Secure Programming for Linux HOWTO <author>David A. Wheeler, <tt>dwheeler@dwheeler.com</tt> <date>version 1.30, 9 February 2000</date> <trans>高橋聡 <tt>hisai@din.or.jp</tt> <tdate> 2000/09/22 <abstract>  このドキュメントは Linux で安全性が求められるプログラムを書く場合に必要になる設計と実装のしかたについて、そのガイドラインを示します。安全性が求められるプログラムとは、接続先に存在するデータのビューアー、 CGI スクリプト、ネットワーク関連のサーバー、setuid/setgid されているプログラムなどです。 </abstract> <toc>   <sect>序論  このドキュメントは Linux で安全性が求められるプログラムを書く場合に必要になる設計と実装のしかたについて、そのガイドラインを示します。このドキュメントの目的は、「安全なプログラム」です。安全なプログラムとはセキュリティの防護壁となっており、プログラム自身と同じアクセス権限を持っていない入力先からの入力を受け取るプログラムのことです。そのようなプログラムとして、接続先に存在するデータを見るためのアプリケーション、CGI スクリプト、ネットワーク関連のサーバー、setuid/setgid されているプログラムなどがあげられます。このドキュメントでは、Linux のカーネル自体の修正は取扱いませんが、ここで議論される手法の多くはカーネルの修正にも有効です。これらのガイドラインは、安全なプログラムを書くための様々な情報(著者自身の考えも含まれています)から「教訓として学んできたこと」を整理して、原則の集大成としてまとめ直したものです。   このドキュメントでは、安全についての保証基準やソフトウエア工学の手法、品質保証の手法は扱いません。それらは大切なことですが、すでに他のところで広く論じられています。これらの手法には、テスト、ピア・レビュー、コンフィギュレーション管理、フォーマルメソッドがあります。セキュリティについての開発時の保証基準については、the Common Criteria [CC 1999] や the System Security Engineering Capability Maturity Model [SSE-CMM 1999] などがあります。ソフトウエア工学の手法については、Software Engineering Institute's Capability Maturity Model for Software (SE-CMM) や ISO 9000 (ISO 9001 と ISO 9001-3 と合わせて参照のこと)、ISO 12207 などに詳しく書かれています。 <bf>訳註：</bf> <itemize> <item>ピア・レビューとは、同じ分野の専門家たちと意見交換を行なうこと <item>フォーマルメソッドとは、設計を行なうに当たって、数学的(統計的)な手法を用いる方法論 <item>[CC 1999] という表記は、参考文献を表す </itemize>  このドキュメントは、ある特定の環境で動いているシステム(もしくはネットワーク)を安全に設定する方法を議論していません。設定方法はプログラムを安全に利用する上では必須の事項ですが、これ以外に安全な設定方法について論じている文献が多数存在します。安全に Linux システムを稼働させる方法については、Fenzi [1999]、Seifried [1999]、Wreski [1998] をはじめとして、すでに広く論じられています。  このドキュメントは、読者のみなさんがコンピュータの安全性についておおよそ理解しており、UNIX ライクなシステムのセキュリティ・モデルや C についても理解していることを前提としています。また、セキュリティに関連する Linux のプログラミング・モデルについても若干ですが解説しています。  このドキュメントの原本は<url url="http://www.dwheeler.com">にあります。また Linux Documentation Project (LDP) <url url="http://www.linuxdoc.org"> にも含まれています(LDP 版は、原本よりも古い可能性があります)。  このドキュメントは David A. Wheeler が著作権((C) 1999-2000 David A. Wheeler) を保持しています。また GNU General Public License (GPL) によってその権利は保護されています。詳しいことはこのドキュメントの最後のセクションを参照してください。  このドキュメントはまず Linux の背景とそのセキュリティについて論じます。次のセクションでは、一般的な Linux のセキュリティ・モデルについて、プロセスやファイルシステム等を対象に、その属性と取扱い方を一通り見ていきます。その次にこのドキュメントの中心となる Linux 上でのアプリケーション開発の設計と実装についてのガイドラインを説明します。この中では下記の項目を取り上げています。 <itemize> <item>入力されるものすべてを検証すること <item>バッファオーバフローを回避すること <item>プログラムのインタフェースと内部構成をきちんとすること <item>他のリソースを利用する場合は慎重に行うこと <item>セキュリティに気を配って情報をやりとりすること <item>その他関連事項(乱数の取得方法など) </itemize> 最後に結論と参考文献でしめくくります。 </sect>  <sect>背景 <sect1>Linux とオープン・ソース・ソフトウエア  1984 年に Richard Stallman 氏は Free Software Foundation (FSF)にて、GNU プロジェクトという、フリーな UNIX オペレーティングシステムを作り上げるプロジェクトを立ち上げました。フリーという言葉で、Stallman 氏は利用すること、内容(ソース)を読むこと、修正を加えること、再配布することが自由にできるソフトウエアを表現しました。 FSF は数多くの便利なツール群を作成することができましたが、独自のオペレーティングシステムのカーネルを思うように開発できずにいました [FSF 1998]。 1991 年に Linus Torvalds 氏が「Linux」というオペレーティングシステムのカーネルを開発しはじめました [Torvalds 1999]。このカーネルは FSF や他のツールと相まって、自由に改変できる、たいへん実用的なオペレーティングシステムとなりました。このドキュメントではカーネルを指す言葉として「Linux カーネル」を、システム全体を示す言葉として「Linux」を使用します(同様な意味で GNU/Linux という表現を使う場合が多々あります)。  様々な団体がそれぞれに、便利なツール群をこのカーネルと組み合わせています。この組合せを「ディストリビューション」と呼び、団体を「ディストリビュータ」と呼んでいます。よく知られたディストリビュータには Red Hat、Mandrake、SuSE、Caldera、Corel、 Debian があります。このドキュメントは特定のディストリビューションにターゲットを当てていませんが、カーネルのバージョンが 2.2 以上で C ライブラリが glibc 2.1 以上であることを前提にしています。現在の主要なディストリビューションはすべて、この前提を満たしています。  「フリーソフトウエア」への関心が増すにつれ、その定義と説明を行う必要性がでてきました。世間で広く使用されている言葉は「オープン・ソース・ソフトウエア」であり、 [OSI 1999] で詳細に定義されています。 Eric Raymond [1997, 1998] の中で、フリーソフトウエアの開発過程について、独創性に富んだ論文をいくつか発表しています。  Linux はいわゆる UNIX と呼ばれるものからソースコードを流用していません。しかしそのインターフェースは非常に UNIX ライクです。そのため UNIX で学んだ教訓はそのまま Linux にも当てはまります。もちろんセキュリティについても同様です。このドキュメントで述べられている情報の大部分は、実際のところ他の UNIX ライクなシステムでも役に立ちます。しかし Linux 固有の情報も意図的に加えられています。それは Linux の持つ優れた能力を引き出すためです。このドキュメントではあえて Linux システムに焦点を当てて、対象となるシステムを狭めています。すべての UNIX ライクなシステムを対象にしてしまうと、ポーティングや他のシステムの機能についての詳細な検討が必要になってしまい、結果としてこのドキュメントの量が増えてしまうためです。  Linux は非常に UNIX ライクで、UNIX の持つセキュリティ関連のしくみを持っています。そのしくみとは、プロセスに対するユーザやグループの ID(uid と gid)、読み／書き／実行それぞれのパーミッションを持ったファイルシステム、System V 由来のプロセス間通信(IPC)、ソケットベースの IPC(ネットワークを利用した通信も含む)等です。 UNIX システム一般の基本的なセキュリティについての情報は、 Thompson [1974] と Bach [1986] を見てください。セクション 3 では Linux のセキュリティ機構のキーポイントを概説します。   <sect1>セキュリティの原則  セキュリティの原則については、少なからず知っておく必要があります。ぜひ [Pfleeger 1997] のような、コンピュータに関わるセキュリティ全般について書かれた書籍を読んでください。  Saltzer [1974] と Saltzer and Schroeder [1975] において、安全を保護するためのシステム設計を行うに当たって、その原則について下記のようにまとめています。これは現在でもなお有効です。 <itemize>  <item><it>特権をできるだけ持たせない</it>。ユーザやプログラムには、できるだけ権限を持たせないようにすること。そうすれば、攻撃者によるダメージが最小限に抑えられる <item><it>しくみを単純に</it>。防御システムは小さく単純明快な設計にすること <item><it>オープンな設計</it>。防御するしくみは、攻撃者がそのしくみの知識を持ってないことに依存してはならない。逆に、そのしくみは公開されたもので、パスワードのように比較的少ない項目 (そして簡単に変えられる)で秘密を守れること。そうしておけば、広く第三者からチェックを受けられる。 Bruce Schneier 氏は、頭の切れるエンジニアならば、「セキュリティに関するすべてのコードはオープン・ソースであることを強く主張する」に違いないとしている。またそうすることで、広く第三者からレビューを受けられ、そこで問題となった部分も修正されることを証明している。[Schneier 1999] <item><it>完全に仲介を行うこと</it>。すべてのアクセスをチェックしなければならない。チェックするしくみは、それが破られないところに置くこと。たとえば、クライアント-サーバー・モデルであれば、サーバー側ですべてのアクセスをチェックする必要がある。それはユーザが、クライアント側を新しく作成したり、既存のものを修正することが可能なためである <item><it>パーミッションを活用すること</it>。デフォルトではサービスを拒否すること <item><it>権限を集中させない</it>。対象へのアクセスに当たって、理想的には複数の条件をつける必要がある。そうすれば、もしある防御システムが破られても、無制限なアクセスを許すようなことにはならない <item><it>共通したしくみはできるだけ用いない</it>。しくみを共通化すると、そこが一連の情報の流れの中で危険性をはらんだ経路になってしまう恐れがある。したがって物理的にも論理的にも独立させること <item><it>簡単に使える</it>。ユーザが利用を敬遠しないように、簡単に使えるようにすること </itemize>  <sect1>安全性が求められるプログラムの種類  安全性は多岐に渡るプログラム(このドキュメントで定義されている)に求められています。代表的なものをあげてみます。 <itemize>  <item>リモートにあるデータを見るためのアプリケーション。ビューアー(ワードプロセッサやファイルフォーマットを見るためのビューアーなど)として使われるプログラムでは、離れたところにいる信頼できないユーザがデータを送るように要求するケースが多い(このような要求は Web ブラウザが自動的に行っている場合がある)。信頼できないユーザからの入力によって、任意のプログラムを動かすようなアプリケーションは決して許可すべきではない。初期化マクロ(データを表示する時に動く)をサポートすることも、一般的によいとはいえない。仮にサポートしなければならない場合でも、安全なサンドボックス(複雑で間違いが起きがち)を用意する必要がある。後程触れるバッファオーバーフローのような問題は、十分に注意が必要である。バッファオーバーフローが起きると、信頼できないユーザがビューアー経由で任意のプログラムを動かすことを許してしまう恐れがある <bf>訳註：</bf>サンドボックス(sandbox)とは、制限付きで保護されたメモリー領域。この領域で動くアプリケーションは、システムにダメージを与えないように設計、動作します。 <item>システム管理者(root)が使用するアプリケーション・プログラム。そのようなプログラムでは、システム管理者以外が変更できる情報を信頼してはいけない <item>ローカルのサーバー(デーモンと呼ばれてる) <item>ネットワークサービスを行うサーバー(ネットワーク・デーモンと呼ばれることもある) <item>CGI スクリプト。 CGI スクリプトは、ネットワークサービスを行うサーバーとしては特殊な例に当たる。しかしよく使用されているので、独立した分野として扱うことにする。 Web サーバーが CGI スクリプトを動かす。攻撃の内いくつかのものは Web サーバーがフィルタリングするが、CGI スクリプト側で対処しなければならない攻撃も数多くある <item>setuid/setgid されたプログラム。これらのプログラムは、そのマシンを使っているユーザが実行する。実行されるとそのプログラムのオーナーやオーナーの所属するグループの権限が与えられる。様々な理由で、安全面からするとこれらは非常にやっかいなプログラムである。というのも、入力の大部分は信頼できないユーザが操っており、中には誰が入力したのかわからないものもある </itemize>  このドキュメントでは、上記の異なった種類のプログラムの問題点を一切合財まとめてしまいます。このやり方の欠点は、指摘された問題の中にはすべての種類のプログラムに当てはまるとは限らないものも含まれているということです。特に setuid/setgid されたプログラムは、予想できないような入力を受け取るため、ガイドラインのいくつかは setuid/setgid されたプログラムにしか当てはまりません。しかし実際はそんなに割り切れるものではありません。というのも、ある種のプログラムはいくつかの範疇にまたがっているからです(たとえば、 CGI スクリプトは setuid/setgid されているかもしれないし、setuid/setgid と同様な効果が出るように設定されているかもしれません)。プログラムの種類すべてをまとめて考えることの長所は、プログラムの分類を間違えたりすることなくすべての問題を検討できる点にあります。これから見ていくことになりますが、原則の多くは安全性が必要となるプログラムすべてに当てはまります。  このドキュメントは、C で書かれたプログラムに多少かたよる傾向にありますが、 C++ や、Perl、Python、Ada95、Java などについても多少は触れています。これは C が安全なプログラムを Linux で実装するのに最もポピュラーな言語だからです(CGI スクリプトは例外です。Perl がよく使われています)。他の言語であっても、その実装は C で行っている場合がほとんどです。だからといって、C が安全なプログラムを書くための「最良の」言語であるわけではありません。ここで述べられている原則の多くは、使用されているプログラミング言語によらず適用できます。  <sect1>疑い深く、こだわりが強いことは美徳です  まず安全性が求められるプログラムを書くに当たってやっかいな点は、その着眼点が普通のプログラムと違うところです。簡単にいうと、疑い深く、こだわりを強く持つ必要があるということです。というのも、エラー(欠陥とかバグとも呼ばれています)が生じた時に、システムに与える影響が普通のプログラムとはまったく違うからです。  安全性が求められない普通のプログラムは、エラーをたくさん抱えています。もちろんこれらのエラーは好ましくないものですが、たいていはほとんど起こらないものだったり、起こったとしても非常にまれなケースだったりします。仮に起こったとしても、ユーザは偶然に出くわしてしまったはずで、そのバグを何とか避けながら利用し続けようとすると思います。  安全性が求められるプログラムでは、この状況が一変します。とあるユーザは、意図的にバグを捜し出して、本当にまれにしか起こらない状況をつくり出します。そして攻撃することによって不当な権限を得ようとします。つまり、安全なプログラムを書くのに当たっては、疑い深く、こだわりを強く持つことが美徳になるのです。 </sect1>  <sect1>設計と実装を行うに当たってのガイドラインとなる情報源について  安全性が求められるプログラムを書くため(もしくは既存のプログラムのセキュリティ上の問題点を見つけるため)に、様々なドキュメントが書かれています。これらのドキュメントは、これからこのドキュメントで明らかにしていくガイドラインの根拠になっています。 <#unless output=html>  汎用的なサーバーや setuid/setgid されたプログラムを対象に、数多くの役に立つドキュメントがあります(しかし中には参考文献がないと見つけることが困難なものもあります)。 AUSCERT(オーストラリアのコンピュータ緊急対策チーム)はプログラミングに当たってのチェックリスト [AUSCERT 1996] を公開しています。このチェックリストは suid されたプログラムやネットワーク関連のプログラムをいかに安全にするかについて論じた [Garfinkel 1996] の 22 章の部分をベースにしています。 Matt Bishop [1996, 1997] でこのトピックに関連して、非常に有益なドキュメントを発表しています。 Galvin [1998a] では、安全が必要とされているプログラムの開発のためのシンプルな開発プロセスとチェックリストについて記述しています。後に Galvin [1998b] でチェックリストのアップデートを行っています。 Sitaker [1999] では「Linux security audit」(Linux セキュリティ監査)チームが調査する問題に関してのリストを提示しています。 Shostack [1999] ではセキュリティを重要視するコードをレビューする場合のチェックリストを上記とは別に提示しています。 The <it>Secure Unix Programming FAQ</it> も役に立つ内容です [Al-Herbish 1999]。 Ranum [1998] からも有益な情報がいくつか得られます。推奨されていることの中には、注意が必要なものもあります。たとえば Anonymous [unknown] では、通常でも起こりうる危険な競合状態を起こり得ないものとして、access(3)の使用を推奨しています。 Wood [1985] の中の「Security for Programmers」の章は役に立ちますが、少々古い内容になってしまいました。 Bellovin [1994] と FreeBSD [1999] にも役に立つガイドラインがあります。  Web とのインターフェースとなる CGI(Common Gateway Interface)については、プログラミングをする際に必要になるセキュリティのガイドラインを示したドキュメントが多数あります。Gundavaram [unknown]、Kim [1996]、Phillips [1995]、 Stein [1999]、Webber [1999] などがあげられます。 </#unless> <#if output=html>  AUSCERT はプログラムに当たってのチェックリストを公開しています。 <htmlurl url="ftp://ftp.auscert.org.au/pub/auscert/papers/secure_programming_checklist" name="[AUSCERT 1996]">,  このチェックリストは suid されたプログラムやネットワーク関連のプログラムをいかに安全にするかについて論じた Garfinkel、Spafford 各氏の 22 章の部分をベースにしています。 <htmlurl url="http://www.oreilly.com/catalog/puis" name="[Garfinkel 1996]">.  Matt 氏は、 <htmlurl url="http://olympus.cs.ucdavis.edu/~bishop/secprog.html" name="Bishop [1996, 1997]">  でこのトピックに関連して、非常に役に立つドキュメントを発表しています。  <htmlurl url="http://www.sunworld.com/swol-04-1998/swol-04-security.html" name="Galvin [1998a]"> は、安全なプログラムの開発のためのシンプルな開発プロセスとチェックリストについて記述しています。 <htmlurl url="http://www.sunworld.com/sunworldonline/swol-08-1998/swol-08-security.html" name="Galvin [1998b]">. <htmlurl url="http://www.pobox.com/~kragen/security-holes.html" name="Sitaker [1999]">  は、「Linux セキュリティ監査」チームが調査する問題に関してのリストを提示しています。 <htmlurl url="http://www.homeport.org/~adam/review.html" name="Shostack [1999]">  では、セキュリティを重要視するコードをレビューする場合のチェックリストを上記とは別に提示しています。 The <it>Secure Unix Programming FAQ</it> も役に立つ内容です <htmlurl url="http://www.whitefang.com/sup/" name="[Al-Herbish 1999]">.  <htmlurl url="http://www.clark.net/pub/mjr/pubs/pdf/" name="Ranum [1998]">.  からも有益な情報がいくつか得られます。 <htmlurl url="http://www.homeport.org/~adam/setuid.7.html" name="Anonymous [unknown]">  は、通常でも起こりうる危険な競合状態を起こり得ないものとして、access(3)の使用を推奨しています。 Wood [1985] の中の「Security for Programmers」の章は役に立ちますが、少々古い内容になってしまいました。 <htmlurl url="http://www.research.att.com/~smb/talks" name="Bellovin [1994]">  と <htmlurl url="http://www.freebsd.org/security/security.html" name="FreeBSD [1999]">  にも役に立つガイドラインがあります。  Web とのインターフェースとなる CGI(Common Gateway Interface)については、プログラミングをする際に必要になるセキュリティのガイドラインを示したドキュメントが多数あります。 <htmlurl url="http://language.perl.com/CPAN/doc/FAQs/cgi/perl-cgi-faq.html" name="Gundavaram [unknown]">, <htmlurl url="http://www.eekim.com/pubs/cgibook" name="Kim [1996]">, <htmlurl url="http://www.go2net.com/people/paulp/cgi-security/safe-cgi.txt" name="Phillips [1995]">, <htmlurl url="http://www.w3.org/Security/Faq/www-security-faq.html" name="Stein [1999]">,  <htmlurl url="http://www.webbertech.com/tips/web-security.html" name="Webber [1999]">. </#if>  別の観点(つまり「システムをクラックするには」等)からこの問題を扱ったドキュメントもたくさんあります。たとえば McClure [1999] がそれにあたります。インターネットの利点を生かして、他にも数え切れないほどの資料があふれています。  このドキュメントは、有益に違いないと私が判断したガイドラインをまとめました。そのため、考えられるすべてを網羅したものではありません。私自身が編集したもの(おまけにリストそれぞれが独自の構成を持っています) ですし、 Linux 固有のガイドライン(たとえばケイパビリティについてや fsuid の値等)についても同様です。上記すべてのドキュメントを是非参照してください。 <bf>訳註：</bf>ケイパビリティとは、オペレーティングシステムやハードウェア (CPU)が持つ、セキュリティやアクセス・コントロールを実現するしくみ。 fsuid とは、ファイルシステムをチェックする場合に使用するユーザー識別機能。  「他人のドキュメントを引用するだけでなく、自分でドキュメントを書いたのはなぜですか？」という疑問をお持ちになったかもしれません。理由はいくつかあります。 <itemize>  <item>情報の多くがあちこちに分散してしまっている。重要な情報は、整理して 1 つのドキュメントとしてまとめておくと便利 <item>中には、プログラマのためではなく、システム管理者や一般ユーザ向けに書かれたドキュメントがある <item>Linux に関係ないドキュメントがある。たとえば setuid されたシェルスクリプトに対しての注意点をあげてあるチェックリストが多い。しかし Linux では普通そのようなスクリプトを実行できないので、注意をうながす必要がない <item>どのシステム(UNIX ライクなシステムすべて)でも適用できる項目が強調されている場合が多い。ポータビリティを重視するならば、Linux 固有の機能を使用しないことが一番。しかし固有の機能を使うことで、セキュリティが確保できるのもまた事実である。 Linux 以外のオペレーティングシステムとのポータビリティが必要であっても、 Linux 固有の機能を使うことも選択肢として残されている <item>このアプローチのしかたは、何も Linux だけが行っているわけではない。他のオペレーティングシステム、たとえば FreeBSD でもセキュリティを守るための独自のプログラミング・ガイドが用意されている </itemize> </sect1>  <sect1>このドキュメントでの表記  システムにあるマニュアル(man)のページは<it>名称(番号)</it>の形式で参照します。 <it>番号</it>は、マニュアルのセクション番号を表しています。 C と C++ は「\0」(ASCII の 0)を特別扱いするので、このドキュメントでは「NIL」と表記します。「どこも指していない」ポインタ値は、「NULL」と表記します。C コンパイラは通常、整数の 0 を NULL として扱いますが、NULL をすべてのビットが 0 という実装にするようにと C の規格が規定しているわけではありません。 </sect1> </sect>  <sect>Linux のセキュリティ機能についての概要  Linux のセキュリティ機能についてのガイドラインを検討する前に、プログラマの観点でそれらの機能を理解しておきましょう。このセクションではそれらの機能について概観します。すでに理解されている場合は読み飛ばしてください。  プログラミング・ガイドの多くは、Linux のセキュリティ関連の項目を軽く済ましてしまい、大切な情報を省いてしまっています。特に「どうやって使用するのか」をかいつまんで説明する場合が多く、その機能を使用することによって生じるセキュリティ上の問題については、うわべの説明にしか行っていません。逆に個々の機能については、マニュアルの該当するページに詳細な情報がたくさん書かれています。しかし、マニュアルページの記述は詳細すぎて全体像の把握を困難にしがちです。このセクションでは、そのギャップを埋めようと思います。プログラマが使いそうな Linux におけるセキュリティのしくみを概観します。一般的なプログラミング・ガイドよりもう少し深くセキュリティに関する事項に焦点を当て、さらに詳細な情報が得られるよう、参考文献をあげたいと思います。 UNIX でプログラミングをされた方々にとっては、すでにおなじみのことですが、 Linux で拡張された機能や固有の機能もいくつかあります。その機能にびっくりするかもしれません。このセクションではそれらの相違点を明らかにしていきます。  まずは基本的なところから。本来 Linux とは 2 つの部分から成り立っていて、それぞれ Linux カーネル (及びカーネル・モジュール)と「ユーザー空間」と呼ばれています。ユーザ空間はカーネル上にあり、そこで様々なプログラムが動いています。ユーザがログインすると、ユーザ名はそのユーザが属している uid(ユーザ ID)と gid(グループ ID)を表す整数値に割り当てられます。 uid が 0 のユーザは特別な権限(役割)を持っていて、「root」と言われています。 root はセキュリティ・チェックをほとんど受けることがなく、システム管理を行う場合に使用されるユーザです。セキュリティから見て唯一「対象」となるもの、それがプロセスです(つまり、いろいろなことを実行している正体は、プロセスそのものなのです)。プロセスは様々なデータにアクセスします。それはファイルシステム(FSO)であったり、System V のプロセス間通信(IPC)であったり、ネットワーク・ポートであったりします。もう少しこの点について、詳しく見ていくことにしましょう。  <sect1>プロセスとは  Linux ではユーザ・レベルでの動作をプロセスを動かすことで実現しています。独立した「スレッド」をサポートするシステムが多いのですが、Linux ではスレッドそれぞれを複数のプロセスとして走らせて実現しているようです(Linux カーネルは最適化をはかることによって、スレッド並の実行速度を稼いでいます)。 <bf>訳註：</bf>Linux のスレッドはユーザ・レベルではなく、カーネル・レベルのスレッドで、カーネルがスレッドの制御を行っています。fork() と同じく子プロセスを起こしますが、コンテキストの何を親プロセスと共有できるかを指定できます。  <sect2>プロセスが持っている属性  それぞれのプロセスは、次のようなセキュリティ関連の属性を持っています。 <itemize>  <item>ruid、rgid - 実ユーザ ID と実グループ IDのことで、プロセスを実際に走らせているユーザを表す <item>euid、egid - 実効ユーザ ID と実効グループ IDのことで、権限のチェックのために用いる(ファイルシステムは除く) <item>fsuid、fsgid - ファイルシステムへのアクセス権限をチェックするために用いる。通常 euid、egid と等しい。この属性は Linux 独自である <item>suid、sgid - 保存ユーザ ID と保存グループ ID。パーミッションを「オン」もしくは「オフ」にする場合に使用する。詳しくは後述する <item>groups - ユーザが属しているグループ(GID)のリスト <item>umask - 新しくファイルやディレクトリを作る場合に、そのデフォルトのアクセス制限を設定するのに使用されるビット値。umask(2)を参照のこと <item>スケジューリングを設定するパラメタ - プロセスはそれぞれのスケジューリング方針にもとづいて動いており、デフォルトの方針は SCHED_OTHER である。 SCHED_OTHER はパラメタとして nice 値、優先度(priority)とカウンタを持っている。詳細は sched_setscheduler(2)を参照のこと <bf>訳註：</bf>ここで述べられている「カウンタ」とは、プロセスの実行履歴を計測するために用いられるカウンタを意味します。 <item>ケイパビリティ - POSIX で定義されているケイパビリティ情報。セキュリティ関連の機能として、実効、継承、許可の 3 種類の機能がある。詳しくは下記参照のこと <item>limit - プロセス単位にそのプロセスが使用できるリソースを制限する (下記参照) <item>ファイルシステムのルートの位置 - プロセスから見たルート・ファイルシステムの位置。chroot(2)参照のこと <item> </itemize>  属性とプロセスが実際どのように関連しているのかを知りたければ、Linux のソース・コードを参照してください。include/linux/sched.h で定義されている構造体の task_struct がキーポイントです。 </sect2>  <sect2>POSIX ケイパビリティ  Linux カーネル 2.2 の機能として「POSIX ケイパビリティ」がサポートされています。 POSIX のケイパビリティは、通常 root が持っている権限をいくつかに分割して、独自に権限の体系を再構成しています。 POSIX ケイパビリティは、IEEE(米国電気電子通信学会)標準のドラフトで定義されています。したがって Linux 固有の機能ではありませんが、他の UNIX ライクなシステムで広く採用されているわけではありません。 Linux のドキュメント(このドキュメントも含め)の中で、「root の権限が必要である」と書いてあった場合、「ケイパビリティが必要である」とほぼ同じ意味になる、とケイパビリティについてのドキュメントに述べられています。個々のケイパビリティについて知りたい場合は、下記のケイパビリティに関するドキュメントを読んでください。  ファイルシステム上にある各ファイル毎にケイパビリティが適用されることが最終的な目標なのですが、このドキュメントを書いている時点ではまだサポートされていません。転送機能に対するケイパビリティはサポートされていますが、デフォルトでは無効になっています。カーネル 2.2.11 ではケイパビリティを更に身近に使いやすくするしくみである「ケイパビリティ・バウンディング・セット(capability bounding set)」が取り入れられました。このしくみは、システム上で稼動しているすべてのプロセスが利用できるケイパビリティのリストを用意します(特別な init プロセスだけが利用できるケイパビリティもあります)。あるケイパビリティがリストにない場合、権限がどうであれ、どのプロセスもそのケイパビリティを利用できません。この機能を使っている例として、カーネルモジュールの読み込みを無効にする場合があげられます。またうまくこの機能を活用しているツールとして、 <url url="http://pweb.netcom.com/~spoon/lcap/"> にある LCAP があげられます。 <bf>訳註：</bf>LCAP は、カーネルがサポートしているケイパビリティを無効にすることによって、システムをより安全にするしくみです。  POSIX ケイパビリティの詳細については、 <url url="ftp://linux.kernel.org/pub/linux/libs/security/linux-privs"> を参照してください。 <bf>訳註：</bf>上記 ftp サーバーは anonymous ユーザの利用を認めていません。 <url url="ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs"> を利用してください。 </sect2>  <sect2>プロセスの作成とその操作  プロセスは fork(2)もしくは vfork(2)(使用しない方がよい)、clone(2)(Linux 独自) を使って作成します。これらのシステムコールすべては、既存のプロセスをコピーして、2 つのプロセスを生成します。プロセスは execve(2)やそのフロントエンドをコールして、別々のプログラムを実行できます(フロントエンドとして、exec(3)、system(3)、popen(3)を参照してください)。  あるプログラムを実行する時にファイルに setuid ビットが立っていると、そのプロセスの euid にはファイルの uid が設定されます。 setgid が立っていると egid にファイルの gid が設定されます。 Linux 上では、シェルスクリプトのようなスクリプト全般に対して、このようなビットの設定はされないことを忘れないでください。このようなことがスクリプトで設定できてしまうと、セキュリティ上非常に危険なことになるからです(UNIX ライクなシステムの中には setuid されているスクリプトが動くものもあります)。例外として、 Perl は特別な設定をほどこすと、setuid されている Perl スクリプトが実行できるようになります。  場合によって、プロセスはいくつかある uid や gid の値を変更できます。 setuid(2)、seteuid(2)、setreuid(2)、setfsuid(2)を参照してください。特に suid の場合は、信頼できるプログラムが一時的にその uid 値を変更できます。 ruid の変更もしくは euid が ruid と異なる値にした場合は suid には新しい euid の値が設定されます。特権をもたないユーザは、自分の suid から自分の euid を、ruid から euid を、 euid から ruid を設定できます。  fsuid プロセス属性は、NFS サーバのようなプログラムの権限を、指定されたいくつかの UID のファイルシステム権限に制限できるようにするためのものです。この際、その UID にはプロセスへシグナルを送れる許可は与えません。 euid が変更されると fsuid は新しい euid の値に変更されます。fsuid は setfsuid(2)という Linux 固有のシステムコールを使って設定することもできます。 root 以外から呼び出された場合は、fsuid には現在の ruid 値、euid 値、seuid 値、あるいは現在の fsuid 値しか設定できません。 </sect2> </sect1>  <sect1>ファイルシステム  ファイルシステムの構成要素(FSO)は、通常のファイル、ディレクトリ、シンボリックリンク、名前付きパイプ(FIFO)、ソケット、キャラクタスペシャル(デバイス) ファイル、ブロックスペシャル(デバイス)ファイルがあります(find(1)コマンドにその一覧があります)。これらはファイルシステムによって制御され、ファイルシステムを構成するディレクトリ上でマウント／アンマウントして利用します。ファイルシステム自身は、これら構成要素とは多少異なるアクセス制限の属性を持っていて、マウント時にオプションを設定することによって、アクセス制限をかけることが可能です。  <sect2>ファイルシステムの構成要素の属性  今のところ Linux では ext2 が最も一般的なファイルシステムです。ファイルシステムの構成要素が持っている属性は下記の通りです。 <itemize>  <item>所有 uid と gid - これを使って、構成要素の「所有者」を識別できる。特別な設定をしなければ、普通所有者もしくは root だけがアクセス制限に関する属性を変更できる <item>ユーザ(所有者)、グループそれ以外毎に、読み込み／書き込み／実行の権限を表すビットがある。通常のファイルの場合は、読み／書き／実行という文字通りの意味を持つ。ディレクトリの場合は、「読み込み」パーミッションはそのディレクトリの中を見られること意味し、「実行」パーミッションは、別名「検索」パーミッションとも言われ、実際にそのディレクトリに入って、そこにあるものを使用することができる。「書き込み」パーミッションはそのディレクトリでファイルの追加、削除、変更ができる。追加だけを許可させたい場合は、下記に説明する sticky ビットを立てること。シンボリックリンクのパーミッションは意味を持たないことに注意すること。意味を持つのは、シンボリックリンクを含むディレクトリとリンク先のファイルの値だけである <item>「sticky ビット」 - ディレクトリに設定されると、削除や移動は root、ファイルの所有者、もしくはディレクトリの所有者しか行えなくなる。これは UNIX 一般で利用されている拡張機能だが、その他のオペレーティングシステムでは一般的ではない。 sticky ビットは、通常のファイルに対しては何の影響も与えない。また一般ユーザでも設定ができる。古いバージョンの UNIX では「save program text」ビットと呼ばれ、メモリに常駐する(スワップアウトしない)実行形式ファイルであることを示していたが、 Linux が仮想メモリ管理を実装するにいたって、すたれてしまった <item>setuid、setgid - 実行形式ファイルに設定されると、実効 uid と gid にそのファイルの所有者 ID と gid が設定される(各々独立に)。この機能はすべての UNIX ライクなシステムがサポートしている。 setgid がディレクトリに設定されると、そのディレクトリに作成されるファイルは自動的にそのディレクトリの gid 値に設定し直される。 setgid が実行権をまったく持たないファイルに設定されると、そのファイルがアクセスされている時に、強制ロック(mandatory locking)がそのファイルにかかることを示す(ただし、マウントしているファイルシステムが強制ロックをサポートしていれば)。このしくみは負荷が非常に重く、UNIX ライクなシステムで広く採用されてはいない <bf>訳註：</bf>ファイルのロック機能には、強制ロック(mandatory locking)とアドバイザリ・ロック(advisory locking)があります。違いは、前者がカーネルがプロセスを監視しロック操作を行うので、プロセス間の依存関係を越えてロックが可能です。これに対して後者は、プロセス自身がロック操作を行うので、そのプロセスの制御外のものに対してはロックが無効となります。詳しくは、カーネル付属のドキュメントの <url url="file:///usr/src/linux/Documentation/mandatory.txt" name="mandatory.txt"> を参照してください。 <item>タイムスタンプ - ファイルシステムの構成要素には、アクセスした時間もしくは修正をかけた時間が保存されている。しかし所有者は自由にこれらの値を変更できるので(touch(1)を参照)、この情報を安易に信頼しないこと。このしくみは、すべての UNIX ライクのシステムでサポートされている <item>変更不可(immutable)ビット - ファイルシステムの構成要素に対していかなる変更も認めない。これは、root だけが設定と解除ができる。このしくみは、ext2 ファイルシステムだけがサポートしており、すべての UNIX システム(場合によっては Linux システムでも)で利用できるわけではない <item>追加限定(append-only bit)ビット - ファイルシステムへの追加だけが許可される。これは、root だけが設定と解除ができる。このしくみは、ext2 ファイルシステムだけがサポートしており、すべての UNIX システム(場合によっては Linux システムでも)で利用できるわけではない </itemize>  上記の値の多くは、マウント時に適用されます。したがって、あるビット値がすでに値(媒体上の値が何であれ)を持っていたかのように扱われる場合もあります。詳しいことは mount(1)を参照してください。ファイルシステムも中にはこれらのアクセス制御値のいくつかをサポートしていない場合がありますので、くどいようですが mount(1)を見て、ファイルシステムが何をサポートしているのかを確認してください。  アクセス制御リスト(ACL、access control list)と POSIX ケイパビリティの値をファイルシステムへ実装する作業が続けられていますが、標準の Linux 2.2 にはまだ入っていません。 <bf>訳註：</bf>ACL は従来の所有者、グループ等によるファイルへのアクセス制御方法にかわって更に細かな制御を可能とするしくみです。ネットワーク上のサーバーに対するアクセス制限についてもこの用語が使用されています (RFC 1983)。 </sect2>  <sect2>作成時の初期値  作成する時には次のルールが適用されます。あるファイルシステムの構成要素(FSO)が作られると(たとえば creat(2)を使って)、 FSO の uid はプロセスの fsuid に設定されます。普通、FSO の gid はプロセスの fsuid が設定されますが、ディレクトリに setgid ビットが立っていたり、ファイルシステムの「grpid」が設定してあったりすると FSO の gid には、ディレクトリの gid が設定されます。この特殊なケースを利用することによって、いわゆる「プロジェクト」のためのディレクトリを作ることができます。「プロジェクト用」のディレクトリを作るには次のようにします。まずプロジェクト用に専用のグループを作ります。それからそのグループが所有者であるプロジェクト用のディレクトリを作成し、setgid します。こうすると、何かファイルをそこのディレクトリに置くと、自動的にそのプロジェクトが所有者となります。同様に、新しいサブディレクトリを setgid ビットを立てたディレクトリの配下に作成すると(ファイルシステムの grpid も設定されていない)、新しいディレクトリも setgid ビットが立てられます(したがってプロジェクトのサブディレクトリは、「期待通りの正しい動作」をします。その他のケースは、新しいファイルに setgid はかけられていません。基本となる FSO のアクセス制限(読み込み、書き込み、実行)は、(要求された値に umask 値を &(ビット反転) ˜(論理積))して求められます。ファイルが新規に作成された状態では、常に sticky ビットも setuid ビットもクリアされています。 </sect2>  <sect2>アクセス制御の属性を変更する  アクセス制御の属性の大部分は、chmod(2)か chmod(1)で設定できますが、chown(1)、 chgrp(1)、chattr(1)も参照してください。  注意して欲しいことがあります。それは Linux では root だけがファイルの所有者を変更することができるということです。 UNIX ライクなシステムの中には、一般ユーザも所有者の変更が行えるものがありますが、これは厄介事を引き起こします。たとえばディスク使用量を制限しようとしたとします。その時、一般ユーザに所有者の変更を許していると、ユーザの誰かが自分の大きなファイルを他人の所有に変更して、その人を「被害者」にしたててしまえます。 </sect2>  <sect2>アクセス制御の属性を使うには  Linux と UNIX ライクなシステムのほとんどで、読み込みや書き込みの属性の値はファイルがオープンされた時にだけチェックされます。読み書きする度にチェックされるわけではありません。システム・コールの大多数が、これらの属性を利用しています。というのも、ファイルシステムというものが Linux の中枢をなしているからです。これらのシステム・コールには、open(2)、creat(2)、link(2)、unlink(2)、 rename(2)、 mknod(2)、symlink(2)、socket(2)等があります。 </sect2>  <sect2>ファイルシステムの階層  長年の慣例で、「何のファイルはどこに置く」という約束事ができています。きまりを守って、ディレクトリ階層の中に情報を格納してください。概略については、hier(5)を参照してください。さらに詳しく知りたければ、Filesystem Hierarchy Standard (FHS) <url url="http://www.pathname.com/fhs"> を見てください。FHS は従来の Filesystem Structure standard (FSSTND)を新たに書き換えたものです。 </sect2> </sect1> <sect1>System V IPC  Linux は System V 由来の IPC である、メッセージ・キュー、セマフォ、共有メモリをサポートしています。それぞれのサービスは、下記の属性を持っています。 <itemize>  <item>作成者や作成者が属するグループ、それ以外の者の読み書きのパーミッション <item>作成者 uid と gid - IPC オブジェクト作成者の uid と gid <item>所有者 uid と gid - IPC オブジェクト所有者の uid と gid(初期状態では IPC オブジェクト作成者の uid と同じ) </itemize>  下記のルールにもとづいて IPC オブジェクトアクセスします。 <itemize>  <item>プロセスが root の権限を持っていれば、アクセスが許可される <item>プロセスの euid が所有者もしくは作成者の uid と同じならば、作成者のパーミッションを見て、問題なければアクセスが許可される <item>プロセスの euid が所有者もしくは作成者の gid と同じ、もしくはプロセスの属するグループの中に所有者もしくは作成者の gid と同じものがあれば、作成者のパーミッションを見て、問題なければアクセスが許可される <item>その他の場合は「その他のユーザ」のパーミッションをチェックする </itemize>  root もしくは所有者や作成者の euid を持つプロセスは、所有者の uid や gid を設定でき、また削除も可能であることを忘れないでください。詳しくは ipc(5)を参照してください。 </sect1>  <sect1>ソケットとネットワーク接続  ソケットは、情報を伝える手段として特にネットワーク越しの通信に使用されています。 socket(2)は情報を伝えるための接続ポイントを作成し、それを表わすディスクリプタを返します。さらに詳しいことは、socket(2)やそこから相互に参照できる関連情報を見てください。 Linux の場合、TCP や UDP で 1024 以下のローカルなポートに接続するには、root の権限が必要であることを覚えておいてください。 (リモートにある 1024 以下のポートへの接続については、特別な権限は必要ありません)。 </sect1>  <sect1>quota とリソースの制限  Linux には、ファイルシステムの割り当て制限(quota)とプロセスのリソース制限を行なう機能があります。この機能には、「ハードな制限」(hard limit)と「ソフトな制限」(soft limit)両方の意味があり、多少意味が異なるので、注意が必要です。  記憶装置(ファイルシステム)の割り当て制限は、マウントポイント毎に設定が可能で、特定のユーザやグループがそこで使用できるブロック数やファイル数(inode数)に制限をかけられます。「ハードな」ものが制限を越えることができないのに対して、「ソフトな」ものは一時的に制限を越えることが許されています。 quota(1)、quotactl(2)、quotaon(8)を参照してください。  rlimit は、プロセスに対する数々の割り当て制限を実現するしくみで、ファイルサイズ、子プロセス数、オープンできるファイル数などを扱えます。「ソフトな」制限(現状の制限(current limit)とも言う)と「ハードな制限」 (上限(upper limit)とも言う)があります。ソフトな制限を超えることは決してできませんが、システムコールによってハードな制限の上限まであげることができます。 getrlimit()、setrlimit()、getrusage()を参照してください。 </sect1>  <sect1>Audit(監査)  現在もっとも一般的な「監査」のしくみは、syslogd(8)です。 wtmp(5)、utmp(5)、lastlog(8)、acct(2)も参照することをお勧めします。サーバー・プログラム(Apache Web サーバーのようなもの)の中には、独自に痕跡を監査するしくみを持っているものもあります。 </sect1> <sect1>PAM  認証が必要な時に Linux システムの大部分は Pluggable Authentication Modules (PAM: 差し替え可能な認証モジュール)を使用します。このしくみを使うと、認証方法の構成を変更できるようになります(たとえばパスワードやスマートカード等の使用)。 PAM については、後でさらに論じます。 <bf>訳註：</bf>スマートカード(smart card)とは、プラスティックのカード上に IC やメモリなどのチップを載せたカードを指します。日本では IC カードと呼ぶケースが多いようです。従来の磁気カードと比べると、より多くの情報を格納できるだけではなく、プログラムをインストールして実行することが可能である点が大きく異なります。 </sect1> </sect>  <sect>入力されるものすべてを検証すること  入力には、信頼できないユーザからのものもあります。そこで、使用する前にそれらを検査(選別)する必要があります。まず何が正しいかを定義して、その定義にマッチしないものすべてを拒否するようにしなければいけません。その逆の定義のしかたをしてはいけません(何が不正かを定義し、それらを拒否する)。なぜなら、重要なケースの定義をうっかり忘れてしまうかもしれないからです。文字列長の最大値を制限してください(必要があるなら最小値も)。そして、長さを超えてしまった場合でもシステムが暴走しないことを確かめてください (下記のバッファオーバーフローのセクションでもう少し詳しく述べますので、見てください)。  文字列の場合は、そのシステムにとって正しいキャラクタと正しいパターン(たとえば正規表現など) を明らかにしておき、その形式に合わないものすべてを拒否するようにしてください。文字列にコントロールキャラクタ(特に改行や NIL)やシェルのメタキャラクタが含まれている場合、普通の文字列では起こり得ない問題が生じます。問題を避けるために、そのようなメタキャラクタが入力されたらすぐに「エスケープ」して、間違ってプログラムに送られることがないようにするのが一番です。 CERT はこの考え方をさらに推し進めて、エスケープする必要がないキャラクタの一覧に載っていないものすべてをエスケープすることを推奨しています [CERT 1998, CMU 1998]。詳細については、下記の「正しい値でだけ呼び出すこと」を参照してください。  数字すべてに対して、許容できる最小値(たいていはゼロ)と最大値を設けましょう。ファイル名はチェックしなければいけません。一般的に「..」(上位ディレクトリ)を正しい値と見なしてはいけません。ファイル名を表わす場合には、ディレクトリの変更となる動作をどんな場合でも禁止することが一番です。たとえば、「/」を正しいキャラクタの仲間に入れてはいけません。電子メールのアドレスを完全にチェックすることは、現実的にとても困難です。というのも、すべてのケースを真面目にサポートしようとすると、アドレスの中には正しい形式ではあるものの、非常に複雑な検証を必要とするものが存在するからです。もしそのようなチェックが必要なら、詳細は mailaddr(7)と IETF RFC 822 [RFC 822] を見てください。 <bf>訳註：</bf> IETFは、Internet Engineering Task Force の略称で、インターネットに関連する技術の標準化を進めるために設立された団体です。ここが発行する文書が RFC(Requests For Comment)です。  これらのテストは 1 箇所で集中して行なうようにしてください。そうすれば後でこのテストに間違いがないかの調査を簡単に済ませられます。  正しい入力をチェックするテストが、本当に予定した通りに動作するかを確認してください。別のプログラムが使う入力(ファイル名や電子メールアドレス、URL 等)をチェックする場合には特に重要です。これらのプログラムは、見落としがちな間違いを抱えていることが多く、いわゆる「代理人問題」(データを実際に使用するプログラムとチェックするプログラムの前提条件が異なっているケース)です。  下記のサブセクションでは、プログラムに対する様々な入力について論じます。この入力には環境変数や umask 値など、プロセスが持っている状態も含む点に注意してください。必ずしもすべての入力が信頼できないユーザによって行なわれているわけではありません。注意する必要があるのは信頼できないユーザからの入力だけです。  <sect1>コマンドライン  プログラムの中には、入力のインターフェースとして、コマンドラインを使用するものが多数あります。この場合、引数を渡すことによって入力とします。 setuid/setgid されたプログラムは、信頼できないユーザからコマンドラインによる入力を受け取る場合があるので、そのプログラム自身で対処する必要があります。一般的にユーザは、コマンドラインを自由に扱えます(execve(3)のようなシステムコールを使って)。したがって、setuid/setgid されたプログラムは、コマンドラインからの入力を検査する必要があり、コマンドラインの引数 0 番に当たるプログラム名を信用してはいけません(ユーザは NULL を含むどんな値も設定できるからです)。  <sect1>環境変数  環境変数は、デフォルトでは親プロセスから継承されます。しかしあるプログラムから他のプログラムを実行(exec)した場合、環境変数に任意の値を設定できます。 setuid/setgid されたプログラムでは、これは危険をともないます。というのもプログラムを呼び出すことで環境変数のコントロールが可能になり、環境変数を他のプログラムに渡せてしまうからです。普通、環境変数は継承されてしまうため、この危険性も同時に引き継がれてしまいます。  環境変数は、同じフィールドに複数の値を設定できる形式で記憶されています (たとえば SHELL 変数には、2 つの値を設定できる)。コマンドシェルの代表的なものは、この設定ができないようになっていますが、クラッカーは、そのような状況を作り上げられます。つまりこのケースならば、プログラムで 1 つの値はチェックしますが、実際は別の値を使用してしまうことが考えられます。さらに悪いことに、ライブラリやプログラムはたいていの場合環境変数によって制御されているものの、その方法があいまいだったり、わかりにくかったり、中にはドキュメント化されていないものがあったりします。たとえば、IFS 変数は <it>sh</it> や <it>bash</it> でコマンドラインの引数を分割するのに使用されるキャラクタを指定するために利用されています。シェルは低レベルのシステムコールを利用して呼び出されるため、IFS 変数に異常な値を設定すると、一見安全と思われるシステムコールを危険なものに変えてしまう恐れがあります。  setuid/setgid されたプログラムを安全にするには、環境変数の中から入力(もしあれば)に必要とされるものを注意を払って選び出し、短いリストを作る必要があります。そして環境変数全体を表す大域変数である <it>environ</it> に NULL を設定して、環境変数全体を削除し、その後に必要となる最小限の安全な値を再設定してください (ユーザの設定値は使用「しない」こと)。環境変数には、PATH(プログラムのありかを検索するディレクトリのリストです。これにカレント・ディレクトリを入れては「いけません」)、IFS(デフォルトでは「\t\n」です)、TZ(タイムゾーン)があります。  <sect1>ファイル・ディスクリプタ  プログラムには「オープンしたファイル・ディスクリプタ」、つまりあらかじめオープンされているファイルが渡ります。 setuid/setgid されたプログラムでは、ユーザがあるファイルをオープンして、それを利用できてしまう(パーミッションの制限内で)ということを気にする必要があります。 setuid/setgid されたプログラムでは、新しくオープンしたファイルが常に固定したファイル・ディスクリプタ ID に割り当てられていると想定してはいけません。また端末が標準入力、標準出力、標準エラー先になっていること、また端末がすでにオープンされていることも前提にしてはいけません。  <sect1>ファイルの内容  あるファイルの内容によって、プログラムの動作が左右される場合、信頼できるユーザだけがその内容を変更できるのでなければ、そのファイルを信用してはいけません。つまり、信頼できないユーザが、ファイルやそのファイルがあるディレクトリ、その親ディレクトリを修正できてはいけません。そうでなければ、そのファイルを信頼するに値しないものとして扱わなければなりません。  <sect1>CGI からの入力  CGI からの入力は、実際のところ環境変数や標準入力として扱われます。したがってこれらも検証しなければなりません。  CGI からの入力の多くが、いわゆる「URL エンコードされた」形式になっている点が検証をより厄介にしています。つまり 16 進数の HH というバイト値を表すには %HH という形式をとります。 CGI や CGI ライブラリは、これらの入力を適切にデコードして、バイト値が正しいかどうかをチェックする必要があります。 %00 (NIL) や %0A (改行)のような疑わしい値を含むすべての入力を間違いなく処理しなければいけません。入力のデコードは 1 回だけにしてください。でないと、「%2500」のような入力が誤って処理されてしまいます(まず %25 が「%」に変換され、その結果「%00」が間違って NIL キャラクタに変換されてしまいます)。  入力に特殊なキャラクタを混ぜることで、CGI スクリプトを攻撃するケースがまま見られます。上記の解説を見てください。  HTML のフォームには、クライアント側でチェックをすることで不正な値を排除するものもあります。これはユーザにとっては有益かもしれませんが、セキュリティ上は無意味です。というのも、攻撃者はそのような「不正」な値を直接 Web サーバーに送り付けられるからです。後で(「信頼できる経路だけ信じること」のセクション)説明しますが、サーバーは自分が受け取るすべての入力をチェックする必要があります。  <sect1>その他の入力  プログラムは、入力のすべてをコントロールすることが必須です。しかし setuid/setgid されたプログラムでは困難を極めます。理由は、そのような入力があまりに多いからです。一方、入力プログラムでは下記の点を考慮する必要があります。 <itemize> <item>カレントディレクトリ <item>シグナル <item>メモリー・マップ(mmap) <item>System V 由来の IPC <item>umask(新規にファイルを作成する場合のデフォルトのパーミッションを決定する) </itemize> プログラムを起動する時にディレクトリを(chdir(2)を使用して)変更する場合は、フルパス指定できちんと目的のディレクトリに移動することも考慮してください。  <sect1>入力制限時間と負荷レベルの制限  タイムアウトと負荷レベルの制限を設けてください。特にネットワーク経由でやってくるデータには必ず制限をかけてください。そうしないと攻撃者は絶えることなくサービス要求を送り付けることで、いとも簡単にサービス妨害攻撃を実行できます。 </sect>  <sect>バッファオーバーフローの回避  「バッファオーバーフロー」は、セキュリティの欠陥として頻繁に発生します。技術的にはプログラムの実装上の問題ですが、あまりに頻繁に発生し、かつ重大な問題を抱えているので、あえて独立して項目を立てました。この問題がいかに重要かは、CERT の勧告の内 1998 年の 13 の内の 9、1999 年の少なくとも半分以上がバッファオーバーフロー関連であることで明らかです。 Bugtraq による非公式な調査でも、おおよそ 2/3 の回答がバッファオーバーフローがセキュリティの脆弱さの原因としています(残りの回答は「設定ミス」が原因としています) [Cowan 1999] <bf>訳註：</bf>Bugtraq は、セキュリティ関連の情報をやり取りする ML です。 <url url="http://www.securityfocus.com/bugtraq/archive/" name="ML のアーカイブ"> が公開されています。  バッファオーバーフローが発生するのは、固定長のバッファ領域にある値(文字列など)を、その領域を越えて書き続けてしまう場合です。これらの現象は、ユーザからの入力をバッファに読み込む時にも起こりますし、プログラムのまったく違った処理の最中でも起こる可能性があります。  安全性が求められるプログラムでバッファオーバーフローを許してしまうと、往々にして攻撃者に悪用される恐れがあります。バッファが C のローカル変数で実装されていた場合、攻撃者はその関数の中で望みのコードを強制的に実行させる手段としてオーバフローを利用できてしまいます。バッファがヒープ領域にあっても、状況が改善するわけではありません。攻撃者は、この状態でもプログラム中の変数をいじることができます。さらに詳しいことは、Aleph1 [1996]、Mudge [1995]を参考にするか、 <url url="http://destroy.net/machines/security/"> にある「Stack Smashing Security Vulnerabilities」を見てください。 <bf>訳註：</bf>ヒープ領域は、プログラムで利用するデータを格納する領域で、利用時に動的に割り当てられ、利用が済むと解放された後、再利用に回されます。 C では malloc(3) で確保された領域がこれに当たります。  プログラム言語の中には、そもそもこういった問題に影響されないものもあります。つまり自動的に配列の大きさを調整したり(たとえば Perl)、バッファオーバーフローを見つけだし、防ぐしくみを標準で備えているもの(たとえば Ada95)があります。残念なことに、 C はバッファオーバーフローを防ぐ手段をまったく持っておらず、 C++ でもたわいなくこの問題を発生させることができます。  <sect1>C/C++ の危険なところ  C ユーザは、確保されている領域を越えることはありえないと確証できなければ、境界をチェックしない危険な関数を使うべきではありません。通常使用を避けるべき関数には、strcpy(3)、strcat(3)、sprintf(3)や gets(3) があります。その代わりに strncpy(3)や、strncat(3)、snprintf(3)や fgets(3)を使用することを勧めます。詳しくは下記で論じます。 strlen(3)は NIL キャラクタが終端にあることを仮定しているので、NIL が必ず存在すると確信できなければ、使用は避けるべきです。その他にもバッファを越えてしまう恐れのある関数(その使い方によりますが) には、fscanf(3)、scanf(3)、vsprintf(3)、realpath(3)、getopt(3)、getpass(3)、 streadd(3)や strecpy(3)、strtrns(3)等があります。 </sect1>  <sect1>C/C++ のライブラリによる解決策  C/C++ での解決策として、バッファオーバーフローの問題を抱えていない関数ライブラリの使用があげられます。  C でバッファオーバーフローを防ぐ「常套」手段として、これらの問題を抱えていない標準ライブラリ関数を使用することがまずあげられます。この解決方法は strncpy(3)と strncat(3)という標準関数にとても依存しています。この解決策をとるなら、その使い方が意外と面倒で、正しく使うことが難しいことに注意が必要です。 strncpy(3)はコピー先の文字列の終端に NIL をセットしないので、コピー元の文字列長がコピー先以上の長さならば、strncpy(3)を呼出した後にコピー先の終端に NIL をセットすることを忘れないでください。 strncpy(3)、strncat(3)とも、書き込みできる領域の残りの大きさを引数で渡す必要がありますが、この残量の計算をよく間違います(ここで間違ってしまうと、バッファオーバーフロー攻撃を許してしまうことになります)。どちらの関数も、バッファオーバーフローが発生したかどうかを確認する単純なしくみを持っていません。最後になりますが、代替え関数である strncpy(3)は strcpy(3)に比べて、パフォーマンスは劣ります。これは strncpy(3)がコピー先の残り領域を 0 で埋めるためです。  一方、OpenBSD には Miller と de Raadt [Miller 1999] 両氏によって開発された strlcpy(3)と strlcat(3)があります。従来のコピーと連結とは異った(かつ間違いにくい)インタフェースを持ち、最小限の努力で問題の解決を試みています。ソースと関数のドキュメントは BSD スタイルのライセンスで、 <url url="ftp://ftp.openbsd.org/pub/OpenBSD/src/lib/libc/string/strlcpy.3"> から利用できます。  他の取り組みとしては、固定長のバッファを使うかわりに、文字列すべての領域を動的に再確保する方法もあります。この手法は一般的で、GNU プログラミングガイドラインで推奨しています。その方法の 1 つとして自動的に文字列領域の再確保を行う C のツールである Forrest J. Cavalier III 氏が開発した「libmib allocated string functions」があります。 <url url="http://www.mibsoftware.com/libmib/astring">から利用できます。ソースはオープン・ソースの形式をとっていますが、ドキュメントはオープン・ソースではありません。しかし自由に入手できます。  その他にも役に立つと思われるライブラリがあります。たとえば、glib ライブラリは広くオープン・ソースのプラットフォーム上で利用されています(GTK+ ツールキットは glib ライブラリを使用していますが、glib は GTK+ を使うことなしに単独で利用できます。今の時点で、glib ライブラリの関数がバッファオーバーフローを防ぐために有効かどうかを分析して、問題ないことを示すことはできませんでしたが、期待できそうな感じがします。願わくば、このドキュメントの次以降の版では glib の関数がバッファオーバーフローの問題を解決できることを確認したいと思っています。 </sect1>  <sect1>C/C++ のコンパイル時の解決策  まったく違った観点から解決をはかろうとするものに、領域の境界チェックをコンパイル時に行うものがあります([Sitaker 1999] のリストを参照してください)。私見ですが、防御にいろいろな手段を打った中の 1 つとして、そのようなツールは非常に有効ですが、この手法だけで防御するのは賢い手段とはいえません。理由として 2 つは上げられます。まず、そのようなツールは必要な防御の一部しか行うことができません(そして「完璧な」防御を行おうとすると、通常の 12 から 30 倍遅くなります)。C と C++ はそもそもバッファオーバーフローを防ぐ手段を持ち合わせていません。次に、オープン・ソースであるプログラムですと、何のツールを使ってコンパイルするかを決められているわけではありません。システムについてくるデフォルトの「普通の」コンパイラを使うとセキュリティの弱点をさらすことになってしまいます。  さらに有効なツールとして「StackGuard」があります。これは「ガード」するための値(「カナリア(canary)」と呼びます)をリターンアドレスが書かれている前に挿入して動作します。バッファオーバーフローが発生してリターンアドレスを書き換えると、カナリアの値が(おそらく)変更され、実際に使用される前にシステムが検出します。これは非常に有効なのですが、リターンアドレス以外の値(これを使用してもシステムを攻撃できます)を書き換えるバッファオーバーフローには対処できません。 StackGuard を強化して、カナリアを他のデータに対しても使えるようにしたものが、「PointGuard」です。 PointGuard は自動的にある値(たとえば関数のポインタやロングジャンプ・バッファ) を保護します。しかし他の変数を PointGuard を使って保護する場合、プログラマの介在が必要となります(プログラマはどのデータをカナリアで保護しなければいけないのかを認識しなければいけない)。これは有効な半面、本来保護すべきなのに必要がない、とうっかり判断してしまい、いとも簡単に保護を省略してしまう場合が考えられます。 StackGuard や PointGuard、またそれと同様なものについての詳細は Cowan [1999] を参照してください。 <bf>訳註：</bf>鳥類のカナリアは、炭鉱で一酸化炭素の増加や酸欠状態を「検知」するために飼われていました。  これと関連して、Linux のカーネルを修正して、スタック・セグメント上でのプログラムの実行を禁止してしまう方法もあります。それを行うにはパッチが必要です (Solar Designer のパッチに含まれています。 <url url="http://www.openwall.com/linux/">) このドキュメントを書いている時点では、まだカーネルに取り込まれていません。技術的な理由の 1 つに、思ったほどその効果がでない点があげられます。攻撃者は、対象にしているプログラムにすでに存在している他の「面白そうな」場所 (ライブラリやヒープ領域、スタティックなデータ・セグメント領域など)を呼び出せてしまうからです。また Linux はスタック領域でプログラムを実行する場合があります。例として、シグナルや GCC の「トランポリン」の実装をする場合です。 Solar Designer のパッチでこのようなケースにも対応できますが、これがパッチを複雑なものしている原因です。個人的には Linux 本流に組み込まれてもいいかと思います。というのもこれによっていくぶんかでも攻撃が難しくなりますし、既存の攻撃のある部分は防御できるからです。しかし Linus Torvalds 氏たちが考えているように、このパッチが見た目ほどさまざまな防御ができない、比較的簡単にこの防御の裏をかくことができる、という点については私も同意見です。 Linus Torvalds 氏がこのパッチを採用しない理由については、 <url url="http://lwn.net/980806/a/linus-noexec.html">を参照してください。 <bf>訳註：</bf>トランポリン(trampoline)とは、プログラムが実行している最中にプログラム自身によって生成される、互いに独立した小さなオブジェクト・コードを指します。  要するに、まずプログラムそのものでバッファオーバーフローを防ぐように開発するのが大切です。そのように開発した後に、StackGuard のようなツールやテクニックを使って、さらに安全策を講じておくべきです。ソースコードからバッファオーバーフローを追い出せるだけ追い出したら、 StackGuard はさらに効果を発揮します。というのも StackGuard が防御のために呼ばれるような「致命的な弱点」を減らすことができるからです。 </sect1>  <sect1>他の言語  バッファオーバーフローは、他のプログラミング言語でも問題になっています。 Perl や Python、Ada95 のようなバッファオーバーフローを防ぐ言語であってもです。 C や C++ 以外の言語を使ったとしても、もちろんすべての問題を解決できるわけではありません。詳しくは、後程論じる「正しい値でだけ呼び出すこと」にある NIL キャラクタの扱いを参照してください。また言語が提供している基本的な機能(たとえばランタイム・ライブラリ)が利用できる環境でかつその機能が安全であることを保証するという問題も残っています。そのような問題はあるにせよ、バッファオーバーフローを防ぐよう、安全なプログラム開発を行う場合は、他の言語の使用を真剣に考えるべきだと思います。 </sect1> </sect>  <sect>プログラムのインタフェースと内部構成をきちんとすること  <sect1>インタフェースを安全に  インタフェースは、できる限り小さく(限りなくシンプルに)、厳密に(必要な機能だけ)、そして例外なくそのインタフェースを使うようにする必要があります。信用できる入力はほとんどないと思ってください。アプリケーションやデータを見るためのビューアーは、外部で作成されたファイルを表示することが多いと思いますが、それらのファイルをプログラム(自動実行マクロも含みます)として扱うことを避けてください。安全なサンドボックスを苦労して作成することをいとわないのであれば、話は別ですが。 </sect1>  <sect1>パーミッションを最小限に  すでに触れましたが、この点については大原則が存在しています。それはプログラムには、処理のために必要な最低限のパーミッションしか持たせないということです。そうすれば万が一プログラムがおかしくなっても、影響範囲が狭まります。極端を言うと、できるなら安全性が求められるプログラムを作成すること自体を止める、というのが一番確実なのですが。  Linux ではプロセスのパーミッションは、まずその各種 ID によって決まります。プロセスはそれぞれ実 ID、実効 ID、ファイルシステム ID、保存 ID をユーザとグループ毎に持っています。これらの値をうまく使用して、パーミッションを最小限にすることはとても大切なことです。  別の観点からもパーミッションを最小限に抑える理由をあげられます。 <itemize>  <item>最高のパーミッションを許可することは最小限に抑えること。なるべくなら root の権限をプログラムに与えない。単独のファイルにアクセスするためだけに、プログラムを <it>setuid root</it> しない。そのような場合はファイルにアクセスするために専用グループの作成を検討すること。このグループがファイルを所有し、プログラムはこのグループに <it>setgid</it> すればよい。このようにプログラムをいきなり <it>setuid</it> せずに <it>setgid</it> してみること。というのは、グループのメンバーに対しては許可されることがユーザに対することよりも限定されているからである(たとえばファイルのパーミッションの変更は認められない)。もしプログラムが複数のファイルにアクセスするために、複数ユーザのパーミッションを持つ必要があるなら(たとえば NFS サーバー)、 Linux 固有の機能である「ファイルシステム UID(fsuid)」を検討すること。これを採用すれば、競合状態やユーザがプロセスにシグナルを送れるように許可を与えることなしにファイルへのアクセスを制限できる。  <it>どうしても</it> root の権限をプログラムに与える必要がある場合、Linux 2.2 以上で利用可能な POSIX ケイパビリティの使用を検討すること。POSIX ケイパビリティを利用すると、プログラムが起動するとすぐにそのプログラムの権限を最小限に抑えられる。 cap_set_proc(3)もしくは Linux 固有の capsetp(3)を呼び出すことで、プログラム起動とともにそのプログラムが実際に必要とする機能だけに常に権限を制限できる。 UNIX ライクなシステムすべてが POSIX ケイパビリティを実装しているわけではないことに注意すること。 Linux での POSIX ケイパビリティの詳細は、 <url url="http://linux.kernel.org/pub/linux/libs/security/linux-privs">. を参照すること  <item>パーミッションが有効である時間を最短に。 setuid(2)、seteuid(2)やそれと関連した機能を使用する場合は、プログラムがそのパーミッションを必要とする時だけ有効にしているかを確認すること  <item>パーミッションを有効にできる時間を最短に。すみやかにパーミッションを完全に放棄すること。 Linux は「保存」ID を採用しているので、信用できない ID に対しては 2 度ばかり他の ID をセットしてしまえば、それで終わりにできる。 setuid/setgid されたプログラムでは、特別な理由がない限りは実効 gid と UID に実際に実行したユーザの ID をセットすること。特に fork(2)した後は必ず。 root から他の権限に移る場合には、必ず最初に gid を変更すること。さもないと動かなくなる！  <item>パーミッションに左右されるモジュール数をできる限り少なく。パーミッションに左右されるモジュールの数がわずかなら、安全かどうかを確認するのは容易である。方法の 1 つは前の項目で指摘したことそのままで、モジュールがある権限を使用し終えたら、すぐその権限を取り去る。そうすれば後から呼ばれるモジュールは権限を誤用しようがない。別のやり方はコマンドを分け、1 つはおびただしい数の処理を行う複雑なツールで権限を持つユーザ(たとえば root)が使用するものにし、一方他のツールは setuid されてはいるが、コンパクトかつ単純なツールで限られたコマンドしか実行できないようにする(このツールで入力が認められたなら、最初のツールに渡す)。この方法は GUI ベースのシステムにとってとても有効な手段で、GUI 部分を普通のユーザ権限で動かし、そこで受け取ったリクエストを特権を持ったモジュールに渡してやる  <item>使えるリソースを最小限に。プログラムが書き込むことができるファイルやディレクトリをできるだけ少なくするようにパーミッションをセットすること。これはゲームソフトのハイスコアを記録する場合によく使われている方法で、ゲームは普通 <it>games</it> に setgid されていてスコアファイルは <it>games</it> グループが所有している。そしてプログラム自体は別のユーザ (root など)が所有している。こうしておけば、ゲームを通じて侵入者が入ってきてもハイスコアをいじることはできても、ゲームの実行形式や設定ファイルには手を付けられない。  異なる機能毎にそれぞれユーザとグループを作ることを考えておくべきだ。そうしておけば、あるシステムに付け込まれると自動的に他のシステムもダメージを被る、ということはなくなるだろう。  chroot(2)コマンドを使えば、プログラムは限られた数のファイルしか利用できなくなる。この機能を生かすには、ディレクトリの設定を慎重に行なう必要がある (「chroot jail(chroot の牢獄)」と呼ばれている)。 root のパーミッションを持ったプログラムは、この手を打ってもシステムを壊せるが(mknod(2)などを呼び出してシステムメモリーを変更できてしまう)、それ以外はこの牢獄がプログラムのセキュリティを大幅に堅牢にしてくれる。 </itemize>  オペレーティングシステムの中には、1 つのプロセスで信頼のレベルを複数持つものもあります。たとえば Multics のリング保護機構がそれに当たります。一般的な UNIX や Linux では 1 つのプロセス中で信頼のレベルを複数に分ける方法はありません。つまり、カーネルを呼び出すことでパーミッションを上げられますが、プロセスは単一の信頼レベルしか持てません。 Linux や UNIX ライクなシステムは 1 つのプロセスから複数のプロセスを fork して、そのそれぞれのプロセスにパーミッションを設定することで、この機能をシミュレートすることができます。これを行なうには、安全に情報を伝達する経路(普通は名前なしパイプが使われます) を確保し、別のプロセスを fork してできる限り多くのパーミッションを落とさなければいけません。そして単純なプロトコルを使って信頼性の高いプロセスから低いプロセスに要求を伝えるようにし、信頼性の高いプロセスは限られた要求しかサポートしないことを確実に行なわなくてはなりません。  この技術は Java 2 や Fluke が強みをもつ分野の 1 つです。たとえば Java 2 はある特定のファイルだけをオープンするパーミッションというような、きめの細かいパーミッションを指定できます。しかし汎用的なオペレーティングシステムでは、そのような機能は一般的に持っていません。 <bf>訳註：</bf>Fluke は、Flux プロジェクトの一環として開発されているカーネルとオペレーティングシステムの総称で、Flux μ-kernel Environment の略称です。 nested process model にもとづき、強力で階層的なリソース管理を行い、より安全性の高いシステムを目指しています。詳しくは、<url url="http://www.cs.utah.edu/projects/flux/" name="The Flux Research Group"> を参照してください。  Linux のプロセスには、ファイルシステムユーザ ID(fsuid)とファイルシステムグループ ID(fsgid)という 2 つの Linux 固有の状態変数があります。この変数は、ファイルシステムのパーミッションをチェックする時に使われます。 root の権限を持つプログラムは、一般ユーザに代わってファイルにアクセスする前に fsuid と fsgid を変更することを考慮すべきです。理由は、プロセスに実効ユーザ ID を設定すると、そのユーザはそのプロセスに対してシグナルを送れてしまいますが、fsuid に設定してもそうはなりません。この方法の欠点は他の POSIX システムではこの機能が使えないことです。 </sect1>  <sect1>デフォルトは安全に  プログラムをインストールする時には、ユーザが設定する機会まですべてのアクセスを拒否すべきです。インストールされたファイルやディレクトリは、誰もが読み書き可能であっては決していけません。要するに、信頼できるユーザ以外は読めなくしてしまうのが一番です。設定をするための言語があるならば、ユーザがあえて許可しない限り、デフォルトでのアクセスは拒否すべきです。 </sect1>  <sect1>フェイル・オープン  安全なプログラムは常に「フェイル・オープン」であるべきです。つまり、プログラムが正しく動作しなくなっても、プログラムはすべてのアクセスを拒否するように設計されている必要があります(「フェイル・セーフ」とも呼ばれています)。プログラムが不正と思われる行為(異常な入力や「起こり得ない」状態になる等) を見つけたら、すぐにサービスを拒否すべきです。「ユーザが意図することを探り出そう」などとはしないでください。ただサービスを拒否するだけでよいのです。こうすると、時として信頼性や使い勝手が悪くなるかもしれません(ユーザの立場からすると)。しかし安全性は高まります。 </sect1>  <sect1>競合状態は避けましょう  安全が求められるプログラムは、要求を許可すべきかどうかを決めなければなりません。そして許可したならば、その要求を実行に移さなければなりません。プログラムを実行する前に、信頼できないユーザが判定に影響を与えるどのような変更もできてはいけません。  ファイルシステムにおいては頻繁にこの問題が起こります。一般的に避けなければいけないことは、プログラムが access(2)を使って要求を認めるべきかを決定し、その後に open(2)を使うという手法です。これらのシステムコールを発行する間に、ユーザがファイルを移動できてしまうかもしれないからです。安全が要求されるプログラムではそうするかわりに、実効 ID とファイルシステム ID をセットしてからすぐ、open システムコールを発行すべきです。安全に access(2)を使う方法もありますが、その場合はユーザがそのファイルやディレクトリをファイルシステムのルートからパスをたどっていじることができない時だけです。 </sect1>  <sect1>信頼できる経路だけ信じること  一般的に、信頼できない経路からの結果を信じてはいけません。  コンピュータで構成されたネットワーク(インターネット全体にも当てはまります) の大部分では、正当さが証明されていない伝送は信頼することができません。たとえば、インターネット上ではどんなパケットでもそのヘッダー情報を含めて、改ざんすることが可能です。したがって、信頼できると確証できるのでなければ、その情報を第 1 の基準として、セキュリティ上の判断をしないでください。ローカルのファイアーウォールが外部からスプーフィング(なりすまし)を防いでいるはずなので、本当に「内部」から送られたパケットであると断言できる場合もあります。しかしファイアーウォールがおかしかったり、別の経路があったり、モバイル用の接続口があったりすると、この仮定さえも疑わしいものになってしまいます。同様な感覚で、小さいポート番号(1024 以下)を信頼できるものと決め込まないでください。大部分のネットワークではそのようなリクエストは改ざん可能ですし、コンピュータシステムに、小さいポート番号の使用を認めるようにすることもできます。  標準的に使われているが本質的に安全でないプロトコル(たとえば ftp とか rlogin)を実行しているなら、デフォルトを安全にしておき、ドキュメントには実行に当たっての前提条件を明記しておいてください。  ドメイン・ネーム・サーバー(DNS)は広くインターネット上で利用されており、コンピュータ名と IP アドレス(数値)の組合せを維持管理しています。「DNS の逆引き」という方法を使えば、単純なスプーフィング攻撃の一部を排除できますし、ホスト名を見つける時にも役に立ちます。しかしこのやり方では認証を決めるほどの信頼性はありません。つまるところ問題なのは、DNS のリクエストが結局は攻撃者がコントロールしているどこかのシステムに対して送られているかもしれない、というところにあります。したがって、DNS から得られた結果が入力として正しいことを確認する必要があり、重要なアクセス制御の手段として信用してはいけません。  パスワードを要求する場合、信頼できる入力をするために、一連の流れを設定するように心がけてください(たとえば、ログインする前に改ざんできないキーを押すことを要求する、LED を点滅させて、改ざんできないパターンを表示する等)。  電子メール(「From」に書いてあるアドレスを含む)も改ざんできます。そのような攻撃の多くは、電子署名を使えば防げます。もっと簡単な防御は、電子メールにランダムに発生させた値を添付してやりとりする方法です。小額の金銭取引きもないような、公開メーリング・リストへの登録ならば十分利用できます。  信頼できないネットワーク越しに信頼できる経路を必要とするならば、何らかの暗号作成技術の助けが必要となります(最低限でも暗号的に安全なハッシュ技術)。下記のセクションにある「暗号アルゴリズムと通信プロトコル」を参照してください。  注意して欲しいのは、CGI があるクライアント/サーバーモデルで、クライアントがどんな値も変更できてしまうことです。サーバー側は常にこの点に気をつけていなければなりません。例をあげると、いわゆる「隠れフィールド」、クッキーなどは、CGI プログラムが値を受け取る前にクライアント側で値を変更できてしまいます。クライアントが偽造できない方法で署名をするか、サーバーが署名をチェックするのでなければ、これらの値を信用してはいけません。  getlogin(3)や ttyname(3)といった関数が返す値は、ローカルのユーザが制御できてしまうので、セキュリティの用途としてこれらを信用してはいけません。 </sect1>  <sect1>内部の整合性をチェックするコードを使用しましょう  プログラムは、呼び出す時に指定する引数や想定している基本状態が適切であることが保証されているかをチェックすべきです。 C では assert(3)のようなマクロが役に立つでしょう。  <sect1>リソースを自主規制しましょう  ネットワーク関連のデーモンでは、過負荷となる要求は拒否するか制限を設けましょう。限界値を設定して(setrlimit(2)を使って)使用されてしまうと予想されるリソースを制限しましょう。 setrlimit(2)を使って「core」ファイルができないぐらいは最低限するようにしてください。普通 Linux では core ファイルを作って、プログラムが異常終了したらそのすべてのメモリを保存するようにします。しかし core ファイルには、パスワードやその他の注意が必要なデータがあるかもしれません。 </sect>  <sect>他のリソースを利用する場合は慎重に  <sect1>正しい値でだけ呼び出すこと  別のプログラムを呼び出す場合は、そのプログラムが常にパラメタとして有効かつ事前に予想されている値だけを許可しているかを確認する必要があります。これは言うよりもずっと困難なことです。と言うのも、様々なライブラリ関数やコマンドが、低レベルの関数を意外なやり方で呼び出しているかもしれないからです。たとえば popen(3)や system(3)のようなシステムコールのいくつかは、コマンドシェルを呼び出すように実装されています。つまりシェルのメタキャラクタがこれらのシステムコールに影響をおよぼすことを意味します。同様に execlp(3)や execvp(3)もシェルを呼び出すしくみになっています。ガイドラインの多くは popen(3)、system(3)、execlp(3)と execvp(3)をまったく使用しないように提案していて、プロセスを生成する場合には execve(3)を C 言語から直接呼び出すように提案しています [Galvin 1998b]。同様な方法で Perl やシェルのバッククォート(`)もコマンドシェルを呼び出します。  この問題の厄介な例のひとつにシェルのメタキャラクタがあります。標準的な Linux のコマンドシェルは、解釈を特別に行うキャラクタがたくさんあります。シェルにこれらのキャラクタが渡ると、エスケープされていなければシェルは特別に解釈します。この方法を使ってプログラムがしばしば壊されます。 WWW Security FAQ [Stein 1999, Q37] によると、メタキャラクタは以下のものです。 <verb> &ero; ; ` ' \ " | * ? ~ < > ^ ( ) [ ] { } $ \n \r </verb>  これらのキャラクタの内 1 つでも忘れると、悲惨なことになるかもしれません。たとえば、プログラムの多くはバックスラッシュをメタキャラクタとして扱うことを怠っています[rfp 1999]。入力の検証を説明したセクションで論じましたが、対策として、これらのキャラクタが入力されたらすぐにエスケープすることをお勧めします。  これと関連する問題として NIL キャラクタ(キャラクタの 0)が意外な影響を及ぼすことがあげられます。 C や C++ の関数の大部分は、NIL キャラクタが文字列の終端の印と想定していますが、他の言語(Perl や Ada95 など)の文字列を扱う関数は NIL を文字列の一部として扱います。ライブラリやカーネルの呼び出しは C と同じ扱いを踏襲していますので、チェックする内容と実際使用されることが一致していません [rfp 1999]。  他のプログラムを呼び出したり、ファイルを参照したりする時は、いつもフルパス (たとえば /usr/bin/sort のように)で指定するようにしてください。こうすることで、「間違った」コマンドを呼び出す際に生じるエラーを無くすことができるだけでなく、PATH 環境変数が間違って設定されていてもエラーを回避できます。他のファイルの参照についても、「間違った」開始パスを指定した結果生じる問題を減らせます。 </sect1>  <sect1>システムコールの返り値はすべてチェックしましょう  システムコールでエラー状況を返せるものは、すべてそのエラー状態をチェックする必要があります。まず理由としてあげられるのは、システムコールのほとんどすべてが、制限をかけられているシステム・リソースを対象としており、そのリソースに対してユーザはさまざまな方法で影響を与えることができてしまう点があります。 setuid/setgid されたプログラムには、setrlimit(3)や nice(2)のようなシステムコールを呼び出すことで、そのプログラムで使用するリソースに制限をかけることができます。サーバープログラムを利用する外部のユーザや CGI スクリプトは同時に多量のリクエストをサーバーに要求することで、リソースを食い潰すことができます。エラーを適切に扱えていないならば、すでに述べた「フェイル・オープン」を参照してください。 </sect1> </sect>  <sect>情報はえりすぐってフィードバックしましょう  <sect1>フィードバックは最小限に  信頼できないユーザに対しては、多くの情報を提供しないようにしてください。ただ成功したか、失敗したかを教えて、失敗しても失敗したと言うだけにして、なぜ失敗したかについては、できるだけ教えないようにしてください。詳細な情報はユーザの痕跡を検査したログに保存してください。たとえば、 <itemize> <item>  プログラムに何らかのユーザ認証が必要な場合(たとえばネットワークサーバーやログイン・プログラムを作成している)、認証前の段階では、ユーザにはできるだけ情報を与えないようにしてください。特に認証前にプログラムのバージョンナンバーを漏らすことがないようにしてください。そうしないと、特定のバージョンのプログラムに穴があることがわかってしまった場合、ユーザがそのバージョンからアップグレードしないと攻撃者にみすみす穴を教えてしまうことになってしまいます。 <item>  プログラムがパスワードを要求する場合、入力を表示してはいけません。パスワードがばれる原因の 1 つになってしまいます。 </itemize> </sect1>  <sect1>出力が溢れていたり、反応が遅い場合も対処すること  安全性が求められるプログラムがユーザへの出力をする過程を詰まらせたり、出力の反応を遅くさせることは、ユーザでも行なえるはずです。たとえば、Web ブラウザは故意に TCP/IP の経路を切断したり、反応速度を遅くしたりできます。そのようなケースにも安全性が求められるプログラムは対応するべきです。特にロックはすみやかに外すようにすべきです(できれば反応を返す前に)。そうすれば、サービス拒否攻撃(DoS 攻撃)に隙を与えないで済ませられます。ネットワークへの書き込み要求についてはタイムアウトを常に設定すべきです。 </sect1> </sect>  <sect>トピック  <sect1>ロック  プログラムが何かに対して排他的に実行する権限を持っているかどうかの裏付けを取らなければならない状況がよくあります。 POSIX システムでは、以前からロック状態を示すファイルを作成することで対処してきました。それは多くのシステム間で互換性を取るにはよい方法だからです。  しかしこの方法にはいくつか避けなければならない落とし穴があります。まず root 権限を持っているプログラムは、O_EXCL モード(通常ファイルが存在していると失敗する)のファイルでもオープンできてしまいます。そうなると open(2)を使わず link(2)を使用してファイルを作成する必要があります。マシン上でサーバープログラムが 1 つだけしか実行できないことを確実に行いたいなら、/var/log/名前.pid という中身がそのプログラムの pid が書かれているロックファイルを作成することを検討してみてください。この方法は、プログラム予想外に中断して中途半端な状態になってしまう、という欠点を抱えていますが、一般的に使用されており、他のシステムツールからでも簡単に利用できます。  次に、ロックファイルが NFS でマウントされたファイルシステム上にある場合、 NFS が通常のファイルの機能を充分にはサポートしていない問題に悩まされることになります。 <it>open(2)</it>のマニュアルにどうしたらこの問題を解決できるかの説明があります(root 権限のプログラムについての扱い方についても説明があります) <quote>  ... ロックをかけるのに「open(2)の O_CREAT and O_EXCL フラグ」に依存しているプログラムは、競合状態に陥る問題を抱えています。ロックファイルを使ってアトミックなファイルロッキングを行うには、まず同じファイルシステム上にユニークなファイルを作り(たとえばホスト名と pid を組み合わせます)、次にこのロックファイルに link(2)でリンクを張り、それからユニークなファイルに対して stat(2)を行ってリンクの参照数が 2 に増えていることを確認します。 link(2)の返り値を使うのは止めてください。 </quote>  <sect1>パスワード  できるなら、パスワードを扱うコードは自前で書かないようにしてください。特にローカルなアプリケーションの場合、通常行うユーザのログイン認証にまかせてしまってください。アプリケーションが CGI スクリプトの場合、Web サーバーが用意している防御にまかせてください。アプリケーションをネットワーク経由で利用するのものなら、平文でパスワードを送ることを止めてください(可能なら)。というのはネットワークを盗聴することで、いとも簡単に横取りされて後で使われてしまうからです。ネットワークで利用するなら、少なくともダイジェスト・パスワードの使用を考えてください(直接しかけてくる攻撃には弱いのですが、ネットワークの盗聴に対しては有効です)  アプリケーションがパスワードを扱う必要があるなら、使ったらすぐ上書きしてしまってください。そうすればパスワードを見られる時間が短くなります。 Java ではパスワードを保存しておくのに String 型を使わないようにしてください。 String 型は内容を変更できない型だからです(String 型は不要メモリ領域の整理や再利用をしない限り上書きできない仕様で、今後もその仕様のままだと思います) そのかわり char[] を使って保存してください。この方法だとすぐにでも上書きできます。  アプリケーションでユーザがパスワードを設定できるのならパスワードをチェックして、「適切な」パスワードだけを許可してください(辞書に載っていない、一定以上の文字数である、など)。適切なパスワードの付け方を見つけたいなら、 <url url="http://consult.cern.ch/writeup/security/security_3.html"> を見てはどうでしょうか。  <sect1>乱数  Linux カーネル(1.3.30 以上)には乱数生成機能があります。乱数生成には周囲で発生するノイズをデバイスドライバや他の情報源から収集してエントロピー・プールに収めます。 /dev/random にアクセスするとエントロピー・プールにあるノイズから推定されたビット数の範囲でだけ、ランダムな値が返されてきます(エントロピー・プールが空の場合は、周囲からノイズが集まってくるまで、呼び出しをブロックします)。 /dev/unrandom でアクセスして、大きな値を要求すると、エントロピー・プールが使い果たされても値が返ってきます。乱数を暗号化の目的で利用するなら(たとえばキーの生成のため)、/dev/random を使ってください。さらに詳しい情報は、システムにあるオンラインマニュアルの random(4)を参照してください。  <sect1>暗号アルゴリズムと通信プロトコル  暗号アルゴリズムと通信プロトコルは、システムの安全を維持するのに必要で、特にインターネットのような信頼できないネットワークを経由してやりとりを行う場合は必須です。可能ならば通信セッションを暗号化し、セッション乗っ取りの裏をかいてください。こうすれば認証情報を隠蔽でき、プライバシーの保護にも役立ちます。  きちんとした暗号化アルゴリズムや通信プロトコルを作り上げるには困難がともないますので、自分で作ろうとはしないでください。そのかわりに、一般的に信頼性が確立されている既存のプロトコルである、SSL、SSH、 IPSec、GnuPG/PGP や Kerberos を利用してください。広く公開され、長年の攻撃に耐えてきた符号化アルゴリズムだけを使ってください (たとえばトリプル DES など、特許による利用の妨げがないもの)。特に、自分が暗号化の専門家で、何をしているかを把握しているのでなければ、符号化アルゴリズムを作成するようなことはしないでください。この種のアルゴリズムの作成は、専門家だけに許された作業です。  関連して、どうしても独自に通信プロトコルを開発しなければならないなら、過去に起きた問題事例の調査をしてください。 Bellovin [1989] に載っている TCP/IP プロトコルにおけるセキュリティについてのレビューのような古典的な資料や Bruce Schneier [1998] が役に立つと思います。また、Mudge 氏によるマイクロソフト社の PPTP の実装破りやその後の推移も参考になると思います。 <bf>訳註：</bf>Mudge 氏は、L0pht Heavy Industries という超ハッカー(クラッカー？評価が別れているようです)集団の主任科学者でした。現在は @Stake というセキュリティ関連のサービスを提供する会社で研究開発担当副社長をしています。 もちろん新しいプロトコルに対しては、広くレビューを行うべきで、できるなら再利用してください。 <sect1>Java  Linux 上のセキュリティに関係したプログラムの中には Java や Java バーチャル・マシン(JVM)を使って実装されているものがあります。 Java で安全性を要求されるプログラムを書くには Gong [1999] 他の資料で詳細が述べられています。下記に Gong [1999] から抜粋したキーポイントをあげておきます。 <itemize>  <item>public なフィールドや変数を使わないこと。利用する側に private で宣言して提供すれば、結果としてアクセスに制限をかけられる <item>特に理由がない限り private メソッドにすること <item>static なフィールド変数の使用は避けること。そのような変数はクラスに従属しており(クラスのインスタンスではない)、クラスは他のクラスと相互関係を持つ。結果として、static な変数はその変数が属していない他のクラスから参照できてしまい、安全の確保が困難になる <item>不正なものとなる可能性を持ったコードに対して mutable オブジェクトを返してはならない(そのコードが内容を変更してしまう恐れがあるため) </itemize> </sect1> <sect1>PAM  Linux ディストリビューションのほとんどは、PAM(Pluggable Authentication Modules)を持っており、ユーザの認証に柔軟に対応できるしくみになっています。カーネルのバージョンが 2.2 系列である Red Hat Linux、Caldera、Debian が採用しており、FreeBSD のバージョン 3.1 も採用しています。 PAM を使うと、プログラムと認証のしくみ(パスワードやスマート・カード)を独立したものにできます。つまり、プログラムは PAM を呼び出し、PAM がローカルシステムの管理者が設定した内容をチェックし、どの「認証モジュール」が必要かをランタイムに判断します。認証が必要となるプログラム(たとえばパスワードを入力する)を作成しているなら、 PAM を採用すべきです。詳細は、Linux-PAM プロジェクトの Web サイトである、 <url url="http://www.kernel.org/pub/linux/libs/pam/index.html"> を参照してください。 </sect1>  <sect1>その他  前提条件の少なくとも一部は、使う前にプログラムにチェックさせてください (たとえば、プログラムが開始されるところで)。たとえば、あるディレクトリで「sticky」ビットが立っていることを前提にしているなら、本当にそうなっているかをテストしてください。テストに時間はかからないですし、それによって深刻な問題を防ぐことができるはずです。もしそれぞれの呼び出しでテスト実行時間がかかることが気になるなら、インストール時には最低限行うようにしてください。  監査ログはプログラム起動時やセッション開始時、動作が怪しげな時に書き込むようにしてください。情報として考えられるものは、年月日、時刻、uid、euid、gid、egid、端末情報、プロセス id、コマンドラインの値です。監査ログを採るに当たっては、syslog(3)関数が参考になると思います。  インストール・スクリプトはできるだけ安全にプログラムをインストールしてください。デフォルトでは、インストールするファイルすべてを root か他のシステム管理ユーザの所有にして、他のユーザが書き込みができないようにしてください。こうすれば root 以外のユーザはウイルスをインストールできません。 root 以外のユーザがインストールできる場所も用意しておいておけば、root の権限を持たないユーザやインストーラを信じきれない管理者でもプログラムを使えるようになります。  可能であれば、root に setuid や setgid されたプログラムは作らないでください。ユーザには root でログインするようにさせてください。  コードに電子署名をしてください。そうすれば利用者は送られてきたものが利用できるものかどうかをチェックできます。  安全性が求められるプログラムを作成する場合に静的にリンクを行うことを検討してみてください。安全性が求められるプログラムが動的リンクを使わないようにすれば、動的なライブラリのリンク機能を狙った攻撃に対抗できます。  コードを眺めている時には条件にマッチしないケースすべてを検討してください。たとえば switch 文があった場合、どのケースにもマッチしなかった場合どうなるのか？「if」文があって条件が偽だった場合、どのように処理されるか？  プログラムをコンパイルする時や実行する時にチェック機能を確実に働かせるようにして、本番で動かす時もそうしておいてください。 Perl のプログラムなら警告フラグ(-w)をつけるべきです。そうすると危険になるかもしれないコードやすでに古い文法になってしまった式に対して警告を出してくれます。また汚染予防フラグ(-T)をつけると、何らかのフィルタリングをかけない限り、信頼できない入力を直接使用できなくなります。セキュリティ関連のプログラムは警告をすべて有効にして警告が出ないようにコンパイルすべきです。 gcc を使って C や C++ をコンパイルするには、少なくとも下記のコンパイル時のフラグを使用してください(多数の警告メッセージを有効にして、警告すべてを潰してください)。 <verb> gcc -Wall -Wpointer-arith -Wstrict-prototypes </verb> </sect1> </sect>   <sect>結論  完璧に安全なプログラムを Linux 上で設計して実装するのは、本当に困難な作業です。完璧に安全なプログラムが難しい訳は、考えられるすべての入力と敵意を持っているかもしれないユーザがコントロールしている環境に対して、適切に対応しなければならないところにあります。これは Linux 固有の問題ではありません。他の汎用的なオペレーティングシステム(UNIX や Windows NT など)も開発者に対して同様な難問を突きつけています。安全性が求められるプログラムの開発者は使用しているプラットフォームについて深く理解して、ガイドライン(このドキュメントなど)を調べて適用し、品質を上げるプロセスを設けて(ピア・レビューなど)、プログラムの脆弱なところを減らして行く必要があります。 </sect>  <sect>参考文献  <it>注意して欲しいのは、ここでは Web サイトで利用可能な技術文献を中心にあげていることです。技術的な情報のほとんどが Web サイトから入手できるからです。 </it> [Al-Herbish 1999] Al-Herbish, Thamer. 1999. <it>Secure Unix Programming FAQ</it>. <url url="http://www.whitefang.com/sup">. [Aleph1 1996] Aleph1. November 8, 1996. ``Smashing The Stack For Fun And Profit.'' <it>Phrack Magazine</it>. Issue 49, Article 14. <url url="http://www.phrack.com/search.phtml?view&article=p49-14"> or alternatively <url url="http://www.2600.net/phrack/p49-14.html">. [Anonymous unknown] <it>SETUID(7)</it> <url url="http://www.homeport.org/~adam/setuid.7.html">.  [AUSCERT 1996] Australian Computer Emergency Response Team (AUSCERT) and O'Reilly. May 23, 1996 (rev 3C). <it>A Lab Engineers Check List for Writing Secure Unix Code</it>. <url url="ftp://ftp.auscert.org.au/pub/auscert/papers/secure_programming_checklist"> [Bach 1986] Bach, Maurice J. 1986. <it>The Design of the Unix Operating System</it>. Englewood Cliffs, NJ: Prentice-Hall, Inc. ISBN 0-13-201799-7 025. [Bellovin 1989] Bellovin, Steven M. April 1989. "Security Problems in the TCP/IP Protocol Suite" Computer Communications Review 2:19, pp. 32-48. <url url="http://www.research.att.com/~smb/papers/ipext.pdf"> [Bellovin 1994] Bellovin, Steven M. December 1994. <it>Shifting the Odds -- Writing (More) Secure Software</it>. Murray Hill, NJ: AT&T Research. <url url="http://www.research.att.com/~smb/talks"> [Bishop 1996] Bishop, Matt. May 1996. ``UNIX Security: Security in Programming.'' <it>SANS '96</it>. Washington DC (May 1996). <url url="http://olympus.cs.ucdavis.edu/~bishop/secprog.html"> [Bishop 1997] Bishop, Matt. October 1997. ``Writing Safe Privileged Programs.'' <it>Network Security 1997</it> New Orleans, LA. <url url="http://olympus.cs.ucdavis.edu/~bishop/secprog.html"> [CC 1999] <it>The Common Criteria for Information Technology Security Evaluation (CC)</it>. August 1999. Version 2.1. Technically identical to International Standard ISO/IEC 15408:1999. <url url="http://csrc.nist.gov/cc/ccv20/ccv2list.htm"> [CERT 1998] Computer Emergency Response Team (CERT) Coordination Center (CERT/CC). February 13, 1998. <it>Sanitizing User-Supplied Data in CGI Scripts</it>. CERT Advisory CA-97.25.CGI_metachar. <url url="http://www.cert.org/advisories/CA-97.25.CGI_metachar.html">. [CMU 1998] Carnegie Mellon University (CMU). February 13, 1998 Version 1.4. ``How To Remove Meta-characters From User-Supplied Data In CGI Scripts.'' <url url="ftp://ftp.cert.org/pub/tech_tips/cgi_metacharacters">. [Cowan 1999] Cowan, Crispin, Perry Wagle, Calton Pu, Steve Beattie, and Jonathan Walpole. ``Buffer Overflows: Attacks and Defenses for the Vulnerability of the Decade.'' Proceedings of DARPA Information Survivability Conference and Expo (DISCEX), <url url="http://schafercorp-ballston.com/discex"> To appear at SANS 2000, <url url="http://www.sans.org/newlook/events/sans2000.htm">. For a copy, see <url url="http://immunix.org/documentation.html">. [Fenzi 1999] Fenzi, Kevin, and Dave Wrenski. April 25, 1999. <it>Linux Security HOWTO</it>. Version 1.0.2. <url url="http://www.linuxdoc.org/HOWTO/Security-HOWTO.html"> [FreeBSD 1999] FreeBSD, Inc. 1999. ``Secure Programming Guidelines.'' <it>FreeBSD Security Information</it>. <url url="http://www.freebsd.org/security/security.html"> [FSF 1998] Free Software Foundation. December 17, 1999. <it>Overview of the GNU Project</it>. <url url="http://www.gnu.ai.mit.edu/gnu/gnu-history.html"> [Galvin 1998a] Galvin, Peter. April 1998. ``Designing Secure Software''. <it>Sunworld</it>. <url url="http://www.sunworld.com/swol-04-1998/swol-04-security.html">. [Galvin 1998b] Galvin, Peter. August 1998. ``The Unix Secure Programming FAQ''. <it>Sunworld</it>. <url url="http://www.sunworld.com/sunworldonline/swol-08-1998/swol-08-security.html"> [Garfinkel 1996] Garfinkel, Simson and Gene Spafford. April 1996. <it>Practical UNIX & Internet Security, 2nd Edition</it>. ISBN 1-56592-148-8. Sebastopol, CA: O'Reilly & Associates, Inc. <url url="http://www.oreilly.com/catalog/puis"> [Gong 1999] Gong, Li. June 1999. <it>Inside Java 2 Platform Security</it>. Reading, MA: Addison Wesley Longman, Inc. ISBN 0-201-31000-7. [Gundavaram Unknown] Gundavaram, Shishir, and Tom Christiansen. Date Unknown. <it>Perl CGI Programming FAQ</it>. <url url="http://language.perl.com/CPAN/doc/FAQs/cgi/perl-cgi-faq.html"> [Kim 1996] Kim, Eugene Eric. 1996. <it>CGI Developer's Guide</it>. SAMS.net Publishing. ISBN: 1-57521-087-8 <url url="http://www.eekim.com/pubs/cgibook"> [McClure 1999] McClure, Stuart, Joel Scambray, and George Kurtz. 1999. <it>Hacking Exposed: Network Security Secrets and Solutions</it>. Berkeley, CA: Osbourne/McGraw-Hill. ISBN 0-07-212127-0. [Miller 1999] Miller, Todd C. and Theo de Raadt. ``strlcpy and strlcat -- Consistent, Safe, String Copy and Concatenation'' <it>Proceedings of Usenix '99</it>. <url url="http://www.usenix.org/events/usenix99/millert.html"> and <url url="http://www.usenix.org/events/usenix99/full_papers/millert/PACKING_LIST"> [Mudge 1995] Mudge. October 20, 1995. <it>How to write Buffer Overflows</it>. l0pht advisories. <url url="http://www.l0pht.com/advisories/bufero.html">. [OSI 1999]. Open Source Initiative. 1999. <it>The Open Source Definition</it>. <url url="http://www.opensource.org/osd.html">. [Pfleeger 1997] Pfleeger, Charles P. 1997. <it>Security in Computing.</it> Upper Saddle River, NJ: Prentice-Hall PTR. ISBN 0-13-337486-6. [Phillips 1995] Phillips, Paul. September 3, 1995. <it>Safe CGI Programming</it>. <url url="http://www.go2net.com/people/paulp/cgi-security/safe-cgi.txt"> [Raymond 1997] Raymond, Eric. 1997. <it>The Cathedral and the Bazaar</it>. <url url="http://www.tuxedo.org/~esr/writings/cathedral-bazaar"> [Raymond 1998] Raymond, Eric. April 1998. <it>Homesteading the Noosphere</it>. <url url="http://www.tuxedo.org/~esr/writings/homesteading/homesteading.html"> [Ranum 1998] Ranum, Marcus J. 1998. <it>Security-critical coding for programmers - a C and UNIX-centric full-day tutorial</it>. <url url="http://www.clark.net/pub/mjr/pubs/pdf/">. [RFC 822] August 13, 1982 <it>Standard for the Format of ARPA Internet Text Messages</it>. IETF RFC 822. <url url="http://www.ietf.org/rfc/rfc0822.txt">. [rfp 1999]. rain.forest.puppy. ``Perl CGI problems.'' <it>Phrack Magazine</it>. Issue 55, Article 07. <url url="http://www.phrack.com/search.phtml?view&article=p55-7">. [Saltzer 1974] Saltzer, J. July 1974. ``Protection and the Control of Information Sharing in MULTICS.'' <it>Communications of the ACM</it>. v17 n7. pp. 388-402. [Saltzer 1975] Saltzer, J., and M. Schroeder. September 1975. ``The Protection of Information in Computing Systems.'' <it>Proceedings of the IEEE</it>. v63 n9. pp. 1278-1308. Summarized in [Pfleeger 1997, 286]. [Schneier 1998] Schneier, Bruce and Mudge. November 1998. <it>Cryptanalysis of Microsoft's Point-to-Point Tunneling Protocol (PPTP)</it> Proceedings of the 5th ACM Conference on Communications and Computer Security, ACM Press. <url url="http://www.counterpane.com/pptp.html">. [Schneier 1999] Schneier, Bruce. September 15, 1999. ``Open Source and Security.'' <it>Crypto-Gram</it>. Counterpane Internet Security, Inc. <url url="http://www.counterpane.com/crypto-gram-9909.html"> [Seifried 1999] Seifried, Kurt. October 9, 1999. <it>Linux Administrator's Security Guide</it>. <url url="http://www.securityportal.com/lasg">. [Shostack 1999] Shostack, Adam. June 1, 1999. <it>Security Code Review Guidelines</it>. <url url="http://www.homeport.org/~adam/review.html">. [Sitaker 1999] Sitaker, Kragen. Feb 26, 1999. <it>How to Find Security Holes</it> <url url="http://www.pobox.com/~kragen/security-holes.html"> and <url url="http://www.dnaco.net/~kragen/security-holes.html"> [SSE-CMM 1999] SSE-CMM Project. April 1999. <it>System Security Engineering Capability Maturity Model (SSE CMM) Model Description Document</it>. Version 2.0. <url url="http://www.sse-cmm.org"> [Stein 1999]. Stein, Lincoln D. September 13, 1999. <it>The World Wide Web Security FAQ</it>. Version 2.0.1 <url url="http://www.w3.org/Security/Faq/www-security-faq.html"> [Thompson 1974] Thompson, K. and D.M. Richie. July 1974. ``The UNIX Time-Sharing System.'' <it>Communications of the ACM</it> Vol. 17, No. 7. pp. 365-375.  [Torvalds 1999] Torvalds, Linus. February 1999. ``The Story of the Linux Kernel.'' <it>Open Sources: Voices from the Open Source Revolution</it>. Edited by Chris Dibona, Mark Stone, and Sam Ockman. O'Reilly and Associates. ISBN 1565925823. <url url="http://www.oreilly.com/catalog/opensources/book/linus.html"> [Webber 1999] Webber Technical Services. February 26, 1999. <it>Writing Secure Web Applications</it>. <url url="http://www.webbertech.com/tips/web-security.html">. [Wood 1985] Wood, Patrick H. and Stephen G. Kochan. 1985. <it>Unix System Security</it>. Indianapolis, Indiana: Hayden Books. ISBN 0-8104-6267-2. [Wreski 1998] Wreski, Dave. August 22, 1998. <it>Linux Security Administrator's Guide</it>. Version 0.98. <url url="http://www.nic.com/~dave/SecurityAdminGuide/index.html"> </sect>  <sect>ドキュメントのライセンス  このドキュメントは David A. Wheeler が著作権((C) 1999-2000 David A. Wheeler) を保持しています。また GNU General Public License (GPL) によってその権利は保護されています。自由に再配布が可能です。ドキュメントの原文を「プログラム」と見なして、下記の条件を厳守してください。 <tscreen><verb> This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA </verb></tscreen> </sect> <sect>日本語版謝辞 この翻訳を行うに当たって下記の方々にお世話になりました。この場を借りてお礼申し上げます。 <itemize> <item>川嶋さん <item>後藤雅晴さん <item>高城＠長野高専さん <item>千旦さん <item>山下さん <item>藤原さん(旧版の翻訳も参考にさせていただきました) <item>水原さん </itemize> </article>