1 files changed, 22 insertions, 10 deletions

diff --git a/zh_CN.GB2312/books/handbook/security/chapter.sgml b/zh_CN.GB2312/books/handbook/security/chapter.sgml
index c8dcdc75cb..83eb063537 100644
--- a/zh_CN.GB2312/books/handbook/security/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/security/chapter.sgml
@@ -2,7 +2,7 @@
      The FreeBSD Documentation Project
      The FreeBSD Simplified Chinese Project
 
-     Original Revision: 1.314
+     Original Revision: 1.315
      $FreeBSD$
 -->
 
@@ -2948,7 +2948,7 @@ options   IPSEC_DEBUG  #debug for IP security
         </listitem>
 
         <listitem>
-          <para>在两个网络之间应用安全策略以保证它们之间的通讯被透明地加密盒解密。
+          <para>在两个网络之间应用安全策略以保证它们之间的通讯被透明地加密和解密。
             可以使用 &man.tcpdump.1; 或类似的工具来验证这一点。</para>
         </listitem>
 
@@ -2979,7 +2979,7 @@ options   IPSEC_DEBUG  #debug for IP security
         <listitem>
           <para>私网 IP 地址， 例如 <hostid
             role="ipaddr">192.168.x</hostid> 这样的地址是不应在 Internet 上面大量出现的。
-            于此相反， 发送到 <hostid role="ipaddr">192.168.2.1</hostid> 的数据包将会封装到另外的包中。
+            因此， 发送到 <hostid role="ipaddr">192.168.2.1</hostid> 的数据包将会封装到另外的包中。
             这样的包对外展现的应该是来自 <hostid role="ipaddr">A.B.C.D</hostid>，
             并被发到 <hostid
             role="ipaddr">W.X.Y.Z</hostid> 去。 这个过程称为
@@ -3315,7 +3315,7 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
          正如我们所了解的那样， 私有 IP 地址，
          例如 <hostid role="ipaddr">192.168.x.y</hostid>
          这样的地址范围， 不应该出现在 Internet 的公网上。
-         于此相反， 他们必须首先封装到别的包中。
+         因此， 他们必须首先封装到别的包中。
          包的来源或目的如果是私有 IP 地址，
          则必须替换成公网 IP 地址。</para>
  
@@ -3743,11 +3743,12 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com
         <filename>~/.ssh/id_dsa</filename> 或
         <filename>~/.ssh/id_rsa</filename>， 而公钥则被存放到
         <filename>~/.ssh/id_dsa.pub</filename> 或
-        <filename>~/.ssh/id_rsa.pub</filename>， 文件名取决于您选择的 DSA 和
-        RSA 密钥类型。 公钥必须被存放到远程机器上的
+        <filename>~/.ssh/id_rsa.pub</filename>， 文件名取决于您选择的
+	<acronym>DSA</acronym> 和 <acronym>RSA</acronym>
+	密钥类型。 <acronym>RSA</acronym> 或者 <acronym>DSA</acronym>
+	公钥必须被存放到远程机器上的
         <filename>~/.ssh/authorized_keys</filename> 才能够使系统正确运转。
-        类似地， 第 1 版的 RSA 公钥应存放到
-        <filename>~/.ssh/authorized_keys</filename>。</para>
+      </para>
 
       <para>这将允许从远程连接时以基于
         SSH 密钥的验证来代替口令验证。</para>
@@ -3760,6 +3761,17 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com
       <warning><para>选项和配置文件可能随 <application>OpenSSH</application>
         的版本不同而不同； 为了避免出现问题，
         您应参考 &man.ssh-keygen.1; 联机手册。</para></warning>
+
+      <para>这将使到远程机器的连接基于 SSH 密钥而不是口令。</para>
+
+      <para>如果在运行 &man.ssh-keygen.1; 时使用了通行字，
+	每次使用私钥的时候用户都将被要求输入通行字。 &man.ssh-agent.1;
+	能够减缓重复输入较长通行字的负担， 有关更详细的探究在
+	<xref linkend="security-ssh-agent"> 下一节 .</para>
+
+      <warning><para>随着你系统上的 <application>OpenSSH</application>
+	  版本的不同，各种选项和配置文件也会不同； 为了避免此类问题，
+	  你需要参阅 &man.ssh-keygen.1; 联机手册。</para></warning>
     </sect2>
 
     <sect2 id="security-ssh-agent">
@@ -4202,7 +4214,7 @@ You are advised to update or deinstall the affected package(s) immediately.</pro
 
     <para>像其它具有产品级品质的操作系统一样， &os; 会发布
       <quote>安全公告</quote>。
-      通常这类公告会只有在在相应的发行版本已经正确地打过补丁之后发到安全邮件列表并在勘误中说明。
+      通常这类公告会只有在相应的发行版本已经正确地打过补丁之后发到安全邮件列表并在勘误中说明。
       本节将介绍什么是安全公告， 如何理解它， 以及为系统打补丁的具体步骤。</para>
 
     <sect2>
@@ -4296,7 +4308,7 @@ VII. References<co id="co-ref"></programlisting>
 	</callout>
 
 	<callout arearefs="co-affects">
-	  <para>The <literal>Affects</literal>(影响范围) 一栏给出了 &os; 的那些版本存在这个漏洞。
+	  <para>The <literal>Affects</literal>(影响范围) 一栏给出了 &os; 的哪些版本存在这个漏洞。
 	    对于内核来说， 检视受影响的文件上执行的 <command>ident</command> 输出可以帮助确认文件版本。
 	    对于 ports， 版本号在 <filename>/var/db/pkg</filename> 里面的 port 的名字后面列出。
 	    如果系统没有与 &os; <acronym>CVS</acronym> 代码库同步并每日构建，