1 |
shindo 08/08/24 13:57:36 |
2 |
|
3 |
Modified: shb-services.xml |
4 |
Log: |
5 |
sync to 1.9. Thanks to Masuda. |
6 |
|
7 |
Revision Changes Path |
8 |
1.4 xml/htdocs/doc/ja/security/shb-services.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?rev=1.4&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?rev=1.4&content-type=text/plain |
12 |
diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/ja/security/shb-services.xml?r1=1.3&r2=1.4 |
13 |
|
14 |
Index: shb-services.xml |
15 |
=================================================================== |
16 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v |
17 |
retrieving revision 1.3 |
18 |
retrieving revision 1.4 |
19 |
diff -u -r1.3 -r1.4 |
20 |
--- shb-services.xml 7 Mar 2007 02:24:18 -0000 1.3 |
21 |
+++ shb-services.xml 24 Aug 2008 13:57:36 -0000 1.4 |
22 |
@@ -1,5 +1,5 @@ |
23 |
<?xml version='1.0' encoding='UTF-8'?> |
24 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v 1.3 2007/03/07 02:24:18 nightmorph Exp $ --> |
25 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/ja/security/shb-services.xml,v 1.4 2008/08/24 13:57:36 shindo Exp $ --> |
26 |
<!DOCTYPE sections SYSTEM "/dtd/book.dtd"> |
27 |
|
28 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
29 |
@@ -7,17 +7,17 @@ |
30 |
|
31 |
<sections> |
32 |
|
33 |
-<version>1.1</version> |
34 |
-<date>2006-03-11</date> |
35 |
+<version>1.5</version> |
36 |
+<date>2008-06-13</date> |
37 |
|
38 |
-<!-- Original revision: 1.3 --> |
39 |
+<!-- Original revision: 1.9 --> |
40 |
|
41 |
<section> |
42 |
<title>Apache</title> |
43 |
<body> |
44 |
|
45 |
<p> |
46 |
-Apache(1.3.26)には、非常に親切な設定ファイルが付属しています。但し、 |
47 |
+Apacheには、非常に親切な設定ファイルが付属しています。但し、 |
48 |
Apacheに対しアドレス1つをバインドする、情報の漏えいを防ぐ等の改善が必要です。 |
49 |
以下は、設定ファイルに適用すべきオプションです。 |
50 |
</p> |
51 |
@@ -25,34 +25,36 @@ |
52 |
<p> |
53 |
もし、Apacheのインストール前に、 |
54 |
<path>/etc/make.conf</path>において<c>ssl</c>を無効にしていなかったら、 |
55 |
-sslサービスにアクセスできるようにすべきです。以下のラインを追加し、 |
56 |
-有効にして下さい。 |
57 |
+sslサービスにアクセスできるようにすべきです。 |
58 |
+<path>/etc/apache2/vhosts.d</path>の中に設定ファイルの例があります。 |
59 |
+動作例がありますので、最も良いのはそれらを確認するか、sslを無効にすることです。 |
60 |
</p> |
61 |
|
62 |
-<pre caption="/etc/conf.d/apache"> |
63 |
-HTTPD_OPTS="-D SSL" |
64 |
-</pre> |
65 |
+<p> |
66 |
+ある特定のIPアドレス(システムで利用可能なすべてのIPアドレスではなく)をlistenするよう設定することが重要です。 |
67 |
+例えば、<path>00_default_vhost.conf</path>は次のようになります。 |
68 |
+</p> |
69 |
|
70 |
-<pre caption="/etc/apache/conf/apache.conf"> |
71 |
-#Make it listen on your ip |
72 |
+<pre caption="/etc/apache2/vhosts.d/00_default_vhost.conf"> |
73 |
+<comment># あなたのIPで、それをlistenするようにしてください</comment> |
74 |
Listen 127.0.0.1 |
75 |
-BindAddress 127.0.0.1 |
76 |
-#It is not a good idea to use nobody or nogroup - |
77 |
-#for every service not running as root |
78 |
-#(just add the user apache with group apache) |
79 |
-User apache |
80 |
-Group apache |
81 |
-#Will keep apache from telling about the version |
82 |
+</pre> |
83 |
+ |
84 |
+<p> |
85 |
+また、Apacheのインストール情報を公開しないことを推奨します。 |
86 |
+デフォルトの設定では、サーバのバージョン、サーバによって生成されたページのバーチャルホスト名が追加されます。 |
87 |
+これを無効にするため、<c>ServerSignature</c>変数を<c>Off</c>に変更してください。 |
88 |
+</p> |
89 |
+ |
90 |
+<pre caption="/etc/apache2/modules.d/00_default_settings.conf"> |
91 |
ServerSignature Off |
92 |
-ServerTokens Prod |
93 |
</pre> |
94 |
|
95 |
<p> |
96 |
Apacheは、<c>--enable-shared=max</c>と<c>--enable-module=all</c>と共にコンパイルされています。 |
97 |
-これにより、デフォルトでは全てのモジュールが有効になります。そのため、 |
98 |
-<c>LoadModule</c>セクション(<c>LoadModule</c>と<c>AddModule</c>)において、 |
99 |
-使用しないモジュールはコメントアウトして下さい。その後、 |
100 |
-<c>/etc/init.d/apache restart</c>を実行し、サービスを再起動します。 |
101 |
+これにより、デフォルトでは全てのモジュールが有効になります。 |
102 |
+そのため、メインの設定ファイル<path>/etc/apache2/httpd.conf</path>で使用しないモジュールはすべて<c>LoadModule</c>セクション(<c>LoadModule</c>と<c>AddModule</c>)からコメントアウトして下さい。 |
103 |
+その後、<c>/etc/init.d/apache2 restart</c>を実行し、サービスを再起動します。 |
104 |
</p> |
105 |
|
106 |
<p> |
107 |
@@ -73,24 +75,23 @@ |
108 |
</p> |
109 |
|
110 |
<p> |
111 |
-より新しいBINDのebuildでは、そのまま使えるchrootをサポートしています。 |
112 |
+比較的新しいBINDのebuildは、初期状態でchrootをサポートしています。 |
113 |
<c>BIND</c>をemergeした後、以下の簡単な手順に従って下さい。 |
114 |
</p> |
115 |
|
116 |
<pre caption="BINDをchrootする"> |
117 |
-ebuild /var/db/pkg/net-dns/bind-9.2.2-r2/bind-9.2.2-r2.ebuild config\`" |
118 |
+# <i>emerge --config bind</i> |
119 |
<comment>(上記コマンドの実行前、chrootするディレクトリを/etc/conf.d/namedで変更すると良いでしょう。 |
120 |
変更しなければ、/chroot/dnsが使用されます。)</comment> |
121 |
-<comment>(バージョン番号は、現バージョンと置き換える必要があります。)</comment> |
122 |
</pre> |
123 |
</body> |
124 |
</section> |
125 |
<section> |
126 |
-<title>djbdns</title> |
127 |
+<title>Djbdns</title> |
128 |
<body> |
129 |
|
130 |
<p> |
131 |
-djbdnsとは、 |
132 |
+Djbdnsとは、 |
133 |
開発者が<uri link="http://cr.yp.to/djbdns/guarantee.html">賞金</uri>を掛けるほどセキュリティを意識したDNSの実装です。 |
134 |
Bind 9の動作とは非常に異なりますが、試してみる価値はあります。より詳細な情報は、 |
135 |
<uri>http://www.djbdns.org</uri>から入手できます。 |
136 |
@@ -257,11 +258,11 @@ |
137 |
</body> |
138 |
</section> |
139 |
<section> |
140 |
-<title>vsftpd</title> |
141 |
+<title>Vsftpd</title> |
142 |
<body> |
143 |
|
144 |
<p> |
145 |
-vsftpd(very secure ftpの略)は軽量なFTPデーモンで、デフォルトでも合理的な設定で動作します。 |
146 |
+Vsftpd(very secure ftpの略)は軽量なFTPデーモンで、デフォルトでも合理的な設定で動作します。 |
147 |
シンプルですが、PureFTPdやProFTPDほど多機能ではありません。 |
148 |
</p> |
149 |
|
150 |
@@ -295,12 +296,12 @@ |
151 |
</body> |
152 |
</section> |
153 |
<section> |
154 |
-<title>netqmail</title> |
155 |
+<title>Netqmail</title> |
156 |
<body> |
157 |
|
158 |
<p> |
159 |
-netqmailは、セキュリティの優れたメールサーバとよく考えられています。 |
160 |
-これは、セキュリティ(偏執なほど)を念頭にコーディングされています。 |
161 |
+Netqmailは、多くの場合、セキュリティに優れたメールサーバだと考えられています。 |
162 |
+これは、セキュリティを(偏執なほど)念頭においてかかれています。 |
163 |
デフォルトではリレーを許可せず、また1996年以降セキュリティホールはありません。 |
164 |
単に<c>emerge netqmail</c>を実行し、設定を行って下さい! |
165 |
</p> |
166 |
@@ -383,7 +384,7 @@ |
167 |
AuthorizedKeysFile .ssh/authorized_keys |
168 |
|
169 |
#Disable .rhost and normal password authentication |
170 |
-RhostsAuthentication no |
171 |
+HostbasedAuthentication no |
172 |
PasswordAuthentication no |
173 |
PermitEmptyPasswords no |
174 |
|
175 |
@@ -399,12 +400,16 @@ |
176 |
SyslogFacility AUTH |
177 |
LogLevel INFO |
178 |
|
179 |
+<comment>(これをあなたのアドレスに変更してください)</comment> |
180 |
ListenAddress 127.0.0.1 |
181 |
</pre> |
182 |
|
183 |
<p> |
184 |
-また、<c>UsePAM yes</c>が設定ファイルにないことを確認して下さい。なぜなら、 |
185 |
-これにより公開鍵認証メカニズムが上書きされてしまうためです。 |
186 |
+また、<c>UsePAM yes</c>が設定ファイルにないことを確認して下さい。 |
187 |
+なぜなら、これにより公開鍵認証メカニズムが上書きされてしまうためです。 |
188 |
+もしくは、<c>PasswordAuthentication</c>と<c>ChallengeResponseAuthentication</c> |
189 |
+のどちらかを無効にしてしまうこともできます。 |
190 |
+これらのオプションに関するより多くの情報が、<path>sshd_config</path>のマニュアルページにあります。 |
191 |
</p> |
192 |
|
193 |
<p> |