FIXME: 内容がもっと必要。
Debian は Debian マシンをセキュリティ調査用にすることができるセキュリティ
関連の道具もいくつか提供しています。このうちのいくつかは
harden-remoteaudit
パッケージをインストールすると 提供されます。
Debian によって提供される、リモートの脆弱性を評価するための道具は:
断然、最も複雑で最新の道具は nessus
です。これは GUI
として使われるクライアント (nessus
) とプログラムされた
攻撃を行うサーバ (nessusd
) で構成されています。 Nessus
はネットワーク器具、ftp サーバ、www サーバなどの多くのシステムの
脆弱性の調査を含みます。最新のリリースはウェブサイトを解析してどの対話的な
ページが攻撃できるか発見しようすることさえできます。管理サーバに接触するのに
使える Java や Win32 クライアントも (Debian には含まれていませんが)
存在します。
Whisker
は anti-IDS tactics (その多くはもはや anti-IDS
ではありませんが) を含むウェブの脆弱性だけを評価するスキャナ
です。これは利用可能な最高の CGI スキャナのひとつで、WWW サーバを検知して
指定された攻撃だけを行うことができます。スキャンに使われるデータベースは
新しい情報を提供するために容易に変更できます。
Bass
(Bulk Auditing Security Scanner) と Satan
(Security Auditing Tool for Analysing Networks) は
監査を行うのに使う道具というよりむしろ「概念を証明する」プログラムと
考えるべきです。どちらも非常に古くて更新されていません。しかし、SATAN は
簡単な方法 (GUI) で脆弱性の調査を提供したはじめての道具ですし、Bass は
依然として非常に高性能の調査ツールです。
Debian はホストのリモートスキャンに使う (でも脆弱性の調査用ではない) 道具を いくつか提供しています。場合によっては、利用できるリモートサービスを 知るてめにリモートのホストに対して行う最初の「攻撃」としてこれらの道具が 脆弱性を調査するスキャナによって使われます。現在 Debian が提供しているのは:
queso
と xprobe
が (TCP/IP 指紋を 使った)
リモートのオペレーティングシステムの検知だけを提供するのに対して、
nmap
と knocker
はオペレーティング
システムの検知とリモートホストのポートスキャンの両方を行います。一方、
hping2
と icmpush
はリモートの ICMP
攻撃技術に使えます。
Netbios ネットワークのために特に設計された nbtscan
は IP
ネットワークをスキャンして SMB が有効になっているサーバからユーザ名、
ネットワーク名、MAC アドレス等の情報を引きだすことができます。
現在、Debian で使われている tiger
ツールだけが
ファイルシステムが適切に設定されているか、どのプロセスがそのホストで応答して
いるかなどを知るためにホストの内部の (white box とも呼ばれています) 監査を
行うのに利用できます。
C/C++ ソースコードプログラムを監査して潜在的なセキュリティ上の欠陥に つながるかもしれないプログラム上のまちがいを見つけるのに利用できる 2 個のパッケージを Debian は提供しています:
FIXME: 中身が必要
Debian は暗号化されたバーチャルプライベートネットワークを設置するための パッケージを多く提供しています。
vtun
tunnelv
cipe
vpnd
tinc
secvpn
pptp
freeswan
この中では IPsec (すなわち、FreeSWAN) が最もよいでしょう。なぜなら IPsec を 動かしているほとんどすべてのマシンとともに動くことができるからです。しかし 他のパッケージも急いでいるときに安全なトンネルを得るのに役立ちます。PPTP は VPN のための Microsoft プロトコルです。これは Linux でもサポートされて いますが、深刻なセキュリティ問題があることがわかっています。
くわしくは VPN-Masquerade
HOWTO
(IPsec と PPTP を扱っています)、 VPN HOWTO
(SSH
経由の PPP を扱っています) そして Cipe
mini-HOWTO
、 PPP and SSH
mini-HOWTO
をごらんください。
PKI について検討すると広範囲の道具に直面することになります:
これらの道具のいくつかをカバーするために Debian GNU/Linux で利用可能な
ソフトウェアを使うことができます。これには openSSL (証明書生成のために)、
OpenLDAP (証明書を保存するディレクトリとして)、gnupg および freeswan (X.509
とともに) サポートです。しかし、Debian オペレーティングシステムは (woody
リリース、3.0 の時点では) pyCA, OpenCA
または OpenSSL の CA
サンプルのようなフリーに入手できる 証明書機関を提供していません。くわしくは
Open PKI book
を
ごらんください。
Debian には対ウイルスツールはそれほど多くありません。たぶん GNU/Linux が 現在のところあまりウイルスに感染していないからでしょう。しかし、Debian ディストリビューション全体に広まったウイルスが (幸運にもまだ) ないにも かかわらず、GNU/Linux のワームやウイルスは存在しています。いずれにせよ、 管理者は対ウイルスゲートウェイを構築するか、自分自身をウイスルから守ろうと したいでしょう。
Debian は対ウイルス環境を構築するために現在以下のような道具を提供しています。
sanitizer
、
procmail から呼び出して電子メールをフィルタリングし、ウイルスを
除去する道具です。
amavis-postfix
、メールトランスポートエージェントからひとつまたは
複数のウイルススキャナへのインターフェイスを提供するスクリプトです
(このパッケージは postfix 版を提供します)。
ごらんのとおり、Debian は現時点では対ウイルスソフトウェア自体は提供して
いません。しかし、Debian に (将来) 入るかもしれないフリーソフトウェア
対ウイルスプロジェクトが存在します。 openantivirus
および jvirus
(こちらは可能性が低いかもしれません。というのもこれは完全に Java にもとづいて
いるからです) です。また、Debian は以下のような商用対ウイルスソフトウェアを
提供することは決してしないでしょう: Panda
Antivirus
、 NAI
Netshield (uvscan)
、 Sophos
Sweep
、 TrendMicro Interscan
、
RAV
などです。
くわしくは Linux
antivirus software mini-FAQ
をごらんください。
ウイルス検知システムを設定する方法についてくわしくは Dave Jones さんの記事
Building an
E-mail Virus Detection System for Your Network
を ごらんください。
Debian セキュリティマニュアル
v2.4 Tue, 30 Apr 2002 15:41:13 +0200 (翻訳: Thu, 6 Jun 2002)jfs@computer.org
oohara@libra.interq.or.jp