diff options
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/security/chapter.xml')
| -rw-r--r-- | de_DE.ISO8859-1/books/handbook/security/chapter.xml | 654 |
1 files changed, 292 insertions, 362 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/security/chapter.xml b/de_DE.ISO8859-1/books/handbook/security/chapter.xml index 71869bb038..37918ae0c4 100644 --- a/de_DE.ISO8859-1/books/handbook/security/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/security/chapter.xml @@ -7,30 +7,21 @@ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ basiert auf: 1.348 --> - -<chapter id="security"> - <chapterinfo> +<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> + <info><title>Sicherheit</title> <authorgroup> - <author> - <firstname>Matthew</firstname> - <surname>Dillon</surname> - <contrib>Viel von diesem Kapitel stammt aus der security(7) - Manualpage von </contrib> - </author> + <author><personname><firstname>Matthew</firstname><surname>Dillon</surname></personname><contrib>Viel von diesem Kapitel stammt aus der security(7) + Manualpage von </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Martin</firstname> - <surname>Heinen</surname> - <contrib>Übersetzt von </contrib> - </author> + <author><personname><firstname>Martin</firstname><surname>Heinen</surname></personname><contrib>Übersetzt von </contrib></author> </authorgroup> - </chapterinfo> + </info> - <title>Sicherheit</title> + <indexterm><primary>Sicherheit</primary></indexterm> - <sect1 id="security-synopsis"> + <sect1 xml:id="security-synopsis"> <title>Übersicht</title> <para>Dieses Kapitel bietet eine Einführung in die Konzepte @@ -128,7 +119,7 @@ <xref linkend="firewalls"/> besprochen.</para> </sect1> - <sect1 id="security-intro"> + <sect1 xml:id="security-intro"> <title>Einführung</title> <para>Sicherheit ist ein Konzept, das beim Systemadministrator anfängt @@ -148,7 +139,7 @@ <para>Zur Systemsicherheit gehört auch die Beschäftigung mit verschiedenen Arten von Angriffen, auch solchen, die versuchen, ein System still zu legen, oder sonst unbrauchbar zu machen ohne - <username>root</username> zu kompromittieren. Sicherheitsaspekte + <systemitem class="username">root</systemitem> zu kompromittieren. Sicherheitsaspekte lassen sich in mehrere Kategorien unterteilen:</para> <orderedlist> @@ -161,12 +152,12 @@ </listitem> <listitem> - <para>Kompromittierter <username>root</username>-Account durch + <para>Kompromittierter <systemitem class="username">root</systemitem>-Account durch zugreifbare Server.</para> </listitem> <listitem> - <para>Kompromittierter <username>root</username>-Account durch + <para>Kompromittierter <systemitem class="username">root</systemitem>-Account durch kompromittierte Accounts.</para> </listitem> @@ -223,11 +214,11 @@ <para>Es ist immer davon auszugehen, dass ein Angreifer, der Zugriff auf einen Account hat, Zugang zum - <username>root</username>-Account erlangt. Allerdings gibt der + <systemitem class="username">root</systemitem>-Account erlangt. Allerdings gibt der Zugriff auf einen Account auf einem gut gesicherten und gepflegten System nicht notwendig Zugriff auf den - <username>root</username>-Account. Diese Unterscheidung ist wichtig, - da ein Angreifer, der keinen Zugang zu <username>root</username> + <systemitem class="username">root</systemitem>-Account. Diese Unterscheidung ist wichtig, + da ein Angreifer, der keinen Zugang zu <systemitem class="username">root</systemitem> besitzt, seine Spuren nicht verwischen kann. Er kann höchstens die Dateien des betreffenden Benutzers verändern oder die Maschine stilllegen. Kompromittierte Accounts sind sehr @@ -239,25 +230,25 @@ <secondary>Hintertüren</secondary> </indexterm> - <para>Es gibt viele Wege, Zugang zum <username>root</username>-Account + <para>Es gibt viele Wege, Zugang zum <systemitem class="username">root</systemitem>-Account eines Systems zu bekommen: Ein Angreifer kann das Passwort von - <username>root</username> kennen, er kann einen Fehler in einem - Server entdecken, der unter <username>root</username> läuft und + <systemitem class="username">root</systemitem> kennen, er kann einen Fehler in einem + Server entdecken, der unter <systemitem class="username">root</systemitem> läuft und dann über eine Netzwerkverbindung zu diesem Server einbrechen. Oder er kennt einen - Fehler in einem SUID-<username>root</username> Programm, der es - ihm erlaubt, <username>root</username> zu werden, wenn er einmal + Fehler in einem SUID-<systemitem class="username">root</systemitem> Programm, der es + ihm erlaubt, <systemitem class="username">root</systemitem> zu werden, wenn er einmal einen Account kompromittiert hat. Wenn ein Angreifer einen - Weg gefunden hat, <username>root</username> zu werden, braucht er + Weg gefunden hat, <systemitem class="username">root</systemitem> zu werden, braucht er vielleicht keine Hintertür auf dem System installieren. Viele der heute bekannten und geschlossenen Sicherheitslöcher, die zu einem - <username>root</username> Zugriff führen, verlangen vom Angreifer + <systemitem class="username">root</systemitem> Zugriff führen, verlangen vom Angreifer einen erheblichen Aufwand, um seine Spuren zu verwischen. Aus diesem Grund wird er sich wahrscheinlich entschließen, eine Hintertür (engl. <foreignphrase>Backdoor</foreignphrase>) zu installieren. Eine Hintertür erlaubt es - dem Angreifer leicht auf den <username>root</username>-Account + dem Angreifer leicht auf den <systemitem class="username">root</systemitem>-Account zuzugreifen. Einem klugen Systemadministrator erlaubt sie allerdings auch, den Einbruch zu entdecken. Wenn Sie es einem Angreifer verwehren, Hintertüren zu installieren, kann das schädlich für @@ -271,12 +262,12 @@ <orderedlist> <listitem> - <para>Absichern von <username>root</username> und + <para>Absichern von <systemitem class="username">root</systemitem> und Accounts.</para> </listitem> <listitem> - <para>Absichern von unter <username>root</username> laufenden + <para>Absichern von unter <systemitem class="username">root</systemitem> laufenden Servern und SUID/SGID Programmen.</para> </listitem> @@ -307,7 +298,7 @@ Abschnitt genauer behandelt.</para> </sect1> - <sect1 id="securing-freebsd"> + <sect1 xml:id="securing-freebsd"> <title>Absichern von &os;</title> <indexterm> @@ -330,8 +321,8 @@ <link linkend="security-intro">letzten Abschnitt</link> erwähnten Methoden Ihr &os;-System zu sichern.</para> - <sect2 id="securing-root-and-staff"> - <title>Absichern von <username>root</username> und + <sect2 xml:id="securing-root-and-staff"> + <title>Absichern von <systemitem class="username">root</systemitem> und Accounts</title> <indexterm> @@ -339,9 +330,9 @@ </indexterm> <para>Zuallererst, kümmern Sie sich nicht um die Absicherung - von Accounts, wenn Sie <username>root</username> + von Accounts, wenn Sie <systemitem class="username">root</systemitem> noch nicht abgesichert haben. Auf den meisten Systemen ist - <username>root</username> ein Passwort zugewiesen. Sie + <systemitem class="username">root</systemitem> ein Passwort zugewiesen. Sie sollten <emphasis>immer</emphasis> davon ausgehen, dass dieses Passwort kompromittiert ist. Das heißt nicht, dass Sie das Passwort entfernen sollten, da es meist @@ -350,56 +341,56 @@ Konsole, auch nicht zusammen mit &man.su.1;, verwenden sollten. Stellen Sie sicher, dass Ihre PTYs in <filename>ttys</filename> als unsicher markiert sind und damit Anmeldungen von - <username>root</username> mit <command>telnet</command> oder + <systemitem class="username">root</systemitem> mit <command>telnet</command> oder <command>rlogin</command> verboten sind. Wenn Sie andere Anwendungen wie <application>SSH</application> zum Anmelden benutzen, vergewissern Sie sich, dass dort ebenfalls - Anmeldungen als <username>root</username> verboten sind. Für + Anmeldungen als <systemitem class="username">root</systemitem> verboten sind. Für <application>SSH</application> editieren Sie <filename>/etc/ssh/sshd_config</filename> und überprüfen, dass <literal>PermitRootLogin</literal> auf <literal>no</literal> gesetzt ist. Beachten Sie jede Zugriffsmethode – Dienste wie FTP werden oft vergessen. Nur an der Systemkonsole sollte - ein direktes Anmelden als <username>root</username> möglich + ein direktes Anmelden als <systemitem class="username">root</systemitem> möglich sein.</para> <indexterm> - <primary><groupname>wheel</groupname></primary> + <primary><systemitem class="groupname">wheel</systemitem></primary> </indexterm> <para>Natürlich müssen Sie als Systemadministrator - <username>root</username>-Zugriff erlangen können. Dieser + <systemitem class="username">root</systemitem>-Zugriff erlangen können. Dieser sollte aber durch zusätzliche Passwörter - geschützt sein. Ein Weg, Zugang zu <username>root</username> + geschützt sein. Ein Weg, Zugang zu <systemitem class="username">root</systemitem> zu ermöglichen, ist es, berechtigte Mitarbeiter in <filename>/etc/group</filename> in die Gruppe - <groupname>wheel</groupname> aufzunehmen. Die Personen, die - Mitglieder in der Gruppe <groupname>wheel</groupname> sind, - können mit <command>su</command> zu <username>root</username> + <systemitem class="groupname">wheel</systemitem> aufzunehmen. Die Personen, die + Mitglieder in der Gruppe <systemitem class="groupname">wheel</systemitem> sind, + können mit <command>su</command> zu <systemitem class="username">root</systemitem> wechseln. Ihre Mitarbeiter sollten niemals die Gruppe - <groupname>wheel</groupname> als primäre Gruppe in + <systemitem class="groupname">wheel</systemitem> als primäre Gruppe in <filename>/etc/passwd</filename> besitzen. Mitarbeiter sollten - der Gruppe <groupname>staff</groupname> angehören und über - <filename>/etc/group</filename> in <groupname>wheel</groupname> + der Gruppe <systemitem class="groupname">staff</systemitem> angehören und über + <filename>/etc/group</filename> in <systemitem class="groupname">wheel</systemitem> aufgenommen werden. Es sollten auch nur die Mitarbeiter, die - wirklich <username>root</username> Zugriff benötigen in - <groupname>wheel</groupname> aufgenommen werden. Mit anderen + wirklich <systemitem class="username">root</systemitem> Zugriff benötigen in + <systemitem class="groupname">wheel</systemitem> aufgenommen werden. Mit anderen Authentifizierungsmethoden müssen Sie niemanden in - <groupname>wheel</groupname> aufnehmen. Wenn Sie z.B. + <systemitem class="groupname">wheel</systemitem> aufnehmen. Wenn Sie z.B. <application>Kerberos</application> benutzen, wechseln Sie mit - &man.ksu.1; zu <username>root</username> und der Zugriff wird + &man.ksu.1; zu <systemitem class="username">root</systemitem> und der Zugriff wird mit der Datei <filename>.k5login</filename> geregelt. Dies ist vielleicht eine bessere Lösung, da es der - <groupname>wheel</groupname>-Mechanismus einem Angreifer immer - noch möglich macht, den <username>root</username>-Account + <systemitem class="groupname">wheel</systemitem>-Mechanismus einem Angreifer immer + noch möglich macht, den <systemitem class="username">root</systemitem>-Account zu knacken, nachdem er einen Mitarbeiter-Account geknackt hat. - Obwohl der <groupname>wheel</groupname>-Mechanismus besser als + Obwohl der <systemitem class="groupname">wheel</systemitem>-Mechanismus besser als gar nichts ist, ist er nicht unbedingt die sicherste Lösung.</para> <para>Um ein Konto komplett zu sperren, verwenden Sie den Befehl &man.pw.8;:</para> - <screen>&prompt.root;<userinput>pw lock <replaceable>staff</replaceable></userinput></screen> + <screen>&prompt.root;<userinput>pw lock staff</userinput></screen> <para>Danach ist es diesem Benutzer nicht mehr möglich (auch nicht mit &man.ssh.1;), sich anzumelden.</para> @@ -418,7 +409,7 @@ <programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> <para>Durch diese Änderung wird der Benutzer - <username>foobar</username> daran gehindert, sich auf + <systemitem class="username">foobar</systemitem> daran gehindert, sich auf konventionellem Wege am System anzumelden. Diese Maßnahmen greifen allerdings nicht, wenn das betroffene System auch eine Anmeldung über @@ -457,7 +448,7 @@ </sect2> <sect2> - <title>Absichern von unter <username>root</username> laufenden + <title>Absichern von unter <systemitem class="username">root</systemitem> laufenden Servern und SUID/SGID Programmen</title> <indexterm> @@ -491,9 +482,9 @@ fehleranfälligsten sind. Wenn Sie z.B. eine alte Version von <application>imapd</application> oder <application>popper</application> laufen lassen, ist das so, als würden Sie der ganzen Welt - freien Zugang zu <username>root</username> geben. Lassen Sie keine + freien Zugang zu <systemitem class="username">root</systemitem> geben. Lassen Sie keine Server laufen, die Sie vorher nicht genau überprüft haben. - Viele Server müssen nicht unter <username>root</username> + Viele Server müssen nicht unter <systemitem class="username">root</systemitem> laufen, zum Beispiel können <application>ntalk</application>, <application>comsat</application> und <application>finger</application> in speziellen <firstterm>Sandkästen</firstterm> unter @@ -505,8 +496,8 @@ er immer noch aus dem Sandkasten selber ausbrechen. Je mehr Schichten der Angreifer zu durchbrechen hat, desto kleiner sind seine Aussichten auf Erfolg. In der Vergangenheit wurden praktisch in jedem - Server, der unter <username>root</username> läuft, Lücken - gefunden, die zu einem <username>root</username> Zugriff führten. + Server, der unter <systemitem class="username">root</systemitem> läuft, Lücken + gefunden, die zu einem <systemitem class="username">root</systemitem> Zugriff führten. Dies betrifft selbst die grundlegenden Systemdienste. Wenn Sie eine Maschine betreiben, auf der man sich nur mit <application>SSH</application> anmelden kann, dann stellen Sie die @@ -538,17 +529,17 @@ Arbeit nicht installieren (ein weiteres Beispiel für den Widerspruch zwischen Sicherheit und Benutzerfreundlichkeit). In diesem Fall müssen Sie die - Server unter <username>root</username> laufen lassen und auf die + Server unter <systemitem class="username">root</systemitem> laufen lassen und auf die eingebauten Mechanismen vertrauen, Einbrüche zu entdecken.</para> <para>Weitere potentielle Löcher, die zu einem - <username>root</username>-Zugriff führen können, sind + <systemitem class="username">root</systemitem>-Zugriff führen können, sind die auf dem System installierten SUID- und SGID-Programme. Die meisten dieser Programme wie <application>rlogin</application> stehen - in <filename class="directory">/bin</filename>, - <filename class="directory">/sbin</filename>, - <filename class="directory">/usr/bin</filename>, oder - <filename class="directory">/usr/sbin</filename>. + in <filename>/bin</filename>, + <filename>/sbin</filename>, + <filename>/usr/bin</filename>, oder + <filename>/usr/sbin</filename>. Obwohl nichts 100% sicher ist, können Sie davon ausgehen, dass die SUID- und SGID-Programme des Basissystems ausreichend sicher sind. Allerdings werden ab und an in diesen Programmen @@ -563,23 +554,23 @@ Beispiel braucht ein Server ohne Bildschirm kein <application>xterm</application> Programm. SGID-Programme sind vergleichbar gefährlich. Wenn ein Einbrecher Zugriff auf - SGID-<groupname>kmem</groupname> Programm erhält, kann er + SGID-<systemitem class="groupname">kmem</systemitem> Programm erhält, kann er vielleicht <filename>/dev/kmem</filename> und damit die verschlüsselte Passwortdatei lesen. Dies kompromittiert unter Umständen jeden Account, der mit einem Passwort geschützt ist. Alternativ kann ein Einbrecher, der in die - Gruppe <groupname>kmem</groupname> eingebrochen ist, die + Gruppe <systemitem class="groupname">kmem</systemitem> eingebrochen ist, die Tastendrücke auf PTYs verfolgen. Dies schließt auch PTYs mit ein, auf denen sich ein Benutzer mit sicheren Methoden anmeldet. Ein Einbrecher, der Zugriff auf die - <groupname>tty</groupname> Gruppe hat, kann auf fast jeden Terminal + <systemitem class="groupname">tty</systemitem> Gruppe hat, kann auf fast jeden Terminal anderer Benutzer schreiben. Wenn der Benutzer einen Terminal-Emulator benutzt, der über eine Tastatur-Simulation verfügt, könnte der Angreifer Daten generieren, die den Terminal veranlassen, ein Kommando unter diesem Benutzer laufen zu lassen.</para> </sect2> - <sect2 id="secure-users"> + <sect2 xml:id="secure-users"> <title>Absichern von Accounts</title> <para>Accounts sind für gewöhnlich sehr schwierig @@ -606,13 +597,12 @@ <application>Kerberos</application> zu benutzen, um auf sie zuzugreifen. Obwohl die Datei <filename>/etc/spwd.db</filename>, die die verschlüsselten Passwörter enthält, - nur von <username>root</username> gelesen werden kann, mag ein + nur von <systemitem class="username">root</systemitem> gelesen werden kann, mag ein Angreifer lesenden Zugriff auf diese Datei erlangen, ohne die Fähigkeit sie auch zu beschreiben.</para> <para>Ihre Überwachungsskripten sollten Änderungen - an der Passwort-Datei melden (siehe <link - linkend="security-integrity">Überprüfen der + an der Passwort-Datei melden (siehe <link linkend="security-integrity">Überprüfen der Integrität von Dateien</link> weiter unten).</para> </sect2> @@ -620,21 +610,21 @@ <title>Absichern des Kernels, der Geräte und von Dateisystemen</title> - <para>Wenn ein Angreifer <username>root</username>-Zugriff erlangt, + <para>Wenn ein Angreifer <systemitem class="username">root</systemitem>-Zugriff erlangt, kann er so ziemlich alles mit Ihrem System anstellen, doch sollten Sie es ihm nicht zu leicht machen. Die meisten modernen Kernel haben zum Beispiel einen Gerätetreiber, der es erlaubt, Pakete abzuhören. Unter &os; wird das Gerät - <devicename>bpf</devicename> genannt. Für gewöhnlich + <filename>bpf</filename> genannt. Für gewöhnlich wird ein Angreifer versuchen, dieses Gerät zu nutzen, um Pakete abzuhören. Sie sollten ihm diese Gelegenheit nicht geben und auf den meisten Systemen ist das Gerät - <devicename>bpf</devicename> nicht nötig.</para> + <filename>bpf</filename> nicht nötig.</para> <indexterm> <primary><command>sysctl</command></primary> </indexterm> - <para>Auch wenn Sie <devicename>bpf</devicename> nicht verwenden, + <para>Auch wenn Sie <filename>bpf</filename> nicht verwenden, müssen Sie sich immer noch um <filename>/dev/mem</filename> und <filename>/dev/kmem</filename> sorgen. Außerdem kann der Angreifer immer noch auf die rohen Geräte @@ -642,7 +632,7 @@ schreiben. Weiterhin gibt es ein Programm zum Nachladen von Modulen in den Kernel: &man.kldload.8;. Ein unternehmungslustiger Angreifer kann dies benutzen, um sein eigenes - <devicename>bpf</devicename> oder ein anderes zum Abhören + <filename>bpf</filename> oder ein anderes zum Abhören geeignetes Gerät in den laufenden Kernel einzubringen. Um dieses Problem zu vermeiden, müssen Sie den Kernel auf einem höheren Sicherheitslevel laufen lassen, mindestens @@ -654,7 +644,7 @@ <command>sysctl</command> der <varname>kern.securelevel</varname> Kernel Variablen:</para> - <screen>&prompt.root; <userinput>sysctl kern.securelevel=<replaceable>1</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>sysctl kern.securelevel=1</userinput></screen> <para>Standardmässig bootet der &os; Kernel mit einem Securelevel von -1. Der Securelevel wird solange bei -1 bleiben, @@ -686,7 +676,7 @@ <para>Das Erhöhen des Securelevels auf 1 oder höher kann einige Probleme mit X11 verursachen (Zugriff auf <filename>/dev/io</filename> wird geblockt), ebenso die Installation - von &os; aus den Quellen (der <maketarget>installworld</maketarget> + von &os; aus den Quellen (der <buildtarget>installworld</buildtarget> Teil muss zeitweilig die append-only und die unveränderlichen Flags einiger Dateien zurücksetzen), und auch noch in einigen anderen Fällen. Manchmal kann es, @@ -714,23 +704,23 @@ System auf einem höheren Securelevel laufen zu lassen, aber keine <literal>schg</literal> Flags für alle Systemdateien und Verzeichnisse zu setzen. Eine andere Möglichkeit ist es, - einfach die Verzeichnisse <filename class="directory">/</filename> und - <filename class="directory">/usr</filename> read-only zu mounten. + einfach die Verzeichnisse <filename>/</filename> und + <filename>/usr</filename> read-only zu mounten. Es sei darauf hingewiesen, dass Sie nicht vor lauter Überlegen das Wichtigste, nämlich die Entdeckung eines Eindringens, vergessen.</para> </sect2> - <sect2 id="security-integrity"> + <sect2 xml:id="security-integrity"> <title>Überprüfen der Integrität von Dateien</title> <para>Sie können die Systemkonfiguration und die Dateien nur so weit schützen, wie es die Benutzbarkeit des Systems nicht einschränkt. Wenn Sie zum Beispiel mit <command>chflags</command> die Option <literal>schg</literal> - auf die meisten Dateien in <filename class="directory">/</filename> und - <filename class="directory">/usr</filename> setzen, kann das Ihre + auf die meisten Dateien in <filename>/</filename> und + <filename>/usr</filename> setzen, kann das Ihre Arbeit mehr behindern als nützen. Die Maßnahme schützt zwar die Dateien, schließt aber auch eine Möglichkeit, @@ -776,8 +766,8 @@ verwenden, können Sie dazu einfache Systemwerkzeuge wie &man.find.1; und &man.md5.1; benutzen. Am besten berechnen Sie einmal am Tag MD5-Prüfsummen der Dateien, Konfigurationsdateien - in <filename class="directory">/etc</filename> und - <filename class="directory">/usr/local/etc</filename> + in <filename>/etc</filename> und + <filename>/usr/local/etc</filename> sollten öfter überprüft werden. Wenn Unstimmigkeiten zwischen den auf der besonders geschützten Maschine gehaltenen MD5-Prüfsummen und den ermittelten Prüfsummen festgestellt @@ -785,8 +775,8 @@ der den Unstimmigkeiten dann nachgehen sollte. Ein gutes Skript überprüft das System auch auf verdächtige SUID-Programme sowie gelöschte oder neue Dateien in - <filename class="directory">/</filename> und - <filename class="directory">/usr</filename>.</para> + <filename>/</filename> und + <filename>/usr</filename>.</para> <para>Wenn Sie <application>SSH</application> anstelle von NFS benutzen, wird das Erstellen der Skripten schwieriger. Sie müssen @@ -934,7 +924,7 @@ durch eine Firewall an der Grenze Ihres Netzwerks zu schützen. Dahinter steckt mehr die Idee, das Netzwerk vor Überlastung durch Angriffe von außen zu schützen, als interne - Dienste vor einem <username>root</username>-Zugriff aus dem Netz + Dienste vor einem <systemitem class="username">root</systemitem>-Zugriff aus dem Netz zu schützen. Konfigurieren Sie immer eine Firewall, die alle Zugriffe blockiert, das heißt blockieren Sie <emphasis>alles</emphasis> außer den Ports A, B, C, D @@ -950,7 +940,7 @@ internen Dienst einführen und dann vergessen die Firewall zu aktualisieren. Sie können immer die höheren Portnummern öffnen, ohne die niedrigen Portnummern, - die nur von <username>root</username> benutzt werden dürfen, + die nur von <systemitem class="username">root</systemitem> benutzt werden dürfen, zu kompromittieren. Beachten Sie bitte auch, dass es &os; erlaubt, die Portnummern, die für dynamische Verbindungen zur Verfügung stehen, zu konfigurieren. @@ -1070,7 +1060,7 @@ ungesicherten Maschine aufmachen, wird für die Dauer der Sitzung ein Port für Weiterleitungen geöffnet. Ein Angreifer, der auf der unsicheren Maschine Zugang zu - <username>root</username> hat, kann diesen Port + <systemitem class="username">root</systemitem> hat, kann diesen Port benutzen, um Zugriff auf andere Maschinen zu erlangen, die mit Ihren Schlüsseln zugänglich sind.</para> @@ -1093,19 +1083,15 @@ </sect2> </sect1> - <sect1 id="crypt"> - <sect1info> + <sect1 xml:id="crypt"> + <info><title>DES, Blowfish, MD5, und Crypt</title> <authorgroup> - <author> - <firstname>Bill</firstname> - <surname>Swingle</surname> - <contrib>Teile umgeschrieben und aktualisiert von </contrib> - </author> + <author><personname><firstname>Bill</firstname><surname>Swingle</surname></personname><contrib>Teile umgeschrieben und aktualisiert von </contrib></author> </authorgroup> - <!-- 21 Mar 2000 --> - </sect1info> + + </info> - <title>DES, Blowfish, MD5, und Crypt</title> + <indexterm> <primary>Sicherheit</primary> <secondary>Crypt</secondary> @@ -1180,7 +1166,7 @@ </sect2> </sect1> - <sect1 id="one-time-passwords"> + <sect1 xml:id="one-time-passwords"> <title>Einmalpasswörter</title> <indexterm><primary>Einmalpasswörter</primary></indexterm> <indexterm> @@ -1466,18 +1452,14 @@ Enter secret pass phrase: <userinput><secret password></userinput> </sect2> </sect1> - <sect1 id="tcpwrappers"> - <sect1info> + <sect1 xml:id="tcpwrappers"> + <info><title>TCP-Wrapper</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>TCP-Wrapper</title> + <indexterm> <primary>TCP-Wrapper</primary> @@ -1577,7 +1559,7 @@ Enter secret pass phrase: <userinput><secret password></userinput> reicht, um eine einfache Regel aufzustellen. Wenn Sie einkommende <acronym>POP</acronym>3-Verbindungen für den Dienst - <filename role="package">mail/qpopper</filename> + <package>mail/qpopper</package> erlauben wollen, erweitern Sie <filename>hosts.allow</filename> um die nachstehende Zeile:</para> @@ -1660,7 +1642,7 @@ ALL : .example.com \ : deny</programlisting> <para>Damit sind Verbindungen von der Domain - <hostid role="fqdn">*.example.com</hostid> gesperrt. + <systemitem class="fqdomainname">*.example.com</systemitem> gesperrt. Jeder Verbindungsaufbau wird zudem in der Datei <filename>/var/log/connections.log</filename> protokolliert. Das Protokoll enthält den @@ -1720,25 +1702,17 @@ sendmail : PARANOID : deny</programlisting> </sect2> </sect1> - <sect1 id="kerberos5"> - <sect1info> + <sect1 xml:id="kerberos5"> + <info><title><application>Kerberos5</application></title> <authorgroup> - <author> - <firstname>Tillman</firstname> - <surname>Hodgson</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Tillman</firstname><surname>Hodgson</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Mark</firstname> - <surname>Murray</surname> - <contrib>Beruht auf einem Beitrag von </contrib> - </author> + <author><personname><firstname>Mark</firstname><surname>Murray</surname></personname><contrib>Beruht auf einem Beitrag von </contrib></author> </authorgroup> - </sect1info> + </info> - <title><application>Kerberos5</application></title> + <para><application>Kerberos</application> ist ein Netzwerk-Protokoll, das Benutzer mithilfe eines sicheren Servers authentifiziert. @@ -1821,12 +1795,12 @@ sendmail : PARANOID : deny</programlisting> da sie in den <acronym>USA</acronym> entwickelt wurde. Die <acronym>MIT</acronym>-Version von <application>Kerberos</application> befindet sich im Port - <filename role="package">security/krb5</filename>. + <package>security/krb5</package>. Heimdal ist eine weitere Implementierung der Protokollversion 5. Sie wurde außerhalb der <acronym>USA</acronym> entwickelt und unterliegt daher keinen Export-Beschränkungen. Heimdal-<application>Kerberos</application> befindet sich - im Port <filename role="package">security/heimdal</filename> + im Port <package>security/heimdal</package> und das Basissystem von &os; enthält eine minimale Installation von Heimdal.</para> @@ -1879,7 +1853,7 @@ kadmind5_server_enable="YES"</programlisting> <para>Diese Einstellungen setzen voraus, dass der voll qualifizierte Name des <acronym>KDC</acronym>s - <hostid role="fqdn">kerberos.example.org</hostid> ist. + <systemitem class="fqdomainname">kerberos.example.org</systemitem> ist. Wenn Ihr <acronym>KDC</acronym> einen anderen Namen hat, müssen Sie in der DNS-Zone einen Alias-Eintrag (CNAME-Record) für das <acronym>KDC</acronym> hinzufügen.</para> @@ -1893,7 +1867,7 @@ kadmind5_server_enable="YES"</programlisting> <programlisting>[libdefaults] default_realm = EXAMPLE.ORG</programlisting> - <para>Die Zonendatei von <hostid role="fqdn">example.org</hostid> + <para>Die Zonendatei von <systemitem class="fqdomainname">example.org</systemitem> muss dann die folgenden Zeilen enthalten:</para> <programlisting>_kerberos._udp IN SRV 01 00 88 kerberos.example.org. @@ -1950,9 +1924,9 @@ Master key: <userinput>xxxxxxxx</userinput> Verifying password - Master key: <userinput>xxxxxxxx</userinput> &prompt.root; <userinput>kadmin -l</userinput> -kadmin> <userinput>init EXAMPLE.ORG</userinput> +kadmin> <userinput>init EXAMPLE.ORG</userinput> Realm max ticket life [unlimited]: -kadmin> <userinput>add tillman</userinput> +kadmin> <userinput>add tillman</userinput> Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: @@ -1969,7 +1943,7 @@ Verifying password - Password: <userinput>xxxxxxxx</userinput></screen> Benutzer können Sie sich vom <acronym>KDC</acronym> Tickets holen und diese Tickets anzeigen:</para> - <screen>&prompt.user; <userinput>kinit <replaceable>tillman</replaceable></userinput> + <screen>&prompt.user; <userinput>kinit tillman</userinput> tillman@EXAMPLE.ORG's Password: &prompt.user; <userinput>klist</userinput> @@ -2045,12 +2019,12 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG</screen> Schlüssel des Prinzipals in eine Datei:</para> <screen>&prompt.root; <userinput>kadmin</userinput> -kadmin> <userinput>add --random-key host/myserver.example.org</userinput> +kadmin> <userinput>add --random-key host/myserver.example.org</userinput> Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: -kadmin> <userinput>ext host/myserver.example.org</userinput> -kadmin> <userinput>exit</userinput></screen> +kadmin> <userinput>ext host/myserver.example.org</userinput> +kadmin> <userinput>exit</userinput></screen> <para>Das Kommando <command>ext</command> (von <foreignphrase>extract</foreignphrase>) speichert den @@ -2062,15 +2036,15 @@ kadmin> <userinput>exit</userinput></screen> nicht läuft, können Sie das Kommando <command>kadmin</command> von entfernten Rechnern nicht benutzen. In diesem Fall legen Sie den Host-Prinzipal - <username>host/myserver.EXAMPLE.ORG</username> direkt + <systemitem class="username">host/myserver.EXAMPLE.ORG</systemitem> direkt auf dem <acronym>KDC</acronym> an. Den Schlüssel extrahieren Sie in eine temporäre Datei (damit die Datei <filename>/etc/krb5.keytab</filename> nicht überschrieben wird):</para> <screen>&prompt.root; <userinput>kadmin</userinput> -kadmin> <userinput>ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput> -kadmin> <userinput>exit</userinput></screen> +kadmin> <userinput>ext --keytab=/tmp/example.keytab host/myserver.example.org</userinput> +kadmin> <userinput>exit</userinput></screen> <para>Anschließend müssen Sie die erzeugte <filename>example.keytab</filename> sicher auf den @@ -2160,17 +2134,17 @@ kadmin> <userinput>exit</userinput></screen> <para>Normalerweise wird ein <application>Kerberos</application>-Prinzipal wie - <username>tillman@EXAMPLE.ORG</username> auf ein lokales - Benutzerkonto, beispielsweise <username>tillman</username>, + <systemitem class="username">tillman@EXAMPLE.ORG</systemitem> auf ein lokales + Benutzerkonto, beispielsweise <systemitem class="username">tillman</systemitem>, abgebildet. Daher benötigen Client-Anwendungen (zum Beispiel <command>telnet</command>) keinen Benutzernamen.</para> <para>Manchmal wird aber Zugriff auf ein lokales Benutzerkonto benötigt, zu dem es keinen passenden <application>Kerberos</application>-Prinzipal gibt. - Der Prinzipal <username>tillman@EXAMPLE.ORG</username> + Der Prinzipal <systemitem class="username">tillman@EXAMPLE.ORG</systemitem> bräuchte beispielsweise Zugriff auf das Konto - <username>webdevelopers</username>. Ebenso könnten + <systemitem class="username">webdevelopers</systemitem>. Ebenso könnten andere Prinzipale auf dieses Konto zugreifen wollen.</para> <para>Die Dateien <filename>.k5login</filename> und @@ -2178,10 +2152,10 @@ kadmin> <userinput>exit</userinput></screen> Benutzerkontos gewähren Zugriffe ähnlich wie die Dateien <filename>.hosts</filename> und <filename>.rhosts</filename>. Um den Prinzipalen - <username>tillman@example.org</username> und - <username>jdoe@example.org</username> auf das Konto - <username>webdevelopers</username> zu geben, wird im - Heimatverzeichnis von <username>webdevelopers</username> + <systemitem class="username">tillman@example.org</systemitem> und + <systemitem class="username">jdoe@example.org</systemitem> auf das Konto + <systemitem class="username">webdevelopers</systemitem> zu geben, wird im + Heimatverzeichnis von <systemitem class="username">webdevelopers</systemitem> die Datei <filename>.k5login</filename> mit folgendem Inhalt angelegt:</para> @@ -2231,11 +2205,10 @@ jdoe@example.org</screen> <listitem> <para>Wenn Sie den Namen eines Rechners ändern, - müssen Sie auch den <username>host/</username>-Prinzipal + müssen Sie auch den <systemitem class="username">host/</systemitem>-Prinzipal ändern und die Datei <filename>keytab</filename> aktualisieren. Dies betrifft auch spezielle Einträge - wie den Prinzipal für Apaches <filename - role="package">www/mod_auth_kerb</filename>.</para> + wie den Prinzipal für Apaches <package>www/mod_auth_kerb</package>.</para> </listitem> <listitem> @@ -2256,7 +2229,7 @@ jdoe@example.org</screen> <listitem> <para>Einige Betriebssysteme installieren <command>ksu</command> mit falschen Zugriffsrechten; - es fehlt das Set-UID-Bit für <username>root</username>. + es fehlt das Set-UID-Bit für <systemitem class="username">root</systemitem>. Das mag aus Sicherheitsgründen richtig sein, doch funktioniert <command>ksu</command> dann nicht. Dies ist kein Fehler des <acronym>KDC</acronym>s.</para> @@ -2271,7 +2244,7 @@ jdoe@example.org</screen> Sie das <command>modify_principal</command> von <command>kadmin</command>, um die maximale Gültigkeitsdauer für den Prinzipal selbst - und den Prinzipal <username>krbtgt</username> + und den Prinzipal <systemitem class="username">krbtgt</systemitem> zu erhöhen.</para> </listitem> @@ -2357,11 +2330,11 @@ jdoe@example.org</screen> Client-Anwendungen leicht geänderte Kommandozeilenoptionen besitzen. Folgen Sie bitte der Anleitung auf der <application>Kerberos</application>-Seite - (<ulink url="http://web.mit.edu/Kerberos/www/"></ulink>) des + (<uri xlink:href="http://web.mit.edu/Kerberos/www/">http://web.mit.edu/Kerberos/www/</uri>) des <acronym>MIT</acronym>s. Achten Sie besonders auf den Suchpfad für Anwendungen. Der <acronym>MIT</acronym>-Port wird standardmäßig in - <filename class="directory">/usr/local/</filename> + <filename>/usr/local/</filename> installiert. Wenn die Umgebungsvariable <envar>PATH</envar> zuerst die Systemverzeichnisse enthält, werden die Systemprogramme anstelle der <acronym>MIT</acronym>-Programme @@ -2369,7 +2342,7 @@ jdoe@example.org</screen> <note> <para>Wenn Sie den <acronym>MIT</acronym>-Port - <filename role="package">security/krb5</filename> verwenden, + <package>security/krb5</package> verwenden, erscheint bei der Anmeldung mit <command>telnetd</command> und <command>klogind</command> die Fehlermeldung <errorname>incorrect permissions on cache file</errorname>. @@ -2391,8 +2364,7 @@ kadmind5_server_enable="YES"</programlisting> <para>Diese Zeilen sind notwendig, weil die Anwendungen von <acronym>MIT</acronym>-Kerberos Binärdateien - unterhalb von <filename - class="directory">/usr/local</filename> installieren.</para> + unterhalb von <filename>/usr/local</filename> installieren.</para> </sect2> <sect2> @@ -2427,7 +2399,7 @@ kadmind5_server_enable="YES"</programlisting> <para>In Mehrbenutzer-Umgebungen ist <application>Kerberos</application> unsicherer als in Einbenutzer-Umgebungen, da die Tickets im für alle - lesbaren Verzeichnis <filename class="directory">/tmp</filename> + lesbaren Verzeichnis <filename>/tmp</filename> gespeichert werden. Wenn ein Rechner von mehreren Benutzern verwendet wird, ist es möglich, dass Tickets gestohlen werden.</para> @@ -2493,7 +2465,7 @@ kadmind5_server_enable="YES"</programlisting> veränderten Programmen ausgehende Gefahr können Sie lindern, indem Sie die Integrität von Dateien mit Werkzeugen wie - <filename role="package">security/tripwire</filename> + <package>security/tripwire</package> prüfen.</para> </sect3> </sect2> @@ -2507,48 +2479,43 @@ kadmind5_server_enable="YES"</programlisting> <itemizedlist> <listitem> - <para><ulink - url="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">The - Kerberos FAQ</ulink></para> + <para><link xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">The + Kerberos FAQ</link></para> </listitem> <listitem> - <para><ulink url="http://web.mit.edu/Kerberos/www/dialogue.html">Designing + <para><link xlink:href="http://web.mit.edu/Kerberos/www/dialogue.html">Designing an Authentication System: a Dialogue in Four - Scenes</ulink></para> + Scenes</link></para> </listitem> <listitem> - <para><ulink url="http://www.ietf.org/rfc/rfc1510.txt?number=1510">RFC 1510, + <para><link xlink:href="http://www.ietf.org/rfc/rfc1510.txt?number=1510">RFC 1510, The <application>Kerberos</application> Network - Authentication Service (V5)</ulink></para> + Authentication Service (V5)</link></para> </listitem> <listitem> - <para><ulink url="http://web.mit.edu/Kerberos/www/"><acronym>MIT</acronym> - <application>Kerberos</application>-Seite</ulink></para> + <para><link xlink:href="http://web.mit.edu/Kerberos/www/"><acronym>MIT</acronym> + <application>Kerberos</application>-Seite</link></para> </listitem> <listitem> - <para><ulink url="http://www.pdc.kth.se/heimdal/">Heimdal - <application>Kerberos</application>-Seite</ulink></para> + <para><link xlink:href="http://www.pdc.kth.se/heimdal/">Heimdal + <application>Kerberos</application>-Seite</link></para> </listitem> </itemizedlist> </sect2> </sect1> - <sect1 id="openssl"> - <sect1info> + <sect1 xml:id="openssl"> + <info><title>OpenSSL</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>OpenSSL</title> + <indexterm> <primary>Sicherheit</primary> <secondary>OpenSSL</secondary> @@ -2567,16 +2534,16 @@ kadmind5_server_enable="YES"</programlisting> E-Mail-Clients oder Web-Transaktionen wie das Bezahlen mit einer Kreditkarte. <application>OpenSSL</application> kann während des Baus in viele Ports, wie - <filename role="package">www/apache22</filename> und - <filename role="package">mail/claws-mail</filename>, + <package>www/apache22</package> und + <package>mail/claws-mail</package>, integriert werden.</para> <note> <para>Ist beim Aufruf von <command>make</command> die - Variable <makevar>WITH_OPENSSL_BASE</makevar> nicht + Variable <varname>WITH_OPENSSL_BASE</varname> nicht explizit auf <literal>yes</literal> gesetzt, baut die Ports-Sammlung meist den Port - <filename role="package">security/openssl</filename>.</para> + <package>security/openssl</package>.</para> </note> <para>Das <application>OpenSSL</application> von &os; stellt @@ -2592,7 +2559,7 @@ kadmind5_server_enable="YES"</programlisting> Voreinstellung allerdings deaktiviert. Wenn Sie die <acronym>IDEA</acronym>-Lizenz akzeptieren, können Sie den <acronym>IDEA</acronym>-Algorithmus aktivieren, - indem Sie die Variable <makevar>MAKE_IDEA</makevar> + indem Sie die Variable <varname>MAKE_IDEA</varname> in <filename>make.conf</filename> setzen.</para> </note> @@ -2604,7 +2571,7 @@ kadmind5_server_enable="YES"</programlisting> Authority</foreignphrase>, <acronym>CA</acronym>) gegengezeichnet wurde, erhalten Sie normalerweise eine Warnung. Eine Zertifizierungsstelle ist eine Firma - wie <ulink url="http://www.verisign.com/">VeriSign</ulink>, + wie <link xlink:href="http://www.verisign.com/">VeriSign</link>, die Zertifikate von Personen oder Firmen gegenzeichnet und damit die Korrektheit der Zertifikate bestätigt. Diese Prozedur kostet Geld, ist aber @@ -2636,18 +2603,18 @@ There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- -Country Name (2 letter code) [AU]:<userinput><replaceable>US</replaceable></userinput> -State or Province Name (full name) [Some-State]:<userinput><replaceable>PA</replaceable></userinput> -Locality Name (eg, city) []:<userinput><replaceable>Pittsburgh</replaceable></userinput> -Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput><replaceable>My Company</replaceable></userinput> -Organizational Unit Name (eg, section) []:<userinput><replaceable>Systems Administrator</replaceable></userinput> -Common Name (eg, YOUR name) []:<userinput><replaceable>localhost.example.org</replaceable></userinput> -Email Address []:<userinput><replaceable>trhodes@FreeBSD.org</replaceable></userinput> +Country Name (2 letter code) [AU]:<userinput>US</userinput> +State or Province Name (full name) [Some-State]:<userinput>PA</userinput> +Locality Name (eg, city) []:<userinput>Pittsburgh</userinput> +Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput>My Company</userinput> +Organizational Unit Name (eg, section) []:<userinput>Systems Administrator</userinput> +Common Name (eg, YOUR name) []:<userinput>localhost.example.org</userinput> +Email Address []:<userinput>trhodes@FreeBSD.org</userinput> Please enter the following 'extra' attributes to be sent with your certificate request -A challenge password []:<userinput><replaceable>SOME PASSWORD</replaceable></userinput> -An optional company name []:<userinput><replaceable>Another Name</replaceable></userinput></screen> +A challenge password []:<userinput>SOME PASSWORD</userinput> +An optional company name []:<userinput>Another Name</userinput></screen> <para>Beachten Sie bitte, dass die Eingabe bei <quote>Common Name</quote> ein gültiger Domain-Name @@ -2675,24 +2642,24 @@ An optional company name []:<userinput><replaceable>Another Name</replaceable></ Zertifikat erstellen. Erzeugen Sie dazu zuerst einen <acronym>RSA</acronym>-Schlüssel:</para> - <screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out <filename>myRSA.key</filename> 1024</userinput></screen> + <screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out myRSA.key 1024</userinput></screen> <para>Erzeugen Sie dann den <acronym>CA</acronym>-Schlüssel:</para> - <screen>&prompt.root; <userinput>openssl gendsa -des3 -out <filename>myca.key</filename> <filename>myRSA.key</filename></userinput></screen> + <screen>&prompt.root; <userinput>openssl gendsa -des3 -out myca.key myRSA.key</userinput></screen> <para>Erstellen Sie mit diesem Schlüssel das Zertifikat:</para> - <screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key <filename>myca.key</filename> -out <filename>new.crt</filename></userinput></screen> + <screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key myca.key -out new.crt</userinput></screen> <para>Zwei neue Dateien befinden sich nun im Verzeichnis: Der Schlüssel der Zertifizierungsstelle <filename>myca.key</filename> und das Zertifikat selbst, <filename>new.crt</filename>. Sie sollten in einem Verzeichnis, vorzugsweise unterhalb von - <filename class="directory">/etc</filename> abgelegt - werden, das nur von <username>root</username> lesbar + <filename>/etc</filename> abgelegt + werden, das nur von <systemitem class="username">root</systemitem> lesbar ist. Setzen Sie die Zugriffsrechte der Dateien mit <command>chmod</command> auf <literal>0700</literal>.</para> </sect2> @@ -2727,14 +2694,14 @@ define(`confSERVER_CERT',`/etc/certs/new.crt')dnl define(`confSERVER_KEY',`/etc/certs/myca.key')dnl define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting> - <para>Im Verzeichnis <filename class="directory">/etc/certs</filename> + <para>Im Verzeichnis <filename>/etc/certs</filename> befindet sich der Schlüssel und das Zertifikat. Bauen Sie danach - im Verzeichnis <filename class="directory">/etc/mail</filename> + im Verzeichnis <filename>/etc/mail</filename> mit dem Kommando <command>make - <maketarget>install</maketarget></command> die + install</command> die <filename>.cf</filename>-Datei und starten Sie anschließend <application>sendmail</application> mit <command>make - <maketarget>restart</maketarget></command> neu.</para> + restart</command> neu.</para> <para>Wenn alles gut ging, erscheinen keine Fehlermeldungen in der Datei <filename>/var/log/maillog</filename> und @@ -2744,12 +2711,12 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting> <para>Testen Sie nun den Mailserver mit dem Kommando &man.telnet.1;:</para> - <screen>&prompt.root; <userinput>telnet <replaceable>example.com</replaceable> 25</userinput> + <screen>&prompt.root; <userinput>telnet example.com 25</userinput> Trying 192.0.34.166... -Connected to <hostid role="fqdn">example.com</hostid>. +Connected to <systemitem class="fqdomainname">example.com</systemitem>. Escape character is '^]'. -220 <hostid role="fqdn">example.com</hostid> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) -<userinput>ehlo <replaceable>example.com</replaceable></userinput> +220 <systemitem class="fqdomainname">example.com</systemitem> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) +<userinput>ehlo example.com</userinput> 250-example.com Hello example.com [192.0.34.166], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING @@ -2762,7 +2729,7 @@ Escape character is '^]'. 250-DELIVERBY 250 HELP <userinput>quit</userinput> -221 2.0.0 <hostid role="fqdn">example.com</hostid> closing connection +221 2.0.0 <systemitem class="fqdomainname">example.com</systemitem> closing connection Connection closed by foreign host.</screen> <para>Wenn in einer Zeile <literal>STARTTLS</literal> @@ -2770,21 +2737,16 @@ Connection closed by foreign host.</screen> </sect2> </sect1> - <sect1 id="ipsec"> - <sect1info> + <sect1 xml:id="ipsec"> + <info><title>VPNs mit IPsec</title> <authorgroup> - <author> - <firstname>Nik</firstname> - <surname>Clayton</surname> - <affiliation> + <author><personname><firstname>Nik</firstname><surname>Clayton</surname></personname><affiliation> <address><email>nik@FreeBSD.org</email></address> - </affiliation> - <contrib>Geschrieben von </contrib> - </author> + </affiliation><contrib>Geschrieben von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>VPNs mit IPsec</title> + <indexterm> <primary>IPsec</primary> @@ -2797,20 +2759,15 @@ Connection closed by foreign host.</screen> die über das Internet miteinander verbunden sind.</para> <sect2> - <sect2info> + <info><title>IPsec Grundlagen</title> <authorgroup> - <author> - <firstname>Hiten M.</firstname> - <surname>Pandya</surname> - <affiliation> + <author><personname><firstname>Hiten M.</firstname><surname>Pandya</surname></personname><affiliation> <address><email>hmp@FreeBSD.org</email></address> - </affiliation> - <contrib>Geschrieben von </contrib> - </author> + </affiliation><contrib>Geschrieben von </contrib></author> </authorgroup> - </sect2info> + </info> - <title>IPsec Grundlagen</title> + <para>Dieser Abschnitt zeigt Ihnen, wie Sie IPsec einrichten. Um IPsec einzurichten, sollten Sie einen neuen Kernel bauen können (siehe @@ -2819,8 +2776,7 @@ Connection closed by foreign host.</screen> <para>IPsec ist ein Protokoll, das auf dem Internet-Protokoll (IP) aufbaut. Mit IPsec können mehrere Systeme geschützt miteinander kommunizieren. Das in - &os; realisierte IPsec-Protokoll baut auf der <ulink - url="http://www.kame.net/">KAME-Implementierung</ulink> + &os; realisierte IPsec-Protokoll baut auf der <link xlink:href="http://www.kame.net/">KAME-Implementierung</link> auf und unterstützt sowohl IPv4 als auch IPv6.</para> <indexterm> @@ -2947,30 +2903,24 @@ device crypto</screen> <para>Die intern verwendeten IP-Adressen können private oder öffentliche Adressen sein. Sie dürfen sich nicht überlappen; zum Beispiel: - nicht beide sollten <hostid role="ipaddr">192.168.1.x</hostid> + nicht beide sollten <systemitem class="ipaddress">192.168.1.x</systemitem> benutzen.</para> </listitem> </itemizedlist> </sect2> <sect2> - <sect2info> + <info><title>Konfiguration von IPsec in &os;</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <affiliation> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><affiliation> <address><email>trhodes@FreeBSD.org</email></address> - </affiliation> - <contrib>Geschrieben von </contrib> - </author> + </affiliation><contrib>Geschrieben von </contrib></author> </authorgroup> - </sect2info> + </info> - <title>Konfiguration von IPsec in &os;</title> + - <para>Als erstes muss <filename - role="package">security/ipsec-tools</filename> aus + <para>Als erstes muss <package>security/ipsec-tools</package> aus der Ports-Sammlung installiert werden. Dieses Softwarepaket Dritter enthält einige Anwendungen, die ihnen bei der Konfiguration von IPsec helfen.</para> @@ -2978,25 +2928,25 @@ device crypto</screen> <para>Als nächstes müssen zwei &man.gif.4;-Pseudogeräte angelegt werden, um die Pakete zu tunneln und dafür zu sorgen, dass beide Netzwerke richtig miteinander kommunizieren können. - Geben Sie als Benutzer <username>root</username> die folgenden Befehle + Geben Sie als Benutzer <systemitem class="username">root</systemitem> die folgenden Befehle ein: Austausch der <replaceable>internen</replaceable> und <replaceable>externen</replaceable> Werte durch die realen internen und externen Gateways:</para> <screen>&prompt.root; <userinput>ifconfig gif0 create</userinput></screen> - <screen>&prompt.root; <userinput>ifconfig gif0 <replaceable>internal1 internal2</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>external1 external2</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>ifconfig gif0 internal1 internal2</userinput></screen> + <screen>&prompt.root; <userinput>ifconfig gif0 tunnel external1 external2</userinput></screen> <para>Beispiel: Die öffentliche <acronym>IP</acronym>-Adresse des Firmennetzwerkes <acronym>(LAN)</acronym> ist: - <hostid role="ipaddr">172.16.5.4</hostid> mit einer internen + <systemitem class="ipaddress">172.16.5.4</systemitem> mit einer internen <acronym>IP</acronym>-Adresse von - <hostid role="ipaddr">10.246.38.1</hostid>. Das Heimnetzwerk + <systemitem class="ipaddress">10.246.38.1</systemitem>. Das Heimnetzwerk <acronym>(LAN)</acronym> hat die öffentliche <acronym>IP</acronym>-Adresse - <hostid role="ipaddr">192.168.1.12</hostid> mit der internen + <systemitem class="ipaddress">192.168.1.12</systemitem> mit der internen privaten <acronym>IP</acronym>-Adresse - <hostid role="ipaddr">10.0.0.5</hostid>.</para> + <systemitem class="ipaddress">10.0.0.5</systemitem>.</para> <para>Dies mag verwirrend erscheinen, schauen Sie sich deshalb das folgende Beispiel aus dem &man.ifconfig.8;-Befehl an:</para> @@ -3047,11 +2997,11 @@ round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms</programlisting> Netzwerkes richtig routen. Mit dem folgenden Befehl erreicht man das Ziel:</para> - <screen>&prompt.root; <userinput>corp-net# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>corp-net# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0</userinput></screen> + <screen>&prompt.root; <userinput>corp-net# route add net 10.0.0.0: gateway 10.0.0.5</userinput></screen> - <screen>&prompt.root; <userinput>priv-net# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>priv-net# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0</userinput></screen> + <screen>&prompt.root; <userinput>priv-net# route add host 10.246.38.0: gateway 10.246.38.1</userinput></screen> <para>Ab jetzt sollten die Rechner von den Gateways sowie von den Rechnern hinter den Gateways erreichbar sein. Dies wird an dem @@ -3196,7 +3146,7 @@ Foreground mode. Netzwerkverkehr anzusehen. Tauschen Sie <literal>em0</literal> durch die richtige Netzwerkkarte aus.</para> - <screen>&prompt.root; <userinput>tcpdump -i em0 host <replaceable>172.16.5.4 and dst 192.168.1.12</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12</userinput></screen> <para>Die Ausgabe der Konsole sollte dem hier ähneln. Wenn nicht, gibt es ein Problem und ein Debuggen der ausgegebenen @@ -3250,19 +3200,15 @@ racoon_enable="yes"</programlisting> </sect2> </sect1> - <sect1 id="openssh"> - <sect1info> + <sect1 xml:id="openssh"> + <info><title>OpenSSH</title> <authorgroup> - <author> - <firstname>Chern</firstname> - <surname>Lee</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Chern</firstname><surname>Lee</surname></personname><contrib>Beigetragen von </contrib></author> <!-- 21 April 2001 --> </authorgroup> - </sect1info> + </info> - <title>OpenSSH</title> + <indexterm><primary>OpenSSH</primary></indexterm> <indexterm> <primary>Sicherheit</primary> @@ -3334,7 +3280,7 @@ racoon_enable="yes"</programlisting> <para>&man.ssh.1; arbeitet ähnlich wie &man.rlogin.1;:</para> - <screen>&prompt.root; <userinput>ssh <replaceable>user@example.com</replaceable></userinput> + <screen>&prompt.root; <userinput>ssh user@example.com</userinput> Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? <userinput>yes</userinput> Host 'example.com' added to the list of known hosts. @@ -3379,7 +3325,7 @@ user@example.com's password: <userinput>*******</userinput></screen> <command>scp</command> werden die Dateien allerdings in einer sicheren Weise übertragen.</para> - <screen>&prompt.root; <userinput> scp <replaceable>user@example.com:/COPYRIGHT COPYRIGHT</replaceable></userinput> + <screen>&prompt.root; <userinput> scp user@example.com:/COPYRIGHT COPYRIGHT</userinput> user@example.com's password: COPYRIGHT 100% |*****************************| 4735 00:00 @@ -3396,7 +3342,7 @@ COPYRIGHT 100% |*****************************| 4735 das letzte Argument den Bestimmungsort angibt. Da die Dateien über das Netzwerk kopiert werden, können ein oder mehrere Argumente die Form - <option>user@host:<path_to_remote_file></option> + <option>user@host:<path_to_remote_file></option> besitzen.</para> </sect2> @@ -3411,7 +3357,7 @@ COPYRIGHT 100% |*****************************| 4735 Konfigurationsdateien des <application>OpenSSH</application>-Dæmons und des Clients finden sich in dem Verzeichnis - <filename class="directory">/etc/ssh</filename>.</para> + <filename>/etc/ssh</filename>.</para> <para>Die Client-Konfiguration befindet sich in <filename>ssh_config</filename>, die des Servers befindet sich in @@ -3424,14 +3370,14 @@ COPYRIGHT 100% |*****************************| 4735 konfigurieren.</para> </sect2> - <sect2 id="security-ssh-keygen"> + <sect2 xml:id="security-ssh-keygen"> <title>ssh-keygen</title> <para>Mit &man.ssh-keygen.1; können DSA- oder RSA-Schlüssel für einen Benutzer erzeugt werden, die anstelle von Passwörtern verwendet werden können:</para> - <screen>&prompt.user; <userinput>ssh-keygen -t <replaceable>dsa</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh-keygen -t dsa</userinput> Generating public/private dsa key pair. Enter file in which to save the key (/home/user/.ssh/id_dsa): Created directory '/home/user/.ssh'. @@ -3478,7 +3424,7 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com</screen> </warning> </sect2> - <sect2 id="security-ssh-agent"> + <sect2 xml:id="security-ssh-agent"> <title>ssh-agent und ssh-add</title> <para>Mit &man.ssh-agent.1; und &man.ssh-add.1; ist es @@ -3525,7 +3471,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) Ihre SSH-Schlüssel laden.</para> </sect2> - <sect2 id="security-ssh-tunneling"> + <sect2 xml:id="security-ssh-tunneling"> <title>SSH-Tunnel</title> <indexterm> <primary>OpenSSH</primary> @@ -3539,7 +3485,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) <para>Das folgende Kommando erzeugt einen Tunnel für <application>telnet</application>:</para> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>5023:localhost:23 user@foo.example.com</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com</userinput> &prompt.user;</screen> <para>Dabei wurden die folgenden Optionen von <command>ssh</command> @@ -3598,13 +3544,13 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) <para>Ein SSH-Tunnel erzeugt ein Socket auf - <hostid>localhost</hostid> und dem angegebenen Port. Jede + <systemitem>localhost</systemitem> und dem angegebenen Port. Jede Verbindung, die auf dem angegebenen Socket aufgemacht wird, wird dann auf den spezifizierten entfernten Rechner und Port weitergeleitet.</para> <para>Im Beispiel wird der Port <replaceable>5023</replaceable> auf - die entfernte Maschine und dort auf <hostid>localhost</hostid> + die entfernte Maschine und dort auf <systemitem>localhost</systemitem> Port <replaceable>23</replaceable> weitergeleitet. Da der Port <replaceable>23</replaceable> für <application>Telnet</application> reserviert ist, @@ -3617,7 +3563,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) <example> <title>Mit SSH einen sicheren Tunnel für SMTP erstellen</title> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>5025:localhost:25 user@mailserver.example.com</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com</userinput> user@mailserver.example.com's password: <userinput>*****</userinput> &prompt.user; <userinput>telnet localhost 5025</userinput> Trying 127.0.0.1... @@ -3649,13 +3595,13 @@ Escape character is '^]'. dem SSH-Server an Ihrer Arbeitsstelle aufzubauen, und von dort weiter zum Mail-Server zu tunneln.</para> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>2110:mail.example.com:110 user@ssh-server.example.com</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com</userinput> user@ssh-server.example.com's password: <userinput>******</userinput></screen> <para>Wenn Sie den Tunnel eingerichtet haben, konfigurieren Sie Ihren Mail-Client so, dass er POP3 Anfragen zu - <hostid>localhost</hostid> Port 2110 sendet. Die Verbindung - wird dann sicher zu <hostid>mail.example.com</hostid> + <systemitem>localhost</systemitem> Port 2110 sendet. Die Verbindung + wird dann sicher zu <systemitem>mail.example.com</systemitem> weitergeleitet.</para> </sect4> @@ -3678,12 +3624,12 @@ user@ssh-server.example.com's password: <userinput>******</userinput></screen> Maschine außerhalb der Firewall aufzumachen und durch diese zum Ogg Vorbis Server zu tunneln.</para> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>8888:music.example.com:8000 user@unfirewalled-system.example.org</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org</userinput> user@unfirewalled-system.example.org's password: <userinput>*******</userinput></screen> <para>Konfigurieren Sie Ihren Client so, dass er - <hostid>localhost</hostid> und Port 8888 benutzt. Die Verbindung - wird dann zu <hostid>music.example.com</hostid> Port 8000 + <systemitem>localhost</systemitem> und Port 8888 benutzt. Die Verbindung + wird dann zu <systemitem>music.example.com</systemitem> Port 8000 weitergeleitet und Sie haben die Firewall erfolgreich umgangen.</para> </sect4> @@ -3697,14 +3643,14 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput>< Benutzer sich von welchem Rechner aus anmelden können. Dies lässt sich beispielsweise über die Option <literal>AllowUsers</literal> festlegen. Soll sich etwa - nur <username>root</username> vom Rechner mit der IP-Adresse - <hostid role="ipaddr">192.168.1.32</hostid> aus einwählen + nur <systemitem class="username">root</systemitem> vom Rechner mit der IP-Adresse + <systemitem class="ipaddress">192.168.1.32</systemitem> aus einwählen dürfen, würden Sie folgenden Eintrag in <filename>/etc/ssh/sshd_config</filename> aufnehmen:</para> <programlisting>AllowUsers root@192.168.1.32</programlisting> - <para>Damit sich <username>admin</username> von jedem Rechner aus + <para>Damit sich <systemitem class="username">admin</systemitem> von jedem Rechner aus anmelden kann, geben Sie nur den Benutzernamen an:</para> <programlisting>AllowUsers admin</programlisting> @@ -3728,25 +3674,21 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput>< <sect2> <title>Weiterführende Informationen</title> - <para><ulink url="http://www.openssh.com/">OpenSSH</ulink></para> + <para><link xlink:href="http://www.openssh.com/">OpenSSH</link></para> <para>&man.ssh.1; &man.scp.1; &man.ssh-keygen.1; &man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5;</para> <para>&man.sshd.8; &man.sftp-server.8; &man.sshd.config.5;</para> </sect2> </sect1> - <sect1 id="fs-acl"> - <sect1info> + <sect1 xml:id="fs-acl"> + <info><title>Zugriffskontrolllisten für Dateisysteme</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Zugriffskontrolllisten für Dateisysteme</title> + <indexterm> <primary>ACL</primary> @@ -3838,11 +3780,11 @@ drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> - <para>Die Verzeichnisse <filename class="directory">directory1</filename>, - <filename class="directory">directory2</filename> und - <filename class="directory">directory3</filename> + <para>Die Verzeichnisse <filename>directory1</filename>, + <filename>directory2</filename> und + <filename>directory3</filename> sind durch Zugriffskontrolllisten geschützt, das Verzeichnis - <filename class="directory">public_html</filename> nicht.</para> + <filename>public_html</filename> nicht.</para> <sect2> <title>Zugriffskontrolllisten benutzen</title> @@ -3851,7 +3793,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> an. Das folgende Kommando zeigt die <acronym>ACL</acronym>s auf der Datei <filename>test</filename>:</para> - <screen>&prompt.user; <userinput>getfacl <filename>test</filename></userinput> + <screen>&prompt.user; <userinput>getfacl test</userinput> #file:test #owner:1001 #group:1001 @@ -3862,7 +3804,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> <para>Das Werkzeug &man.setfacl.1; ändert oder entfernt <acronym>ACL</acronym>s auf Dateien. Zum Beispiel:</para> - <screen>&prompt.user; <userinput>setfacl -k <filename>test</filename></userinput></screen> + <screen>&prompt.user; <userinput>setfacl -k test</userinput></screen> <para>Die Option <option>-k</option> entfernt alle <acronym>ACL</acronym>s einer Datei oder eines Dateisystems. @@ -3870,7 +3812,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> zu verwenden, da sie die erforderlichen Felder beibehält.</para> - <screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,g:web:r--,o::--- <filename>test</filename></userinput></screen> + <screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,g:web:r--,o::--- test</userinput></screen> <para>Mit dem vorstehenden Kommando werden die eben entfernten Zugriffskontrolllisten wiederhergestellt. @@ -3882,18 +3824,14 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> </sect2> </sect1> - <sect1 id="security-portaudit"> - <sect1info> + <sect1 xml:id="security-portaudit"> + <info><title>Sicherheitsprobleme in Software Dritter überwachen</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Sicherheitsprobleme in Software Dritter überwachen</title> + <indexterm> <primary>Portaudit</primary> @@ -3917,7 +3855,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> enthaltene Programm <application>Portaudit</application> wurde gezielt dafür entwickelt.</para> - <para>Der Port <filename role="package">ports-mgmt/portaudit</filename> + <para>Der Port <package>ports-mgmt/portaudit</package> fragt dazu eine Datenbank, die vom &os; Security Team sowie den Ports-Entwicklern aktualisiert und gewartet wird, auf bekannte Sicherheitsprobleme ab.</para> @@ -3933,12 +3871,12 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> es <application>Portaudit</application> erlaubt, seine Ausgabe in den täglichen Sicherheitsbericht einzufügen. Stellen Sie auf jeden Fall sicher, dass diese (an das - E-Mail-Konto von <username>root</username> gesendeten) + E-Mail-Konto von <systemitem class="username">root</systemitem> gesendeten) Sicherheitsberichte auch gelesen werden. An dieser Stelle ist keine weitere Konfiguration nötig.</para> <para>Nach der Installation kann ein Administrator die unter - <filename class="directory">/var/db/portaudit</filename> lokal + <filename>/var/db/portaudit</filename> lokal gespeicherte Datenbank aktualisieren und sich danach durch folgenden Befehl über mögliche Sicherheitslücken der von ihm installierten Softwarepakete informieren:</para> @@ -3984,18 +3922,14 @@ You are advised to update or deinstall the affected package(s) immediately.</pro hilfreich.</para> </sect1> - <sect1 id="security-advisories"> - <sect1info> + <sect1 xml:id="security-advisories"> + <info><title>&os; Sicherheitshinweise</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Beigesteuert von </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigesteuert von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>&os; Sicherheitshinweise</title> + <indexterm> <primary>Sicherheitshinweise</primary> @@ -4018,13 +3952,13 @@ You are advised to update or deinstall the affected package(s) immediately.</pro FreeBSD-SA-XX:XX.UTIL Security Advisory The FreeBSD Project -Topic: denial of service due to some problem<co id="co-topic"/> +Topic: denial of service due to some problem<co xml:id="co-topic"/> -Category: core<co id="co-category"/> -Module: sys<co id="co-module"/> -Announced: 2003-09-23<co id="co-announce"/> -Credits: Person<co id="co-credit"/> -Affects: All releases of &os;<co id="co-affects"/> +Category: core<co xml:id="co-category"/> +Module: sys<co xml:id="co-module"/> +Announced: 2003-09-23<co xml:id="co-announce"/> +Credits: Person<co xml:id="co-credit"/> +Affects: All releases of &os;<co xml:id="co-affects"/> &os; 4-STABLE prior to the correction date Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) @@ -4034,33 +3968,33 @@ Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<co id="co-corrected"/> -<acronym>CVE</acronym> Name: CVE-XXXX-XXXX<co id="co-cve"/> + 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<co xml:id="co-corrected"/> +<acronym>CVE</acronym> Name: CVE-XXXX-XXXX<co xml:id="co-cve"/> For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit http://www.FreeBSD.org/security/. -I. Background<co id="co-backround"/> +I. Background<co xml:id="co-backround"/> -II. Problem Description<co id="co-descript"/> +II. Problem Description<co xml:id="co-descript"/> -III. Impact<co id="co-impact"/> +III. Impact<co xml:id="co-impact"/> -IV. Workaround<co id="co-workaround"/> +IV. Workaround<co xml:id="co-workaround"/> -V. Solution<co id="co-solution"/> +V. Solution<co xml:id="co-solution"/> -VI. Correction details<co id="co-details"/> +VI. Correction details<co xml:id="co-details"/> -VII. References<co id="co-ref"/></programlisting> +VII. References<co xml:id="co-ref"/></programlisting> <calloutlist> @@ -4113,7 +4047,7 @@ VII. References<co id="co-ref"/></programlisting> Datei, die zum Kernel gehört, können Sie schnell mit <command>ident</command> ermitteln. Bei Ports ist die Versionsnummer angegeben, die Sie im Verzeichnis - <filename class="directory">/var/db/pkg</filename> finden. + <filename>/var/db/pkg</filename> finden. Wenn Sie Ihr System nicht täglich aktualisieren, ist Ihr System wahrscheinlich betroffen.</para> </callout> @@ -4184,18 +4118,14 @@ VII. References<co id="co-ref"/></programlisting> </sect2> </sect1> - <sect1 id="security-accounting"> - <sect1info> + <sect1 xml:id="security-accounting"> + <info><title>Prozess-Überwachung</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Beigetragen von </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Prozess-Überwachung</title> + <indexterm> <primary>Prozess-Überwachung</primary> @@ -4223,11 +4153,11 @@ VII. References<co id="co-ref"/></programlisting> <para>Bevor Sie die Prozess-Überwachung verwenden können, müssen Sie diese aktivieren. Dazu führen Sie als - <username>root</username> die folgenden Befehle aus:</para> + <systemitem class="username">root</systemitem> die folgenden Befehle aus:</para> - <screen>&prompt.root; <userinput>touch <filename>/var/account/acct</filename></userinput> -&prompt.root; <userinput>accton <filename>/var/account/acct</filename></userinput> -&prompt.root; <userinput>echo 'accounting_enable="YES"' >> <filename>/etc/rc.conf</filename></userinput></screen> + <screen>&prompt.root; <userinput>touch /var/account/acct</userinput> +&prompt.root; <userinput>accton /var/account/acct</userinput> +&prompt.root; <userinput>echo 'accounting_enable="YES"' >> /etc/rc.conf</userinput></screen> <para>Einmal aktiviert, wird sofort mit der Überwachung von <acronym>CPU</acronym>-Statistiken, Befehlen und anderen @@ -4246,10 +4176,10 @@ VII. References<co id="co-ref"/></programlisting> ausgeführt wurden:</para> <screen>&prompt.root; <userinput>lastcomm ls - <username>trhodes</username> ttyp1</userinput></screen> + trhodes ttyp1</userinput></screen> <para>Das Ergebnis sind alle bekannten Einsätze von - <command>ls</command> durch <username>trhodes</username> + <command>ls</command> durch <systemitem class="username">trhodes</systemitem> auf dem Terminal <literal>ttyp1</literal>.</para> <para>Zahlreiche weitere nützliche Optionen finden Sie in den |