1章 暗号化
X509証明書の拡張フィールド
suobjectIdentifier…サブジェクト鍵識別子
authorityKeyIdentifier…認証局鍵識別子
basicConstraints…基本制約、証明書を作るにはCA.true
KeyUsage…鍵用途
subjectAltName…公開鍵所有者の別名
extKeyUsage…鍵用途の限定
cRLDistributionPoints…CRL配布ポイント
certificatePolicies…証明書の目的、発行の際の規定
authorityInfoAccess…認証局に関する追加情報のアクセス
opensslコマンド…/etc/pki/tls/openssl.cnfに記載
ca…認証局の証明書を管理
ciphers…暗号スイート一覧
crl…CRLを管理
dgst…メッセージダイジェスト出力
genrsa…RSA生成
pkcs12…pkcs#12の作成、管理
req…CSRを管理
rsa…rsaの管理
rsautl…RSAでメッセージを暗号化、復号
x509…x509の管理
s_client…sslをクライアントとして動作
- …SSL,TLSを指定
-Cipher…暗号リスト指定
-connect…ホスト、ポートに接続テスト。IPもOK
-quiet…セッションと証明書情報を非表示
-servername…SNI対応ドメインを指定
-CAfile…ルート証明書指定
-CApath…サーバ証明書格納パス指定
s_server…sslをサーバとして動作
-accept…待受ポート デフォは4433
-cert…サーバ証明書指定
-certform…サーバ証明書形式。PEM(デフォ),DER
-key…秘密鍵指定
-Keyform…秘密鍵形式。PEM(デフォ),DER
-CAfile…中間CA証明書指定
-WWW…単純なwebエミュレート
mod_ssl…/etc/httpd/conf.d/ssl.conf
SSLEngine…SSL有効・無効
SSLProtocol…varsion指定
SSLcertificateFile…サーバ証明書を指定
SSLcertificateKeyFile…サーバ秘密鍵を指定
SSLcertificateChainFile…中間CA証明書を指定
SSLcipersuite…使用可能な暗号スイート指定
SSLCAcertificateFile…クライアント証明書を発行したCAの証明書を指定
SSLCARevocationFile…クライアント証明書のCRLを指定
SSLVerifyDepth…クライアント証明書を確認する深さ
0…自己署名されたクライアント証明書のみ
1…自己署名クライアント証明書もしくは署名されたサーバ証明書
SSLVerifyClient…認証レベルを指定
none…クライアント証明書不要
optional…クライアント証明書提示可能
require…クライアント証明書提示必要
optional_no_ca…提示可能だが必要でない
SNI…名前ベースVirtualHostにアクセスする為に必要
apache 2.2.12以降から対応
OpenSSL 0.9.8以降から対応
SNIをサポートするブラウザが必要
※SSLStrictSNIVHostCheckをONにするとSNIに対応してないブラウザからのアクセスをはじける
OCSP stapling…失効状況を一定期間キャッシュする
SSLUseStapling…on.off指定
SSLStaplingResponderTimeout…応答タイムアウト値
SSLStaplingReturnResponderErros…OCSPエラー応答のon.off
SSLstaplingcache…キャッシュサイズ
cryptsetupコマンド…ディスク暗号化
open…対象を暗号化
--type…plainモードで
close…暗号化マッピング削除
resize…暗号化マッピングリサイズ
status…暗号化マッピング状態表示
LUKS…LUKSモード
luksAddKey…デバイスにパス追加※8つまで
luksDump…暗号化ヘッダー情報出力
luksFormat…デバイスに暗号パーティション作成
luksClose…暗号化を閉じる
close…暗号化を閉じる(CentOS7から)
luksKillSlot…キースロット指定して暗号削除 ※0-7まで
luksDelKey…luksKillSlotと同じ
luksOpen…暗号開く
open --type luks…luksOpenと一緒
暗号化パーティションを自動マウント
1.キーファイル情報追加
dd bs=512 count=4 if=/dev/urandom of=/etc/lukskey
cryptset luksaddKey /etc /etc/lukstestkey
2./etc/crypttabに以下のマウント情報を追加
luks /etc /etc/lukstestkey luks,timeout=180
マウント名、デバイス、キー、timeout等のオプション
3./etc/fstab にマウント情報追加
/dev/mapper/lukstest /mnt/lukstest ext4 defaults 1 3
cryptmountコマンド…暗号化ファイルシステム作成
-g,--generate-key…復号キー作成
-c,--change-password…復号キーパス変更
-l,--list…全ての基本情報
-m,--mount…マウント
-u,--umount…アンマウント
-s,--swapon…スワップ有効化
-x,--swapoff…スワップ無効化
-p,--prepare…/dev/mapperにデバイスマッピング設定
-r,--release…/dev/mapperにデバイスマッピング解除
eCryptfs…階層暗号化ファイルシステム
☆ツール一覧
ecryptfs-migrate-home…ホームDir暗号化
ecryptfs-setup-private…データDir暗号化
ecryptfs-mount-private…暗号化Dirマウント
ecryptfs-umount-private…暗号化Dirアンマウント
ecryptfs-unwrap-passsphrase…パスフレーズ確認
DNSSECで利用されるレコード
DS…KSK公開鍵のハッシュ値を含む情報
DNSKEY…ZSK公開鍵、KSK公開鍵の情報
RRSIG…署名後のレコード情報
NSEC…レコード不在を証明する情報
NSEC3…ハッシュ化したNSEC
NSEC3PARAM…NSEC3に必要な情報
dnssec-keygenコマンド…ZSK,KSK生成
-a…アルゴリズム
-b…鍵サイズ
-f…鍵フラグ(KSKのみ)
-n…鍵のオーナータイプ
-r…乱数生成元
-A…鍵が有効になる日時
-D…署名をゾーンから削除する日時
-I…再署名しない場合の取り消し日時
-K…ZSK,KSK生成場所
-P…鍵の公開日時
-R…取り消し日時(再署名されても)
dnssec-signzoneコマンド…ZSK,KSKを用いて署名
-3…NSEC3生成のためのソルトを指定
-a…署名の整合性確認
-e…署名の有効期限指定
-f…署名済みゾーンファイル名指定
-o…ゾーン名指定
-x…KSKのみで署名
-K…ZSK,KSKの格納場所指定
-S…スマート署名利用
dnssec-dsfromkey…DSレコード
-1…SHA-1を使用
-2…SHA-256を使用
-a…指定したアルゴリズムを使用
dnssec-settimeコマンド…鍵の時刻情報変更
DANE…DNSを利用して認証を行う
TLSAレコード…TLS証明書、種類、ハッシュのアルゴリズム等の認証情報
ポート.プロトコル._ドメイン名
2章 ホストセキュリティ
sysctlコマンド…/proc/sys カーネルパラメータの設定
-a,--all…全設定値表示
-w,--write…値をカーネルに反映
-p,--load…設定反映
--system…設定反映(centos7から)
ulimitコマンド…/etc/security/limits.conf
-a…リソース一覧
-c…coreサイズ指定
-d…データセグメント指定
-f…ファイルサイズ指定
-l…ロック可能なメモリサイズ指定
-n…オープン可能なファイル数指定
-s…スタックサイズ指定
-t…CPU時間指定
-u…プロセス数指定
-v…仮想メモリ空間指定
-H…hardlimit
-S…softlimit
auditctlコマンド…制御ルールの定義
-b…auditバッファ最大指定(デフォは64)
-D…全auditルール削除
-l…auditルール全表示
-r…1秒当たり生成、メッセージ数上限(デフォは0で無制限)
-s…オプション設定値表示
-e…audit監査有効無効
0…無効
1…有効
2…ロック
-f…クリティカル時の動作
0…何もしない
1…printk出力
2…カーネルパニック
auditctlコマンドファイルシステムルール
-w…監査対象指定
-k…識別の為の名称指定
-p…パーミッション
r…読み取り
w…書き込み
x…実行
a…属性変更
auditctlコマンドシステムコールルール
-a…追加アクション,リストをカンマ区切り指定
-d…削除アクション,リスト指定
アクション always…常に監査記録生成
never…監査記録生成しない
リスト exclude…特定のイベントを監査から除外
exit…システムコール終了時
task…子プロセスの生成時(fork),プロセスコピー時(clone)
user…ユーザー空間でのイベントフィルタ
-k…識別の為の名称指定
-F…アーキテクチャ,userID,PID指定(複数だとand条件)
-S…システムコールもしくはall(複数だとor条件)
ausearchコマンド…audit監査ログ検索(デフォで/var/log/audit.logを検索)
-f,--file…指定したファイルを検索
-ga,--gid-all…指定したGIDを検索
-i,--interpret…日時UIDをテキストに変換
-if,--input…指定したログファイルまたはログファイルを含むディレクトリを検索
-k,--key…キー名に一致するイベント検索
-m,--message…メッセージタイプに一致するイベント検索
-sv,--success…yes(成功),no(失敗)に一致するイベント検索
-ts,--start…検索範囲開始日時
-te,--end…検索範囲終了日時
-ua,--uid-all…指定UIDのイベント検索
-x,--executable…実行可能ファイルに対してイベント検索
aureportコマンド…auditレポート生成
chkrootkitスクリプト…rootkitの存在検知
rkhunterスクリプト…rootkitの存在検知、cron出来る
maldetコマンド…マルウェア検知、cron出来る
aideコマンド…/etc/aide.conf AIDSというホスト型IDSの設定
-C,--check…改竄チェック
-D,--config-check…aide.conf 書式チェック
-i,--init…DB初期化
-u,--update…改竄チェックとDB更新
--compare…[database=]と[database_new=]を比較
chageコマンド…既存のユーザーのパスポリシー変更
-d,--lastday…パス最終更新日指定(0で初回ログイン時強制的に変更)
-E,--expiredate…ロックされる日時指定
-I,--inactive…パスワードの有効期限切れからロックされるまでの期間
-M,--maxdays…有効期限(-1で無期限)
-m,--midays…変更可能となる日
-w,warndays…有効期限前に警告する日数
pam_cracklib.so…より複雑なポリシー
dcredit…パスに含める必要がある数字の数
lcredit…パスに含める必要がある小文字の数
ucredit…パスに含める必要がある大文字の数
ocredit…パスに含める必要がある記号の数
difok…変更前のパスと異なっている必要がある文字数
minlen…最低文字数(デフォは9)
retry…エラーとなるまでの試行回数
SSSD…認証情報をキャッシュ
sss_cashe…sssd削除
sss_groupadd…sssdにグループ追加
sss_groupdel…sssdのグループ削除
sss_seed…ユーザー,パスをsssdキャッシュにシードする
sss_useradd…sssdにユーザー追加
sss_userdel…sssdにユーザー削除
Kerberos…/etc/krb5.conf にレルム、KDCサーバ情報を追加し、kinitコマンドで使える
☆/etc/krb5.confの設定
appdefaults…Kerberos V5 アプリで使用される設定
libdefaults…Kerberos V5 ライブラリで使用される設定
capaths…非階層クロスレルム認証の設定
domain_realm…Kerberosレルムとサーバホストの対応付け
plugins…プラグインモジュールの登録を管理
realms…KerberosレルムのKDCを指定
☆Kerberosの関連コマンド
kdestroy…Kerberos認証情報を破棄
klist…キャッシュされたKerberos認証情報を表示
kinit…TGT取得およびキャッシュ
FreeIPA…ユーザー、サーバID、ポリシーを集中管理
ipa-server-installスクリプト…FreeIPAサーバの設定
-a,--admin-password…adminパス設定
-p,--ds-password…Directory Managerのパス設定
-n,--domain…DNSドメイン設定
-r,--realm…レルム名設定
--forwardar…DNSフォワーダ指定
--hostname…FreeIPAサーバのホスト名指定
--ip-address…FreeIPAサーバのIP指定
--mkhomedir…初回ログイン時homeDir作成
--setup-dns…DNS設定
ipa-replica-prepareスクリプト…レプリカサーバ作成前に実行
-p,--password…Directory Managerのパス設定
--ip-address…レプリカサーバのIP指定
ipa-replica-installスクリプト…レプリカサーバ作成、設定
-w,--admin-password…adminパス設定
-p,--password…Directory Managerのパス設定
--forwardar…DNSフォワーダ指定
--ip-address…FreeIPAサーバのIP指定
--mkhomedir…初回ログイン時homeDir作成
--setup-dns…DNS設定
--setup-ca…CA設定
ipa-replica-manageスクリプト…レプリカ合意の管理
connect…レプリカ合意作成
disconnect…レプリカ合意の削除
del…レプリカ合意、トポロジの削除
list…トポロジに関わるサーバ表示
ipa-client-installスクリプト…クライアントの設定
--domain…DNSドメイン名を指定
--hostname…クライアントのホスト名指定
--ip-address…クライアントIP指定
--mkhomedir…初回ログイン時homeDir作成
--realm…レルム名指定
ipaスクリプト…統合スクリプト
user-add…ユーザ追加
user-find…ユーザ検索
user-show…ユーザ情報表示
group-add…グループ追加
group-add-member ※グループ --user ユーザ…グループにユーザー追加
group-show…グループ情報表示
config-mod…設定オプションの変更
dnsrecord-add…DNSレコード追加
trust-add…ドメイン信頼関係追加
3章 アクセス制御
setfaclコマンド…ACLを設定
setfattrコマンド…拡張属性を設定
-n,--name…拡張属性の 名前 指定
-v,--value…拡張属性の 新しい値 指定
-x,--remove…拡張属性の削除
getfattrコマンド…拡張属性を取得
-d,--dump…指定したパスの拡張設定を全表示
-n,--name…指定した拡張属性の値表示
拡張属性のクラス
security…SElinuxなどで使用される
system…カーネルに使用される
trusted…rootユーザなど特定のプロセスから使用される
user…一般ユーザなどの設定で使用される
SElinux…/etc/selinux/config セキュアOS 疑似FSは/selinux
Type Enforce…プロセスがアクセスするリソースを制限
※パーミッションチェックの後にSElinux独自のセキュリティポリシーチェックを行う
ドメイン遷移…子プロセスに最低限の権限を付与
RBAC…ロールをユーザに付与して制御
SElinuxのモード
disabled…無効
enforcing…有効
permissive…アクセス制御は行わず、ポリシーに反したアクションをログ出力
SElinux以外のセキュアOS
AppArmor…SUSE、設定しやすいけどセキュリティ低、アプリ制御中心
SMACK…ラベル付与してラベル組み合わせで制御、シンプル
NFSv4…/etc/exports , デーモン は /usr/sbin/rpc.idmapd , デーモン設定 は /etc/idmpad.conf
新たに Kerberos、LIPKEY、SPKMが使用可能に
複数のFSをまとめて1つにみせる"疑似FS"
nfs4acl…ACL設定
CIFS…Windows系ファイル共有
mount.cifsコマンド
uid=arg…サーバが所有者情報を提供しない時に所有UID設定
gid=arg…サーバが所有者情報を提供しない時に所有GID設定
user=arg…接続ユーザー名
password=arg…CIFSパス
ro…read-only
rw…read-write
sec=mode…mode
setcifsaclコマンド…CIFS の ACL設定変更
-a…アクセス制御エントリを追加
-D…アクセス制御エントリを削除
-M…アクセス制御エントリを修正
-S…セキュリティ記述子のACL設定
getcifsaclコマンド…CIFS の ACL設定表示
-r…セキュリティ記述子を表示
4章 ネットワークセキュリティ
FreeRADIUS…/etc/raddb/radiusd.conf
pidfile…PIDを記録するパス
user…linux上のuserID
group…linux上のgroupID
max_request_time…応答返すまでの最大秒数
cleanup_delay…再処理が実行されるまで前のパケットを保存しておく秒数
max_requests…同時処理できるパケットの最大個数
port…要求を受け付けるUDPポート
RADIUSクライアント…/etc/raddb/client.conf
ipaddr=…クライアントのIP指定
secret=…共有秘密鍵指定
shortname=…IP、ホスト名の代わりのエイリアス
radclientコマンド…パケット送信して応答を確認する
-4…IPv4で送信
-6…IPv6で送信
-t…再送信まで待つ時間
その他のRADIUSコマンド
radtest…パケット送信して応答を確認する
radlast…最近ユーザーを表示できる
radmin…FreeRADIUSの管理ツール
radiusd…デーモン
radwho…ログイン中のユーザー表示
nmapコマンド…ポートスキャン
-A…OSとver検知
-F…高速
-O…OS検出
-p…port指定
-T…スキャン速度
-iL…ファイルから読み込む
-pn…pingしないように
tsharkコマンド…WiresharkのCUI版
-f…キャプチャフィルタ式設定
-i…NWインターフェースまたはパイプ名を指定
-r…指定ファイルからパケット生データを読み込む
-V…詳細
-w…指定ファイルにパケット生データを出力
-z…指定項目の統計情報
tcpdumpコマンド…トラフィックをダンプ
-i…IF指定
-n…アドレスを名前変換しない
-r…パケットをファイルから読み込む
-s…キャプチャするサイズ(0で65535)
-w…キャプチャ内容を出力
-x…パケットを16進数表示
-X…パケットを16進数とASCII表示
NDP…IPv6用、同一リンク上のルータ発見、IFへのアドレス自動設定、アドレス解決、近隣者到達可能性チェック
ntopコマンド…NWトラフィックリアルタイム表示
-A,--set-admin-password…ntop管理者パス
-d,--daemon…ntopデーモン起動
-i,--interface…IF指定
-p,--protocols…TCP/UDP指定
-u,--user…指定userでntop起動
-r,--refresh-time…画面更新間隔(デフォは3秒)
-w,--http-server…HTTPserverのポート指定
-W,--https-server…HTTPSserverのポート指定
snortコマンド…/etc/snort/snort.conf オープンソースIDS(IPSとしても動作)、シグネチャと呼ばれるルールを作る
-b…tcpdumpのフォーマットで保存
-c…設定ファイルを保存
-d…アプリケーション層のデータをダンプ
-D…デーモンモード実行
-g…指定グループで実行
-h…指定NWをhomeに設定
-i…IF名を指定
-l…指定Dirにログ出力
-u…指定userでsnortを実行
-v…コンソールにパケット出力
snortシグネチャ…ルールヘッダ(ルールアクション他)とルールボディを使う
☆ルールアクション
activate…該当パケットがあったら警告し、dynamicに記録
dynamic…activateから呼び出されパケット記録
alert…該当パケットがあったら警告し、記録
log…該当パケットがあったら記録
pass…該当パケットがあったら無視
snort-statコマンド…syslogを読み込み、ポートスキャンの統計情報を生成
cat ファイル | snort-stat
という書式で使われる
OPENVASの関連コマンド…/etc/openvas/openvassd.conf 脆弱性スキャナ
openvas-adduserコマンド…OpenVAS用のuser追加
openvas-rmuserコマンド…OpenVAS用のuser削除
openvas-mkcertコマンド…証明書作成(-q…迅速に質問なしで作成)
openvas-nvt-syncコマンド…openVASのセキュリティチェックを更新
openvassdコマンド…対象マシンをスキャン(-a…指定IPのみ、-c…設定ファイル指定)
iptables関連コマンド
iptables-saveコマンド…iptables設定ファイル保存
iptabless-restoreコマンド…iptables設定ファイルを読み込む
ipsetコマンド…iptables補助ツール
☆オプション
-!,-exist…エラー無視
-n,-name…既存セットの名前だけ一覧表示
-o,-output…listコマンドの出力形式
-q,-quiet…標準出力、エラー出力の抑制
-r,-resolve…セット一覧表示の際に名前解決
-s,-sorted…ソートして出力
-t,-terse…セット名、ヘッダだけ一覧表示
☆サブコマンド
add…エントリ追加
del…エントリ削除
save…指定されたセットを保存
restore…saveコマンドで作成したセット復元
list…ヘッダデータとエントリ表示
test…指定したエントリがエントリかをテスト
n,create…セットとタイプ名作成
x,destroy…セット削除
ebtablesコマンド…L2 Ethernetレベルで検査ルールを設定管理
OpenVPN設定ファイル
☆/etc/openvpn/server.conf
ca…CA証明書ファイル名
cert…サーバ証明書ファイル名
key…秘密鍵ファイル名
keepalive…クライアント・サーバ間が通信可能か監視する間隔
port…OpenVPNサーバのポート番号
proto…プロトコル
push "route ..."…経路情報
push "dhcp-option ..."…名前解決するサーバのアドレス
server…クライアントに割り振るIP範囲
☆/etc/openvpn/client.conf
ca…CA証明書ファイル名
cert…クライアント証明書ファイル名
key…秘密鍵ファイル名
proto…プロトコル
cipher…暗号化方式
nobind…ポート番号をバインドしない場合設定
remote…サーバ、ポート番号設定
openvpnコマンド
--daemon…デーモンとして起動
--genkey…共有秘密鍵として利用するランダムキー生成
--mlock…一時的な鍵をswap領域に書き込まない
--secret…StaticKeyモード有効
--show-ciphers…暗号アルゴリズムを表示
--show-tls…全tls暗号を表示
--tls-timeout…制御パケットを再送信するタイムアウト時間
setkeyコマンド…IPSecツール、SAD(安全な通信経路を確立)、SPD(どのプロトコルでどのSAを使うか)エントリを管理
-a…期限切れ含め表示
-c…標準出力からの操作を受取
-f…指定ファイルに記載された操作を受取
-x…無限ループし、PH_KEYへ送られるメッセージをdump
-D…SADエントリをdump
-F…SADエントリを破棄
-c,-fでの書式
add…SAD追加
delete…SAD削除
get…SAD表示
deleteall…全SAD削除
flush…一致SAD全クリア
spdadd…SPD追加
spddelete…SPD削除