LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを

Size: px
Start display at page:

Download "LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを"

Transcription

1 ~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 LPI-Japan All rights reserved.

2 LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを監督し 問題のトラブルシューティングを支援することができること 上位管理職のコンサルタントとなれること 主題 主題 325: 暗号化 主題 326: ホストセキュリティ 主題 327: アクセス制御 主題 328: ネットワークセキュリティ LPI-Japan All rights reserved. 2

3 LPIC 303 出題範囲の改訂 303 試験が Ver2.0 に改訂 2016 年 3 月 1 日から開始 Ver1.0 は 2016 年 8 月 31 日まで 主な変更点 OpenSSL 証明書およびX.509 証明書の拡張 DNSのセキュリティについて DNSSECとDANEに関する知識 暗号化ファイルシステムeCryptfsの追加 侵入検知および監視にOpenVASを追加 パケットフィルタリングの範囲を拡張 IPV6 etables nftablesおよびnft ホストの構成管理 (Puppet) およびPGPは範囲外に LPI-Japan All rights reserved. 3

4 使用する環境 各主題のポイントとなる部分を紹介 仮想環境を利用し デモで確認を行う Mac( ホスト OS) 仮想環境 VirtualBox CentOS6.8 ssh ( ゲスト OS) ホスト名 :centos.example.net ターミナルから ssh で接続 LPI-Japan All rights reserved. 4

5 主題 325: 暗号化 X.509 証明書と公開鍵の基礎 ( 重要度 : 5) 暗号化 署名および認証のX.509 証明書 ( 重要度 : 4) 暗号化ファイルシステム ( 重要度 : 3) DNS と暗号化 ( 重要度 : 5) LPI-Japan All rights reserved. 5

6 SSL の概要 SSL (Secure Sockets Layer) はセキュリティーを要求される通信を行うためのプロトコル IETF では TLS(Transport Layer Security) でインターネット標準とされている 主な機能 通信相手の認証 通信内容の暗号化 改竄の検出など OpenSSL SSL プロトコル TLS プロトコルの オープンソースで開発 提供されるソフトウェア サポート :SSL TLS DTLS 暗号方式 :DES RC2 RC4 RC5 SEED IDEA AES など ハッシュ関数 :MD5 MD2 SHA-1 SHA-2 MDC-2 公開鍵暗号方式 :RSA 暗号 DSA Diffie-Hellman 鍵共有 LPI-Japan All rights reserved. 6

7 SSL による通信手順 クライアント サーバ 使用するアルゴリズムの合意 サーバ認証のアルゴリズム 鍵交換のアルゴリズムなど サーバの認証 サーバから サーバ証明書を送る クライアントでは サーバの証明書を確認する ハンドシェーク フェーズ データ伝送で使用する鍵の確立鍵生成関数を使用して ランダムな文字列から 暗号鍵とMAC 鍵を生成する ハンドシェイクが正しくおこなわれたことの確認 データ伝送 データ伝送フェーズ LPI-Japan All rights reserved. 7

8 サーバ証明書発行の手順 サーバ 認証局 秘密鍵 認証局の 秘密鍵 公開鍵 秘密鍵のハッシュ 公開鍵 CSR サーバ証明書 署名する LPI-Japan All rights reserved. 8

9 自己署名証明書を作成する 秘密鍵の生成 (RSA 形式 ) # openssl genrsa -des3 -out privkey.key 2048 署名リクエスト CSR(Certificate Signing Request) の作成 #openssl req -new -sha256 -key privkey.key -out server.csr サーバ証明書の作成 #openssl ca -out server.crt -infiles server.csr LPI-Japan All rights reserved. 9

10 Web サーバの設定とテスト Apache にサーバ証明書を組み込む /etc/httpd/conf.d/ssl.conf SSLCertificateFile /etc/httpd/conf.d/server.crt SSLCertificateKeyFile /etc/httpd/conf.d/privkey.key サーバ証明書のパス 秘密鍵のパス SSL のテスト : サーバのポート 443 に接続する # openssl s_client -connect centos.example.net:443 LPI-Japan All rights reserved. 10

11 DNS プロトコルの弱点 DNS 通信は UDP を利用しており 問い合わせ と 応答 の 1 セッションで終了する 識別には 送信元 IP アドレス ポート番号 クエリ名 ID を使用している 送信元 IP アドレスの詐称がしやすく ID さえわかれば偽装した応答パケットをキャッシュサーバに送ることができる 結果として キャッシュポイズニング ( 毒入れ ) の影響を受けやすい 権威サーバ 問い合わせ 正しい応答情報が返ってくる前に 偽の応答情報をキャッシュサーバに送る 正しい応答情報 偽の応答情報 キャッシュ サーバ LPI-Japan All rights reserved. 11

12 DNSSEC DNSSEC(DNS Security Extensions) とは DNS 応答が正しいものかどうか検証することで DNS のセキュリティを向上させる仕組み 出自の認証 DNSの応答が ドメイン名の正当な管理者が作成したものであること 完全性の保証 DNSの応答において DNSレコードの改変や欠落が無いこと 署名済みデータを格納 DNS レコード 署名 DNS レコード 署名 署名を検証 正しい DNS 応答 権威 DNS サーバ キャッシュ DNS サーバ LPI-Japan All rights reserved. 12

13 DNSSEC の仕組み KSK (Key Signing Key) ゾーンに署名するための鍵 ZSK (Zone Signing Key) ゾーンの公開鍵に署名する鍵 DS (Delegation Signer) 上位の権威 DNSサーバに登録する情報 上位の権威 DNS サーバ KSK 公開鍵から作成された DS キャッシュ DNS サーバ 署名 KSK 公開鍵の KSK 公開鍵 登録 ハッシュ値を計算 権威 DNSサーバ KSK 公開鍵署名 KSK 秘密鍵 ZSK 公開鍵 署名 DS と比較する ZSK 公開鍵 署名 検証 ZSK 秘密鍵 署名 A レコード 署名 A レコード 署名 検証 LPI-Japan All rights reserved. 13

14 DNSSEC の鍵作成方法 (ZSK) dnssec-keygen コマンド KSK と ZSK の鍵を作成するコマンド ZSKの鍵を作成する dnssec-keygen -K /var/named/dnsseckeys -a RSASHA256 -b P now -A now -I +1mo -D +2mo example.net 鍵生成アルゴリズムビット長 ZSKは1024 以上ゾーンへの出力時刻署名鍵としての使用開始時刻署名鍵使用終了時刻 (1ヶ月) ゾーンからの削除時刻 (1ヶ月) 鍵生成ディレクトリ ゾーン名 LPI-Japan All rights reserved. 14

15 DNSSEC の鍵作成方法 (KSK) KSK の鍵を作成する dnssec-keygen -K /var/named/dnsseckeys -a RSASHA256 -b f KSK -P now -A now -I +13mo example.net KSK のときは 2048 以上 KSK のときは指定する ZSK KSK の公開鍵と秘密鍵ができるが ファイル名だけだと区別がつかない そのため 鍵のファイル内を確認する :ZSK 257:KSK -P -A は省略可能デフォルトは now 3: プロトコルフィールド 8: アルゴリズム (RSASHA256) LPI-Japan All rights reserved. 15

16 ゾーンへの署名 dnssec-signzone ゾーンに対する署名を行うコマンド dnssec-signzone -S -K /var/named/dnsseckeys -d /var/named/dnsseckeys -H 3-3 'd0ec' -N unixtime -o example.net スマート署名を利用する /var/named/chroot/var/named/example.net.zone 鍵のあるディレクトリを指定する DSレコードファイルの格納場所 ハッシュの繰り返し回数 NSEC3の使用を指定し ソルトを16 進数で指定する SOAのシリアル番号を指定する ゾーン名の指定 ゾーンファイル example.net.zone.signed という署名ファイルが出来上がる DS レコードをもつ dsset-example.net. が出来上がる LPI-Japan All rights reserved. 16

17 DNSSEC のリソースレコード レコード DNSKEY DS RRSIG NSEC NSEC3 NSEC3PARAM KSK と ZSK の公開鍵 説明 子ゾーンの KSK を親ゾーンで承認していることを示す 各 DNS レコードへの署名を示す 存在しないことを示すためのレコード NSEC レコードをたどるとゾーンデータを入手できてしまうので ドメイン名をハッシュ関数でハッシュ化したもの 権威 DNS サーバ側が NSEC3 の生成を行うために必要なレコード DNSSECを使用したゾーンを公開する場合自身のDSレコードを上位の権威 DNSサーバに登録 公開してもらう必要がある (dsset-example.net. を使用する ) LPI-Japan All rights reserved. 17

18 DNSSEC の有効化 ( 権威サーバ ) 権威サーバの設定 named.confの設定 options { dnssec-enable yes; } ゾーンファイルを変更する zone "example.net" { type master; file "example.net.zone.signed"; }; named プロセスに設定を読み込ませる rndc reload LPI-Japan All rights reserved. 18

19 DNSSEC の有効化 ( キャッシュサーバ ) キャッシュサーバの設定 named.confの設定 options { dnssec-enable yes; dnssec-validation yes; } LPI-Japan All rights reserved. 19

20 キャッシュ DNS サーバ信頼の連鎖設定 信頼の連鎖 ( トラストアンカー ) とは 信頼できる人が信頼できる人を紹介すると その人も信頼できる ルートDNSからDSレコードを生成して設定する ルートゾーンの公開鍵を入手 $ dig. DNSKEY grep -w 257 > root-anchors.key 公開鍵から DS レコードを生成する $ dnssec-dsfromkey -a SHA-256 root-anchors.key named.conf に公開鍵を設定する managed-keys { }; "." initial-key "AwEAAa ( 省略 )"; ルートゾーンの公開鍵が正しいものであるかハッシュ値を計算して検証する必要があるが 今回は割愛 LPI-Japan All rights reserved. 20

21 バリデーションの確認 dig コマンドで dnssec の設定を確認する $ centos.example.net +dnssec dig コマンドの flags に ad (Authentic Data) があるか確認する Answer セクションに RRSIG レコードが追加されている dnssec を無効にした問い合わせ $ centos.example.net +nodnssec dig コマンドの flags に ad (Authentic Data) がない Answer セクションに RRSIG レコードがない 通常の DNS と同じ問い合わせ結果が表示されることを確認する LPI-Japan All rights reserved. 21

22 主題 326: ホストセキュリティ ホストの堅牢化 ( 重要度 : 3) ホストの侵入検知 ( 重要度 : 4) ユーザの管理と認証 ( 重要度 : 5) FreeIPA のインストレーションとSambaの統合 ( 重要度 : 4) LPI-Japan All rights reserved. 22

23 主題 327: アクセス制御 任意アクセス制御 ( 重要度 : 3) 強制アクセス制御 ( 重要度 : 4) ネットワークファイルシステム ( 重要度 : 3) LPI-Japan All rights reserved. 23

24 ACL( アクセス制御コントロール ) Linux の基本パーミションは 所有者 所有グループ その他 しかない ある特定のユーザやグループのパーミションを設定することができない ACLを利用すると ある特定のユーザやグループにパーミションを設定することができる 例 : ファイル :testに対して ユーザ:user1への読取り 書き込み権限を設定 Linuxカーネルの2.6から標準採用された機能 拡張属性をサポートしているファイルシステムを利用する ext2 ext3 ext4 XFSなど マウントするときに acl オプションが必要 LPI-Japan All rights reserved. 24

25 ACL を利用するための設定 /etc/fstab に acl オプションを設定する 拡張属性も使用したい場合は user_xattr を使用する /dev/sda5 /mnt/acl ext4 defaults,acl,user_xattr 0 0 マウントする mount /mnt/acl マウント状態を確認 # mount /dev/sda5 on /mnt/acl type ext4 (rw,acl,user_xattr) LPI-Japan All rights reserved. 25

26 setfacl getfacl コマンド ACL の確認 getfacl testfile testfile にユーザ centuser の rw 権限を設定 setfacl -m u:centuser:rw testfile testfile からユーザ centuser の権限を削除する setfacl -x u:centuser testfile testfile からすべての ACL を消去する setfacl -b testfile LPI-Japan All rights reserved. 26

27 ACL の拡張属性 拡張属性 (EA:Extended Attribute) とは ファイルシステムで保存できないような属性を ユーザがファイルに結びつけることができる 例 文書の著者 プレーンテキストの文字コード 誤り検出訂正符号など マウントのオプションに user_xattr をつけると利用できる 名前空間 拡張属性には名前空間がある system: カーネルが主にアクセス制御リストとして利用 security: 例えばSELinuxが利用 trusted: 信頼できるプロセスのみが利用 user: ファイルやディレクトリに割り当てることができる LPI-Japan All rights reserved. 27

28 ACL の拡張属性 拡張属性の設定 setfattr -n user.test -v value testfile -n 拡張属性の名前を指定する -v 拡張属性の値を指定する 拡張属性の確認 getfattr testfile getfattr -d testfile (-d は拡張属性の値をすべて表示 ) LPI-Japan All rights reserved. 28

29 SELinux の概要 1 Linux のカーネルに強制アクセス制御機能を付加する 強制アクセス制御 MAC(Mandatory Access Control) SELinuxを使用しないLinuxのアクセス権は ファイルやディレクトリのパーミッションに基づいて行われる rootはこのパーミッションを無視してアクセスが可能 root 権限が乗っ取られると 致命的な被害を受ける ファイルによるパーミッションの設定は任意アクセス制御と呼ばれる任意アクセス制御 (DAC: Discretionary Access Control) SELinux では以下のようなことが可能 HTTP FTP といったプロセスごとにアクセス制限をかける Type Enforcement (TE) root も含む全てのユーザに関して制限をかけるロールベースアクセス制御 (RBAC) LPI-Japan All rights reserved. 29

30 SELinux の概要 2 TE(Type Enforcement) 全てのプロセスに対して ドメイン と呼ばれるラベルを付加する リソース ( ファイルやディレクトリ ) に対しても同じく タイプ と呼ばれるラベルを付与する 各リソースには アクセス ベクタ が割り当てられる アクセス ベクタとは 読み込み 書き込み といったリソースに対して行える操作の種類 各ドメインとタイプに対して許可されるアクセス ベクタを セキュリティーポリシーとして設定可能 RBAC(Role-based access control) ロール と呼ばれるいくつかのドメインを束ねたものを設定し それをユーザに付与する仕組み ユーザは付与されたロール内のドメインの権限でのみファイルにアクセス可能 この機能により各ユーザ毎に細かく権限を付与 制限することが可能である LPI-Japan All rights reserved. 30

31 コンテキスト (contexts) SELinux を有効にすると リソースやプロセスにコンテキストが付与される コンテキストには 以下の識別子がある ユーザ識別子 ロール識別子 タイプ識別子 MLS(Multi Level Security) リソース ( ファイル ) のコンテキスト -rw-rw-r--. centuser centuser unconfined_u:object_r:user_home_t:s0 testfile ユーザ識別子 MLS ロール識別子 タイプ識別子 LPI-Japan All rights reserved. 31

32 SELinux 動作の仕組み プロセス Linux カーネル アクセス要求 SELinux 拡張コマンド 参照 変更 パーミッションのチェック SELinux モジュール チェック セキュリティ ポリシーファイル アクセス アクセス ネットワーク ファイル LPI-Japan All rights reserved. 33

33 ドメイン遷移 ドメイン遷移とは 通常は子プロセスは親プロセスと同じドメインで動作する 設定により親プロセスとは違うドメインで子プロセスを実行すること httpdプロセスの実行 /etc/init.d/httpd start ドメイン : initrc_t /usr/sbin/httpd タイプ : httpd_exec_t( エントリ ポイント ) httpdプロセス ドメイン : httpd_t ドメイン遷移の役割 プロセスに権限 ( ドメイン ) を割り当てることができる 不要な権限の昇格が避けられる SUIDによる一般ユーザからrootへの昇格など LPI-Japan All rights reserved. 34

34 SELinux を有効にする SELinuxが有効か確認する getenforce ステート Enforcing SELinuxが有効になっている ( 強制モード ) Permissive SELinuxは有効になっている ( 許容モード ) Disabled SELinuxは無効になっている SELinuxを設定する コマンドで設定 setenforce setenforce 0 Permissiveモードで動作する setenforce 1 Enforcingモードで動作する 設定ファイルで設定 /etc/selinux/config SELINUX=enforcing SELINUX=permissive SELINUX=disable LPI-Japan All rights reserved. 35

35 コンテキストの確認 コンテキストを確認する ファイルのコンテキストを確認する $ ls -lz プロセスのコンテキストを確認する $ ps axz ユーザのコンテキストを確認する $ id -Z LPI-Japan All rights reserved. 36

36 ポリシー アクセス制御を行うルールはポリシーによって決められている CentOS のデフォルトポリシーは targeted が設定されている targeted ネットワークやデーモンについて制限している strict すべてにおいて制限している ポリシーは自作することもできるが ルールが非常に複雑である targeted ポリシーをもとに カスタマイズする方法が容易 ポリシーの変更は /etc/selinux/config で行う LPI-Japan All rights reserved. 37

37 semanage semangeは以下のことができる SELinuxの有効 / 無効 リソースに対するセキュリティコンテキストの変更 ユーザに対するセキュリティコンテキストの割当て ネットワークに対するセキュリティコンテキストの割当て booleanの設定 semanage で制御できる項目は man のマニュアルなどで調べてください LPI-Japan All rights reserved. 38

38 Boolean SELinux のポリシーを変更するのは複雑である ポリシーは変更せずに ある特定の機能だけを有効にしたり無効にする機能がある 現在の boolean 値を確認する # semanage boolean -l もしくは # getsebool -a boolean 値を変更する # setsebool -P allow_ftpd_full_access on ( 再起動後も設定値を維持する場合は -P オプションを使用する ) 設定値が変更されたか確認する # getsebool allow_ftpd_full_access LPI-Japan All rights reserved. 39

39 主題 328: ネットワークセキュリティ ネットワークの堅牢化 ( 重要度 : 4) ネットワークの侵入検知 ( 重要度 : 4) パケットフィルタ ( 重要度 : 5) 仮想プライベートネットワーク (VPN) ( 重要度 : 4) LPI-Japan All rights reserved. 40

40 Snort の概要 侵入検知ソフトウェア Snortの特徴 IPネットワーク上でのリアルタイムの解析 GPLライセンス パケットスニファ / パケットロガーとしても使用できる 豊富なプリプロセッサが用意されている - portscan: ポートスキャンの検出を行う - frag2:ipフラグメントの再構築を行う - stream4:tcpストリームの再構築とステートフルな解析を行う - telnet_decode:telnetの制御文字を正規化する さまざまな形式でアラートを出力することができる 公式サイト : LPI-Japan All rights reserved. 41

41 Snort の設定 ソースからインストールを行う ソースからのインストールは複雑なため Linux セキュリティ標準教科書を参照してください ソースを展開したディレクトリから設定ファイルをコピーする # cp snort /rpm/snort.sysconfig /etc/sysconfig/snort /etc/sysconfig/snortを編集する INTERFACE=eth1 USER=snort GROUP=snort LOGDIR=/var/log/snort Listen するネットワークインターフェースを指定する LPI-Japan All rights reserved. 42

42 Snort の設定 起動用スクリプトをコピーする # cp /home/centuser/work/snort /rpm/snortd /etc/init.d/ # chmod 755 /etc/init.d/snortd コミュニティ版ルールの配置 # mkdir -p /etc/snort/rules # chown -R snort.snort /etc/snort # wget # tar -xvfz community.tar.gz -C /etc/snort/rules ライブラリが利用するディレクトリの作成 # mkdir /usr/local/lib/snort_dynamicrules ログ領域の作成 # mkdir /var/log/snort ; chown -R snort.snort /var/log/snort LPI-Japan All rights reserved. 43

43 Snort の基本設定 設定ファイル /etc/snort/snort.conf ネットワークの設定を行う ipvar HOME_NET /24 ipvar EXTERNAL_NET any 以下の変数のパスをカレントディレクトリからのパスとする (../ を./ に変更する ) var RULE_PATH./rules var SO_RULE_PATH./so_rules var PREPROC_RULE_PATH./preproc_rules var WHITE_LIST_PATH./rules var BLACK_LIST_PATH./rules LPI-Japan All rights reserved. 44

44 Snort のルール設定 読み込むルールの設定を記述 include $RULE_PATH/local.rules 追加する include $RULE_PATH/community.rules 追加する # これ以下ルールはすべてコメントにする #include $RULE_PATH/app-detect.rules #include $RULE_PATH/attack-responses.rules 独自ルールを作成する # vi /etc/snort/rules/local.rules alert icmp any any -> any any (msg: "ICMP Packet detected"; sid:999999;) LPI-Japan All rights reserved. 45

45 Snort の実行 プロミスキャスモードの設定 # vi /etc/sysconfig/network-scripts/ifcfg-eth1 PROMISC=yes ファイルの最後に記述する - (VirtulaBox を使用している場合は ネットワークの設定でプロミスキャスモードを許可にする ) Snort を起動する /etc/init.d/snortd start Snort が起動しない場合は /var/log/messages にエラーメッセージが出力されていないか確認 動作テスト 他のホストからpingを実行してみる /var/log/snort/alertにログが出力されていればok LPI-Japan All rights reserved. 46

46 Snort シグネチャ シグネチャのルールは ルールヘッダとルールボディから成る 書式 <ルールアクション> <プロトコル> <IPアドレス> <ポート番号 > < 方向演算子 > <IPアドレス> <ポート番号 > <( オプション )> ルールヘッダルールボディ ルールアクション activate alert dynamic log pass 説明 ルールに該当するパケットが存在する場合 警告を出す (dynamic アクションを呼び出す ) ルールに該当するパケットを記録し 警告を出す activate アクションから呼び出され 該当するパケットを記録する ルールに該当するパケットを記録する ルールに該当するパケットを無視する LPI-Japan All rights reserved. 47

47 シグネチャの例 例 1 alert tcp any any -> any 80 (msg: "http request GET" ; content:"get"; http_method; sid: ) 例 2 alert tcp any any -> any 80 (msg: "http request URI" ; content:"/index.html"; http_uri; sid: ) msg: ログに出力するメッセージ content: パケットのペイロード部にマッチする文字列を指定する httpd_method HTTPリクエストのメソッドでマッチするもの http_uri HTTPリクエストのURIでマッチするもの sid: シグネチャのIDを指定する 独自ルールは1,000,000 以上 LPI-Japan All rights reserved. 48

48 iptables Linuxのパケットフィルタリングはカーネルが備えている機能 カーネル2.4 以降からNetfilterというパケット処理フレームワークを実装 カーネルのモジュールとして実装されている iptablesはnetfilterを操作するためのコマンド フィルタリングする対象を選ぶ テーブル 各テーブルにおいて どのタイミングで処理するかを示す チェイン で構成される NAT 帯域制御 負荷分散 DoS 対策といった機能も利用可能 IPv6 は ip6tables コマンドを使用する (IPv4 版とほぼ同じ ) iptables の実行には root 権限が必要です LPI-Japan All rights reserved. 49

49 LPI-Japan All rights reserved. 50 チェイン適用順序 P R E R O U T I N G I N P U T O U T P U T P O S T R O U T I N G F O R W A R D Routing Process Packet Packet 受信送信

50 チェインとテーブル チェイン INPUT OUTPUT FORWARD PREROUTING POSTROUTING 説明プロセスに渡す前にルールを適用するプロセスで処理をした後ルールを適用するパケット転送するときにルールを適用するルーティングテーブルの適用前にルールを適用するパケットを送信する直前にルールを適用する テーブル名適用チェイン filter パケットフィルタ INPUT/FORWARD/OUTPUT nat NAT 用 PREROUTING/OUTPUT/POSTROUTING mangle Qos/SECMARK などのパケット変換 INPUT/FORWARD/OUTPUT/PREROUTING/ POSTROUTING LPI-Japan All rights reserved. 51

51 iptables のコマンド ルールの表示 (--list) iptables [-t テーブル名 ] -L チェイン [ オプション ] -n ポート番号などを数字で表示 -v 詳細表示 ルールの追加 (--append) iptables [-t テーブル名 ] -A チェインルール [ オプション ] ルールの削除 (--delete) iptables [-t テーブル名 ] -D チェインルール番号 [ オプション ] ポリシー設定 (--policy) iptables [-t テーブル名 ] -P チェインターゲット [ オプション ] LPI-Japan All rights reserved. 52

52 iptables ポリシーの設定 ポリシーの基本方針 ホストに設定する場合は INPUT チェインを利用する 基本のポリシーはパケットを破棄 許可するルールを後から加える ポリシーの設定 INPUTチェインにパケット破棄を設定 iptables -A -P INPUT DROP ターゲットの種類 主なターゲット 説明 ACCEPT DROP REJECT LOG パケットを通す パケットを破棄する パケットを破棄して パケット送信相手に ICMP エラーメッセージを表示 マッチしたパケットをカーネルログに記録する LPI-Japan All rights reserved. 53

53 iptables の設定 1 HTTP(80) と HTTPS(443) を許可する iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT /24 からの ICMP は許可する iptables -A INPUT -p icmp --icmp-type echo-request -s /24 -d j ACCEPT -p (--protocol) チェックされるパケットのプロトコル tcp udp icmp allのいずれか -s(--source) 送信元 IPアドレスを指定 -d(--destination) 送信先 IPアドレスを指定 --dport (--destination-port) 送信先ポート番号の指定 -j (--jump) ターゲットを指定 LPI-Japan All rights reserved. 54

54 iptables の設定例 2 自分自身の通信を許可する iptables -A INPUT -i lo -j ACCEPT データを持たないパケットを破棄 iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP ステルススキャンと思われるパケットを破棄 iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP -i インターフェースを指定 --tcp-flags mask comp TCP フラグが指定されたものと等しい場合にマッチする 第 1 引数は評価対象とするフラグで コンマ区切りのリスト 第 2 引数はこのうち設定されていなければならないフラグ 指定できるもの :SYN ACK FIN RST URG PSH ALL NONE LPI-Japan All rights reserved. 55

55 iptables の設定例 3 確立済みの通信は ポート番号に関係なく許可する iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 新規の接続でSYNフラグ以外を破棄する iptables -A INPUT -p tcp! --syn -m state --state NEW --dport 22 -j DROP --syn SYNビットが設定され ACK と RST ビットがクリアされている! を前におくことによってマッチングの意味を逆にできる -m モジュール名を指定する --state コンマで区切られた接続状態のリスト INVALID: 既知の接続と関係していない ESTABLISHED: 過去双方向にやり取りされた接続のパケット NEW: 接続を開始したか 双方向にやり取りされていない接続のパケット RELATED: 新しい接続を開始しているが FTP データ転送や ICMP エラーのように 既存の接続に関係している LPI-Japan All rights reserved. 56

56 順序の間違い iptables にはルールの順序がある 以下のルールを適用すると iptables -A INPUT -p tcp -j DROP iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT 最初に DROP が適用されるので 2 行目の 80 ポートの ACCEPT は適用されない 正しい順番は次の通り iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT iptables -A INPUT -p tcp -j DROP LPI-Japan All rights reserved. 57

57 ルールの保存と適用 iptables の情報をファイルに保存 iptables-save > /tmp/iptables iptables の情報を復元 iptables-restore < /tmp/iptables serviceコマンドを使用する場合 iptablesの情報をファイルに保存 (/etc/sysconfig/iptables) service iptables save iptablesの情報を復元 service iptables reload iptablesの情報を消去する service iptables stop LPI-Japan All rights reserved. 58

58 参考資料 徹底攻略 LPI 問題集 Level3[303/ 304] 対応 2012/2/23 発行金沢泳義 ( 著 ), 菖蒲淳司 ( 著 ), 森嶋秀樹 ( 監修 ), ソキウス ジャパン ( 編集 ) 出版社 : 翔泳社 272 ページ価格 3,456 円 ISBN-10: ISBN-13: Linux セキュリティ標準教科書 (Ver1.0.0) 詳しくは下記 URL で 発行 : エルピーアイジャパン SELinux 徹底ガイド セキュア OS によるシステム構築と運用基本的な仕組みから高度な運用管理方法までを徹底解説中村雄一 ( 著 ), 水上友宏 ( 著 ), 上野修一 ( 著 ), & 3 その他出版社 : 日経 BP 社 318 ページ価格 4913 円 ISBN-10: ISBN-13: 食べる!SSL! HTTPS 環境構築から始める SSL 入門 [Kindle 版 ] 小島拓也 ( 著 ), 中嶋亜美 ( 著 ), 吉原恵美子 ( 著 ), 中塚淳 ( 著 ) 119 ページ価格 320 円 実践 DNS DNSSEC 時代の DNS の設定と運用民田雅人 ( 著 ), 森下泰宏 ( 著 ), 坂口智哉 ( 著 ), 株式会社日本レジストリサービス (JPRS) ( 監修 ) 出版社 : KADOKAWA / アスキー メディアワークス (2014/2/20) 328 ページ価格 3,024 円 ISBN-10: ISBN-13: LPI-Japan All rights reserved. 59

59 質疑応答についてはお気軽にお声掛けください ご清聴ありがとうございました LPI-Japan All rights reserved. 60

60 スキルブレインは法人向けに各種研修をご提供しています LPI-Japan All rights reserved. 61

61 経験 スキルともに豊富な講師陣が技術や資格取得をサポート 三浦一志サーバ管理者として 8 年以上の実務経験を積み 講師としても 10 年以上のキャリアを持つ 法人向けにLPIC 研修 Linuxサーバ構築 セキュリティ研修やITIL 研修を主として担当 ITIL 認定講師情報セキュリティスペシャリスト 担当講習 Linux/UNUX LPIC 試験対策 セキュリティ Java PHP OSS-DB HTML5 河原木忠司 Linux Windows を使ったインフラ環境の構築 運用 セキュアなインターネットサーバーの構築など 企業 官公庁向けの技術研修を担当 MCT( マイクロソフト認定トレーナー ) VoIP 認定講師 担当講習 Linux Windows VoIP セキュリティ 仮想化 LPIC 試験対策 OSS-DB 大崎茂 OSS 研修専任講師として 大手電機メーカー 通信キャリア 大手プロバイダー等 IT 企業の LPIC 対策研修ならびに OSS を中心とした技術研修などを専門に担当 担当講習 Linux C 言語 PHP Java Ajax LAMP 関連 LPIC 試験対 木村祐 ITILV3 Expert ITILV2 Manager ITILV2 OSA RCV SOA PPO EXIN 認定インストラクター ISO20000 Consultant/Manager 担当講習 ITIL ファウンデーション ITIL エキスパート ITIL プラクティショナー LPI-Japan All rights reserved. 62

LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを

LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを ~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 LPI-Japan 2015. All rights reserved. LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように

More information

~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 SkillBrain CO., LTD. / LPI-Japan All

~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 SkillBrain CO., LTD. / LPI-Japan All ~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 SkillBrain CO., LTD. / LPI-Japan 2017. All rights reserved. LPIC303 試験の概要 主題 主題 325: 暗号化 主題 326:

More information

LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを

LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように 複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができること プロジェクトを開始し 予算を意識して作業することができること アシスタントを ~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 LPI-Japan 2016. All rights reserved. LPIC303 試験の概要 LPIC303 で求められる人材像 マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように

More information

LPIC303 試験の概要 主題 主題 325: 暗号化 主題 326: ホストセキュリティ 主題 327: アクセス制御 主題 328: ネットワークセキュリティ SkillBrain CO., LTD. / LPI-Japan 2017 All rights reserved. 1

LPIC303 試験の概要 主題 主題 325: 暗号化 主題 326: ホストセキュリティ 主題 327: アクセス制御 主題 328: ネットワークセキュリティ SkillBrain CO., LTD. / LPI-Japan 2017 All rights reserved. 1 ~ クラウドサービス時代を支える OSS/Linux 人材育成 ~ スキルブレイン株式会社 LPIC303 技術解説無料セミナー LPI-Japan アカデミック認定校スキルブレイン株式会社インストラクター三浦一志 SkillBrain CO., LTD. / LPI-Japan 2016. All rights reserved. LPIC303 試験の概要 主題 主題 325: 暗号化 主題 326:

More information

スマート署名(Smart signing) BIND 9.7での新機能

スマート署名(Smart signing) BIND 9.7での新機能 BIND 9.7 の新機能を利用した 権威 DNS サーバの運用 スマート署名 全自動ゾーン署名 1 DNSSEC for Humans BIND 9.7 から導入された DNSSEC の設定をより簡単に行う一連の機能 スマート署名 全自動ゾーン署名 RFC 5011 への対応 Dynamic Update 設定の簡素化 DLV の自動設定 2 スマート署名 3 スマート署名の利用例 (example.jp

More information

DNSSECの基礎概要

DNSSECの基礎概要 DNSSEC の基礎概要 2012 年 11 月 21 日 Internet Week 2012 DNSSEC チュートリアル株式会社日本レジストリサービス (JPRS) 舩戸正和 Copyright 2012 株式会社日本レジストリサービス 1 本チュートリアルの内容 DNSSECの導入状況 DNSキャッシュへの毒入れと対策 DNSSECのしくみ 鍵と信頼の連鎖 DNSSECのリソースレコード(RR)

More information

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン アジェンダ 1. DNSとは 2. DNSの動作 3. DNSSECとは 4. DNSSECの動作 5. DNSSECの現状 6. 参考 URL 7. DNSSEC 関連 RFC 2 DNS とは DNS(Domain Name System) とは ホスト ( ドメイン ) 名を IP アドレスに IP アドレスをホスト

More information

Microsoft PowerPoint - private-dnssec

Microsoft PowerPoint - private-dnssec JAPAN REGISTRY SERVICES いますぐ DNSSEC で遊ぶには --- 世の中が対応するまで待ってられない --- JPRS / 株式会社日本レジストリサービス 藤原和典 2009/9/4 dnsops.jp BoF Copyright 2009 株式会社日本レジストリサービス 1 いますぐ DNSSEC で遊びたい 使ってる TLD

More information

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root) 1.2.0.0.1.8.e164.arpa DNSSEC Version 1.0 2006 3 7 JPRS JPRS 1.2.0.0.1.8.e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root) BIND DNS 1. DNSSEC DNSSEC DNS DNS DNS - 1 - DNS DNS

More information

R80.10_FireWall_Config_Guide_Rev1

R80.10_FireWall_Config_Guide_Rev1 R80.10 ファイアウォール設定ガイド 1 はじめに 本ガイドでは基本的な FireWall ポリシーを作成することを目的とします 基本的な Security Management Security Gateway はすでにセットアップ済みであることを想定しています 分散構成セットアップ ガイド スタンドアロン構成セットアップ ガイド等を参照してください [Protected] Distribution

More information

4-5. ファイアウォール (IPv6)

4-5. ファイアウォール (IPv6) 4-5. ファイアウォール (IPv6) 1. 概要 ファイアウォールでは外部からのアクセスや攻撃を防御するためのパケットフィルターの設定 管理をすることができます パケットフィルター系のメニューでの設定内容はパケットフィルターの再起動 または Linux の再起動を行うことで反映されます パケットフィルター パケットフィルターは IP 層でのフィルタリングを行います アプリケーション層でのフィルタリングと違い

More information

4-4. ファイアウォール (IPv4)

4-4. ファイアウォール (IPv4) 4-4. ファイアウォール (IPv4) 1. 概要 ファイアウォールでは外部からのアクセスや攻撃を防御するためのパケットフィルターの設定 管理をすることができます パケットフィルター系のメニューでの設定内容はパケットフィルターの再起動 または Linux の再起動を行うことで反映されます パケットフィルター パケットフィルターは IP 層でのフィルタリングを行います アプリケーション層でのフィルタリングと違い

More information

DNSのセキュリティとDNSに関する技術

DNSのセキュリティとDNSに関する技術 はじめに 説明にあたり 使用 OS は CentOS5.4, 使用 DNS ソフトウェアは BIND9.6 を前提としています 目次 DNS のセキュリティ DNSのセキュリティの基本 1 基本構成その1 2 基本構成その2 3 ヒドゥンプライマリDNS 4 ゾーン転送を制限する 5 問い合わせを許可するユーザを制限する 6 再起問い合わせを禁止する 7 DNS に関するする技術 日本語ドメイン名

More information

rndc BIND

rndc BIND rndc ローカル上 またはリモート上にある BIND9 を制御するツール rndc の仕組仕組み 制御メッセージ rndc コマンド 読み込み /.conf( 相手のホスト名と共有鍵の指定 ) または /.key( 共有鍵の指定 ) rndc の共通鍵と一致していれば rndc からの命令を受け付ける named サービス # vi named.conf 1 共有鍵の設定 keys ステートメントで直接記入または

More information

rndc BIND DNS 設定 仕組み

rndc BIND DNS 設定 仕組み rndc ローカル上 またはリモート上にある BIND9 を制御するツール主に 設定の再読み込み named サービスの停止 ( 起動はできない ) 統計情報の表示 キャッシュのクリアなどのために使用する rndc の仕組仕組み rndc コマンドを実行する端末は 同じ端末 ( サーバ ) 上の named サービス または外部のサーバ上の named サービスの制御をすることができる rndc の設定

More information

Microsoft PowerPoint - DNSSECとは.ppt

Microsoft PowerPoint - DNSSECとは.ppt DNS のセキュリティ向上 DNSSEC 1 本日の内容 DNSSECとは? 導入の背景 DNSSECの仕組み DNSSECへの対応 DNSSECの導入状況 まとめ 2 DNSSEC とは? 3 DNSSEC ~DNS のセキュリティ拡張 ~ Domain Name SystemS Security SEC Extensions 4 example.jp を見たい! DNSSEC で何が変わる!?

More information

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講 6-3- 応 OS セキュリティに関する知識 1 6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講対象者 基礎的なコンピュータ科学 セキュリティ工学基礎

More information

2

2 クラウドサービス設定マニュアル (CentOS6 版 ) 第 1.1 版 2017 年 3 月 13 日 作成日 最終更新日 2016 年 7 月 29 日 2017 年 3 月 13 日 青い森クラウドベース株式会社 1 2 目次 1. はじめに... 5 2. 組織 VDC ネットワークの新規作成... 6 2-1. ネットワークタイプの選択... 7 2-2. ネットワークの構成... 8 2-3.

More information

DNSSEC性能確認手順書v1.2

DNSSEC性能確認手順書v1.2 DNSSEC 性能確認手順書 ver. 1.2 1. 目的 DNSSEC 検証によるフルリゾルバへの負荷 および権威 DNS サーバへのトラフィックの変化を把握する フルリゾルバと権威 DNS サーバ間の通信路にある機器の影響を把握する 現在想定できる一般的な構成のハードウェア上での権威サーバの基本性能を計測する 2. 検証環境 2.1. サーバ構成 Validatorの検証および計測を行うためのネームサーバおよび負荷の構成は次のとおりである

More information

インターネットVPN_IPoE_IPv6_fqdn

インターネットVPN_IPoE_IPv6_fqdn 技術情報 :Si-R/Si-R brin シリーズ設定例 (NTT 東日本 / NTT 西日本フレッツ光ネクスト ) IPv6 IPoE 方式 ( ひかり電話契約なし ) で拠点間を接続する設定例です フレッツ光ネクストのフレッツ v6 オプションを利用して 拠点間を VPN( ) 接続します IPv6 IPoE 方式 ( ひかり電話契約なし ) の場合 /64 のプレフィックスをひとつ配布されますが

More information

Nagios XI - SNMPでのLinux監視

Nagios XI - SNMPでのLinux監視 目的 この資料では SNMP を使用して Nagios XI でリモートの Linux マシンを監視する方法を説明します SNMP を使用すればネットワークデバイスやサーバーを エージェントレス で監視できます 通常は監視対象マシンに専用エージェントをインストールするよりも好まれます 対象読者 この資料は Nagios XI 管理者を対象としています リモート Linux マシンでの SNMP インストール

More information

TFTP serverの実装

TFTP serverの実装 TFTP サーバーの実装 デジタルビジョンソリューション 佐藤史明 1 1 プレゼンのテーマ組み込みソフトのファイル転送を容易に 2 3 4 5 基礎知識 TFTP とは 実践 1 実際に作ってみよう 実践 2 組み込みソフトでの実装案 最後におさらい 2 プレゼンのテーマ 組み込みソフトのファイル転送を容易に テーマ選択の理由 現在従事しているプロジェクトで お客様からファームウェアなどのファイル転送を独自方式からTFTPに変更したいと要望があった

More information

証明書(Certificates)

証明書(Certificates) 証明書 Certificates デジタル証明書は 認証に使用されるデジタル ID を提供します 証明書は SSL セキュア ソケット レイヤ 接続 TLS Transport Layer Security 接続 および DTLS データグラム TLS 接続 HTTPS や LDAPS など に使用されます 次のトピックでは 証明書の作成と管 理の方法について説明します 証明書について 1 ページ

More information

PASSEXAM

PASSEXAM PASSEXAM http://www.passexam.jp Exam : 117-300J Title : LPI Level 3 Exam 300, Senior Level Linux Certification,Mixed Environment Version : DEMO 1 / 5 1. 次のパラメータのどれがマスターサーバーに OpenLDAP のデータベースに変更を加えたいの直接クライアントに

More information

IPsec徹底入門

IPsec徹底入門 本資料について 本資料は下記書籍を基にして作成されたものです 文章の内容の正確さは保障できないため 正確な知識を求める方は原文を参照してください 書籍名 :IPsec 徹底入門著者 : 小早川知明発行日 :2002 年 8 月 6 日発売元 : 翔泳社 1 IPsec 徹底入門 名城大学理工学部渡邊研究室村橋孝謙 2 目次 第 1 章 IPsec アーキテクチャ 第 2 章 IPsec Security

More information

シナリオ:サイトツーサイト VPN の設定

シナリオ:サイトツーサイト  VPN の設定 CHAPTER 4 シナリオ : サイトツーサイト VPN の設定 この章では セキュリティアプライアンスを使用してサイトツーサイト VPN を作成する方法について説明します セキュリティアプライアンスが提供するサイトツーサイト VPN 機能を使用すると ネットワークセキュリティを維持しながら 低コストな公衆インターネット接続で ビジネスネットワークを世界中のビジネスパートナー およびリモートオフィスに拡張できます

More information

TOMOYO Linux

TOMOYO Linux TOMOYO Linux タスク構造体の拡張によるセキュリティ強化 Linux [ 当日説明用資料 ] 平成 16 年 6 月 3 日株式会社 NTT データ技術開発本部オープンシステムアーキテクチャグループ原田季栄 haradats@nttdata.co.jp Linux セキュリティ上の課題 所有者 による 自由裁量 のアクセス制御粗い分類と 制御の粒度システム管理者に対しては効力を持たないシステム管理者権限を奪われると歯止め無し

More information

CSR生成手順-OpenSSL

CSR生成手順-OpenSSL JPRS サーバー証明書発行サービス CSR 生成手順 OpenSSL( 新規 / 更新 ) Version 1.1 株式会社日本レジストリサービス (JPRS) Copyright 2016 Japan Registry Services Co., Ltd. 更新履歴 日付 Version 2016/07/29 1.0 初版リリース 2017/10/18 1.1 2.1.2 サーバー識別名 (DN)

More information

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか あなたの DNS 運用は 来るべき DNSSEC 時代に 耐えられますか 民田雅人 株式会社日本レジストリサービス 2009-07-09 JANOG 24@ 東京 2009-07-09 Copyright 2009 株式会社日本レジストリサービス 1 はじめに 本セッションの構成 DNSSEC 豆知識 DNSSEC 化による DNS データの変化 ディスカッション

More information

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな 操作ガイド Ver.2.3 目次 1. インストール... - 2-2. SAMBA Remote 利用... - 9-2.1. 接続確認... - 9-2.2. 自動接続... - 11-2.3. 編集... - 13-2.4. インポート... - 16-2.5. 削除... - 18-2.6. 参考資料 ( 接続状況が不安定な場合の対処方法について )... - 19-2.6.1. サービスの再起動...

More information

リバースプロキシー (シングル構成) 構築手順

リバースプロキシー (シングル構成) 構築手順 目次 目次 1. はじめに 2. リバースプロキシとは 3. 構成図 4. 導入手順 4-1. ECS 購入 4-2. OS 設定 ( 作業対象 :proxy-01 proxy-02 web-01) 4-3. ミドルウェア設定 ( 作業対象 :proxy-01) 4-4. ミドルウェア設定 ( 作業対象 :proxy-02) 4-5. ミドルウェア設定 ( 作業対象 :web 01) 4-6. 動作確認

More information

DNSSEC運用技術SWG活動報告

DNSSEC運用技術SWG活動報告 DNSSEC 2010 サマーフォーラム DNSSEC 運用技術 SWG 活動報告 -DNSSEC 運用の困りどころ - 2010 年 07 月 21 日 NRI セキュアテクノロジーズ株式会社 MSS 事業本部エンタープライズセキュリティサービス部 中島智広 105-7113 東京都港区東新橋 1-5-2 汐留シティセンター 目次 1. DNSSEC 運用技術 SWG 活動紹介 2. DNSSEC

More information

今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第

今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第 情報セキュリティ 第 10 回 :2007 年 6 月 22 日 ( 金 ) 今後の予定 第 10 回 :6 月 22 日 暗号化ソフトウェア :SSL,SSH 第 11 回 :6 月 29 日 サーバセキュリティ 第 12 回 :7 月 6 日 理論 : 計算論, 暗号プロトコル 第 13 回 :7 月 13 日 企業 組織のセキュリティ :ISMS, 個人情報保護法 第 14 回 :7 月 20

More information

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構 6-2- 応ネットワークセキュリティに関する知識 1 6-2. ネットワークセキュリティに関する知識 OSS 動作環境におけるセキュリティリスク それに対応するセキュリ ティ要件とその機能 構成に関して 実際の開発 運用の際に必要な Ⅰ. 概要 管理知識 手法の種類と特徴 内容を理解する 特に Linux サーバ による実務の手順に即して ネットワークセキュリティを確保するため の手順を学ぶ Ⅱ.

More information

PowerPoint Presentation

PowerPoint Presentation LinuC レベル 1 技術解説セミナー LinuC エバンジェリスト鯨井貴博 2018 年 2 月 24 日 ( 土 ) 15:15 16:00 @OSC2018 Tokyo/Spring Who are you?( あんた 誰よ w) [ 簡単なプロフィール ] 前職 : 建設業 LinuxやNetwork セキュリティ講師 最近は Juniper / Junosもやってます Opensourcetechブログ

More information

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8 OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8 目次 1. はじめに 1 1.1 本文書の目的... 1 1.2 前提条件... 1 1.3 略語...1 2. 事前準備 2 2.1 ホスト名の名前解決... 2 3. Linix 版パッケージ 3 3.1 システム要件... 3 3.1.1

More information

ssh

ssh OpenSSH IBM i での Web 環境でセキュアなリモート接続環境を提供する SSH の構築方法の説明です 関連 URL IBM Portable Utilities for i5/os :http://www-03.ibm.com/servers/enable/site/porting/tools/openssh.html Open SSH 公式サイト 日本語 http://www.openssh.com/ja/index.html

More information

平成22年度「技報」原稿の執筆について

平成22年度「技報」原稿の執筆について CentOS 7 を用いたサーバー管理 野崎公隆 早川正人 千代谷一幸 岡田佳浩雨宮尚範 伊藤康広 福井清悟 工学系技術支援室情報通信技術系 はじめに サーバー用 OS として用いられている CentOS は 2014 年に新しいバージョンがリリースされた バージョンが 6 から 7 へと上がり システム管理ツールが一新された それにともない 従来の init やランレベルといった仕組みの廃止 NIC

More information

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3 別紙 2 DNS における電子鍵の更改について 平成 29 年 7 月 14 日 総務省総合通信基盤局データ通信課 1. 目的 DNS( ドメインネーム システム ) は www.soumu.go.jp などのホスト名 ( 人が理解しやすいようにつけたの名前 ) を インターネット上の住所である に変換するために利用される 検索 の仕組み この検索結果が第三者の成りすましにより改ざんされないよう 電子を付加した

More information

VPN 接続の設定

VPN 接続の設定 VPN 接続の設定 AnyConnect 設定の概要, 1 ページ AnyConnect 接続エントリについて, 2 ページ ハイパーリンクによる接続エントリの追加, 2 ページ 手動での接続エントリの追加, 3 ページ ユーザ証明書について, 4 ページ ハイパーリンクによる証明書のインポート, 5 ページ 手動での証明書のインポート, 5 ページ セキュアゲートウェイから提供される証明書のインポート,

More information

2013年『STSSスキルコミュニティ』 テーマ別Kickoff資料

2013年『STSSスキルコミュニティ』 テーマ別Kickoff資料 STSS スキルコミュニティ 2014 PC で体験する Kimchi による簡単 KVM 操作 日本アイビーエム株式会社 TSS 事業統括 SW サービス事業部 2014.11 はじめに Kimchi は IBM が作成した HTML5 のインターフェースで KVM を管理するソフトウェアで PowerKVM の管理にも使われます Kimchi はオープンソース化され PC 向けのビルドも提供されています

More information

マニュアル訂正連絡票

マニュアル訂正連絡票 < マニュアル訂正連絡票 > ASP PC ファイルサーバ説明書 V28 [J2K0-5740-01C2] 2017 年 12 月 26 日発行 修正箇所 ( 章節項 )5.3.2.3 サーバ環境の設定 作成時のアクセス権 PC ファイルサーバ上に,Windows がファイルまたはディレクトリを作成する際のアクセス権を設定する. 所有者, グループ, その他に対してそれぞれ, 読み込み, 書き込み,

More information

DNSSEC機能確認手順書v1.2

DNSSEC機能確認手順書v1.2 DNSSEC 機能確認手順書 Ver. 1.2 株式会社日本レジストリサービス http:// 日本レジストリサービス.jp/ http://jprs.co.jp/ 2010/01/25 Ver. 1.0( 初版 ) 2010/01/26 Ver. 1.1 2010/07/21 Ver. 1.2 Copyright 2010 Japan Registry Services Co., Ltd. JPRS-S-540-201007-0001

More information

PowerPoint Presentation

PowerPoint Presentation コンピュータ科学 III 担当 : 武田敦志 http://takeda.cs.tohoku-gakuin.ac.jp/ IP ネットワーク (1) コンピュータ間の通信 to : x Data to : x y Data to : y z Data 宛先 B のパケットは z に渡す A 宛先 B のパケットは y に渡す ルーティング情報

More information

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ) CHAPTER 2 アプリケーションインスペクションの特別なアクション ( インスペクションポリシーマップ ) モジュラポリシーフレームワークでは 多くのアプリケーションインスペクションで実行される特別なアクションを設定できます サービスポリシーでインスペクションエンジンをイネーブルにする場合は インスペクションポリシーマップで定義されるアクションを必要に応じてイネーブルにすることもできます インスペクションポリシーマップが

More information

Microsoft Word - SE第15回.doc

Microsoft Word - SE第15回.doc 1. ログ管理 Apache のログを参照し どのようなことが記述されているかを調べ どのコンピュータ からアクセスがあったかレポートにまとめなさい Apache のエラーログファイルである /var/log/httpd/error_log を開くと以下のようなログが表 示される [root@linux06 httpd]# vi /var/log/httpd/error_log [Tue Aug 16

More information

Windows Server 2003 Service Pack 適用手順書

Windows Server 2003 Service Pack 適用手順書 CLUSTERPRO X 1.0 for Windows Windows Server 2003 Service Pack 適用手順書 第 1 版 2007 年 5 月 21 日 本手順書では CLUSTERPRO X 環境における Windows Server 2003 Service Pack 1/2 の適用方法を説明します 以降 特に記述のない場合 Service Pack は Windows

More information

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP 操作ガイド Ver.2.3 目次 1. インストール... - 2-2. SAMBA Remote 利用... - 5-2.1. 接続確認... - 5-2.2. 自動接続... - 10-2.3. 編集... - 12-2.4. インポート... - 15-2.5. 削除... - 17-2.6. 参考資料 ( 接続状況が不安定な場合の対処方法について )... - 18-2.6.1. サービスの再起動...

More information

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

オープンソース・ソリューション・テクノロジ株式会社 会社紹介 Open Source Solution Technology クラウド時代の ID 管理 ~ Unicorn ID Manager 紹介 ~ オープンソース ソリューション テクノロジ株式会社 2009/11/20 技術取締役武田保真 - 1 - 目次 クラウドサービスの ID 管理 Google Apps と既存サービスの ID 管理連携 Unicorn ID Manager の紹介 - 2 -

More information

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2) Oracle Enterprise Manager システム監視プラグイン インストレーション ガイド for Juniper Networks NetScreen Firewall 10g リリース 2(10.2) 部品番号 : B28468-01 原典情報 : B28041-01 Oracle Enterprise Manager System Monitoring Plug-in Installation

More information

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc FortiGate iphone 3G IPSec-VPN 簡易設定手順設定手順書 (v1.0) 説明 この記事の内容は FortiGate と iphone 3G が対応している VPN 機能を利用して 両デバイス間でセキュアな IPSec-VPN 通信を行うための設定手順をまとめたものです この設定例により FortiGate と iphone 3G 間の VPN トンネルが確立されて相互接続ができる事を確認しておりますが

More information

Apache2.2(mod_ssl) は ECDSA 鍵について非対応となっております 1-2. 証明書のインストール Apache(mod_ssl) への証明書のインストール方法について記述します 事前準備 事前準備として サーバ証明書 中間 CA 証明書を取得してください 事前準備

Apache2.2(mod_ssl) は ECDSA 鍵について非対応となっております 1-2. 証明書のインストール Apache(mod_ssl) への証明書のインストール方法について記述します 事前準備 事前準備として サーバ証明書 中間 CA 証明書を取得してください 事前準備 Apache(mod_ssl) 編 改版履歴 版数 日付 内容 担当 V.1.1 2014/12/22 初版 NII V.1.2 2015/5/15 中間 CA 証明書のファイル名を修正 NII V.1.3 2015/12/11 サーバ証明書設定について注釈を追加 NII V.2.0 2018/2/26 SHA1の記載内容の削除 NII V.2.1 2018/3/26 CT 対応版の中間 CA 証明書について説明を追加

More information

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ Symantec pcanywhere のセキュリティ対策 ( ベストプラクティス ) この文書では pcanywhere 12.5 SP4 および pcanywhere Solution 12.6.7 で強化されたセキュリティ機能と これらの主要な強化機能が動作するしくみ およびセキュリティリスクを低減するためのいくつかの手順について説明します SSL ハンドシェイクと TCP/IP の暗号化現在

More information

プライベートCA Gléas ホワイトペーパー

プライベートCA Gléas ホワイトペーパー ~Apache におけるクライアント証明書を 利用したユーザ認証の設定手順 ~ Ver.1.1 2010 年 9 月 Copyright by JCCH Security Solution Systems Co., Ltd., All Rights reserved JCCH セキュリティ ソリューション システムズ JS3 およびそれらを含むロゴは日本および他の国における株式会社 JCCH セキュリティ

More information

目次 1 環境 バージョン インストール環境 インストール手順 前提条件 CentOS SSHD の設定 VSFTPD の設定 コンテンツ管理 CGI のイ

目次 1 環境 バージョン インストール環境 インストール手順 前提条件 CentOS SSHD の設定 VSFTPD の設定 コンテンツ管理 CGI のイ 私立大学情報教育協会 教育コンテンツ相互利用システム コンテンツ管理 CGI インストールマニュアル 目次 1 環境... 3 1.1 バージョン... 3 1.2 インストール環境... 3 2 インストール手順... 4 2.1 前提条件... 4 2.1.1 CentOS... 4 2.2 SSHD の設定... 7 2.3 VSFTPD の設定... 8 2.4 コンテンツ管理 CGI のインストール...

More information

クラスタ構築手順書

クラスタ構築手順書 InterSecVM/LBc V1.0 Windows Azure 向け 二重化構成構築手順書 2013 年 5 月第 1 版 商標について CLUSTERPRO X は日本電気株式会社の登録商標です Microsoft Windows Windows Server Windows Azure は 米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です

More information

障害およびログの表示

障害およびログの表示 この章の内容は 次のとおりです 障害サマリー, 1 ページ 障害履歴, 4 ページ Cisco IMC ログ, 7 ページ システム イベント ログ, 9 ページ ロギング制御, 12 ページ 障害サマリー 障害サマリーの表示 手順 ステップ 1 [ナビゲーション Navigation ] ペインの [シャーシ Chassis ] メニューをクリックします ステップ 2 [シャーシ Chassis

More information

Mobile Access簡易設定ガイド

Mobile Access簡易設定ガイド Mobile Access Software Blade 設定ガイド チェック ポイント ソフトウェア テクノロジーズ ( 株 ) アジェンダ 1 SSL VPN ポータルの設定 2 3 4 Web アプリケーションの追加 Check Point Mobile for iphone/android の設定 Check Point Mobile for iphone/android の利用 2 変更履歴

More information

スライド 1

スライド 1 ed25519 のすすめ Kazunori Fujiwara, JPRS fujiwara@jprs.co.jp 2018/6/27 まとめと URL など ED25519 は 3072 ビット RSA と同程度の暗号強度であるにもかかわらず 公開鍵 署名サイズが非常に小さいため DNSSEC のパケットサイズ問題を改善できる ( フラグメントなし運用しやすい ) ED25519 の実装が進んできているので

More information

R76/Gaia ブリッジ構成設定ガイド

R76/Gaia ブリッジ構成設定ガイド R76/GAiA ブリッジ構成設定ガイド ( スタンドアロン構成 ) Last updated Aug 16, 2013 Ver 1.0 はじめに 本章の手順は 以下の項目が満たされている事を前提条件としています 事前に GAiA R76 のインストールが完了していること 管理コンソールに SmartConsole がインストールされていること 対象となるアプライアンス機器は Model 2200

More information

_mokuji_2nd.indd

_mokuji_2nd.indd 前書き 3 目次 5 第 1 章 UTM/ 次世代ファイアウォールを導入しよう 13 1-1 UTM が求められる背景 14 1-2 FortiGate の特徴 15 1-3 FortiGate が備えるセキュリティ機能 16 1-4 製品の種類と性能 18 [ コラム ]FortiGate の歴史 21 1-5 ハードウェア仕様 22 第 2 章 FortiGate の基本設定 25 2-1 FortiGate

More information

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版 UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 2017 年 11 月 4 版 目次 1. はじめに... 1 2. 事前準備... 2 2.1 バックアップデータの移行に必要なもの... 2 2.2 事前準備... 3 3. 移行手順... 5 3.1 初期設定の実行... 5 3.2 バックアップデータのリストア... 5 4. 注意制限事項...

More information

Symantec AntiVirus の設定

Symantec AntiVirus の設定 CHAPTER 29 Symantec AntiVirus エージェントを MARS でレポートデバイスとしてイネーブルにするためには Symantec System Center コンソールをレポートデバイスとして指定する必要があります Symantec System Center コンソールはモニタ対象の AV エージェントからアラートを受信し このアラートを SNMP 通知として MARS に転送します

More information

別紙 : 検証環境の構築手順 ( 章 ) 1. サーバ設定 1.1 IP アドレス設定 サーバは以下の 6 台を用いる pgpool-ii サーバ 2 台 DB サーバ 3 台 上位サーバ 1 台 OS は全サーバで CentOS 6.4 x86_64 とする pgpool-ii のサー

別紙 : 検証環境の構築手順 ( 章 ) 1. サーバ設定 1.1 IP アドレス設定 サーバは以下の 6 台を用いる pgpool-ii サーバ 2 台 DB サーバ 3 台 上位サーバ 1 台 OS は全サーバで CentOS 6.4 x86_64 とする pgpool-ii のサー 別紙 : 検証環境の構築手順 (13.1.1 章 ) 1. サーバ設定 1.1 IP アドレス設定 サーバは以下の 6 台を用いる pgpool-ii サーバ 2 台 DB サーバ 3 台 上位サーバ 1 台 OS は全サーバで CentOS 6.4 x86_64 とする pgpool-ii のサーバは NIC を 3 つ持っているとする (eth0, eth1, eth2) このうち eth0 をサービス提供と

More information

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード] JAIPA セキュリティ部会 DNSSEC 勉強会 DNSSEC 技術と運用 株式会社ブロードバンドタワー事業開発グループ大本貴 DNSSEC その前に 2 DNS(Domain Name System) について簡潔な用語定義 Zone ゾーン 名前解決を行うデータの集まり RR リソースレコード ゾーンファイルに登録されたデータ資源 Query クエリ owner( ホスト名やIP address)

More information

センサーデバイスへの仮想IP割り当て実験

センサーデバイスへの仮想IP割り当て実験 応募区分 : 研究型論文 センサーデバイスへの仮想 IP 割り当て実験 富田章義 ( とみたあきよし ) 株式会社ネットワールド SI 技術本部インフラソリューション技術部ネットワークソリューション課 1 要約 IoT で 物とインターネットがつながるが 物に IP アドレスを割り当てるためには IP ヘッダの処理が可能な CPU を持つ必要がある 現在の小型のセンサーなどに搭載しているデバイスの

More information

<4D F736F F F696E74202D DB A B C C815B E >

<4D F736F F F696E74202D DB A B C C815B E > ネットワーク工学 第 13 課アプリケーションと トランスポート 学習内容アプリケーションプロトコル TCP 制御とポート番号 13.1.1 アプリケーションプロトコルの概要 ネットワークを利用するアプリケーション特有の通信処理を行う OSI モデルの第 5 6 7 層のすべての機能をもつ通信コネクションの管理 ( セッション ) データフォーマットの変換 ( プレゼンテーション ) 相手ホストとのやり取り

More information

Troubleshooting SSH connections with Reflection X

Troubleshooting SSH connections with Reflection X Reflection X の SSH 接続のトラブルシューティング 最終改訂日 : 2011 年 3 月 31 日注意 : 最新の情報は まず 英語版の技術ノート 1814 ( 英語 ) で公開されます 英語版の最終改訂日がこの版の最終改訂日よりも後である場合は 英語版に新しい情報が含まれている可能性があります 適用対象 Reflection X 2011 Reflection Suite for

More information

スライド 1

スライド 1 1 Monthly Research 2017.02 Android Things Developer Preview 2 のセキュリティ調査 E-Mail: research-feedback[at]ffri.jp Twitter: @FFRI_Research FFRI, Inc. http://www.ffri.jp 目次 背景と概要 Android Things のユースケースと Weave

More information

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います   xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー 操作ガイド Ver.2.3 目次 1. インストール... - 2-2. SAMBA Stunnel 利用... - 5-2.1. 接続確認... - 5-2.2. 編集... - 9-2.3. インポート... - 12-2.4. 削除... - 14-3. 動作環境... - 15-4. 参考資料 ( 接続状況が不安定な場合の対処方法について )... - 16-4.1. サービスの再起動...

More information

防災マップ作成システムの開発業務基本設計書

防災マップ作成システムの開発業務基本設計書 センサー情報相互運用配信システム インストールマニュアル Ver. 1.0.0 2015/10/1 国立研究開発法人防災科学技術研究所 変更履歴 Version 変更日付変更内容 1.0 2015/06/19 初版作成 1 目次 1 インストールの前に... 1 1.1 サーバー環境... 1 1.2 ネットワーク設定... 2 2 動作環境のインストール手順... 3 2.1 パッケージファイルの内容...

More information

リバースプロキシー(冗長構成)構築手順

リバースプロキシー(冗長構成)構築手順 目次 目次 1. はじめに 2. リバースプロキシとは 3.SLB( サーバーロードバランサー ) とは 4. イメージ図 5. 導入手順 5-1. ECS 購入 5-2. OS 設定 ( 作業対象 :proxy-01 proxy-02 proxy-03 proxy-04 web-01) 5-2. ミドルウェア設定 ( 作業対象 :proxy-01 proxy-02) 5-3. ミドルウェア設定 (

More information

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/ トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/0 172.22.34.65 255.255.255.224 N/A G0/1 172.22.34.97 255.255.255.240 N/A G0/2 172.22.34.1 255.255.255.192 N/A Server NIC 172.22.34.62 255.255.255.192

More information

HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして

HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして 主に流通業 製造業で大きなシェアを誇るパッケージソフトウェアです SSH Tectia ソリューションを

More information

情報処理概論(第二日目)

情報処理概論(第二日目) 実習資料 Linux 入門講習会 九州大学情報基盤研究開発センター 注意 : この内容は wisdom.cc.kyushu-u.ac.jp の任意の ID で利用できますが, ファイルの削除等を含んでいるので各コマンドの意味を理解するまでは講習会用 ID で利用することをお勧めします. 1 実習 1 ログイン ファイル操作 ディレクトリの作成 ファイルの移動, コピー, 削除 ログアウト 2 ログイン

More information

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室 学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室 DNS Domain Name System インターネット上の名前解決を実現 正引き www.ee.t.u-tokyo.ac.jp 157.82.13.244 逆引き 名前空間 インターネットで唯一ドメイン = 名前空間内の範囲 www.ee.t.u-tokyo.ac.jp の場合. (root) com jp ac keio

More information

Linux システムの導入と管理 コード L- 0:00~7:00 ( 休憩 含む ) 定員 0 名受講料 ( テキスト代含 ),00 前提条件 UNIX または Linux の基本的操作経験 ( コマンドによるファイル操作 ファイル編集 ) があること 最低開講人数 0 名 Linux システムの

Linux システムの導入と管理 コード L- 0:00~7:00 ( 休憩 含む ) 定員 0 名受講料 ( テキスト代含 ),00 前提条件 UNIX または Linux の基本的操作経験 ( コマンドによるファイル操作 ファイル編集 ) があること 最低開講人数 0 名 Linux システムの UNIX/Linux 入門 コード L- 0:00~7:00 ( 休憩 含む ) 定員 0 名受講料 ( テキスト代含 ),00 前提条件特に必要ありません 最低開講人数 0 名 UNIX/Linux 入門 初日 0 年 7 月 3 日 最終日 0 年 7 月 5 日 3 8 0 分 換算. コマンドによる操作体系を理解し 基本的なコマンドを使用できる.vi を使用し テキストファイルの作成 編集ができる

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Microsoft IIS 10.0 証明書インストール手順書 ( サーバー移行用 ) サイバートラスト株式会社 2017 年 03 月 13 日 2017 Cybertrust Japan Co.,Ltd. SureServer EV はじめに! 本手順書をご利用の前に必ずお読みください 1. 本ドキュメントは Microsoft 社の Internet Information Services

More information

<48554C46545F F A5490E08E9197BF2E786C73>

<48554C46545F F A5490E08E9197BF2E786C73> 1 HULFT7 利用概説書 Windows 編 (HULFT7 Windows 教育資料より抜粋 ) INDEX ページ 1. 転送処理フロー フロー 2 1.1. HULFTの動作中 - 待機状態 2 1.2. 配信処理概要 2 1.3. 集信処理概要 3 2. 設定情報一覧 設定情報一覧 4 2.1. 主な設定情報 4 2.2. 通信相手と調整することが必要な情報 4 2.3. 配信管理情報の関係図

More information

学生実験

学生実験 1 学生実験 5 日目 DNS IP ネットワークアーキテクチャ 江崎研究室 DNS Domain Name System 2 インターネット上の名前解決を実現 正引き www.ee.t.u-tokyo.ac.jp 157.82.13.244 逆引き 3 名前空間 インターネットで唯一ドメイン = 名前空間内の範囲 www.ee.t.u-tokyo.ac.jp の場合. (root) com jp

More information

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン サイバー攻撃 ( 標的型攻撃 ) 対策防御モデルの解説 付録 2 システムログ一覧 () 付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース

More information

サーバー証明書 インストール手順-Apache

サーバー証明書 インストール手順-Apache JPRS サーバー証明書発行サービス サーバー証明書インストール手順 (Apache[mod_ssl_2.0.45 以降 ] 新規 / 更新 ) Version 1.0 株式会社日本レジストリサービス (JPRS) Copyright 2016 Japan Registry Services Co., Ltd. 更新履歴 日付 Version 2016/07/29 1.0 初版リリース Copyright

More information

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います   xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ 操作ガイド Ver.2.3 目次 1. インストール... - 2-2. SAMBA Stunnel 利用... - 8-2.1. 接続確認... - 8-2.2. 編集... - 11-2.3. インポート... - 14-2.4. 削除... - 15-2.5 フォルダショートカットの作成... - 16-3. 動作環境... - 18-4. 参考資料 ( 接続状況が不安定な場合の対処方法について

More information

Microsoft Word - ID32.doc

Microsoft Word - ID32.doc ネットワークセキュリティ対策によるセキュアなサーバ管理 原祐一 名古屋大学全学技術センター工学系技術支援室情報通信技術系技術課 1 はじめに IT はさまざまな業務において なくてはならない技術へと進歩し IT 技術の進歩と同時に個人情報の保護をはじめとする情報セキュリティ対策も情報系の技術者として無視することができない業務となった このような社会的流れの中でサーバのセキュリティ対策は必須である しかし

More information

momentum Probe Type-R/C version 4.21 build-a04a Release Notes Release Version: momentum Probe Type-R/C version 4.21 build-a04a Release Date: 2018/06/2

momentum Probe Type-R/C version 4.21 build-a04a Release Notes Release Version: momentum Probe Type-R/C version 4.21 build-a04a Release Date: 2018/06/2 Release Version: momentum Probe Type-R/C version 4.21 build-a04a Release Date: 1 追加された機能 Feature #120122577: 新ライセンスモジュールの組み込み 概要 ライセンスに関連する機構を刷新 Feature #120122587: mm-rsync(mm-rsync-c mm-rsync-s) 概要 製品間でのデータ転送機構を実装

More information

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成 KDDI ホスティングサービス (G120, G200) ブック ASP.NET 利用ガイド ( ご参考資料 ) rev.1.0 KDDI 株式会社 1 ( 目次 ) 1. はじめに... 3 2. 開発環境の準備... 3 2.1 仮想ディレクトリーの作成... 3 2.2 ASP.NET のWeb アプリケーション開発環境準備... 7 3. データベースの作成...10 3.1 データベースの追加...10

More information

スライド 1

スライド 1 i-path ルータのフロー情報を用いた DoS 攻撃検知法 情報理工学専攻後藤研究室 5108B096-1 野上晋平 1 研究背景 従来のインターネット エンドノードからネットワーク内部の情報が得られない (ICMP を用いて間接的に得る ) ネットワークの多様化情報開示を求める声の高まり 2 研究概要 本研究ではこれまで注目されてないルータが持つ情報を活用する ルータを通過するフロー情報を用いて

More information

改版履歴 本書の改版履歴は以下のとおりです 日付 改版理由 変更箇所 版数 2014/09/04 初版発行 版 2015/03/30 第 1.1 版に改訂 対象 OS 追加 1.1 版 2015/07/10 第 1.2 版に改訂 対象 OS 追加 1.2 版 2015/09/04 第 1

改版履歴 本書の改版履歴は以下のとおりです 日付 改版理由 変更箇所 版数 2014/09/04 初版発行 版 2015/03/30 第 1.1 版に改訂 対象 OS 追加 1.1 版 2015/07/10 第 1.2 版に改訂 対象 OS 追加 1.2 版 2015/09/04 第 1 ニフクラ有人監視 監視エージェント設定手順 Linux 第 1.5 版 富士通クラウドテクノロジーズ株式会社 改版履歴 本書の改版履歴は以下のとおりです 日付 改版理由 変更箇所 版数 2014/09/04 初版発行 - 1.0 版 2015/03/30 第 1.1 版に改訂 対象 OS 追加 1.1 版 2015/07/10 第 1.2 版に改訂 対象 OS 追加 1.2 版 2015/09/04

More information

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法 ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイル作成ツール mknetdevconf-tool-0300-1 本ファイルでは ServerView Resource Orchestrator V3.0 で使用する ネットワーク構成情報ファイル作成ツール の動作条件 使用方法 およびその他の重要な情報について説明しています 本ツールを使用する前に必ず最後まで目を通すようお願いします

More information

2-3- 基 Linux のシステム管理に関する知識 1 独立行政法人情報処理推進機構

2-3- 基 Linux のシステム管理に関する知識 1 独立行政法人情報処理推進機構 2-3- 基 Linux のシステム管理に関する知識 1 2-3- 基.Linux のシステム管理に関する知識 オープンソースオペレーティングシステムとしてもっとも利用が期待される Linux のシステム管理に関して 実際の開発 運用の際に必要 Ⅰ. 概要な管理知識 手法の種類と特徴 内容を理解し Linux をサーバとして運用するために必要なノウハウを実務レベルとして学ぶ 基本編ではサーバ単体の管理を中心に学ぶ

More information

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編) BIND 9.9から9.11へ移行のポイント ( 権威 DNSサーバー編 ) 2018 年 6 月 27 日 DNS Summer Day 2018 ( 株 ) 日本レジストリサービス 本資料の内容 BIND 9.9.x をお使いの方に向けた 変更点の紹介 権威 DNSサーバー機能関連 ログ関連 その他 DNS Cookie (RFC 7873) の概要と運用へのインパクト Copyright 2018

More information

PowerPoint Presentation

PowerPoint Presentation IDENTITY AWARENESS 設定ガイド (AD クエリ編 ) 1 はじめに 本ガイドは AD サーバと連携してユーザ ( グループ ) ベースでアクセス制御を実現する手順を解説します (AD クエリ ) 本ガイドでは基本的な設定 ポリシーはすでにセットアップ済みであることを想定しています 構成については 分散構成セットアップ ガイド スタンドアロン構成セットアップ ガイド等を参照してください

More information

情報通信の基礎

情報通信の基礎 情報通信の基礎 2016 年 5 月 19 日 ( 木 ) 第 4 回授業 1 本日の予定 グローバルIPアドレスとプライベートIPアドレス DHCPサーバ (IPアドレスの自動割り当て等) DNSサーバ ( 名前解決 ) MACアドレス ARP( アドレス解決プロトコル ) ネットワークの階層モデル アプリケーションを識別するポート番号 2 TCP/IP (Transmission Control

More information

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1 WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1 注意事項 EC-CUBE は株式会社ロックオンの提供するソフトウェアです ここでは株式会社ロックオンから提供されている EC-CUBE バージョン 2.13 のパッケージをご利用される前提で 基本的な設置手順を掲載しております

More information

正誤表(FPT0417)

正誤表(FPT0417) 正誤表 よくわかるマスター CompTIA Security+ 問題集試験番号 :SY0-101 対応 FPT0417 改版時期 奥付日付 2004 年 11 月 23 日 2007 年 09 月 03 日 2008 年 08 月 11 日 版数第 1 版 修正箇所 P 30 問題 89 c. 信頼性 c. 冗長性 P 64 問題 89 c 5 行目 ユーザの信頼性を確保することができます そのため

More information

Oracle SALTを使用してTuxedoサービスをSOAP Webサービスとして公開する方法

Oracle SALTを使用してTuxedoサービスをSOAP Webサービスとして公開する方法 Oracle SALT を使用して Tuxedo サービスを SOAP Web サービスとして公開する方法 概要 このドキュメントは Oracle Service Architecture Leveraging Tuxedo(Oracle SALT) のユースケースをほんの数分で実装できるように作成されています Oracle SALT を使用すると プロジェクトをゼロからブートストラップし 既存のプロジェクトに

More information

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい VPN ユーザを管理し RV016 RV042 RV042G および RV082 VPN ルータの速い VPN を設定して下さい 目標 バーチャルプライベートネットワーク (VPN) はインターネットのようなパブリックネットワークに異なるネットワークのエンドポイントを 接続する方法です VPN の有用なアプリケーションはそれらにインターネットにアクセスできる限り VPN クライアントソフトウェアのリモートユーザがプライベートネットワークのアクセス情報安全にできることことです

More information

スライド 1

スライド 1 サーバ / アプリケーション / ネットワーク監視ソフトウェア SIGNAlert は マルチプラットフォーム対応のサーバ / アプリケーション / ネットワーク監視ソフトウェアです TCP/IP で接続された LAN において 複数の監視対象マシンをリアルタイムに監視します SIGNAlert 製品紹介 セゾン情報システムズ HULFT 事業部 2 SIGNAlert とは OS ハードウェア監視

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 1 SSLWatcher: SSL/TLS 通信を監視し警告するハイパバイザ 平井成海 電気通信大学 目次 1 研究背景 目的と方針 2 SSL/TLSの概要 3 システムの設計 4 システムの実装 5 デモと実験 6 関連研究 7 まとめと今後の課題 2 目次 1 研究背景 目的と方針 2 SSL/TLSの概要 3 システムの設計 4 システムの実装 5 デモと実験 6 関連研究 7 まとめと今後の課題

More information

情報処理概論(第二日目)

情報処理概論(第二日目) 実習資料 Linux 入門講習会 九州大学情報基盤研究開発センター 注意 : この内容は najima.cc.kyushu-u.ac.jp の任意の ID で利用できますが, ファイルの削除等を含んでいるので各コマンドの意味を理解するまでは講習会用 ID で利用することをお勧めします. 1 実習 1 ログイン ファイル操作 ディレクトリの作成 ファイルの移動, コピー, 削除 ログアウト 2 ログイン

More information