« インストール後の各種設定について | メイン | バックドア型 Trojan Horse 「トロイの木馬」 検出ツールについて »

2004年01月22日

修正パッチなどのPGP署名確認方法

[作成日 2003-02-16 10:41:39]

サーバーのメインテナンスでは、セキュリティのため修正パッチはとても重要です。FreeBSD のホームページなどでは、
"修正パッチと PGP 署名を以下の場所からダウンロードし,PGP ユーティリティを使って署名を確認してください."と注意書きがあります。
ファイル改ざんの有無をチェックすることを主目的とし、署名による確認手順を簡単に解説いたします。

PGP暗号化・電子署名フリーソフト GnuPG を利用しましょう。
この解説文のコピーはこちらです。
メール暗号化などいろいろ応用できますので、解説は Windows版 で行います。
GnuPGのダウンロードサイトにて、Windows版 (2003/2/15最新バイナリー GnuPG 1.2.1-1 compiled for Microsoft Windows) w32cli-1.2.1-1.zip を選択し、ダウンロードします。 C:¥gnupg を作成します。すべての操作は MS-DOS プロンプトで行いますので、バイナリファイルの展開先は、C:¥gnupgからディレクトリ移動の少ないところにしましょう(例 C:¥gpg)。
MS-DOS窓にて
gpg.exe を実行します。
   C:¥WINDOWS> cd .. [Enterキー]
   C:¥> cd gpg [Enterキー]
   C:¥GPG> gpg [Enterキー]

C:¥gnupg 内に必要ファイルが作成されます。

   C:¥GPG> exit [Enterキー]

MS-DOS プロンプトを一度終了します。
再度 C:¥GPG> に移動します。
秘密鍵と公開鍵を作成します。

   C:¥GPG> gpg --gen-key [Enterキー]
(暗号アルゴリズム) 1 ⇒(暗号強度) 2048 ⇒(有効期限:無期限) 0 ⇒(無期限 okey) y ⇒個人情報設定⇒(password) パスフレーズ入力⇒自動乱数発生(キーボードやマウスを動かすことを推奨)

Security Officer 公開鍵を入手
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/public_key.asc

をダウンロードします。
http://www.freebsd.org/ja/security/index.html PGP鍵 をクリックすると、ダウンロードできます。

公開鍵 public_key.asc を C:¥GPG にコピーします。

   C:¥GPG> gpg --import public_key.asc [Enterキー]

なお、一般公開鍵サーバーなどでは、公開鍵の指紋 fingerprint がホームページ上で表示されていますので、入手した pubkey.asc のfingerprint

   C:¥GPG> gpg --fingerprint | more

と同一であることを確認します。

   C:¥GPG> q [Enterキー](または、終了まで下スクロールする)

さて、"修正パッチと PGP 署名を以下の場所からダウンロードし,PGP ユーティリティを使って署名を確認してください." では、

ABCD.patch.asc および ABCD.patch を同時にダウンロードして、C:¥GPG にコピーします。

   C:¥GPG> gpg ABCD.patch.asc

gpg: Signature made **/**/** **:**:** using DSA key ID ********
gpg: Good signature from "FreeBSD Security Officer <security-officer@freeBSD.org>"
の2行があれば、「改ざん」なしと判断できます。

簡単作成・強固な電子署名 MD5
[作成日 2003-02-19 12:28:03]

ハッシュ関数 MD5 (Message Digest 5) は、「一方向要約関数」ともよばれ、サイズ・長さの異なる文字列データを、固定長の数値(半角英数字32文字)に変換します。異なる文字列が同じ数値に変換されることはなく、また、数値から入力元の文字列を生成することも不可能です。
原文(テキスト)、配布ファイル(アーカイブ、圧縮ファイル、画像など)、通信データの”改ざん”の有無を検証する目的で使用されます。”原本作成者を問わない”電子署名とお考え下さい。
実際には、配布ファイルなどをダウンロード後、MD5による演算処理(MD5 チェックサム)にて得られた数値を、添付ファイル(ないしHTML表示)の数字と比較し、同一であることを確認します。
[例 MD5 checksum: e63add33e010b4245ba0841b21fe0bfe]
MD5 プログラムの入手こちらです

上位ディレクトリをftpアクセスさせないために
[作成日 2003-02-23 13:03:55]

ftpでアクセスしたユーザーに ホームディレクトリ /home/ユーザー名/ より上位のディレクトリを見せない(アクセスさせない)方法
各ユーザーにホームページの開設サービスを許可していないサーバーであっても、メールアカウントのパスワードが通常の popアカウント であれば(apop認証やsmtp認証でない)、ユーザーはftpでアクセスし、サーバー内をほとんどすべて見てまわることが可能です。
パッケージ wu-ftpd-VERSION.tgz を入手します。
インストール手順は こちら です。

投稿者 support : 2004年01月22日 15:41

トラックバック

このエントリーのトラックバックURL:
trackbacklink 9

コメント

コメントしてください

サイン・インを確認しました、 . さん。コメントしてください。 (サイン・アウト)

(いままで、ここでコメントしたとがないときは、コメントを表示する前にこのウェブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)


情報を登録する?




 Modified by Toshiaki YAMAMURA    Powered by Movable Type
 ■シックス・アパート株式会社より「個人用ライセンス」を取得し、Movable Type にて情報提供中です. ■ハンドル名とメールアドレスを入力すると、自由にコメント投稿できます. 但し、15歳未満のお子供は必ず保護者の指導・監督下で行って下さい. ■本ウエブログでは、サイト管理・運営者が著しく不利益と判断するコメントや他人を誹謗中傷するコメントは、直ちに削除いたします.