株式会社インプレス 様のご厚意により,
書籍 "Linux 版 クラッカー迎撃完全ガイド" を
ブックレビューコーナー にご献本いただきました.
この本のレビューをして頂くべく,
Linux Users ML
や本サイトにおいて公募を行い,
これにご希望頂いた方々より感想などをレビュー記事にまとめていただきました.
ここに, レビューアの方々から寄せられたレビュー記事を公開します. (原稿到着順)
株式会社インプレス 様および レビューアの皆様のご厚意に感謝いたします.
なお, 以下のレビューは初版を対象としています.
本書は Anonymous, Maximum Linux Security (Sams, 2000) の全訳である. 対象読者は「Linux のインストールと使用の経験は十分にあるものの, セキュリティに関する経験はあまりない読者」となっている. とは言っても, 経験が少ない人の環境ほど危ない可能性が高く, 全 Linux ユーザが対象と言ってもいいだろう.
インプレスの書籍なので, 以前にも指摘したとおり, 本文中の強調語句 (ファイル名や変数名など) に用いられている書体が, 「大文字のアイ」と「小文字のエル」と「数字のイチ」の区別がつかず, 極めて読みにくい. 速やかに改善されることを望みたい.
目次をみれば分かるように, 内容は非常に多岐にわたっている. 今日ではセキュリティと言えばネットワークセキュリティにばかり重点がおかれがちだが, PART1 「Linux セキュリティの基礎」では「物理的セキュリティ」についても言及してあるし, PART2 「Linux ユーザセキュリティ」も充実している. PART3 「Linux ネットワークセキュリティ」と PART4 「Linux インターネットセキュリティ」を分けている意味がよく分からないが, とにかく本書全体を通じて, セキュリティの本質が「してほしくない人にしてほしくないことをされないこと」であることがよく分かるようにできている.
本書では多くのツールが取り上げられており, そのうちのいくつかについては簡単な使い方が紹介してある. とりあえずのとっかかりとして日本語の解説を読めるのは, 多くのユーザにとって救いとなるだろう. もっともこの手のツールを生半可な知識で用いるのも危険なことであり, 結局は自力でドキュメントを読めないと (読まないと) 使いこなせないのだが, 包括的な本としてはこれ以上を求めるのは酷というものであろう. また, 詳しく取り上げられているもの以外にも多くのツールや情報源が挙げられているので, その気さえあれば本書をきっかけに様々な知識を得ることができるだろう.
訳注がなかなか充実しているのも好感が持てる. 原書編集後のバージョンアップについて言及しているだけでなく, 原書のやや舌足らずな点を補足したり, 原著者の記述に対して興味深いコメントをつけたりしている.
本書はたしかに役に立つ. しかし「ファイヤウォールの限界をあらわにするワーム」の記事にあるように, 「セキュリティはプロセスであって, 製品, ましてや技術ではない」のだ. 本書は執筆時点までのセキュリティについてはかなりの部分を網羅しているが, それが今日も通用する保証はどこにもない. しかしそれを分かっている人は, 今日も役立つ多くのヒントを本書から得ることができるだろう.
これまでセキュリティについてさほど関心を持っていなかった人は, 本書を見てはげしく不安に駈られるかも知れない. しかし Linux を選んだあなたはその不安に自らの力で確信を持って対処することができるのだ.
本書は「はじめに」でも書かれているように, 真に役立つ Linux セキュリティの教科書として書かれている. また, セキュリティを確保するための必要悪として, クラッカーの立場にたった攻撃を紹介している. この考え方には様々な異論があるとは思うが, 全体的に見れば, これらの方法にのっとって書かれた本書は十分その目的を達成している.
総じて言えば, 我々のように, 自分の手足として, Linux とインターネットを活用したいと考える者に対して, セキュリティに関する啓蒙を行う事を主眼においた本書は, 十分にこの狙いを達成しているのではないかと思われる.
ただ, そうは言っても, 様々な点で残念に思うことがないわけではない. まず, 誤植が散見される. このたぐいの書籍にはよくありがちと言ってしまえばそれまでだが, 想定している読者が Linux 歴一年未満の初心者を対象としている (そのため, 1章は Linux の紹介で終わっている) ことを考慮すると, 気にかかってしまう. また CD-ROM を付録としているが, それに関する説明はほとんどなく, その中に含まれるいくつかのツールは若干古いものであった. もちろん, 本書を読み, CD-ROM の内容と見比べると十分理解できるし, 古いものはダウンロードすればよいとは思うのだが, きちんと利便性を考えているとは思えなかった. (解くことで理解を深める) パズルのつもりで作成されたのだろうか?
あと, 欲を言えば, CD-ROM 中に, 本書内に書かれているリンクをテキストデータとして入れておいてもらえると, 利便性が高まって良かったのだが. まぁ, これはまさに欲でしかないのだが.
いきなり小言じじい状態になっているが, 本書の内容そのものにはケチをつける隙がない. それくらい様々な内容を吟味して書かれていると感じた. Linux 版と銘打ってはいるが, 実際のところ, 様々な OS のセキュリティに通じる事柄も含まれている.
言ってみれば「Linux で学ぶセキュリティ」といった側面をも持ち合わせている. このため, クロスプラットフォーム環境の中心に Linux を据え付けて, そのネットネーク全体のセキュリティを確保する, という事も本書をじっくり読破すれば可能ではないだろうか.
また, 中心に Linux を据えている事もあり, 他のセキュリティ本に比べ分かりやすく, 散逸した感じを受けないで済む. 往々にして, セキュリティ本は様々なプラットホームについて書いてあるため, 本の厚さの割に損をした気分になることがあるが, 私はこの本を読んでいる間そのような感情は起きなかった.
また, 前述のとおり, 必要悪として攻撃方法を示しているが, ほとんど, その直後に防御方法を示してある. やはり, これが本書の最大のポイントになっていると思われる (クラッカー本でない証拠だ). さらに, ほとんどの場合, 実際に行っている作業のスクリーンショットがあり, 実際に自分で試す際に参考になる. しかも, 嬉しいことに, いくつかの設定ファイルのコメントを日本語化してあるのだ. 英語で書かれても, と言う人にも安心して勧められると思う.
#とはいえ, 英語から逃れられるわけはない.
#英語から逃れる方法なぞ書いてあるわけがない.
この本は以下の人に勧めたい.
勧めたいが躊躇するのは
あえて勧めなくても良いかなと言う人は
絶対勧めたくない人は
セキュリティをきちんと自分のものとしたくて, 多くの (高い) 本を買ってきたが, もっと早くこの本を見たかった. そうすれば, もっと一般的なセキュリティ本をなんなく読み込むことができたろう. また, この本を読んだおかげで, 自宅で動く 2 台の Linux Box をきちんと再構築したくなってきた.
#ちなみにツール (Nessus1.0.0pre3) を使って確認したところ, 1 台はセキュリテ ィホール 1, ワーニング 2 だった.
#もう 1 台は (寂しいことに), ホール 4, ワーニング 4 だった. ほとんど私の設定ミ スだった. まだまだ修行が足りん.
さらに付け加えると, 時間的都合から, CD-ROM の中身をすべて調べたり, 本書に書かれている数多くのリンクをたどったりしていない. これらを実施した後なら, 多分, 更にこういう感想も書いていただろう. 「本書はセキュリティのポータル本だ.」と.
最後に, 本書を出版し,
提供してくださった出版社の方々, 私を本書レビュアーに選んでくださった方々,
最後まで読んでくださった読者の方々に感謝致します.
かたい文章でごめんなさい.
書籍が到着した第一印象としては,「かなりボリュームがあるなぁ」という感じだった. 梱包を解いて表紙などをみてみると, 最近増えてきた, 管理者向けといいつつ実際にはクラッキングマニュアル色の強い書籍とは異なり, まじめに作ってありそうに感じたし, 事実, 読後感としても本当にまじめに作ってあって好感が持てる.
定価 4980 円とのことだが, CD-ROM も付属しているし, 内容的にも充実しているため, 確実に価格に見合ったものになっていると思われる. 自分自身が読んで勉強になることはもちろんだが, システム管理に携わる担当者に勧めたいと強く感じた.
この類の書籍についてよく言われることである, 「侵入を試みるクラッカーへの教材になってしまう」という部分については, 確かにそういった側面があることは認めざるを得ない. しかし, 自分の管理するネットワークのセキュリティについて考え直すという意味で, やはりこの書籍の存在価値は大きいと思う. 何よりも, 必要な措置を適切に行なうことで被害は最小限度に押さえられる, というコンセプトに貫かれた書籍であると感じた.
書籍の構成は非常によくまとまっており, 厚さの割に読みやすく仕上がっている. 特に説明の都合上端折った部分について, 「詳細は○○章にて」という表記が非常に適切にされている. このため, 本書のような分量的にかなり厚さのある書籍にも関わらず, 最初から順を追って読んでいきやすい. また, 総合目次と詳細な目次の二つの目次が用意されていることには非常に好感が持てる. これによって, 緊急に対応すべき状況の場合に適切な章を探し出すことも容易になっている. 問題が起きる前に最初からざっと読んでおき, 緊急時には必要なページを開く, という読み方のできる良書だと思う.
誤字脱字なども非常に少なく, よくまとまっている. 今回, 十分な時間がとれなかったため, 記述してあるツール類を全て試せたわけではなく, むしろ読み物として楽しんだが, 誤字脱字が少ないことは書籍を信頼するための重要な要件であろう.
ツール類や典型的な攻撃の紹介文が一冊を通じて共通のフォーマットで書かれていることも好感が持てる. 該当する項目のないところにはきちんと「なし」と表記してあるため読みやすい.
翻訳もかなり自然な日本語に仕上がっていて読んでいて違和感がない. また, 数は少ないものの, 適切なタイミングで訳注が入っていることも読みやすさの向上に貢献している.
全体的に図表などは少ないが, 必要なところにはきちんと入っている. 特に, 一番最初に読むことになるであろう PART1 のあたりには, 比較的図表が多く挿入されている. いかにも洋書の翻訳だと思わせるような図表が多いが, そのあたりは愛嬌であろう.
Linux のインストールについても触れていることには正直少し驚いたが, 「なぜインストールについても触れるのか」がきちんと説明されており, このあたりも違和感なく読める原因と思われる.
コマンド入力部分と出力結果の部分には, 読みやすく網掛けがしてあり, 大変読みやすい. それ以外の部分には全く網掛けを使わないというポリシーを感じた.
先にも書いたが, 目次が総合目次と詳細目次との二つに分かれていること, そしてかなり量のある索引があること, さらにこれもかなり量のある資料が付属していることもあり, 書籍としてよく仕上がっている. 目次と索引がしっかりしているため, 読み物としてだけではなく, 緊急時のマニュアルとしても充分利用可能である.
紙質, フォントなども特に問題なく, 気持ちよく読みすすめられる. できれば, 天地の余白がもう少し広いとメモが出来ていいのだが, この厚さを考えるとそれも難しいのかもしれない. 左右の余白は比較的余裕がある.
細かいことだが, 付属 CD-ROM がビニールケースのようなものに入っているのはよいと思う. ここが厚紙を下地にしたものだと, 書籍を曲げて読みにくいが, ビニールケースの場合, CD-ROM を抜いてしまえば書籍を折り曲げてぱらぱらめくることも可能で, 一覧性が向上する.
あまり手放しに持ち上げるようなレビューになってしまうことは避けたかったのだが, 全体を数回読んで, 結果として特に問題を感じなかった. ただし, 今回の私のレビューは, あくまでも「読み物」としてのレビューであり, 実際に記述してあることを全て試したわけではないため, その点については全く考慮外である.
書籍としての出来の良さ, 内容のおもしろさ, 読みやすさを鑑みて, 少なくとも私にとっては良書であると感じた.
最後に, この本のレビューという機会を与えてくれたインプレス社, www.linux.or.jp 管理グループに感謝したい.
本書は「Linux 版 クラッカー迎撃完全ガイド」であるが, Linux への重きの置き方は, 実はそれほどでもない. Linux が UNIX clone であるためもあるだろうが, UNIX 系 OS 全般に適用できる内容がほとんどであり, それを Linux で適用する実例が挙げられているという印象だった. Linux 特有の Exploit や, ツールについての記述は, 全体からみるとわずかだ.
また, どのディストリビューションにも偏らないという心遣いなのか, ディストリビューション特有のパッケージ管理機構に頼らず, 自力でコンパイル, インストールしようとする傾向が強く見られた. このあたりは, ディストリビューションごとの差異のある Linux の難しいところかもしれない.
随所に「Linux を初めて使う人」への配慮を匂わせる記述があるが, 残念ながら本書はそれほど初心者に親切であるとは言えない. 少なくとも, UNIX の基本的な部分と, TCP/IP の基本を理解していないと, 読みこなすのは難しいように思われた. 記述も噛んでふくめるような易しさはない. また, 後の章で詳しく紹介される概念やツールが何の断わりもなく説明に使われていたりするので, 頭から読み進めていくのはなかなか辛いものがある.
本書は 700 ページを超える大書であり, いくつかのクラッキング手法については, 原理からきちんと説明されており, 参考文献や URL も充実している. これらの情報を自分のものにできれば素晴しいとは思うが, かなり頑張らなければならないだろう. わたし自身, まだとても全てを自分のものにできたとは言えない.
ただ, セキュリティをとり巻く状況が常に変化してゆくという現状を考えると, 本書でしっかりと基本と応用を学び, さらに参考文献をたぐっていくという姿勢を身につけることが一番重要であり, そういう意味では非常に啓蒙的な良書だと思う.
巷にあふれた, 「こうコマンドを打込めばできます」的なアンチョコとしてはとうてい使えないだろう. ハードルはかなり高いが, スキルフルな技術者/管理者を目指すための本だと思う.
技術的には極めて中身の濃い本であり, 初心者がすぐ役に立てることは難しいかもしれないが, 技術者/管理者ならばがんばって勉強する価値のある本だと思う. ただ, やや Script Kiddie (既存のクラッキングツールを使うだけの似非クラッカー) をあおるかのような記述も見られ, 内容を考えても, 危険な一面を持っている.
なお, コマンドやスクリプトの中に明らかに間違いと思われるものもあり, 内容を鑑みても, 校正はもっと慎重に行なわれるべきと感じた.