[gentoo-commits] gentoo commit in xml/htdocs/doc/ja/security: shb-services.xml - gentoo-commits

From:	"Naoaki Shindo (shindo)" <shindo@g.o>
To:	gentoo-commits@l.g.o
Subject:	[gentoo-commits] gentoo commit in xml/htdocs/doc/ja/security: shb-services.xml
Date:	Sun, 24 Aug 2008 13:57:39
Message-Id:	`E1KXG64-0006if-Gb@stork.gentoo.org`

1

shindo      08/08/24 13:57:36

2

3

  Modified:             shb-services.xml

4

  Log:

5

  sync to 1.9. Thanks to Masuda.

6

7

Revision  Changes    Path

8

1.4                  xml/htdocs/doc/ja/security/shb-services.xml

9

10

file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?rev=1.4&view=markup

11

plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?rev=1.4&content-type=text/plain

12

diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?r1=1.3&r2=1.4

13

14

Index: shb-services.xml

15

===================================================================

16

RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v

17

retrieving revision 1.3

18

retrieving revision 1.4

19

diff -u -r1.3 -r1.4

20

--- shb-services.xml	7 Mar 2007 02:24:18 -0000	1.3

21

+++ shb-services.xml	24 Aug 2008 13:57:36 -0000	1.4

22

@@ -1,5 +1,5 @@

23

 <?xml version='1.0' encoding='UTF-8'?>

24

-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v 1.3 2007/03/07 02:24:18 nightmorph Exp $ -->

25

+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v 1.4 2008/08/24 13:57:36 shindo Exp $ -->

26

 <!DOCTYPE sections SYSTEM "/dtd/book.dtd">

27

28

 <!-- The content of this document is licensed under the CC-BY-SA license -->

29

@@ -7,17 +7,17 @@

30

31

 <sections>

32

33

-<version>1.1</version>

34

-<date>2006-03-11</date>

35

+<version>1.5</version>

36

+<date>2008-06-13</date>

37

38

-<!-- Original revision: 1.3 -->

39

+<!-- Original revision: 1.9 -->

40

41

 <section>

42

 <title>Apache</title>

43

 <body>

44

45

<p>

46

-Apache(1.3.26)には、非常に親切な設定ファイルが付属しています。但し、

47

+Apacheには、非常に親切な設定ファイルが付属しています。但し、

48

 Apacheに対しアドレス1つをバインドする、情報の漏えいを防ぐ等の改善が必要です。

49

 以下は、設定ファイルに適用すべきオプションです。

50

 </p>

51

@@ -25,34 +25,36 @@

52

<p>

53

 もし、Apacheのインストール前に、

54

 <path>/etc/make.conf</path>において<c>ssl</c>を無効にしていなかったら、

55

-sslサービスにアクセスできるようにすべきです。以下のラインを追加し、

56

-有効にして下さい。

57

+sslサービスにアクセスできるようにすべきです。

58

+<path>/etc/apache2/vhosts.d</path>の中に設定ファイルの例があります。

59

+動作例がありますので、最も良いのはそれらを確認するか、sslを無効にすることです。

60

 </p>

61

62

-<pre caption="/etc/conf.d/apache">

63

-HTTPD_OPTS="-D SSL"

64

-</pre>

65

+<p>

66

+ある特定のIPアドレス（システムで利用可能なすべてのIPアドレスではなく）をlistenするよう設定することが重要です。

67

+例えば、<path>00_default_vhost.conf</path>は次のようになります。

68

+</p>

69

70

-<pre caption="/etc/apache/conf/apache.conf">

71

-#Make it listen on your ip

72

+<pre caption="/etc/apache2/vhosts.d/00_default_vhost.conf">

73

+<comment># あなたのIPで、それをlistenするようにしてください</comment>

74

 Listen 127.0.0.1

75

-BindAddress 127.0.0.1

76

-#It is not a good idea to use nobody or nogroup - 

77

-#for every service not running as root 

78

-#(just add the user apache with group apache)

79

-User apache

80

-Group apache

81

-#Will keep apache from telling about the version

82

+</pre>

83

+

84

+<p>

85

+また、Apacheのインストール情報を公開しないことを推奨します。

86

+デフォルトの設定では、サーバのバージョン、サーバによって生成されたページのバーチャルホスト名が追加されます。

87

+これを無効にするため、<c>ServerSignature</c>変数を<c>Off</c>に変更してください。

88

+</p>

89

+

90

+<pre caption="/etc/apache2/modules.d/00_default_settings.conf">

91

 ServerSignature Off

92

-ServerTokens Prod

93

 </pre>

94

95

<p>

96

 Apacheは、<c>--enable-shared=max</c>と<c>--enable-module=all</c>と共にコンパイルされています。

97

-これにより、デフォルトでは全てのモジュールが有効になります。そのため、

98

-<c>LoadModule</c>セクション(<c>LoadModule</c>と<c>AddModule</c>)において、

99

-使用しないモジュールはコメントアウトして下さい。その後、

100

-<c>/etc/init.d/apache restart</c>を実行し、サービスを再起動します。

101

+これにより、デフォルトでは全てのモジュールが有効になります。

102

+そのため、メインの設定ファイル<path>/etc/apache2/httpd.conf</path>で使用しないモジュールはすべて<c>LoadModule</c>セクション(<c>LoadModule</c>と<c>AddModule</c>)からコメントアウトして下さい。

103

+その後、<c>/etc/init.d/apache2 restart</c>を実行し、サービスを再起動します。

104

 </p>

105

106

<p>

107

@@ -73,24 +75,23 @@

108

 </p>

109

110

<p>

111

-より新しいBINDのebuildでは、そのまま使えるchrootをサポートしています。

112

+比較的新しいBINDのebuildは、初期状態でchrootをサポートしています。

113

 <c>BIND</c>をemergeした後、以下の簡単な手順に従って下さい。

114

 </p>

115

116

 <pre caption="BINDをchrootする">

117

-ebuild /var/db/pkg/net-dns/bind-9.2.2-r2/bind-9.2.2-r2.ebuild config\`"

118

+# <i>emerge --config bind</i>

119

 <comment>(上記コマンドの実行前、chrootするディレクトリを/etc/conf.d/namedで変更すると良いでしょう。

120

 変更しなければ、/chroot/dnsが使用されます。)</comment>

121

-<comment>(バージョン番号は、現バージョンと置き換える必要があります。)</comment>

122

 </pre>

123

 </body>

124

 </section>

125

 <section>

126

-<title>djbdns</title>

127

+<title>Djbdns</title>

128

 <body>

129

130

<p>

131

-djbdnsとは、

132

+Djbdnsとは、

133

 開発者が<uri link="http://cr.yp.to/djbdns/guarantee.html">賞金</uri>を掛けるほどセキュリティを意識したDNSの実装です。

134

 Bind 9の動作とは非常に異なりますが、試してみる価値はあります。より詳細な情報は、

135

 <uri>http://www.djbdns.org</uri>から入手できます。

136

@@ -257,11 +258,11 @@

137

 </body>

138

 </section>

139

 <section>

140

-<title>vsftpd</title>

141

+<title>Vsftpd</title>

142

 <body>

143

144

<p>

145

-vsftpd(very secure ftpの略)は軽量なFTPデーモンで、デフォルトでも合理的な設定で動作します。

146

+Vsftpd(very secure ftpの略)は軽量なFTPデーモンで、デフォルトでも合理的な設定で動作します。

147

 シンプルですが、PureFTPdやProFTPDほど多機能ではありません。

148

 </p>

149

150

@@ -295,12 +296,12 @@

151

 </body>

152

 </section>

153

 <section>

154

-<title>netqmail</title>

155

+<title>Netqmail</title>

156

 <body>

157

158

<p>

159

-netqmailは、セキュリティの優れたメールサーバとよく考えられています。

160

-これは、セキュリティ(偏執なほど)を念頭にコーディングされています。

161

+Netqmailは、多くの場合、セキュリティに優れたメールサーバだと考えられています。

162

+これは、セキュリティを(偏執なほど)念頭においてかかれています。

163

 デフォルトではリレーを許可せず、また1996年以降セキュリティホールはありません。

164

 単に<c>emerge netqmail</c>を実行し、設定を行って下さい!

165

 </p>

166

@@ -383,7 +384,7 @@

167

 AuthorizedKeysFile      .ssh/authorized_keys

168

169

 #Disable .rhost and normal password authentication

170

-RhostsAuthentication no

171

+HostbasedAuthentication no

172

 PasswordAuthentication no

173

 PermitEmptyPasswords no

174

175

@@ -399,12 +400,16 @@

176

 SyslogFacility AUTH

177

 LogLevel INFO

178

179

+<comment>（これをあなたのアドレスに変更してください）</comment>

180

 ListenAddress 127.0.0.1

181

 </pre>

182

183

<p>

184

-また、<c>UsePAM yes</c>が設定ファイルにないことを確認して下さい。なぜなら、

185

-これにより公開鍵認証メカニズムが上書きされてしまうためです。

186

+また、<c>UsePAM yes</c>が設定ファイルにないことを確認して下さい。

187

+なぜなら、これにより公開鍵認証メカニズムが上書きされてしまうためです。

188

+もしくは、<c>PasswordAuthentication</c>と<c>ChallengeResponseAuthentication</c>

189

+のどちらかを無効にしてしまうこともできます。

190

+これらのオプションに関するより多くの情報が、<path>sshd_config</path>のマニュアルページにあります。

191

 </p>

192

193

<p>

1	shindo 08/08/24 13:57:36
2
3	Modified: shb-services.xml
4	Log:
5	sync to 1.9. Thanks to Masuda.
6
7	Revision Changes Path
8	1.4 xml/htdocs/doc/ja/security/shb-services.xml
9
10	file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?rev=1.4&view=markup
11	plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?rev=1.4&content-type=text/plain
12	diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?r1=1.3&r2=1.4
13
14	Index: shb-services.xml
15	===================================================================
16	RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v
17	retrieving revision 1.3
18	retrieving revision 1.4
19	diff -u -r1.3 -r1.4
20	--- shb-services.xml 7 Mar 2007 02:24:18 -0000 1.3
21	+++ shb-services.xml 24 Aug 2008 13:57:36 -0000 1.4
22	@@ -1,5 +1,5 @@
23	<?xml version='1.0' encoding='UTF-8'?>
24	-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v 1.3 2007/03/07 02:24:18 nightmorph Exp $ -->
25	+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v 1.4 2008/08/24 13:57:36 shindo Exp $ -->
26	<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
27
28	<!-- The content of this document is licensed under the CC-BY-SA license -->
29	@@ -7,17 +7,17 @@
30
31	<sections>
32
33	-<version>1.1</version>
34	-<date>2006-03-11</date>
35	+<version>1.5</version>
36	+<date>2008-06-13</date>
37
38	-<!-- Original revision: 1.3 -->
39	+<!-- Original revision: 1.9 -->
40
41	<section>
42	<title>Apache</title>
43	<body>
44
45	<p>
46	-Apache(1.3.26)には、非常に親切な設定ファイルが付属しています。但し、
47	+Apacheには、非常に親切な設定ファイルが付属しています。但し、
48	Apacheに対しアドレス1つをバインドする、情報の漏えいを防ぐ等の改善が必要です。
49	以下は、設定ファイルに適用すべきオプションです。
50	</p>
51	@@ -25,34 +25,36 @@
52	<p>
53	もし、Apacheのインストール前に、
54	<path>/etc/make.conf</path>において<c>ssl</c>を無効にしていなかったら、
55	-sslサービスにアクセスできるようにすべきです。以下のラインを追加し、
56	-有効にして下さい。
57	+sslサービスにアクセスできるようにすべきです。
58	+<path>/etc/apache2/vhosts.d</path>の中に設定ファイルの例があります。
59	+動作例がありますので、最も良いのはそれらを確認するか、sslを無効にすることです。
60	</p>
61
62	-<pre caption="/etc/conf.d/apache">
63	-HTTPD_OPTS="-D SSL"
64	-</pre>
65	+<p>
66	+ある特定のIPアドレス（システムで利用可能なすべてのIPアドレスではなく）をlistenするよう設定することが重要です。
67	+例えば、<path>00_default_vhost.conf</path>は次のようになります。
68	+</p>
69
70	-<pre caption="/etc/apache/conf/apache.conf">
71	-#Make it listen on your ip
72	+<pre caption="/etc/apache2/vhosts.d/00_default_vhost.conf">
73	+<comment># あなたのIPで、それをlistenするようにしてください</comment>
74	Listen 127.0.0.1
75	-BindAddress 127.0.0.1
76	-#It is not a good idea to use nobody or nogroup -
77	-#for every service not running as root
78	-#(just add the user apache with group apache)
79	-User apache
80	-Group apache
81	-#Will keep apache from telling about the version
82	+</pre>
83	+
84	+<p>
85	+また、Apacheのインストール情報を公開しないことを推奨します。
86	+デフォルトの設定では、サーバのバージョン、サーバによって生成されたページのバーチャルホスト名が追加されます。
87	+これを無効にするため、<c>ServerSignature</c>変数を<c>Off</c>に変更してください。
88	+</p>
89	+
90	+<pre caption="/etc/apache2/modules.d/00_default_settings.conf">
91	ServerSignature Off
92	-ServerTokens Prod
93	</pre>
94
95	<p>
96	Apacheは、<c>--enable-shared=max</c>と<c>--enable-module=all</c>と共にコンパイルされています。
97	-これにより、デフォルトでは全てのモジュールが有効になります。そのため、
98	-<c>LoadModule</c>セクション(<c>LoadModule</c>と<c>AddModule</c>)において、
99	-使用しないモジュールはコメントアウトして下さい。その後、
100	-<c>/etc/init.d/apache restart</c>を実行し、サービスを再起動します。
101	+これにより、デフォルトでは全てのモジュールが有効になります。
102	+そのため、メインの設定ファイル<path>/etc/apache2/httpd.conf</path>で使用しないモジュールはすべて<c>LoadModule</c>セクション(<c>LoadModule</c>と<c>AddModule</c>)からコメントアウトして下さい。
103	+その後、<c>/etc/init.d/apache2 restart</c>を実行し、サービスを再起動します。
104	</p>
105
106	<p>
107	@@ -73,24 +75,23 @@
108	</p>
109
110	<p>
111	-より新しいBINDのebuildでは、そのまま使えるchrootをサポートしています。
112	+比較的新しいBINDのebuildは、初期状態でchrootをサポートしています。
113	<c>BIND</c>をemergeした後、以下の簡単な手順に従って下さい。
114	</p>
115
116	<pre caption="BINDをchrootする">
117	-ebuild /var/db/pkg/net-dns/bind-9.2.2-r2/bind-9.2.2-r2.ebuild config\`"
118	+# <i>emerge --config bind</i>
119	<comment>(上記コマンドの実行前、chrootするディレクトリを/etc/conf.d/namedで変更すると良いでしょう。
120	変更しなければ、/chroot/dnsが使用されます。)</comment>
121	-<comment>(バージョン番号は、現バージョンと置き換える必要があります。)</comment>
122	</pre>
123	</body>
124	</section>
125	<section>
126	-<title>djbdns</title>
127	+<title>Djbdns</title>
128	<body>
129
130	<p>
131	-djbdnsとは、
132	+Djbdnsとは、
133	開発者が<uri link="http://cr.yp.to/djbdns/guarantee.html">賞金</uri>を掛けるほどセキュリティを意識したDNSの実装です。
134	Bind 9の動作とは非常に異なりますが、試してみる価値はあります。より詳細な情報は、
135	<uri>http://www.djbdns.org</uri>から入手できます。
136	@@ -257,11 +258,11 @@
137	</body>
138	</section>
139	<section>
140	-<title>vsftpd</title>
141	+<title>Vsftpd</title>
142	<body>
143
144	<p>
145	-vsftpd(very secure ftpの略)は軽量なFTPデーモンで、デフォルトでも合理的な設定で動作します。
146	+Vsftpd(very secure ftpの略)は軽量なFTPデーモンで、デフォルトでも合理的な設定で動作します。
147	シンプルですが、PureFTPdやProFTPDほど多機能ではありません。
148	</p>
149
150	@@ -295,12 +296,12 @@
151	</body>
152	</section>
153	<section>
154	-<title>netqmail</title>
155	+<title>Netqmail</title>
156	<body>
157
158	<p>
159	-netqmailは、セキュリティの優れたメールサーバとよく考えられています。
160	-これは、セキュリティ(偏執なほど)を念頭にコーディングされています。
161	+Netqmailは、多くの場合、セキュリティに優れたメールサーバだと考えられています。
162	+これは、セキュリティを(偏執なほど)念頭においてかかれています。
163	デフォルトではリレーを許可せず、また1996年以降セキュリティホールはありません。
164	単に<c>emerge netqmail</c>を実行し、設定を行って下さい!
165	</p>
166	@@ -383,7 +384,7 @@
167	AuthorizedKeysFile .ssh/authorized_keys
168
169	#Disable .rhost and normal password authentication
170	-RhostsAuthentication no
171	+HostbasedAuthentication no
172	PasswordAuthentication no
173	PermitEmptyPasswords no
174
175	@@ -399,12 +400,16 @@
176	SyslogFacility AUTH
177	LogLevel INFO
178
179	+<comment>（これをあなたのアドレスに変更してください）</comment>
180	ListenAddress 127.0.0.1
181	</pre>
182
183	<p>
184	-また、<c>UsePAM yes</c>が設定ファイルにないことを確認して下さい。なぜなら、
185	-これにより公開鍵認証メカニズムが上書きされてしまうためです。
186	+また、<c>UsePAM yes</c>が設定ファイルにないことを確認して下さい。
187	+なぜなら、これにより公開鍵認証メカニズムが上書きされてしまうためです。
188	+もしくは、<c>PasswordAuthentication</c>と<c>ChallengeResponseAuthentication</c>
189	+のどちらかを無効にしてしまうこともできます。
190	+これらのオプションに関するより多くの情報が、<path>sshd_config</path>のマニュアルページにあります。
191	</p>
192
193	<p>

Gentoo Archives: gentoo-commits