#contents

*NISTによるセキュリティロードマップ [#j173b973]
&ref("NIST-SecuritySchedule.gif");

*セキュリティ技術の基礎 [#af29acc1]
-[[Verisignによるオンライン技術説明会:https://www.verisign.co.jp/ssl/online_seminar/2010i/index.html]]

*SELinux [#bb85403f]

フォルダやファイルのアクセス状態を確認する。
 # ls -Z
シェアの状態を変更するには、下記のコマンドを実行する。
 # chron -t <プログラムタイプ> <フォルダ及びファイル> -R
下記のフォルダの設定も変更する場合には-Rを利用する。

典型的な変更サンプル
 # chcon -c -v -R -u system_u -r object_r -t textrel_shlib_t <soファイル>
※textrel_shlib_t のタイプは、shlib_t などほかにタイプの場合もあるので、いろいろやってみてもよい。

*SELinuxの設定 [#u4eb1cd6]
最初に現在、SELinuxが設定されているか確認を行う。
 # getenforce
「Enforcing」と表示されたら、SELinuxが有効になっている。~
また設定の方法は以下のとおり
 # setenforce enforcing        <- SELinuxを有効にする。
 # setenforce permissive       <- SELinuxを無効にする。
起動時に自動設定するには、以下のとおり。
 #emacs /etc/sysconfig/selinux
  SELINUX=enforcing            <- これは有効時、無効時はdisabledを指定
※参考リンク
-[[SELinux Wikipedia:http://ja.wikipedia.org/wiki/SELinux]]



*SELinuxのインストール [#gb5ad2dc]
ほとんどのディストリビューションでは、SELinuxのパッケージは入っているはずですが、何らかの理由によりインストールをしたい場合は以下を参考にしてください。~
[[NSA の公式ページ:http://www.nsa.gov/selinux/]]~
 # wget http://www.nsa.gov/selinux/archives/libselinux-1.34.15.tgz
 # tar zxvf libselinux-1.34.15.tgz
 # wget http://www.nsa.gov/selinux/archives/libsepol-1.16.14.tgz
 # tar zxvf libsepol-1.16.14.tgz
 # 

 # cd libselinux-1.34.15


*セキュリティの為の各種ツール [#i3a56579]
-[[WireSharkネットワークパケットの監視:http://www.wireshark.org/download.html]]

*セキュリティ情報 [#p89a9c21]
***NSEC3 [#z5a8b081]
-NSECの大きな問題
--リスト構造をたどればドメインを芋づる式にたどることができる。一見すると公の情報なので問題ないように感じるのだが、いくつかのccTLDはプライバシ保護ポリシー対象であったり、無駄なトラフィックを生む(一種のDoS)
--上記理由からそのドメインの構造がわかってしまい、ハッキングの補助になってしまう。
-NSEC3での対策
--FQDNを一方向性ハッシュ関数でハッシュ化し、それをBase32でエンコードしたデータを所有者名とし、そのドメイン名に基づき正規順序化(RFC 4034 6.1)し、NSECの時と同じように非存在性を示すための連鎖を作る。非存在の証明にはハッシュ値が使われるため、その値から元のドメイン名を知ることはできない。従って、DNS Walkingを事実上無効化できるということになる。

***ebtables [#ebed1174]
Ethernet Brigde Tableの略。Linuxを利用したブリッジルータを構築する際に利用されている。Centos 5.6 からパッケージに入るようになった。~
-[[公式ページ:http://ebtables.sourceforge.net/]]

***System Security Services Daemon [#qd9f1aac]
System Security Services Daemon (SSSD) は、Red Hat Enterprise Linux 6 から搭載された識別と認証の中央管理の為のサービス セットであり、中央化した識別と認証サービスは識別のローカルキャッシングを有効にして、サーバーへの接続が切断されたようなケースでも ユーザーが識別できるようになる。SSSD は、Red Hat Directory Server、Active Directory、OpenLDAP、389、Kerberos、及び LDAP を 含む多様な識別と認証のサービスをサポートする。

*AESについて [#q8f6fc3a]
***参考リンク [#y190efe8]
-[[わかりやすいAESアルゴリズム:http://msdn.microsoft.com/ja-jp/magazine/dd767415.aspx]]



*参考リンク [#y0e54588]
-[[ITproによるSELinuxに関する解説:http://itpro.nikkeibp.co.jp/article/COLUMN/20070827/280411/?ST=lin-os]]
-[[Red hatによる、セキュリティマニュアル(英語):http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/]]
-[[Red hat 6のセキュリティの概要:http://docs.redhat.com/docs/ja-JP/Red_Hat_Enterprise_Linux/6/html/Release_Notes/security.html]]