムを破られる前
10.1. Keep your system secure
10.1.1. Tracking security vulnerabilities
10.1.2. Continuously update the system
10.1.3. Avoid using the unstable branch
10.1.4. Security support for the testing branch
10.1.5. Automatic updates in a Debian GNU/Linux system
10.2. Do periodic integrity checks
10.3. 侵入検知を設定する
10.3.1. ネットワークベースでの侵入検知
10.3.2. ネットワークベースでの侵入検知
10.4. rootkits を避ける
10.4.1. LKM - Loadable Kernel Modules
10.4.2. rootkits を発見する
10.5. 天才的な、またはパラノイアのアイデア — 何ができるか
10.5.1. honeypot を構築する
11. After the compromise (incident response)
11.1. 一般的な行動
11.2. システムのバックアップを取る
11.3. Contact your local CERT
11.4. 科学捜査
11.5. Analysis of malware
12. よく聞かれる質問 (Frequently asked Questions、FAQ)
12.1. Debian オペレーティングシステムでのセキュリティ
12.1.1. Debian は X より安全ですか?
12.1.2. My system is vulnerable! (Are you sure?)
12.2. 特定のソフトウェア
12.2.1. Proftpd はサービス否定攻撃に脆弱です
12.2.2. After installing portsentry, there are a lot of ports open.
12.3. Debian security team に関する質問
A. Revision History
B. Appendix
B.1. 段階ごとの強化過程
B.2. 設定チェックリスト
B.3. 独立の IDS を設置する
B.4. Setting up a bridge firewall
B.4.1. A bridge providing NAT and firewall capabilities
B.4.2. ファイアウォール機能を追加する
B.4.3. Basic IPtables rules
B.5. Sample script to change the default Bind installation.
B.6. Security update protected by a firewall
B.7. Chroot environment for SSH
B.7.1. Chrooting the ssh users
B.7.2. Chrooting the ssh server
B.7.3. Chroot environment for Apache
B.7.4. See also