1 files changed, 39 insertions, 37 deletions

diff --git a/zh_CN.GB2312/books/handbook/security/chapter.sgml b/zh_CN.GB2312/books/handbook/security/chapter.sgml
index 550194d970..729f0ca862 100644
--- a/zh_CN.GB2312/books/handbook/security/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/security/chapter.sgml
@@ -2,7 +2,7 @@
      The FreeBSD Documentation Project
      The FreeBSD Simplified Chinese Project
 
-     Original Revision: 1.281
+     Original Revision: 1.292
      $FreeBSD$
 -->
 
@@ -717,8 +717,6 @@
 	65535， 随后在防火墙中阻止低于 4000 的所有端口
 	(当然， 除了那些特地为 Internet 访问而开设的端口)。</para>
 
-      <indexterm><primary>ICMP_BANDLIM</primary></indexterm>
-
       <para>另一种常被称作 springboard 的攻击也是非常常见的 DoS 攻击
 	&mdash; 它通过使服务器产生其无法处理的响应来达到目的。
 	最常见的攻击就是 <emphasis>ICMP ping 广播攻击</emphasis>。
@@ -730,8 +728,10 @@
 	通过建立可以生成 ICMP 出错响应的包， 攻击者能够攻击服务器的网络下行资源，
 	并导致其上行资源耗尽。 这种类型的攻击也可以通过耗尽 mbuf
 	来使得使得被攻击的服务器崩溃，特别是当这些服务器无法足够快地完成
-	ICPM 响应的时候。 可以通过为 &os; 内核配置称为
-	<option>ICMP_BANDLIM</option> 的编译选项来使这类攻击变得不那么有效。
+	ICPM 响应的时候。 在 &os; 4.X 内核中有一个叫做
+	<option>ICMP_BANDLIM</option> 的编译选项来限制这类攻击，
+	使其变得不再那么有效， 而较新的内核则可以通过 <application>sysctl</application>
+	变量 <literal>net.inet.icmp.icmplim</literal> 来调整。
 	最后一类主要的 springboard 是针对某些
 	<application>inetd</application> 的内部服务， 例如
 	udp echo 服务进行的。 攻击者简单地伪造一个来自服务器 A 的
@@ -752,7 +752,7 @@
 	1600 秒才会过期。 如果内核发现路由表变得太大， 它会动态地降低
 	<varname>rtexpire</varname> 但以
 	<varname>rtminexpire</varname> 为限。 这引发了两个问题：</para>
-	
+
       <orderedlist>
 	<listitem>
 	  <para>在访问量不大的服务器上， 内核对于突然袭击的反应不够快。</para>
@@ -2092,11 +2092,10 @@ _kerberos           IN  TXT     EXAMPLE.ORG</programlisting></note>
 
       <note>
         <para>要让客户机能够找到
-          <application>Kerberos</application> 服务， 您
-          <emphasis>必须</emphasis> 已经配置了一个完整的
-          <filename>/etc/krb5.conf</filename> 或最小配置的
-          <filename>/etc/krb5.conf</filename> <emphasis>加上</emphasis>
-          正确配置的 DNS 服务器。</para>
+          <application>Kerberos</application> 服务， 就
+          <emphasis>必须</emphasis> 首先配置完整或最小配置的
+          <filename>/etc/krb5.conf</filename> <emphasis>并且</emphasis>
+          正确地配置 DNS 服务器。</para>
       </note>
 
       <para>接下来需要创建 <application>Kerberos</application> 数据库。
@@ -2899,10 +2898,10 @@ Connection closed by foreign host.</screen>
 options	  FAST_IPSEC  # new IPsec (cannot define w/ IPSEC)
         </screen>
 
-        <para>请注意， 目前还不能把
-	  <quote>Fast IPsec</quote> 子系统同 KAME
-	  的 IPsec 实现同时混用。 请参考 &man.fast.ipsec.4;
-	  联机手册以了解进一步的信息。</para>
+        <para>需要注意的是， 目前还不能用
+	  <quote>Fast IPsec</quote> 子系统完全替代 KAME
+	  的 IPsec 实现。 请参见联机手册 &man.fast.ipsec.4;
+	  以了解进一步的详情。</para>
 
       </note>
   
@@ -3290,8 +3289,7 @@ Destination      Gateway       Flags    Refs    Use    Netif  Expire
       <itemizedlist>
         <title>小结：</title>
         <listitem>
-          <para>使用 <quote>pseudo-device
-          gif</quote> 配置两边的内核。</para>
+          <para>在两边的内核中配置 <quote>device gif</quote>。</para>
         </listitem>
         <listitem>
           <para>编辑网关 #1 上的 <filename>/etc/rc.conf</filename> 并将下面的行添加进去
@@ -3388,13 +3386,13 @@ options IPSEC_ESP
        <para>在 FreeBSD 上可供选择的用于管理安全关联的服务程序有很多。
          这篇文章将介绍其中的一种， racoon&nbsp;&mdash;。 它可以从
          &os; 的 Ports collection 中的
-	 <filename role="package">security/racoon</filename> 安装。</para>
+	 <filename role="package">security/ipsec-tools</filename> 安装。</para>
  
        <indexterm>
 	 <primary>racoon</primary>
        </indexterm>
 
-       <para><filename role="package">security/racoon</filename> 软件，
+       <para><application>racoon</application> 软件，
          必须在两台网关机上都运行。 需要配置 VPN 另一端的 IP， 以及一个密钥
          (这个密钥可以任意选择， 但两个网关上的密钥必须一致)。</para>
  
@@ -3675,7 +3673,7 @@ options IPSEC_ESP
         </listitem>
         <listitem>
           <para>安装 <filename
-            role="package">security/racoon</filename>。 编辑两台网关上的
+            role="package">security/ipsec-tools</filename>。 编辑两台网关上的
             <filename>${PREFIX}/etc/racoon/psk.txt</filename>
             并添加远程主机的 IP 和共享的密钥。 文件的权限应该是 0600。</para>
         </listitem>
@@ -3777,15 +3775,19 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
         <secondary>启用</secondary>
       </indexterm>
 
-      <para>在 &os;&nbsp;4.X 上，
-	<application>sshd</application> 服务是默认启用的，
-	而在 &os;&nbsp;5.X 上则是在安装过程中由用户指定。
-	要查看它是否已被启用，
-        请检查 <filename>rc.conf</filename> 文件中的：</para>
+      <para>在 &os;&nbsp;4.X 上， <application>sshd</application>
+        服务是默认启用的。 在 &os; 5.X 和更高版本上，
+        <application>sshd</application> 的启用是作为 &os; 安装中
+        <literal>Standard</literal> 安装过程中的一步来进行的。 要查看
+        <application>sshd</application> 是否已被启用， 请检查
+        <filename>rc.conf</filename> 文件中的：</para>
       <screen>sshd_enable="YES"</screen>
-      <para>将在下次启动系统时加载 <application>OpenSSH</application> 的 &man.sshd.8; 服务程序。
-	另外， 也可以简单地使用 <command>sshd</command> 来直接启动
-	<application>sshd</application> 服务。</para>
+      <para>这表示在下次系统启动时加载 <application>OpenSSH</application>
+	的服务程序 &man.sshd.8;。 此外， 也可以手动使用 &man.rc.8;
+	脚本 <filename>/etc/rc.d/sshd</filename>
+	来启动 <application>OpenSSH</application>：</para>
+
+      <programlisting>/etc/rc.d/sshd start</programlisting>
     </sect2>
 
     <sect2>
@@ -3921,7 +3923,7 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com
 
       <para>&man.ssh-agent.1; 工具能够使用加载到其中的私钥来处理验证过程。
         &man.ssh-agent.1; 应被用于启动另一个应用程序。 最基本的用法是，
-        使用它来启动 shell， 而高级一些的用法则是用它来启动窗口管理器。<para>
+        使用它来启动 shell， 而高级一些的用法则是用它来启动窗口管理器。</para>
 
       <para>要在 shell 中使用 &man.ssh-agent.1;， 首先应把 shell
         作为参数来启动它。 随后， 应通过 &man.ssh-add.1; 并输入通行字，
@@ -4289,7 +4291,7 @@ drwxr-xr-x  2 robert  robert  512 Nov 10 11:54 public_html</programlisting>
     <para>要开始使用 <application>Portaudit</application>，
       需要首先从 Ports Collection 安装它：</para>
 
-    <screen>&prompt.root; <userinput>cd /usr/ports/security/portaudit && make install clean</userinput></screen>
+    <screen>&prompt.root; <userinput>cd /usr/ports/security/portaudit &amp;&amp; make install clean</userinput></screen>
 
     <para>在安装过程中，
       &man.periodic.8; 的配置文件将被修改， 以便让
@@ -4297,11 +4299,10 @@ drwxr-xr-x  2 robert  robert  512 Nov 10 11:54 public_html</programlisting>
       一定要保证发到 <username>root</username> 帐号的每日安全审计邮件确实有人在读。
       除此之外不需要进行更多的配置了。</para>
 
-    <para>安装完成之后， 管理员必须通过运行下面的命令，
-      来更新保存在本地
-      <filename role="directory">/var/db/portaudit</filename> 的数据库：</para>
+    <para>安装完成之后， 管理员可以通过下面的命令来更新数据库，
+      并查看目前安装的软件包中所存在的已知安全漏洞：</para>
 
-    <screen>&prompt.root; <userinput>portaudit -F</userinput></screen>
+    <screen>&prompt.root; <userinput>portaudit -Fda</userinput></screen>
 
     <note>
       <para>由于每天执行
@@ -4309,12 +4310,13 @@ drwxr-xr-x  2 robert  robert  512 Nov 10 11:54 public_html</programlisting>
 	运行这条命令是可选的。 在这里只是作为例子给出。</para>
     </note>
 
-    <para>管理员可以使用下面的命令审计通过 Ports Collection
-      安装的第三方工具：</para>
+    <para>在任何时候， 如果希望对通过 Ports Collection
+      安装的第三方软件工具进行审计， 管理员都可以使用下面的命令：</para>
 
     <screen>&prompt.root; <userinput>portaudit -a</userinput></screen>
 
-    <para>下面是一个示范的输出：</para>
+    <para>针对存在漏洞的软件包， <application>Portaudit</application>
+      将生成类似下面的输出：</para>
 
     <programlisting>Affected package: cups-base-1.1.22.0_1
 Type of problem: cups-base -- HPGL buffer overflow vulnerability.