Linux逆引き大全 360の極意 サーバセキュリティ編

概 要

ウィルスやspamの蔓延、公開サーバへの攻撃、個人情報保護など、サーバ管理者にとってセキュリティの重要性は高まる一方です。本書は、Linuxでネットワークを構築・管理する人に必要なセキュリティ対策や不正アクセス対策などについて知りたいことを目的からすぐ参照でき、各項目の設定を操作例の通りにすれば設定できます。Fedora CoreとDebian GNU/Linuxの2つのディストリビューションに対応。

著者 田鍬享、東いずみ
価格 本体2500円(税別)
ISBN 4-7980-1056-1
発売日 2005/04/15
判型 A5
色数 2色
ページ数 560
CD/DVD
対象読者 中級
シリーズ 逆引き大全
表紙イメージ
購入 アマゾンで購入する

※リンク先によっては、販売ページが用意されていないことがあります。 あらかじめご了承ください。

新しいウィンドウで開く 書籍購入のご案内

サポート

現在サポート情報はありません

目次

第1章 IPアドレス設定の極意

1-1.IPアドレスの設定

001 LANアダプタが認識されているかどうかを確認する

002 IPアドレスを確認する

003 ネットワーク・インターフェイスにIPアドレスを割り当てる

004 DHCPクライアントを使ってIPアドレスを取得する

005 設定ファイルで静的IPアドレスを設定する

006 設定ファイルで動的IPアドレスを設定する

007 設定ツールを使ってIPアドレスを設定する

1-2.ルーティングの設定

008 ルーティング・テーブルを確認する

009 ルーティング・テーブルを編集する

010 設定ファイルにルーティング・テーブルを記述する

1-3.通信状態の確認

011 通信状態を確認する

012 パケットの到達状態を確認する

第2章 ファイアウォールの極意

2-1.procによるファイアウォールの設定

013 パケットを転送する

014 送信元IPアドレスの偽装を検証する

2-2.iptablesコマンドの基本

015 フィルタリングのポリシーを設定する

016 フィルタリング・ルールを表示する

017 フィルタリング・ルールを削除する

018 フィルタリング・ルールを追加する

019 フィルタリング・ルールを挿入する

020 フィルタリング・ルールを保存する

021 フィルタリング・ルールをロードする

2-3.iptablesによるパケット・フィルタリング

022 IPマスカレードを行う

023 ポートを閉じる/開ける

024 戻りパケットの侵入のみを許可する

025 ポート転送を行う

026 偽装されたIPアドレスからのパケットを遮断する

027 特定のホストから送信されたパケットを遮断する

028 特定のホストへ送信されるパケットを遮断する

029 特定のホストに対しインターネットの利用を禁止する

030 特定のサービスへのアクセスを遮断する

031 特定のMACアドレスからのパケットを遮断する

032 オリジナルのチェインを作成する

033 pingのパケットに応答させない

034 DoS攻撃を防ぐ

035 ログを採取する

036 透過Webプロキシを構築する

037 FTPクライアントとの通信を可能にする

038 ブラックリストへ登録したホストからのアクセスを遮断する

2-4.パケット・フィルタリング用のツール

039 lokkitでパケット・フィルタリングを設定する

2-5.Squid

040 Squidをインストールする

041 Squidへの接続を制限する

042 Squidでポート番号を設定する

043 Squidでキャッシュに使うメモリの量を設定する

044 Squidでキャッシュに使うディスクの量を設定する

045 Squidを起動する

2-6.DeleGate

046 DeleGateをインストールする

047 DeleGateを起動する

048 DeleGateでクライアント・ホストの利用を制限する

049 DeleGateのキャッシュを有効にする

050 DeleGateが接続を待ち受けるアドレスを指定する

051 DeleGateの設定ファイルを作成する

第3章 ユーザ管理の極意

3-1.ユーザ管理

052 ユーザを一時的に無効にする

053 ユーザを削除する

054 ディスククォータをかける

055 ログイン中のユーザを確認する

056 ユーザのログイン記録を表示する

057 一般ユーザのシェル使用を禁止する

058 プロセス・アカウンティング・ツールの導入

059 プロセス・アカウンティングで採取した情報を表示する

060 ファイルやディレクトリを削除/改変不能にする

061 SetUID/SetGIDされたファイルを検出する

3-2.パスワード管理

062 John the Ripperで安全でないパスワードを見つける

063 ランダムなパスワードを生成する

064 ユーザに定期的なパスワードの変更を促す

065 シャドウ/MD5パスワードを有効にする

066 suコマンドを実行できるユーザを制限する

067 suを用いて他のユーザ権限でプログラムを実行する

068 rootでログインできる端末を制限する

069 コンソール・ログインを制限する

070 辞書に載っている語句をパスワードとして設定させない

071 シングルユーザ・モードで起動した際にrootパスワードを要求する

072 複数の一般ユーザを1つのグループに所属させる

073 LILOのパスワードを有効にする

074 GRUBのパスワードを有効にする

3-3.sudo

075 sudoコマンドをインストールする

076 sudoの設定ファイルを編集する

077 プログラムをroot権限で実行する

078 他のユーザ権限でプログラムを実行する

079 sudoコマンドを実行できるユーザのグループを作成する

080 パスワードの入力を省略する

081 sudo実行時に必ずパスワードを要求する

082 コマンドのグループを作成する

083 コマンドを実行できるホストを指定する

084 コマンドを実行できるホストのグループを作成する

第4章 スーパー・サーバの極意

4-1.xinetd

085 xinetdをインストール・起動する

086 サービスを追加・削除する

087 リモート・ホストからのアクセスを制限する

088 inetd.confからxinetd.confを生成する

089 サービスを有効・無効にする

090 ログを採取・確認する

091 DoS攻撃を防ぐ

4-2.inetd

092 inetdをインストール・起動する

093 サービスを追加・削除する

4-3.TCP Wrapper

094 TCP Wrapperをインストールする

095 プログラムにTCP Wrapperが組み込まれているかどうかを確認する

096 プログラムにTCP Wrapperを組み込む

097 リモート・ホストからのアクセスを制限する

098 設定ファイルの整合性を確認する

4-4.tcpserver

099 tcpserverをインストールする

100 サービスを有効・無効にする

101 リモート・ホストからの接続を制限する

102 制御ルールの内容を検証する

103 DoS攻撃を防ぐ

104 ログを採取・確認する

第5章 パッケージ管理の極意

5-1.アップデートの基本

105 アップデート・パッケージをダウンロードする

106 アップデート・パッケージをインストールする

5-2.aptを利用する

107 aptをインストールする

108 利用するパッケージ・グループを選択する

109 アップデートしないパッケージを指定する

110 apt用のデータベースを更新する

111 aptでアップデート・パッケージをインストールする

112 aptでパッケージを検索する

113 aptでパッケージをインストールする

114 aptでパッケージを削除する

5-3.yumを利用する

115 yumをインストールする

116 利用するパッケージ・グループを選択する

117 更新しないパッケージを指定する

118 更新可能なパッケージを確認する

119 yumでアップデート・パッケージをインストールする

120 yumによるパッケージの更新を自動化する

121 yumでパッケージを検索する

122 yumでパッケージをインストールする

123 yumでパッケージを削除する

124 サポートの終わったFedoraを使い続ける

5-4.up2dateを利用する

125 up2dateをインストールする

126 up2date-configで基本設定を行う

127 up2dateでアップデート・パッケージをインストールする

128 up2dateでパッケージをインストールする

第6章 ログの極意

6-1.syslog

129 syslogのインストール・起動

130 ログを読む

131 ログを整形する

132 priorityの範囲を指定する

133 1行に複数のselectorを指定する

134 ログをファイルに記録する

135 ログをリモート・ホストに送信する

136 ログをログインしているユーザの端末に表示する

137 syslogにメッセージを送る

138 ログファイルを整理する(ローテーション)

6-2.swatch

139 swatchをインストールする

140 swatchを設定・起動する

6-3.logwatch

141 logwatchをインストールする

142 logwatchでレポートを表示する

143 logwatchのレポートをメールで送信する

144 サービスを指定する

145 日を指定する

146 ファイルに保存する

6-4.syslog-ng

147 syslog-ngをインストールする

148 syslogの設定ファイルをsyslog-ngへ移行する

第7章 サービス管理の極意

7-1.プロセス管理

149 psコマンドで実行中のプロセスを確認する

150 topコマンドで実行中のプロセスを確認する

151 killコマンドでプロセスを終了する

152 pgrepコマンドでプロセスを検索する

153 pkillコマンドでプロセスを終了する

7-2.システムの状態を知る

154 空いているポートを確認する

155 空いているUDPポートを確認する

156 telnetコマンドを使ってサービスと通信する

157 ポートを使用しているプロセスを確認する

158 サービスを起動・停止する

159 chkconfigでシステム起動時に開始されるサービスを選択する

160 ntsysvでシステム起動時に開始されるサービスを選択する

161 update-rc.dでシステム起動時に開始されるサービスを選択する

162 rcconfでシステム起動時に開始されるサービスを選択する

163 sysv-rc-confでシステム起動時に開始されるサービスを選択する

7-3.ランレベル

164 現在のランレベルを確認する

165 現在のランレベルを変更する

166 システム起動時のランレベルを変更する

第8章 ネットワーク監視の極意

8-1.tcpdump

167 tcpdumpをインストールする

168 tcpdumpでパケットをキャプチャする

169 tcpdumpで特定のプロトコルのみを抜き出す

170 tcpdumpで特定のホストに関するパケット情報を抜き出す

171 tcpdumpで複数の条件式を指定する

172 tcpdumpでペイロードをASCII出力する

8-2.ngrep

173 ngrepをインストールする

174 ngrepでパケットをキャプチャする

8-3.Ethereal

175 Etherealをインストールする

176 Etherealでパケットをキャプチャする

177 Etherealでキャプチャしたデータを表示する

178 EtherealでTCPのデータを表示する

179 Etherealでパケットにフィルターをかける

8-4.MRTG

180 snmpdをインストールする

181 snmpdを設定・起動する

182 MRTGのインストールと基本設定を行う

183 MRTGでCPUのロードアベレージ情報をグラフ化する

184 MRTGでメモリの空き容量をグラフ化する

185 MRTGでSquidのヒット数やヒット率をグラフ化する

186 MRTGでプロトコルごとのトラフィックをグラフ化する(Fedora編)

187 MRTGでプロトコルごとのトラフィックをグラフ化する(Debian編)

8-5.ntop

188 ntopでトラフィック情報を収集する

第9章 サーバ・セキュリティの極意

9-1.sendmailのセキュリティ

189 sendmailをインストールする(Fedora編)

190 sendmailをインストールする(Debian編)

191 ユーザ・リストの作成を防ぐ

192 sendmailのバージョンを隠す

193 メール送信時に認証&暗号化を行う

194 ドメイン名をマスカレードする

195 バーチャルドメインを使う

196 エイリアスを定義する

9-2.Postfixのセキュリティ

197 Postfixをインストールする(Fedora編)

198 Postfixをインストールする(Debian編)

199 メールの中継を制限する

200 不正中継の可能性を確認する

201 迷惑メールの受信を拒否する

202 特定のネットワークから送信されたメールの受信を拒否する

203 ブラックリストを利用してメール受信を拒否する

204 エイリアスを定義する

205 メール送信時に認証を行う

206 メール送信を暗号化する

207 ウィルス・メールを検出する

9-3.Apacheのセキュリティ

208 Apacheのインストール

209 URL単位でアクセスを制限する

210 ホスト単位でアクセスを制限する

211 インデックスの表示を制限する

212 CGIの使用を禁止する

213 一般ユーザのスペースを公開する

214 指定した領域にパスワードをかける

215 ダイジェスト認証を使う

216 グループ単位でアクセス制限する

217 mod_sslを使う(Fedora編)

218 mod_sslを使う(Debian編)

219 mod_proxyを使う(Fedora編)

220 mod_proxyを使う(Debian編)

221 キャッシュ機能を有効にする

9-4.vsftpdのセキュリティ

222 vsftpdをインストールする

223 FTPログインできるユーザを制限する(PAM編)

224 FTPログインできるユーザを制限する(vsftpd編)

225 anonymousユーザのアクセスに限定する

226 ローカル・ユーザのアクセスに限定する

227 ホーム・ディレクトリ以外のアクセスを制限する

228 バーチャル・ユーザを使う(Fedora編)

229 バーチャル・ユーザを使う(Debian編)

230 同時接続数を指定する

9-5.BINDのセキュリティ

231 BINDをインストールする(Fedora編)

232 BINDをインストールする(Debian編)

233 BIND9をchroot環境で動かす

234 TSIG(トランザクション署名)を使う

235 不要なクエリに応答させない

236 BINDのログ機能を使う

237 BIND9でDNS分割を使う

238 BINDのバージョンを隠す

9-6.djbdns

239 djbdnsをインストールする(Fedora編)

240 djbdnsをインストールする(Debian編)

241 ローカル・ホスト用のDNSキャッシュ・サービスを設置する

242 ローカル・ネット用のDNSキャッシュ・サービスを設置する

243 自ドメインのDNS情報を提供するサーバを設置する

244 tinydns―tinydns間でゾーンデータをやりとりする

245 BIND―tinydns間でゾーンデータをやりとりする

第10章 不正アクセス対策の極意

10-1.不正アクセスの防止

246 ポートスキャンを遮断する

247 外部から自分のマシンをポートスキャンする

248 rootkitの有無を確認する

10-2.Tripwire

249 Tripwireをインストールする(Fedora編)

250 Tripwireをインストールする(Debian編)

251 Tripwire用の鍵を作成する

252 Tripwireの動作を設定する

253 Tripwireの動作設定を変更する

254 Tripwireのポリシーを設定する(監視対象を指定する)

255 Tripwireのデータベースを作成する

256 Tripwireのポリシー設定を変更する

257 Tripwireを使ってファイルを検証する(Tripwireレポートの作成)

258 ファイルの改変に対応する(データベースの更新)

259 Tripwireのレポートを表示する

260 Tripwireのレポートをメールで送信する

261 Tripwireの管理下におくファイルを追加する

262 Tripwireで監査しないファイルを指定する

263 Webサイトの改竄を検知する

264 Tripwireのレポートを定期的にメールで送信する

10-3.ファイルの検証と暗号化

265 md5sumコマンドをインストールする

266 md5sumコマンドを使ってファイルの改竄を確認する

267 sha1sumを使ってファイルのチェックサムを計算する

268 sha1sumを使ってファイルのチェックサムを書き出す

269 sha1sumでファイルのチェックサムを検証する

270 GPGをインストールする

271 GPG用の鍵を作成する

272 GPG公開鍵をkeyringに登録する

273 GPGで署名されたファイルを検証する

274 自分の秘密鍵で相手の公開鍵を署名する

275 GPGでファイルに署名する

276 GPGでテキスト・ファイルに署名する

277 GPGで署名ファイルを作成する

278 GPGでテキストの署名ファイルを作成する

279 ファイルにパスワードをかける

280 公開鍵を使ってファイルを暗号化する

281 GPGで暗号化されたファイルを復号化する

10-4.Snort

282 Snortをインストールする(Fedora編)

283 Snortをインストールする(Debian編)

284 Snortの基本設定を確認する

285 Snortでポート・スキャンを検知する

286 SnortでSoftEther VPN 2.0の使用を検知する

第11章 安全な通信の極意

11-1.OpenSSH

287 OpenSSHをインストールする

288 rootでのSSHログインを禁止する

289 OpenSSHでchroot機能を利用する

290 OpenSSHサーバを起動する

291 プロトコル・バージョンを選択する

292 公開鍵認証を使う(SSH1)

293 公開鍵認証を使う(SSH2)

294 ホスト・ベースの認証を利用する(SSH1)

295 ホスト・ベースの認証を利用する(SSH2)

296 パスワード認証を禁止する

297 sftpを有効にする

298 リモート・ホストからのアクセスを制限する

299 SSHログインできるユーザを制限する

300 SSHでログインする

301 SSHポート転送する

302 公開鍵を作成する

303 パスフレーズの入力を省略する

304 ログイン時にssh-agentを自動的に起動する

305 keychainを使って秘密鍵を管理する

306 rsyncと組み合わせてファイル転送する

307 sshを使ってリモート・ホスト上のコマンドを実行する

308 scpでファイルを転送する

309 sftpでファイルを転送する

11-2.WindowsでのSSH

310 WindowsでSSHの鍵を作成する(PuTTYgen)

311 PuTTY形式の鍵をOpenSSH形式に変換する

312 Tera Termをインストールする

313 Tera Termを日本語化する

314 Tera Termを設定する

315 TTSSHをインストールする

316 TTSSHを日本語化する

317 TTSSHを設定する

318 TTSSHでSSHログインする

319 TTSSHでSSHポート転送する

320 Tera TermをUTF-8対応にする

321 PuTTYをインストールする

322 PuTTYを設定する

323 PuTTYでSSHログインする

324 PuTTYでSSHポート転送する

325 Pageantで代理認証する

326 WinSCPをインストールする

327 WinSCPを設定する

328 WinSCPでファイル転送する

329 PortForwarderをインストールする

330 PortForwarderを設定する

331 PortForwarderでSSHポート転送する

332 PortForwarderで公開鍵認証を利用する

11-3.VPNの導入

333 vtunをインストールする

334 vtunを設定する

335 SoftEtherの「仮想HUB」をインストールする

336 SoftEtherの「仮想HUB」を設定する

11-4.シリアル・コンソール

337 シリアル・コンソールを使うための設定をする

338 minicomを使ってシリアル・コンソールを操作する

339 cuを使ってシリアル・コンソールを操作する

340 GRUBの起動画面をシリアル・コンソールに表示する

第12章 ツール利用の極意

12-1.ツールの利用方法

341 バッファ・オーバーフローなどを防ぐ

342 exec-shieldで防御された記録を残す

343 プログラムごとにexec-shieldを有効にする

344 OS保護機能を有効にする

345 libsafeをインストールする

346 libsafeの動作を確認する

347 デフォルトでlibsafeを有効にする

348 libsafeを適用するコマンドを選択する

349 libsafeを適用しないコマンドを選択する

350 バッファ・オーバーフローの検知情報をメールで通知する

351 Bastille Linuxをインストールする

352 Bastille Linuxを設定する

353 ファイル・パーミッションについて設定する(FilePermissions.pm)

354 アカウントについて設定する(AccountSecurity.pm)

355 OSの起動について設定する(BootSecurity.pm)

356 スーパー・サーバについて設定する(SecureInetd.pm)

357 実行ファイルについて設定する(DisableUserTools.pm)

358 コンソール・ログインできるユーザを制限する(ConfigureMiscPAM.pm)

359 ログについて設定する(Logging.pm)

360 ファイアウォールについて設定する(Firewall.pm)

付録

付録1 ディストリビューション・インストールの要点

付録2 chkconfig、update-rc.d、sysv-rc-confの使い方

サービスをシステムと同時に起動する方法

付録3 syslog.confの書式

付録4 Linuxカーネルのコンパイル

PR

秀和システム