diff options
Diffstat (limited to 'documentation/content/ru/books/handbook/security')
| -rw-r--r-- | documentation/content/ru/books/handbook/security/_index.adoc | 2653 | ||||
| -rw-r--r-- | documentation/content/ru/books/handbook/security/_index.po | 5993 |
2 files changed, 7151 insertions, 1495 deletions
diff --git a/documentation/content/ru/books/handbook/security/_index.adoc b/documentation/content/ru/books/handbook/security/_index.adoc index f295d8c0be..a5ff6753f2 100644 --- a/documentation/content/ru/books/handbook/security/_index.adoc +++ b/documentation/content/ru/books/handbook/security/_index.adoc @@ -1,12 +1,14 @@ --- -title: Глава 14. Безопасность -part: Часть III. Системное администрирование +description: 'Описаны сотни стандартных практик о том, как защитить системы и сети, и для пользователя FreeBSD понимание того, как защититься от атак и злоумышленников, является обязательным' +next: books/handbook/jails +params: + path: /books/handbook/security/ +part: 'Часть III. Администрирование системы' prev: books/handbook/boot -next: books/handbook/mac showBookMenu: true -weight: 18 -params: - path: "/books/handbook/security/" +tags: ["security", "TCP Wrappers", "Kerberos", "OpenSSL", "OpenSSH", "ACL", "NFSv4 ACLs", "advisories", "sudo", "doas", "capsicum", "monitoring"] +title: 'Глава 16. Безопасность' +weight: 20 --- [[security]] @@ -17,7 +19,7 @@ params: :icons: font :sectnums: :sectnumlevels: 6 -:sectnumoffset: 14 +:sectnumoffset: 16 :partnums: :source-highlighter: rouge :experimental: @@ -48,1152 +50,883 @@ include::../../../../../shared/asciidoctor.adoc[] endif::[] [[security-synopsis]] -== Краткое описание - -Эта глава представляет введение в основные концепции безопасности системы, некоторые эмпирические правила и более подробно обращается к отдельным темам, касающимся FreeBSD. Большая часть затрагиваемых тем может быть применена к безопасности системы и безопасности в интернет вообще. Интернет больше не то "дружественное" место, где каждый хочет быть вам добрым соседом. Защита системы необходима для сохранения ваших данных, интеллектуальной собственности, времени и всего остального от хакеров и им подобных. +== Обзор -FreeBSD предоставляет массу утилит и механизмов для обеспечения целостности и безопасности системы и сети. +Сотни стандартных практик написаны о том, как защитить системы и сети, и, как пользователю FreeBSD, понимание того, как защититься от атак и злоумышленников, является обязательным. -После прочтения этой главы вы узнаете: +В этой главе будут рассмотрены несколько основополагающих принципов и методов. Система FreeBSD включает в себя несколько уровней безопасности, а также множество сторонних утилит, которые могут быть добавлены для её усиления. -* Основные концепции безопасности системы, специфику FreeBSD. -* О различных механизмах шифрования в FreeBSD, таких как DES и MD5. -* Как настроить аутентификацию с использованием одноразовых паролей. -* Как настроить TCP Wrappers для использования с `inetd`. -* Как настроить KerberosIV в релизах FreeBSD до 5.0. -* Как настроить Kerberos5 в FreeBSD. -* Как настроить IPsec и создать VPN между компьютерами на FreeBSD/Windows(R). -* Как настроить и использовать OpenSSH, реализацию SSH в FreeBSD. -* Что такое ACL и как их использовать. -* Как использовать утилиту Portaudit для проверки пакетов сторонних разработчиков, установленных из Коллекции Портов. -* Как работать с сообщениями безопасности FreeBSD. -* Что такое Process Accounting и как активировать его во FreeBSD. +Эта глава охватывает: -Перед чтением этой главы вам потребуется: +* Основные концепции безопасности системы FreeBSD. +* Доступные в FreeBSD механизмы шифрования. +* Как настроить TCP Wrappers для использования с man:inetd[8]. +* Как настроить Kerberos на FreeBSD. +* Как настроить и использовать OpenSSH на FreeBSD. +* Как использовать OpenSSL в FreeBSD. +* Как использовать ACL файловых систем. +* Как использовать pkg для аудита сторонних программных пакетов, установленных из Коллекции портов. +* Как использовать рекомендации по безопасности FreeBSD. +* Что такое учёт процессов и как его включить в FreeBSD. +* Как управлять ресурсами пользователей с помощью классов входа или базы данных ограничений ресурсов. +* Что такое Capsicum и базовый пример. -* Понимание основных концепций FreeBSD и интернет. - -В этой книге рассмотрены и другие вопросы безопасности. Например, принудительный контроль доступа (Mandatory Access Control) рассматривается в crossref:mac[mac, Принудительный контроль доступа (MAC)], а брандмауэры в crossref:firewalls[firewalls, Межсетевые экраны]. +Некоторые темы из-за их сложности рассматриваются в отдельных главах, таких как crossref:firewalls[firewalls,Межсетевые экраны], crossref:mac[mac,Принудительное управление доступом], и статьях, например extref:{vpn-ipsec}[VPN через IPsec]. [[security-intro]] == Введение -Безопасность это первая и основная функция системного администратора. Хотя все многопользовательские системы BSD UNIX(R) уже снабжены некоторой защитой, работа по созданию и поддержке дополнительных механизмов безопасности, обеспечивающих защищенную работу пользователей, это одна из самых серьезных задач системного администратора. Компьютеры безопасны настолько, насколько вы сделаете их безопасными и требования безопасности всегда находятся в противоречии с удобством работы пользователей. Системы UNIX(R) способны одновременно работать с огромным количеством процессов и многие из этих процессов серверные - это означает, что с ними могут взаимодействовать внешние программы. Сегодня десктопы заменили мини-компьютеры и мэйнфрэймы, и поскольку компьютеры в наши дни подключены к сети интернет, безопасность важна как никогда. - -Наилучшая реализация системы безопасности представима в виде "послойной" системы. Вообще говоря все, что нужно сделать, это создать столько слоев безопасности, сколько необходимо и затем внимательно следить за вторжениями в систему. Не переусердствуйте в настройке системы безопасности, иначе она сделает невозможной обнаружение вторжений, являющееся одним из наиболее важных аспектов механизма безопасности. Например, нет большого смысла в установке флага `schg` (man:chflags[1]) на каждый исполняемый файл системы, поскольку хотя таким способом можно временно защитить исполняемые файлы, это помешает обнаружению факта взлома системы. +Безопасность — это ответственность каждого. Слабое звено в любой системе может позволить злоумышленникам получить доступ к важной информации и нанести ущерб всей сети. Один из основных принципов информационной безопасности — триада КИД, которая означает Конфиденциальность, Целостность и Доступность информационных систем. -Безопасность системы также относится к различным формам атак, имеющих своей целью вызвать крах системы, или сделать систему недоступной другим способом, но не пытающихся получить доступ к учётной записи `root` ("break root"). Угрозы безопасности могут быть поделены на несколько категорий: +Триада КИД (конфиденциальность, целостность, доступность) — это фундаментальная концепция безопасности в компьютерных системах, так как клиенты и пользователи ожидают, что их данные будут защищены. Например, клиент ожидает, что информация о его кредитной карте хранится безопасно (конфиденциальность), что его заказы не будут изменены без его ведома (целостность) и что он в любое время сможет получить доступ к информации о своих заказах (доступность). -. Отказ в обслуживании (Denial of service, DoS). -. Взлом пользовательских учётных записей. -. Взлом учётной записи root через доступные сервисы. -. Взлом учётной записи root через учётные записи пользователей. -. Создание backdoor. +Для обеспечения КИД специалисты по безопасности применяют стратегию "глубокой эшелонированной защиты". Идея глубокой эшелонированной защиты заключается в добавлении нескольких уровней безопасности, чтобы предотвратить отказ одного уровня и полный крах всей системы безопасности. Например, системный администратор не может просто включить межсетевой экран и считать сеть или систему безопасными. Необходимо также проводить аудит учетных записей, проверять целостность бинарных файлов и убеждаться, что вредоносные инструменты не установлены. Для реализации эффективной стратегии безопасности необходимо понимать угрозы и способы защиты от них. -Атака "отказ в обслуживании" отбирает у машины необходимые ресурсы. Обычно DoS атаки используют грубую силу, чтобы попытаться обрушить систему или сделать ее недоступной другим способом, превысив лимиты ее сервисов или сетевого стека. Некоторые DoS атаки пытаются использовать ошибки в сетевом стеке для обрушения системы одним пакетом. Эту проблему можно решить только исправив ядро системы. Атаки зачастую можно предотвратить правильной установкой параметров, ограничивающих нагрузку на систему в неблагоприятных условиях. С атаками, использующими грубую силу, бороться сложно. Например, атака с использованием пакетов с поддельными адресами, которую почти невозможно остановить, может быстро отключить вашу систему от интернет. Возможно, она не приведет к отказу системы, но сможет переполнить соединение с интернет. +Что такое угроза в контексте компьютерной безопасности? Угрозы не ограничиваются удаленными злоумышленниками, которые пытаются получить доступ к системе без разрешения из удаленного местоположения. Угрозы также включают сотрудников, вредоносное программное обеспечение, несанкционированные сетевые устройства, стихийные бедствия, уязвимости безопасности и даже конкурирующие компании. -Взлом учётной записи пользователя обычно встречается чаще, чем DoS атаки. Многие системные администраторы все еще используют стандартные сервисы telnetd, rlogind и ftpd на своих серверах. Эти сервисы по умолчанию не работают с зашифрованными соединениям. В результате при среднем количестве пользователей пароль одного или нескольких пользователей, входящих в систему через внешнее соединение (это обычный и наиболее удобный способ входа в систему), будет перехвачен. Внимательный системный администратор должен анализировать логи удаленного доступа на предмет подозрительных адресов пользователей даже в случае успешного входа. +Системы и сети могут быть доступны без разрешения, иногда случайно, или удаленными злоумышленниками, а в некоторых случаях — посредством корпоративного шпионажа или действий бывших сотрудников. Как пользователю, важно быть готовым признать, когда ошибка привела к нарушению безопасности, и сообщить о возможных проблемах команде безопасности. Как администратору, важно знать об угрозах и быть готовым к их устранению. -Кто-то может предположить, что атакующий при наличии доступа к учётной записи пользователя может взломать учётную запись `root`. Однако, реальность такова, что в хорошо защищенной и поддерживаемой системе доступ к учётной записи пользователя не обязательно даст атакующему доступ к `root`. Разница между доступом к обычной учётной записи и к `root` важна, поскольку без доступа к `root` атакующий обычно не способен скрыть свои действия, и в худшем случае сможет лишь испортить файлы пользователя или вызвать крах системы. Взлом пользовательских учётных записей встречается очень часто, поскольку пользователи заботятся о безопасности так, как системные администраторы. +Применяя меры безопасности к системам, рекомендуется начать с защиты базовых учетных записей и конфигурации системы, а затем обеспечить безопасность сетевого уровня, чтобы он соответствовал политике системы и процедурам безопасности организации. Многие организации уже имеют политику безопасности, которая охватывает конфигурацию технологических устройств. Эта политика должна включать настройки безопасности рабочих станций, настольных компьютеров, мобильных устройств, телефонов, производственных серверов и серверов разработки. Во многих случаях уже существуют стандартные операционные процедуры (СОП). Если возникают сомнения, обратитесь к команде безопасности. -Системные администраторы должны помнить, что существует множество потенциальных способов взлома учётной записи `root`. Атакующий может узнать пароль `root`, найти ошибку в сервисе, работающем с привилегиями и взломать учётную запись `root` через сетевое соединение с этим сервисом, или узнать об ошибке в suid-root программе, позволяющей атакующему взлом `root` с помощью взломанной учётной записи пользователя. Если атакующий нашел способ взлома `root`, ему может не понадобиться установка backdoor. Многие из обнаруженных и закрытых на сегодняшний день брешей в системе, позволяющие взлом `root`, требуют от атакующего серьезной работы по заметанию следов, поэтому большинство атакующих устанавливают backdoor. Backdoor предоставляет атакующему простой способ восстановления доступа к системе с привилегиями `root`, но также дает системному администратору удобный способ обнаружения вторжения. Устранение возможности установки backdoor возможно повредит безопасности системы, поскольку это не устранит брешь, позволившую проникнуть в систему. +[[sec-accounts]] +== Защита учетных записей -Меры безопасности всегда должны реализовываться на нескольких уровнях, которые могут быть классифицированы следующим образом: +Поддержание безопасных учетных записей в FreeBSD крайне важно для конфиденциальности данных, целостности системы и разделения привилегий, так как это предотвращает несанкционированный доступ, вредоносное ПО и утечки данных, обеспечивая соответствие требованиям и защищая репутацию организации. -. Защита `root` и служебных учётных записей. -. Защита работающих под `root` сервисов и suid/sgid исполняемых файлов. -. Защита учётных записей пользователей. -. Защита файла паролей. -. Защита ядра, raw устройств и файловых систем. -. Быстрое обнаружение несанкционированных изменений в системе. -. Паранойя. +[[security-accounts]] +=== Предотвращение входов в систему -В следующем разделе этой главы эти темы изложены более подробно. +При обеспечении безопасности системы хорошей отправной точкой является аудит учетных записей. Отключите все учетные записи, которым не требуется доступ для входа. -[[securing-freebsd]] -== Защита FreeBSD - -[NOTE] -.Команда и протокол +[TIP] ==== -В этом документе мы будет использовать выделенный текст, упоминая приложение, и `моноширинный` шрифт, упоминая определенные команды. Для протоколов используется обычный шрифт. Это типографическое отличие полезно для таких случаев, как ssh, поскольку это и команда и протокол. +Убедитесь, что у пользователя `root` установлен надежный пароль и что этот пароль не используется совместно. ==== -В последующем разделе будут рассмотрены методы защиты системы FreeBSD, упомянутые в <<security-intro,предыдущем разделе>> этой главы. - -[[securing-root-and-staff]] -=== Защита учётной записи `root` и служебных учётных записей - -Во-первых, не беспокойтесь о защите служебных учётных записей, если не защищена учётная запись `root`. В большинстве систем у учётной записи `root` есть пароль. Использование пароля `root` опасно _всегда_. Это не означает, что вы должны удалить пароль. Пароль почти всегда необходим для доступа по консоли. Но это означает, что вы должны сделать невозможным использование пароля не из консоли или может быть даже с помощью команды man:su[1]. Например, убедитесь, что псевдо-терминалы в файле [.filename]#/etc/ttys# перечислены с параметром `insecure`, что делает невозможным вход на них под `root` напрямую с помощью `telnet` или `rlogin`. При использовании других средств входа, таких как sshd, убедитесь что вход под `root` напрямую отключен и в них. Сделайте это, открыв файл [.filename]#/etc/ssh/sshd_config#, и убедившись, что параметр `PermitRootLogin` установлен в `NO`. Проверьте каждый метод доступа - сервис FTP и ему подобные часто подвержены взлому. Прямой вход под `root` должен быть разрешен только с системной консоли. - -Конечно, как системный администратор вы должны иметь доступ `root`, поэтому потребуется открыть несколько "лазеек". Но убедитесь, что для доступа к ним необходим дополнительный пароль. Одним из способов доступа к `root` является добавление соответствующих учётных записей к группе `wheel` (в файле [.filename]#/etc/group#). Это позволяет использовать `su` для доступа к `root`. Вы никогда не должны давать таким учётным записям доступ к `wheel` непосредственно, помещая их в группу `wheel` в файле паролей. Служебные учётные записи должны помещаться в группу `staff`, а затем добавляться к группе `wheel` в файле [.filename]#/etc/group#. Только те члены группы staff, которым действительно нужен доступ к `root`, должны быть помещены в группу `wheel`. При работе с такими методами аутентификации как Kerberos, возможно также использование файла [.filename]#.k5login# в каталоге пользователя `root` для доступа к учётной записи `root` с помощью man:ksu[1] без помещения кого-либо в группу `wheel`. Это решение возможно лучше, поскольку механизм `wheel` все еще позволяет взлом `root`, если злоумышленник получил копию файла паролей и смог взломать служебную учётную запись. Хотя использование механизма `wheel` лучше, чем работа через `root` напрямую, это не обязательно самый безопасный способ. +Для запрета входа в учетные записи существуют два метода. -Непрямой способ защиты служебных учётных записей и конечно `root` это использование альтернативных методов доступа и замена зашифрованных паролей на символ "`*`". Используя команду man:vipw[8], замените каждый зашифрованный пароль служебных учётных записей на этот символ для запрета входа с аутентификацией по паролю. Эта команда обновит файл [.filename]#/etc/master.passwd# и базу данных пользователей/паролей. +Первый способ — заблокировать учетную запись, в этом примере показано, как заблокировать учетную запись `imani`: -Служебная учётная запись вроде этой: - -[.programlisting] +[source, shell] .... -foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh +# pw lock imani .... -Должна быть заменена на такую: +Второй способ — запретить вход в систему, изменив оболочку на [.filename]#/usr/sbin/nologin#. Оболочка man:nologin[8] предотвращает назначение оболочки пользователю при попытке входа в систему. -[.programlisting] +Только суперпользователь может изменить оболочку для других пользователей: + +[source, shell] .... -foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh +# chsh -s /usr/sbin/nologin imani .... -Это изменение предотвратит обычный вход, поскольку зашифрованный пароль никогда не совпадет с "`\*`". После этого члены группы staff должны использовать другой механизм аутентификации, например man:kerberos[1] или man:ssh[1] с парой ключей: публичным и приватным. При использовании такой системы как Kerberos, потребуется защитить сервер Kerberos и рабочую станцию. При использовании пары публичного/приватного ключей с ssh, потребуется защитить компьютер, _с_ которого происходит вход (обычно это рабочая станция). Дополнительных слой защиты может быть добавлен путем защиты пары ключей при создании их с помощью man:ssh-keygen[1]. Возможность заменить пароли служебных учётных записей на "`*`" гарантирует также, что вход может быть осуществлен только через защищенные методы доступа, которые вы настроили. Это принуждает всех членов staff использовать защищенные, шифрованные соединения для всех входов, что закрывает большую брешь, используемую многими нарушителями: перехват паролей с другого, слабо защищенного компьютера. - -Более непрямой механизм безопасности предполагает, что вы входите с более защищенного сервера на менее защищенный. Например, если главный сервер работает со всеми сервисами, рабочая станция не должна работать ни с одним. Для поднятия уровня безопасности до приемлемого уровня, число запущенных на ней сервисов необходимо сократить до минимума, вплоть до отключения их всех, кроме того необходимо использовать защищенный паролем хранитель экрана. Конечно, при наличии физического доступа к рабочей станции атакующий может взломать любую систему безопасности. Это определенно проблема, которую вы должны учитывать, но учтите также тот факт, что большинство взломов совершаются удаленно, через сеть, людьми, которые не имеют физического доступа к вашим рабочим станциям или серверам. - -Использование такой системы как Kerberos дает возможность заблокировать или изменить пароль в одном месте, что сразу отразиться на всех компьютерах, где существует служебная учётная запись. Если эта учётная запись будет взломана, возможность немедленно изменить пароль на всех компьютерах нельзя недооценивать. Без этой возможности изменение паролей на N машинах может стать проблемой. Вы можете также наложить ограничения на смену паролей с помощью Kerberos: не только установить значения timeout в Kerberos, но и добавить требование смены пароля пользователем после определенного периода времени (скажем, раз в месяц). - -=== Защита работающих под root сервисов и suid/sgid исполняемых файлов - -Предусмотрительный системный администратор запускает только те сервисы, в которых нуждается, ни больше ни меньше. Учитывайте, что сервисы сторонних разработчиков наиболее подвержены ошибкам. К примеру, работа со старыми версиями imapd или popper это все равно что раздача доступа `root` всему миру. Никогда не запускайте сервисы, которые вы не проверили достаточно внимательно. Многим сервисам не требуется работа под `root`. Например, даемоны ntalk, comsat, и finger могут быть запущены в так называемых _песочницах_ (_sandboxes_). Песочница это не идеальное решение, поскольку вызывает много проблем, но она подходит под модель послойной безопасности: если кто-то сможет взломать сервис, работающий в песочнице, ему потребуется взломать еще и саму песочницу. Чем больше уровней ("слоев") потребуется пройти атакующему, тем меньше вероятность его успеха. Ошибки, позволяющие получать root доступ, находили фактически во всех сервисах, запускаемых под `root`, включая основные системные сервисы. Если вы обслуживаете машину, на которую входят только через sshd и никогда не входят через telnetd, rshd или rlogind, отключите эти сервисы! - -В FreeBSD сервисы ntalkd, comsat и finger теперь по умолчанию работают в "песочнице". Другая программа, которая может быть кандидатом на запуск в "песочнице" это man:named[8]. [.filename]#/etc/defaults/rc.conf# включает необходимые для запуска named в "песочнице" аргументы в закомментированой форме. В зависимости от того, устанавливаете ли вы новую систему, или обновляете старую, учётные записи пользователей, используемые этими "песочницами" могут не быть созданы. Предусмотрительный системный администратор должен узнать о "песочницах" для сервисов и установить их если есть возможность. +[[security-passwords]] +=== Хеши паролей -Есть множество других сервисов, которые обычно не работают в "песочницах": sendmail, popper, imapd, ftpd, и другие. Некоторым из этих сервисов есть альтернативы, но их установка может потребовать больше работы, чем вы готовы выполнить (фактор удобства). Вы можете запустить эти сервисы под `root` и положиться на другие механизмы обнаружения вторжений, которые могут пройти через них. +Пароли — это неизбежное зло в мире технологий. Когда их использование необходимо, они должны быть сложными, а для хранения зашифрованной версии в базе данных паролей следует использовать надежный механизм хеширования. FreeBSD поддерживает несколько алгоритмов, включая SHA256, SHA512 и Blowfish, в своей библиотеке `crypt()`. Подробности можно найти в man:crypt[3]. -Другая большая потенциальная `root` брешь в системе это suid-root и sgid исполняемые файлы. Большинство этих исполняемых файлов, таких как rlogin, установлены в [.filename]#/bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, или [.filename]#/usr/sbin#. Хотя ничто не может быть безопасно на 100%, находящиеся по умолчанию в системе suid и sgid исполняемые файлы могут быть признаны достаточно безопасными. Но `root` бреши все еще обнаруживаются в этих исполняемых файлах. `root` брешь, обнаруженная в `Xlib` в 1998 делала xterm (который обычно suid) подверженным взлому. Лучше сразу принять меры предосторожности, чем сожалеть потом. Предусмотрительный системный администратор ограничит права запуска suid исполняемых файлов, которые должны запускаться пользователями группы staff, только этой группой, а также запретит доступ (`chmod 000`) к тем исполняемым файлам suid, которые никем не используются. Серверу без монитора обычно не требуется исполняемый файл xterm. Исполняемые sgid исполняемые файлы могут быть почти так же опасны. Если нарушитель сможет взломать sgid-kmem исполняемый файл, он возможно сможет прочесть [.filename]#/dev/kmem# и таким образом получить файл зашифрованных паролей, что потенциально делает возможным взлом любой защищённой паролем учётной записи. Аналогично нарушитель, проникший в группу `kmem`, может отслеживать последовательности клавиш, отправляемые через псевдо-терминалы, включая те, что используют защищённые соединения. Нарушитель, вошедший в группу `tty` может сделать вывод почти на любой пользовательский терминал. Если пользователь работает с терминальной программой или эмулятором с возможностью эмуляции клавиатуры, взломщик может потенциально сгенерировать поток данных, который заставит терминал пользователя ввести команду, и она будет запущена с правами этого пользователя. +По умолчанию используется SHA512, и его не следует заменять на менее безопасный алгоритм хеширования, но можно перейти на более безопасный алгоритм Blowfish. -[[secure-users]] -=== Защита учётных записей пользователей - -Учетные записи пользователей обычно сложнее всего защитить. Вы можете ввести драконовские ограничения доступа к служебным учётным записям, заменив их пароли на символ "`*`", но возможно не сможете сделать то же с обычными учётными записями пользователей. Если есть такая возможность, вы возможно сможете защитить учётные записи пользователей соответствующим образом. Если нет, просто более бдительно отслеживайте эти учётные записи. Использование ssh и Kerberos для учётных записей пользователей более проблематично, поскольку требует дополнительной административной работы и технической поддержки, но все же это решение лучше, чем файл с шифрованными паролями. - -=== Защита файла паролей - -Единственный абсолютно надежный способ это замена на `*` максимально возможного количества паролей и использование ssh или Kerberos для доступа к таким учётным записям. Хотя файл с шифрованными паролями ([.filename]#/etc/spwd.db#) доступен для чтения только `root`, возможно, что нарушитель сможет получить доступ на чтение к этому файлу, даже если не получит права `root` на запись. - -Ваши скрипты безопасности должны всегда проверять и составлять отчет об изменениях файла паролей (обратитесь к разделу <<security-integrity,Проверка целостности файлов>> ниже по тексту). - -=== Защита ядра, raw устройств и файловых систем - -Если атакующий взломает `root`, он сможет сделать практически все, но есть способы усложнить его задачу. Например, в большинстве современных ядер встроено устройство перехвата пакетов. В FreeBSD оно называется [.filename]#bpf#. Нарушитель обычно пытается запустить перехват пакетов на взломанной машине. Вы не должны предоставлять ему такой возможности, на большинстве систем устройство [.filename]#bpf# не должно быть встроено в ядро. - -Но даже если вы выключите устройство [.filename]#bpf#, все еще остаются проблемы, связанные с устройствами [.filename]#/dev/mem# и [.filename]#/dev/kmem#. Нарушитель все еще может писать на дисковые raw устройства. Есть также другая возможность ядра, загрузка модулей, man:kldload[8]. Активный нарушитель может использовать KLD модуль для установки собственного устройства [.filename]#bpf# или другого перехватывающего устройства на работающее ядро. Для решения этих проблем запускайте ядро с большим уровнем безопасности, как минимум 1. Уровень безопасности может быть установлен с помощью `sysctl` через переменную `kern.securelevel`. После установки уровня безопасности в 1 доступ на запись в raw устройства будет запрещена и полностью заработают специальные флаги `chflags`, такие как `schg`. Убедитесь также, что флаг `schg` установлен на критически важных загрузочных исполняемых файлах, каталогах и файлах скриптов - на всем, что запускается до установке уровня безопасности. Это требует большого объема работы, и обновление системы на более высоком уровне безопасности может стать гораздо сложнее. Вы можете пойти на компромисс и запускать систему на высоком уровне безопасности, но не устанавливать флаг `schg` для каждого существующего системного файла и каталога. Другая возможность состоит в монтировании [.filename]#/# и [.filename]#/usr# только для чтения. Необходимо заметить, что такие правила слишком жесткие и могут помешать обнаружению вторжения. - -[[security-integrity]] -=== Проверка целостности файлов: исполняемые, конфигурационные файлы и т.д. - -Вы можете защищать только ядро, файлы настройки и управления системой только до тех пор, пока эта защита не вступит в конфликт с удобством работы в системе. Например, использование `chflags` для установки бита `schg` на большинство файлов в [.filename]#/# вероятно может только навредить, поскольку хотя и может защитить файлы, препятствует обнаружению. Последний слой системы безопасности, возможно, наиболее важный - обнаружение. Остальные меры безопасности практически бесполезны (или, что еще хуже, могут дать вам ложное ощущение безопасности) если вы не обнаружите потенциальное вторжение. Половина функций системы безопасности направлена на замедление атакующего, а не на его остановку, для того, чтобы дать системе обнаружения возможность поймать нарушителя на месте преступления. +[NOTE] +==== +Blowfish не является частью AES и не соответствует Федеральным стандартам обработки информации (FIPS). Его использование может быть запрещено в некоторых средах. +==== -Лучший способ обнаружения вторжения - отслеживание измененных, отсутствующих, или неожиданно появившихся файлов. Для наблюдения за измененными файлами лучше всего использовать другую (зачастую централизованную) систему с ограниченным доступом. Добавление написанных вами скриптов к этой дополнительно защищенной системе с ограниченным доступом делает ее практически невидимой для потенциальных взломщиков, и это важно. В целях достижения максимального эффекта вам может потребоваться предоставить этой системе доступ к другим машинам в сети, обычно с помощью NFS экспорта только для чтения или сгенерировав пары ключей ssh для доступа к другим машинам по ssh. Помимо большого объема сетевого трафика, NFS более скрытый метод - он позволяет контролировать файловые системы на каждом клиентском компьютере практически незаметно. Если ваш сервер с ограниченным доступом подключен к клиентским компьютерам через коммутатор, NFS метод это зачастую лучший выбор. При соединении через концентратор, или через несколько маршрутизаторов, NFS метод может стать слишком небезопасным и использование ssh может стать лучшим выбором даже несмотря на то, что ssh оставляет следы своей работы. +Для определения того, какой алгоритм хеширования используется для шифрования пароля пользователя, суперпользователь может просмотреть хеш пользователя в базе данных паролей FreeBSD. Каждый хеш начинается с символа, который указывает на тип механизма хеширования, использованного для шифрования пароля. -Как только у вас появился сервер с ограниченным доступом, и как минимум доступ на чтение в клиентских системах, потребуется написать скрипты для выполнения мониторинга. При наличии доступа по NFS вы можете написать скрипты с помощью простых системных утилит, таких как man:find[1] и man:md5[1]. Лучше всего подсчитывать md5 файлов на клиентском компьютере как минимум один раз в день, а файлы, контролирующие запуск из [.filename]#/etc# и [.filename]#/usr/local/etc# даже более часто. При обнаружении расхождений в md5, контролирующий компьютер должен просигналить системному администратору проверить изменившиеся файлы. Хороший скрипт безопасности проверит также наличие несоответствующих исполняемых suid файлов и новых или измененных файлов в системных разделах [.filename]#/# и [.filename]#/usr#. +Если используется DES, начальный символ отсутствует. Для MD5 символ — `$`. Для SHA256 и SHA512 символ — `$6$`. Для Blowfish символ — `$2a$`. В этом примере пароль для `imani` хеширован с использованием алгоритма SHA512 по умолчанию, так как хеш начинается с `$6$`. Обратите внимание, что в базе данных паролей хранится зашифрованный хеш, а не сам пароль: -При использовании ssh вместо NFS, написать скрипты безопасности гораздо сложнее. Вам обязательно потребуется скопировать (`scp`) скрипты на клиентский компьютер, сделать из невидимыми, и для безопасности потребуется также скопировать исполняемые файлы (такие как find), которые будут использоваться скриптом. Приложение ssh на клиентском компьютере может быть уже взломано. В конечном итоге, без ssh не обойтись при работе через небезопасные соединения, но его гораздо сложнее использовать. +[source, shell] +.... +# grep imani /etc/master.passwd +.... -Хороший скрипт безопасности проверит также изменения в файлах настройки, работающих при подключении пользователей и служебных учётных записей: [.filename]#.rhosts#, [.filename]#.shosts#, [.filename]#.ssh/authorized_keys# и так далее... файлы, которые могли не попасть в область проверки `MD5`. +Вывод должен быть похож на следующий: -Если для пользователей выделен большой объем дискового пространства, проверка каждого файла на таких разделах может занять слишком много времени. В таком случае установка флагов монтирования для запрета suid исполняемых файлов и устройств на таких разделах это хорошая идея. Примените параметры man:mount[8] `nodev` и `nosuid`. Проверяйте эти разделы в любом случае, хотя бы раз в неделю, поскольку необходимо обнаруживать попытки взлома, независимо от того, эффективны они или нет. +[.programlisting] +.... +imani:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3IMiM7tUEUSPmGexxta.8Lt9TGSi2lNQqYGKszsBPuGME0:1001:1001::0:0:imani:/usr/home/imani:/bin/sh +.... -Учет процессов (man:accton[8]) это относительно несложная возможность операционной системы, которая может помочь как механизм обнаружения состоявшихся вторжений. Она особенно полезна для обнаружения пути проникновения нарушителя в систему, если файл не был затронут проникновением. +Механизм хеширования задается в классе входа пользователя. -Наконец, скрипты безопасности должны обработать лог файлы, которые необходимо создавать настолько защищенным способом, насколько это возможно - подключение syslog удаленно может быть очень полезным. Злоумышленник попытается уничтожить следы взлома, и лог файлы критически важны для системного администратора, пытающегося отследить время и метод первого проникновения. Один из надежных способов получения лог файлов является подключение системной консоли к последовательному порту и постоянный сбор информации через защищенную машину, отслеживающую консоли. +Следующая команда позволяет проверить, какой механизм хеширования используется в данный момент: -=== Паранойя +[source, shell] +.... +% grep passwd_format /etc/login.conf +.... -Немного паранойи никогда не повредит. Как правило, системный администратор может добавлять элементы безопасности в любом количестве, пока это не влияет на удобство, а также некоторое количество элементов безопасности, _влияющих_ на удобство. Что даже более важно, системный администратор должен немного изменить их - если вы используете рекомендации, например те, что даны в этом документе, они становятся известны атакующему, который также имеет доступ к этому документу. +Вывод должен быть похож на следующий: -=== Атаки DoS +[.programlisting] +.... +:passwd_format=sha512:\ +.... -Этот раздел охватывает DoS атаки. DoS атаки это обычно пакетные атаки. Хотя против современной атаки с подделкой пакетов, которая перегружает сеть, мало что можно сделать, вы можете ограничить повреждения, убедившись, что атака не может обрушить ваши сервера. +Например, чтобы изменить алгоритм на Blowfish, измените эту строку следующим образом: -. Ограничение количества порождаемых процессов. -. Уменьшение последствий springboard атак (ICMP ответ, широковещательный ping и т.д.). -. Кэш маршрутизации ядра. +[.programlisting] +.... +:passwd_format=blf:\ +.... -Обычная DoS атака против порождающего процессы сервера пытается исчерпать ресурсы сервера по процессам, файловым дескрипторам и памяти до тех пор, пока машина не "повиснет". У inetd (обратитесь к man:inetd[8]) есть несколько параметров, позволяющих ограничить такие атаки. Необходимо учесть, что хотя можно предотвратить падение системы, в общем случае невозможно предотвратить прекращение работы сервиса. Внимательно прочтите страницу справочника и обратите особое внимание на параметры `-c`, `-C`, и `-R`. Учтите, что параметр `-C` не работает в случае атак с использованием поддельных IP пакетов, поэтому как правило необходимо использование комбинации параметров. Некоторые standalone сервисы используют собственные параметры, ограничивающие порождение процессов. +Затем необходимо выполнить man:cap_mkdb[1] для обновления базы данных login.conf: -У Sendmail есть собственный параметр `-OMaxDaemonChildren`, которая работает гораздо лучше, чем параметр sendmail, ограничивающий нагрузку. Вам необходимо задать параметр запуска sendmail`MaxDaemonChildren` достаточно большим, чтобы обслуживать ожидаемую нагрузку, но так, чтобы компьютер мог обслужить такое количество приложений sendmail без падения системы. Хорошей мерой является запуск sendmail в режиме очереди (`-ODeliveryMode=queued`) и запуск даемона (`sendmail -bd`) отдельно от очереди (`sendmail -q15m`). Если вы все же хотите организовать доставку в режиме реального времени, запускайте очередь с меньшим интервалом `-q1m`, но убедитесь в правильной установке параметра sendmail `MaxDaemonChildren` для предотвращения ошибок. +[source, shell] +.... +# cap_mkdb /etc/login.conf +.... -Syslogd может быть атакован непосредственно, настоятельно рекомендуется использовать параметр `-s` если это возможно и параметр `-a` в остальных случаях. +Обратите внимание, что это изменение не затронет существующие хэши паролей. Это означает, что все пароли должны быть перехэшированы, для чего пользователям необходимо запустить `passwd`, чтобы изменить свой пароль. -Вы также должны быть очень осторожны с сервисами, совершающими обратное подключение, например, с TCP Wrapper и его обратным identd-запросом, который может быть атакован напрямую. По этой причине возможность TCP Wrapper генерировать обратный ident обычно не следует использовать. +[[security-pwpolicy]] +=== Политика применения паролей -Правильным будет запрет доступа к внутренним сервисам из внешней сети путем соответствующей настройки брандмауэра на внешнем маршрутизаторе. Идея в том, чтобы предотвратить перегрузку сервисов атаками из внешней сети, а кроме того защитить `root` от взлома через сеть. Всегда настраивайте исключающий брандмауэр, т.е. "закрыть все _кроме_ портов A, B, C, D, и M-Z". Этим способом вы можете закрыть все порты нижнего диапазона, кроме явно указанных, таких как named (если вы поддерживаете интернет-зону), ntalkd, sendmail, и других сервисов, доступных из интернет. Если вы попробуете настроить брандмауэр другим способом - включающий, или разрешающий брандмауэр, есть большой шанс забыть "закрыть" пару сервисов, или добавить новый внутрисетевой сервис и забыть обновить брандмауэр. Вы можете открыть диапазон портов с большими номерами для обычных приложений без угрозы портам нижнего диапазона. Учтите также, что FreeBSD позволяет вам контролировать диапазоны портов, используемые для динамической привязки через различные переменные `sysctl``net.inet.ip.portrange` (`sysctl -a | fgrep portrange`), что позволяет упростить настройку брандмауэра. Например, вы можете использовать обычный диапазон портов со значениями от 4000 до 5000, и диапазон портов с большими номерами от 49152 до 65535, а затем заблокировать все до 4000 порта (конечно оставив доступ из интернет к определенным портам. +Обеспечение строгой политики паролей для локальных учетных записей является основополагающим аспектом безопасности системы. В FreeBSD длина пароля, его стойкость и сложность могут быть реализованы с использованием встроенных подключаемых модулей аутентификации (Pluggable Authentication Modules - PAM). -Другой распространенный тип DoS атак называется springboard - сервер атакуется таким образом, что генерируемые ответы перегружают его, локальную сеть или какие-то другие компьютеры. Наиболее распространенная атака этого вида это _широковещательная ICMP ping атака_. Атакующий подделывает пакеты ping, подставляя IP адрес машины, которую он намеревается атаковать, и отправляет их на широковещательный адрес вашей локальной сети. Если ваш внешний маршрутизатор не настроен на отбрасывание пакетов ping на широковещательные адреса, ваша сеть начинает генерировать соответствующие ответы на поддельный адрес, что приводит к перегрузке хоста-жертвы, особенно если атакующий использует этот же трюк с множеством широковещательных адресов в множестве сетей одновременно. Были зарегистрированы широковещательные атаки свыше ста двадцати мегабит. Другая распространенная springboard атака направлена на ICMP систему сообщения об ошибках. Конструируя пакеты, вызывающие ICMP сообщения об ошибках, атакующий может нагрузить входящее соединение сервера и вынудить сервер нагрузить исходящее соединение ICMP ответами. Этот тип атаки может также обрушить сервер, когда тот исчерпает mbuf, обычно если сервер не может ограничить число ответов ICMP, когда они генерируются слишком быстро. Используйте переменную sysctl`net.inet.icmp.icmplim`. Последний основной класс springboard атак относится к определенным внутренним сервисам inetd, таким как сервис udp echo. Атакующий просто подделывает адрес источника и адрес назначения UDP пакетов, устанавливая в их качестве соответственно echo порт сервера A и B, оба этих сервера принадлежат вашей локальной сети. Эти два сервера начинают перебрасываться этим пакетом друг с другом. Атакующий может вызвать перегрузку обеих серверов и их сетей, просто отправив несколько пакетов таким способом. Аналогичные проблемы существуют с портом chargen. Компетентный системный администратор должен отключить эти тестовые сервисы inetd. +Этот раздел демонстрирует, как настроить минимальную и максимальную длину пароля, а также принудительное использование смешанных символов с помощью модуля man:pam_passwdqc[8]. Данный модуль применяется при изменении пользователем своего пароля. -Атаки с поддельными пакетами могут также использоваться для переполнения кэша маршрутизации ядра. Обратитесь к параметрам `sysctl``net.inet.ip.rtexpire`, `rtminexpire`, и `rtmaxcache`. Атака с поддельными пакетами, использующая произвольный IP адрес источника, заставит ядро сгенерировать временный кэшированный маршрут в таблице маршрутизации, который можно увидеть с помощью `netstat -rna | fgrep W3`. Эти маршруты обычно удаляются через 1600 секунд или около того. Если ядро определит, что кэшированная маршрутная таблица стала слишком большой, оно динамически уменьшит `rtexpire`, но никогда не станет делать его меньше чем `rtminexpire`. С этим связаны две проблемы: +Для настройки этого модуля станьте суперпользователем и раскомментируйте строку с `pam_passwdqc.so` в [.filename]#/etc/pam.d/passwd#. -. Ядро не отреагирует достаточно быстро, когда легко нагруженный сервер будет внезапно атакован. -. Значение `rtminexpire` недостаточно мало для поддержки работоспособности в условиях продолжительной атаки. +Затем отредактируйте эту строку в соответствии с политикой паролей: -Если ваши серверы подключены к интернет через линию T3 или более быструю, предусмотрительно будет изменить оба значения `rtexpire` и `rtminexpire` с помощью man:sysctl[8]. Никогда не устанавливайте ни один из этих параметров в нуль (если только вы не хотите обрушить систему). Установка обеих параметров в значение 2 секунды должна предотвратить таблицу маршрутизации от атак. +[.programlisting] +.... +password requisite pam_passwdqc.so min=disabled,disabled,disabled,12,10 similar=deny retry=3 enforce=users +.... -=== Проблемы, связанные с доступом к Kerberos и SSH +Описание параметров можно найти в man:pam_passwdqc[8]. -При использовании Kerberos и ssh необходимо учесть несколько возможных проблем. Kerberos V это отличный протокол аутентификации, но в адаптированных к нему приложениях telnet и rlogin есть несколько ошибок, которые могут сделать их непригодными к работе с бинарными потоками. К тому же, по умолчанию Kerberos не шифрует сессию, если вы не используете параметр `-x`. ssh шифрует все по умолчанию. +После сохранения этого файла пользователь, изменяющий свой пароль, увидит сообщение, похожее на следующее: -ssh работает очень хорошо во всех ситуациях, но пересылает ключи по умолчанию. Это означает, что если вы работаете с защищенной рабочей станции, ключи на которой дают доступ к остальной сети, и заходите по ssh на незащищенный компьютер, эти ключи могут быть использованы для взлома. Атакующему не удастся получить сами ключи, но поскольку ssh открывает порт во время входа в систему, то если на незащищенной машине взломан `root`, эти ключи могут быть использованы для доступа к другим компьютерам, на которых они действуют. +[source, shell] +.... +% passwd +.... -Мы рекомендуем использовать ssh в комбинации с Kerberos для служебных учётных записей если это возможно. ssh может быть собран с поддержкой Kerberos. Это уменьшает зависимость от потенциально подверженных взлому ssh ключей, и в то же время защищает пароли через Kerberos. Ключи ssh должны использоваться только для работы скриптов на защищенных компьютерах (там, где Kerberos использовать не получится). Мы также рекомендуем или выключить передачу ключей в настройках ssh, или использовать параметр `from=IP/DOMAIN`, поддерживаемый ssh в файле [.filename]#authorized_keys#, который позволяет использовать ключи только с определенных компьютеров. +Вывод должен быть похож на следующий: -[[crypt]] -== DES, MD5, и шифрование +[.programlisting] +.... +Changing local password for user +Old Password: -У каждого пользователя UNIX(R) системы есть пароль, связанный с его учётной записью. Очевидно, что эти пароли должны быть известны только пользователю и соответствующей операционной системе. Для защиты паролей они шифруются способом, известным как "односторонний хэш", то есть их можно легко зашифровать, но нельзя расшифровать. Другими словами, то, что мы сказали чуть раньше было очевидно, но не совсем верно: операционной системе _сам пароль_ неизвестен. Ей известен только пароль в _зашифрованной_ форме. Единственный способ получить "обычный" пароль это простой перебор всех возможных паролей. +You can now choose the new password. +A valid password should be a mix of upper and lower case letters, +digits and other characters. You can use a 12 character long +password with characters from at least 3 of these 4 classes, or +a 10 character long password containing characters from all the +classes. Characters that form a common pattern are discarded by +the check. +Alternatively, if no one else can see your terminal now, you can +pick this as your password: "trait-useful&knob". +Enter new password: +.... -К сожалению, единственный способ шифрования пароля при появлении UNIX(R) был основан на DES, Data Encryption Standard. Это не было проблемой для пользователей, живущих в США, но поскольку исходный код DES нельзя было экспортировать из США, FreeBSD нашла способ одновременно не нарушать законов США и сохранить совместимость со всеми другими вариантами UNIX(R), где все еще использовался DES. +Если вводится пароль, не соответствующий политике, он будет отклонён с предупреждением, и пользователю будет предоставлена возможность попробовать снова, но не более установленного количества попыток. -Решение было в разделении библиотек шифрования, чтобы пользователи в США могли устанавливать и использовать библиотеки DES, а у остальных пользователей был метод шифрования, разрешенный к экспорту. Так FreeBSD пришла к использованию MD5 в качестве метода шифрования по умолчанию. MD5 считается более безопасным, чем DES, поэтому установка DES рекомендуется в основном из соображений совместимости. +Если политика вашей организации требует, чтобы пароли имели срок действия, FreeBSD поддерживает параметр `passwordtime` в классе пользователя в [.filename]#/etc/login.conf# -=== Определения механизма шифрования +Класс входа `default` содержит пример: -На данный момент библиотека поддерживает хэши DES, MD5 и Blowfish. По умолчанию FreeBSD использует для шифрования паролей MD5. +[.programlisting] +.... +# :passwordtime=90d:\ +.... -Довольно легко определить какой метод шифрования используется в FreeBSD. Один из способов это проверка файла [.filename]#/etc/master.passwd#. Пароли, зашифрованные в хэш MD5 длиннее, чем те, что зашифрованы с помощью DES и начинаются с символов `$1$`. Пароли, начинающиеся с символов `$2a$` зашифрованы с помощью Blowfish. Пароли, зашифрованные DES не содержат каких-то определенных идентифицирующих символов, но они короче, чем пароли MD5 и закодированы в 64-символьном алфавите, не содержащем символа `$`, поэтому относительно короткая строка, не начинающаяся с этого символа это скорее всего DES пароль. +Итак, чтобы установить срок действия в 90 дней для этого класса входа, удалите символ комментария (#), сохраните изменения и выполните следующую команду: -Формат паролей, используемых для новых паролей, определяется параметром `passwd_format` в [.filename]#/etc/login.conf#, которое может принимать значения `des`, `md5` или `blf`. Обратитесь к странице справочника man:login.conf[5] за дополнительной информацией о параметрах login. +[source, shell] +.... +# cap_mkdb /etc/login.conf +.... -[[one-time-passwords]] -== Одноразовые пароли +Чтобы установить срок действия для отдельных пользователей, передайте дату истечения срока или количество дней до истечения и имя пользователя в `pw`: -FreeBSD использует для одноразовых паролей OPIE (One-time Passwords In Everything). OPIE по умолчанию использует MD5. +[source, shell] +.... +# pw usermod -p 30-apr-2025 -n user +.... -Есть три различных вида паролей, о которых мы поговорим ниже. Первый вид это ваш обычный пароль UNIX(R) или пароль Kerberos; мы будем называть его "пароль UNIX(R)". Второй вид это одноразовый пароль, сгенерированный программой OPIE man:opiekey[1] и принимаемый командой man:opiepasswd[1] и в приглашении login; мы будем называть их "одноразовыми паролями". Последний вид паролей это защищенные пароли, которые вы передаете программам `opiekey` (и иногда `opiepasswd`), и которые эти программы используют для создания одноразовых паролей; мы будем называть его "защищенными паролями" или просто "паролями". +Как показано здесь, срок действия устанавливается в виде дня, месяца и года. Для получения дополнительной информации см. man:pw[8]. -Защищенный пароль не имеет никакого отношения к вашему паролю UNIX(R); они могут быть одинаковыми, но это не рекомендуется. Защищенные пароли OPIE не ограничены 8-ю символами, как старые UNIX(R) пароли, они могут быть настолько длинными, насколько вы захотите. Очень часто используются пароли длиной в шесть или семь символов. По большей части система OPIE работает полностью независимо от системы паролей UNIX(R). +[[security-sudo]] +=== Совместное администрирование с помощью sudo -Помимо паролей, есть два других вида данных, важных для OPIE. Первый, известный как "seed" или "ключ", состоит из двух букв и пяти цифр. Другой, называемый "счетчиком цикла", это номер от 1 до 100. OPIE создает одноразовый пароль, соединяя ключ и защищенный пароль, а затем применяя MD4 столько раз, сколько указано счетчиком цикла и выдает результат в виде шести коротких слов на английском. Эти шесть слов на английском и есть ваш одноразовый пароль. Система аутентификации (как правило PAM) хранит последний использованный одноразовый пароль, и пользователь аутентифицируется если хэш вводимого пользователем пароля совпадает с предыдущим паролем. Поскольку используется односторонний хэш, невозможно сгенерировать следующий одноразовый пароль если получен предыдущий; счетчик цикла уменьшается после каждого успешного входа для поддержки синхронизации пользователя с программой login. Когда счетчик цикла уменьшается до 1, набор OPIE должен быть переинициализирован. +Системные администраторы часто сталкиваются с необходимостью предоставления пользователям расширенных прав для выполнения привилегированных задач. Идея о том, что члены команды получают доступ к системе FreeBSD для выполнения своих конкретных задач, создает уникальные проблемы для каждого администратора. Этим сотрудникам требуется лишь ограниченный набор прав, выходящий за рамки обычного уровня пользователя; однако они почти всегда заявляют руководству, что не могут выполнять свои задачи без прав суперпользователя. К счастью, нет необходимости предоставлять такие права конечным пользователям, так как существуют инструменты для управления этим требованием. -В каждой из обсуждаемых ниже систем задействованы три программы. Программа `opiekey` получает счетчик цикла, ключ и защищенный пароль и создает одноразовый пароль или последовательный список одноразовых паролей. Программа `opiepasswd` используется для инициализации OPIE соответственно, и для смены паролей, счетчиков цикла, или ключей; она принимает защищенный пароль или счетчик цикла, ключ и одноразовый пароль. Программа `opieinfo` проверяет соответствующий файл ([.filename]#/etc/opiekeys#) и печатает текущий счетчик цикла и ключ вызывающего пользователя. +[TIP] +==== +Даже администраторы должны ограничивать свои привилегии, когда в них нет необходимости. +==== -Мы рассмотрим четыре вида операций. Первая это использование `opiepasswd` через защищенное соединение для первоначальной настройки системы одноразовых паролей, или для изменения пароля или ключа. Вторая операция это использование в тех же целях `opiepasswd` через незащищенное соединение, в сочетании с `opiekey` через защищенное соединение. Третья это использование `opiekey` для входа через незащищенное соединение. Четвертая это использование `opiekey` для генерации набора ключей, которые могут быть записаны или распечатаны для соединения из места, где защищенное соединение недоступно. +До этого момента в главе о безопасности рассматривались вопросы предоставления доступа авторизованным пользователям и попытки предотвратить несанкционированный доступ. Однако возникает другая проблема, когда авторизованные пользователи получают доступ к системным ресурсам. Во многих случаях некоторым пользователям может потребоваться доступ к скриптам запуска приложений, или команде администраторов необходимо обслуживать систему.. Традиционно для управления таким доступом использовались стандартные пользователи и группы, права доступа к файлам и даже команда man:su[1]. Однако по мере того, как приложениям требовалось больше прав, а большему числу пользователей нужно было использовать системные ресурсы, потребовалось лучшее решение. В настоящее время наиболее часто используемым приложением для этих целей является Sudo. -=== Защищенная установка соединения +Sudo позволяет администраторам настраивать более строгий доступ к системным командам и обеспечивать дополнительные функции ведения журналов. Этот инструмент доступен в коллекции портов как package:security/sudo[] или с помощью утилиты man:pkg[8]. -Для первоначальной настройки OPIE используется команда `opiepasswd`: +Выполните следующую команду для установки: -[source,shell] +[source, shell] .... -% opiepasswd -c -[grimreaper] ~ $ opiepasswd -f -c -Adding unfurl: -Only use this method from the console; NEVER from remote. If you are using -telnet, xterm, or a dial-in, type ^C now or exit with no password. -Then run opiepasswd without the -c parameter. -Using MD5 to compute responses. -Enter new secret pass phrase: -Again new secret pass phrase: -ID unfurl OTP key is 499 to4268 -MOS MALL GOAT ARM AVID COED +# pkg install sudo .... -В приглашениях `Enter new secret pass phrase:` или `Enter secret password:`, введите пароль или фразу. Запомните, это не тот пароль, с которым вы будете входить, он используется для генерации одноразовых паролей. Строка "ID" содержит информацию для вашего конкретного случая: имя пользователя, счетчик цикла и ключ. При входе система запомнит эти параметры и отправит их вам, поэтому их не надо запоминать. В последней строке находится одноразовый пароль, соответствующий этим параметрам и секретному паролю; если вы войдете в систему сразу, используйте этот одноразовый пароль. +После завершения установки установленный `visudo` откроет файл конфигурации в текстовом редакторе. Настоятельно рекомендуется использовать `visudo`, так как он содержит встроенную проверку синтаксиса для подтверждения отсутствия ошибок перед сохранением файла. -=== Незащищенная установка соединения +Файл конфигурации состоит из нескольких небольших разделов, которые позволяют проводить детальную настройку. В следующем примере администратору веб-приложения, user1, требуется запускать, останавливать и перезапускать веб-приложение с именем _webservice_. Чтобы предоставить этому пользователю права на выполнение данных задач, добавьте следующую строку в конец файла [.filename]#/usr/local/etc/sudoers#: -Для инициализации или изменения защищенного пароля через незащищенное соединение, вам потребуется существующее защищенное соединение куда-то, где вы сможете запустить `opiekey`; это может быть shell на компьютере, которому вы доверяете. Вам потребуется также установить значение счетчика цикла (100 возможно подойдет), и задать ключ или использовать сгенерированный. Через незащищенное соединение (к компьютеру, на котором производится настройка), используйте команду `opiepasswd`: - -[source,shell] +[.programlisting] .... -% opiepasswd - -Updating unfurl: -You need the response from an OTP generator. -Old secret pass phrase: - otp-md5 498 to4268 ext - Response: GAME GAG WELT OUT DOWN CHAT -New secret pass phrase: - otp-md5 499 to4269 - Response: LINE PAP MILK NELL BUOY TROY - -ID mark OTP key is 499 gr4269 -LINE PAP MILK NELL BUOY TROY +user1 ALL=(ALL) /usr/sbin/service webservice * .... -Чтобы принять ключ по умолчанию нажмите kbd:[Enter]. Затем, перед вводом пароля доступа введите те же параметры в вашем защищенном соединении или средстве доступа OPIE: +Пользователь может теперь запустить _webservice_ с помощью следующей команды: -[source,shell] +[source, shell] .... -% opiekey 498 to4268 -Using the MD5 algorithm to compute response. -Reminder: Don't use opiekey from telnet or dial-in sessions. -Enter secret pass phrase: -GAME GAG WELT OUT DOWN CHAT +% sudo /usr/sbin/service webservice start .... -Теперь переключитесь на незащищенное соединение и скопируйте одноразовый пароль, сгенерированный соответствующей программой. - -=== Создание одного одноразового пароля +Хотя данная конфигурация предоставляет одному пользователю доступ к службе `webservice`, в большинстве организаций управление этой службой доверено целой команде веб-разработчиков. Одной строкой можно также предоставить доступ всей группе. Следующие шаги позволят создать группу `web`, добавить в неё пользователя и разрешить всем членам группы управлять службой: -Как только вы настроите OPIE, во время входа появится приглашение вроде этого: - -[source,shell] +[source, shell] .... -% telnet example.com -Trying 10.0.0.1... -Connected to example.com -Escape character is '^]'. - -FreeBSD/i386 (example.com) (ttypa) - -login: <username> -otp-md5 498 gr4269 ext -Password: +# pw groupadd -g 6001 -n webteam .... -Кроме того, у OPIE есть полезная особенность (не показанная здесь): если вы нажмете kbd:[Enter] в приглашении на ввод пароля, включится эхо, и вы сможете увидеть то, что вводите. Это может быть очень полезно, если вы пытаетесь ввести пароль вручную, например с распечатки. - -В этот момент вам потребуется сгенерировать одноразовый пароль, чтобы ввести его в приглашение. Это должно быть выполнено на защищенной системе, в которой вы можете запустить `opiekey` (есть версии для DOS, Windows(R) и Mac OS(R)). Им требуются значения счетчика цикла и ключ в качестве параметров командной строки. Вы можете скопировать и вставить их прямо из приглашения login компьютера, на который входите. +Используя ту же команду man:pw[8], пользователь добавляется в группу webteam: -В защищенной системе: - -[source,shell] +[source, shell] .... -% opiekey 498 to4268 -Using the MD5 algorithm to compute response. -Reminder: Don't use opiekey from telnet or dial-in sessions. -Enter secret pass phrase: -GAME GAG WELT OUT DOWN CHAT +# pw groupmod -m user1 -n webteam .... -Теперь, когда у вас есть одноразовый пароль, можете продолжить вход в систему. - -=== Создание нескольких одноразовых паролей +Наконец, эта строка в [.filename]#/usr/local/etc/sudoers# разрешает любому члену группы webteam управлять _webservice_: -Иногда вы отправляетесь туда, где нет доступа к защищенному компьютеру или защищенному соединению. В этом случае, можно использовать команду `opiekey` для создания нескольких одноразовых паролей, которые вы сможете распечатать и забрать с собой. Например: - -[source,shell] +[.programlisting] .... -% opiekey -n 5 30 zz99999 -Using the MD5 algorithm to compute response. -Reminder: Don't use opiekey from telnet or dial-in sessions. -Enter secret pass phrase: <secret password> -26: JOAN BORE FOSS DES NAY QUIT -27: LATE BIAS SLAY FOLK MUCH TRIG -28: SALT TIN ANTI LOON NEAL USE -29: RIO ODIN GO BYE FURY TIC -30: GREW JIVE SAN GIRD BOIL PHI +%webteam ALL=(ALL) /usr/sbin/service webservice * .... -Параметр `-n 5` запрашивает пять паролей, `30` указывает значение последнего счетчика цикла. Обратите внимание, что пароли печатаются в _обратном_ по сравнению с обычным использованием порядке. Если вы действительно параноик, перепишите результат вручную; иначе скопируйте и передайте его `lpr`. Обратите внимание, что каждая линия содержит как счетчик цикла, так и одноразовый пароль; вам может показаться удобным отрывать пароль после использования. +В отличие от man:su[1], man:sudo[8] требует только пароль конечного пользователя. Это позволяет избежать совместного использования паролей, что является небезопасной практикой. -=== Ограничение использования UNIX(R) паролей +Пользователи, которым разрешено запускать приложения с помощью man:sudo[8], вводят только свои собственные пароли. Это более безопасно и обеспечивает лучший контроль, чем man:su[1], где вводится пароль `root` и пользователь получает все права `root`. -OPIE может ограничивать использование паролей UNIX(R) на основе IP адреса. Соответствующий файл называется [.filename]#/etc/opieaccess#, он существует по умолчанию. Обратитесь к man:opieaccess[5] за более подробной информацией об этом файле и о предосторожностях, которые вы должны предпринять при использовании этого файла. +[TIP] +==== +Большинство организаций переходят или уже перешли на модель двухфакторной аутентификации. В таких случаях у пользователя может не быть пароля для ввода. -Вот пример файла [.filename]#opieaccess#: +man:sudo[8] можно настроить для поддержки двухфакторной модели аутентификации с использованием переменной `NOPASSWD`. Добавление её в приведённую выше конфигурацию позволит всем членам группы _webteam_ управлять службой без требования пароля: [.programlisting] .... -permit 192.168.0.0 255.255.0.0 +%webteam ALL=(ALL) NOPASSWD: /usr/sbin/service webservice * .... +==== -Эта строка позволяет пользователям, чей IP адрес (который подвержен подделке) соответствует указанному значению и маске, входить с паролем UNIX(R). - -Если ни одно из правил в [.filename]#opieaccess# не сработало, поведением по умолчанию является запрет всех не-OPIE входов. - -[[tcpwrappers]] -== TCP Wrappers - -Каждый, кто знаком с man:inetd[8], возможно когда-то слышал о TCP Wrappers. Но немногие полностью понимают их полезность в сетевой среде: большинство используют брандмауэр. Хотя его применимость очень широка, есть вещи, с которыми брандмауэр не может работать, такие как отправка текста обратно вызывающей стороне. Программное обеспечение уровня TCP может делать это и многое другое. В следующих нескольких разделах обсуждаются многие возможности TCP Wrappers, и, когда это необходимо, даются примеры настроек. - -Программное обеспечение TCP Wrappers расширяет возможность `inetd` по поддержке каждого даемона. С ним становится возможным протоколирование, возврат сообщений вызывающей стороне, ограничение подключений внутренней сетью и т.п. Хотя некоторые из этих возможностей могут быть реализованы брандмауэром, TCP Wrappers не только предоставляют дополнительный уровень защиты, но и дают больше контроля над системой, чем это возможно с брандмауэром. - -Расширенная функциональность обработчиков TCP не может заменить хороший сетевой экран. Тем не менее, обработчики TCP могут использоваться совместно с сетевым экраном и другими средствами обеспечения информационной безопасности, обеспечивая тем самым дополнительный уровень защиты системы. +[[security-doas]] +=== Совместное администрирование с Doas -Поскольку рассматривается расширение к настройкам `inetd`, предполагается, что читатель ознакомился с разделом о crossref:network-servers[network-inetd,настройке inetd]. +man:doas[1] - это утилита командной строки, портированная из OpenBSD. Она служит альтернативой широко используемой команде man:sudo[8] в Unix-подобных системах. -[NOTE] -==== -Хотя программы, запускаемые из man:inetd[8], на самом деле не соответствуют термину "даемоны", существует традиция называть их именно так. Этот термин и используется в данном разделе. -==== +С помощью `doas` пользователи могут выполнять команды с повышенными привилегиями, обычно от имени пользователя `root`, сохраняя при этом простой и безопасный подход. В отличие от man:sudo[8], `doas` делает акцент на простоте и минимализме, предлагая лаконичное делегирование полномочий без избыточного количества настройки. -=== Начальная настройка +Выполните следующую команду для установки: -Единственное требование для использования TCP Wrappers в FreeBSD это наличие в [.filename]#rc.conf# параметров запуска `inetd``-Ww`; это настройки по умолчанию. Конечно, ожидается также наличие правильной настройки [.filename]#/etc/hosts.allow#, но man:syslogd[8] отправит сообщения в системный протокол если что-то не так. +[source, shell] +.... +# pkg install doas +.... -[NOTE] -==== -В отличие от других реализаций TCP Wrappers, использование [.filename]#hosts.deny# не поддерживается. Все параметры настройки должны быть помещены в [.filename]#/etc/hosts.allow#. -==== +После установки необходимо настроить [.filename]#/usr/local/etc/doas.conf#, чтобы предоставить пользователям доступ к определенным командам или ролям. -В простейшей конфигурации, политика подключения сводится к разрешению или блокированию в зависимости от параметров в [.filename]#/etc/hosts.allow#. Настройка в FreeBSD по умолчанию заключается в разрешении подключения к любому даемону, запущенному из `inetd`. Изменение этого поведения будет обсуждаться только после рассмотрения базовой настройки. +Самый простой вариант может выглядеть следующим образом, который предоставляет пользователю `local_user` права `root` без запроса пароля при выполнении команды doas. -Базовая настройка обычно принимает форму `daemon : address : action`, где `daemon` это имя даемона, который запускается `inetd`. В поле `address` может находиться имя хоста, IP адрес, или IPv6 адрес, заключенный в квадратные скобки ([ ]). Поле action может принимать значения allow или deny, чтобы соответственно разрешать или запрещать доступ. Помните, что поиск правил производится до первого совпадения. При обнаружении совпадения применяется соответствующее правило и поиск прерывается. +[.programlisting] +.... +permit nopass local_user as root +.... -Существуют и другие параметры, но они будут описаны в следующих разделах. Простая конфигурация может быть, например, такой: для разрешения соединений по протоколу POP3 к даемону package:mail/qpopper[], в [.filename]#hosts.allow# необходимо добавить следующие строки: +После установки и настройки утилиты `doas` команда теперь может быть выполнена с повышенными привилегиями, например: -[.programlisting] +[source, shell] .... -# This line is required for POP3 connections: -qpopper : ALL : allow +$ doas vi /etc/rc.conf .... -После добавления этой строки, `inetd` необходимо перезапустить. Это можно выполнить командой man:kill[1] или скриптом [.filename]#/etc/rc.d/inetd# с параметром [parameter]#restart#. +Для дополнительных примеров конфигурации обратитесь к man:doas.conf[5]. -=== Расширенная конфигурация +[[security-ids]] +== Система обнаружения вторжений (IDS) -У TCP Wrappers имеются дополнительные параметры; они дают дополнительные возможности контроля над соединениями. Иногда бывает полезно возвращать комментарий определенным хостам или при подключении к определенным даемонам. В других случаях может быть необходимо добавить запись в лог файл, или отправить письмо администратору. В определенных ситуациях сервис должен использоваться только для локальных соединений. Все это возможно с использованием параметров c шаблонами, символами подстановки и путем выполнения внешних команд. Следующие два раздела посвящены этим типам настроек. +Проверка системных файлов и двоичных файлов важна, поскольку предоставляет администраторам системы и командам безопасности информацию об изменениях в системе. Программное приложение, которое отслеживает изменения в системе, называется системой обнаружения вторжений (Intrusion Detection System — IDS). -==== Внешние команды +FreeBSD предоставляет встроенную поддержку базовой системы IDS под названием man:mtree[8]. Хотя ежедневные письма с информацией о безопасности уведомят администратора об изменениях, эти данные хранятся локально, и существует вероятность, что злоумышленник может изменить их, чтобы скрыть свои изменения в системе. Поэтому рекомендуется создать отдельный набор бинарных сигнатур и хранить их в предназначенном только для чтения каталоге, принадлежащем root, или, предпочтительно, на съёмном USB-диске или удалённом сервере. -Предположим ситуацию, в которой соединение должно быть запрещено, а о причине необходимо сообщить вызывающей стороне. Как это можно сделать? Соответствующую возможность предоставляет параметр `twist`. При попытке подключения выполняется команда или скрипт, заданный этим параметром. Пример дан в файле [.filename]#hosts.allow#: +Также рекомендуется запускать `freebsd-update IDS` после каждого обновления. -[.programlisting] -.... -# The rest of the daemons are protected. -ALL : ALL \ - : severity auth.info \ - : twist /bin/echo "You are not welcome to use %d from %h." -.... +[[security-ids-generate-spec-file]] +=== Генерация файла спецификации -В этом примере сообщение, "You are not allowed to use `daemon` from `hostname`." будет возвращено от всех даемонов, которые не были предварительно настроены в файле доступа. Обратите внимание, что возвращаемое сообщение _должно_ быть заключено в кавычки; из этого правила нет исключений. +Встроенная утилита man:mtree[8] может использоваться для создания спецификации содержимого каталога. Спецификация генерируется с использованием начального значения (seed) — числовой константы, которая также необходима для проверки неизменности спецификации. Это позволяет определить, был ли изменён файл или бинарный файл. Поскольку злоумышленник не знает начальное значение, подделать или проверить контрольные суммы файлов будет крайне сложно или невозможно. -[WARNING] +[TIP] ==== - -Возможна реализация DoS атаки, когда группа атакующих производит множество запросов на подключение. +Рекомендуется создавать спецификации для каталогов, содержащих исполняемые файлы и конфигурационные файлы, а также для любых каталогов с чувствительными данными. Обычно спецификации создаются для [.filename]#/bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, [.filename]#/usr/sbin#, [.filename]#/usr/local/bin#, [.filename]#/etc# и [.filename]#/usr/local/etc#. ==== -Возможно также использование параметра `spawn`. Как и параметр `twist`, параметр `spawn` подразумевает запрет соединения и может использоваться для запуска команд или скриптов. В отличие от `twist`, `spawn` не отправляет ответ вызывающей стороне. Например, следующая конфигурация: +Следующий пример создает набор хешей `sha512` — по одному для каждого системного бинарного файла в [.filename]#/bin# — и сохраняет эти значения в скрытый файл в домашней директории пользователя [.filename]#/home/user/.bin_chksum_mtree#: -[.programlisting] +[source, shell] .... -# We do not allow connections from example.com: -ALL : .example.com \ - : spawn (/bin/echo %a from %h attempted to access %d >> \ - /var/log/connections.log) \ - : deny +# mtree -s 123456789 -c -K cksum,sha512 -p /bin > /home/user/.bin_chksum_mtree .... -отклонит все попытки соединения из домена `*.example.com`; имя хоста, IP адрес и даемон протоколируются в файл [.filename]#/var/log/connections.log#. - -Помимо приведенных выше символов подстановки, например %a, существует еще несколько символов. Обратитесь к странице man:hosts_access[5] справочной системы за полным списком. - -==== Параметры - шаблоны - -До этого момента в примерах использовался шаблон `ALL`. Существуют и другие параметры, функциональность которых в дальнейшем может быть расширена. `ALL` соответствует любому даемону, домену или IP адресу. Другой доступный шаблон это `PARANOID`, который соответствует хосту, IP адрес которого может быть подделан. Другими словами, `paranoid` может быть использован для определения действия с хостами, IP адрес которых не соответствует имени хоста. Вот пример применения этого параметра: +Вывод должен быть похож на следующий: [.programlisting] .... -# Block possibly spoofed requests to sendmail: -sendmail : PARANOID : deny +mtree: /bin checksum: 3427012225 .... -В этом примере все запросы на подключения к `sendmail` от хостов, IP адрес которых не соответствует имени хоста, будут отклонены. - -[CAUTION] +[WARNING] ==== +Значение `123456789` представляет собой зерно (seed) и должно быть выбрано случайным образом. Этот параметр необходимо запомнить, *но не раскрывать*. -Использование `PARANOID` невозможно, если у клиента или сервера неправильно настроен DNS. В таких случаях необходимо вмешательство администратора. +Важно скрывать начальное значение и контрольную сумму от злоумышленников. ==== -Более подробная информация о шаблонах и их возможностях дана на странице man:hosts_access[5] справочной системы. +[[security-ids-spec-file-structure]] +=== Структура Файла Спецификации -Для того, чтобы любая выбранная конфигурация заработала, в [.filename]#hosts.allow# необходимо закомментировать первую строку настройки. В начале раздела об этом не упоминалось. +Формат `mtree` — это текстовый формат, описывающий набор объектов файловой системы. Такие файлы обычно используются для создания или проверки иерархий каталогов. -[[kerberosIV]] -== KerberosIV +Файл mtree состоит из серии строк, каждая из которых содержит информацию об отдельном объекте файловой системы. Начальные пробельные символы всегда игнорируются. -Kerberos это сетевая дополнительная система/протокол, которая делает возможной аутентификацию пользователей через сервисы на защищенном сервере. Такие сервисы, как удаленный вход, удаленное копирование, защищенное копирование файлов между системами и другие задачи с высоким риском становятся допустимо безопасными и более контролируемыми. +Созданный выше файл спецификации будет использоваться для объяснения формата и содержания: -Последующие инструкции могут использоваться в качестве руководства по настройке поставляемого с FreeBSD Kerberos. Тем не менее, вам могут потребоваться страницы справочника полного дистрибутива. +[.programlisting] +.... +# user: root <.> +# machine: machinename <.> +# tree: /bin <.> +# date: Thu Aug 24 21:58:37 2023 <.> -=== Установка KerberosIV +# . +/set type=file uid=0 gid=0 mode=0555 nlink=1 flags=uarch <.> +. type=dir mode=0755 nlink=2 time=1681388848.239523000 <.> + \133 nlink=2 size=12520 time=1685991378.688509000 \ + cksum=520880818 \ + sha512=5c1374ce0e2ba1b3bc5a41b23f4bbdc1ec89ae82fa01237f376a5eeef41822e68f1d8f75ec46b7bceb65396c122a9d837d692740fdebdcc376a05275adbd3471 + cat size=14600 time=1685991378.694601000 cksum=3672531848 \ <.> + sha512=b30b96d155fdc4795432b523989a6581d71cdf69ba5f0ccb45d9b9e354b55a665899b16aee21982fffe20c4680d11da4e3ed9611232a775c69f926e5385d53a2 + chflags size=8920 time=1685991378.700385000 cksum=1629328991 \ + sha512=289a088cbbcbeb436dd9c1f74521a89b66643976abda696b99b9cc1fbfe8b76107c5b54d4a6a9b65332386ada73fc1bbb10e43c4e3065fa2161e7be269eaf86a + chio size=20720 time=1685991378.706095000 cksum=1948751604 \ + sha512=46f58277ff16c3495ea51e74129c73617f31351e250315c2b878a88708c2b8a7bb060e2dc8ff92f606450dbc7dd2816da4853e465ec61ee411723e8bf52709ee + chmod size=9616 time=1685991378.712546000 cksum=4244658911 \ + sha512=1769313ce08cba84ecdc2b9c07ef86d2b70a4206420dd71343867be7ab59659956f6f5a458c64e2531a1c736277a8e419c633a31a8d3c7ccc43e99dd4d71d630 +.... -Kerberos это опциональный компонент FreeBSD. Простейший способ установки этой программы это выбор `krb4` или `krb5` из sysinstall во время первой установки FreeBSD. Будет установлен "eBones" (KerberosIV) или "Heimdal" (Kerberos5) вариант Kerberos. Включение этих реализаций объясняется тем, что они разработаны вне США/Канады и доступны вне этих стран, поскольку на них не влияют ограничения на экспорт криптографического кода из США. +<.> Пользователь, создавший спецификацию. +<.> Имя хоста машины. +<.> Путь к каталогу. +<.> Дата и время создания спецификации. +<.> `/set` специальные команды, определяют некоторые настройки, полученные из проанализированных файлов. +<.> Ссылается на разобранный каталог и указывает такие параметры, как его тип, режим доступа, количество жёстких ссылок и время изменения в формате UNIX. +<.> Ссылается на файл и показывает его размер, время и список хешей для проверки целостности. -Кроме того, реализация MIT Kerberos доступна из Коллекции Портов в виде пакета package:security/krb5[]. +[[security-ids-verify-specification-file]] +=== Проверка файла спецификации -=== Создание базы данных +Для проверки неизменности бинарных сигнатур сравните текущее содержимое каталога с ранее созданной спецификацией и сохраните результаты в файл. -Это необходимо сделать только на сервере Kerberos. Во-первых, убедитесь что не осталось старой базы данных Kerberos. Войдите в каталог [.filename]#/etc/kerberosIV# и убедитесь, что в нем находятся только эти файлы: +Эта команда требует начальное значение, которое использовалось для создания исходной спецификации: -[source,shell] +[source, shell] .... -# cd /etc/kerberosIV -# ls -README krb.conf krb.realms +# mtree -s 123456789 -p /bin < /home/user/.bin_chksum_mtree >> /home/user/.bin_chksum_output .... -Если присутствуют еще какие-то файлы (такие как [.filename]#principal.*# или [.filename]#master_key#), используйте команду `kdb_destroy` для удаления старой базы данных Kerberos, или, если Kerberos не запущен, просто удалите эти файлы. +Это должно дать такую же контрольную сумму для [.filename]#/bin#, какая была получена при создании спецификации. Если в каталоге не было изменений бинарных файлов, выходной файл [.filename]#/home/user/.bin_chksum_output# будет пустым. -Затем отредактируйте файлы [.filename]#krb.conf# и [.filename]#krb.realms#, введя ваши данные. В этом примере уникальный идентификатор `EXAMPLE.COM`, сервер `grunt.example.com`. Отредактируем или создадим файл [.filename]#krb.conf#: +Для имитации изменения измените дату файла [.filename]#/bin/cat# с помощью man:touch[1] и снова выполните команду проверки: -[source,shell] +[source, shell] .... -# cat krb.conf -EXAMPLE.COM -EXAMPLE.COM grunt.example.com admin server -CS.BERKELEY.EDU okeeffe.berkeley.edu -ATHENA.MIT.EDU kerberos.mit.edu -ATHENA.MIT.EDU kerberos-1.mit.edu -ATHENA.MIT.EDU kerberos-2.mit.edu -ATHENA.MIT.EDU kerberos-3.mit.edu -LCS.MIT.EDU kerberos.lcs.mit.edu -TELECOM.MIT.EDU bitsy.mit.edu -ARC.NASA.GOV trident.arc.nasa.gov +# touch /bin/cat .... -В этом примере другие идентификаторы введены для иллюстрации настройки c несколькими хостами. С целью упрощения настройки вы можете не включать их. - -Первая строка содержит идентификатор, под которым работает эта система. Остальные строки связывают идентификаторы с именами хостов. Сначала указывается идентификатор, затем хост под этим идентификатором, работающий как "центр распространения ключей". Слова `admin server` с последующим именем хоста означают, что этот хост также является сервером администрирования базы данных. За дальнейшей информацией об этих терминах обратитесь к страницам справочника по Kerberos. +Выполните команду проверки еще раз: -Мы добавили `grunt.example.com` к идентификатору `EXAMPLE.COM` и кроме того сопоставили всем хостам в домене `.example.com` идентификатор `EXAMPLE.COM`. Файл [.filename]#krb.realms# будет выглядеть так: - -[source,shell] +[source, shell] .... -# cat krb.realms -grunt.example.com EXAMPLE.COM -.example.com EXAMPLE.COM -.berkeley.edu CS.BERKELEY.EDU -.MIT.EDU ATHENA.MIT.EDU -.mit.edu ATHENA.MIT.EDU +# mtree -s 123456789 -p /bin < /home/user/.bin_chksum_mtree >> /home/user/.bin_chksum_output .... -Как и в предыдущем примере, другие идентификаторы добавлены только для примера. С целью упрощения настройки вы можете не включать их. - -В первой строке _определенная_ система сопоставляется с идентификатором. В остальных строках показано, сопоставить идентификатору остальные системы определенного поддомена. +И затем проверьте содержимое выходного файла: -Теперь мы готовы к созданию базы данных. Потребуется всего лишь запустить сервер Kerberos (или центр распространения ключей). Используйте для этого `kdb_init`: - -[source,shell] +[source, shell] .... -# kdb_init -Realm name [default ATHENA.MIT.EDU ]: EXAMPLE.COM -You will be prompted for the database Master Password. -It is important that you NOT FORGET this password. - -Введите главный ключ Kerberos: +# cat /root/.bin_chksum_output .... -Теперь мы должны сохранить ключ, чтобы сервера на локальных компьютерах могли его взять. Используйте для этого команду `kstash`: - -[source,shell] -.... -# kstash +Вывод должен быть похож на следующий: -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! +[.programlisting] .... - -Этой командой зашифрованный главный пароль сохранен в [.filename]#/etc/kerberosIV/master_key#. - -=== Запуск Kerberos - -Для каждой системы, защищаемой Kerberos, в базу данных должны быть добавлены две записи. Это `kpasswd` и `rcmd`. Они добавляются вместе с именем системы. - -Эти даемоны, kpasswd и rcmd позволяют другим системам изменять пароли Kerberos и запускать такие команды как man:rcp[1], man:rlogin[1], man:rsh[1]. - -Теперь добавим эти записи: - -[source,shell] +cat: modification time (Fri Aug 25 13:30:17 2023, Fri Aug 25 13:34:20 2023) .... -# kdb_edit -Opening database... -Enter Kerberos master key: +[WARNING] +==== +Это просто пример того, что будет отображено при выполнении команды, чтобы показать изменения, которые произойдут в метаданных. +==== -Current Kerberos master key version is 1. +[[security-secure-levels]] +== Уровни безопасности -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. +securelevel — это механизм безопасности, реализованный в ядре. Когда securelevel имеет положительное значение, ядро ограничивает выполнение определенных задач; даже суперпользователь (root) не может их выполнять. -Principal name: passwd -Instance: grunt +Механизм securelevel ограничивает возможность: -<Not found>, Create [y] ? y +* Снять определенные флаги файлов, такие как `schg` (флаг системной неизменяемости). +* Записать в память ядра через [.filename]#/dev/mem# и [.filename]#/dev/kmem#. +* Загрузить модули ядра. +* Изменить правила межсетевого экрана. -Principal: passwd, Instance: grunt, kdc_key_ver: 1 -New Password: <---- enter RANDOM here -Verifying password +[[security-secure-levels-definitions]] +=== Определения уровней безопасности -New Password: <---- enter RANDOM here +Ядро работает с пятью различными уровнями безопасности. Любой процесс с правами суперпользователя может повысить уровень, но ни один процесс не может его понизить. -Random password [y] ? y +Определения безопасности следующие: -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: rcmd -Instance: grunt +-1:: +*Permanently insecure mode* - always run the system in insecure mode. This is the default initial value. -<Not found>, Create [y] ? +0:: +*Insecure mode* - immutable and append-only flags may be turned off. All devices may be read or written subject to their permissions. -Principal: rcmd, Instance: grunt, kdc_key_ver: 1 -New Password: <---- enter RANDOM here -Verifying password +1:: +*Secure mode* - the system immutable and system append-only flags may not be turned off; disks for mounted file systems, [.filename]#/dev/mem# and [.filename]#/dev/kmem# may not be opened for writing; [.filename]#/dev/io# (if your platform has it) may not be opened at all; kernel modules (see man:kld[4]) may not be loaded or unloaded. The kernel debugger may not be entered using the debug.kdb.enter sysctl. A panic or trap cannot be forced using the debug.kdb.panic, debug.kdb.panic_str and other sysctl's. -New Password: <---- enter RANDOM here +2:: +*Highly secure mode* - same as secure mode, plus disks may not be opened for writing (except by man:mount[2]) whether mounted or not. This level precludes tampering with file systems by unmounting them, but also inhibits running man:newfs[8] while the system is multiuser. -Random password [y] ? +3:: +*Network secure mode* - same as highly secure mode, plus IP packet filter rules (see man:ipfw[8], man:ipfirewall[4] and man:pfctl[8]) cannot be changed and man:dummynet[4] or man:pf[4] configuration cannot be adjusted. -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- null entry here will cause an exit -.... +[TIP] +==== +Вкратце, ключевое различие между `Режимом постоянной незащищённости` и `Незащищённым режимом` в уровнях безопасности FreeBSD заключается в степени предоставляемой защиты. `Режим постоянной незащищённости` полностью снимает все ограничения безопасности, тогда как `Незащищённый режим` ослабляет некоторые ограничения, но сохраняет определённый уровень контроля и защиты. +==== -=== Создание файла настройки сервера +[[security-modify-secure-levels]] +=== Изменение уровней безопасности -Теперь необходимо создать все записи сервисов, которые были определены для каждого компьютера. Используем для этого команду `ext_srvtab`. Будет создан файл, который должен быть скопирован или перемещен _безопасным способом_ в каталог [.filename]#/etc/kerberosIV# каждого Kerberos клиента. Этот файл должен присутствовать на каждом сервере и клиенте, он необходим для работы Kerberos. +Для изменения securelevel системы необходимо активировать `kern_securelevel_enable`, выполнив следующую команду: -[source,shell] +[source, shell] .... -# ext_srvtab grunt -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Generating 'grunt-new-srvtab'.... +# sysrc kern_securelevel_enable="YES" .... -Эта команда создаст временный файл, который должен быть переименован в [.filename]#srvtab#, чтобы серверы смогли обратиться к нему. Используйте команду man:mv[1] для перемещения его в исходной системе: +И установите значение `kern_securelevel` на желаемый уровень безопасности: -[source,shell] +[source, shell] .... -# mv grunt-new-srvtab srvtab +# sysrc kern_securelevel=2 .... -Если файл предназначен для клиентской системы, и сеть не безопасна, скопируйте [.filename]#client-new-srvtab# на съемный носитель и перенесите файл с его помощью. Убедитесь, что переименовали его в [.filename]#srvtab# в каталоге [.filename]#/etc/kerberosIV# клиента, и что режим доступа к нему 600: +Для проверки уровня безопасности (securelevel) в работающей системе выполните следующую команду: -[source,shell] +[source, shell] .... -# mv grumble-new-srvtab srvtab -# chmod 600 srvtab +# sysctl -n kern.securelevel .... -=== Пополнение базы данных - -Теперь необходимо добавить в базу данных пользователей. Во-первых, создадим запись для пользователя `jane`. Используйте команду `kdb_edit`: +Вывод содержит текущее значение уровня securelevel. Если оно больше 0, значит, включена по крайней мере часть защит securelevel. -[source,shell] -.... -# kdb_edit -Opening database... +[[security-file-flags]] +== Флаговые атрибуты файлов -Enter Kerberos master key: +Флаги файлов позволяют пользователям добавлять дополнительные метаданные или атрибуты к файлам и каталогам, помимо базовых прав доступа и владения. Эти флаги предоставляют способ управления различными поведениями и свойствами файлов без необходимости создавать специальные каталоги или использовать расширенные атрибуты. -Current Kerberos master key version is 1. +Флаги файлов могут использоваться для достижения различных целей, таких как предотвращение удаления файла, разрешение только дополнения файла, синхронизация обновлений файлов и многое другое. Некоторые часто используемые флаги файлов в FreeBSD включают флаг "immutable", который запрещает изменение или удаление файла, и флаг "append-only", который разрешает только добавление данных в конец файла, но не их изменение или удаление. -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. +Эти флаги можно управлять с помощью команды man:chflags[1] в FreeBSD, что предоставляет администраторам и пользователям больший контроль над поведением и характеристиками их файлов и каталогов. Важно отметить, что флаги файлов обычно управляются root или пользователями с соответствующими привилегиями, так как они могут влиять на доступ и манипуляции с файлами. Некоторые флаги доступны для использования владельцем файла, как описано в man:chflags[1]. -Principal name: jane -Instance: +[[security-work-file-flag]] +=== Работа с флагами файлов -<Not found>, Create [y] ? y +В этом примере файл с именем [.filename]#~/important.txt# в домашнем каталоге пользователя необходимо защитить от удаления. -Principal: jane, Instance: , kdc_key_ver: 1 -New Password: <---- enter a secure password here -Verifying password +Выполните следующую команду, чтобы установить флаг файла `schg`: -New Password: <---- re-enter the password here -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- null entry here will cause an exit +[source, shell] .... - -=== Тестирование всей системы - -Во-первых, запустите даемоны Kerberos. При правильном редактировании файла [.filename]#/etc/rc.conf# они запустятся автоматически при перезагрузке. Это необходимо только на сервере Kerberos. Клиенты Kerberos получат все необходимые данные из каталога [.filename]#/etc/kerberosIV#. - -[source,shell] +# chflags schg ~/important.txt .... -# kerberos & -Kerberos server starting -Sleep forever on error -Log file is /var/log/kerberos.log -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Current Kerberos master key version is 1 -Local realm: EXAMPLE.COM -# kadmind -n & -KADM Server KADM0.0A initializing -Please do not use 'kill -9' to kill this job, use a -regular kill instead +Когда любой пользователь, включая пользователя `root`, пытается удалить файл, система отобразит сообщение: -Current Kerberos master key version is 1. - -Master key entered. BEWARE! +[.programlisting] +.... +rm: important.txt: Operation not permitted .... -Теперь для получения доступа через созданного пользователя `jane` используйте `kinit`: +Чтобы удалить файл, необходимо сначала удалить его флаги, выполнив следующую команду: -[source,shell] +[source, shell] .... -% kinit jane -MIT Project Athena (grunt.example.com) -Kerberos Initialization for "jane" -Password: +# chflags noschg ~/important.txt .... -Попробуйте просмотреть имеющиеся данные с помощью `klist`: +Список поддерживаемых флагов файлов и их функциональность можно найти в man:chflags[1]. -[source,shell] -.... -% klist -Ticket file: /tmp/tkt245 -Principal: jane@EXAMPLE.COM +[[openssh]] +== OpenSSH - Issued Expires Principal -Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COM -.... +OpenSSH — это набор сетевых инструментов для подключения, которые используются для обеспечения безопасного доступа к удаленным машинам. Кроме того, TCP/IP-соединения могут быть туннелированы или перенаправлены через SSH-соединения с обеспечением безопасности. OpenSSH шифрует весь трафик, чтобы исключить прослушивание, перехват соединений и другие атаки на сетевом уровне. -Теперь попробуйте изменить пароль с помощью man:passwd[1], чтобы убедиться, что даемон kpasswd может получить информацию из базы данных Kerberos: +OpenSSH разрабатывается проектом OpenBSD и устанавливается по умолчанию в FreeBSD. -[source,shell] -.... -% passwd -realm EXAMPLE.COM -Old password for jane: -New Password for jane: -Verifying password -New Password for jane: -Password changed. -.... +Когда данные передаются по сети в незашифрованном виде, снифферы где-либо между клиентом и сервером могут украсть информацию о пользователе/пароле или данные, передаваемые во время сеанса. OpenSSH предлагает различные методы аутентификации и шифрования, чтобы предотвратить это. -=== Включение `su` +Дополнительная информация о OpenSSH доступна на link:https://www.openssh.com/[веб-сайте]. -Kerberos позволяет назначить _каждому_ пользователю, который нуждается в привилегиях `root`, свой _собственный_ пароль man:su[1]. Необходимо добавить учётную запись, которой разрешено получать `root` доступ через man:su[1]. Это делается путем связывания учётной записи `root` с пользовательской учётной записью. Создадим в базе данных Kerberos запись `jane.root` с помощью `kdb_edit`: +В этом разделе представлен обзор встроенных клиентских утилит для безопасного доступа к другим системам и безопасной передачи файлов с системы FreeBSD. Затем описывается, как настроить SSH-сервер на системе FreeBSD. -[source,shell] -.... -# kdb_edit -Opening database... +[TIP] +==== +Как уже упоминалось, в этой главе будет рассмотрена базовая версия OpenSSH. Также доступна версия OpenSSH в пакете package:security/openssh-portable[], которая предоставляет дополнительные параметры конфигурации и регулярно обновляется с новыми функциями. +==== -Enter Kerberos master key: +=== Использование клиентских утилит SSH -Current Kerberos master key version is 1. +Для входа на SSH-сервер используйте man:ssh[1], указав имя пользователя, существующее на этом сервере, и IP-адрес или имя хоста сервера. Если подключение к указанному серверу выполняется впервые, пользователю будет предложено сначала подтвердить его отпечаток: -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. +[source, shell] +.... +# ssh user@example.com +.... -Principal name: jane -Instance: root +Вывод должен быть похож на следующий: -<Not found>, Create [y] ? y +[.programlisting] +.... +The authenticity of host 'example.com (10.0.0.1)' can't be established. +ECDSA key fingerprint is 25:cc:73:b5:b3:96:75:3d:56:19:49:d2:5c:1f:91:3b. +Are you sure you want to continue connecting (yes/no)? yes +Permanently added 'example.com' (ECDSA) to the list of known hosts. +Password for user@example.com: user_password +.... -Principal: jane, Instance: root, kdc_key_ver: 1 -New Password: <---- enter a SECURE password here -Verifying password +SSH использует систему отпечатков ключей для проверки подлинности сервера при подключении клиента. Когда пользователь принимает отпечаток ключа, введя `yes` при первом подключении, копия ключа сохраняется в файле [.filename]#~/.ssh/known_hosts# в домашнем каталоге пользователя. Последующие попытки входа проверяются по сохранённому ключу, и man:ssh[1] выведет предупреждение, если ключ сервера не совпадает с сохранённым. В таком случае пользователю следует сначала проверить, почему изменился ключ, прежде чем продолжать подключение. -New Password: <---- re-enter the password here +[NOTE] +==== +Как выполнить эту проверку, выходит за рамки данной главы. +==== -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short! -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- null entry here will cause an exit -.... +Используйте man:scp[1] для безопасного копирования файла на удалённую машину или с неё. -Теперь проверим работоспособность этой записи: +Этот пример копирует файл `COPYRIGHT` на удалённой системе в файл с тем же именем в текущем каталоге локальной системы: -[source,shell] +[source, shell] .... -# kinit jane.root -MIT Project Athena (grunt.example.com) -Kerberos Initialization for "jane.root" -Password: +# scp user@example.com:/COPYRIGHT COPYRIGHT .... -Необходимо добавить пользователя к `root` файлу [.filename]#.klogin#: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# cat /root/.klogin -jane.root@EXAMPLE.COM +Password for user@example.com: ******* +COPYRIGHT 100% |*****************************| 4735 .... -Теперь попробуйте выполнить man:su[1]: +Поскольку отпечаток этого узла уже был проверен, ключ сервера автоматически проверяется перед запросом пароля пользователя. -[source,shell] -.... -% su -Password: -.... +Аргументы, передаваемые в man:scp[1], аналогичны аргументам man:cp[1]. Первым аргументом указывается файл или файлы для копирования, а вторым — место назначения. Поскольку файл передаётся по сети, один или несколько аргументов с файлами имеют вид `user@host:<путь_к_удалённому_файлу>`. Обратите внимание, что при рекурсивном копировании каталогов man:scp[1] использует `-r`, тогда как man:cp[1] использует `-R`. -и посмотрите на имеющиеся данные: +Чтобы открыть интерактивную сессию для копирования файлов, используйте man:sftp[1]. -[source,shell] -.... -# klist -Ticket file: /tmp/tkt_root_245 -Principal: jane.root@EXAMPLE.COM +Обратитесь к man:sftp[1] для получения списка доступных команд во время сеанса man:sftp[1]. - Issued Expires Principal -May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM -.... +[[security-ssh-keygen]] +=== Аутентификация на основе ключей -=== Использование других команд +Вместо использования паролей клиент может быть настроен для подключения к удалённой машине с использованием ключей. В целях безопасности это предпочтительный метод. -В примере выше мы создали запись (principal) `jane` с доступом к `root` (instance). Она основана на пользователе с таким же именем, как и идентификатор, что принято Kerberos по умолчанию; `<principal>.<instance>` в форме `<username>.``root` позволяет использовать man:su[1] для доступа к `root`, если соответствующие записи находятся в файле [.filename]#.klogin# домашнего каталога `root`: +man:ssh-keygen[1] можно использовать для генерации ключей аутентификации. Чтобы создать пару из открытого и закрытого ключей, укажите тип ключа и следуйте инструкциям. Рекомендуется защитить ключи запоминающейся, но трудной для угадывания парольной фразой. -[source,shell] +[source, shell] .... -# cat /root/.klogin -jane.root@EXAMPLE.COM +% ssh-keygen -t rsa -b 4096 .... -Подобно этому, если в файле [.filename]#.klogin# из домашнего каталога пользователя есть строки в форме: +Вывод должен быть похож на следующий: -[source,shell] -.... -% cat ~/.klogin -jane@EXAMPLE.COM -jack@EXAMPLE.COM +[.programlisting] .... +Generating public/private rsa key pair. +Enter file in which to save the key (/home/user/.ssh/id_rsa): +Created directory '/home/user/.ssh/.ssh'. +Enter passphrase (empty for no passphrase): +Enter same passphrase again: +Your identification has been saved in /home/user/.ssh/id_rsa. +Your public key has been saved in /home/user/.ssh/id_rsa.pub. +The key fingerprint is: +SHA256:54Xm9Uvtv6H4NOo6yjP/YCfODryvUU7yWHzMqeXwhq8 user@host.example.com +The key's randomart image is: ++---[RSA 2048]----+ +| | +| | +| | +| . o.. | +| .S*+*o | +| . O=Oo . . | +| = Oo= oo..| +| .oB.* +.oo.| +| =OE**.o..=| ++----[SHA256]-----+ +.... + +Закрытый ключ хранится в [.filename]#~/.ssh/id_rsa#, а открытый ключ — в [.filename]#~/.ssh/id_rsa.pub#. _Открытый_ ключ должен быть скопирован в файл [.filename]#~/.ssh/authorized_keys# на удалённой машине, чтобы аутентификация по ключу работала. -это позволит любому с идентификатором `EXAMPLE.COM`, кто аутентифицировался как `jane` или `jack` (с помощью команды `kinit`, см. выше) получить доступ к учётной записи пользователя `jane` или файлам этой системы (`grunt`) через man:rlogin[1], man:rsh[1] или man:rcp[1]. +[WARNING] +==== +Использование парольной фразы для ключей OpenSSH является важной практикой безопасности, обеспечивающей дополнительный уровень защиты от несанкционированного доступа и повышающей общую кибербезопасность. -Например, `jane` может входить в другую систему используя Kerberos: +В случае утери или кражи это добавляет дополнительный уровень защиты. +==== -[source,shell] -.... -% kinit -MIT Project Athena (grunt.example.com) -Password: -% rlogin grunt -Last login: Mon May 1 21:14:47 from grumble -Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 - The Regents of the University of California. All rights reserved. +[[security-ssh-tunneling]] +=== Туннелирование SSH -FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 -.... +OpenSSH обладает возможностью создания туннеля для инкапсуляции другого протокола в зашифрованном сеансе. -Или `jack` входит в учётную запись `jane`'s на этом же компьютере (файл [.filename]#.klogin#`jane` настроен как показано выше, и в Kerberos настроена учётная запись _jack_): +Следующая команда указывает man:ssh[1] создать туннель: -[source,shell] +[source, shell] .... -% kinit -% rlogin grunt -l jane -MIT Project Athena (grunt.example.com) -Password: -Last login: Mon May 1 21:16:55 from grumble -Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 - The Regents of the University of California. All rights reserved. -FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 +% ssh -D 8080 user@example.com .... -[[kerberos5]] -== Kerberos5 - -Все релизы FreeBSD после FreeBSD-5.1 включают поддержку только Kerberos5. Таким образом, Kerberos5 это единственная включаемая в поставку версия и его конфигурация похожа на KerberosIV во многих аспектах. Эта информация применима только к Kerberos5 из релизов после FreeBSD-5.0. Пользователи, желающие использовать пакет KerberosIV, могут установить его из порта package:security/krb4[]. +Этот пример использует следующие параметры: -Kerberos это дополнительная сетевая система/протокол, позволяющая пользователям авторизоваться через защищенные сервисы на защищенном сервере. Такие сервисы как удаленный вход, удаленное копирование, защищенное копирование файлов между системами и другие задачи с высоким риском становятся допустимо безопасными и более контролируемыми. +-D:: +Указывает локальное "динамическое" перенаправление портов на уровне приложений. -Kerberos может быть описана как прокси система идентификации-проверки. Она также может быть описана как защищенная внешняя система аутентификации. Kerberos предоставляет только одну функцию - защищенную аутентификацию пользователей сети. Он не предоставляет функций авторизации (что разрешено делать пользователям) или функций аудита (какой пользователь что делает). После того, как клиент и сервер использовали Kerberos для идентификации, они могут зашифровать все соединения для гарантирования собственной безопасности и целостности данных. +user@foo.example.com:: +Имя пользователя для входа на указанный удаленный SSH-сервер. -Следовательно крайне рекомендуется использовать Kerberos с другими методами безопасности, предоставляющими сервисы авторизации и аудита. +Туннель SSH работает путем создания сокета для прослушивания на `localhost` на указанном `localport`. -Последующие инструкции могут использоваться в качестве руководства по настройке Kerberos, поставляемого с FreeBSD. Тем не менее, вам потребуется обратиться к соответствующим страницам справочника за полным описанием. +Этот метод можно использовать для защиты любого количества незащищённых TCP-протоколов, таких как SMTP, POP3 и FTP. -В целях демонстрации установки Kerberos, будут применены следующие обозначения: +=== Включение сервера SSH -* DNS домен ("зона") example.org. -* Уникальный идентификатор Kerberos EXAMPLE.ORG. +В дополнение к встроенным клиентским утилитам SSH, система FreeBSD может быть настроена как SSH-сервер, принимающий подключения от других SSH-клиентов. -[NOTE] +[TIP] ==== -Используйте действующие имена доменов при настройке Kerberos даже если вы будете использовать его во внутренней сети. Это позволит избежать проблем с DNS и гарантирует возможность связи с Kerberos под другими идентификаторами. +Как уже было сказано, в этой главе рассматривается базовая версия OpenSSH. *Не* путайте её с package:security/openssh-portable[], версией OpenSSH, которая поставляется с коллекцией портов FreeBSD. ==== -=== История +Чтобы включить сервер SSH для автоматического запуска после перезагрузки, выполните следующую команду: -Kerberos был создан MIT в качестве решения проблем с безопасностью сети. Протокол Kerberos использует стойкую криптографию, так что клиент может идентифицироваться на сервере (и обратно) через незащищенное сетевое соединение. +[source, shell] +.... +# sysrc sshd_enable="YES" +.... -Kerberos это и имя сетевого протокола аутентификации и общий термин для описания программ, где он реализован (например, Kerberos telnet). Текущая версия протокола 5 описана в RFC 1510. +Затем выполните следующую команду, чтобы включить службу: -Доступно несколько свободных реализаций этого протокола, работающих на множестве операционных систем. Massachusetts Institute of Technology (MIT), где Kerberos был первоначально разработан, продолжает разрабатывать собственный пакет Kerberos. Он обычно использовался в США как криптографический продукт, и в этом качестве попадал под действие ограничений на экспорт. MITKerberos доступен в виде порта (package:security/krb5[]). Heimdal Kerberos это другая реализация версии 5, которая разрабатывалась исключительно вне США для обхода экспортных ограничений (и поэтому часто включалась в некоммерческие реализации UNIX(R)). Heimdal Kerberos доступен в виде порта (package:security/heimdal[]), его минимальный комплект включен в базовую установку FreeBSD. +[source, shell] +.... +# service sshd start +.... -В целях получения наибольшей аудитории, в этих инструкциях предполагается использование Heimdal включаемого в FreeBSD. +При первом запуске `sshd` в системе FreeBSD автоматически создаются ключи хоста системы, и их отпечаток выводится на консоль. Предоставьте пользователям этот отпечаток, чтобы они могли проверить его при первом подключении к серверу. -=== Настройка Heimdal KDC +Обратитесь к man:sshd[8] для получения списка доступных параметров при запуске sshd, а также полного описания аутентификации, процесса входа и различных конфигурационных файлов. -Центр распространения ключей (Key Distribution Center, KDC) это централизованный сервис аутентификации, предоставляемый Kerberos - это компьютер, который предоставляет доступ через Kerberos. KDC считается доверяемым всеми другими компьютерами с определенным идентификатором Kerberos и поэтому к нему предъявляются высокие требования безопасности. +На этом этапе `sshd` должен быть доступен всем пользователям системы, имеющим имя пользователя и пароль. -Имейте ввиду, что хотя работа сервера Kerberos требует очень немного вычислительных ресурсов, из соображений безопасности для него рекомендуется отдельный компьютер, работающий только в качестве KDC. +[[config-publickey-auth]] +=== Настройка метода аутентификации по открытому ключу -Перед началом настройки KDC, убедитесь что в файле [.filename]#/etc/rc.conf# содержатся правильные настройки для работы в качестве KDC (вам может потребоваться изменить пути в соответствии с собственной системой): +Настройка OpenSSH для использования аутентификации по открытому ключу повышает безопасность за счёт применения асимметричной криптографии. Этот метод устраняет риски, связанные с паролями, такие как слабые пароли или их перехват при передаче, а также предотвращает различные атаки, основанные на паролях. Однако важно обеспечить надёжную защиту закрытых ключей, чтобы предотвратить несанкционированный доступ. -[.programlisting] -.... -kerberos5_server_enable="YES" -kadmind5_server_enable="YES" -.... +Первым шагом будет настройка man:sshd[8] для использования требуемого метода аутентификации. -Затем приступим к редактированию файла настройки Kerberos, [.filename]#/etc/krb5.conf#: +Отредактируйте файл [.filename]#/etc/ssh/sshd_config# и раскомментируйте следующую настройку: [.programlisting] .... -[libdefaults] - default_realm = EXAMPLE.ORG -[realms] - EXAMPLE.ORG = { - kdc = kerberos.example.org - admin_server = kerberos.example.org - } -[domain_realm] - .example.org = EXAMPLE.ORG +PubkeyAuthentication yes .... -Обратите внимание что в файле [.filename]#/etc/krb5.conf# подразумевается наличие у KDC полного имени `kerberos.example.org`. Вам потребуется добавить CNAME (синоним) к файлу зоны, если у KDC другое имя. +После завершения настройки пользователям необходимо отправить системному администратору свой *открытый ключ*, и эти ключи будут добавлены в [.filename]#.ssh/authorized_keys#. Процесс генерации ключей описан в crossref:security[security-ssh-keygen,Аутентификация на основе ключей]. -[NOTE] -==== -Для больших сетей с правильно настроенным сервером BINDDNS пример выше может быть урезан до: +Затем перезапустите сервер, выполнив следующую команду: -[.programlisting] +[source, shell] .... -[libdefaults] - default_realm = EXAMPLE.ORG +# service sshd reload .... -Со следующими строками, добавленными в файл зоны `example.org`: +Настоятельно рекомендуется выполнить указанные улучшения безопасности, приведенные в crossref:security[security-sshd-security-options, Параметры безопасности SSH-сервера]. -[.programlisting] -.... -_kerberos._udp IN SRV 01 00 88 kerberos.example.org. -_kerberos._tcp IN SRV 01 00 88 kerberos.example.org. -_kpasswd._udp IN SRV 01 00 464 kerberos.example.org. -_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. -_kerberos IN TXT EXAMPLE.ORG -.... +[[security-sshd-security-options]] +=== Параметры безопасности сервера SSH -==== +В то время как `sshd` является наиболее широко используемым средством удалённого администрирования в FreeBSD, атаки методом грубой силы и сканирование уязвимостей распространены для любой системы, доступной из публичных сетей. -[NOTE] +В этом разделе описаны дополнительные параметры, которые помогают предотвратить успех подобных атак. Все настройки выполняются в файле [.filename]#/etc/ssh/sshd_config# + +[TIP] ==== -Чтобы клиенты могли найти сервисы Kerberos, _необходимо_ наличие или полностью настроенного [.filename]#/etc/krb5.conf# или минимально настроенного [.filename]#/etc/krb5.conf#_и_ правильно настроенного DNS сервера. +Не путайте [.filename]#/etc/ssh/sshd_config# с [.filename]#/etc/ssh/ssh_config# (обратите внимание на дополнительную букву `d` в первом имени файла). Первый файл настраивает сервер, а второй — клиент. Список доступных настроек клиента приведён в man:ssh_config[5]. ==== -Создадим теперь базу данных Kerberos. Эта база данных содержит ключи всех основных хостов, зашифрованных с помощью главного пароля. Вам не требуется помнить этот пароль, он хранится в файле ([.filename]#/var/heimdal/m-key#). Для создания главного ключа запустите `kstash` и введите пароль. - -Как только будет создан главный ключ, вы можете инициализировать базу данных с помощью программы `kadmin` с ключом `-l` (означающим "local"). Этот ключ сообщает `kadmin` обращаться к файлам базы данных непосредственно вместо использования сетевого сервиса `kadmind`. Это помогает решить "проблему курицы и яйца", когда обращение идет к еще не созданной базе данных. Как только вы увидите приглашение `kadmin`, используйте команду `init` для создания базы данных идентификаторов. - -Наконец, оставаясь в приглашении `kadmin`, создайте первую запись с помощью команды `add`. Оставьте неизменными параметры по умолчанию, вы всегда сможете изменить их позже с помощью команды `modify`. Обратите внимание, что вы всегда можете использовать команду `?` для просмотра доступных параметров. - -Пример создания базы данных показан ниже: +По умолчанию аутентификация может выполняться как по открытому ключу, так и по паролю. Чтобы разрешить *только* аутентификацию по открытому ключу, *что настоятельно рекомендуется*, измените переменную: -[source,shell] +[.programlisting] .... -# kstash -Master key: xxxxxxxx -Verifying password - Master key: xxxxxxxx - -# kadmin -l -kadmin> init EXAMPLE.ORG -Realm max ticket life [unlimited]: -kadmin> add tillman -Max ticket life [unlimited]: -Max renewable life [unlimited]: -Attributes []: -Password: xxxxxxxx -Verifying password - Password: xxxxxxxx +PasswordAuthentication no .... -Теперь пришло время запустить сервисы KDC. Выполните команды `/etc/rc.d/kerberos start` и `/etc/rc.d/kadmind start` для запуска сервисов. Заметьте, что ни один из поддерживающих Kerberos даемонов на этот момент запущен не будет, но у вас должна быть возможность убедиться в том, что KDC функционирует путем получения списка доступа для пользователя, которого вы только что самостоятельно создали из командной строки самого KDC: +Хорошей практикой является ограничение пользователей, которые могут подключаться к SSH-серверу, а также мест, откуда они могут это делать, с помощью ключевого слова `AllowUsers` в конфигурационном файле сервера OpenSSH. Например, чтобы разрешить вход только пользователю `user` с адреса `192.168.1.32`, добавьте следующую строку в файл [.filename]#/etc/ssh/sshd_config#: -[source,shell] +[.programlisting] .... -% k5init tillman -tillman@EXAMPLE.ORG's Password: - -% k5list -Credentials cache: FILE:/tmp/krb5cc_500 - Principal: tillman@EXAMPLE.ORG - - Issued Expires Principal -Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG +AllowUsers user@192.168.1.32 .... -=== Сервер Kerberos с сервисами Heimdal - -Для начала нам потребуется копия файла настройки Kerberos, [.filename]#/etc/krb5.conf#. Просто скопируйте его с KDC на клиентский компьютер безопасным способом (используя сетевые утилиты, такие как man:scp[1], или физически, с помощью дискеты). - -Затем вам понадобится файл [.filename]#/etc/krb5.keytab#. Это основное различие между сервером, поддерживающим Kerberos и рабочими станциями - на сервере должен быть файл [.filename]#keytab#. В этом файле находится центральный ключ сервера, который позволяет KDC проверять все другие идентификаторы. Он должен быть помещен на сервер безопасным способом, поскольку безопасность сервера может быть нарушена, если ключ станет общедоступен. Это означает, что его передача через прозрачный канал, такой как FTP - очень плохая идея. - -Обычно перенос файла [.filename]#keytab# на сервер производится с помощью программы `kadmin`. Это удобно, поскольку вам потребуется также создать запись хоста (KDC часть [.filename]#krb5.keytab#) с помощью `kadmin`. +Чтобы разрешить пользователю `user` входить из любого места, укажите этого пользователя без указания IP-адреса: -Обратите внимание, что должны быть уже зарегистрированы в системе и необходимо наличие прав на использование интерфейса `kadmin` в файле [.filename]#kadmind.acl#. Обратитесь к разделу "Remote administration" в info страницах Heimdal (`info heimdal`) за деталями по составлению списка доступа. Если вы не хотите включать удаленный доступ `kadmin`, можете просто подключиться к KDC через защищенное соединение (локальную консоль, man:ssh[1] или Kerberos man:telnet[1]) и выполнять администрирование локально с помощью `kadmin -l`. +[.programlisting] +.... +AllowUsers user +.... -После добавления файла [.filename]#/etc/krb5.conf#, вы можете использовать `kadmin` с сервера Kerberos. Команда `add --random-key` позволит вам добавить запись для сервера, а команда `ext` позволит перенести эту запись в собственный keytab файл сервера. Например: +Несколько пользователей следует перечислять в одной строке, например: -[source,shell] +[.programlisting] .... -# kadmin -kadmin> add --random-key host/myserver.example.org -Max ticket life [unlimited]: -Max renewable life [unlimited]: -Attributes []: -kadmin> ext host/myserver.example.org -kadmin> exit +AllowUsers root@192.168.1.32 user .... -Обратите внимание, что команда `ext` (сокращение от "extract") сохраняет полученный ключ в файле [.filename]#/etc/krb5.keytab# по умолчанию. - -Если на KDC не запущен `kadmind` (возможно по соображениям безопасности) и вы не можете получить доступ к `kadmin` удаленно, возможно добавление записи хоста (`host/myserver.EXAMPLE.ORG`) непосредственно на KDC с последующим извлечением ее во временный файл (и перезаписью [.filename]#/etc/krb5.keytab# на KDC) примерно так: +После внесения всех изменений и перед перезапуском службы рекомендуется проверить правильность конфигурации, выполнив следующую команду: -[source,shell] +[source, shell] .... -# kadmin -kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org -kadmin> exit +# sshd -t .... -Затем вы можете скопировать keytab на сервер защищенным способом (например, используя `scp` или дискету). Убедитесь, что используемое имя keytab не совпадает с именем по умолчанию во избежание перезаписывания keytab на KDC. - -Теперь ваш сервер может связываться с KDC (добавлен файл [.filename]#krb5.conf#) и идентифицировать себя (добавлен файл [.filename]#krb5.keytab#). Теперь вы готовы к включению некоторых сервисов Kerberos. В этом примере мы включим сервис `telnet`, поместив в [.filename]#/etc/inetd.conf# нижеприведенную строку и перезапустив сервис man:inetd[8] командой `/etc/rc.d/inetd restart`: +Если файл конфигурации верен, вывод не будет отображен. В случае, если файл конфигурации содержит ошибки, будет показано примерно следующее: [.programlisting] .... -telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user +/etc/ssh/sshd_config: line 3: Bad configuration option: sdadasdasdasads +/etc/ssh/sshd_config: terminating, 1 bad configuration options .... -Очень важно установить ключ `-a` (тип аутентификации) в user. Обратитесь к странице справочника man:telnetd[8] за подробной информацией. - -=== Клиент Kerberos с Heimdal - -Настройка клиентского компьютера почти тривиально проста. Как только настройка Kerberos закончена, вам потребуется только файл настройки Kerberos, [.filename]#/etc/krb5.conf#. Просто скопируйте его безопасным способом на клиентский компьютер с KDC. - -Протестируйте клиентский компьютер, попытавшись использовать `kinit`, `klist`, и `kdestroy` для получения, отображения и удаления списка доступа. Соединитесь с Kerberos севером используя клиент Kerberos, если соединение не работает и получение доступа является проблемой, это скорее всего проблема сервера, а не клиента или KDC. - -При тестировании приложения вроде `telnet`, попробуйте использовать программу перехвата пакетов (такую как man:tcpdump[1]), чтобы убедиться, что ваш пароль не передается незашифрованным. Попробуйте использовать `telnet` с параметром `-x`, чтобы зашифровать весь поток данных (подобно `ssh`). +После внесения изменений и проверки корректности файла конфигурации, дайте команду `sshd` перезагрузить файл конфигурации, выполнив: -Основные клиентские приложения Kerberos (традиционно называющиеся `kinit`, `klist`, `kdestroy`, и `kpasswd`) находятся в базовой установке FreeBSD. Обратите внимание, что в FreeBSD версий до 5.0 они были переименованы в `k5init`, `k5list`, `k5destroy`, `k5passwd`, и `k5stash` (хотя их обычно использовали лишь однократно). - -Различные неосновные клиентские приложения Kerberos также устанавливаются по умолчанию. Здесь проявляется "минимальность" базовой установки Heimdal: `telnet` это единственное приложение, поддерживающее Kerberos. - -Порт Heimdal добавляет некоторые отсутствующие клиентские приложения: поддерживающие Kerberos версии `ftp`, `rsh`, `rcp`, `rlogin`, и некоторые другие реже используемые программы. Порт MIT также содержит полный пакет клиентских приложений Kerberos. - -=== Пользовательские файлы настройки: [.filename]#.k5login# и [.filename]#.k5users# - -Учётные записи пользователя в Kerberos (например `tillman@EXAMPLE.ORG`) обычно связаны с локальными учётными записями (например с локальной учётной записью6 `tillman`). Клиентские приложения, такие как `telnet`, обычно не требуют указания имени пользователя или учётной записи. - -Тем не менее, время от времени вам может потребоваться дать доступ к локальной учётной записи кому-то, у кого нет соответствующей учётной записи Kerberos. Например, пользователю `tillman@EXAMPLE.ORG` может потребоваться доступ к локальной учётной записи `webdevelopers`. Другим учётным записям также может потребоваться доступ к этой локальной учётной записи. - -Файлы [.filename]#.k5login# и [.filename]#.k5users#, помещенные в домашний каталог пользователя, могут быть использованы подобно действенной комбинации [.filename]#.hosts# и [.filename]#.rhosts# для решения этой проблемы. Например, файл [.filename]#.k5login# со следующим содержанием: - -[source,shell] +[source, shell] .... -tillman@example.org -jdoe@example.org +# service sshd reload .... -помещен в домашний каталог локального пользователя `webdevelopers`, то обе упомянутые учётные записи получат доступ к этой учётной записи без необходимости наличия общего пароля. - -Рекомендуется прочитать страницу справочника по этим командам. Обратите внимание, что страница справочника о `ksu` содержит информацию по [.filename]#.k5users#. - -=== Подсказки, советы и решение проблем с Kerberos - -* При использовании портов как Heimdal так и MITKerberos убедитесь, что в `PATH` версии Kerberos клиентов указаны перед их версиями в базовой системе. -* Все ли компьютеры в пределах данного realm синхронизированы по времени? Если нет, аутентификация может завершиться неудачно. crossref:network-servers[network-ntp,Синхронизация часов через NTP] описывает как синхронизировать часы с использованием NTP. -* MIT и Heimdal успешно взаимодействуют. За исключением `kadmin`, протокол для которого не стандартизован. -* Если вы изменяете hostname, потребуется также изменить учётную запись `host/` и обновить keytab. Это также необходимо для специальных записей в keytab, таких как `www/` запись модуля Apache package:www/mod_auth_kerb[]. -* Все хосты под общим идентификатором должны разрешаться DNS (прямое и обратное разрешение), или как минимум через [.filename]#/etc/hosts#. Записи CNAME будут работать, но записи A и PTR должны быть корректны и находиться на своем месте. Сообщение об ошибке не всегда интуитивно понятно: `Kerberos5 refuses authentication because Read req failed: Key table entry not found`. -* Некоторые операционные системы, способные работать в качестве клиентов KDC не устанавливают права для `ksu` в setuid `root`. Это означает, что `ksu` не работает, что хорошо является хорошей идеей для безопасности, но неудобно. Это не ошибка KDC. -* С MITKerberos, если вы хотите продлить действие доступа до значения большего, чем десять часов по умолчанию, используйте команду `modify_principal` в `kadmin` для изменения maxlife доступа к самой учётной записи и к учётной записи `krbtgt`. Затем возможно использование `kinit` с параметром `-l` для запроса доступа с большим временем действия. -* -[NOTE] -==== -Если вы запускаете перехватчик пакетов на KDC для разрешения проблем, а затем запускаете `kinit` с рабочей станции, то увидите, что TGT посылается непосредственно при запуске `kinit` - даже до того, как вы введете пароль! Объяснение в том, что сервер Kerberos свободно распространяет TGT (Ticket Granting Ticket) на каждый неавторизованный запрос; однако, каждый TGT зашифрован ключом, полученным из пароля пользователя. Следовательно, когда пользователь вводит свой пароль, он не отправляется на KDC, а используется для расшифровка TGT, который уже получен `kinit`. Если в процессе расшифровки получается правильный билет с правильным значением времени, у пользователя есть действующее "удостоверение". Это удостоверение содержит ключ сессии для установления безопасного соединения с сервером Kerberos, как и действующий TGT, зашифрованный ключом сервера Kerberos. Второй уровень шифрования недоступен пользователю, но позволяет серверу Kerberos проверять правильность каждого TGT. -==== - -* Если вы хотите установить большое время жизни доступа (например, неделю), и используете OpenSSH для соединения с компьютером, где хранится "билет", убедитесь, что параметр Kerberos`TicketCleanup` установлен в `no` в файле [.filename]#sshd_config#, или билеты будут уничтожены при выходе из сеанса. -* Запомните, что время жизни билетов хостов больше. Если время жизни билета для учётной записи пользователя составляет неделю, а время жизни учётной записи хоста, к которому вы подсоединяетесь девять часов, учётная запись хоста в кэше устареет и кэш билетов будет работать не так, как ожидается. -* При настройке файла [.filename]#krb5.dict# на предотвращение использования определенных плохих паролей (страница справочника для `kadmind` кратко рассказывает об этом), запомните, что это применимо только к учётным записям, для которых действует политика паролей. Формат файла [.filename]#krb5.dict# прост: одно слово на строку. Может помочь создание символической ссылки на [.filename]#/usr/shared/dict/words#. - -=== Отличия от порта MIT - -Основное различие между установками MIT и Heimdal относится к программе `kadmin`, которая имеет другой (но эквивалентный) набор команд и использует другой протокол. Если ваш KDC работает на MIT, вы не сможете использовать `kadmin` для удаленного администрирования KDC (и наоборот, по этой же причине). - -Опции командной строки клиентов также могут немного отличаться для одинаковых задач. Рекомендуется следование инструкциям на MITKerberos Web-сайте (http://web.mit.edu/Kerberos/www/[http://web.mit.edu/Kerberos/www/]). Будьте внимательны при определении `PATH`: порт MIT устанавливается по умолчанию в [.filename]#/usr/local/#, и если в `PATH` вначале указаны системные каталоги, вместо приложений MIT могут быть запущены системные приложения. - -[NOTE] -==== -С портом MITpackage:security/krb5[], предоставляемым FreeBSD, убедитесь что файл [.filename]#/usr/local/shared/doc/krb5/README.FreeBSD# установлен портом, если вы хотите понять почему вход через `telnetd` и `klogind` иногда происходит так странно. Наиболее важно, исправление "incorrect permissions on cache file" требует использования бинарного файла `login.krb5` для аутентификации, чтобы права на переданное удостоверение передавались правильно. -==== - -=== Преодоление ограничений, обнаруженных в Kerberos - -==== Kerberos это все или ничего - -Каждый сервис, работающий в сети, должен быть модифицирован для работы с Kerberos (или другим способом защищен от атак по сети) или удостоверения пользователей могут быть украдены или использованы повторно. В качестве примера может быть приведено использование Kerberos версий оболочек для удаленной работы (например через `rsh` и `telnet`), при наличии POP3 сервера, получающего пароли в незашифрованном виде. - -==== Kerberos предназначен для однопользовательских рабочих станций - -В многопользовательской среде Kerberos менее безопасен. Это потому, что он хранит билеты в каталоге [.filename]#/tmp#, которая доступна для чтения всем. Если пользователь работает с несколькими другими пользователями одновременно на одном компьютере (т.е. в многопользовательской среде), возможна кража (копирование) билета другим пользователем. +[[openssl]] +== OpenSSL -Решить проблему можно с помощью параметра командной строки `-c` или (предпочтительно) с помощью переменной окружения `KRB5CCNAME`, но это делается редко. Для преодоления ограничения достаточно сохранять билет в домашнем каталоге пользователя и использовать простые ограничения на доступ к файлам. +OpenSSL — это набор криптографических инструментов, реализующий сетевые протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS), а также множество криптографических функций. -==== От KDC зависит вся система +Программа `openssl` — это инструмент командной строки для использования различных криптографических функций криптобиблиотеки OpenSSL из оболочки. Она может быть использована для -Архитектура системы такова, что KDC должен быть максимально защищен, поскольку главный пароль базы данных содержится в нем. На KDC не должно быть запущено никаких других сервисов и он должен быть защищен физически. Опасность велика, поскольку Kerberos хранит все пароли зашифрованными одним ключом ("главным" ключом), который хранится в файле на KDC. +* Создания и управления закрытыми ключами, открытыми ключами и параметрами +* Криптографических операций с открытым ключом +* Создания сертификатов X.509, запросов на подпись сертификатов (CSR) и списков отозванных сертификатов (CRL) +* Вычисления дайджестов сообщений +* Шифрования и дешифрования с использованием шифров +* Тестирования SSL/TLS клиента и сервера +* Обработки почты с подписью или шифрованием S/MIME +* Запросов, генерации и проверки временных меток +* Бенчмаркинга криптографических процедур -Хорошей новостью является то, что кража главного ключа не станет такой проблемой, как может показаться. Главный ключ используется только для шифрования базы данных Kerberos и в качестве seed для генератора случайных чисел. Поскольку доступ к KDC защищен, атакующий мало что сможет сделать с главным ключом. +Для получения дополнительной информации о OpenSSL ознакомьтесь с бесплатной книгой https://www.feistyduck.com/books/openssl-cookbook/[OpenSSL Cookbook]. -Кроме того, если KDC станет недоступен (возможно по причине атак DoS или проблем в сети) сетевые сервисы будет невозможно использовать, поскольку аутентификация не может быть выполнена. Уменьшить последствия можно при наличии нескольких KDC (один главный и один или несколько резервных) и с аккуратно реализованной резервной аутентификацией (отлично подойдет PAM). +[[generating-certificates]] +=== Генерация сертификатов -==== Недостатки Kerberos +OpenSSL поддерживает создание сертификатов как для проверки link:https://en.wikipedia.org/wiki/Certificate_authority[ЦС], так и для собственного использования. -Kerberos позволяет пользователям, хостам и сервисам производить аутентификацию друг друга. В нем нет механизма аутентификации KDC для пользователей, хостов или сервисов. Это означает, что поддельный `kinit` (например) может записывать все имена пользователей и паролей. Помочь решить проблему может package:security/tripwire[] или другой инструмент проверки целостности файловой системы. +Выполните команду man:openssl[1] для генерации действительного сертификата для link:https://en.wikipedia.org/wiki/Certificate_authority[центра сертификации (CA)] с указанными аргументами. Эта команда создаст два файла в текущем каталоге. Запрос на сертификат, [.filename]#req.pem#, можно отправить в link:https://en.wikipedia.org/wiki/Certificate_authority[центр сертификации (CA)], который проверит введённые данные, подпишет запрос и вернёт подписанный сертификат. Второй файл, [.filename]#cert.key#, является закрытым ключом для сертификата и должен храниться в безопасном месте. Если он попадёт в чужие руки, его можно использовать для выдачи себя за пользователя или сервер. -=== Ресурсы и информация для дальнейшего изучения +Выполните следующую команду для создания сертификата: -* http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html[ Kerberos FAQ] -* http://web.mit.edu/Kerberos/www/dialogue.html[Разработка системы аутентификации: диалог в четырех сценах] -* http://www.ietf.org/rfc/rfc1510.txt?number=1510[RFC 1510, Kerberos Network Authentication Service (V5)] -* http://web.mit.edu/Kerberos/www/[Домашняя страница MIT Kerberos] -* http://www.pdc.kth.se/heimdal/[Домашняя страница Heimdal Kerberos] - -[[openssl]] -== OpenSSL - -Одной из программ, требующих особого внимания пользователей, является набор программ OpenSSL, включенный в FreeBSD. OpenSSL предоставляет уровень шифрования поверх обычных уровней соединения; следовательно, он может быть использован многими сетевыми приложениями и сервисами. +[source, shell] +.... +# openssl req -new -nodes -out req.pem -keyout cert.key -sha3-512 -newkey rsa:4096 +.... -OpenSSL может использоваться для шифрования соединений почтовых клиентов, транзакций через интернет, например для кредитных карт, и многого другого. Многие порты, такие как package:www/apache13-ssl[] и package:mail/sylpheed-claws[] собираются с OpenSSL. +Вывод должен быть похож на следующий: -[NOTE] -==== -В большинстве случаев в Коллекции Портов будет сделана попытка построения порта package:security/openssl[], если только переменная `WITH_OPENSSL_BASE` не установлена явно в "yes". -==== +[.programlisting] +.... +Generating a RSA private key +..................................................................................................................................+++++ +......................................+++++ +writing new private key to 'cert.key' +----- +You are about to be asked to enter information that will be incorporated +into your certificate request. +What you are about to enter is what is called a Distinguished Name or a DN. +There are quite a few fields but you can leave some blank +For some fields there will be a default value, +If you enter '.', the field will be left blank. +----- +Country Name (2 letter code) [AU]:ES +State or Province Name (full name) [Some-State]:Valencian Community +Locality Name (eg, city) []:Valencia +Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company +Organizational Unit Name (eg, section) []:Systems Administrator +Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org +Email Address []:user@FreeBSD.org -Версия OpenSSL, включаемая в FreeBSD, поддерживает сетевые протоколы безопасности Secure Sockets Layer v2/v3 (SSLv2/SSLv3), Transport Layer Security v1 (TLSv1) и может быть использована в качестве основной криптографической библиотеки. +Please enter the following 'extra' attributes +to be sent with your certificate request +A challenge password []:123456789 +An optional company name []:Another name +.... -[NOTE] -==== -Хотя OpenSSL поддерживает алгоритм IDEA, по умолчанию он отключен из-за патентных ограничений Соединенных Штатов. Для его использования необходимо ознакомиться с лицензией, и, если ограничения приемлемы, установить в [.filename]#make.conf# переменную `MAKE_IDEA`. -==== +В качестве альтернативы, если подпись от link:https://ru.wikipedia.org/wiki/Центр_сертификации[центра сертификации] не требуется, можно создать самоподписанный сертификат. Это приведёт к созданию двух новых файлов в текущем каталоге: файла закрытого ключа [.filename]#cert.key# и самого сертификата [.filename]#cert.crt#. Эти файлы следует поместить в каталог, желательно в [.filename]#/etc/ssl/#, с доступом только для пользователя `root`. Для этих файлов подходят права доступа `0700`, которые можно установить с помощью команды `chmod`. -Наиболее часто OpenSSL используется для создания сертификатов, используемых программными пакетами. Эти сертификаты подтверждают, что данные компании или частного лица верны и не подделаны. Если рассматриваемый сертификат не был проверен одним из нескольких сертификационных центров ("Certificate Authorities" - CA), обычно выводится предупреждение. Центр сертификации представляет собой компанию, такую, как http://www.verisign.com[ VeriSign], которая подписывает сертификаты для подтверждения данных частных лиц или компаний. Эта процедура не бесплатна и не является абсолютно необходимой для использования сертификатов; однако может успокоить некоторых особо осторожных пользователей. +Выполните следующую команду для создания сертификата: -=== Генерирование сертификатов +[source, shell] +.... +# openssl req -new -x509 -days 365 -sha3-512 -keyout /etc/ssl/private/cert.key -out /etc/ssl/certs/cert.crt +.... -Для генерирования сертификатов доступна следующая команда: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# openssl req -new -nodes -out req.pem -keyout cert.pem -Generating a 1024 bit RSA private key -................++++++ -.......................................++++++ -writing new private key to 'cert.pem' +Generating a RSA private key +........................................+++++ +...........+++++ +writing new private key to '/etc/ssl/private/cert.key' +Enter PEM pass phrase: +Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. @@ -1202,1080 +935,1010 @@ There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- -Country Name (2 letter code) [AU]:US -State or Province Name (full name) [Some-State]:PA -Locality Name (eg, city) []:Pittsburgh +Country Name (2 letter code) [AU]:ES +State or Province Name (full name) [Some-State]:Valencian Community +Locality Name (eg, city) []:Valencia Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company Organizational Unit Name (eg, section) []:Systems Administrator -Common Name (eg, YOUR name) []:localhost.example.org -Email Address []:trhodes@FreeBSD.org - -Please enter the following 'extra' attributes -to be sent with your certificate request -A challenge password []:SOME PASSWORD -An optional company name []:Another Name +Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org +Email Address []:user@FreeBSD.org .... -Ввод после приглашения "Common Name" содержит имя домена. Здесь вводится имя сервера для верификации; помещение в это поле чего-либо кроме этого имени приведет к созданию бесполезного сертификата. Доступны и другие параметры, например срок действия, альтернативные алгоритмы шифрования и т.д. Полный список находится на странице справочного руководства man:openssl[1]. +[[fips-provider]] +=== Настройка поставщика FIPS -В текущем каталоге, из которого была вызвана вышеуказанная команда, должны появиться два файла. Файл [.filename]#req.pem# с запросом на сертификацию может быть послан в центр выдачи сертификатов, который проверит введённые вами подтверждающие данные, подпишет запрос и возвратит сертификат вам. Второй созданный файл будет иметь название [.filename]#cert.pem# и содержать приватный сертификационный ключ, который необходимо тщательно защищать; если он попадёт в руки посторонних лиц, то может быть использован для имитации лично вас (или вашего сервера). +С внедрением OpenSSL 3 в базовую систему (на FreeBSD 14 и новее) в систему была добавлена новая концепция модулей-провайдеров. Помимо модуля по умолчанию, встроенного в библиотеку, модуль _legacy_ реализует теперь необязательные устаревшие криптографические алгоритмы, а модуль _fips_ ограничивает реализацию OpenSSL криптографическими алгоритмами, присутствующими в наборе стандартов link:https://en.wikipedia.org/wiki/Federal_Information_Processing_Standards[FIPS]. Эта часть OpenSSL получает link:https://www.openssl.org/docs/fips.html[особое внимание], включая link:https://www.openssl.org/news/fips-cve.html[список соответствующих проблем безопасности], и регулярно проходит link:https://github.com/openssl/openssl/blob/master/README-FIPS.md[процесс валидации FIPS 140]. Также доступен link:https://www.openssl.org/source/[список версий, прошедших валидацию FIPS]. Это позволяет пользователям обеспечивать соответствие FIPS при использовании OpenSSL. -Когда подпись CA не требуется, может быть создан самоподписанный сертификат. Сначала создайте ключ RSA: +Важно отметить, что модуль man:fips_module[7] защищен дополнительной мерой безопасности, предотвращающей его использование без прохождения проверки целостности. Эта проверка может быть настроена системным администратором, что позволяет каждому пользователю OpenSSL 3 загружать этот модуль. Если настройка выполнена некорректно, ожидается, что модуль FIPS завершит работу следующим образом: -[source,shell] +[source, shell] .... -# openssl dsaparam -rand -genkey -out myRSA.key 1024 +# echo test | openssl aes-128-cbc -a -provider fips -pbkdf2 .... -Теперь создайте ключ CA: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# openssl gendsa -des3 -out myca.key myRSA.key +aes-128-cbc: unable to load provider fips +Hint: use -provider-path option or OPENSSL_MODULES environment variable. +00206124D94D0000:error:1C8000D5:Provider routines:SELF_TEST_post:missing config data:crypto/openssl/providers/fips/self_test.c:275: +00206124D94D0000:error:1C8000E0:Provider routines:ossl_set_error_state:fips module entering error state:crypto/openssl/providers/fips/self_test.c:373: +00206124D94D0000:error:1C8000D8:Provider routines:OSSL_provider_init_int:self test post failure:crypto/openssl/providers/fips/fipsprov.c:707: +00206124D94D0000:error:078C0105:common libcrypto routines:provider_init:init fail:crypto/openssl/crypto/provider_core.c:932:name=fips .... -Используйте этот ключ при создании сертификата: +Проверка может быть настроена путем создания файла [.filename]#/etc/ssl/fipsmodule.cnf#, который затем будет указан в основном конфигурационном файле OpenSSL [.filename]#/etc/ssl/openssl.cnf#. OpenSSL предоставляет утилиту man:openssl-fipsinstall[1] для помощи в этом процессе, которую можно использовать следующим образом: -[source,shell] +[source, shell] .... -# openssl req -new -x509 -days 365 -key myca.key -out new.crt +# openssl fipsinstall -module /usr/lib/ossl-modules/fips.so -out /etc/ssl/fipsmodule.cnf .... -В каталоге должно появиться два новых файла: подпись сертификата, [.filename]#myca.key# и сам сертификат, [.filename]#new.crt#. Они должны быть помещены в каталог, доступный для чтения только `root`, желательно внутри [.filename]#/etc#. Права на каталог можно изменить `chmod` с параметрами 0700. - -=== Использование сертификатов, пример +Вывод должен быть похож на следующий: -Итак, что могут сделать эти файлы? Хорошим применением может стать шифрование соединений для SendmailMTA. Это сделает ненужным использование простой текстовой аутентификации для тех, кто отправляет почту через локальный MTA. +[.programlisting] +.... +INSTALL PASSED +.... -[NOTE] -==== -Это не лучшее из возможных использований, поскольку некоторые MUA выдадут ошибку, если сертификат не установлен локально. Обратитесь к поставляемой с программой документации за информацией по установке сертификата. -==== +Файл [.filename]#/etc/ssl/openssl.cnf# затем следует изменить, чтобы: -Следующие строки должны быть помещены в локальный файл [.filename]#.mc#: +* Включить файл [.filename]#/etc/ssl/fipsmodule.cnf#, созданный выше, +* Предоставить доступ к модулю FIPS для возможного использования, +* И явно активировать модуль по умолчанию. [.programlisting] .... -dnl SSL Options -define(`confCACERT_PATH',`/etc/certs')dnl -define(`confCACERT',`/etc/certs/new.crt')dnl -define(`confSERVER_CERT',`/etc/certs/new.crt')dnl -define(`confSERVER_KEY',`/etc/certs/myca.key')dnl -define(`confTLS_SRV_OPTIONS', `V')dnl +[...] +# For FIPS +# Optionally include a file that is generated by the OpenSSL fipsinstall +# application. This file contains configuration data required by the OpenSSL +# fips provider. It contains a named section e.g. [fips_sect] which is +# referenced from the [provider_sect] below. +# Refer to the OpenSSL security policy for more information. +.include /etc/ssl/fipsmodule.cnf + +[...] + +# List of providers to load +[provider_sect] +default = default_sect +# The fips section name should match the section name inside the +# included fipsmodule.cnf. +fips = fips_sect + +# If no providers are activated explicitly, the default one is activated implicitly. +# See man 7 OSSL_PROVIDER-default for more details. +# +# If you add a section explicitly activating any other provider(s), you most +# probably need to explicitly activate the default provider, otherwise it +# becomes unavailable in openssl. As a consequence applications depending on +# OpenSSL may not work correctly which could lead to significant system +# problems including inability to remotely access the system. +[default_sect] +activate = 1 .... -Где [.filename]#/etc/certs/# это каталог для локального хранения сертификата и ключей. После настройки необходимо собрать локальный файл [.filename]#.cf#. Это легко сделать, набрав `make`[parameter]#install# в каталоге [.filename]#/etc/mail#. Затем выполните команду `make`[parameter]#restart#, которая должна запустить даемон Sendmail. +После этого можно убедиться, что модуль FIPS действительно доступен и работает: -Если все пройдет нормально, в файле [.filename]#/var/log/maillog# не появятся сообщения об ошибках и запустится процесс Sendmail. +[source, shell] +.... +# echo test | openssl aes-128-cbc -a -provider fips -pbkdf2 +.... -Для проведения простого теста подключитесь к почтовому серверу программой man:telnet[1]: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# telnet example.com 25 -Trying 192.0.34.166... -Connected to example.com. -Escape character is '^]'. -220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) -ehlo example.com -250-example.com Hello example.com [192.0.34.166], pleased to meet you -250-ENHANCEDSTATUSCODES -250-PIPELINING -250-8BITMIME -250-SIZE -250-DSN -250-ETRN -250-AUTH LOGIN PLAIN -250-STARTTLS -250-DELIVERBY -250 HELP -quit -221 2.0.0 example.com closing connection -Connection closed by foreign host. +enter AES-128-CBC encryption password: +Verifying - enter AES-128-CBC encryption password: +U2FsdGVkX18idooW6e3LqWeeiKP76kufcOUClh57j8U= .... -Если в выводе появилась строка "STARTTLS", все работает правильно. +Эта процедура должна повторяться каждый раз, когда модуль FIPS изменяется, например, после выполнения обновлений системы или после применения исправлений безопасности, затрагивающих OpenSSL в базовой системе. -[[ipsec]] -== VPN через IPsec +[[kerberos5]] +== Kerberos -Создание VPN между двумя сетями, соединенными через интернет, с использованием шлюзов FreeBSD. +Kerberos — это сетевой протокол аутентификации, изначально созданный Массачусетским технологическим институтом (MIT) для безопасной аутентификации в потенциально враждебной сети. Протокол Kerberos использует надежное шифрование, позволяя как клиенту, так и серверу подтверждать свою подлинность без передачи незашифрованных секретов по сети. Kerberos можно охарактеризовать как систему проверки подлинности через посредника (прокси) и как систему аутентификации с доверенным третьим лицом. После аутентификации пользователя в Kerberos его передаваемые данные могут шифроваться для обеспечения конфиденциальности и целостности информации. -=== Принципы работы IPsec +Единственная функция Kerberos — обеспечение безопасной аутентификации пользователей и серверов в сети. Он не предоставляет функций авторизации или аудита. Рекомендуется использовать Kerberos вместе с другими методами безопасности, которые обеспечивают сервисы авторизации и аудита. -Этот раздел послужит вам руководством по настройке IPsec и его использованию в среде FreeBSD и Microsoft(R) Windows(R) 2000/XP, соединяемых безопасным способом. Для настройки IPsec необходимо ознакомиться с процессом сборки ядра (crossref:kernelconfig[kernelconfig, Настройка ядра FreeBSD]). +Текущая версия протокола — версия 5, описанная в RFC 4120. Существует несколько свободных реализаций этого протокола, охватывающих широкий спектр операционных систем. MIT продолжает развивать свой пакет Kerberos. Он широко используется в США как криптографический продукт и исторически подпадал под экспортные ограничения США. В FreeBSD MITKerberos доступен в виде пакета package:security/krb5[] или порта. Реализация Heimdal Kerberos была разработана за пределами США специально, чтобы избежать экспортных ограничений. Дистрибутив Heimdal Kerberos включён в базовую установку FreeBSD, а другая версия с более гибкими настройками доступна в коллекции портов как package:security/heimdal[]. -_IPsec_ это протокол, расположенный поверх слоя Internet Protocol (IP). Он позволяет двум или более хостам связываться защищенным способом (отсюда и название протокола). "Сетевой стек" FreeBSD IPsec основан на реализации http://www.kame.net/[KAME], поддерживающей оба семейства протоколов, IPv4 и IPv6. +В Kerberos пользователи и службы идентифицируются как «принципалы», которые входят в административную группу, называемую «реалмом». Типичный принципал пользователя имеет вид `_пользователь_@_РЕАЛМ_` (реалмы традиционно пишутся в верхнем регистре). -[NOTE] -==== -FreeBSD содержит "аппаратно поддерживаемый" стек IPsec, известный как "Fast IPsec", заимствованный из OpenBSD. Для оптимизации производительности IPsec он задействует криптографическое оборудование (когда оно доступно) через подсистему man:crypto[4]. Это новая подсистема и она не поддерживает всех возможностей, доступных в KAME версии IPsec. Для включения IPsec с аппаратной поддержкой необходимо добавить в файл настройки ядра следующий параметр: +Эта часть руководства содержит инструкции по настройке Kerberos с использованием дистрибутива Heimdal, включённого в FreeBSD. -[source,shell] -.... -options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) -.... +Для демонстрации установки Kerberos пространства имен будут следующими: -Обратите внимание, что на данный момент невозможно использовать подсистему "Fast IPsec" вместе с KAME реализацией IPsec. Обратитесь к странице справочника man:fast_ipsec[4] за дальнейшей информацией. -==== +* Доменная зона DNS будет `example.org`. +* Realm Kerberos будет `EXAMPLE.ORG`. [NOTE] ==== -Для того, чтобы применять к туннелям man:gif[4] межсетевые экраны, вам потребуется включить в ядро опцию `IPSEC_FILTERGIF`: - -[source,shell] -.... -options IPSEC_FILTERGIF #filter ipsec packets from a tunnel -.... - +Используйте настоящие доменные имена при настройке Kerberos, даже если он будет работать внутри сети. Это позволяет избежать проблем с DNS и обеспечивает взаимодействие с другими доменами Kerberos. ==== -IPsec состоит из двух подпротоколов: - -* _Encapsulated Security Payload (ESP)_, защищающей данные IP пакета от вмешательства третьей стороны путем шифрования содержимого с помощью симметричных криптографических алгоритмов (таких как Blowfish,3DES). -* _Authentication Header (AH)_, защищающий заголовок IP пакета от вмешательства третьей стороны и подделки путем вычисления криптографической контрольной суммы и хеширования полей заголовка IP пакета защищенной функцией хеширования. К пакету добавляется дополнительный заголовок с хэшем, позволяющий аутентификацию информации пакета. +=== Настройка Heimdal KDC -ESP и AH могут быть использованы вместе или по отдельности, в зависимости от обстоятельств. +Центр распределения ключей (Key Distribution Center — KDC) — это централизованная служба аутентификации, предоставляемая Kerberos, «доверенная третья сторона» системы. Это компьютер, который выдает билеты Kerberos, используемые клиентами для аутентификации на серверах. Поскольку KDC считается доверенным для всех остальных компьютеров в области Kerberos, к нему предъявляются повышенные требования безопасности. Прямой доступ к KDC должен быть ограничен. -IPsec может быть использован или для непосредственного шифрования трафика между двумя хостами (_транспортный режим_); или для построения "виртуальных туннелей" между двумя подсетями, которые могут быть использованы для защиты соединений между двумя корпоративными сетями (_туннельный режим_). Последний обычно называют _виртуальной частной сетью_ (Virtual Private Network, VPN). За детальной информацией о подсистеме IPsec в FreeBSD обратитесь к странице справочника man:ipsec[4]. +При работе KDC требуется мало вычислительных ресурсов, однако по соображениям безопасности рекомендуется выделить отдельный компьютер, который будет использоваться исключительно в качестве KDC. -Для включения поддержки IPsec в ядре, добавьте следующие параметры к файлу настройки ядра: +Для начала установите пакет package:security/heimdal[] следующим образом: -[source,shell] +[source, shell] .... -options IPSEC #IP security -options IPSEC_ESP #IP security (crypto; define w/ IPSEC) +# pkg install heimdal .... -Если желательна поддержка отладки IPsec, должна быть также добавлена следующая строка: +Далее обновите [.filename]#/etc/rc.conf# с помощью `sysrc` следующим образом: -[source,shell] +[source, shell] .... -options IPSEC_DEBUG debug for IP security +# sysrc kdc_enable=yes +# sysrc kadmind_enable=yes .... -=== Проблема - -Не существует стандарта VPN. Они могут быть реализованы множеством различных технологий, каждая из которых имеет свои сильные и слабые стороны. Этот раздел представляет сценарий и стратегию реализации VPN для этого сценария. - -=== Сценарий: Две сети, подключенных к интернет, работающие как одна - -Исходные условия таковы: - -* Существует как минимум две сети -* Внутри обеих сетей используется IP -* Обе сети соединены через интернет через шлюз, работающий на FreeBSD. -* У шлюза каждой из сетей есть как минимум один публичный IP адрес. -* Внутренние IP адреса двух сетей могут быть публичными или приватными, не имеет значения. На шлюзе может работать NAT, если это необходимо. -* Внутренние IP адреса двух сетей _не должны пересекаться_. Хотя вероятно теоретически возможно использование комбинации VPN технологии и NAT для настройки такой конфигурации, эта конфигурация будет кошмарна. - -Если две сети, которые вы пытаетесь соединить, используют один и тот же диапазон приватных адресов (например, обе используют `192.168.1.x`), номера в одной из сетей необходимо изменить. - -Топология сети может выглядеть примерно так: - -image::ipsec-network.png[] - -Заметьте, что здесь присутствуют два публичных IP-адреса. В дальнейшем для их обозначения будут использоваться буквы. Если вы увидите эти буквы, замените их на свои публичные IP адреса. Также обратите внимание, что у обеих шлюзов внутренний адрес заканчивается на .1 и диапазоны приватных адресов двух сетей различны (`192.168.1.x` и `192.168.2.x` соответственно). Все компьютеры локальных сетей настроены на использование в качестве шлюза по умолчанию компьютера с адресом, оканчивающимся на `.1`. - -С сетевой точки зрения замысел в том, чтобы каждая сеть видела компьютеры из другой сети так, как если бы они были непосредственно подключены к тому же самому маршрутизатору - хотя и немного медленному маршрутизатору, иногда теряющему пакеты. - -Это означает, что (например) компьютер `192.168.1.20` может запустить +Далее отредактируйте файл [.filename]#/etc/krb5.conf# следующим образом: [.programlisting] .... -ping 192.168.2.34 +[libdefaults] + default_realm = EXAMPLE.ORG +[realms] + EXAMPLE.ORG = { + kdc = kerberos.example.org + admin_server = kerberos.example.org + } +[domain_realm] + .example.org = EXAMPLE.ORG .... -и это будет прозрачно работать. Компьютеры с Windows(R) должны видеть компьютеры в другой сети, просматривать сетевые ресурсы, и так далее, точно так же, как и для компьютеров в локальной сети. - -И все это безопасным способом. Это означает, что трафик между сетями зашифрован. - -Создание VPN между этими двумя сетями это многошаговый процесс. Этапы создания VPN таковы: - -. Создание "виртуального" сетевого подключения между двумя сетями через интернет. Тестирование подключения с помощью таких инструментов как man:ping[8], чтобы убедиться, что оно работает. -. Применение политики безопасности чтобы убедиться, что трафик между двумя сетями прозрачно шифруется и расшифровывается если необходимо. Тестирование с помощью таких инструментов как man:tcpdump[1], чтобы убедиться, что трафик шифруется. -. Настройка дополнительных программ на шлюзах FreeBSD, чтобы компьютеры Windows(R) из одной сети видели компьютеры в другой через VPN. - -==== Шаг 1: Создание и тестирование "виртуального" сетевого подключения - -Предположим, что вы работаете на шлюзе сети #1 (с публичным адресом `A.B.C.D`, приватным адресом `192.168.1.1`) и запускаете `ping 192.168.2.1`, т.е. на приватный адрес машины с IP адресом `W.X.Y.Z`. Что должно произойти, чтобы это сработало? - -. Шлюз должен знать, как достичь `192.168.2.1`. Другими словами, у него должен быть маршрут к `192.168.2.1`. -. Приватные IP адреса, такие как диапазон `192.168.x` не адресуются в интернет. Каждый пакет, отправляемый на `192.168.2.1` должен быть "завернут" в другой пакет. Исходным адресом пакета должен быть `A.B.C.D`, а адресом назначения `W.X.Y.Z`. Этот процесс называется _инкапсуляцией_. -. Как только этот пакет достигнет `W.X.Y.Z`, необходимо будет "декапсулировать" его и доставить к `192.168.2.1`. - -Как вы можете увидеть, это требует "туннеля" между двумя сетями. Два конца "туннеля" это IP адреса `A.B.C.D` и `W.X.Y.Z`. Туннель используется для передачи трафика с приватными IP адресами через интернет. +В этом примере KDC будет использовать полное доменное имя `kerberos.example.org`. Имя хоста KDC должно разрешаться в DNS. -В FreeBSD этот туннель создается с помощью устройства generic interface, или [.filename]#gif#. Как вы можете догадаться, интерфейс [.filename]#gif# на каждом хосте должен быть настроен с четырьмя IP адресами; два для публичных IP адресов и два для приватных IP адресов. - -В ядро обеих компьютеров FreeBSD должна быть встроена поддержка устройства gif. Вы можете сделать это, добавив строку: +Kerberos также может использовать DNS для поиска KDC вместо раздела `[realms]` в [.filename]#/etc/krb5.conf#. Для крупных организаций, имеющих собственные DNS-серверы, приведённый выше пример можно сократить до: [.programlisting] .... -device gif +[libdefaults] + default_realm = EXAMPLE.ORG +[domain_realm] + .example.org = EXAMPLE.ORG .... -к файлу настройки ядра на обеих компьютерах, с последующей компиляцией, установкой и перезагрузкой. - -Настройка туннеля это двухшаговый процесс. Во-первых, необходимо задать сведения о внешнем (или публичном) IP адресе с помощью man:ifconfig[8]. Затем о приватном IP адресе, также с помощью man:ifconfig[8]. - -На шлюзе сети #1 для настройки туннеля вам потребуется запустить следующие две команды. +Со следующими строками, включёнными в файл зоны `example.org`: [.programlisting] .... -ifconfig gif0 A.B.C.D W.X.Y.Z -ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff +_kerberos._udp IN SRV 01 00 88 kerberos.example.org. +_kerberos._tcp IN SRV 01 00 88 kerberos.example.org. +_kpasswd._udp IN SRV 01 00 464 kerberos.example.org. +_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. +_kerberos IN TXT EXAMPLE.ORG .... -На другом шлюзе подобные команды, но с IP адресами в обратном порядке. +[NOTE] +==== +Чтобы клиенты могли найти службы Kerberos, они _должны_ иметь либо полностью настроенный файл [.filename]#/etc/krb5.conf#, либо минимально настроенный [.filename]#/etc/krb5.conf# _и_ правильно настроенный DNS-сервер. +==== -[.programlisting] +Далее создайте базу данных Kerberos, которая содержит ключи всех принципалов (пользователей и хостов), зашифрованные мастер-паролем. Нет необходимости запоминать этот пароль, так как он будет храниться в [.filename]#/var/heimdal/m-key#; разумно использовать для этого случайный пароль длиной 45 символов. Чтобы создать мастер-ключ, выполните `kstash` и введите пароль: + +[source, shell] .... -ifconfig gif0 W.X.Y.Z A.B.C.D -ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff +# kstash .... -Затем вы можете запустить: +Вывод должен быть похож на следующий: [.programlisting] .... -ifconfig gif0 +Master key: xxxxxxxxxxxxxxxxxxxxxxx +Verifying password - Master key: xxxxxxxxxxxxxxxxxxxxxxx .... -для просмотра настройки. Например, на шлюзе сети #1 вы увидите: +После создания мастер-ключа следует инициализировать базу данных. Утилита администрирования Kerberos man:kadmin[8] может быть использована на KDC в режиме, который работает напрямую с базой данных, без использования сетевого сервиса man:kadmind[8], как `kadmin -l`. Это решает проблему курицы и яйца, когда попытка подключения к базе данных происходит до её создания. В командной строке `kadmin` используйте `init` для создания начальной базы данных realm: -[source,shell] +[source, shell] .... -# ifconfig gif0 -gif0: flags=8011<UP,POINTTOPOINT,MULTICAST> mtu 1280 -inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffffff -physical address inet A.B.C.D --> W.X.Y.Z +# kadmin -l +kadmin> init EXAMPLE.ORG +Realm max ticket life [unlimited]: .... -Как вы можете видеть, был создан туннель между физическими адресами `A.B.C.D` и `W.X.Y.Z`, для туннелирования разрешен трафик между `192.168.1.1` и `192.168.2.1`. - -Это также добавляет запись к таблице маршрутизации на обеих машинах, вы можете проверить запись командой `netstat -rn`. Вот вывод этой команды на шлюзе сети #1. +Наконец, оставаясь в `kadmin`, создайте первый принципал с помощью команды `add`. Пока придерживайтесь стандартных настроек для принципала, так как их можно изменить позже с помощью команды `modify`. Введите `?` в командной строке, чтобы увидеть доступные опции. -[source,shell] +[source, shell] .... -# netstat -rn -Routing tables - -Internet: -Destination Gateway Flags Refs Use Netif Expire -... -192.168.2.1 192.168.1.1 UH 0 0 gif0 -... +kadmin> add tillman .... -Как показывает значение поля "Flags", это маршрут к хосту, что означает, что каждый шлюз знает, как достичь другого шлюза, но не знает как достичь остальной части соответствующей сети. Эта проблема будет быстро решена. - -Вероятно, на обеих машинах запущен брандмауэр. VPN должен обходить его. Вы можете разрешить весь трафик между двумя сетями, или включить правила, защищающие каждый конец соединения от другого. - -Это сильно упрощает тестирование настройки брандмауэра, если вы разрешаете весь трафик через VPN. Вы всегда можете усилить защиту позже. Если вы используете на шлюзах man:ipfw[8], команда вроде этой +Вывод должен быть похож на следующий: [.programlisting] .... -ipfw add 1 allow ip from any to any via gif0 +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Principal expiration time [never]: +Password expiration time [never]: +Attributes []: +Password: xxxxxxxx +Verifying password - Password: xxxxxxxx .... -разрешит весь трафик между двумя концами VPN без влияния на другие правила брандмауэра. Очевидно, вам потребуется запустить эту команду на обеих шлюзах. - -Этого достаточно для включения ping с одного шлюза на другой. На `192.168.1.1`, вы сможете запустить +Далее запустите службы KDC, выполнив: -[.programlisting] +[source, shell] .... -ping 192.168.2.1 +# service kdc start +# service kadmind start .... -и получить ответ, и аналогично на другом шлюзе. +Хотя на этом этапе не будет запущено никаких сервисов с поддержкой Kerberos, можно убедиться, что KDC функционирует, получив билет для только что созданного принципала: -Однако, машины в другой сети пока недоступны. Это из-за маршрутизации - хотя шлюзы знают, как связаться друг с другом, они не знают, как связаться с сетью за другим шлюзом. +[source, shell] +.... +% kinit tillman +.... -Для решения этой проблемы вы должны добавить статический маршрут на каждом шлюзе. Команда на первом шлюзе будет выглядеть так: +Вывод должен быть похож на следующий: [.programlisting] .... -route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 +tillman@EXAMPLE.ORG's Password: .... -Она говорит "Для достижения хостов в сети `192.168.2.0`, отправляйте пакеты хосту `192.168.2.1`". Вам потребуется запустить похожую команду на другом шлюзе, но с адресами `192.168.1.x`. +Подтвердите успешное получение билета с помощью `klist`: -IP трафик с хостов в одной сети теперь может достичь хосты в другой сети. +[source, shell] +.... +% klist +.... -Теперь создано две трети VPN между двумя сетями, поскольку это "виртуальная (virtual)""сеть (network)". Она еще не приватная (private). Вы можете протестировать ее с помощью man:ping[8] и man:tcpdump[1]. Войдите на шлюз и запустите +Вывод должен быть похож на следующий: [.programlisting] .... -tcpdump dst host 192.168.2.1 +Credentials cache: FILE:/tmp/krb5cc_1001 + Principal: tillman@EXAMPLE.ORG + + Issued Expires Principal +Aug 27 15:37:58 2013 Aug 28 01:37:58 2013 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG .... -В другой сессии на этом же хосте запустите +Временный билет можно уничтожить после завершения теста: -[.programlisting] +[source, shell] .... -ping 192.168.2.1 +% kdestroy .... -Вы увидите примерно такие строки: +=== Настройка сервера для использования Kerberos -[.programlisting] -.... +Первым шагом в настройке сервера для использования аутентификации Kerberos является проверка правильности конфигурации в файле [.filename]#/etc/krb5.conf#. Версию с KDC можно использовать как есть или пересоздать на новой системе. -16:10:24.018080 192.168.1.1 > 192.168.2.1: icmp: echo request -16:10:24.018109 192.168.1.1 > 192.168.2.1: icmp: echo reply -16:10:25.018814 192.168.1.1 > 192.168.2.1: icmp: echo request -16:10:25.018847 192.168.1.1 > 192.168.2.1: icmp: echo reply -16:10:26.028896 192.168.1.1 > 192.168.2.1: icmp: echo request -16:10:26.029112 192.168.1.1 > 192.168.2.1: icmp: echo reply -.... +Затем создайте файл [.filename]#/etc/krb5.keytab# на сервере. Это основная часть процесса "керберизации" службы — она соответствует созданию общего секрета между службой и KDC. Секрет представляет собой криптографический ключ, хранящийся в "keytab". Keytab содержит хост-ключ сервера, который позволяет ему и KDC проверять подлинность друг друга. Этот файл должен быть передан на сервер безопасным способом, так как если ключ станет общедоступным, безопасность сервера может быть нарушена. Обычно [.filename]#keytab# генерируется на доверенной машине администратора с помощью `kadmin`, а затем безопасно передается на сервер, например, с помощью man:scp[1]; его также можно создать непосредственно на сервере, если это соответствует выбранной политике безопасности. Очень важно, чтобы keytab был передан на сервер безопасным способом: если ключ станет известен третьей стороне, эта сторона сможет выдавать себя за любого пользователя на сервере! Использование `kadmin` непосредственно на сервере удобно, так как запись для хостового принципала в базе данных KDC также создается с помощью `kadmin`. -Как вы видите, ICMP сообщения пересылаются вперед и назад незашифрованными. Если вы использовали с man:tcpdump[1] параметр `-s` для получения большего объема данных пакета, то увидите больше информации. +Конечно, `kadmin` — это керберизованный сервис; для аутентификации в сетевой службе необходим билет Kerberos, но чтобы убедиться, что пользователь, запускающий `kadmin`, действительно присутствует (и его сеанс не был захвачен), `kadmin` запросит пароль для получения нового билета. Учётная запись, аутентифицирующаяся в службе kadmin, должна иметь разрешение на использование интерфейса `kadmin`, как указано в [.filename]#/var/heimdal/kadmind.acl#. Подробнее о создании списков контроля доступа см. в разделе «Удалённое администрирование» в `info heimdal`. Вместо включения удалённого доступа к `kadmin` администратор может безопасно подключиться к KDC через локальную консоль или man:ssh[1] и выполнять администрирование локально с помощью `kadmin -l`. -Конечно же это неприемлемо. В следующем разделе мы обсудим защиту соединения между двумя сетями, так что весь трафик будет автоматически шифроваться. +После установки [.filename]#/etc/krb5.conf# используйте `add --random-key` в `kadmin`. Это добавит главный серверный принципал в базу данных, но не извлечет копию ключа главного принципала в keytab. Чтобы сгенерировать keytab, используйте `ext` для извлечения ключа главного серверного принципала в его собственный keytab: -.Резюме: -* Настройте оба ядра с "device gif". -* Отредактируйте [.filename]#/etc/rc.conf# на шлюзе #1 и добавьте следующие строки (подставляя IP адреса где необходимо). -+ -[.programlisting] +[source, shell] .... -gifconfig_gif0="A.B.C.D W.X.Y.Z" -ifconfig_gif0="inet 192.168.1.1 192.168.2.1 netmask 0xffffffff" -static_routes="vpn" -route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00" +# kadmin .... -* Отредактируйте скрипт брандмауэра ([.filename]#/etc/rc.firewall#, или подобный) на обеих хостах и добавьте -+ +Вывод должен быть похож на следующий: + [.programlisting] .... -ipfw add 1 allow ip from any to any via gif0 +kadmin> add --random-key host/myserver.example.org +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Principal expiration time [never]: +Password expiration time [never]: +Attributes []: +kadmin> ext_keytab host/myserver.example.org +kadmin> exit .... -* Выполните соответствующие изменения в [.filename]#/etc/rc.conf# на шлюзе #2, меняя порядок IP адресов. - -==== Шаг 2: Защита соединения +Обратите внимание, что `ext_keytab` по умолчанию сохраняет извлечённый ключ в [.filename]#/etc/krb5.keytab#. Это удобно при выполнении на сервере, который керберизируется, но следует использовать аргумент `--keytab _путь/к/файлу_`, когда извлечение keytab происходит на другом устройстве: -Для защиты соединения мы будем использовать IPsec. IPsec предоставляет хостам механизм определения ключа для шифрования и для последующего использования этого ключа для шифрования данных между двумя хостами. - -Здесь будут рассмотрены два аспекта настройки. - -. У хостов должен быть способ согласования используемого алгоритма шифрования. Как только хосты договорятся об этом, можно говорить об установленном между ними "безопасном соединении". -. Должен быть механизм определения, какой трафик необходимо шифровать. Конечно, вам не требуется шифровать весь исходящий трафик - достаточно шифровать только трафик, идущий через VPN. Правила, определяющие то, какой трафик необходимо шифровать, называются "политикой безопасности". +[source, shell] +.... +# kadmin +.... -Безопасное соединение и политика безопасности поддерживаются ядром, и могут быть изменены программами пользователя. Однако перед тем, как вы сможете сделать это, необходимо настроить поддержку протоколов IPsec и Encapsulated Security Payload (ESP) в ядре. Это делается добавлением в настройку ядра параметров: +Вывод должен быть похож на следующий: [.programlisting] .... -options IPSEC -options IPSEC_ESP +kadmin> ext_keytab --keytab=/tmp/example.keytab host/myserver.example.org +kadmin> exit .... -с последующим перекомпилированием, переустановкой и перезагрузкой. Как и прежде вам потребуется сделать это с ядрами на обеих шлюзах. +Затем файл keytab можно безопасно скопировать на сервер с помощью man:scp[1] или съемного носителя. Убедитесь, что указано нестандартное имя keytab, чтобы избежать добавления ненужных ключей в системный keytab. -При настройке параметров безопасности (security associations) у вас есть два варианта. Вы можете настроить их вручную для обеих хостов, задав алгоритм шифрования, ключи для шифрования и так далее, или использовать даемоны, реализующие Internet Key Exchange protocol (IKE), который сделает это за вас. +На этом этапе сервер может читать зашифрованные сообщения от KDC, используя свой общий ключ, хранящийся в [.filename]#krb5.keytab#. Теперь он готов к включению служб, использующих Kerberos. Одна из самых распространённых таких служб — man:sshd[8], которая поддерживает Kerberos через GSS-API. В файле [.filename]#/etc/ssh/sshd_config# добавьте строку: -Рекомендуется последнее. Помимо прочего, этот способ более прост. +[.programlisting] +.... +GSSAPIAuthentication yes +.... -Редактирование и отображение политики безопасности выполняется с помощью man:setkey[8]. По аналогии, `setkey` используется для настройки таблиц политики безопасности ядра так же, как man:route[8] используется для настройки таблиц маршрутизации ядра. `setkey` также может отображать текущие параметры безопасности, и продолжая аналогию дальше, это соответствует `netstat -r`. +После внесения этого изменения необходимо перезапустить `man:sshd[8]`, чтобы новая конфигурация вступила в силу: `service sshd restart`. -Существует множество даемонов для управления параметрами безопасности в FreeBSD. Здесь будет описано использование одного из них, racoon - он доступен в составе порта package:security/ipsec-tools[] в Коллекции Портов FreeBSD. +=== Настройка клиента для использования Kerberos -Даемон racoon должен работать на обеих шлюзах. На каждом из хостов он настраивается с IP адресом другого конца VPN, и секретным ключом (по вашему выбору, должен быть одним и тем же на обеих шлюзах). +Как и для сервера, клиенту требуется настройка в [.filename]#/etc/krb5.conf#. Скопируйте файл (безопасным способом) или введите его заново при необходимости. -Эти два даемона подключаются друг к другу, подтверждают, что они именно те, за кого себя выдают (используя секретный ключ, заданный вами). Затем даемоны генерируют новый секретный ключ и используют его для шифрования трафика через VPN. Они периодически изменяют этот ключ, так что даже если атакующий сломает один из ключей (что теоретически почти невозможно) это не даст ему слишком много - он сломал ключ, который два даемона уже сменили на другой. +Проверьте клиент, используя `kinit`, `klist` и `kdestroy` на клиенте, чтобы получить, отобразить, а затем удалить билет для существующего принципала. Приложения Kerberos также должны иметь возможность подключаться к серверам с поддержкой Kerberos. Если это не работает, но получение билета проходит успешно, проблема, скорее всего, на стороне сервера, а не клиента или KDC. В случае с kerberized man:ssh[1], GSS-API по умолчанию отключен, поэтому проверьте с помощью `ssh -o GSSAPIAuthentication=yes _имя_хоста_`. -Настройки racoon сохраняются в файле [.filename]#${PREFIX}/etc/racoon#. Этот файл не требует слишком больших изменений. Другим компонентом настройки racoon, который потребуется изменить, является "предварительный ключ". +При тестировании приложения с поддержкой Kerberos попробуйте использовать анализатор трафика, например `tcpdump`, чтобы убедиться, что конфиденциальная информация не передаётся в открытом виде. -В настройке по умолчанию racoon ищет его в файле [.filename]#${PREFIX}/etc/racoon/psk.txt#. Необходимо отметить, что предварительный ключ _не_ используется для шифрования трафика через VPN соединение это просто маркер, позволяющий управляющим ключами даемонам доверять друг другу. +Доступны различные клиентские приложения Kerberos. С появлением моста, позволяющего приложениям, использующим SASL для аутентификации, также применять механизмы GSS-API, широкий спектр клиентских приложений — от клиентов Jabber до клиентов IMAP — может использовать Kerberos для аутентификации. -[.filename]#psk.txt# содержит строку для каждого удаленного сервера, с которым происходит соединение. В этом примере два сервера, каждый файл [.filename]#psk.txt# будет содержать одну строку (каждый конец VPN общается только с другим концом. +Пользователи в пределах realm обычно имеют свой Kerberos-принципал, сопоставленный с локальной учетной записью. Иногда необходимо предоставить доступ к локальной учетной записи пользователю, у которого нет соответствующего Kerberos-принципала. Например, `tillman@EXAMPLE.ORG` может потребоваться доступ к локальной учетной записи `webdevelopers`. Другие принципалы также могут нуждаться в доступе к этой локальной учетной записи. -На шлюзе #1 эта строка будет выглядеть примерно так: +Файлы [.filename]#.k5login# и [.filename]#.k5users#, размещённые в домашнем каталоге пользователя, могут быть использованы для решения этой проблемы. Например, если следующий [.filename]#.k5login# поместить в домашний каталог пользователя `webdevelopers`, оба указанных принципала получат доступ к этой учётной записи без необходимости использования общего пароля: [.programlisting] .... -W.X.Y.Z secret +tillman@example.org +jdoe@example.org .... -То есть _публичный_ IP-адрес противоположной стороны, пробел и текстовая строка c секретной фразой. Конечно, вам не стоит использовать в качестве ключевой фразы слово "secret" -- здесь применяются обычные правила выбора паролей. +Обратитесь к man:ksu[1] для получения дополнительной информации о [.filename]#.k5users#. -На шлюзе #2 строка будет выглядеть примерно так: +=== Различия MIT -[.programlisting] -.... -A.B.C.D secret -.... +Основное различие между реализациями MIT и Heimdal заключается в том, что `kadmin` имеет разные, но эквивалентные наборы команд и использует разные протоколы. Если KDC — MIT, то версия `kadmin` от Heimdal не может использоваться для удалённого администрирования KDC, и наоборот. -То есть публичный IP адрес удаленной стороны и та же секретная фраза. Перед запуском racoon режим доступа к файлу [.filename]#psk.txt# должен быть установлен в `0600` (т.е. запись и чтение только для `root`). +Клиентские приложения также могут использовать немного другие параметры командной строки для выполнения тех же задач. Рекомендуется следовать инструкциям на сайте http://web.mit.edu/Kerberos/www/[http://web.mit.edu/Kerberos/www/]. Обратите внимание на пути: порт MIT по умолчанию устанавливается в [.filename]#/usr/local/#, а системные приложения FreeBSD будут запускаться вместо версий MIT, если `PATH` указывает на системные директории в первую очередь. -Вы должны запустить racoon на обоих шлюзах. Вам также потребуется добавить правила для включения IKE трафика, передающегося по UDP через порт ISAKMP (Internet Security Association Key Management Protocol). Опять же, они должны быть расположены насколько возможно ближе к началу набора правил. +При использовании MIT Kerberos в качестве KDC на FreeBSD выполните следующие команды, чтобы добавить необходимые конфигурации в [.filename]#/etc/rc.conf#: -[.programlisting] +[source, shell] .... -ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp -ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp +# sysrc kdc_program="/usr/local/sbin/krb5kdc" +# sysrc kadmind_program="/usr/local/sbin/kadmind" +# sysrc kdc_flags="" +# sysrc kdc_enable="YES" +# sysrc kadmind_enable="YES" .... -Как только racoon будет запущен, вы можете попробовать выполнить ping с одного шлюза на другой. Соединение все еще не зашифровано, но racoon установит параметры безопасности между двумя хостами - это может занять время и вы можете заметить небольшую задержку перед началом ответа команды ping. +=== Советы, хитрости и устранение неполадок Kerberos -Как только параметры безопасности установлены, вы можете просмотреть их используя man:setkey[8]. Запустите +При настройке и устранении неполадок Kerberos учитывайте следующие моменты: -[.programlisting] -.... -setkey -D -.... +* При использовании Heimdal или MITKerberos из портов убедитесь, что в `PATH` версии клиентских приложений из портов указаны перед системными версиями. +* Если временные настройки всех компьютеров в домене не синхронизированы, аутентификация может завершиться неудачей. crossref:network-servers[network-ntp,“Синхронизация часов с помощью NTP”] описывает, как синхронизировать часы с использованием NTP. +* Если имя хоста изменено, необходимо изменить принципал `host/` и обновить keytab. Это также относится к особым записям keytab, таким как принципал `HTTP/`, используемый для пакета Apache package:www/mod_auth_kerb[]. +* Все узлы в области должны разрешаться как в прямом, так и в обратном направлении через DNS или, как минимум, присутствовать в [.filename]#/etc/hosts#. CNAME-записи будут работать, но A- и PTR-записи должны быть корректными и присутствовать. Сообщение об ошибке для неразрешимых узлов неочевидно: `Kerberos5 refuses authentication because Read req failed: Key table entry not found`. +* Некоторые операционные системы, выступающие в роли клиентов KDC, не устанавливают для `ksu` права setuid `root`. Это означает, что `ksu` не работает. Это проблема прав доступа, а не ошибка KDC. +* С использованием MITKerberos, чтобы разрешить принципалу иметь билет сроком действия больше стандартных десяти часов, используйте `modify_principal` в командной строке man:kadmin[8], чтобы изменить `maxlife` как для нужного принципала, так и для принципала `krbtgt`. После этого принципал может использовать `kinit -l` для запроса билета с увеличенным сроком действия. +* При запуске сниффера пакетов на KDC для устранения неполадок во время выполнения `kinit` с рабочей станции, билет на получение билетов (TGT) отправляется немедленно, даже до ввода пароля. Это происходит потому, что сервер Kerberos свободно передаёт TGT на любой неавторизованный запрос. Однако каждый TGT зашифрован с использованием ключа, производного от пароля пользователя. Когда пользователь вводит свой пароль, он не отправляется на KDC, а вместо этого используется для расшифровки TGT, который `kinit` уже получил. Если процесс расшифровки приводит к действительному билету с корректной временной меткой, пользователь получает действительные учётные данные Kerberos. Эти учётные данные включают в себя сеансовый ключ для установления безопасного соединения с сервером Kerberos в будущем, а также сам TGT, зашифрованный собственным ключом сервера Kerberos. Этот второй уровень шифрования позволяет серверу Kerberos проверять подлинность каждого TGT. +* Принципалы хостов могут иметь более длительное время жизни билета. Если принципал пользователя имеет время жизни в неделю, а у хоста, к которому происходит подключение, время жизни составляет девять часов, кэш пользователя будет содержать просроченный принципал хоста, и кэш билетов не будет работать должным образом. +* При настройке файла [.filename]#krb5.dict# для запрета использования определённых слабых паролей, как описано в man:kadmind[8], помните, что он применяется только к принципалам, для которых назначена политика паролей. Формат файла [.filename]#krb5.dict# предполагает одну строку на каждую запись. Может быть полезно создать символическую ссылку на [.filename]#/usr/share/dict/words#. -на любом из хостов для просмотра информации о параметрах безопасности. +=== Смягчение ограничений Kerberos -Это одна сторона проблемы. Другая сторона это настройка политики безопасности. +Поскольку Kerberos — это подход «всё или ничего», каждая служба, включённая в сети, должна быть либо изменена для работы с Kerberos, либо защищена от сетевых атак другим способом. Это необходимо для предотвращения кражи и повторного использования учётных данных пользователей. Например, если Kerberos включён для всех удалённых оболочек, но не поддерживающий Kerberos POP3-сервер передаёт пароли в открытом виде. -Для создания разумной политики безопасности давайте вспомним, что уже было настроено. Это рассмотрение относится к обеим концам соединения. +KDC представляет собой единую точку отказа. По замыслу, KDC должен быть таким же защищенным, как и его главная база данных паролей. На KDC не должно быть запущено никаких других служб, и он должен быть физически защищен. Риск очень высок, поскольку Kerberos хранит все пароли, зашифрованные одним главным ключом, который хранится в виде файла на KDC. -Каждый отправляемый IP пакет имеет заголовок, содержащий информацию о пакете. Заголовок включает IP адреса источника и назначения. Как мы уже знаем, приватные IP адреса, такие как `192.168.x.y`, не могут появиться в интернет. Они должны быть сначала включены внутрь другого пакета. В этом пакете приватные IP адреса источника и назначения заменяются публичными IP адресами. +Скомпрометированный мастер-ключ не так страшен, как может показаться. Мастер-ключ используется только для шифрования базы данных Kerberos и в качестве затравки для генератора случайных чисел. Пока доступ к KDC защищен, злоумышленник не сможет сделать многое с мастер-ключом. -То есть исходящий пакет, который выглядит примерно так: +Если KDC недоступен, сетевые службы становятся непригодными к использованию, так как аутентификация не может быть выполнена. Это можно смягчить, используя один основной KDC и один или несколько подчинённых, а также тщательно реализовав вторичную или резервную аутентификацию с помощью PAM. -image::ipsec-out-pkt.png[] +Kerberos позволяет пользователям, хостам и службам аутентифицироваться между собой. Однако у него нет механизма для аутентификации KDC перед пользователями, хостами или службами. Это означает, что троянская версия `kinit` может записывать все имена пользователей и пароли. Инструменты проверки целостности файловой системы, такие как package:security/tripwire[], могут помочь смягчить эту проблему. -будет инкапсулирован в другой пакет, выглядящий примерно так: +=== Ресурсы и дополнительная информация -image::ipsec-encap-pkt.png[] +* http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html[Часто задаваемые вопросы Kerberos] +* http://web.mit.edu/Kerberos/www/dialogue.html[Проектирование системы аутентификации: диалог в четырех сценах] +* https://www.ietf.org/rfc/rfc4120.txt[RFC 4120, The Kerberos Network Authentication Service (V5)] +* http://web.mit.edu/Kerberos/www/[Домашняя страница MIT Kerberos] +* https://github.com/heimdal/heimdal/wiki[Wiki страница проекта Heimdal Kerberos] -Этой инкапсуляцией занимается устройство [.filename]#gif#. Как вы можете видеть, теперь у пакета есть реальный IP адрес, исходный пакет был включен в этот пакет в виде данных, которые передаются через интернет. +[[tcpwrappers]] +== TCP Wrappers -Конечно, мы хотим зашифровать весь трафик между VPN. Вы можете сформулировать это на словах так: +TCP Wrappers — это система контроля сетевого доступа на основе хоста. Перехватывая входящие сетевые запросы до их поступления к реальному сетевому сервису, TCP Wrappers определяет, разрешен или запрещен доступ для исходного IP-адреса, на основе предопределенных правил в конфигурационных файлах. -"Если пакет отправляется с `A.B.C.D`, и предназначен для `W.X.Y.Z`, расшифровать его, используя необходимые параметры безопасности." +Однако, хотя TCP Wrappers обеспечивают базовый контроль доступа, их не следует рассматривать как замену более надежным мерам безопасности. Для всесторонней защиты рекомендуется использовать передовые технологии, такие как межсетевые экраны, вместе с надлежащими методами аутентификации пользователей и системами обнаружения вторжений. -"Если пакет отправляется с `W.X.Y.Z`, и предназначен для `A.B.C.D`, расшифровать его, используя необходимые параметры безопасности." +[[tcpwrappers-initial-configuration]] +=== Начальная настройка -Это похоже на желаемое, но не совсем то. Если вы сделаете это, весь трафик от и к `W.X.Y.Z`, даже если он не является частью VPN, будет зашифрован. Правильная политика такова: +TCP Wrappers включены по умолчанию в man:inetd[8]. Первым шагом будет включение man:inetd[8] выполнением следующих команд: -"Если пакет отправляется с `A.B.C.D`, в нем инкапсулирован другой пакет и адрес назначения `W.X.Y.Z`, зашифровать его, используя необходимые параметры безопасности." +[source, shell] +.... +# sysrc inetd_enable="YES" +# service inetd start +.... + +Затем правильно настройте [.filename]#/etc/hosts.allow#. -"Если пакет отправляется с `W.X.Y.Z`, в нем инкапсулирован другой пакет и адрес назначения `A.B.C.D`, зашифровать его, используя необходимые параметры безопасности." +[WARNING] +==== +В отличие от других реализаций TCP Wrappers, использование [.filename]#hosts.deny# в FreeBSD считается устаревшим. Все параметры конфигурации должны размещаться в [.filename]#/etc/hosts.allow#. +==== -Тонкое, но необходимое различие. +В простейшей конфигурации политики подключения к демонам устанавливаются на разрешение или блокировку в зависимости от параметров в [.filename]#/etc/hosts.allow#. Конфигурация по умолчанию в FreeBSD разрешает все подключения к демонам, запущенным через inetd. -Политика безопасности также устанавливается с использованием man:setkey[8]. В man:setkey[8] предусмотрен язык определения политики man:setkey[8]. Вы можете или ввести инструкции по настройке со стандартного ввода, или использовать параметр `-f` для задания файла, содержащего эти инструкции. +Базовая конфигурация обычно имеет вид `daemon : address : action`, где `daemon` — это демон, запущенный inetd, `address` — допустимое имя хоста, IP-адрес или адрес IPv6, заключённый в квадратные скобки ([ ]), а `action` — либо `allow`, либо `deny`. TCP Wrappers использует семантику первого совпадения, то есть файл конфигурации сканируется с начала до первого совпадающего правила. При обнаружении совпадения правило применяется, и процесс поиска прекращается. -Настройка на шлюзе #1 (где есть публичный IP адрес `A.B.C.D`) для включения шифрования всего предназначенного `W.X.Y.Z` трафика: +Например, чтобы разрешить соединения POP3 через демон package:mail/qpopper[], в файл [.filename]#/etc/hosts.allow# следует добавить следующие строки: [.programlisting] .... - -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; +# This line is required for POP3 connections: +qpopper : ALL : allow .... -Поместите эти команды в файл (например, [.filename]#/etc/ipsec.conf#) и запустите +Всякий раз, когда редактируется этот файл, перезапустите inetd: -[source,shell] +[source, shell] .... -# setkey -f /etc/ipsec.conf +# service inetd restart .... -`spdadd` указывает man:setkey[8] добавить правило к базе данных политики безопасности. Остальная часть строки указывает какие пакеты будут соответствовать политике. `A.B.C.D/32` и `W.X.Y.Z/32` это IP адреса и сетевые маски, определяющие сети или хосты, к которым будет применяться данная политика. В данном случае мы хотим применить их к трафику между этими двумя хостами. Параметр `ipencap` сообщает ядру, что эта политика должна применяться только к пакетам, инкапсулирующим другие пакеты. Параметр `-P out` сообщает, что эта политика применяется к исходящим пакетам, и `ipsec` - то, что пакеты будут зашифрованы. +[[tcpwrappers-advanced-config]] +=== Расширенная Настройка -Оставшаяся часть строки определяет, как эти пакеты будут зашифрованы. Будет использоваться протокол `esp`, а параметр `tunnel` показывает, что пакет в дальнейшем будет инкапсулирован в IPsec пакет. Повторное использование `A.B.C.D` и `W.X.Y.Z` предназначено для выбора используемых параметров безопасности, и наконец параметр `require` разрешает шифрование пакетов, попадающих под это правило. +TCP Wrappers предоставляет расширенные возможности для более тонкого управления обработкой соединений. В некоторых случаях может быть уместно отправить сообщение определённым хостам или демонам при подключении. В других ситуациях может потребоваться сделать запись в журнал или отправить письмо администратору. Также бывают случаи, когда сервис должен быть доступен только для локальных соединений. Всё это возможно благодаря использованию параметров конфигурации, известных как шаблоны (wildcards), символы подстановки и выполнение внешних команд. Для получения дополнительной информации о шаблонах и связанной с ними функциональности обратитесь к man:hosts_access[5]. -Это правило соответствует только исходящим пакетам. Вам потребуется похожее правило, соответствующее входящим пакетам. +[[fs-acl]] +== Списки контроля доступа -[.programlisting] -.... -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; -.... +Списки контроля доступа (Access Control Lists — ACL) расширяют традиционные права доступа UNIX(R), позволяя детально управлять доступом пользователей и групп к отдельным файлам или каталогам. Каждая запись ACL определяет пользователя или группу и связанные с ними права, такие как чтение, запись и выполнение. FreeBSD предоставляет команды, такие как man:getfacl[1] и man:setfacl[1], для управления ACL. -Обратите внимание, что вместо `in` используется `out` и IP адреса переставлены. +ACL полезны в сценариях, требующих более детального контроля доступа, чем стандартные разрешения, обычно используемые в многопользовательских средах или на shared-хостингах. Однако сложность может быть неизбежной, но требуется тщательное планирование, чтобы обеспечить желаемые свойства безопасности -Другому шлюзу (с публичным IP адресом `W.X.Y.Z`) потребуются похожие правила. +[NOTE] +==== +FreeBSD поддерживает реализацию NFSv4 ACL как в UFS, так и в OpenZFS. Обратите внимание, что некоторые аргументы команды man:setfacl[1] работают только с POSIX ACL, а другие — с NFSv4 ACL. +==== -[.programlisting] -.... -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; -.... +[[acl-enabling-support-ufs]] +=== Включение поддержки ACL в UFS -Наконец, вам потребуется добавить правила к брандмауэру для включения прохождения пакетов ESP и IPENCAP в обе стороны. На обеих хостах потребуется добавить следующие правила: +ACL включаются с помощью административного флага при монтировании `acls`, который может быть добавлен в [.filename]#/etc/fstab#. + +Следовательно, необходимо получить доступ к [.filename]#/etc/fstab# и в разделе опций добавить флаг `acls` следующим образом: [.programlisting] .... -ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z -ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D -ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z -ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D +# Device Mountpoint FStype Options Dump Pass# +/dev/ada0s1a / ufs rw,acls 1 1 .... -Поскольку правила симметричны, можно использовать их без изменения на обеих хостах - -Исходящие пакеты теперь будут выглядеть примерно так: - -image::ipsec-crypt-pkt.png[] +[[security-acl-info]] +=== Получение информации об ACL -Когда эти пакеты будут получены на удаленном конце VPN соединения, они будут расшифрованы (используя параметры безопасности, о которых договорился racoon). Затем они будут переданы интерфейсу [.filename]#gif#, который "развернет" второй слой, оставив пакет с внутренними адресами, который сможет попасть во внутреннюю сеть. +Можно проверить ACL файла или каталога с помощью man:getfacl[1]. -Вы можете проверить безопасность тем же man:ping[8], который использовался ранее. Сначала войдите на шлюз `A.B.C.D` и запустите: +Например, чтобы просмотреть настройки ACL для файла [.filename]#~/test#, выполните следующую команду: -[.programlisting] +[source, shell] .... -tcpdump dst host 192.168.2.1 +% getfacl test .... -В другой сессии на том же хосте запустите +Вывод должен быть похож на следующий в случае использования NFSv4 ACL: [.programlisting] .... -ping 192.168.2.1 +# file: test +# owner: freebsduser +# group: freebsduser + owner@:rw-p--aARWcCos:-------:allow + group@:r-----a-R-c--s:-------:allow + everyone@:r-----a-R-c--s:-------:allow .... -В этот момент вы должны увидеть примерно это: +И вывод должен быть похож на следующий в случае использования POSIX.1e ACL: [.programlisting] .... -XXX tcpdump output +# file: test +# owner: freebsduser +# group: freebsduser +user::rw- +group::r-- +other::r-- .... -Теперь, как видите, man:tcpdump[1] показывает ESP пакеты. Если вы попытаетесь просмотреть их с параметром `-s`, то вероятно увидите нечто непонятное, поскольку применяется шифрование. +[[security-working-acls]] +=== Работа с ACL -Поздравляем. Вы только что настроили VPN между двумя удаленными сетями. +`man:setfacl[1]` можно использовать для добавления, изменения или удаления ACL из файла или каталога. -.Резюме -* Настройте оба ядра с: -+ -[.programlisting] +Как упоминалось выше, некоторые аргументы man:setfacl[1] не работают с ACL NFSv4, и наоборот. В этом разделе описывается, как выполнять команды для POSIX ACL и для ACL NFSv4, а также приводятся примеры для обоих типов. + +Например, чтобы установить обязательные элементы ACL по умолчанию POSIX.1e: + +[source, shell] .... -options IPSEC -options IPSEC_ESP +% setfacl -d -m u::rwx,g::rx,o::rx,mask::rwx directory .... -* Установите package:security/ipsec-tools[]. Отредактируйте [.filename]#${PREFIX}/etc/racoon/psk.txt# на обеих шлюзах, добавив запись для каждого IP адреса удаленного хоста и секретный ключ, который будет известен им обеим. Убедитесь, что режим доступа к файлу 0600. -* Добавьте к [.filename]#/etc/rc.conf# на каждом хосте следующие строки: -+ -[.programlisting] +Этот другой пример устанавливает права на чтение, запись и выполнение для записи POSIX.1e ACL владельца файла, а также права на чтение и запись для группы mail в файле: + +[source, shell] .... -ipsec_enable="YES" -ipsec_file="/etc/ipsec.conf" +% setfacl -m u::rwx,g:mail:rw file .... -* Создайте [.filename]#/etc/ipsec.conf# на каждом хосте с необходимыми строками spdadd. На шлюзе #1 он будет таким: -+ -[.programlisting] -.... +Чтобы сделать то же самое, что и в предыдущем примере, но с использованием ACL NFSv4: -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec - esp/tunnel/A.B.C.D-W.X.Y.Z/require; -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec - esp/tunnel/W.X.Y.Z-A.B.C.D/require; +[source, shell] .... - -+ -А на шлюзе #2 таким: -+ -[.programlisting] +% setfacl -m owner@:rwxp::allow,g:mail:rwp::allow file .... -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec - esp/tunnel/W.X.Y.Z-A.B.C.D/require; -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec - esp/tunnel/A.B.C.D-W.X.Y.Z/require; -.... +Чтобы удалить все записи ACL, кроме трех обязательных, из файла в POSIX.1e ACL: -* Добавьте правила к брандмауэрам обеих хостов для включения IKE, ESP и IPENCAP трафика: -+ -[.programlisting] +[source, shell] +.... +% setfacl -bn file .... -ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp -ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp -ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z -ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D -ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z -ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D +Чтобы удалить все записи ACL в NFSv4 ACL: + +[source, shell] +.... +% setfacl -b file .... -Двух приведенных шагов должно быть достаточно для настройки и включения VPN. Машины в каждой сети смогут обращаться друг к другу по IP адресам, и весь трафик через соединение будет автоматически надежно зашифрован. +Обратитесь к man:getfacl[1] и man:setfacl[1] для получения дополнительной информации о доступных опциях этих команд. -[[openssh]] -== OpenSSH +[[capsicum]] +== Capsicum -OpenSSH это набор сетевых инструментов, используемых для защищенного доступа к удаленным компьютерам. Он может быть использован в качестве непосредственной замены `rlogin`, `rsh`, `rcp` и `telnet`. Кроме того, через SSH могут быть безопасно туннелированы и/или перенаправлены произвольные TCP/IP соединения. OpenSSH шифрует весь трафик, эффективно предотвращая кражу данных, перехват соединения и другие сетевые атаки. +Capsicum — это легковесная платформа возможностей ОС и песочницы, реализующая гибридную модель системы возможностей. Возможности (capabilities) являются не подделываемыми токенами авторизации, которые могут быть делегированы и должны быть предъявлены для выполнения действия. Capsicum преобразует файловые дескрипторы в возможности. -OpenSSH поддерживается проектом OpenBSD, он основан на SSH v1.2.12 со всеми последними исправлениями и обновлениями, совместим с протоколами SSH версий 1 и 2. +Capsicum можно использовать для разделения приложений и библиотек на изолированные компоненты (песочницы), что позволяет реализовать политики безопасности и снизить последствия уязвимостей в программном обеспечении. -=== Преимущества использования OpenSSH +[[security-accounting]] +== Учет процессов -Обычно при использовании man:telnet[1] или man:rlogin[1] данные пересылаются по сети в незашифрованной форме. Перехватчик пакетов в любой точке сети между клиентом и сервером может похитить информацию о пользователе/пароле или данные, передаваемые через соединение. Для предотвращения этого OpenSSH предлагает различные методы шифрования. +Учёт процессов — это метод безопасности, при помощи которого администратор может отслеживать использование системных ресурсов и их распределение между пользователями, обеспечивать мониторинг системы и минимально фиксировать выполняемые пользователями команды. -=== Включение sshd +Учет процессов имеет как положительные, так и отрицательные стороны. Один из плюсов заключается в том, что вторжение может быть локализовано до точки входа. Минус — это объем журналов, генерируемых учетом процессов, и дисковое пространство, которое они могут занять. В этом разделе рассматриваются основы учета процессов для администратора. -В FreeBSD даемон sshd должен быть разрешен в процессе инсталляции. За запуск ответственна следующая строка в файле [.filename]#rc.conf#: +[NOTE] +==== +Если требуется более детальный учёт, обратитесь к crossref:audit[audit,Аудит событий безопасности]. +==== -[source,shell] -.... -sshd_enable="YES" -.... +=== Включение и использование учёта процессов -При следующей загрузке системы будет запущен man:sshd[8], даемон для OpenSSH. Вы можете также воспользоваться скриптом [.filename]#/etc/rc.d/sshd# системы man:rc[8] для запуска OpenSSH: +Прежде чем использовать учёт процессов, его необходимо включить с помощью следующих команд: -[.programlisting] +[source, shell] .... -/etc/rc.d/sshd start +# sysrc accounting_enable=yes +# service accounting start .... -=== SSH клиент +Информация учёта хранится в файлах, расположенных в [.filename]#/var/account#, который автоматически создаётся при необходимости при первом запуске службы учёта. Эти файлы содержат конфиденциальную информацию, включая все команды, выполненные всеми пользователями. Право записи в файлы ограничено для `root`, а право чтения — для `root` и членов группы `wheel`. Чтобы также запретить членам `wheel` читать эти файлы, измените режим доступа к каталогу [.filename]#/var/account#, разрешив доступ только для `root`. + +После включения учёт начнёт собирать информацию, такую как статистика использования CPU и выполненные команды. Все журналы учёта хранятся в нечитаемом формате, который можно просмотреть с помощью man:sa[8]. Если команда запущена без параметров, man:sa[8] выводит информацию о количестве вызовов для каждого пользователя, общем затраченном времени в минутах, общем времени CPU и пользователя в минутах, а также среднем количестве операций ввода-вывода. Полный список доступных параметров, управляющих выводом, смотрите в man:sa[8]. -Утилита man:ssh[1] работает подобно man:rlogin[1]. +Для отображения команд, выполненных пользователями, используйте `lastcomm`. -[source,shell] +Например, эта команда выводит все случаи использования `ls` пользователем `trhodes` на терминале `ttyp1`: + +[source, shell] .... -# ssh user@example.com -Host key not found from the list of known hosts. -Are you sure you want to continue connecting (yes/no)? yes -Host 'example.com' added to the list of known hosts. -user@example.com's password: ******* +# lastcomm ls trhodes ttyp1 .... -Вход продолжится так же, как если бы сессия была инициирована с использованием `rlogin` или `telnet`. SSH использует систему опознавательных ключей для проверки подлинности сервера при подключении клиента. Пользователю предлагается `yes` только при первом подключении. Дальнейшие попытки входа предваряются проверкой сохраненного ключа сервера. SSH клиент сообщит вам, если сохраненный ключ будет отличаться от только что полученного. Ключи серверов сохраняются в [.filename]#~/.ssh/known_hosts#, или в [.filename]#~/.ssh/known_hosts2# для SSH v2. +Существует множество других полезных опций, которые описаны в man:lastcomm[1], man:acct[5] и man:sa[8]. -По умолчанию современные серверы OpenSSH настроены на приём только соединений SSH v2. Клиент будет использовать версию 2 там, где это возможно, а затем версию 1. Также, клиент можно заставить использовать конкретную версию при помощи опций `-1` и `-2` для указания соответствующей версии протокола. Версия 1 поддерживается ради совместимости со старыми серверами. +[[security-resourcelimits]] +== Ограничения ресурсов -=== Безопасное копирование +В FreeBSD ограничения ресурсов относятся к механизмам, которые контролируют и управляют выделением различных системных ресурсов процессам и пользователям. Эти ограничения предназначены для предотвращения ситуации, когда один процесс или пользователь потребляет чрезмерное количество ресурсов, что может привести к снижению производительности или нестабильности системы. Ограничения ресурсов помогают обеспечить справедливое распределение ресурсов между всеми активными процессами и пользователями в системе. -Команда man:scp[1] работает подобно man:rcp[1]; она копирует файл с удаленного компьютера, но делает это безопасным способом. +FreeBSD предоставляет несколько методов, позволяющих администратору ограничивать объем системных ресурсов, которые может использовать отдельный пользователь. -[source,shell] -.... -# scp user@example.com:/COPYRIGHT COPYRIGHT -user@example.com's password: ******* -COPYRIGHT 100% |*****************************| 4735 00:00 -# -.... +Традиционный метод определения классов входа в систему предполагает редактирование файла [.filename]#/etc/login.conf#. Хотя этот метод по-прежнему поддерживается, любые изменения требуют многоэтапного процесса: правки этого файла, пересборки базы данных ресурсов, внесения необходимых изменений в [.filename]#/etc/master.passwd# и пересборки базы данных паролей. Это может быть затратным по времени в зависимости от количества настраиваемых пользователей. -Поскольку в предыдущем примере ключ сервера уже был сохранен, в этом примере он проверяется при использовании man:scp[1]. +man:rctl[8] может использоваться для более детального управления ограничениями ресурсов. Эта команда поддерживает не только пользовательские ограничения, так как также может применяться для установки ограничений ресурсов на процессы и jail. -Параметры, передаваемые man:scp[1], похожи на параметры man:cp[1], с файлом или файлами в качестве первого аргумента и приемником копирования во втором. Поскольку файлы передаются по сети через SSH, один или более аргументов принимают форму `user@host:<path_to_remote_file>`. +Этот раздел демонстрирует оба метода управления ресурсами, начиная с традиционного метода. -=== Настройка +[[security-resource-limits-types]] +=== Типы ресурсов -Системные файлы настройки для даемона и клиента OpenSSH расположены в каталоге [.filename]#/etc/ssh#. +FreeBSD устанавливает ограничения для различных типов ресурсов, включая: -Файл [.filename]#ssh_config# используется для настройки клиента, а [.filename]#sshd_config# для даемона. +.Типы ресурсов +[options="header", cols="1,1"] +|=== +| Тип | Описание -Кроме того, параметры `sshd_program` (по умолчанию [.filename]#/usr/sbin/sshd#), и `sshd_flags`[.filename]#rc.conf# дают дополнительные возможности настройки. +| Время процессора +| Ограничивает количество процессорного времени, которое может использовать процесс -[[ssh-keygen]] -=== ssh-keygen +| Память +| Управляет количеством физической памяти, которое может использовать процесс -Вместо использования паролей, с помощью man:ssh-keygen[1] можно создать ключи DSA или RSA, которыми пользователи могут аутентифицироваться: +| Открытые файлы +| Ограничивает количество файлов, которые процесс может открыть одновременно -[source,shell] -.... -% ssh-keygen -t dsa -Generating public/private dsa key pair. -Enter file in which to save the key (/home/user/.ssh/id_dsa): -Created directory '/home/user/.ssh'. -Enter passphrase (empty for no passphrase): -Enter same passphrase again: -Your identification has been saved in /home/user/.ssh/id_dsa. -Your public key has been saved in /home/user/.ssh/id_dsa.pub. -The key fingerprint is: -bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com -.... +| Процессы +| Управляет количеством процессов, которые пользователь или процесс может создать -man:ssh-keygen[1] создаст пару публичного и приватного ключей, используемых для аутентификации. Приватный ключ сохраняется в [.filename]#~/.ssh/id_dsa# или [.filename]#~/.ssh/id_rsa#, а публичный в [.filename]#~/.ssh/id_dsa.pub# или [.filename]#~/.ssh/id_rsa.pub# (для ключей DSA и RSA соответственно). Для включения аутентификации по ключам публичный ключ должен быть помещен в файл [.filename]#~/.ssh/authorized_keys# на удаленном компьютере. +| Размер файла +| Ограничивает максимальный размер файлов, которые процесс может создать -Это позволяет соединяться с удаленным компьютером с помощью SSH-ключей вместо паролей. +| Дампы памяти +| Управляет возможностью процессов создавать файлы дампа памяти -Если при генерации ключей был использован пароль, каждый раз при использовании приватного ключа он будет запрашиваться у пользователя. Для того, чтобы избежать непрерывного набора кодовой фразы, можно использовать утилиту man:ssh-agent[1], как описано в разделе <<security-ssh-agent>> ниже. +| Сетевые ресурсы +| Ограничивает количество сетевых ресурсов (например, сокетов), которые может использовать процесс -[WARNING] -==== +|=== -Параметры и имена файлов могут различаться для разных версий OpenSSH, установленных в системе, для решения проблем обратитесь к странице справочника man:ssh-keygen[1]. -==== - -[[security-ssh-agent]] -=== Утилиты ssh-agent и ssh-add +Для полного списка типов см. man:login.conf[5] и man:rctl[8]. -Утилиты man:ssh-agent[1] и man:ssh-add[1] позволяют сохранять ключи SSH в памяти, чтобы не набирать кодовые фразы при каждом использовании ключа. +[[users-limiting]] +=== Настройка классов входа -Утилита man:ssh-agent[1] обеспечивает процесс аутентификации загруженными в нее секретными ключами; для этого утилита man:ssh-agent[1] должна запустить внешний процесс. В самом простом случае это может быть шелл-процесс; в чуть более продвинутом - оконный менеджер. +В традиционном методе классы входа и ограничения ресурсов, применяемые к классу входа, определяются в файле [.filename]#/etc/login.conf#. Каждой учётной записи пользователя может быть назначен класс входа, где `default` является классом входа по умолчанию. Каждый класс входа имеет набор связанных с ним возможностей входа. Возможность входа — это пара `_имя_=_значение_`, где _имя_ — это общеизвестный идентификатор, а _значение_ — произвольная строка, которая обрабатывается соответствующим образом в зависимости от _имени_. -Для использования man:ssh-agent[1] совместно с шеллом, man:ssh-agent[1] должен быть запущен с именем этого шелла в качестве аргумента. После этого в его память при помощи утилиты man:ssh-add[1] могут быть добавлены необходимые ключи; при этом будут запрошены соответствующие кодовые фразы. Добавленные ключи могут затем использоваться для man:ssh[1] на машины, на которых установлены соответствующие публичные ключи: +Первым шагом для настройки ограничения ресурсов будет открытие файла [.filename]#/etc/login.conf# с помощью следующей команды: -[source,shell] +[source, shell] .... -% ssh-agent csh -% ssh-add -Enter passphrase for /home/user/.ssh/id_dsa: -Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) -% +# ee /etc/login.conf .... -Для того чтобы использовать man:ssh-agent[1] в X11, вызов man:ssh-agent[1]должен быть помещен в файл [.filename]#~/.xinitrc#. Это обеспечит поддержкой man:ssh-agent[1] все программы, запущенные в X11. Файл [.filename]#~/.xinitrc# может выглядеть, например, так: +Затем найдите раздел для изменяемого класса пользователей. В этом примере предположим, что класс пользователей называется `limited`; создайте его, если он не существует. [.programlisting] .... -exec ssh-agent startxfce4 +limited:\ <.> + :maxproc=50:\ <.> + :tc=default: <.> .... -При этом будет запущен man:ssh-agent[1], который, в свою очередь, вызовет запуск XFCE, при каждом старте X11. После запуска X11, выполните команду man:ssh-add[1] для добавления ваших SSH-ключей. - -[[security-ssh-tunneling]] -=== Туннелирование SSH - -OpenSSH поддерживает возможность создания туннеля для пропуска соединения по другому протоколу через защищенную сессию. +<.> Имя класса пользователя. +<.> Устанавливает максимальное количество процессов (maxproc) равным 50 для пользователей в классе `limited`. +<.> Указывает, что этот класс пользователя наследует настройки по умолчанию из класса "default". -Следующая команда указывает man:ssh[1] создать туннель для telnet: +После изменения файла [.filename]#/etc/login.conf# выполните команду man:cap_mkdb[1] для создания базы данных, которую FreeBSD использует для применения этих настроек: -[source,shell] +[source, shell] .... -% ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com -% +# cap_mkdb /etc/login.conf .... -Команда `ssh` используется со следующими параметрами: - -`-2`:: -Указывает `ssh` использовать версию 2 протокола (не используйте этот параметр, если работаете со старыми SSH серверами). - -`-N`:: -Означает использование в не-командном режиме, только для туннелирования. Если этот параметр опущен, `ssh` запустит обычную сессию. - -`-f`:: -Указывает `ssh` запускаться в фоновом режиме. - -`-L`:: -Означает локальный туннель в стиле _localport:remotehost:remoteport_. - -`user@foo.example.com`:: -Удаленный сервер SSH. - -Туннель SSH создается путем создания прослушивающего сокета на определенном порту `localhost`. Затем все принятые на локальном хосту/порту соединения переправляются через SSH на определенный удаленный хост и порт. - -В этом примере, порт _5023_ на `localhost` перенаправляется на порт _23_ на `localhost` удаленного компьютера. Поскольку _23_ это порт telnet, будет создано защищенное соединение telnet через туннель SSH. +man:chpass[1] может быть использован для изменения класса пользователя на желаемый, выполнив следующую команду: -Этот метод можно использовать для любого числа небезопасных протоколов, таких как SMTP, POP3, FTP, и так далее. - -.Использование SSH для создания защищенного туннеля на SMTP -[example] -==== - -[source,shell] +[source, shell] .... -% ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com -user@mailserver.example.com's password: ***** -% telnet localhost 5025 -Trying 127.0.0.1... -Connected to localhost. -Escape character is '^]'. -220 mailserver.example.com ESMTP +# chpass username .... -Этот метод можно использовать вместе с man:ssh-keygen[1] и дополнительными пользовательскими учётными записями для создания более удобного автоматического SSH туннелирования. Ключи могут быть использованы вместо паролей, и туннели могут запускаться от отдельных пользователей. -==== - -==== Практические примеры SSH туннелирования -===== Защищенный доступ к серверу POP3 +Это откроет текстовый редактор, где нужно добавить новый класс `limited` следующим образом: -На работе находится SSH сервер, принимающий соединения снаружи. В этой же офисной сети находится почтовый сервер, поддерживающий протокол POP3. Сеть или сетевое соединение между вашим домом и офисом могут быть или не быть полностью доверяемыми. По этой причине вам потребуется проверять почту через защищенное соединение. Решение состоит в создании SSH соединения к офисному серверу SSH и туннелирование через него к почтовому серверу. - -[source,shell] +[.programlisting] .... -% ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com -user@ssh-server.example.com's password: ****** +#Changing user information for username. +Login: username +Password: $6$2H.419USdGaiJeqK$6kgcTnDadasdasd3YnlNZsOni5AMymibkAfRCPirc7ZFjjv +DVsKyXx26daabdfqSdasdsmL/ZMUpdHiO0 +Uid [#]: 1001 +Gid [# or name]: 1001 +Change [month day year]: +Expire [month day year]: +Class: limited +Home directory: /home/username +Shell: /bin/sh +Full Name: User & +Office Location: +Office Phone: +Home Phone: +Other information: .... -Когда туннель включен и работает, вы можете настроить почтовый клиент для отправки запросов POP3 на `localhost`, порт 2110. Соединение будет безопасно переправлено через туннель на `mail.example.com`. +Теперь пользователь, назначенный классу `limited`, будет иметь ограничение на максимальное количество процессов в 50. Помните, что это лишь один пример настройки ограничения ресурсов с помощью файла [.filename]#/etc/login.conf#. -===== Прохождение через Драконовский Брандмауэр +Имейте в виду, что после внесения изменений в файл [.filename]#/etc/login.conf# пользователю необходимо выйти из системы и снова войти, чтобы изменения вступили в силу. Кроме того, всегда соблюдайте осторожность при редактировании системных конфигурационных файлов, особенно при использовании привилегированного доступа. -Некоторые сетевые администраторы устанавливают на брандмауэрах драконовские правила, фильтруя не только входящие соединения, но и исходящие. Вам может быть разрешен доступ к удаленным компьютерам только по портам 22 и 80, для SSH и просмотра сайтов. +[[security-rctl]] +=== Включение и настройка ограничений ресурсов -Вам может потребоваться доступ к другому (возможно, не относящемуся к работе) сервису, такому как Ogg Vorbis для прослушивания музыки. Если этот сервер Ogg Vorbis выдает поток не с портов 22 или 80, вы не сможете получить к нему доступ. +Система man:rctl[8] предоставляет более детализированный способ установки и управления ограничениями ресурсов для отдельных процессов и пользователей. Она позволяет динамически назначать ограничения ресурсов конкретным процессам или пользователям, независимо от их класса. -Решение состоит в создании SSH соединения с компьютером вне брандмауэра и использование его для туннелирования сервера Ogg Vorbis. +Первым шагом для использования man:rctl[8] будет его включение путем добавления следующей строки в [.filename]#/boot/loader.conf# и перезагрузки системы: -[source,shell] +[.programlisting] .... -% ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org -user@unfirewalled-system.example.org's password: ******* +kern.racct.enable=1 .... -Клиентскую программу теперь можно настроить на `localhost` порт 8888, который будет перенаправлен на `music.example.com` порт 8000, успешно обойдя брандмауэр. - -=== Параметр ограничения пользователей `AllowUsers` - -Зачастую хорошие результаты даёт ограничение того, какие именно пользователи и откуда могут регистрироваться в системе. Задание параметра `AllowUsers` является хорошим способом добиться этого. К примеру, для разрешения регистрации только пользователю `root` с машины `192.168.1.32`, в файле [.filename]#/etc/ssh/sshd_config# нужно указать нечто вроде следующего: +Затем включите и запустите службу man:rctl[8], выполнив следующие команды: -[.programlisting] +[source, shell] .... -AllowUsers root@192.168.1.32 +# sysrc rctl_enable="YES" +# service rctl start .... -Для разрешения регистрации пользователя `admin` из любой точки, просто укажите имя пользователя: +Затем man:rctl[8] может быть использован для установки правил в системе. + +Синтаксис правил (man:rctl.conf[5]) определяется с использованием субъекта, идентификатора субъекта, ресурса и действия, как показано в следующем примере правила: [.programlisting] .... -AllowUsers admin +subject:subject-id:resource:action=amount/per .... -Несколько пользователей должны перечислять в одной строке, как здесь: +Например, чтобы ограничить пользователя не более чем 10 процессами, выполните следующую команду: -[.programlisting] +[source, shell] .... -AllowUsers root@192.168.1.32 admin +# rctl -a user:username:maxproc:deny=10/user .... -[NOTE] -==== -Важно, чтобы бы перечислили всех пользователей, которые должны регистрироваться на этой машине; в противном случае они будут заблокированы. -==== - -После внесения изменений в [.filename]#/etc/ssh/sshd_config# вы должны указать man:sshd[8] на повторную загрузку конфигурационных файлов, выполнив следующую команду: +Для проверки установленных ограничений ресурсов можно выполнить команду man:rctl[8]: -[source,shell] +[source, shell] .... -# /etc/rc.d/sshd reload +# rctl .... -=== Дополнительная литература - -http://www.openssh.com/[OpenSSH] - -man:ssh[1] man:scp[1] man:ssh-keygen[1] man:ssh-agent[1] man:ssh-add[1] man:ssh_config[5] +Вывод должен быть похож на следующий: -man:sshd[8] man:sftp-server[8] man:sshd_config[5] - -[[fs-acl]] -== Списки контроля доступа файловой системы (ACL) - -В дополнение к другим расширениям файловой системы, таким как снимки (snapshots), FreeBSD 5.0 и более поздние версии системы предлагают защиту с помощью списков контроля доступа файловой системы (File System Access Control Lists, ACLs). - -Списки контроля доступа расширяют стандартную модель прав UNIX(R) высоко совместимым (POSIX(R).1e) способом. Эта возможность позволяет администратору получить преимущество от использования более интеллектуальной модели безопасности. +[.programlisting] +.... +user:username:maxproc:deny=10 +.... -Для включения поддержки ACL в файловой системе UFS, следующая строка: +Правила сохранятся после перезагрузки, если они добавлены в [.filename]#/etc/rctl.conf#. Формат записи — это правило без указания команды в начале. Например, предыдущее правило можно добавить так: [.programlisting] .... -options UFS_ACL +user:username:maxproc:deny=10 .... -должна быть добавлена в файл настройки ядра. Если параметр не добавлен, при попытке монтирования систем, поддерживающих ACL, появится предупреждающее сообщение. Этот параметр включен в ядро [.filename]#GENERIC#. ACL основывается на дополнительных атрибутах, встроенных в файловую систему. Дополнительные атрибуты поддерживаются по умолчанию следующим поколением файловых систем UNIX(R), UFS2. +[[security-pkg]] +== Мониторинг проблем безопасности приложений сторонних разработчиков -[NOTE] -==== -Для включения дополнительных атрибутов в UFS1 требуется больше усилий по сравнению с UFS2. Производительность дополнительных атрибутов в UFS2 также существенно выше. По этим причинам для работы с списками контроля доступа предпочтительно использование UFS2 -==== +В последние годы в сфере безопасности было внесено множество улучшений в методы оценки уязвимостей. Угроза взлома системы возрастает по мере установки и настройки сторонних утилит практически для любой доступной сегодня операционной системы. -ACL включаются во время монтирования флагом `acls`, который добавляется к [.filename]#/etc/fstab#. Этот флаг также можно сделать постоянным с помощью man:tunefs[8], изменив флаг ACL в заголовке файловой системы. Вообще говоря, использование флага в суперблоке предпочтительно по нескольким причинам: +Оценка уязвимостей является ключевым фактором в обеспечении безопасности. Хотя FreeBSD выпускает рекомендации для базовой системы, делать это для каждой сторонней утилиты выходит за рамки возможностей проекта FreeBSD. Существует способ снизить риски уязвимостей стороннего ПО и предупредить администраторов о известных проблемах безопасности. Дополнительная утилита FreeBSD, известная как `pkg`, включает возможности, предназначенные именно для этой цели. -* Постоянный ACL флаг не может быть изменен путем перемонтирования системы (man:mount[8] `-u`), а только через man:umount[8] и man:mount[8]. Это означает, что ACL нельзя включить на корневой файловой системе после загрузки. Это также означает, что вы не можете изменить флаг на используемой файловой системе. -* Установка флага в суперблоке приводит к постоянному монтированию файловой системы с включенным ACL, даже если нет записи в [.filename]#fstab# или при смене порядка устройств. Это предотвращает случайное монтирование файловой системы без ACL, которое может повлечь за собой проблемы с безопасностью. +pkg опрашивает базу данных на наличие уязвимостей безопасности. База данных обновляется и поддерживается командой FreeBSD Security Team и разработчиками портов. -[NOTE] -==== -Мы можем изменить поведение ACL для включения флага без полного перемонтирования, но считаем, что желательно исключить случайное монтирование без ACL, поскольку вы можете попасть в неприятную ситуацию, если включите ACL, затем выключите их, затем опять включите без сброса расширенных атрибутов. Обычно, как только вы включили ACL в файловой системе, они не должны быть выключены, поскольку получающаяся защита файлов может быть не совместима с той, что применяется пользователями системы, и повторное включение ACL может подключить предыдущие списки контроля доступа к файлам, права на которые изменены, что приведет к непредсказуемому поведению. -==== +Установка предоставляет файлы конфигурации man:periodic[8] для поддержания базы данных pkg audit и предлагает программный метод её обновления. -Файловые системы с включенными ACLs показывают знак `+` при просмотре прав на файлы. Например: +После установки, а также для проверки сторонних утилит из Коллекции портов в любое время, администратор может обновить базу данных и просмотреть известные уязвимости установленных пакетов, выполнив: -[.programlisting] +[source, shell] .... -drwx------ 2 robert robert 512 Dec 27 11:54 private -drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 -drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 -drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 -drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html +% pkg audit -F .... -Здесь мы видим, что каталоги [.filename]#directory1#, [.filename]#directory2#, и [.filename]#directory3# используют преимущества ACL. Каталог [.filename]#public_html# их не использует. +Вывод должен быть похож на следующий: -=== Использование ACL +[.programlisting] +.... +vulnxml file up-to-date +chromium-116.0.5845.96_1 is vulnerable: + chromium -- multiple vulnerabilities + CVE: CVE-2023-4431 + CVE: CVE-2023-4427 + CVE: CVE-2023-4428 + CVE: CVE-2023-4429 + CVE: CVE-2023-4430 + WWW: https://vuxml.FreeBSD.org/freebsd/5fa332b9-4269-11ee-8290-a8a1599412c6.html -ACL файловой системы можно просмотреть с помощью утилиты man:getfacl[1]. Например, для просмотра настроек ACL файла [.filename]#test#, может использоваться команда: +samba413-4.13.17_5 is vulnerable: + samba -- multiple vulnerabilities + CVE: CVE-2023-3347 + CVE: CVE-2023-34966 + CVE: CVE-2023-34968 + CVE: CVE-2022-2127 + CVE: CVE-2023-34967 + WWW: https://vuxml.FreeBSD.org/freebsd/441e1e1a-27a5-11ee-a156-080027f5fec9.html -[source,shell] -.... -% getfacl test - #file:test - #owner:1001 - #group:1001 - user::rw- - group::r-- - other::r-- +2 problem(s) in 2 installed package(s) found. .... -Для изменения ACL этого файла, вызовите утилиту man:setfacl[1]. Выполните: +Направив веб-браузер по указанному URL, администратор может получить дополнительную информацию об уязвимости. -[source,shell] -.... -% setfacl -k test -.... +Это будет включать затронутые версии, указанные по версии порта FreeBSD, а также другие веб-сайты, которые могут содержать рекомендации по безопасности. -Параметр `-k` удалит все установленные на данный момент ACL из файла или файловой системы. Более предпочтительный метод это использование параметра `-b`, который оставит необходимые для работы ACL поля. +[[security-advisories]] +== Рекомендации по безопасности FreeBSD -[source,shell] -.... -% setfacl -m u:trhodes:rwx,group:web:r--,o::--- test -.... +Как и многие разработчики качественных операционных систем, проект FreeBSD имеет команду безопасности, которая отвечает за определение даты окончания срока службы (EoL) для каждого выпуска FreeBSD и предоставляет обновления безопасности для поддерживаемых выпусков, которые ещё не достигли своего EoL. Дополнительная информация о команде безопасности FreeBSD и поддерживаемых выпусках доступна на странице link:https://www.FreeBSD.org/security[безопасности FreeBSD]. -В вышеприведенной команде параметр `-m` использован для изменения записей ACL по умолчанию. Поскольку предустановленных записей не было (они были удалены предыдущей командой), эта команда восстановит параметры по умолчанию и задаст приведенные параметры. Имейте ввиду, при добавлении пользователя или группы, которых нет в системе, на [.filename]#stdout# будет выведена ошибка `Invalid argument`. +Одна из задач команды безопасности — реагировать на сообщения об уязвимостях в операционной системе FreeBSD. После подтверждения уязвимости команда безопасности проверяет шаги, необходимые для её устранения, и обновляет исходный код с исправлением. Затем она публикует подробности в виде «Рекомендации по безопасности» (Security Advisory). Рекомендации по безопасности публикуются на сайте link:https://www.FreeBSD.org/security/advisories/[FreeBSD] и рассылаются в списки рассылки {freebsd-security-notifications}, {freebsd-security} и {freebsd-announce}. -[[security-portaudit]] -== Мониторинг вопросов безопасности в ПО сторонних разработчиков +=== Формат рекомендации по безопасности -В последние годы в области информационной безопасности произошло много улучшений, касающихся выработки оценки уязвимости. Угроза проникновения в систему увеличивается вместе с установкой и настройкой утилит сторонних разработчиков, какой бы современной операционной системы это ни касалось. +Вот пример рекомендации по безопасности FreeBSD: -Оценка уязвимости является ключевым фактором обеспечения защиты, и хотя для базового комплекта FreeBSD выпускаются бюллетени безопасности, но делать это для каждой сторонней утилиты выше возможностей участников Проекта FreeBSD. Существует способ смягчения уязвимостей программного обеспечения сторонних разработчиков и предупреждения администраторов об известных проблемах с безопасностью. Во FreeBSD существует утилита под названием Portaudit, которая служит исключительно этой цели. +[.programlisting] +.... +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 -Порт package:security/portaudit[] обращается к базе данных, обновляемой и поддерживаемой Группой информационной безопасности FreeBSD и разработчиками портов, для получения информации об известных проблемах с защитой. +============================================================================= +FreeBSD-SA-23:07.bhyve Security Advisory + The FreeBSD Project -Для того, чтобы приступить к использованию Portaudit, необходимо установить его из Коллекции Портов: +Topic: bhyve privileged guest escape via fwctl -[source,shell] -.... -# cd /usr/ports/security/portaudit && make install clean -.... +Category: core +Module: bhyve +Announced: 2023-08-01 +Credits: Omri Ben Bassat and Vladimir Eli Tokarev from Microsoft +Affects: FreeBSD 13.1 and 13.2 +Corrected: 2023-08-01 19:48:53 UTC (stable/13, 13.2-STABLE) + 2023-08-01 19:50:47 UTC (releng/13.2, 13.2-RELEASE-p2) + 2023-08-01 19:48:26 UTC (releng/13.1, 13.1-RELEASE-p9) +CVE Name: CVE-2023-3494 -В процессе установки будут обновлены конфигурационные файлы для man:periodic[8], в которые будет добавлена выдача Portaudit при ежедневном её запуске. Проверьте, что ежедневные сообщения электронной почты, касающиеся безопасности, которые посылаются на адрес `root`, прочитываются. Другой дополнительной настройки больше не понадобится. +For general information regarding FreeBSD Security Advisories, +including descriptions of the fields above, security branches, and the +following sections, please visit <URL:https://security.FreeBSD.org/>. -После установки администратор может обновить базу данных и посмотреть список известных уязвимостей в установленных пакетах при помощи команды +I. Background -[source,shell] -.... -# portaudit -Fda -.... +bhyve(8)'s fwctl interface provides a mechanism through which guest +firmware can query the hypervisor for information about the virtual +machine. The fwctl interface is available to guests when bhyve is run +with the "-l bootrom" option, used for example when booting guests in +UEFI mode. -[NOTE] -==== -База данных будет автоматически обновлена при запуске man:periodic[8]; таким образом, предыдущая команду можно полностью опустить. Она требуется только для следующих примеров. -==== +bhyve is currently only supported on the amd64 platform. -Для аудита утилит сторонних разработчиков, установленных как часть Коллекции Портов, администратору достаточно запускать только следующую команду: +II. Problem Description -[source,shell] -.... -# portaudit -a -.... +The fwctl driver implements a state machine which is executed when the +guest accesses certain x86 I/O ports. The interface lets the guest copy +a string into a buffer resident in the bhyve process' memory. A bug in +the state machine implementation can result in a buffer overflowing when +copying this string. -Утилита portaudit выдаст примерно следующее: +III. Impact -[.programlisting] -.... -Affected package: cups-base-1.1.22.0_1 -Type of problem: cups-base -- HPGL buffer overflow vulnerability. -Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html> +A malicious, privileged software running in a guest VM can exploit the +buffer overflow to achieve code execution on the host in the bhyve +userspace process, which typically runs as root. Note that bhyve runs +in a Capsicum sandbox, so malicious code is constrained by the +capabilities available to the bhyve process. -1 problem(s) in your installed packages found. +IV. Workaround -You are advised to update or deinstall the affected package(s) immediately. -.... +No workaround is available. bhyve guests that are executed without the +"-l bootrom" option are unaffected. -Перейдя в Web-браузере по показанному URL, администратор может получить более подробную информацию о показанной уязвимости. В неё войдёт перечисление версий, затронутых соответствующей версией порта FreeBSD, а также другие Web-сайты, которые могут содержать бюллетени безопасности. +V. Solution -Если описывать вкратце, то Portaudit является мощной и, при использовании вместе с портом Portupgrade, чрезвычайно полезной утилитой. +Upgrade your vulnerable system to a supported FreeBSD stable or +release / security branch (releng) dated after the correction date. -[[security-advisories]] -== Сообщения безопасности FreeBSD +Perform one of the following: -Как многие и высококачественные операционные системы, FreeBSD публикует "Сообщения безопасности" ("Security Advisories"). Эти сообщения обычно отправляются по почте в списки рассылки, посвященные безопасности и публикуются в списке проблем только после выхода исправлений к соответствующим релизам. В этом разделе разъясняется, что такое сообщения безопасности, как их читать и какие меры принимать для исправления системы. +1) To update your vulnerable system via a binary patch: -=== Как выглядит сообщение? +Systems running a RELEASE version of FreeBSD on the amd64, i386, or +(on FreeBSD 13 and later) arm64 platforms can be updated via the +freebsd-update(8) utility: -Сообщение безопасности FreeBSD выглядит подобно сообщению ниже, взятому из списка рассылки {freebsd-security-notifications}. +# freebsd-update fetch +# freebsd-update install -[.programlisting] -.... -============================================================================= -FreeBSD-SA-XX:XX.UTIL Security Advisory - The FreeBSD Project +Restart all affected virtual machines. -Topic: denial of service due to some problem<.> - -Category: core<.> -Module: sys<.> -Announced: 2003-09-23<.> -Credits: Person@EMAIL-ADDRESS<.> -Affects: All releases of FreeBSD<.> - FreeBSD 4-STABLE prior to the correction date -Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) - 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) - 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) - 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) - 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) - 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) - 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) - 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<.> -CVE Name: CVE-XXXX-XXXX<.> +2) To update your vulnerable system via a source code patch: -For general information regarding FreeBSD Security Advisories, -including descriptions of the fields above, security branches, and the -following sections, please visit -http://www.FreeBSD.org/security/. +The following patches have been verified to apply to the applicable +FreeBSD release branches. -I. Background<.> +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. -II. Problem Description<.> +[FreeBSD 13.2] +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch.asc +# gpg --verify bhyve.13.2.patch.asc -III. Impact<.> +[FreeBSD 13.1] +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch.asc +# gpg --verify bhyve.13.1.patch.asc -IV. Workaround<.> +b) Apply the patch. Execute the following commands as root: -V. Solution<.> +# cd /usr/src +# patch < /path/to/patch -VI. Correction details<.> +c) Recompile the operating system using buildworld and installworld as +described in <URL:https://www.FreeBSD.org/handbook/makeworld.html>. -VII. References<.> -.... +Restart all affected virtual machines. -<.> Поле `Topic` показывает в чем именно заключается проблема. Это обычно введение в сообщение безопасности, упоминающее утилиту, в которой возникла ошибка. -<.> Поле `Category` относится к затронутой части системы и может быть выбрана из `core`, `contrib`, или `ports`. Категория `core` означает, что уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория `contrib` означает, что уязвимость затрагивает программы, предоставленные проекту FreeBSD, например sendmail. Наконец, категория `ports` означает, что уязвимость затрагивает программное обеспечение, доступное из Коллекции Портов. -<.> Поле `Module` указывает на местоположение компонента, например `sys`. В этом примере мы видим, что затронут модуль `sys`, следовательно, эта уязвимость относится к компоненту, используемому в ядре. -<.> Поле `Announced` отражает дату публикации сообщения безопасности, или его анонсирования. Это означает, что команда обеспечения безопасности убедилась, что проблема существует и что патч помещён в хранилище исходных текстов FreeBSD. -<.> Поле `Credits` упоминает частное лицо или организацию, обнаружившую уязвимость и сообщившую о ней. -<.> Поле `Affects` дает информацию о релизах FreeBSD, к которым относится данная уязвимость. Для базовой системы, просмотр вывода команды `ident` для файлов, затронутых уязвимостью, поможет определить ревизию. Номер версии портов приведен после имени порта в каталоге [.filename]#/var/db/pkg#. Если система не синхронизируется с CVS-хранилищем FreeBSD и не пересобирается ежедневно, высок шанс, что она затронута уязвимостью. -<.> Поле `Corrected` показывает дату, время, смещение во времени и релиз, в котором исправлена ошибка. -<.> Зарезервировано для идентификации уязвимости в общей базе данных CVD (Common Vulnerabilities Database). -<.> Поле `Background` дает информацию именно о той утилите, для которой выпущено сообщение. Как правило информация о том, зачем утилита присутствует в FreeBSD, для чего она используется, и немного информации о том, как появилась эта утилита. -<.> Поле `Problem Description` дает более глубокие разъяснения возникшей проблемы. Оно может включать информацию об ошибочном коде, или даже о том, как утилита может быть использована для создания бреши в системе безопасности. -<.> Поле `Impact` описывает тип воздействия, который проблема может оказать на систему. Это может быть все, что угодно, от атаки на отказ в обслуживании до получения пользователями дополнительных привилегий, или даже получения атакующим прав суперпользователя. -<.> Поле `Workaround` предлагает тем, системным администраторам, которые не могут обновить систему, обходной путь решения проблемы. Он может пригодиться при недостатке времени, отсутствии подключения к сети или по массе других причин. В любом случае, к безопасности нельзя относиться несерьезно, и необходимо либо применить указанный обходной путь, либо исправить систему. -<.> Поле `Solution` предлагает инструкции по исправлению затронутой системы. Это пошаговое руководство, протестированный метод восстановления безопасности системы. -<.> Поле `Correction Details` показывает ветвь CVS (имя релиза с точками, замененными на символы подчеркивания). Здесь также показан номер ревизии каждого файла из каждой ветви. -<.> Поле `References` обычно упоминает другие источники информации. Это могут быть Web-страницы, книги, списки рассылки и группы новостей. +VI. Correction details -[[security-accounting]] -== Учёт используемых ресурсов +This issue is corrected by the corresponding Git commit hash or Subversion +revision number in the following stable and release branches: -Учёт используемых процессами ресурсов представляет собой метод защиты, при котором администратор может отслеживать использование системных ресурсов и их распределение между пользователями для нужд системного мониторинга и минимального отслеживания команд пользователей. +Branch/path Hash Revision +- ------------------------------------------------------------------------- +stable/13/ 9fe302d78109 stable/13-n255918 +releng/13.2/ 2bae613e0da3 releng/13.2-n254625 +releng/13.1/ 87702e38a4b4 releng/13.1-n250190 +- ------------------------------------------------------------------------- -На самом деле здесь есть свои положительный и отрицательные моменты. Положительной стороной является то, что проникновение может быть отслежено до первоначальной точки входа. Отрицательной стороной является объём протоколов, который генерируется при мониторинге, и соответствующие требования к дисковому пространству. В этом разделе администратору даются основы учёта ресурсов процессов. +Run the following command to see which files were modified by a +particular commit: -=== Активация и использование учёта ресурсов +# git show --stat <commit hash> -Прежде чем использовать систему учёта ресурсов, её необходимо активировать. Для этого выполните следующие команды: +Or visit the following URL, replacing NNNNNN with the hash: -[source,shell] -.... -# touch /var/account/acct +<URL:https://cgit.freebsd.org/src/commit/?id=NNNNNN> -# accton /var/account/acct +To determine the commit count in a working tree (for comparison against +nNNNNNN in the table above), run: -# echo 'accounting_enable="YES"' >> /etc/rc.conf -.... +# git rev-list --count --first-parent HEAD -После активации система учёта ресурсов начнёт отслеживать статистику CPU, команд и так далее. Все протоколы учёта ведутся в формате, недоступном для чтения человеком, и могут просматриваться при помощи утилиты man:sa[8]. Запущенная без параметров, `sa` выдаст информацию, относящуюся к количеству вызовов в расчёте на каждого пользователя, общее затраченное время в минутах, общее время CPU и пользователя в минутах, среднее количество операций ввода/вывода и так далее. +VII. References -Для просмотра информации о запущенных командах, необходимо воспользоваться утилитой man:lastcomm[1]. Команду `lastcomm` можно использовать, например, для выдачи списка директив, выданных пользователями определённого терминала man:ttys[5]: +<URL:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3494> -[source,shell] -.... -# lastcomm ls trhodes ttyp1 +The latest revision of this advisory is available at +<URL:https://security.FreeBSD.org/advisories/FreeBSD-SA-23:07.bhyve.asc> +-----BEGIN PGP SIGNATURE----- + +iQIzBAEBCgAdFiEEthUnfoEIffdcgYM7bljekB8AGu8FAmTJdsIACgkQbljekB8A +Gu8Q1Q/7BFw5Aa0cFxBzbdz+O5NAImj58MvKS6xw61bXcYr12jchyT6ENC7yiR+K +qCqbe5TssRbtZ1gg/94gSGEXccz5OcJGxW+qozhcdPUh2L2nzBPkMCrclrYJfTtM +cnmQKjg/wFZLUVr71GEM95ZFaktlZdXyXx9Z8eBzow5rXexpl1TTHQQ2kZZ41K4K +KFhup91dzGCIj02cqbl+1h5BrXJe3s/oNJt5JKIh/GBh5THQu9n6AywQYl18HtjV +fMb1qRTAS9WbiEP5QV2eEuOG86ucuhytqnEN5MnXJ2rLSjfb9izs9HzLo3ggy7yb +hN3tlbfIPjMEwYexieuoyP3rzKkLeYfLXqJU4zKCRnIbBIkMRy4mcFkfcYmI+MhF +NPh2R9kccemppKXeDhKJurH0vsetr8ti+AwOZ3pgO21+9w+mjE+EfaedIi+JWhip +hwqeFv03bAQHJdacNYGV47NsJ91CY4ZgWC3ZOzBZ2Y5SDtKFjyc0bf83WTfU9A/0 +drC0z3xaJribah9e6k5d7lmZ7L6aHCbQ70+aayuAEZQLr/N1doB0smNi0IHdrtY0 +JdIqmVX+d1ihVhJ05prC460AS/Kolqiaysun1igxR+ZnctE9Xdo1BlLEbYu2KjT4 +LpWvSuhRMSQaYkJU72SodQc0FM5mqqNN42Vx+X4EutOfvQuRGlI= +=MlAY +-----END PGP SIGNATURE----- .... -Эта команда выдаст все зафиксированные использования команды `ls` пользователем `trhodes` на терминале ttyp1. +Каждый бюллетень безопасности использует следующий формат: -Существует многие другие полезные параметры, которые описаны на соответствующих справочных страницах man:lastcomm[1], man:acct[5] и man:sa[8]. +* Каждое уведомление о безопасности подписано PGP-ключом офицера безопасности. Открытый ключ офицера безопасности можно проверить в crossref:pgpkeys[pgpkeys,OpenPGP Keys]. +* Название рекомендации по безопасности всегда начинается с `FreeBSD-SA-` (для FreeBSD Security Advisory), за которым следует год в двузначном формате (`23:`), затем номер рекомендации за этот год (`07.`), а затем название затронутого приложения или подсистемы (`bhyve`). +* Поле `Topic` содержит краткое описание уязвимости. +* `Category` относится к затронутой части системы, которая может быть одной из следующих: `core`, `contrib` или `ports`. Категория `core` означает, что уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория `contrib` означает, что уязвимость затрагивает программное обеспечение, включённое в состав FreeBSD, например BIND. Категория `ports` указывает, что уязвимость затрагивает программное обеспечение, доступное через Коллекцию портов. +* Поле `Module` указывает на расположение компонента. В данном примере затронут модуль `bhyve`; следовательно, эта уязвимость затрагивает приложение, установленное вместе с операционной системой. +* Поле `Announced` указывает дату публикации уведомления о безопасности. Это означает, что команда безопасности подтвердила наличие проблемы и что исправление было добавлено в репозиторий исходного кода FreeBSD. +* Поле `Credits` указывает на человека или организацию, которые обнаружили уязвимость и сообщили о ней. +* Поле `Affects` указывает, какие выпуски FreeBSD подвержены данной уязвимости. +* Поле `Corrected` указывает дату, время, смещение времени и версии, в которых была исправлена ошибка. Раздел в скобках показывает каждую ветку, в которую было внесено исправление, и номер версии соответствующего выпуска из этой ветки. Идентификатор выпуска включает номер версии и, если необходимо, уровень патча. Уровень патча обозначается буквой `p` с последующим числом, указывающим порядковый номер патча, что позволяет пользователям отслеживать, какие патчи уже были применены к системе. +* Поле `CVE Name` содержит номер рекомендации, если он существует, в публичной базе данных уязвимостей безопасности http://cve.mitre.org[cve.mitre.org]. +* Поле `Background` содержит описание затронутого модуля. +* Поле `Описание проблемы` поясняет уязвимость. Оно может содержать информацию о проблемном коде и о том, как утилита может быть использована злоумышленниками. +* Поле `Impact` описывает, какой тип воздействия проблема может оказать на систему. +* Поле `Workaround` указывает, доступно ли временное решение для системных администраторов, которые не могут немедленно установить исправление. +* Поле `Solution` содержит инструкции по исправлению уязвимости на затронутой системе. Это пошаговый проверенный метод, позволяющий обновить систему и обеспечить её безопасную работу. +* Поле `Correction Details` отображает каждую затронутую ветку Subversion или Git с номером ревизии, содержащей исправленный код. +* Поле `References` содержит источники дополнительной информации об уязвимости. diff --git a/documentation/content/ru/books/handbook/security/_index.po b/documentation/content/ru/books/handbook/security/_index.po new file mode 100644 index 0000000000..f84c8639c1 --- /dev/null +++ b/documentation/content/ru/books/handbook/security/_index.po @@ -0,0 +1,5993 @@ +# SOME DESCRIPTIVE TITLE +# Copyright (C) YEAR The FreeBSD Project +# This file is distributed under the same license as the FreeBSD Documentation package. +# Vladlen Popolitov <vladlenpopolitov@list.ru>, 2025. +msgid "" +msgstr "" +"Project-Id-Version: FreeBSD Documentation VERSION\n" +"POT-Creation-Date: 2025-10-20 11:02+0300\n" +"PO-Revision-Date: 2025-09-26 04:45+0000\n" +"Last-Translator: Vladlen Popolitov <vladlenpopolitov@list.ru>\n" +"Language-Team: Russian <https://translate-dev.freebsd.org/projects/" +"documentation/bookshandbooksecurity_index/ru/>\n" +"Language: ru\n" +"MIME-Version: 1.0\n" +"Content-Type: text/plain; charset=UTF-8\n" +"Content-Transfer-Encoding: 8bit\n" +"Plural-Forms: nplurals=3; plural=n%10==1 && n%100!=11 ? 0 : n%10>=2 && " +"n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2;\n" +"X-Generator: Weblate 4.17\n" + +#. type: Yaml Front Matter Hash Value: description +#: documentation/content/en/books/handbook/security/_index.adoc:1 +#, no-wrap +msgid "Hundreds of standard practices have been authored about how to secure systems and networks, and as a user of FreeBSD, understanding how to protect against attacks and intruders is a must" +msgstr "Описаны сотни стандартных практик о том, как защитить системы и сети, и для пользователя FreeBSD понимание того, как защититься от атак и злоумышленников, является обязательным" + +#. type: Yaml Front Matter Hash Value: part +#: documentation/content/en/books/handbook/security/_index.adoc:1 +#, no-wrap +msgid "Part III. System Administration" +msgstr "Часть III. Администрирование системы" + +#. type: Yaml Front Matter Hash Value: title +#: documentation/content/en/books/handbook/security/_index.adoc:1 +#, no-wrap +msgid "Chapter 16. Security" +msgstr "Глава 16. Безопасность" + +#. type: Title = +#: documentation/content/en/books/handbook/security/_index.adoc:15 +#, no-wrap +msgid "Security" +msgstr "Безопасность" + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:53 +#, no-wrap +msgid "Synopsis" +msgstr "Обзор" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:56 +msgid "" +"Hundreds of standard practices have been authored about how to secure " +"systems and networks, and as a user of FreeBSD, understanding how to protect " +"against attacks and intruders is a must." +msgstr "" +"Сотни стандартных практик написаны о том, как защитить системы и сети, и, " +"как пользователю FreeBSD, понимание того, как защититься от атак и " +"злоумышленников, является обязательным." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:59 +msgid "" +"In this chapter, several fundamentals and techniques will be discussed. The " +"FreeBSD system comes with multiple layers of security, and many more third " +"party utilities may be added to enhance security." +msgstr "" +"В этой главе будут рассмотрены несколько основополагающих принципов и " +"методов. Система FreeBSD включает в себя несколько уровней безопасности, а " +"также множество сторонних утилит, которые могут быть добавлены для её " +"усиления." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:61 +msgid "This chapter covers:" +msgstr "Эта глава охватывает:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:63 +msgid "Basic FreeBSD system security concepts." +msgstr "Основные концепции безопасности системы FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:64 +msgid "The various crypt mechanisms available in FreeBSD." +msgstr "Доступные в FreeBSD механизмы шифрования." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:65 +msgid "How to configure TCP Wrappers for use with man:inetd[8]." +msgstr "Как настроить TCP Wrappers для использования с man:inetd[8]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:66 +msgid "How to set up Kerberos on FreeBSD." +msgstr "Как настроить Kerberos на FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:67 +msgid "How to configure and use OpenSSH on FreeBSD." +msgstr "Как настроить и использовать OpenSSH на FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:68 +msgid "How to use OpenSSL on FreeBSD." +msgstr "Как использовать OpenSSL в FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:69 +msgid "How to use file system ACLs." +msgstr "Как использовать ACL файловых систем." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:70 +msgid "" +"How to use pkg to audit third party software packages installed from the " +"Ports Collection." +msgstr "" +"Как использовать pkg для аудита сторонних программных пакетов, установленных " +"из Коллекции портов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:71 +msgid "How to utilize FreeBSD security advisories." +msgstr "Как использовать рекомендации по безопасности FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:72 +msgid "What Process Accounting is and how to enable it on FreeBSD." +msgstr "Что такое учёт процессов и как его включить в FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:73 +msgid "" +"How to control user resources using login classes or the resource limits " +"database." +msgstr "" +"Как управлять ресурсами пользователей с помощью классов входа или базы " +"данных ограничений ресурсов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:74 +msgid "What is Capsicum and a basic example." +msgstr "Что такое Capsicum и базовый пример." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:76 +msgid "" +"Certain topics due to their complexity are found in dedicated chapters such " +"as crossref:firewalls[firewalls,Firewalls], crossref:mac[mac,Mandatory " +"Access Control] and articles like extref:{vpn-ipsec}[VPN over IPsec]." +msgstr "" +"Некоторые темы из-за их сложности рассматриваются в отдельных главах, таких " +"как crossref:firewalls[firewalls,Межсетевые экраны], " +"crossref:mac[mac,Принудительное управление доступом], и статьях, например " +"extref:{vpn-ipsec}[VPN через IPsec]." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:78 +#, no-wrap +msgid "Introduction" +msgstr "Введение" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:83 +msgid "" +"Security is everyone's responsibility. A weak entry point in any system " +"could allow intruders to gain access to critical information and cause havoc " +"on an entire network. One of the core principles of information security is " +"the CIA triad, which stands for the Confidentiality, Integrity, and " +"Availability of information systems." +msgstr "" +"Безопасность — это ответственность каждого. Слабое звено в любой системе " +"может позволить злоумышленникам получить доступ к важной информации и " +"нанести ущерб всей сети. Один из основных принципов информационной " +"безопасности — триада КИД, которая означает Конфиденциальность, Целостность " +"и Доступность информационных систем." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:86 +msgid "" +"The CIA triad is a bedrock concept of computer security as customers and " +"users expect their data to be protected. For example, a customer expects " +"that their credit card information is securely stored (confidentiality), " +"that their orders are not changed behind the scenes (integrity), and that " +"they have access to their order information at all times (availability)." +msgstr "" +"Триада КИД (конфиденциальность, целостность, доступность) — это " +"фундаментальная концепция безопасности в компьютерных системах, так как " +"клиенты и пользователи ожидают, что их данные будут защищены. Например, " +"клиент ожидает, что информация о его кредитной карте хранится безопасно " +"(конфиденциальность), что его заказы не будут изменены без его ведома " +"(целостность) и что он в любое время сможет получить доступ к информации о " +"своих заказах (доступность)." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:92 +msgid "" +"To provide CIA, security professionals apply a defense in depth strategy. " +"The idea of defense in depth is to add several layers of security to prevent " +"one single layer failing and the entire security system collapsing. For " +"example, a system administrator cannot simply turn on a firewall and " +"consider the network or system secure. One must also audit accounts, check " +"the integrity of binaries, and ensure malicious tools are not installed. To " +"implement an effective security strategy, one must understand threats and " +"how to defend against them." +msgstr "" +"Для обеспечения КИД специалисты по безопасности применяют стратегию " +"\"глубокой эшелонированной защиты\". Идея глубокой эшелонированной защиты " +"заключается в добавлении нескольких уровней безопасности, чтобы " +"предотвратить отказ одного уровня и полный крах всей системы безопасности. " +"Например, системный администратор не может просто включить межсетевой экран " +"и считать сеть или систему безопасными. Необходимо также проводить аудит " +"учетных записей, проверять целостность бинарных файлов и убеждаться, что " +"вредоносные инструменты не установлены. Для реализации эффективной стратегии " +"безопасности необходимо понимать угрозы и способы защиты от них." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:95 +msgid "" +"What is a threat as it pertains to computer security? Threats are not " +"limited to remote attackers who attempt to access a system without " +"permission from a remote location. Threats also include employees, " +"malicious software, unauthorized network devices, natural disasters, " +"security vulnerabilities, and even competing corporations." +msgstr "" +"Что такое угроза в контексте компьютерной безопасности? Угрозы не " +"ограничиваются удаленными злоумышленниками, которые пытаются получить доступ " +"к системе без разрешения из удаленного местоположения. Угрозы также включают " +"сотрудников, вредоносное программное обеспечение, несанкционированные " +"сетевые устройства, стихийные бедствия, уязвимости безопасности и даже " +"конкурирующие компании." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:99 +msgid "" +"Systems and networks can be accessed without permission, sometimes by " +"accident, or by remote attackers, and in some cases, via corporate espionage " +"or former employees. As a user, it is important to prepare for and admit " +"when a mistake has led to a security breach and report possible issues to " +"the security team. As an administrator, it is important to know of the " +"threats and be prepared to mitigate them." +msgstr "" +"Системы и сети могут быть доступны без разрешения, иногда случайно, или " +"удаленными злоумышленниками, а в некоторых случаях — посредством " +"корпоративного шпионажа или действий бывших сотрудников. Как пользователю, " +"важно быть готовым признать, когда ошибка привела к нарушению безопасности, " +"и сообщить о возможных проблемах команде безопасности. Как администратору, " +"важно знать об угрозах и быть готовым к их устранению." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:105 +msgid "" +"When applying security to systems, it is recommended to start by securing " +"the basic accounts and system configuration, and then to secure the network " +"layer so that it adheres to the system policy and the organization's " +"security procedures. Many organizations already have a security policy that " +"covers the configuration of technology devices. The policy should include " +"the security configuration of workstations, desktops, mobile devices, " +"phones, production servers, and development servers. In many cases, " +"standard operating procedures (SOPs) already exist. When in doubt, ask the " +"security team." +msgstr "" +"Применяя меры безопасности к системам, рекомендуется начать с защиты базовых " +"учетных записей и конфигурации системы, а затем обеспечить безопасность " +"сетевого уровня, чтобы он соответствовал политике системы и процедурам " +"безопасности организации. Многие организации уже имеют политику " +"безопасности, которая охватывает конфигурацию технологических устройств. Эта " +"политика должна включать настройки безопасности рабочих станций, настольных " +"компьютеров, мобильных устройств, телефонов, производственных серверов и " +"серверов разработки. Во многих случаях уже существуют стандартные " +"операционные процедуры (СОП). Если возникают сомнения, обратитесь к команде " +"безопасности." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:107 +#, no-wrap +msgid "Securing Accounts" +msgstr "Защита учетных записей" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:110 +msgid "" +"Maintaining secure accounts in FreeBSD is crucial for data confidentiality, " +"system integrity, and privilege separation, as it prevents unauthorized " +"access, malware, and data breaches while ensuring compliance and protecting " +"an organization's reputation." +msgstr "" +"Поддержание безопасных учетных записей в FreeBSD крайне важно для " +"конфиденциальности данных, целостности системы и разделения привилегий, так " +"как это предотвращает несанкционированный доступ, вредоносное ПО и утечки " +"данных, обеспечивая соответствие требованиям и защищая репутацию организации." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:112 +#, no-wrap +msgid "Preventing Logins" +msgstr "Предотвращение входов в систему" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:116 +msgid "" +"In securing a system, a good starting point is an audit of accounts. " +"Disable any accounts that do not need login access." +msgstr "" +"При обеспечении безопасности системы хорошей отправной точкой является аудит " +"учетных записей. Отключите все учетные записи, которым не требуется доступ " +"для входа." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:120 +msgid "" +"Ensure that `root` has a strong password and that this password is not " +"shared." +msgstr "" +"Убедитесь, что у пользователя `root` установлен надежный пароль и что этот " +"пароль не используется совместно." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:123 +msgid "To deny login access to accounts, two methods exist." +msgstr "Для запрета входа в учетные записи существуют два метода." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:125 +msgid "" +"The first is to lock the account, this example shows how to lock the `imani` " +"account:" +msgstr "" +"Первый способ — заблокировать учетную запись, в этом примере показано, как " +"заблокировать учетную запись `imani`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:129 +#, no-wrap +msgid "# pw lock imani\n" +msgstr "# pw lock imani\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:133 +msgid "" +"The second method is to prevent login access by changing the shell to " +"[.filename]#/usr/sbin/nologin#. The man:nologin[8] shell prevents the " +"system from assigning a shell to the user when they attempt to login." +msgstr "" +"Второй способ — запретить вход в систему, изменив оболочку на [.filename]#/" +"usr/sbin/nologin#. Оболочка man:nologin[8] предотвращает назначение оболочки " +"пользователю при попытке входа в систему." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:135 +msgid "Only the superuser can change the shell for other users:" +msgstr "" +"Только суперпользователь может изменить оболочку для других пользователей:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:139 +#, no-wrap +msgid "# chsh -s /usr/sbin/nologin imani\n" +msgstr "# chsh -s /usr/sbin/nologin imani\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:142 +#, no-wrap +msgid "Password Hashes" +msgstr "Хеши паролей" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:147 +msgid "" +"Passwords are a necessary evil of technology. When they must be used, they " +"should be complex and a powerful hash mechanism should be used to encrypt " +"the version that is stored in the password database. FreeBSD supports " +"several algorithms, including SHA256, SHA512 and Blowfish hash algorithms in " +"its `crypt()` library, see man:crypt[3] for details." +msgstr "" +"Пароли — это неизбежное зло в мире технологий. Когда их использование " +"необходимо, они должны быть сложными, а для хранения зашифрованной версии в " +"базе данных паролей следует использовать надежный механизм хеширования. " +"FreeBSD поддерживает несколько алгоритмов, включая SHA256, SHA512 и " +"Blowfish, в своей библиотеке `crypt()`. Подробности можно найти в " +"man:crypt[3]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:149 +msgid "" +"The default of SHA512 should not be changed to a less secure hashing " +"algorithm, but can be changed to the more secure Blowfish algorithm." +msgstr "" +"По умолчанию используется SHA512, и его не следует заменять на менее " +"безопасный алгоритм хеширования, но можно перейти на более безопасный " +"алгоритм Blowfish." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:154 +msgid "" +"Blowfish is not part of AES and is not considered compliant with any Federal " +"Information Processing Standards (FIPS). Its use may not be permitted in " +"some environments." +msgstr "" +"Blowfish не является частью AES и не соответствует Федеральным стандартам " +"обработки информации (FIPS). Его использование может быть запрещено в " +"некоторых средах." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:158 +msgid "" +"To determine which hash algorithm is used to encrypt a user's password, the " +"superuser can view the hash for the user in the FreeBSD password database. " +"Each hash starts with a symbol which indicates the type of hash mechanism " +"used to encrypt the password." +msgstr "" +"Для определения того, какой алгоритм хеширования используется для шифрования " +"пароля пользователя, суперпользователь может просмотреть хеш пользователя в " +"базе данных паролей FreeBSD. Каждый хеш начинается с символа, который " +"указывает на тип механизма хеширования, использованного для шифрования " +"пароля." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:165 +msgid "" +"If DES is used, there is no beginning symbol. For MD5, the symbol is `$`. " +"For SHA256 and SHA512, the symbol is `$6$`. For Blowfish, the symbol is " +"`$2a$`. In this example, the password for `imani` is hashed using the " +"default SHA512 algorithm as the hash starts with `$6$`. Note that the " +"encrypted hash, not the password itself, is stored in the password database:" +msgstr "" +"Если используется DES, начальный символ отсутствует. Для MD5 символ — `$`. " +"Для SHA256 и SHA512 символ — `$6$`. Для Blowfish символ — `$2a$`. В этом " +"примере пароль для `imani` хеширован с использованием алгоритма SHA512 по " +"умолчанию, так как хеш начинается с `$6$`. Обратите внимание, что в базе " +"данных паролей хранится зашифрованный хеш, а не сам пароль:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:169 +#, no-wrap +msgid "# grep imani /etc/master.passwd\n" +msgstr "# grep imani /etc/master.passwd\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:172 +#: documentation/content/en/books/handbook/security/_index.adoc:188 +#: documentation/content/en/books/handbook/security/_index.adoc:239 +#: documentation/content/en/books/handbook/security/_index.adoc:447 +#: documentation/content/en/books/handbook/security/_index.adoc:539 +#: documentation/content/en/books/handbook/security/_index.adoc:702 +#: documentation/content/en/books/handbook/security/_index.adoc:732 +#: documentation/content/en/books/handbook/security/_index.adoc:766 +#: documentation/content/en/books/handbook/security/_index.adoc:994 +#: documentation/content/en/books/handbook/security/_index.adoc:1036 +#: documentation/content/en/books/handbook/security/_index.adoc:1081 +#: documentation/content/en/books/handbook/security/_index.adoc:1101 +#: documentation/content/en/books/handbook/security/_index.adoc:1153 +#: documentation/content/en/books/handbook/security/_index.adoc:1279 +#: documentation/content/en/books/handbook/security/_index.adoc:1308 +#: documentation/content/en/books/handbook/security/_index.adoc:1336 +#: documentation/content/en/books/handbook/security/_index.adoc:1350 +#: documentation/content/en/books/handbook/security/_index.adoc:1395 +#: documentation/content/en/books/handbook/security/_index.adoc:1417 +#: documentation/content/en/books/handbook/security/_index.adoc:1932 +#: documentation/content/en/books/handbook/security/_index.adoc:1970 +msgid "The output should be similar to the following:" +msgstr "Вывод должен быть похож на следующий:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:176 +#, no-wrap +msgid "imani:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3IMiM7tUEUSPmGexxta.8Lt9TGSi2lNQqYGKszsBPuGME0:1001:1001::0:0:imani:/usr/home/imani:/bin/sh\n" +msgstr "imani:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3IMiM7tUEUSPmGexxta.8Lt9TGSi2lNQqYGKszsBPuGME0:1001:1001::0:0:imani:/usr/home/imani:/bin/sh\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:179 +msgid "The hash mechanism is set in the user's login class." +msgstr "Механизм хеширования задается в классе входа пользователя." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:181 +msgid "" +"The following command can be run to check which hash mechanism is currently " +"being used:" +msgstr "" +"Следующая команда позволяет проверить, какой механизм хеширования " +"используется в данный момент:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:185 +#, no-wrap +msgid "% grep passwd_format /etc/login.conf\n" +msgstr "% grep passwd_format /etc/login.conf\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:192 +#, no-wrap +msgid ":passwd_format=sha512:\\\n" +msgstr ":passwd_format=sha512:\\\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:195 +msgid "" +"For example, to change the algorithm to Blowfish, modify that line to look " +"like this:" +msgstr "" +"Например, чтобы изменить алгоритм на Blowfish, измените эту строку следующим " +"образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:199 +#, no-wrap +msgid ":passwd_format=blf:\\\n" +msgstr ":passwd_format=blf:\\\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:202 +msgid "" +"Then, man:cap_mkdb[1] must be executed to upgrade the login.conf database:" +msgstr "" +"Затем необходимо выполнить man:cap_mkdb[1] для обновления базы данных " +"login.conf:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:206 +#: documentation/content/en/books/handbook/security/_index.adoc:273 +#: documentation/content/en/books/handbook/security/_index.adoc:1850 +#, no-wrap +msgid "# cap_mkdb /etc/login.conf\n" +msgstr "# cap_mkdb /etc/login.conf\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:210 +msgid "" +"Note that this change will not affect any existing password hashes. This " +"means that all passwords should be re-hashed by asking users to run `passwd` " +"in order to change their password." +msgstr "" +"Обратите внимание, что это изменение не затронет существующие хэши паролей. " +"Это означает, что все пароли должны быть перехэшированы, для чего " +"пользователям необходимо запустить `passwd`, чтобы изменить свой пароль." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:212 +#, no-wrap +msgid "Password Policy Enforcement" +msgstr "Политика применения паролей" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:216 +msgid "" +"Enforcing a strong password policy for local accounts is a fundamental " +"aspect of system security. In FreeBSD, password length, password strength, " +"and password complexity can be implemented using built-in Pluggable " +"Authentication Modules (PAM)." +msgstr "" +"Обеспечение строгой политики паролей для локальных учетных записей является " +"основополагающим аспектом безопасности системы. В FreeBSD длина пароля, его " +"стойкость и сложность могут быть реализованы с использованием встроенных " +"подключаемых модулей аутентификации (Pluggable Authentication Modules - PAM)." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:219 +msgid "" +"This section demonstrates how to configure the minimum and maximum password " +"length and the enforcement of mixed characters using the man:pam_passwdqc[8] " +"module. This module is enforced when a user changes their password." +msgstr "" +"Этот раздел демонстрирует, как настроить минимальную и максимальную длину " +"пароля, а также принудительное использование смешанных символов с помощью " +"модуля man:pam_passwdqc[8]. Данный модуль применяется при изменении " +"пользователем своего пароля." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:221 +msgid "" +"To configure this module, become the superuser and uncomment the line " +"containing `pam_passwdqc.so` in [.filename]#/etc/pam.d/passwd#." +msgstr "" +"Для настройки этого модуля станьте суперпользователем и раскомментируйте " +"строку с `pam_passwdqc.so` в [.filename]#/etc/pam.d/passwd#." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:223 +msgid "Then, edit that line to match the password policy:" +msgstr "Затем отредактируйте эту строку в соответствии с политикой паролей:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:227 +#, no-wrap +msgid "password requisite pam_passwdqc.so min=disabled,disabled,disabled,12,10 similar=deny retry=3 enforce=users\n" +msgstr "password requisite pam_passwdqc.so min=disabled,disabled,disabled,12,10 similar=deny retry=3 enforce=users\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:230 +msgid "The explanation of the parameters can be found in man:pam_passwdqc[8]." +msgstr "Описание параметров можно найти в man:pam_passwdqc[8]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:232 +msgid "" +"Once this file is saved, a user changing their password will see a message " +"similar to the following:" +msgstr "" +"После сохранения этого файла пользователь, изменяющий свой пароль, увидит " +"сообщение, похожее на следующее:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:236 +#, no-wrap +msgid "% passwd\n" +msgstr "% passwd\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:244 +#, no-wrap +msgid "" +"Changing local password for user\n" +"Old Password:\n" +msgstr "" +"Changing local password for user\n" +"Old Password:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:255 +#, no-wrap +msgid "" +"You can now choose the new password.\n" +"A valid password should be a mix of upper and lower case letters,\n" +"digits and other characters. You can use a 12 character long\n" +"password with characters from at least 3 of these 4 classes, or\n" +"a 10 character long password containing characters from all the\n" +"classes. Characters that form a common pattern are discarded by\n" +"the check.\n" +"Alternatively, if no one else can see your terminal now, you can\n" +"pick this as your password: \"trait-useful&knob\".\n" +"Enter new password:\n" +msgstr "" +"You can now choose the new password.\n" +"A valid password should be a mix of upper and lower case letters,\n" +"digits and other characters. You can use a 12 character long\n" +"password with characters from at least 3 of these 4 classes, or\n" +"a 10 character long password containing characters from all the\n" +"classes. Characters that form a common pattern are discarded by\n" +"the check.\n" +"Alternatively, if no one else can see your terminal now, you can\n" +"pick this as your password: \"trait-useful&knob\".\n" +"Enter new password:\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:258 +msgid "" +"If a password that does not match the policy is entered, it will be rejected " +"with a warning and the user will have an opportunity to try again, up to the " +"configured number of retries." +msgstr "" +"Если вводится пароль, не соответствующий политике, он будет отклонён с " +"предупреждением, и пользователю будет предоставлена возможность попробовать " +"снова, но не более установленного количества попыток." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:260 +msgid "" +"If your organization's policy requires passwords to expire, FreeBSD supports " +"the `passwordtime` in the user's login class in [.filename]#/etc/login.conf#" +msgstr "" +"Если политика вашей организации требует, чтобы пароли имели срок действия, " +"FreeBSD поддерживает параметр `passwordtime` в классе пользователя в " +"[.filename]#/etc/login.conf#" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:262 +msgid "The `default` login class contains an example:" +msgstr "Класс входа `default` содержит пример:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:266 +#, no-wrap +msgid "# :passwordtime=90d:\\\n" +msgstr "# :passwordtime=90d:\\\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:269 +msgid "" +"So, to set an expiry of 90 days for this login class, remove the comment " +"symbol (#), save the edit, and execute the following command:" +msgstr "" +"Итак, чтобы установить срок действия в 90 дней для этого класса входа, " +"удалите символ комментария (#), сохраните изменения и выполните следующую " +"команду:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:276 +msgid "" +"To set the expiration on individual users, pass an expiration date or the " +"number of days to expiry and a username to `pw`:" +msgstr "" +"Чтобы установить срок действия для отдельных пользователей, передайте дату " +"истечения срока или количество дней до истечения и имя пользователя в `pw`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:280 +#, no-wrap +msgid "# pw usermod -p 30-apr-2025 -n user\n" +msgstr "# pw usermod -p 30-apr-2025 -n user\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:284 +msgid "" +"As seen here, an expiration date is set in the form of day, month, and " +"year. For more information, see man:pw[8]." +msgstr "" +"Как показано здесь, срок действия устанавливается в виде дня, месяца и года. " +"Для получения дополнительной информации см. man:pw[8]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:286 +#, no-wrap +msgid "Shared Administration with sudo" +msgstr "Совместное администрирование с помощью sudo" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:292 +msgid "" +"System administrators often need the ability to grant enhanced permissions " +"to users so they may perform privileged tasks. The idea that team members " +"are provided access to a FreeBSD system to perform their specific tasks " +"opens up unique challenges to every administrator. These team members only " +"need a subset of access beyond normal end user levels; however, they almost " +"always tell management they are unable to perform their tasks without " +"superuser access. Thankfully, there is no reason to provide such access to " +"end users because tools exist to manage this exact requirement." +msgstr "" +"Системные администраторы часто сталкиваются с необходимостью предоставления " +"пользователям расширенных прав для выполнения привилегированных задач. Идея " +"о том, что члены команды получают доступ к системе FreeBSD для выполнения " +"своих конкретных задач, создает уникальные проблемы для каждого " +"администратора. Этим сотрудникам требуется лишь ограниченный набор прав, " +"выходящий за рамки обычного уровня пользователя; однако они почти всегда " +"заявляют руководству, что не могут выполнять свои задачи без прав " +"суперпользователя. К счастью, нет необходимости предоставлять такие права " +"конечным пользователям, так как существуют инструменты для управления этим " +"требованием." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:296 +msgid "Even administrators should limit their privileges when not needed." +msgstr "" +"Даже администраторы должны ограничивать свои привилегии, когда в них нет " +"необходимости." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:304 +msgid "" +"Up to this point, the security chapter has covered permitting access to " +"authorized users and attempting to prevent unauthorized access. Another " +"problem arises once authorized users have access to the system resources. " +"In many cases, some users may need access to application startup scripts, or " +"a team of administrators need to maintain the system. Traditionally, the " +"standard users and groups, file permissions, and even the man:su[1] command " +"would manage this access. And as applications required more access, as more " +"users needed to use system resources, a better solution was required. The " +"most used application is currently Sudo." +msgstr "" +"До этого момента в главе о безопасности рассматривались вопросы " +"предоставления доступа авторизованным пользователям и попытки предотвратить " +"несанкционированный доступ. Однако возникает другая проблема, когда " +"авторизованные пользователи получают доступ к системным ресурсам. Во многих " +"случаях некоторым пользователям может потребоваться доступ к скриптам " +"запуска приложений, или команде администраторов необходимо обслуживать " +"систему.. Традиционно для управления таким доступом использовались " +"стандартные пользователи и группы, права доступа к файлам и даже команда " +"man:su[1]. Однако по мере того, как приложениям требовалось больше прав, а " +"большему числу пользователей нужно было использовать системные ресурсы, " +"потребовалось лучшее решение. В настоящее время наиболее часто используемым " +"приложением для этих целей является Sudo." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:307 +msgid "" +"Sudo allows administrators to configure more rigid access to system commands " +"and provide for some advanced logging features. As a tool, it is available " +"from the Ports Collection as package:security/sudo[] or by use of the " +"man:pkg[8] utility." +msgstr "" +"Sudo позволяет администраторам настраивать более строгий доступ к системным " +"командам и обеспечивать дополнительные функции ведения журналов. Этот " +"инструмент доступен в коллекции портов как package:security/sudo[] или с " +"помощью утилиты man:pkg[8]." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:309 +#: documentation/content/en/books/handbook/security/_index.adoc:389 +msgid "Execute the following command to install it:" +msgstr "Выполните следующую команду для установки:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:313 +#, no-wrap +msgid "# pkg install sudo\n" +msgstr "# pkg install sudo\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:317 +msgid "" +"After the installation is complete, the installed `visudo` will open the " +"configuration file with a text editor. Using `visudo` is highly recommended " +"as it comes with a built in syntax checker to verify there are no errors " +"before the file is saved." +msgstr "" +"После завершения установки установленный `visudo` откроет файл конфигурации " +"в текстовом редакторе. Настоятельно рекомендуется использовать `visudo`, так " +"как он содержит встроенную проверку синтаксиса для подтверждения отсутствия " +"ошибок перед сохранением файла." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:321 +msgid "" +"The configuration file is made up of several small sections which allow for " +"extensive configuration. In the following example, web application " +"maintainer, user1, needs to start, stop, and restart the web application " +"known as _webservice_. To grant this user permission to perform these " +"tasks, add this line to the end of [.filename]#/usr/local/etc/sudoers#:" +msgstr "" +"Файл конфигурации состоит из нескольких небольших разделов, которые " +"позволяют проводить детальную настройку. В следующем примере администратору " +"веб-приложения, user1, требуется запускать, останавливать и перезапускать " +"веб-приложение с именем _webservice_. Чтобы предоставить этому пользователю " +"права на выполнение данных задач, добавьте следующую строку в конец файла " +"[.filename]#/usr/local/etc/sudoers#:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:325 +#, no-wrap +msgid "user1 ALL=(ALL) /usr/sbin/service webservice *\n" +msgstr "user1 ALL=(ALL) /usr/sbin/service webservice *\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:328 +msgid "The user may now start _webservice_ using this command:" +msgstr "" +"Пользователь может теперь запустить _webservice_ с помощью следующей команды:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:332 +#, no-wrap +msgid "% sudo /usr/sbin/service webservice start\n" +msgstr "% sudo /usr/sbin/service webservice start\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:338 +msgid "" +"While this configuration allows a single user access to the webservice " +"service; however, in most organizations, there is an entire web team in " +"charge of managing the service. A single line can also give access to an " +"entire group. These steps will create a web group, add a user to this " +"group, and allow all members of the group to manage the service:" +msgstr "" +"Хотя данная конфигурация предоставляет одному пользователю доступ к службе " +"`webservice`, в большинстве организаций управление этой службой доверено " +"целой команде веб-разработчиков. Одной строкой можно также предоставить " +"доступ всей группе. Следующие шаги позволят создать группу `web`, добавить в " +"неё пользователя и разрешить всем членам группы управлять службой:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:342 +#, no-wrap +msgid "# pw groupadd -g 6001 -n webteam\n" +msgstr "# pw groupadd -g 6001 -n webteam\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:345 +msgid "" +"Using the same man:pw[8] command, the user is added to the webteam group:" +msgstr "" +"Используя ту же команду man:pw[8], пользователь добавляется в группу webteam:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:349 +#, no-wrap +msgid "# pw groupmod -m user1 -n webteam\n" +msgstr "# pw groupmod -m user1 -n webteam\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:352 +msgid "" +"Finally, this line in [.filename]#/usr/local/etc/sudoers# allows any member " +"of the webteam group to manage _webservice_:" +msgstr "" +"Наконец, эта строка в [.filename]#/usr/local/etc/sudoers# разрешает любому " +"члену группы webteam управлять _webservice_:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:356 +#, no-wrap +msgid "%webteam ALL=(ALL) /usr/sbin/service webservice *\n" +msgstr "%webteam ALL=(ALL) /usr/sbin/service webservice *\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:360 +msgid "" +"Unlike man:su[1], man:sudo[8] only requires the end user password. This " +"avoids sharing passwords, which is a poor practice." +msgstr "" +"В отличие от man:su[1], man:sudo[8] требует только пароль конечного " +"пользователя. Это позволяет избежать совместного использования паролей, что " +"является небезопасной практикой." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:364 +msgid "" +"Users permitted to run applications with man:sudo[8] only enter their own " +"passwords. This is more secure and gives better control than man:su[1], " +"where the `root` password is entered and the user acquires all `root` " +"permissions." +msgstr "" +"Пользователи, которым разрешено запускать приложения с помощью man:sudo[8], " +"вводят только свои собственные пароли. Это более безопасно и обеспечивает " +"лучший контроль, чем man:su[1], где вводится пароль `root` и пользователь " +"получает все права `root`." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:369 +msgid "" +"Most organizations are moving or have moved toward a two factor " +"authentication model. In these cases, the user may not have a password to " +"enter." +msgstr "" +"Большинство организаций переходят или уже перешли на модель двухфакторной " +"аутентификации. В таких случаях у пользователя может не быть пароля для " +"ввода." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:372 +msgid "" +"man:sudo[8] can be configured to permit two factor authentication model by " +"using the `NOPASSWD` variable. Adding it to the configuration above will " +"allow all members of the _webteam_ group to manage the service without the " +"password requirement:" +msgstr "" +"man:sudo[8] можно настроить для поддержки двухфакторной модели " +"аутентификации с использованием переменной `NOPASSWD`. Добавление её в " +"приведённую выше конфигурацию позволит всем членам группы _webteam_ " +"управлять службой без требования пароля:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:376 +#, no-wrap +msgid "%webteam ALL=(ALL) NOPASSWD: /usr/sbin/service webservice *\n" +msgstr "%webteam ALL=(ALL) NOPASSWD: /usr/sbin/service webservice *\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:380 +#, no-wrap +msgid "Shared Administration with Doas" +msgstr "Совместное администрирование с Doas" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:384 +msgid "" +"man:doas[1] is a command-line utility ported from OpenBSD. It serves as an " +"alternative to the widely used man:sudo[8] command in Unix-like systems." +msgstr "" +"man:doas[1] - это утилита командной строки, портированная из OpenBSD. Она " +"служит альтернативой широко используемой команде man:sudo[8] в Unix-подобных " +"системах." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:387 +msgid "" +"With doas, users can execute commands with elevated privileges, typically as " +"the root user, while maintaining a simplified and security-conscious " +"approach. Unlike man:sudo[8], doas emphasizes simplicity and minimalism, " +"focusing on streamlined privilege delegation without an overwhelming array " +"of configuration options." +msgstr "" +"С помощью `doas` пользователи могут выполнять команды с повышенными " +"привилегиями, обычно от имени пользователя `root`, сохраняя при этом простой " +"и безопасный подход. В отличие от man:sudo[8], `doas` делает акцент на " +"простоте и минимализме, предлагая лаконичное делегирование полномочий без " +"избыточного количества настройки." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:393 +#, no-wrap +msgid "# pkg install doas\n" +msgstr "# pkg install doas\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:396 +msgid "" +"After the installation [.filename]#/usr/local/etc/doas.conf# must be " +"configured to grant access for users for specific commands, or roles." +msgstr "" +"После установки необходимо настроить [.filename]#/usr/local/etc/doas.conf#, " +"чтобы предоставить пользователям доступ к определенным командам или ролям." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:398 +msgid "" +"The simplest entry could be the following, which grants the user " +"`local_user` with `root` permissions without asking for its password when " +"executing the doas command." +msgstr "" +"Самый простой вариант может выглядеть следующим образом, который " +"предоставляет пользователю `local_user` права `root` без запроса пароля при " +"выполнении команды doas." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:402 +#, no-wrap +msgid "permit nopass local_user as root\n" +msgstr "permit nopass local_user as root\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:405 +msgid "" +"After the installation and configuration of the `doas` utility, a command " +"can now be executed with enhanced privileges, for example:" +msgstr "" +"После установки и настройки утилиты `doas` команда теперь может быть " +"выполнена с повышенными привилегиями, например:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:409 +#, no-wrap +msgid "$ doas vi /etc/rc.conf\n" +msgstr "$ doas vi /etc/rc.conf\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:412 +msgid "For more configuration examples, please read man:doas.conf[5]." +msgstr "" +"Для дополнительных примеров конфигурации обратитесь к man:doas.conf[5]." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:414 +#, no-wrap +msgid "Intrusion Detection System (IDS)" +msgstr "Система обнаружения вторжений (IDS)" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:418 +msgid "" +"Verification of system files and binaries is important because it provides " +"the system administration and security teams information about system " +"changes. A software application that monitors the system for changes is " +"called an Intrusion Detection System (IDS)." +msgstr "" +"Проверка системных файлов и двоичных файлов важна, поскольку предоставляет " +"администраторам системы и командам безопасности информацию об изменениях в " +"системе. Программное приложение, которое отслеживает изменения в системе, " +"называется системой обнаружения вторжений (Intrusion Detection System — IDS)." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:422 +msgid "" +"FreeBSD provides native support for a basic IDS system called man:mtree[8]. " +"While the nightly security emails will notify an administrator of changes, " +"the information is stored locally and there is a chance that a malicious " +"user could modify this information in order to hide their changes to the " +"system. As such, it is recommended to create a separate set of binary " +"signatures and store them on a read-only, root-owned directory or, " +"preferably, on a removable USB disk or remote server." +msgstr "" +"FreeBSD предоставляет встроенную поддержку базовой системы IDS под названием " +"man:mtree[8]. Хотя ежедневные письма с информацией о безопасности уведомят " +"администратора об изменениях, эти данные хранятся локально, и существует " +"вероятность, что злоумышленник может изменить их, чтобы скрыть свои " +"изменения в системе. Поэтому рекомендуется создать отдельный набор бинарных " +"сигнатур и хранить их в предназначенном только для чтения каталоге, " +"принадлежащем root, или, предпочтительно, на съёмном USB-диске или удалённом " +"сервере." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:424 +msgid "It is also recommended to run `freebsd-update IDS` after each update." +msgstr "" +"Также рекомендуется запускать `freebsd-update IDS` после каждого обновления." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:426 +#, no-wrap +msgid "Generating the Specification File" +msgstr "Генерация файла спецификации" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:432 +msgid "" +"The built-in man:mtree[8] utility can be used to generate a specification of " +"the contents of a directory. A seed, or a numeric constant, is used to " +"generate the specification and is required to check that the specification " +"has not changed. This makes it possible to determine if a file or binary " +"has been modified. Since the seed value is unknown by an attacker, faking " +"or checking the checksum values of files will be difficult to impossible." +msgstr "" +"Встроенная утилита man:mtree[8] может использоваться для создания " +"спецификации содержимого каталога. Спецификация генерируется с " +"использованием начального значения (seed) — числовой константы, которая " +"также необходима для проверки неизменности спецификации. Это позволяет " +"определить, был ли изменён файл или бинарный файл. Поскольку злоумышленник " +"не знает начальное значение, подделать или проверить контрольные суммы " +"файлов будет крайне сложно или невозможно." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:437 +msgid "" +"It is recommended to create specifications for the directories which contain " +"binaries and configuration files, as well as any directories containing " +"sensitive data. Typically, specifications are created for [.filename]#/" +"bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, [.filename]#/usr/sbin#, " +"[.filename]#/usr/local/bin#, [.filename]#/etc#, and [.filename]#/usr/local/" +"etc#." +msgstr "" +"Рекомендуется создавать спецификации для каталогов, содержащих исполняемые " +"файлы и конфигурационные файлы, а также для любых каталогов с " +"чувствительными данными. Обычно спецификации создаются для [.filename]#/" +"bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, [.filename]#/usr/sbin#, " +"[.filename]#/usr/local/bin#, [.filename]#/etc# и [.filename]#/usr/local/etc#." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:440 +msgid "" +"The following example generates a set of `sha512` hashes, one for each " +"system binary in [.filename]#/bin#, and saves those values to a hidden file " +"in user's home directory, [.filename]#/home/user/.bin_chksum_mtree#:" +msgstr "" +"Следующий пример создает набор хешей `sha512` — по одному для каждого " +"системного бинарного файла в [.filename]#/bin# — и сохраняет эти значения в " +"скрытый файл в домашней директории пользователя [.filename]#/home/" +"user/.bin_chksum_mtree#:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:444 +#, no-wrap +msgid "# mtree -s 123456789 -c -K cksum,sha512 -p /bin > /home/user/.bin_chksum_mtree\n" +msgstr "# mtree -s 123456789 -c -K cksum,sha512 -p /bin > /home/user/.bin_chksum_mtree\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:451 +#, no-wrap +msgid "mtree: /bin checksum: 3427012225\n" +msgstr "mtree: /bin checksum: 3427012225\n" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:457 +msgid "" +"The `123456789` value represents the seed, and should be chosen randomly. " +"This value should be remembered, *but not shared*." +msgstr "" +"Значение `123456789` представляет собой зерно (seed) и должно быть выбрано " +"случайным образом. Этот параметр необходимо запомнить, *но не раскрывать*." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:459 +msgid "" +"It is important to keep the seed value and the checksum output hidden from " +"malicious users." +msgstr "" +"Важно скрывать начальное значение и контрольную сумму от злоумышленников." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:462 +#, no-wrap +msgid "The Specification File Structure" +msgstr "Структура Файла Спецификации" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:466 +msgid "" +"The mtree format is a textual format that describes a collection of " +"filesystem objects. Such files are typically used to create or verify " +"directory hierarchies." +msgstr "" +"Формат `mtree` — это текстовый формат, описывающий набор объектов файловой " +"системы. Такие файлы обычно используются для создания или проверки иерархий " +"каталогов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:468 +msgid "" +"An mtree file consists of a series of lines, each providing information " +"about a single filesystem object. Leading whitespace is always ignored." +msgstr "" +"Файл mtree состоит из серии строк, каждая из которых содержит информацию об " +"отдельном объекте файловой системы. Начальные пробельные символы всегда " +"игнорируются." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:470 +msgid "" +"The specification file created above will be used to explain the format and " +"content:" +msgstr "" +"Созданный выше файл спецификации будет использоваться для объяснения формата " +"и содержания:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:477 +#, no-wrap +msgid "" +"# user: root <.>\n" +"# machine: machinename <.>\n" +"# tree: /bin <.>\n" +"# date: Thu Aug 24 21:58:37 2023 <.>\n" +msgstr "" +"# user: root <.>\n" +"# machine: machinename <.>\n" +"# tree: /bin <.>\n" +"# date: Thu Aug 24 21:58:37 2023 <.>\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:492 +#, no-wrap +msgid "" +"# .\n" +"/set type=file uid=0 gid=0 mode=0555 nlink=1 flags=uarch <.>\n" +". type=dir mode=0755 nlink=2 time=1681388848.239523000 <.>\n" +" \\133 nlink=2 size=12520 time=1685991378.688509000 \\\n" +" cksum=520880818 \\\n" +" sha512=5c1374ce0e2ba1b3bc5a41b23f4bbdc1ec89ae82fa01237f376a5eeef41822e68f1d8f75ec46b7bceb65396c122a9d837d692740fdebdcc376a05275adbd3471\n" +" cat size=14600 time=1685991378.694601000 cksum=3672531848 \\ <.>\n" +" sha512=b30b96d155fdc4795432b523989a6581d71cdf69ba5f0ccb45d9b9e354b55a665899b16aee21982fffe20c4680d11da4e3ed9611232a775c69f926e5385d53a2\n" +" chflags size=8920 time=1685991378.700385000 cksum=1629328991 \\\n" +" sha512=289a088cbbcbeb436dd9c1f74521a89b66643976abda696b99b9cc1fbfe8b76107c5b54d4a6a9b65332386ada73fc1bbb10e43c4e3065fa2161e7be269eaf86a\n" +" chio size=20720 time=1685991378.706095000 cksum=1948751604 \\\n" +" sha512=46f58277ff16c3495ea51e74129c73617f31351e250315c2b878a88708c2b8a7bb060e2dc8ff92f606450dbc7dd2816da4853e465ec61ee411723e8bf52709ee\n" +" chmod size=9616 time=1685991378.712546000 cksum=4244658911 \\\n" +" sha512=1769313ce08cba84ecdc2b9c07ef86d2b70a4206420dd71343867be7ab59659956f6f5a458c64e2531a1c736277a8e419c633a31a8d3c7ccc43e99dd4d71d630\n" +msgstr "" +"# .\n" +"/set type=file uid=0 gid=0 mode=0555 nlink=1 flags=uarch <.>\n" +". type=dir mode=0755 nlink=2 time=1681388848.239523000 <.>\n" +" \\133 nlink=2 size=12520 time=1685991378.688509000 \\\n" +" cksum=520880818 \\\n" +" sha512=5c1374ce0e2ba1b3bc5a41b23f4bbdc1ec89ae82fa01237f376a5eeef41822e68f1d8f75ec46b7bceb65396c122a9d837d692740fdebdcc376a05275adbd3471\n" +" cat size=14600 time=1685991378.694601000 cksum=3672531848 \\ <.>\n" +" sha512=b30b96d155fdc4795432b523989a6581d71cdf69ba5f0ccb45d9b9e354b55a665899b16aee21982fffe20c4680d11da4e3ed9611232a775c69f926e5385d53a2\n" +" chflags size=8920 time=1685991378.700385000 cksum=1629328991 \\\n" +" sha512=289a088cbbcbeb436dd9c1f74521a89b66643976abda696b99b9cc1fbfe8b76107c5b54d4a6a9b65332386ada73fc1bbb10e43c4e3065fa2161e7be269eaf86a\n" +" chio size=20720 time=1685991378.706095000 cksum=1948751604 \\\n" +" sha512=46f58277ff16c3495ea51e74129c73617f31351e250315c2b878a88708c2b8a7bb060e2dc8ff92f606450dbc7dd2816da4853e465ec61ee411723e8bf52709ee\n" +" chmod size=9616 time=1685991378.712546000 cksum=4244658911 \\\n" +" sha512=1769313ce08cba84ecdc2b9c07ef86d2b70a4206420dd71343867be7ab59659956f6f5a458c64e2531a1c736277a8e419c633a31a8d3c7ccc43e99dd4d71d630\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:495 +msgid "User who created the specification." +msgstr "Пользователь, создавший спецификацию." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:496 +msgid "Machine's hostname." +msgstr "Имя хоста машины." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:497 +msgid "Directory path." +msgstr "Путь к каталогу." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:498 +msgid "The Date and time when the specification was created." +msgstr "Дата и время создания спецификации." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:499 +msgid "" +"`/set` special commands, defines some settings obtained from the files " +"analyzed." +msgstr "" +"`/set` специальные команды, определяют некоторые настройки, полученные из " +"проанализированных файлов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:500 +msgid "" +"Refers to the parsed directory and indicates things like what type it is, " +"its mode, the number of hard links, and the time in UNIX format since it was " +"modified." +msgstr "" +"Ссылается на разобранный каталог и указывает такие параметры, как его тип, " +"режим доступа, количество жёстких ссылок и время изменения в формате UNIX." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:501 +msgid "" +"Refers to the file and shows the size, time and a list of hashes to verify " +"the integrity." +msgstr "" +"Ссылается на файл и показывает его размер, время и список хешей для проверки " +"целостности." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:503 +#, no-wrap +msgid "Verify the Specification file" +msgstr "Проверка файла спецификации" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:506 +msgid "" +"To verify that the binary signatures have not changed, compare the current " +"contents of the directory to the previously generated specification, and " +"save the results to a file." +msgstr "" +"Для проверки неизменности бинарных сигнатур сравните текущее содержимое " +"каталога с ранее созданной спецификацией и сохраните результаты в файл." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:508 +msgid "" +"This command requires the seed that was used to generate the original " +"specification:" +msgstr "" +"Эта команда требует начальное значение, которое использовалось для создания " +"исходной спецификации:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:512 +#: documentation/content/en/books/handbook/security/_index.adoc:529 +#, no-wrap +msgid "# mtree -s 123456789 -p /bin < /home/user/.bin_chksum_mtree >> /home/user/.bin_chksum_output\n" +msgstr "# mtree -s 123456789 -p /bin < /home/user/.bin_chksum_mtree >> /home/user/.bin_chksum_output\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:516 +msgid "" +"This should produce the same checksum for [.filename]#/bin# that was " +"produced when the specification was created. If no changes have occurred to " +"the binaries in this directory, the [.filename]#/home/" +"user/.bin_chksum_output# output file will be empty." +msgstr "" +"Это должно дать такую же контрольную сумму для [.filename]#/bin#, какая была " +"получена при создании спецификации. Если в каталоге не было изменений " +"бинарных файлов, выходной файл [.filename]#/home/user/.bin_chksum_output# " +"будет пустым." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:518 +msgid "" +"To simulate a change, change the date on [.filename]#/bin/cat# using " +"man:touch[1] and run the verification command again:" +msgstr "" +"Для имитации изменения измените дату файла [.filename]#/bin/cat# с помощью " +"man:touch[1] и снова выполните команду проверки:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:522 +#, no-wrap +msgid "# touch /bin/cat\n" +msgstr "# touch /bin/cat\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:525 +msgid "Run the verification command again:" +msgstr "Выполните команду проверки еще раз:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:532 +msgid "And then check the content of the output file:" +msgstr "И затем проверьте содержимое выходного файла:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:536 +#, no-wrap +msgid "# cat /root/.bin_chksum_output\n" +msgstr "# cat /root/.bin_chksum_output\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:543 +#, no-wrap +msgid "cat: modification time (Fri Aug 25 13:30:17 2023, Fri Aug 25 13:34:20 2023)\n" +msgstr "cat: modification time (Fri Aug 25 13:30:17 2023, Fri Aug 25 13:34:20 2023)\n" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:549 +msgid "" +"This is just an example of what would be displayed when executing the " +"command, to show the changes that would occur in the metadata." +msgstr "" +"Это просто пример того, что будет отображено при выполнении команды, чтобы " +"показать изменения, которые произойдут в метаданных." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:552 +#, no-wrap +msgid "Secure levels" +msgstr "Уровни безопасности" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:556 +msgid "" +"securelevel is a security mechanism implemented in the kernel. When the " +"securelevel is positive, the kernel restricts certain tasks; not even the " +"superuser (root) is allowed to do them." +msgstr "" +"securelevel — это механизм безопасности, реализованный в ядре. Когда " +"securelevel имеет положительное значение, ядро ограничивает выполнение " +"определенных задач; даже суперпользователь (root) не может их выполнять." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:558 +msgid "The securelevel mechanism limits the ability to:" +msgstr "Механизм securelevel ограничивает возможность:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:560 +msgid "Unset certain file flags, such as `schg` (the system immutable flag)." +msgstr "" +"Снять определенные флаги файлов, такие как `schg` (флаг системной " +"неизменяемости)." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:561 +msgid "" +"Write to kernel memory via [.filename]#/dev/mem# and [.filename]#/dev/kmem#." +msgstr "" +"Записать в память ядра через [.filename]#/dev/mem# и [.filename]#/dev/kmem#." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:562 +msgid "Load kernel modules." +msgstr "Загрузить модули ядра." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:563 +msgid "Alter firewall rules." +msgstr "Изменить правила межсетевого экрана." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:565 +#, no-wrap +msgid "Secure Levels Definitions" +msgstr "Определения уровней безопасности" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:569 +msgid "" +"The kernel runs with five different security levels. Any super-user process " +"can raise the level, but no process can lower it." +msgstr "" +"Ядро работает с пятью различными уровнями безопасности. Любой процесс с " +"правами суперпользователя может повысить уровень, но ни один процесс не " +"может его понизить." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:571 +msgid "The security definitions are:" +msgstr "Определения безопасности следующие:" + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:572 +#, no-wrap +msgid "-1" +msgstr "-1" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:575 +#, fuzzy +#| msgid "" +#| "*Permanently insecure mode* - always run the system in insecure mode.\n" +#| "This is the default initial value.\n" +msgid "" +"*Permanently insecure mode* - always run the system in insecure mode. This " +"is the default initial value." +msgstr "" +"*Постоянный небезопасный режим* — всегда запускать систему в небезопасном " +"режиме.\n" +"Это значение по умолчанию при начальной настройке.\n" + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:576 +#, no-wrap +msgid "0" +msgstr "0" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:579 +#, fuzzy +#| msgid "" +#| "*Insecure mode* - immutable and append-only flags may be turned off.\n" +#| "All devices may be read or written subject to their permissions.\n" +msgid "" +"*Insecure mode* - immutable and append-only flags may be turned off. All " +"devices may be read or written subject to their permissions." +msgstr "" +"*Небезопасный режим* - флаги `immutable` и `append-only` могут быть " +"отключены.\n" +"Доступ на чтение и запись всех устройств разрешён в соответствии с их " +"правами доступа.\n" + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:580 +#, no-wrap +msgid "1" +msgstr "1" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:586 +#, fuzzy +#| msgid "" +#| "*Secure mode* - the system immutable and system append-only flags may not " +#| "be turned off;\n" +#| "disks for mounted file systems, [.filename]#/dev/mem# and [.filename]#/" +#| "dev/kmem# may not be opened for writing;\n" +#| "[.filename]#/dev/io# (if your platform has it) may not be opened at all; " +#| "kernel modules (see man:kld[4]) may not be loaded or unloaded.\n" +#| "The kernel debugger may not be entered using the debug.kdb.enter sysctl.\n" +#| "A panic or trap cannot be forced using the debug.kdb.panic, " +#| "debug.kdb.panic_str and other sysctl's.\n" +msgid "" +"*Secure mode* - the system immutable and system append-only flags may not be " +"turned off; disks for mounted file systems, [.filename]#/dev/mem# and " +"[.filename]#/dev/kmem# may not be opened for writing; [.filename]#/dev/io# " +"(if your platform has it) may not be opened at all; kernel modules (see " +"man:kld[4]) may not be loaded or unloaded. The kernel debugger may not be " +"entered using the debug.kdb.enter sysctl. A panic or trap cannot be forced " +"using the debug.kdb.panic, debug.kdb.panic_str and other sysctl's." +msgstr "" +"*Безопасный режим* - флаги «только для чтения» (system immutable) и «только " +"для дополнения» (system append-only) не могут быть отключены;\n" +"диски с смонтированными файловыми системами, [.filename]#/dev/mem# и " +"[.filename]#/dev/kmem# не могут быть открыты для записи;\n" +"[.filename]#/dev/io# (если он есть на вашей платформе) не может быть открыт " +"вообще; загрузка и выгрузка модулей ядра (см. man:kld[4]) запрещены.\n" +"Нельзя перейти в отладчик ядра с помощью sysctl debug.kdb.enter.\n" +"Нельзя вызвать панику или прерывание через sysctl debug.kdb.panic, " +"debug.kdb.panic_str и другие.\n" + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:587 +#, no-wrap +msgid "2" +msgstr "2" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:590 +#, fuzzy +#| msgid "" +#| "*Highly secure mode* - same as secure mode, plus disks may not be opened " +#| "for writing (except by man:mount[2]) whether mounted or not.\n" +#| "This level precludes tampering with file systems by unmounting them, but " +#| "also inhibits running man:newfs[8] while the system is multiuser.\n" +msgid "" +"*Highly secure mode* - same as secure mode, plus disks may not be opened for " +"writing (except by man:mount[2]) whether mounted or not. This level " +"precludes tampering with file systems by unmounting them, but also inhibits " +"running man:newfs[8] while the system is multiuser." +msgstr "" +"*Высокозащищённый режим* — аналогичен защищённому режиму, но дополнительно " +"запрещает открывать диски на запись (за исключением man:mount[2]), " +"независимо от того, смонтированы они или нет.\n" +"Этот уровень предотвращает изменение файловых систем путём их " +"размонтирования, но также запрещает запуск man:newfs[8] в " +"многопользовательском режиме.\n" + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:591 +#, no-wrap +msgid "3" +msgstr "3" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:593 +#, fuzzy +#| msgid "" +#| "*Network secure mode* - same as highly secure mode, plus IP packet filter " +#| "rules (see man:ipfw[8], man:ipfirewall[4] and man:pfctl[8]) cannot be " +#| "changed and man:dummynet[4] or man:pf[4] configuration cannot be " +#| "adjusted.\n" +msgid "" +"*Network secure mode* - same as highly secure mode, plus IP packet filter " +"rules (see man:ipfw[8], man:ipfirewall[4] and man:pfctl[8]) cannot be " +"changed and man:dummynet[4] or man:pf[4] configuration cannot be adjusted." +msgstr "" +"*Режим сетевой безопасности* - аналогично режиму высокой безопасности, плюс " +"правила фильтрации IP-пакетов (см. man:ipfw[8], man:ipfirewall[4] и " +"man:pfctl[8]) не могут быть изменены, а конфигурация man:dummynet[4] или " +"man:pf[4] не может быть скорректирована.\n" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:598 +msgid "" +"In summary, the key difference between `Permanently Insecure Mode` and " +"`Insecure Mode` in FreeBSD secure levels is the degree of security they " +"provide. `Permanently Insecure Mode` completely lifts all security " +"restrictions, while `Insecure Mode` relaxes some restrictions but still " +"maintains a level of control and security." +msgstr "" +"Вкратце, ключевое различие между `Режимом постоянной незащищённости` и " +"`Незащищённым режимом` в уровнях безопасности FreeBSD заключается в степени " +"предоставляемой защиты. `Режим постоянной незащищённости` полностью снимает " +"все ограничения безопасности, тогда как `Незащищённый режим` ослабляет " +"некоторые ограничения, но сохраняет определённый уровень контроля и защиты." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:601 +#, no-wrap +msgid "Modify Secure Levels" +msgstr "Изменение уровней безопасности" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:604 +msgid "" +"In order to change the securelevel of the system it is necessary to activate " +"`kern_securelevel_enable` by executing the following command:" +msgstr "" +"Для изменения securelevel системы необходимо активировать " +"`kern_securelevel_enable`, выполнив следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:608 +#, no-wrap +msgid "# sysrc kern_securelevel_enable=\"YES\"\n" +msgstr "# sysrc kern_securelevel_enable=\"YES\"\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:611 +msgid "And set the value of `kern_securelevel` to the desired security level:" +msgstr "" +"И установите значение `kern_securelevel` на желаемый уровень безопасности:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:615 +#, no-wrap +msgid "# sysrc kern_securelevel=2\n" +msgstr "# sysrc kern_securelevel=2\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:618 +msgid "" +"To check the status of the securelevel on a running system execute the " +"following command:" +msgstr "" +"Для проверки уровня безопасности (securelevel) в работающей системе " +"выполните следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:622 +#, no-wrap +msgid "# sysctl -n kern.securelevel\n" +msgstr "# sysctl -n kern.securelevel\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:626 +msgid "" +"The output contains the current value of the securelevel. If it is greater " +"than 0, at least some of the securelevel's protections are enabled." +msgstr "" +"Вывод содержит текущее значение уровня securelevel. Если оно больше 0, " +"значит, включена по крайней мере часть защит securelevel." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:628 +#, no-wrap +msgid "File flags" +msgstr "Флаговые атрибуты файлов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:632 +msgid "" +"File flags allow users to attach additional metadata or attributes to files " +"and directories beyond basic permissions and ownership. These flags provide " +"a way to control various behaviors and properties of files without needing " +"to resort to creating special directories or using extended attributes." +msgstr "" +"Флаги файлов позволяют пользователям добавлять дополнительные метаданные или " +"атрибуты к файлам и каталогам, помимо базовых прав доступа и владения. Эти " +"флаги предоставляют способ управления различными поведениями и свойствами " +"файлов без необходимости создавать специальные каталоги или использовать " +"расширенные атрибуты." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:635 +msgid "" +"File flags can be used to achieve different goals, such as preventing file " +"deletion, making files append-only, synchronizing file updates, and more. " +"Some commonly used file flags in FreeBSD include the \"immutable\" flag, " +"which prevents modification or deletion of a file, and the \"append-only\" " +"flag, which allows only data to be added to the end of a file but not " +"modified or removed." +msgstr "" +"Флаги файлов могут использоваться для достижения различных целей, таких как " +"предотвращение удаления файла, разрешение только дополнения файла, " +"синхронизация обновлений файлов и многое другое. Некоторые часто " +"используемые флаги файлов в FreeBSD включают флаг \"immutable\", который " +"запрещает изменение или удаление файла, и флаг \"append-only\", который " +"разрешает только добавление данных в конец файла, но не их изменение или " +"удаление." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:639 +msgid "" +"These flags can be managed using the man:chflags[1] command in FreeBSD, " +"providing administrators and users with greater control over the behavior " +"and characteristics of their files and directories. It is important to note " +"that file flags are typically managed by root or users with appropriate " +"privileges, as they can influence how files are accessed and manipulated. " +"Some flags are available for the use of the file's owner, as described in " +"man:chflags[1]." +msgstr "" +"Эти флаги можно управлять с помощью команды man:chflags[1] в FreeBSD, что " +"предоставляет администраторам и пользователям больший контроль над " +"поведением и характеристиками их файлов и каталогов. Важно отметить, что " +"флаги файлов обычно управляются root или пользователями с соответствующими " +"привилегиями, так как они могут влиять на доступ и манипуляции с файлами. " +"Некоторые флаги доступны для использования владельцем файла, как описано в " +"man:chflags[1]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:641 +#, no-wrap +msgid "Work with File Flags" +msgstr "Работа с флагами файлов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:644 +msgid "" +"In this example, a file named [.filename]#~/important.txt# in user's home " +"directory want to be protected against deletions." +msgstr "" +"В этом примере файл с именем [.filename]#~/important.txt# в домашнем " +"каталоге пользователя необходимо защитить от удаления." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:646 +msgid "Execute the following command to set the `schg` file flag:" +msgstr "Выполните следующую команду, чтобы установить флаг файла `schg`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:650 +#, no-wrap +msgid "# chflags schg ~/important.txt\n" +msgstr "# chflags schg ~/important.txt\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:653 +msgid "" +"When any user, including the `root` user, tries to delete the file, the " +"system will display the message:" +msgstr "" +"Когда любой пользователь, включая пользователя `root`, пытается удалить " +"файл, система отобразит сообщение:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:657 +#, no-wrap +msgid "rm: important.txt: Operation not permitted\n" +msgstr "rm: important.txt: Operation not permitted\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:660 +msgid "" +"To delete the file, it will be necessary to delete the file flags of that " +"file by executing the following command:" +msgstr "" +"Чтобы удалить файл, необходимо сначала удалить его флаги, выполнив следующую " +"команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:664 +#, no-wrap +msgid "# chflags noschg ~/important.txt\n" +msgstr "# chflags noschg ~/important.txt\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:667 +msgid "" +"A list of supported file flags and their functionality can be found in " +"man:chflags[1]." +msgstr "" +"Список поддерживаемых флагов файлов и их функциональность можно найти в " +"man:chflags[1]." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:669 +#, no-wrap +msgid "OpenSSH" +msgstr "OpenSSH" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:674 +msgid "" +"OpenSSH is a set of network connectivity tools used to provide secure access " +"to remote machines. Additionally, TCP/IP connections can be tunneled or " +"forwarded securely through SSH connections. OpenSSH encrypts all traffic to " +"eliminate eavesdropping, connection hijacking, and other network-level " +"attacks." +msgstr "" +"OpenSSH — это набор сетевых инструментов для подключения, которые " +"используются для обеспечения безопасного доступа к удаленным машинам. Кроме " +"того, TCP/IP-соединения могут быть туннелированы или перенаправлены через " +"SSH-соединения с обеспечением безопасности. OpenSSH шифрует весь трафик, " +"чтобы исключить прослушивание, перехват соединений и другие атаки на сетевом " +"уровне." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:676 +msgid "" +"OpenSSH is maintained by the OpenBSD project and is installed by default in " +"FreeBSD." +msgstr "" +"OpenSSH разрабатывается проектом OpenBSD и устанавливается по умолчанию в " +"FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:679 +msgid "" +"When data is sent over the network in an unencrypted form, network sniffers " +"anywhere in between the client and server can steal user/password " +"information or data transferred during the session. OpenSSH offers a " +"variety of authentication and encryption methods to prevent this from " +"happening." +msgstr "" +"Когда данные передаются по сети в незашифрованном виде, снифферы где-либо " +"между клиентом и сервером могут украсть информацию о пользователе/пароле или " +"данные, передаваемые во время сеанса. OpenSSH предлагает различные методы " +"аутентификации и шифрования, чтобы предотвратить это." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:681 +msgid "" +"More information about OpenSSH is available in the link:https://" +"www.openssh.com/[web page]." +msgstr "" +"Дополнительная информация о OpenSSH доступна на link:https://www.openssh.com/" +"[веб-сайте]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:684 +msgid "" +"This section provides an overview of the built-in client utilities to " +"securely access other systems and securely transfer files from a FreeBSD " +"system. It then describes how to configure a SSH server on a FreeBSD system." +msgstr "" +"В этом разделе представлен обзор встроенных клиентских утилит для " +"безопасного доступа к другим системам и безопасной передачи файлов с системы " +"FreeBSD. Затем описывается, как настроить SSH-сервер на системе FreeBSD." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:689 +msgid "" +"As stated, this chapter will cover the base system version of OpenSSH. A " +"version of OpenSSH is also available in the package:security/openssh-" +"portable[], which provides additional configuration options and is updated " +"with new features more regularly." +msgstr "" +"Как уже упоминалось, в этой главе будет рассмотрена базовая версия OpenSSH. " +"Также доступна версия OpenSSH в пакете package:security/openssh-portable[], " +"которая предоставляет дополнительные параметры конфигурации и регулярно " +"обновляется с новыми функциями." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:691 +#, no-wrap +msgid "Using the SSH Client Utilities" +msgstr "Использование клиентских утилит SSH" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:695 +msgid "" +"To log into a SSH server, use man:ssh[1] and specify a username that exists " +"on that server and the IP address or hostname of the server. If this is the " +"first time a connection has been made to the specified server, the user will " +"be prompted to first verify the server's fingerprint:" +msgstr "" +"Для входа на SSH-сервер используйте man:ssh[1], указав имя пользователя, " +"существующее на этом сервере, и IP-адрес или имя хоста сервера. Если " +"подключение к указанному серверу выполняется впервые, пользователю будет " +"предложено сначала подтвердить его отпечаток:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:699 +#, no-wrap +msgid "# ssh user@example.com\n" +msgstr "# ssh user@example.com\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:710 +#, no-wrap +msgid "" +"The authenticity of host 'example.com (10.0.0.1)' can't be established.\n" +"ECDSA key fingerprint is 25:cc:73:b5:b3:96:75:3d:56:19:49:d2:5c:1f:91:3b.\n" +"Are you sure you want to continue connecting (yes/no)? yes\n" +"Permanently added 'example.com' (ECDSA) to the list of known hosts.\n" +"Password for user@example.com: user_password\n" +msgstr "" +"The authenticity of host 'example.com (10.0.0.1)' can't be established.\n" +"ECDSA key fingerprint is 25:cc:73:b5:b3:96:75:3d:56:19:49:d2:5c:1f:91:3b.\n" +"Are you sure you want to continue connecting (yes/no)? yes\n" +"Permanently added 'example.com' (ECDSA) to the list of known hosts.\n" +"Password for user@example.com: user_password\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:716 +msgid "" +"SSH utilizes a key fingerprint system to verify the authenticity of the " +"server when the client connects. When the user accepts the key's " +"fingerprint by typing `yes` when connecting for the first time, a copy of " +"the key is saved to [.filename]#~/.ssh/known_hosts# in the user's home " +"directory. Future attempts to login are verified against the saved key and " +"man:ssh[1] will display an alert if the server's key does not match the " +"saved key. If this occurs, the user should first verify why the key has " +"changed before continuing with the connection." +msgstr "" +"SSH использует систему отпечатков ключей для проверки подлинности сервера " +"при подключении клиента. Когда пользователь принимает отпечаток ключа, введя " +"`yes` при первом подключении, копия ключа сохраняется в файле " +"[.filename]#~/.ssh/known_hosts# в домашнем каталоге пользователя. " +"Последующие попытки входа проверяются по сохранённому ключу, и man:ssh[1] " +"выведет предупреждение, если ключ сервера не совпадает с сохранённым. В " +"таком случае пользователю следует сначала проверить, почему изменился ключ, " +"прежде чем продолжать подключение." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:720 +msgid "How to perform this check is outside the scope of this chapter." +msgstr "Как выполнить эту проверку, выходит за рамки данной главы." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:723 +msgid "Use man:scp[1] to securely copy a file to or from a remote machine." +msgstr "" +"Используйте man:scp[1] для безопасного копирования файла на удалённую машину " +"или с неё." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:725 +msgid "" +"This example copies `COPYRIGHT` on the remote system to a file of the same " +"name in the current directory of the local system:" +msgstr "" +"Этот пример копирует файл `COPYRIGHT` на удалённой системе в файл с тем же " +"именем в текущем каталоге локальной системы:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:729 +#, no-wrap +msgid "# scp user@example.com:/COPYRIGHT COPYRIGHT\n" +msgstr "# scp user@example.com:/COPYRIGHT COPYRIGHT\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:737 +#, no-wrap +msgid "" +"Password for user@example.com: *******\n" +"COPYRIGHT 100% |*****************************| 4735\n" +msgstr "" +"Password for user@example.com: *******\n" +"COPYRIGHT 100% |*****************************| 4735\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:740 +msgid "" +"Since the fingerprint was already verified for this host, the server's key " +"is automatically checked before prompting for the user's password." +msgstr "" +"Поскольку отпечаток этого узла уже был проверен, ключ сервера автоматически " +"проверяется перед запросом пароля пользователя." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:745 +msgid "" +"The arguments passed to man:scp[1] are similar to man:cp[1]. The file or " +"files to copy is the first argument and the destination to copy to is the " +"second. Since the file is fetched over the network, one or more of the file " +"arguments takes the form `user@host:<path_to_remote_file>`. Be aware when " +"copying directories recursively that man:scp[1] uses `-r`, whereas man:cp[1] " +"uses `-R`." +msgstr "" +"Аргументы, передаваемые в man:scp[1], аналогичны аргументам man:cp[1]. " +"Первым аргументом указывается файл или файлы для копирования, а вторым — " +"место назначения. Поскольку файл передаётся по сети, один или несколько " +"аргументов с файлами имеют вид `user@host:<путь_к_удалённому_файлу>`. " +"Обратите внимание, что при рекурсивном копировании каталогов man:scp[1] " +"использует `-r`, тогда как man:cp[1] использует `-R`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:747 +msgid "To open an interactive session for copying files, use man:sftp[1]." +msgstr "" +"Чтобы открыть интерактивную сессию для копирования файлов, используйте " +"man:sftp[1]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:749 +msgid "" +"Refer to man:sftp[1] for a list of available commands while in an " +"man:sftp[1] session." +msgstr "" +"Обратитесь к man:sftp[1] для получения списка доступных команд во время " +"сеанса man:sftp[1]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:751 +#, no-wrap +msgid "Key-based Authentication" +msgstr "Аутентификация на основе ключей" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:755 +msgid "" +"Instead of using passwords, a client can be configured to connect to the " +"remote machine using keys. For security reasons, this is the preferred " +"method." +msgstr "" +"Вместо использования паролей клиент может быть настроен для подключения к " +"удалённой машине с использованием ключей. В целях безопасности это " +"предпочтительный метод." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:759 +msgid "" +"man:ssh-keygen[1] can be used to generate the authentication keys. To " +"generate a public and private key pair, specify the type of key and follow " +"the prompts. It is recommended to protect the keys with a memorable, but " +"hard to guess passphrase." +msgstr "" +"man:ssh-keygen[1] можно использовать для генерации ключей аутентификации. " +"Чтобы создать пару из открытого и закрытого ключей, укажите тип ключа и " +"следуйте инструкциям. Рекомендуется защитить ключи запоминающейся, но " +"трудной для угадывания парольной фразой." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:763 +#, no-wrap +msgid "% ssh-keygen -t rsa -b 4096\n" +msgstr "% ssh-keygen -t rsa -b 4096\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:790 +#, no-wrap +msgid "" +"Generating public/private rsa key pair.\n" +"Enter file in which to save the key (/home/user/.ssh/id_rsa):\n" +"Created directory '/home/user/.ssh/.ssh'.\n" +"Enter passphrase (empty for no passphrase):\n" +"Enter same passphrase again:\n" +"Your identification has been saved in /home/user/.ssh/id_rsa.\n" +"Your public key has been saved in /home/user/.ssh/id_rsa.pub.\n" +"The key fingerprint is:\n" +"SHA256:54Xm9Uvtv6H4NOo6yjP/YCfODryvUU7yWHzMqeXwhq8 user@host.example.com\n" +"The key's randomart image is:\n" +"+---[RSA 2048]----+\n" +"| |\n" +"| |\n" +"| |\n" +"| . o.. |\n" +"| .S*+*o |\n" +"| . O=Oo . . |\n" +"| = Oo= oo..|\n" +"| .oB.* +.oo.|\n" +"| =OE**.o..=|\n" +"+----[SHA256]-----+\n" +msgstr "" +"Generating public/private rsa key pair.\n" +"Enter file in which to save the key (/home/user/.ssh/id_rsa):\n" +"Created directory '/home/user/.ssh/.ssh'.\n" +"Enter passphrase (empty for no passphrase):\n" +"Enter same passphrase again:\n" +"Your identification has been saved in /home/user/.ssh/id_rsa.\n" +"Your public key has been saved in /home/user/.ssh/id_rsa.pub.\n" +"The key fingerprint is:\n" +"SHA256:54Xm9Uvtv6H4NOo6yjP/YCfODryvUU7yWHzMqeXwhq8 user@host.example.com\n" +"The key's randomart image is:\n" +"+---[RSA 2048]----+\n" +"| |\n" +"| |\n" +"| |\n" +"| . o.. |\n" +"| .S*+*o |\n" +"| . O=Oo . . |\n" +"| = Oo= oo..|\n" +"| .oB.* +.oo.|\n" +"| =OE**.o..=|\n" +"+----[SHA256]-----+\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:794 +msgid "" +"The private key is stored in [.filename]#~/.ssh/id_rsa# and the public key " +"is stored in [.filename]#~/.ssh/id_rsa.pub#. The _public_ key must be " +"copied to [.filename]#~/.ssh/authorized_keys# on the remote machine for key-" +"based authentication to work." +msgstr "" +"Закрытый ключ хранится в [.filename]#~/.ssh/id_rsa#, а открытый ключ — в " +"[.filename]#~/.ssh/id_rsa.pub#. _Открытый_ ключ должен быть скопирован в " +"файл [.filename]#~/.ssh/authorized_keys# на удалённой машине, чтобы " +"аутентификация по ключу работала." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:798 +msgid "" +"Utilizing a passphrase for OpenSSH keys is a key security practice, " +"providing an extra layer of protection against unauthorized access and " +"enhancing overall cybersecurity." +msgstr "" +"Использование парольной фразы для ключей OpenSSH является важной практикой " +"безопасности, обеспечивающей дополнительный уровень защиты от " +"несанкционированного доступа и повышающей общую кибербезопасность." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:800 +msgid "In case of loss or theft, this adds another layer of security." +msgstr "В случае утери или кражи это добавляет дополнительный уровень защиты." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:803 +#, no-wrap +msgid "SSH Tunneling" +msgstr "Туннелирование SSH" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:806 +msgid "" +"OpenSSH has the ability to create a tunnel to encapsulate another protocol " +"in an encrypted session." +msgstr "" +"OpenSSH обладает возможностью создания туннеля для инкапсуляции другого " +"протокола в зашифрованном сеансе." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:808 +msgid "The following command tells man:ssh[1] to create a tunnel:" +msgstr "Следующая команда указывает man:ssh[1] создать туннель:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:812 +#, no-wrap +msgid "% ssh -D 8080 user@example.com\n" +msgstr "% ssh -D 8080 user@example.com\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:815 +msgid "This example uses the following options:" +msgstr "Этот пример использует следующие параметры:" + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:816 +#, no-wrap +msgid "-D" +msgstr "-D" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:818 +msgid "Specifies a local \"dynamic\" application-level port forwarding." +msgstr "" +"Указывает локальное \"динамическое\" перенаправление портов на уровне " +"приложений." + +#. type: Labeled list +#: documentation/content/en/books/handbook/security/_index.adoc:819 +#, no-wrap +msgid "user@foo.example.com" +msgstr "user@foo.example.com" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:821 +msgid "The login name to use on the specified remote SSH server." +msgstr "Имя пользователя для входа на указанный удаленный SSH-сервер." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:823 +msgid "" +"An SSH tunnel works by creating a listen socket on `localhost` on the " +"specified `localport`." +msgstr "" +"Туннель SSH работает путем создания сокета для прослушивания на `localhost` " +"на указанном `localport`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:825 +msgid "" +"This method can be used to wrap any number of insecure TCP protocols such as " +"SMTP, POP3, and FTP." +msgstr "" +"Этот метод можно использовать для защиты любого количества незащищённых TCP-" +"протоколов, таких как SMTP, POP3 и FTP." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:826 +#, no-wrap +msgid "Enabling the SSH Server" +msgstr "Включение сервера SSH" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:829 +msgid "" +"In addition to providing built-in SSH client utilities, a FreeBSD system can " +"be configured as an SSH server, accepting connections from other SSH clients." +msgstr "" +"В дополнение к встроенным клиентским утилитам SSH, система FreeBSD может " +"быть настроена как SSH-сервер, принимающий подключения от других SSH-" +"клиентов." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:834 +msgid "" +"As stated, this chapter will cover the base system version of OpenSSH. " +"Please *not* confuse with package:security/openssh-portable[], the version " +"of OpenSSH that ships with the FreeBSD ports." +msgstr "" +"Как уже было сказано, в этой главе рассматривается базовая версия OpenSSH. " +"*Не* путайте её с package:security/openssh-portable[], версией OpenSSH, " +"которая поставляется с коллекцией портов FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:837 +msgid "" +"In order to have the SSH Server enabled across reboots execute the following " +"command:" +msgstr "" +"Чтобы включить сервер SSH для автоматического запуска после перезагрузки, " +"выполните следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:841 +#, no-wrap +msgid "# sysrc sshd_enable=\"YES\"\n" +msgstr "# sysrc sshd_enable=\"YES\"\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:844 +msgid "Then execute the following command to enable the service:" +msgstr "Затем выполните следующую команду, чтобы включить службу:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:848 +#, no-wrap +msgid "# service sshd start\n" +msgstr "# service sshd start\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:852 +msgid "" +"The first time sshd starts on a FreeBSD system, the system's host keys will " +"be automatically created and the fingerprint will be displayed on the " +"console. Provide users with the fingerprint so that they can verify it the " +"first time they connect to the server." +msgstr "" +"При первом запуске `sshd` в системе FreeBSD автоматически создаются ключи " +"хоста системы, и их отпечаток выводится на консоль. Предоставьте " +"пользователям этот отпечаток, чтобы они могли проверить его при первом " +"подключении к серверу." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:854 +msgid "" +"Refer to man:sshd[8] for the list of available options when starting sshd " +"and a complete discussion about authentication, the login process, and the " +"various configuration files." +msgstr "" +"Обратитесь к man:sshd[8] для получения списка доступных параметров при " +"запуске sshd, а также полного описания аутентификации, процесса входа и " +"различных конфигурационных файлов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:856 +msgid "" +"At this point, the sshd should be available to all users with a username and " +"password on the system." +msgstr "" +"На этом этапе `sshd` должен быть доступен всем пользователям системы, " +"имеющим имя пользователя и пароль." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:858 +#, no-wrap +msgid "Configuring publickey auth method" +msgstr "Настройка метода аутентификации по открытому ключу" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:863 +msgid "" +"Configuring OpenSSH to use public key authentication enhances security by " +"leveraging asymmetric cryptography for authentication. This method " +"eliminates password-related risks, such as weak passwords or interception " +"during transmission, while thwarting various password-based attacks. " +"However, it's vital to ensure the private keys are well-protected to prevent " +"unauthorized access." +msgstr "" +"Настройка OpenSSH для использования аутентификации по открытому ключу " +"повышает безопасность за счёт применения асимметричной криптографии. Этот " +"метод устраняет риски, связанные с паролями, такие как слабые пароли или их " +"перехват при передаче, а также предотвращает различные атаки, основанные на " +"паролях. Однако важно обеспечить надёжную защиту закрытых ключей, чтобы " +"предотвратить несанкционированный доступ." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:865 +msgid "" +"The first step will be to configure man:sshd[8] to use the required " +"authentication method." +msgstr "" +"Первым шагом будет настройка man:sshd[8] для использования требуемого метода " +"аутентификации." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:867 +msgid "" +"Edit [.filename]#/etc/ssh/sshd_config# and uncomment the following " +"configuration:" +msgstr "" +"Отредактируйте файл [.filename]#/etc/ssh/sshd_config# и раскомментируйте " +"следующую настройку:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:871 +#, no-wrap +msgid "PubkeyAuthentication yes\n" +msgstr "PubkeyAuthentication yes\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:875 +msgid "" +"Once the configuration is done, the users will have to send the system " +"administrator their *public key* and these keys will be added in " +"[.filename]#.ssh/authorized_keys#. The process for generating the keys is " +"described in crossref:security[security-ssh-keygen, Key-based " +"Authentication]." +msgstr "" +"После завершения настройки пользователям необходимо отправить системному " +"администратору свой *открытый ключ*, и эти ключи будут добавлены в " +"[.filename]#.ssh/authorized_keys#. Процесс генерации ключей описан в " +"crossref:security[security-ssh-keygen,Аутентификация на основе ключей]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:877 +msgid "Then restart the server executing the following command:" +msgstr "Затем перезапустите сервер, выполнив следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:881 +#: documentation/content/en/books/handbook/security/_index.adoc:952 +#, no-wrap +msgid "# service sshd reload\n" +msgstr "# service sshd reload\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:885 +msgid "" +"It is strongly recommended to follow the security improvements indicated in " +"crossref:security[security-sshd-security-options, SSH Server Security " +"Options]." +msgstr "" +"Настоятельно рекомендуется выполнить указанные улучшения безопасности, " +"приведенные в crossref:security[security-sshd-security-options, Параметры " +"безопасности SSH-сервера]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:887 +#, no-wrap +msgid "SSH Server Security Options" +msgstr "Параметры безопасности сервера SSH" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:890 +msgid "" +"While sshd is the most widely used remote administration facility for " +"FreeBSD, brute force and drive by attacks are common to any system exposed " +"to public networks." +msgstr "" +"В то время как `sshd` является наиболее широко используемым средством " +"удалённого администрирования в FreeBSD, атаки методом грубой силы и " +"сканирование уязвимостей распространены для любой системы, доступной из " +"публичных сетей." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:893 +msgid "" +"Several additional parameters are available to prevent the success of these " +"attacks and will be described in this section. All configurations will be " +"done in [.filename]#/etc/ssh/sshd_config#" +msgstr "" +"В этом разделе описаны дополнительные параметры, которые помогают " +"предотвратить успех подобных атак. Все настройки выполняются в файле " +"[.filename]#/etc/ssh/sshd_config#" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:899 +msgid "" +"Do not confuse [.filename]#/etc/ssh/sshd_config# with [.filename]#/etc/ssh/" +"ssh_config# (note the extra `d` in the first filename). The first file " +"configures the server and the second file configures the client. Refer to " +"man:ssh_config[5] for a listing of the available client settings." +msgstr "" +"Не путайте [.filename]#/etc/ssh/sshd_config# с [.filename]#/etc/ssh/" +"ssh_config# (обратите внимание на дополнительную букву `d` в первом имени " +"файла). Первый файл настраивает сервер, а второй — клиент. Список доступных " +"настроек клиента приведён в man:ssh_config[5]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:903 +msgid "" +"By default, authentication can be done with both pubkey and password. To " +"allow *only* pubkey authentication, *which is strongly recommended*, change " +"the variable:" +msgstr "" +"По умолчанию аутентификация может выполняться как по открытому ключу, так и " +"по паролю. Чтобы разрешить *только* аутентификацию по открытому ключу, *что " +"настоятельно рекомендуется*, измените переменную:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:907 +#, no-wrap +msgid "PasswordAuthentication no\n" +msgstr "PasswordAuthentication no\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:911 +msgid "" +"It is a good idea to limit which users can log into the SSH server and from " +"where using the `AllowUsers` keyword in the OpenSSH server configuration " +"file. For example, to only allow `user` to log in from `192.168.1.32`, add " +"this line to [.filename]#/etc/ssh/sshd_config#:" +msgstr "" +"Хорошей практикой является ограничение пользователей, которые могут " +"подключаться к SSH-серверу, а также мест, откуда они могут это делать, с " +"помощью ключевого слова `AllowUsers` в конфигурационном файле сервера " +"OpenSSH. Например, чтобы разрешить вход только пользователю `user` с адреса " +"`192.168.1.32`, добавьте следующую строку в файл [.filename]#/etc/ssh/" +"sshd_config#:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:915 +#, no-wrap +msgid "AllowUsers user@192.168.1.32\n" +msgstr "AllowUsers user@192.168.1.32\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:918 +msgid "" +"To allow `user` to log in from anywhere, list that user without specifying " +"an IP address:" +msgstr "" +"Чтобы разрешить пользователю `user` входить из любого места, укажите этого " +"пользователя без указания IP-адреса:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:922 +#, no-wrap +msgid "AllowUsers user\n" +msgstr "AllowUsers user\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:925 +msgid "Multiple users should be listed on the same line, like so:" +msgstr "Несколько пользователей следует перечислять в одной строке, например:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:929 +#, no-wrap +msgid "AllowUsers root@192.168.1.32 user\n" +msgstr "AllowUsers root@192.168.1.32 user\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:932 +msgid "" +"After making all the changes, and before restarting the service, it is " +"recommended to verify that the configuration made is correct by executing " +"the following command:" +msgstr "" +"После внесения всех изменений и перед перезапуском службы рекомендуется " +"проверить правильность конфигурации, выполнив следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:936 +#, no-wrap +msgid "# sshd -t\n" +msgstr "# sshd -t\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:940 +msgid "" +"If the configuration file is correct, no output will be shown. In case the " +"configuration file is incorrect, it will show something like this:" +msgstr "" +"Если файл конфигурации верен, вывод не будет отображен. В случае, если файл " +"конфигурации содержит ошибки, будет показано примерно следующее:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:945 +#, no-wrap +msgid "" +"/etc/ssh/sshd_config: line 3: Bad configuration option: sdadasdasdasads\n" +"/etc/ssh/sshd_config: terminating, 1 bad configuration options\n" +msgstr "" +"/etc/ssh/sshd_config: line 3: Bad configuration option: sdadasdasdasads\n" +"/etc/ssh/sshd_config: terminating, 1 bad configuration options\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:948 +msgid "" +"After making the changes and checking that the configuration file is " +"correct, tell sshd to reload its configuration file by running:" +msgstr "" +"После внесения изменений и проверки корректности файла конфигурации, дайте " +"команду `sshd` перезагрузить файл конфигурации, выполнив:" + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:955 +#, no-wrap +msgid "OpenSSL" +msgstr "OpenSSL" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:958 +msgid "" +"OpenSSL is a cryptography toolkit implementing the Secure Sockets Layer " +"(SSL) and Transport Layer Security (TLS) network protocols and many " +"cryptography routines." +msgstr "" +"OpenSSL — это набор криптографических инструментов, реализующий сетевые " +"протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS), а " +"также множество криптографических функций." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:961 +msgid "" +"The openssl program is a command line tool for using the various " +"cryptography functions of OpenSSL's crypto library from the shell. It can " +"be used for" +msgstr "" +"Программа `openssl` — это инструмент командной строки для использования " +"различных криптографических функций криптобиблиотеки OpenSSL из оболочки. " +"Она может быть использована для" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:963 +msgid "Creation and management of private keys, public keys and parameters" +msgstr "" +"Создания и управления закрытыми ключами, открытыми ключами и параметрами" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:964 +msgid "Public key cryptographic operations" +msgstr "Криптографических операций с открытым ключом" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:965 +msgid "Creation of X.509 certificates, CSRs and CRLs" +msgstr "" +"Создания сертификатов X.509, запросов на подпись сертификатов (CSR) и " +"списков отозванных сертификатов (CRL)" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:966 +msgid "Calculation of Message Digests" +msgstr "Вычисления дайджестов сообщений" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:967 +msgid "Encryption and Decryption with Ciphers" +msgstr "Шифрования и дешифрования с использованием шифров" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:968 +msgid "SSL/TLS Client and Server Tests" +msgstr "Тестирования SSL/TLS клиента и сервера" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:969 +msgid "Handling of S/MIME signed or encrypted mail" +msgstr "Обработки почты с подписью или шифрованием S/MIME" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:970 +msgid "Time Stamp requests, generation and verification" +msgstr "Запросов, генерации и проверки временных меток" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:971 +msgid "Benchmarking the crypto routines" +msgstr "Бенчмаркинга криптографических процедур" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:973 +msgid "" +"For more information about OpenSSL, read the free https://www.feistyduck.com/" +"books/openssl-cookbook/[OpenSSL Cookbook]." +msgstr "" +"Для получения дополнительной информации о OpenSSL ознакомьтесь с бесплатной " +"книгой https://www.feistyduck.com/books/openssl-cookbook/[OpenSSL Cookbook]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:975 +#, no-wrap +msgid "Generating Certificates" +msgstr "Генерация сертификатов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:978 +msgid "" +"OpenSSL supports the generation of certificates both to be validated by a " +"link:https://en.wikipedia.org/wiki/Certificate_authority[CA] and for own use." +msgstr "" +"OpenSSL поддерживает создание сертификатов как для проверки link:https://" +"en.wikipedia.org/wiki/Certificate_authority[ЦС], так и для собственного " +"использования." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:985 +msgid "" +"Run the command man:openssl[1] to generate a valid certificate for a " +"link:https://en.wikipedia.org/wiki/Certificate_authority[CA] with the " +"following arguments. This command will create two files in the current " +"directory. The certificate request, [.filename]#req.pem#, can be sent to a " +"link:https://en.wikipedia.org/wiki/Certificate_authority[CA] which, will " +"validate the entered credentials, sign the request, and return the signed " +"certificate. The second file, [.filename]#cert.key#, is the private key for " +"the certificate and should be stored in a secure location. If this falls in " +"the hands of others, it can be used to impersonate the user or the server." +msgstr "" +"Выполните команду man:openssl[1] для генерации действительного сертификата " +"для link:https://en.wikipedia.org/wiki/Certificate_authority[центра " +"сертификации (CA)] с указанными аргументами. Эта команда создаст два файла в " +"текущем каталоге. Запрос на сертификат, [.filename]#req.pem#, можно " +"отправить в link:https://en.wikipedia.org/wiki/Certificate_authority[центр " +"сертификации (CA)], который проверит введённые данные, подпишет запрос и " +"вернёт подписанный сертификат. Второй файл, [.filename]#cert.key#, является " +"закрытым ключом для сертификата и должен храниться в безопасном месте. Если " +"он попадёт в чужие руки, его можно использовать для выдачи себя за " +"пользователя или сервер." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:987 +#: documentation/content/en/books/handbook/security/_index.adoc:1029 +msgid "Execute the following command to generate the certificate:" +msgstr "Выполните следующую команду для создания сертификата:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:991 +#, no-wrap +msgid "# openssl req -new -nodes -out req.pem -keyout cert.key -sha3-512 -newkey rsa:4096\n" +msgstr "# openssl req -new -nodes -out req.pem -keyout cert.key -sha3-512 -newkey rsa:4096\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1016 +#, no-wrap +msgid "" +"Generating a RSA private key\n" +"..................................................................................................................................+++++\n" +"......................................+++++\n" +"writing new private key to 'cert.key'\n" +"-----\n" +"You are about to be asked to enter information that will be incorporated\n" +"into your certificate request.\n" +"What you are about to enter is what is called a Distinguished Name or a DN.\n" +"There are quite a few fields but you can leave some blank\n" +"For some fields there will be a default value,\n" +"If you enter '.', the field will be left blank.\n" +"-----\n" +"Country Name (2 letter code) [AU]:ES\n" +"State or Province Name (full name) [Some-State]:Valencian Community\n" +"Locality Name (eg, city) []:Valencia\n" +"Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company\n" +"Organizational Unit Name (eg, section) []:Systems Administrator\n" +"Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org\n" +"Email Address []:user@FreeBSD.org\n" +msgstr "" +"Generating a RSA private key\n" +"..................................................................................................................................+++++\n" +"......................................+++++\n" +"writing new private key to 'cert.key'\n" +"-----\n" +"You are about to be asked to enter information that will be incorporated\n" +"into your certificate request.\n" +"What you are about to enter is what is called a Distinguished Name or a DN.\n" +"There are quite a few fields but you can leave some blank\n" +"For some fields there will be a default value,\n" +"If you enter '.', the field will be left blank.\n" +"-----\n" +"Country Name (2 letter code) [AU]:ES\n" +"State or Province Name (full name) [Some-State]:Valencian Community\n" +"Locality Name (eg, city) []:Valencia\n" +"Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company\n" +"Organizational Unit Name (eg, section) []:Systems Administrator\n" +"Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org\n" +"Email Address []:user@FreeBSD.org\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1021 +#, no-wrap +msgid "" +"Please enter the following 'extra' attributes\n" +"to be sent with your certificate request\n" +"A challenge password []:123456789\n" +"An optional company name []:Another name\n" +msgstr "" +"Please enter the following 'extra' attributes\n" +"to be sent with your certificate request\n" +"A challenge password []:123456789\n" +"An optional company name []:Another name\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1027 +msgid "" +"Alternately, if a signature from a link:https://en.wikipedia.org/wiki/" +"Certificate_authority[CA] is not required, a self-signed certificate can be " +"created. This will create two new files in the current directory: a private " +"key file [.filename]#cert.key#, and the certificate itself, " +"[.filename]#cert.crt#. These should be placed in a directory, preferably " +"under [.filename]#/etc/ssl/#, which is readable only by `root`. Permissions " +"of `0700` are appropriate for these files and can be set using `chmod`." +msgstr "" +"В качестве альтернативы, если подпись от link:https://ru.wikipedia.org/wiki/" +"Центр_сертификации[центра сертификации] не требуется, можно создать " +"самоподписанный сертификат. Это приведёт к созданию двух новых файлов в " +"текущем каталоге: файла закрытого ключа [.filename]#cert.key# и самого " +"сертификата [.filename]#cert.crt#. Эти файлы следует поместить в каталог, " +"желательно в [.filename]#/etc/ssl/#, с доступом только для пользователя " +"`root`. Для этих файлов подходят права доступа `0700`, которые можно " +"установить с помощью команды `chmod`." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1033 +#, no-wrap +msgid "# openssl req -new -x509 -days 365 -sha3-512 -keyout /etc/ssl/private/cert.key -out /etc/ssl/certs/cert.crt\n" +msgstr "# openssl req -new -x509 -days 365 -sha3-512 -keyout /etc/ssl/private/cert.key -out /etc/ssl/certs/cert.crt\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1060 +#, no-wrap +msgid "" +"Generating a RSA private key\n" +"........................................+++++\n" +"...........+++++\n" +"writing new private key to '/etc/ssl/private/cert.key'\n" +"Enter PEM pass phrase:\n" +"Verifying - Enter PEM pass phrase:\n" +"-----\n" +"You are about to be asked to enter information that will be incorporated\n" +"into your certificate request.\n" +"What you are about to enter is what is called a Distinguished Name or a DN.\n" +"There are quite a few fields but you can leave some blank\n" +"For some fields there will be a default value,\n" +"If you enter '.', the field will be left blank.\n" +"-----\n" +"Country Name (2 letter code) [AU]:ES\n" +"State or Province Name (full name) [Some-State]:Valencian Community\n" +"Locality Name (eg, city) []:Valencia\n" +"Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company\n" +"Organizational Unit Name (eg, section) []:Systems Administrator\n" +"Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org\n" +"Email Address []:user@FreeBSD.org\n" +msgstr "" +"Generating a RSA private key\n" +"........................................+++++\n" +"...........+++++\n" +"writing new private key to '/etc/ssl/private/cert.key'\n" +"Enter PEM pass phrase:\n" +"Verifying - Enter PEM pass phrase:\n" +"-----\n" +"You are about to be asked to enter information that will be incorporated\n" +"into your certificate request.\n" +"What you are about to enter is what is called a Distinguished Name or a DN.\n" +"There are quite a few fields but you can leave some blank\n" +"For some fields there will be a default value,\n" +"If you enter '.', the field will be left blank.\n" +"-----\n" +"Country Name (2 letter code) [AU]:ES\n" +"State or Province Name (full name) [Some-State]:Valencian Community\n" +"Locality Name (eg, city) []:Valencia\n" +"Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company\n" +"Organizational Unit Name (eg, section) []:Systems Administrator\n" +"Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org\n" +"Email Address []:user@FreeBSD.org\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1063 +#, no-wrap +msgid "Configuring the FIPS Provider" +msgstr "Настройка поставщика FIPS" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1070 +msgid "" +"With the import of OpenSSL 3 into the base system (on FreeBSD 14 and later), " +"its new concept of provider modules was introduced in the system. Besides " +"the default provider module built-in to the library, the _legacy_ module " +"implements the now optional deprecated cryptography algorithms, while the " +"_fips_ module restricts the OpenSSL implementation to the cryptography " +"algorithms present in the link:https://en.wikipedia.org/wiki/" +"Federal_Information_Processing_Standards[FIPS] set of standards. This part " +"of OpenSSL receives link:https://www.openssl.org/docs/fips.html[particular " +"care], including a link:https://www.openssl.org/news/fips-cve.html[list of " +"relevant security issues], and is subject to the link:https://github.com/" +"openssl/openssl/blob/master/README-FIPS.md[FIPS 140 validation process] on a " +"regular basis. The link:https://www.openssl.org/source/[list of FIPS " +"validated versions] is also available. This allows users to ensure FIPS " +"compliance in their use of OpenSSL." +msgstr "" +"С внедрением OpenSSL 3 в базовую систему (на FreeBSD 14 и новее) в систему " +"была добавлена новая концепция модулей-провайдеров. Помимо модуля по " +"умолчанию, встроенного в библиотеку, модуль _legacy_ реализует теперь " +"необязательные устаревшие криптографические алгоритмы, а модуль _fips_ " +"ограничивает реализацию OpenSSL криптографическими алгоритмами, " +"присутствующими в наборе стандартов link:https://en.wikipedia.org/wiki/" +"Federal_Information_Processing_Standards[FIPS]. Эта часть OpenSSL получает " +"link:https://www.openssl.org/docs/fips.html[особое внимание], включая " +"link:https://www.openssl.org/news/fips-cve.html[список соответствующих " +"проблем безопасности], и регулярно проходит link:https://github.com/openssl/" +"openssl/blob/master/README-FIPS.md[процесс валидации FIPS 140]. Также " +"доступен link:https://www.openssl.org/source/[список версий, прошедших " +"валидацию FIPS]. Это позволяет пользователям обеспечивать соответствие FIPS " +"при использовании OpenSSL." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1074 +msgid "" +"Importantly, the man:fips_module[7] is protected by an additional security " +"measure, preventing its use without passing an integrity check. This check " +"can be setup by the local system administrator, allowing every user of " +"OpenSSL 3 to load this module. When not configured correctly, the FIPS " +"module is expected to fail as follows:" +msgstr "" +"Важно отметить, что модуль man:fips_module[7] защищен дополнительной мерой " +"безопасности, предотвращающей его использование без прохождения проверки " +"целостности. Эта проверка может быть настроена системным администратором, " +"что позволяет каждому пользователю OpenSSL 3 загружать этот модуль. Если " +"настройка выполнена некорректно, ожидается, что модуль FIPS завершит работу " +"следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1078 +#: documentation/content/en/books/handbook/security/_index.adoc:1150 +#, no-wrap +msgid "# echo test | openssl aes-128-cbc -a -provider fips -pbkdf2\n" +msgstr "# echo test | openssl aes-128-cbc -a -provider fips -pbkdf2\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1090 +#, no-wrap +msgid "" +"aes-128-cbc: unable to load provider fips\n" +"Hint: use -provider-path option or OPENSSL_MODULES environment variable.\n" +"00206124D94D0000:error:1C8000D5:Provider routines:SELF_TEST_post:missing config data:crypto/openssl/providers/fips/self_test.c:275:\n" +"00206124D94D0000:error:1C8000E0:Provider routines:ossl_set_error_state:fips module entering error state:crypto/openssl/providers/fips/self_test.c:373:\n" +"00206124D94D0000:error:1C8000D8:Provider routines:OSSL_provider_init_int:self test post failure:crypto/openssl/providers/fips/fipsprov.c:707:\n" +"00206124D94D0000:error:078C0105:common libcrypto routines:provider_init:init fail:crypto/openssl/crypto/provider_core.c:932:name=fips\n" +msgstr "" +"aes-128-cbc: unable to load provider fips\n" +"Hint: use -provider-path option or OPENSSL_MODULES environment variable.\n" +"00206124D94D0000:error:1C8000D5:Provider routines:SELF_TEST_post:missing config data:crypto/openssl/providers/fips/self_test.c:275:\n" +"00206124D94D0000:error:1C8000E0:Provider routines:ossl_set_error_state:fips module entering error state:crypto/openssl/providers/fips/self_test.c:373:\n" +"00206124D94D0000:error:1C8000D8:Provider routines:OSSL_provider_init_int:self test post failure:crypto/openssl/providers/fips/fipsprov.c:707:\n" +"00206124D94D0000:error:078C0105:common libcrypto routines:provider_init:init fail:crypto/openssl/crypto/provider_core.c:932:name=fips\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1094 +msgid "" +"The check can be configured through the creation of a file in [.filename]#/" +"etc/ssl/fipsmodule.cnf#, which will then be referenced in OpenSSL's main " +"configuration file [.filename]#/etc/ssl/openssl.cnf#. OpenSSL provides the " +"man:openssl-fipsinstall[1] utility to help with this process, which can be " +"used as follows:" +msgstr "" +"Проверка может быть настроена путем создания файла [.filename]#/etc/ssl/" +"fipsmodule.cnf#, который затем будет указан в основном конфигурационном " +"файле OpenSSL [.filename]#/etc/ssl/openssl.cnf#. OpenSSL предоставляет " +"утилиту man:openssl-fipsinstall[1] для помощи в этом процессе, которую можно " +"использовать следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1098 +#, no-wrap +msgid "# openssl fipsinstall -module /usr/lib/ossl-modules/fips.so -out /etc/ssl/fipsmodule.cnf\n" +msgstr "# openssl fipsinstall -module /usr/lib/ossl-modules/fips.so -out /etc/ssl/fipsmodule.cnf\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1105 +#, no-wrap +msgid "INSTALL PASSED\n" +msgstr "INSTALL PASSED\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1108 +msgid "" +"The [.filename]#/etc/ssl/openssl.cnf# should then be modified, in order to:" +msgstr "Файл [.filename]#/etc/ssl/openssl.cnf# затем следует изменить, чтобы:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1110 +msgid "Include the [.filename]#/etc/ssl/fipsmodule.cnf# file generated above," +msgstr "Включить файл [.filename]#/etc/ssl/fipsmodule.cnf#, созданный выше," + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1111 +msgid "Expose the FIPS module for possible use," +msgstr "Предоставить доступ к модулю FIPS для возможного использования," + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1112 +msgid "And explicitly activate the default module." +msgstr "И явно активировать модуль по умолчанию." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1123 +#, no-wrap +msgid "" +"[...]\n" +"# For FIPS\n" +"# Optionally include a file that is generated by the OpenSSL fipsinstall\n" +"# application. This file contains configuration data required by the OpenSSL\n" +"# fips provider. It contains a named section e.g. [fips_sect] which is\n" +"# referenced from the [provider_sect] below.\n" +"# Refer to the OpenSSL security policy for more information.\n" +".include /etc/ssl/fipsmodule.cnf\n" +msgstr "" +"[...]\n" +"# For FIPS\n" +"# Optionally include a file that is generated by the OpenSSL fipsinstall\n" +"# application. This file contains configuration data required by the OpenSSL\n" +"# fips provider. It contains a named section e.g. [fips_sect] which is\n" +"# referenced from the [provider_sect] below.\n" +"# Refer to the OpenSSL security policy for more information.\n" +".include /etc/ssl/fipsmodule.cnf\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1125 +#, no-wrap +msgid "[...]\n" +msgstr "[...]\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1132 +#, no-wrap +msgid "" +"# List of providers to load\n" +"[provider_sect]\n" +"default = default_sect\n" +"# The fips section name should match the section name inside the\n" +"# included fipsmodule.cnf.\n" +"fips = fips_sect\n" +msgstr "" +"# List of providers to load\n" +"[provider_sect]\n" +"default = default_sect\n" +"# The fips section name should match the section name inside the\n" +"# included fipsmodule.cnf.\n" +"fips = fips_sect\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1143 +#, no-wrap +msgid "" +"# If no providers are activated explicitly, the default one is activated implicitly.\n" +"# See man 7 OSSL_PROVIDER-default for more details.\n" +"#\n" +"# If you add a section explicitly activating any other provider(s), you most\n" +"# probably need to explicitly activate the default provider, otherwise it\n" +"# becomes unavailable in openssl. As a consequence applications depending on\n" +"# OpenSSL may not work correctly which could lead to significant system\n" +"# problems including inability to remotely access the system.\n" +"[default_sect]\n" +"activate = 1\n" +msgstr "" +"# If no providers are activated explicitly, the default one is activated implicitly.\n" +"# See man 7 OSSL_PROVIDER-default for more details.\n" +"#\n" +"# If you add a section explicitly activating any other provider(s), you most\n" +"# probably need to explicitly activate the default provider, otherwise it\n" +"# becomes unavailable in openssl. As a consequence applications depending on\n" +"# OpenSSL may not work correctly which could lead to significant system\n" +"# problems including inability to remotely access the system.\n" +"[default_sect]\n" +"activate = 1\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1146 +msgid "" +"With this done, it should be possible to confirm that the FIPS module is " +"effectively available and working:" +msgstr "" +"После этого можно убедиться, что модуль FIPS действительно доступен и " +"работает:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1159 +#, no-wrap +msgid "" +"enter AES-128-CBC encryption password:\n" +"Verifying - enter AES-128-CBC encryption password:\n" +"U2FsdGVkX18idooW6e3LqWeeiKP76kufcOUClh57j8U=\n" +msgstr "" +"enter AES-128-CBC encryption password:\n" +"Verifying - enter AES-128-CBC encryption password:\n" +"U2FsdGVkX18idooW6e3LqWeeiKP76kufcOUClh57j8U=\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1162 +msgid "" +"This procedure has to be repeated every time the FIPS module is modified, " +"e.g., after performing system updates, or after applying security fixes " +"affecting OpenSSL in the base system." +msgstr "" +"Эта процедура должна повторяться каждый раз, когда модуль FIPS изменяется, " +"например, после выполнения обновлений системы или после применения " +"исправлений безопасности, затрагивающих OpenSSL в базовой системе." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1164 +#, no-wrap +msgid "Kerberos" +msgstr "Kerberos" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1170 +msgid "" +"Kerberos is a network authentication protocol which was originally created " +"by the Massachusetts Institute of Technology (MIT) as a way to securely " +"provide authentication across a potentially hostile network. The Kerberos " +"protocol uses strong cryptography so that both a client and server can prove " +"their identity without sending any unencrypted secrets over the network. " +"Kerberos can be described as an identity-verifying proxy system and as a " +"trusted third-party authentication system. After a user authenticates with " +"Kerberos, their communications can be encrypted to assure privacy and data " +"integrity." +msgstr "" +"Kerberos — это сетевой протокол аутентификации, изначально созданный " +"Массачусетским технологическим институтом (MIT) для безопасной " +"аутентификации в потенциально враждебной сети. Протокол Kerberos использует " +"надежное шифрование, позволяя как клиенту, так и серверу подтверждать свою " +"подлинность без передачи незашифрованных секретов по сети. Kerberos можно " +"охарактеризовать как систему проверки подлинности через посредника (прокси) " +"и как систему аутентификации с доверенным третьим лицом. После " +"аутентификации пользователя в Kerberos его передаваемые данные могут " +"шифроваться для обеспечения конфиденциальности и целостности информации." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1174 +msgid "" +"The only function of Kerberos is to provide the secure authentication of " +"users and servers on the network. It does not provide authorization or " +"auditing functions. It is recommended that Kerberos be used with other " +"security methods which provide authorization and audit services." +msgstr "" +"Единственная функция Kerberos — обеспечение безопасной аутентификации " +"пользователей и серверов в сети. Он не предоставляет функций авторизации или " +"аудита. Рекомендуется использовать Kerberos вместе с другими методами " +"безопасности, которые обеспечивают сервисы авторизации и аудита." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1182 +msgid "" +"The current version of the protocol is version 5, described in RFC 4120. " +"Several free implementations of this protocol are available, covering a wide " +"range of operating systems. MIT continues to develop their Kerberos " +"package. It is commonly used in the US as a cryptography product, and has " +"historically been subject to US export regulations. In FreeBSD, MITKerberos " +"is available as the package:security/krb5[] package or port. The Heimdal " +"Kerberos implementation was explicitly developed outside of the US to avoid " +"export regulations. The Heimdal Kerberos distribution is included in the " +"base FreeBSD installation, and another distribution with more configurable " +"options is available as package:security/heimdal[] in the Ports Collection." +msgstr "" +"Текущая версия протокола — версия 5, описанная в RFC 4120. Существует " +"несколько свободных реализаций этого протокола, охватывающих широкий спектр " +"операционных систем. MIT продолжает развивать свой пакет Kerberos. Он широко " +"используется в США как криптографический продукт и исторически подпадал под " +"экспортные ограничения США. В FreeBSD MITKerberos доступен в виде пакета " +"package:security/krb5[] или порта. Реализация Heimdal Kerberos была " +"разработана за пределами США специально, чтобы избежать экспортных " +"ограничений. Дистрибутив Heimdal Kerberos включён в базовую установку " +"FreeBSD, а другая версия с более гибкими настройками доступна в коллекции " +"портов как package:security/heimdal[]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1185 +msgid "" +"In Kerberos users and services are identified as \"principals\" which are " +"contained within an administrative grouping, called a \"realm\". A typical " +"user principal would be of the form `_user_@_REALM_` (realms are " +"traditionally uppercase)." +msgstr "" +"В Kerberos пользователи и службы идентифицируются как «принципалы», которые " +"входят в административную группу, называемую «реалмом». Типичный принципал " +"пользователя имеет вид `_пользователь_@_РЕАЛМ_` (реалмы традиционно пишутся " +"в верхнем регистре)." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1187 +msgid "" +"This section provides a guide on how to set up Kerberos using the Heimdal " +"distribution included in FreeBSD." +msgstr "" +"Эта часть руководства содержит инструкции по настройке Kerberos с " +"использованием дистрибутива Heimdal, включённого в FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1189 +msgid "" +"For purposes of demonstrating a Kerberos installation, the name spaces will " +"be as follows:" +msgstr "" +"Для демонстрации установки Kerberos пространства имен будут следующими:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1191 +msgid "The DNS domain (zone) will be `example.org`." +msgstr "Доменная зона DNS будет `example.org`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1192 +msgid "The Kerberos realm will be `EXAMPLE.ORG`." +msgstr "Realm Kerberos будет `EXAMPLE.ORG`." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1197 +msgid "" +"Use real domain names when setting up Kerberos, even if it will run " +"internally. This avoids DNS problems and assures inter-operation with other " +"Kerberos realms." +msgstr "" +"Используйте настоящие доменные имена при настройке Kerberos, даже если он " +"будет работать внутри сети. Это позволяет избежать проблем с DNS и " +"обеспечивает взаимодействие с другими доменами Kerberos." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1199 +#, no-wrap +msgid "Setting up a Heimdal KDC" +msgstr "Настройка Heimdal KDC" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1205 +msgid "" +"The Key Distribution Center (KDC) is the centralized authentication service " +"that Kerberos provides, the \"trusted third party\" of the system. It is " +"the computer that issues Kerberos tickets, which are used for clients to " +"authenticate to servers. As the KDC is considered trusted by all other " +"computers in the Kerberos realm, it has heightened security concerns. " +"Direct access to the KDC should be limited." +msgstr "" +"Центр распределения ключей (Key Distribution Center — KDC) — это " +"централизованная служба аутентификации, предоставляемая Kerberos, " +"«доверенная третья сторона» системы. Это компьютер, который выдает билеты " +"Kerberos, используемые клиентами для аутентификации на серверах. Поскольку " +"KDC считается доверенным для всех остальных компьютеров в области Kerberos, " +"к нему предъявляются повышенные требования безопасности. Прямой доступ к KDC " +"должен быть ограничен." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1207 +msgid "" +"While running a KDC requires few computing resources, a dedicated machine " +"acting only as a KDC is recommended for security reasons." +msgstr "" +"При работе KDC требуется мало вычислительных ресурсов, однако по " +"соображениям безопасности рекомендуется выделить отдельный компьютер, " +"который будет использоваться исключительно в качестве KDC." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1209 +msgid "To begin, install the package:security/heimdal[] package as follows:" +msgstr "" +"Для начала установите пакет package:security/heimdal[] следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1213 +#, no-wrap +msgid "# pkg install heimdal\n" +msgstr "# pkg install heimdal\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1216 +msgid "Next, update [.filename]#/etc/rc.conf# using `sysrc` as follows:" +msgstr "" +"Далее обновите [.filename]#/etc/rc.conf# с помощью `sysrc` следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1221 +#, no-wrap +msgid "" +"# sysrc kdc_enable=yes\n" +"# sysrc kadmind_enable=yes\n" +msgstr "" +"# sysrc kdc_enable=yes\n" +"# sysrc kadmind_enable=yes\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1224 +msgid "Next, edit [.filename]#/etc/krb5.conf# as follows:" +msgstr "" +"Далее отредактируйте файл [.filename]#/etc/krb5.conf# следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1236 +#, no-wrap +msgid "" +"[libdefaults]\n" +" default_realm = EXAMPLE.ORG\n" +"[realms]\n" +" EXAMPLE.ORG = {\n" +"\tkdc = kerberos.example.org\n" +"\tadmin_server = kerberos.example.org\n" +" }\n" +"[domain_realm]\n" +" .example.org = EXAMPLE.ORG\n" +msgstr "" +"[libdefaults]\n" +" default_realm = EXAMPLE.ORG\n" +"[realms]\n" +" EXAMPLE.ORG = {\n" +"\tkdc = kerberos.example.org\n" +"\tadmin_server = kerberos.example.org\n" +" }\n" +"[domain_realm]\n" +" .example.org = EXAMPLE.ORG\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1240 +msgid "" +"In this example, the KDC will use the fully-qualified hostname " +"`kerberos.example.org`. The hostname of the KDC must be resolvable in the " +"DNS." +msgstr "" +"В этом примере KDC будет использовать полное доменное имя " +"`kerberos.example.org`. Имя хоста KDC должно разрешаться в DNS." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1243 +msgid "" +"Kerberos can also use the DNS to locate KDCs, instead of a `[realms]` " +"section in [.filename]#/etc/krb5.conf#. For large organizations that have " +"their own DNS servers, the above example could be trimmed to:" +msgstr "" +"Kerberos также может использовать DNS для поиска KDC вместо раздела " +"`[realms]` в [.filename]#/etc/krb5.conf#. Для крупных организаций, имеющих " +"собственные DNS-серверы, приведённый выше пример можно сократить до:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1250 +#, no-wrap +msgid "" +"[libdefaults]\n" +" default_realm = EXAMPLE.ORG\n" +"[domain_realm]\n" +" .example.org = EXAMPLE.ORG\n" +msgstr "" +"[libdefaults]\n" +" default_realm = EXAMPLE.ORG\n" +"[domain_realm]\n" +" .example.org = EXAMPLE.ORG\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1253 +msgid "With the following lines being included in the `example.org` zone file:" +msgstr "Со следующими строками, включёнными в файл зоны `example.org`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1261 +#, no-wrap +msgid "" +"_kerberos._udp IN SRV 01 00 88 kerberos.example.org.\n" +"_kerberos._tcp IN SRV 01 00 88 kerberos.example.org.\n" +"_kpasswd._udp IN SRV 01 00 464 kerberos.example.org.\n" +"_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org.\n" +"_kerberos IN TXT EXAMPLE.ORG\n" +msgstr "" +"_kerberos._udp IN SRV 01 00 88 kerberos.example.org.\n" +"_kerberos._tcp IN SRV 01 00 88 kerberos.example.org.\n" +"_kpasswd._udp IN SRV 01 00 464 kerberos.example.org.\n" +"_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org.\n" +"_kerberos IN TXT EXAMPLE.ORG\n" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1266 +msgid "" +"In order for clients to be able to find the Kerberos services, they _must_ " +"have either a fully configured [.filename]#/etc/krb5.conf# or a minimally " +"configured [.filename]#/etc/krb5.conf# _and_ a properly configured DNS " +"server." +msgstr "" +"Чтобы клиенты могли найти службы Kerberos, они _должны_ иметь либо полностью " +"настроенный файл [.filename]#/etc/krb5.conf#, либо минимально настроенный " +"[.filename]#/etc/krb5.conf# _и_ правильно настроенный DNS-сервер." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1272 +msgid "" +"Next, create the Kerberos database which contains the keys of all principals " +"(users and hosts) encrypted with a master password. It is not required to " +"remember this password as it will be stored in [.filename]#/var/heimdal/m-" +"key#; it would be reasonable to use a 45-character random password for this " +"purpose. To create the master key, run `kstash` and enter a password:" +msgstr "" +"Далее создайте базу данных Kerberos, которая содержит ключи всех принципалов " +"(пользователей и хостов), зашифрованные мастер-паролем. Нет необходимости " +"запоминать этот пароль, так как он будет храниться в [.filename]#/var/" +"heimdal/m-key#; разумно использовать для этого случайный пароль длиной 45 " +"символов. Чтобы создать мастер-ключ, выполните `kstash` и введите пароль:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1276 +#, no-wrap +msgid "# kstash\n" +msgstr "# kstash\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1284 +#, no-wrap +msgid "" +"Master key: xxxxxxxxxxxxxxxxxxxxxxx\n" +"Verifying password - Master key: xxxxxxxxxxxxxxxxxxxxxxx\n" +msgstr "" +"Master key: xxxxxxxxxxxxxxxxxxxxxxx\n" +"Verifying password - Master key: xxxxxxxxxxxxxxxxxxxxxxx\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1290 +msgid "" +"Once the master key has been created, the database should be initialized. " +"The Kerberos administrative tool man:kadmin[8] can be used on the KDC in a " +"mode that operates directly on the database, without using the " +"man:kadmind[8] network service, as `kadmin -l`. This resolves the chicken-" +"and-egg problem of trying to connect to the database before it is created. " +"At the `kadmin` prompt, use `init` to create the realm's initial database:" +msgstr "" +"После создания мастер-ключа следует инициализировать базу данных. Утилита " +"администрирования Kerberos man:kadmin[8] может быть использована на KDC в " +"режиме, который работает напрямую с базой данных, без использования сетевого " +"сервиса man:kadmind[8], как `kadmin -l`. Это решает проблему курицы и яйца, " +"когда попытка подключения к базе данных происходит до её создания. В " +"командной строке `kadmin` используйте `init` для создания начальной базы " +"данных realm:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1296 +#, no-wrap +msgid "" +"# kadmin -l\n" +"kadmin> init EXAMPLE.ORG\n" +"Realm max ticket life [unlimited]:\n" +msgstr "" +"# kadmin -l\n" +"kadmin> init EXAMPLE.ORG\n" +"Realm max ticket life [unlimited]:\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1301 +msgid "" +"Lastly, while still in `kadmin`, create the first principal using `add`. " +"Stick to the default options for the principal for now, as these can be " +"changed later with `modify`. Type `?` at the prompt to see the available " +"options." +msgstr "" +"Наконец, оставаясь в `kadmin`, создайте первый принципал с помощью команды " +"`add`. Пока придерживайтесь стандартных настроек для принципала, так как их " +"можно изменить позже с помощью команды `modify`. Введите `?` в командной " +"строке, чтобы увидеть доступные опции." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1305 +#, no-wrap +msgid "kadmin> add tillman\n" +msgstr "kadmin> add tillman\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1318 +#, no-wrap +msgid "" +"Max ticket life [unlimited]:\n" +"Max renewable life [unlimited]:\n" +"Principal expiration time [never]:\n" +"Password expiration time [never]:\n" +"Attributes []:\n" +"Password: xxxxxxxx\n" +"Verifying password - Password: xxxxxxxx\n" +msgstr "" +"Max ticket life [unlimited]:\n" +"Max renewable life [unlimited]:\n" +"Principal expiration time [never]:\n" +"Password expiration time [never]:\n" +"Attributes []:\n" +"Password: xxxxxxxx\n" +"Verifying password - Password: xxxxxxxx\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1321 +msgid "Next, start the KDC services by running:" +msgstr "Далее запустите службы KDC, выполнив:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1326 +#, no-wrap +msgid "" +"# service kdc start\n" +"# service kadmind start\n" +msgstr "" +"# service kdc start\n" +"# service kadmind start\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1329 +msgid "" +"While there will not be any kerberized daemons running at this point, it is " +"possible to confirm that the KDC is functioning by obtaining a ticket for " +"the principal that was just created:" +msgstr "" +"Хотя на этом этапе не будет запущено никаких сервисов с поддержкой Kerberos, " +"можно убедиться, что KDC функционирует, получив билет для только что " +"созданного принципала:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1333 +#, no-wrap +msgid "% kinit tillman\n" +msgstr "% kinit tillman\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1340 +#, no-wrap +msgid "tillman@EXAMPLE.ORG's Password:\n" +msgstr "tillman@EXAMPLE.ORG's Password:\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1343 +msgid "Confirm that a ticket was successfully obtained using `klist`:" +msgstr "Подтвердите успешное получение билета с помощью `klist`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1347 +#, no-wrap +msgid "% klist\n" +msgstr "% klist\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1355 +#, no-wrap +msgid "" +"Credentials cache: FILE:/tmp/krb5cc_1001\n" +"\tPrincipal: tillman@EXAMPLE.ORG\n" +msgstr "" +"Credentials cache: FILE:/tmp/krb5cc_1001\n" +"\tPrincipal: tillman@EXAMPLE.ORG\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1358 +#, no-wrap +msgid "" +" Issued Expires Principal\n" +"Aug 27 15:37:58 2013 Aug 28 01:37:58 2013 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG\n" +msgstr "" +" Issued Expires Principal\n" +"Aug 27 15:37:58 2013 Aug 28 01:37:58 2013 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1361 +msgid "The temporary ticket can be destroyed when the test is finished:" +msgstr "Временный билет можно уничтожить после завершения теста:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1365 +#, no-wrap +msgid "% kdestroy\n" +msgstr "% kdestroy\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1367 +#, no-wrap +msgid "Configuring a Server to Use Kerberos" +msgstr "Настройка сервера для использования Kerberos" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1371 +msgid "" +"The first step in configuring a server to use Kerberos authentication is to " +"ensure that it has the correct configuration in [.filename]#/etc/" +"krb5.conf#. The version from the KDC can be used as-is, or it can be " +"regenerated on the new system." +msgstr "" +"Первым шагом в настройке сервера для использования аутентификации Kerberos " +"является проверка правильности конфигурации в файле [.filename]#/etc/" +"krb5.conf#. Версию с KDC можно использовать как есть или пересоздать на " +"новой системе." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1380 +msgid "" +"Next, create [.filename]#/etc/krb5.keytab# on the server. This is the main " +"part of \"Kerberizing\" a service - it corresponds to generating a secret " +"shared between the service and the KDC. The secret is a cryptographic key, " +"stored in a \"keytab\". The keytab contains the server's host key, which " +"allows it and the KDC to verify each others' identity. It must be " +"transmitted to the server in a secure fashion, as the security of the server " +"can be broken if the key is made public. Typically, the [.filename]#keytab# " +"is generated on an administrator's trusted machine using `kadmin`, then " +"securely transferred to the server, e.g., with man:scp[1]; it can also be " +"created directly on the server if that is consistent with the desired " +"security policy. It is very important that the keytab is transmitted to the " +"server in a secure fashion: if the key is known by some other party, that " +"party can impersonate any user to the server! Using `kadmin` on the server " +"directly is convenient, because the entry for the host principal in the KDC " +"database is also created using `kadmin`." +msgstr "" +"Затем создайте файл [.filename]#/etc/krb5.keytab# на сервере. Это основная " +"часть процесса \"керберизации\" службы — она соответствует созданию общего " +"секрета между службой и KDC. Секрет представляет собой криптографический " +"ключ, хранящийся в \"keytab\". Keytab содержит хост-ключ сервера, который " +"позволяет ему и KDC проверять подлинность друг друга. Этот файл должен быть " +"передан на сервер безопасным способом, так как если ключ станет " +"общедоступным, безопасность сервера может быть нарушена. Обычно " +"[.filename]#keytab# генерируется на доверенной машине администратора с " +"помощью `kadmin`, а затем безопасно передается на сервер, например, с " +"помощью man:scp[1]; его также можно создать непосредственно на сервере, если " +"это соответствует выбранной политике безопасности. Очень важно, чтобы keytab " +"был передан на сервер безопасным способом: если ключ станет известен третьей " +"стороне, эта сторона сможет выдавать себя за любого пользователя на сервере! " +"Использование `kadmin` непосредственно на сервере удобно, так как запись для " +"хостового принципала в базе данных KDC также создается с помощью `kadmin`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1384 +msgid "" +"Of course, `kadmin` is a kerberized service; a Kerberos ticket is needed to " +"authenticate to the network service, but to ensure that the user running " +"`kadmin` is actually present (and their session has not been hijacked), " +"`kadmin` will prompt for the password to get a fresh ticket. The principal " +"authenticating to the kadmin service must be permitted to use the `kadmin` " +"interface, as specified in [.filename]#/var/heimdal/kadmind.acl#. See the " +"section titled \"Remote administration\" in `info heimdal` for details on " +"designing access control lists. Instead of enabling remote `kadmin` access, " +"the administrator could securely connect to the KDC via the local console or " +"man:ssh[1], and perform administration locally using `kadmin -l`." +msgstr "" +"Конечно, `kadmin` — это керберизованный сервис; для аутентификации в сетевой " +"службе необходим билет Kerberos, но чтобы убедиться, что пользователь, " +"запускающий `kadmin`, действительно присутствует (и его сеанс не был " +"захвачен), `kadmin` запросит пароль для получения нового билета. Учётная " +"запись, аутентифицирующаяся в службе kadmin, должна иметь разрешение на " +"использование интерфейса `kadmin`, как указано в [.filename]#/var/heimdal/" +"kadmind.acl#. Подробнее о создании списков контроля доступа см. в разделе " +"«Удалённое администрирование» в `info heimdal`. Вместо включения удалённого " +"доступа к `kadmin` администратор может безопасно подключиться к KDC через " +"локальную консоль или man:ssh[1] и выполнять администрирование локально с " +"помощью `kadmin -l`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1388 +msgid "" +"After installing [.filename]#/etc/krb5.conf#, use `add --random-key` in " +"`kadmin`. This adds the server's host principal to the database, but does " +"not extract a copy of the host principal key to a keytab. To generate the " +"keytab, use `ext` to extract the server's host principal key to its own " +"keytab:" +msgstr "" +"После установки [.filename]#/etc/krb5.conf# используйте `add --random-key` в " +"`kadmin`. Это добавит главный серверный принципал в базу данных, но не " +"извлечет копию ключа главного принципала в keytab. Чтобы сгенерировать " +"keytab, используйте `ext` для извлечения ключа главного серверного " +"принципала в его собственный keytab:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1392 +#: documentation/content/en/books/handbook/security/_index.adoc:1414 +#, no-wrap +msgid "# kadmin\n" +msgstr "# kadmin\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1406 +#, no-wrap +msgid "" +"kadmin> add --random-key host/myserver.example.org\n" +"Max ticket life [unlimited]:\n" +"Max renewable life [unlimited]:\n" +"Principal expiration time [never]:\n" +"Password expiration time [never]:\n" +"Attributes []:\n" +"kadmin> ext_keytab host/myserver.example.org\n" +"kadmin> exit\n" +msgstr "" +"kadmin> add --random-key host/myserver.example.org\n" +"Max ticket life [unlimited]:\n" +"Max renewable life [unlimited]:\n" +"Principal expiration time [never]:\n" +"Password expiration time [never]:\n" +"Attributes []:\n" +"kadmin> ext_keytab host/myserver.example.org\n" +"kadmin> exit\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1410 +msgid "" +"Note that `ext_keytab` stores the extracted key in [.filename]#/etc/" +"krb5.keytab# by default. This is good when being run on the server being " +"kerberized, but the `--keytab _path/to/file_` argument should be used when " +"the keytab is being extracted elsewhere:" +msgstr "" +"Обратите внимание, что `ext_keytab` по умолчанию сохраняет извлечённый ключ " +"в [.filename]#/etc/krb5.keytab#. Это удобно при выполнении на сервере, " +"который керберизируется, но следует использовать аргумент `--keytab _путь/к/" +"файлу_`, когда извлечение keytab происходит на другом устройстве:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1422 +#, no-wrap +msgid "" +"kadmin> ext_keytab --keytab=/tmp/example.keytab host/myserver.example.org\n" +"kadmin> exit\n" +msgstr "" +"kadmin> ext_keytab --keytab=/tmp/example.keytab host/myserver.example.org\n" +"kadmin> exit\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1426 +msgid "" +"The keytab can then be securely copied to the server using man:scp[1] or a " +"removable media. Be sure to specify a non-default keytab name to avoid " +"inserting unneeded keys into the system's keytab." +msgstr "" +"Затем файл keytab можно безопасно скопировать на сервер с помощью man:scp[1] " +"или съемного носителя. Убедитесь, что указано нестандартное имя keytab, " +"чтобы избежать добавления ненужных ключей в системный keytab." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1431 +msgid "" +"At this point, the server can read encrypted messages from the KDC using its " +"shared key, stored in [.filename]#krb5.keytab#. It is now ready for the " +"Kerberos-using services to be enabled. One of the most common such services " +"is man:sshd[8], which supports Kerberos via the GSS-API. In [.filename]#/" +"etc/ssh/sshd_config#, add the line:" +msgstr "" +"На этом этапе сервер может читать зашифрованные сообщения от KDC, используя " +"свой общий ключ, хранящийся в [.filename]#krb5.keytab#. Теперь он готов к " +"включению служб, использующих Kerberos. Одна из самых распространённых таких " +"служб — man:sshd[8], которая поддерживает Kerberos через GSS-API. В файле " +"[.filename]#/etc/ssh/sshd_config# добавьте строку:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1435 +#, no-wrap +msgid "GSSAPIAuthentication yes\n" +msgstr "GSSAPIAuthentication yes\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1438 +msgid "" +"After making this change, man:sshd[8] must be restarted for the new " +"configuration to take effect: `service sshd restart`." +msgstr "" +"После внесения этого изменения необходимо перезапустить `man:sshd[8]`, чтобы " +"новая конфигурация вступила в силу: `service sshd restart`." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1439 +#, no-wrap +msgid "Configuring a Client to Use Kerberos" +msgstr "Настройка клиента для использования Kerberos" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1443 +msgid "" +"As it was for the server, the client requires configuration in [.filename]#/" +"etc/krb5.conf#. Copy the file in place (securely) or re-enter it as needed." +msgstr "" +"Как и для сервера, клиенту требуется настройка в [.filename]#/etc/" +"krb5.conf#. Скопируйте файл (безопасным способом) или введите его заново при " +"необходимости." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1448 +msgid "" +"Test the client by using `kinit`, `klist`, and `kdestroy` from the client to " +"obtain, show, and then delete a ticket for an existing principal. Kerberos " +"applications should also be able to connect to Kerberos enabled servers. If " +"that does not work but obtaining a ticket does, the problem is likely with " +"the server and not with the client or the KDC. In the case of kerberized " +"man:ssh[1], GSS-API is disabled by default, so test using `ssh -o " +"GSSAPIAuthentication=yes _hostname_`." +msgstr "" +"Проверьте клиент, используя `kinit`, `klist` и `kdestroy` на клиенте, чтобы " +"получить, отобразить, а затем удалить билет для существующего принципала. " +"Приложения Kerberos также должны иметь возможность подключаться к серверам с " +"поддержкой Kerberos. Если это не работает, но получение билета проходит " +"успешно, проблема, скорее всего, на стороне сервера, а не клиента или KDC. В " +"случае с kerberized man:ssh[1], GSS-API по умолчанию отключен, поэтому " +"проверьте с помощью `ssh -o GSSAPIAuthentication=yes _имя_хоста_`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1450 +msgid "" +"When testing a Kerberized application, try using a packet sniffer such as " +"`tcpdump` to confirm that no sensitive information is sent in the clear." +msgstr "" +"При тестировании приложения с поддержкой Kerberos попробуйте использовать " +"анализатор трафика, например `tcpdump`, чтобы убедиться, что " +"конфиденциальная информация не передаётся в открытом виде." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1453 +msgid "" +"Various Kerberos client applications are available. With the advent of a " +"bridge so that applications using SASL for authentication can use GSS-API " +"mechanisms as well, large classes of client applications can use Kerberos " +"for authentication, from Jabber clients to IMAP clients." +msgstr "" +"Доступны различные клиентские приложения Kerberos. С появлением моста, " +"позволяющего приложениям, использующим SASL для аутентификации, также " +"применять механизмы GSS-API, широкий спектр клиентских приложений — от " +"клиентов Jabber до клиентов IMAP — может использовать Kerberos для " +"аутентификации." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1458 +msgid "" +"Users within a realm typically have their Kerberos principal mapped to a " +"local user account. Occasionally, one needs to grant access to a local user " +"account to someone who does not have a matching Kerberos principal. For " +"example, `tillman@EXAMPLE.ORG` may need access to the local user account " +"`webdevelopers`. Other principals may also need access to that local " +"account." +msgstr "" +"Пользователи в пределах realm обычно имеют свой Kerberos-принципал, " +"сопоставленный с локальной учетной записью. Иногда необходимо предоставить " +"доступ к локальной учетной записи пользователю, у которого нет " +"соответствующего Kerberos-принципала. Например, `tillman@EXAMPLE.ORG` может " +"потребоваться доступ к локальной учетной записи `webdevelopers`. Другие " +"принципалы также могут нуждаться в доступе к этой локальной учетной записи." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1461 +msgid "" +"The [.filename]#.k5login# and [.filename]#.k5users# files, placed in a " +"user's home directory, can be used to solve this problem. For example, if " +"the following [.filename]#.k5login# is placed in the home directory of " +"`webdevelopers`, both principals listed will have access to that account " +"without requiring a shared password:" +msgstr "" +"Файлы [.filename]#.k5login# и [.filename]#.k5users#, размещённые в домашнем " +"каталоге пользователя, могут быть использованы для решения этой проблемы. " +"Например, если следующий [.filename]#.k5login# поместить в домашний каталог " +"пользователя `webdevelopers`, оба указанных принципала получат доступ к этой " +"учётной записи без необходимости использования общего пароля:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1466 +#, no-wrap +msgid "" +"tillman@example.org\n" +"jdoe@example.org\n" +msgstr "" +"tillman@example.org\n" +"jdoe@example.org\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1469 +msgid "Refer to man:ksu[1] for more information about [.filename]#.k5users#." +msgstr "" +"Обратитесь к man:ksu[1] для получения дополнительной информации о " +"[.filename]#.k5users#." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1470 +#, no-wrap +msgid "MIT Differences" +msgstr "Различия MIT" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1474 +msgid "" +"The major difference between the MIT and Heimdal implementations is that " +"`kadmin` has a different, but equivalent, set of commands and uses a " +"different protocol. If the KDC is MIT, the Heimdal version of `kadmin` " +"cannot be used to administer the KDC remotely, and vice versa." +msgstr "" +"Основное различие между реализациями MIT и Heimdal заключается в том, что " +"`kadmin` имеет разные, но эквивалентные наборы команд и использует разные " +"протоколы. Если KDC — MIT, то версия `kadmin` от Heimdal не может " +"использоваться для удалённого администрирования KDC, и наоборот." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1478 +msgid "" +"Client applications may also use slightly different command line options to " +"accomplish the same tasks. Following the instructions at http://web.mit.edu/" +"Kerberos/www/[http://web.mit.edu/Kerberos/www/] is recommended. Be careful " +"of path issues: the MIT port installs into [.filename]#/usr/local/# by " +"default, and the FreeBSD system applications run instead of the MIT versions " +"if `PATH` lists the system directories first." +msgstr "" +"Клиентские приложения также могут использовать немного другие параметры " +"командной строки для выполнения тех же задач. Рекомендуется следовать " +"инструкциям на сайте http://web.mit.edu/Kerberos/www/[http://web.mit.edu/" +"Kerberos/www/]. Обратите внимание на пути: порт MIT по умолчанию " +"устанавливается в [.filename]#/usr/local/#, а системные приложения FreeBSD " +"будут запускаться вместо версий MIT, если `PATH` указывает на системные " +"директории в первую очередь." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1480 +msgid "" +"When using MIT Kerberos as a KDC on FreeBSD, execute the following commands " +"to add the required configurations to [.filename]#/etc/rc.conf#:" +msgstr "" +"При использовании MIT Kerberos в качестве KDC на FreeBSD выполните следующие " +"команды, чтобы добавить необходимые конфигурации в [.filename]#/etc/rc.conf#:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1488 +#, no-wrap +msgid "" +"# sysrc kdc_program=\"/usr/local/sbin/krb5kdc\"\n" +"# sysrc kadmind_program=\"/usr/local/sbin/kadmind\"\n" +"# sysrc kdc_flags=\"\"\n" +"# sysrc kdc_enable=\"YES\"\n" +"# sysrc kadmind_enable=\"YES\"\n" +msgstr "" +"# sysrc kdc_program=\"/usr/local/sbin/krb5kdc\"\n" +"# sysrc kadmind_program=\"/usr/local/sbin/kadmind\"\n" +"# sysrc kdc_flags=\"\"\n" +"# sysrc kdc_enable=\"YES\"\n" +"# sysrc kadmind_enable=\"YES\"\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1490 +#, no-wrap +msgid "Kerberos Tips, Tricks, and Troubleshooting" +msgstr "Советы, хитрости и устранение неполадок Kerberos" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1493 +msgid "" +"When configuring and troubleshooting Kerberos, keep the following points in " +"mind:" +msgstr "" +"При настройке и устранении неполадок Kerberos учитывайте следующие моменты:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1495 +msgid "" +"When using either Heimdal or MITKerberos from ports, ensure that the `PATH` " +"lists the port's versions of the client applications before the system " +"versions." +msgstr "" +"При использовании Heimdal или MITKerberos из портов убедитесь, что в `PATH` " +"версии клиентских приложений из портов указаны перед системными версиями." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1496 +msgid "" +"If all the computers in the realm do not have synchronized time settings, " +"authentication may fail. crossref:network-servers[network-ntp,“Clock " +"Synchronization with NTP”] describes how to synchronize clocks using NTP." +msgstr "" +"Если временные настройки всех компьютеров в домене не синхронизированы, " +"аутентификация может завершиться неудачей. crossref:network-servers[network-" +"ntp,“Синхронизация часов с помощью NTP”] описывает, как синхронизировать " +"часы с использованием NTP." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1497 +msgid "" +"If the hostname is changed, the `host/` principal must be changed and the " +"keytab updated. This also applies to special keytab entries like the `HTTP/` " +"principal used for Apache's package:www/mod_auth_kerb[]." +msgstr "" +"Если имя хоста изменено, необходимо изменить принципал `host/` и обновить " +"keytab. Это также относится к особым записям keytab, таким как принципал " +"`HTTP/`, используемый для пакета Apache package:www/mod_auth_kerb[]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1498 +msgid "" +"All hosts in the realm must be both forward and reverse resolvable in DNS " +"or, at a minimum, exist in [.filename]#/etc/hosts#. CNAMEs will work, but " +"the A and PTR records must be correct and in place. The error message for " +"unresolvable hosts is not intuitive: `Kerberos5 refuses authentication " +"because Read req failed: Key table entry not found`." +msgstr "" +"Все узлы в области должны разрешаться как в прямом, так и в обратном " +"направлении через DNS или, как минимум, присутствовать в [.filename]#/etc/" +"hosts#. CNAME-записи будут работать, но A- и PTR-записи должны быть " +"корректными и присутствовать. Сообщение об ошибке для неразрешимых узлов " +"неочевидно: `Kerberos5 refuses authentication because Read req failed: Key " +"table entry not found`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1499 +msgid "" +"Some operating systems that act as clients to the KDC do not set the " +"permissions for `ksu` to be setuid `root`. This means that `ksu` does not " +"work. This is a permissions problem, not a KDC error." +msgstr "" +"Некоторые операционные системы, выступающие в роли клиентов KDC, не " +"устанавливают для `ksu` права setuid `root`. Это означает, что `ksu` не " +"работает. Это проблема прав доступа, а не ошибка KDC." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1500 +msgid "" +"With MITKerberos, to allow a principal to have a ticket life longer than the " +"default lifetime of ten hours, use `modify_principal` at the man:kadmin[8] " +"prompt to change the `maxlife` of both the principal in question and the " +"`krbtgt` principal. The principal can then use `kinit -l` to request a " +"ticket with a longer lifetime." +msgstr "" +"С использованием MITKerberos, чтобы разрешить принципалу иметь билет сроком " +"действия больше стандартных десяти часов, используйте `modify_principal` в " +"командной строке man:kadmin[8], чтобы изменить `maxlife` как для нужного " +"принципала, так и для принципала `krbtgt`. После этого принципал может " +"использовать `kinit -l` для запроса билета с увеличенным сроком действия." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1501 +msgid "" +"When running a packet sniffer on the KDC to aid in troubleshooting while " +"running `kinit` from a workstation, the Ticket Granting Ticket (TGT) is sent " +"immediately, even before the password is typed. This is because the Kerberos " +"server freely transmits a TGT to any unauthorized request. However, every " +"TGT is encrypted in a key derived from the user's password. When a user " +"types their password, it is not sent to the KDC, it is instead used to " +"decrypt the TGT that `kinit` already obtained. If the decryption process " +"results in a valid ticket with a valid time stamp, the user has valid " +"Kerberos credentials. These credentials include a session key for " +"establishing secure communications with the Kerberos server in the future, " +"as well as the actual TGT, which is encrypted with the Kerberos server's own " +"key. This second layer of encryption allows the Kerberos server to verify " +"the authenticity of each TGT." +msgstr "" +"При запуске сниффера пакетов на KDC для устранения неполадок во время " +"выполнения `kinit` с рабочей станции, билет на получение билетов (TGT) " +"отправляется немедленно, даже до ввода пароля. Это происходит потому, что " +"сервер Kerberos свободно передаёт TGT на любой неавторизованный запрос. " +"Однако каждый TGT зашифрован с использованием ключа, производного от пароля " +"пользователя. Когда пользователь вводит свой пароль, он не отправляется на " +"KDC, а вместо этого используется для расшифровки TGT, который `kinit` уже " +"получил. Если процесс расшифровки приводит к действительному билету с " +"корректной временной меткой, пользователь получает действительные учётные " +"данные Kerberos. Эти учётные данные включают в себя сеансовый ключ для " +"установления безопасного соединения с сервером Kerberos в будущем, а также " +"сам TGT, зашифрованный собственным ключом сервера Kerberos. Этот второй " +"уровень шифрования позволяет серверу Kerberos проверять подлинность каждого " +"TGT." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1502 +msgid "" +"Host principals can have a longer ticket lifetime. If the user principal has " +"a lifetime of a week but the host being connected to has a lifetime of nine " +"hours, the user cache will have an expired host principal and the ticket " +"cache will not work as expected." +msgstr "" +"Принципалы хостов могут иметь более длительное время жизни билета. Если " +"принципал пользователя имеет время жизни в неделю, а у хоста, к которому " +"происходит подключение, время жизни составляет девять часов, кэш " +"пользователя будет содержать просроченный принципал хоста, и кэш билетов не " +"будет работать должным образом." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1503 +msgid "" +"When setting up [.filename]#krb5.dict# to prevent specific bad passwords " +"from being used as described in man:kadmind[8], remember that it only " +"applies to principals that have a password policy assigned to them. The " +"format used in [.filename]#krb5.dict# is one string per line. Creating a " +"symbolic link to [.filename]#/usr/share/dict/words# might be useful." +msgstr "" +"При настройке файла [.filename]#krb5.dict# для запрета использования " +"определённых слабых паролей, как описано в man:kadmind[8], помните, что он " +"применяется только к принципалам, для которых назначена политика паролей. " +"Формат файла [.filename]#krb5.dict# предполагает одну строку на каждую " +"запись. Может быть полезно создать символическую ссылку на [.filename]#/usr/" +"share/dict/words#." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1504 +#, no-wrap +msgid "Mitigating Kerberos Limitations" +msgstr "Смягчение ограничений Kerberos" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1509 +msgid "" +"Since Kerberos is an all or nothing approach, every service enabled on the " +"network must either be modified to work with Kerberos or be otherwise " +"secured against network attacks. This is to prevent user credentials from " +"being stolen and re-used. An example is when Kerberos is enabled on all " +"remote shells but the non-Kerberized POP3 mail server sends passwords in " +"plain text." +msgstr "" +"Поскольку Kerberos — это подход «всё или ничего», каждая служба, включённая " +"в сети, должна быть либо изменена для работы с Kerberos, либо защищена от " +"сетевых атак другим способом. Это необходимо для предотвращения кражи и " +"повторного использования учётных данных пользователей. Например, если " +"Kerberos включён для всех удалённых оболочек, но не поддерживающий Kerberos " +"POP3-сервер передаёт пароли в открытом виде." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1514 +msgid "" +"The KDC is a single point of failure. By design, the KDC must be as secure " +"as its master password database. The KDC should have absolutely no other " +"services running on it and should be physically secure. The danger is high " +"because Kerberos stores all passwords encrypted with the same master key " +"which is stored as a file on the KDC." +msgstr "" +"KDC представляет собой единую точку отказа. По замыслу, KDC должен быть " +"таким же защищенным, как и его главная база данных паролей. На KDC не должно " +"быть запущено никаких других служб, и он должен быть физически защищен. Риск " +"очень высок, поскольку Kerberos хранит все пароли, зашифрованные одним " +"главным ключом, который хранится в виде файла на KDC." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1518 +msgid "" +"A compromised master key is not quite as bad as one might fear. The master " +"key is only used to encrypt the Kerberos database and as a seed for the " +"random number generator. As long as access to the KDC is secure, an " +"attacker cannot do much with the master key." +msgstr "" +"Скомпрометированный мастер-ключ не так страшен, как может показаться. Мастер-" +"ключ используется только для шифрования базы данных Kerberos и в качестве " +"затравки для генератора случайных чисел. Пока доступ к KDC защищен, " +"злоумышленник не сможет сделать многое с мастер-ключом." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1521 +msgid "" +"If the KDC is unavailable, network services are unusable as authentication " +"cannot be performed. This can be alleviated with a single master KDC and " +"one or more slaves, and with careful implementation of secondary or fall-" +"back authentication using PAM." +msgstr "" +"Если KDC недоступен, сетевые службы становятся непригодными к использованию, " +"так как аутентификация не может быть выполнена. Это можно смягчить, " +"используя один основной KDC и один или несколько подчинённых, а также " +"тщательно реализовав вторичную или резервную аутентификацию с помощью PAM." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1526 +msgid "" +"Kerberos allows users, hosts and services to authenticate between " +"themselves. It does not have a mechanism to authenticate the KDC to the " +"users, hosts, or services. This means that a trojaned `kinit` could record " +"all user names and passwords. File system integrity checking tools like " +"package:security/tripwire[] can alleviate this." +msgstr "" +"Kerberos позволяет пользователям, хостам и службам аутентифицироваться между " +"собой. Однако у него нет механизма для аутентификации KDC перед " +"пользователями, хостами или службами. Это означает, что троянская версия " +"`kinit` может записывать все имена пользователей и пароли. Инструменты " +"проверки целостности файловой системы, такие как package:security/" +"tripwire[], могут помочь смягчить эту проблему." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1527 +#, no-wrap +msgid "Resources and Further Information" +msgstr "Ресурсы и дополнительная информация" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1530 +msgid "" +"http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html[The Kerberos FAQ]" +msgstr "" +"http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html[Часто задаваемые " +"вопросы Kerberos]" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1531 +msgid "" +"http://web.mit.edu/Kerberos/www/dialogue.html[Designing an Authentication " +"System: a Dialog in Four Scenes]" +msgstr "" +"http://web.mit.edu/Kerberos/www/dialogue.html[Проектирование системы " +"аутентификации: диалог в четырех сценах]" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1532 +msgid "" +"https://www.ietf.org/rfc/rfc4120.txt[RFC 4120, The Kerberos Network " +"Authentication Service (V5)]" +msgstr "" +"https://www.ietf.org/rfc/rfc4120.txt[RFC 4120, The Kerberos Network " +"Authentication Service (V5)]" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1533 +msgid "http://web.mit.edu/Kerberos/www/[MIT Kerberos home page]" +msgstr "http://web.mit.edu/Kerberos/www/[Домашняя страница MIT Kerberos]" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1534 +msgid "" +"https://github.com/heimdal/heimdal/wiki[Heimdal Kerberos project wiki page]" +msgstr "" +"https://github.com/heimdal/heimdal/wiki[Wiki страница проекта Heimdal " +"Kerberos]" + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1536 +#, no-wrap +msgid "TCP Wrappers" +msgstr "TCP Wrappers" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1541 +msgid "" +"TCP Wrappers is a host-based network access control system. By intercepting " +"incoming network requests before they reach the actual network service, TCP " +"Wrappers assess whether the source IP address is permitted or denied access " +"based on predefined rules in configuration files." +msgstr "" +"TCP Wrappers — это система контроля сетевого доступа на основе хоста. " +"Перехватывая входящие сетевые запросы до их поступления к реальному сетевому " +"сервису, TCP Wrappers определяет, разрешен или запрещен доступ для исходного " +"IP-адреса, на основе предопределенных правил в конфигурационных файлах." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1544 +msgid "" +"However, while TCP Wrappers provide basic access control, they should not be " +"considered a substitute for more robust security measures. For " +"comprehensive protection, it's recommended to use advanced technologies like " +"firewalls, along with proper user authentication practices and intrusion " +"detection systems." +msgstr "" +"Однако, хотя TCP Wrappers обеспечивают базовый контроль доступа, их не " +"следует рассматривать как замену более надежным мерам безопасности. Для " +"всесторонней защиты рекомендуется использовать передовые технологии, такие " +"как межсетевые экраны, вместе с надлежащими методами аутентификации " +"пользователей и системами обнаружения вторжений." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1546 +#, no-wrap +msgid "Initial Configuration" +msgstr "Начальная настройка" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1550 +msgid "" +"TCP Wrappers are enabled by default in man:inetd[8]. So the first step will " +"be to enable man:inetd[8] executing the following commands:" +msgstr "" +"TCP Wrappers включены по умолчанию в man:inetd[8]. Первым шагом будет " +"включение man:inetd[8] выполнением следующих команд:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1555 +#, no-wrap +msgid "" +"# sysrc inetd_enable=\"YES\"\n" +"# service inetd start\n" +msgstr "" +"# sysrc inetd_enable=\"YES\"\n" +"# service inetd start\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1558 +msgid "Then, properly configure [.filename]#/etc/hosts.allow#." +msgstr "Затем правильно настройте [.filename]#/etc/hosts.allow#." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1563 +msgid "" +"Unlike other implementations of TCP Wrappers, the use of " +"[.filename]#hosts.deny# is deprecated in FreeBSD. All configuration options " +"should be placed in [.filename]#/etc/hosts.allow#." +msgstr "" +"В отличие от других реализаций TCP Wrappers, использование " +"[.filename]#hosts.deny# в FreeBSD считается устаревшим. Все параметры " +"конфигурации должны размещаться в [.filename]#/etc/hosts.allow#." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1567 +msgid "" +"In the simplest configuration, daemon connection policies are set to either " +"permit or block, depending on the options in [.filename]#/etc/hosts.allow#. " +"The default configuration in FreeBSD is to allow all connections to the " +"daemons started with inetd." +msgstr "" +"В простейшей конфигурации политики подключения к демонам устанавливаются на " +"разрешение или блокировку в зависимости от параметров в [.filename]#/etc/" +"hosts.allow#. Конфигурация по умолчанию в FreeBSD разрешает все подключения " +"к демонам, запущенным через inetd." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1571 +msgid "" +"Basic configuration usually takes the form of `daemon : address : action`, " +"where `daemon` is the daemon which inetd started, `address` is a valid " +"hostname, IP address, or an IPv6 address enclosed in brackets ([ ]), and " +"`action` is either `allow` or `deny`. TCP Wrappers uses a first rule match " +"semantic, meaning that the configuration file is scanned from the beginning " +"for a matching rule. When a match is found, the rule is applied and the " +"search process stops." +msgstr "" +"Базовая конфигурация обычно имеет вид `daemon : address : action`, где " +"`daemon` — это демон, запущенный inetd, `address` — допустимое имя хоста, IP-" +"адрес или адрес IPv6, заключённый в квадратные скобки ([ ]), а `action` — " +"либо `allow`, либо `deny`. TCP Wrappers использует семантику первого " +"совпадения, то есть файл конфигурации сканируется с начала до первого " +"совпадающего правила. При обнаружении совпадения правило применяется, и " +"процесс поиска прекращается." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1573 +msgid "" +"For example, to allow POP3 connections via the package:mail/qpopper[] " +"daemon, the following lines should be appended to [.filename]#/etc/" +"hosts.allow#:" +msgstr "" +"Например, чтобы разрешить соединения POP3 через демон package:mail/" +"qpopper[], в файл [.filename]#/etc/hosts.allow# следует добавить следующие " +"строки:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1578 +#, no-wrap +msgid "" +"# This line is required for POP3 connections:\n" +"qpopper : ALL : allow\n" +msgstr "" +"# This line is required for POP3 connections:\n" +"qpopper : ALL : allow\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1581 +msgid "Whenever this file is edited, restart inetd:" +msgstr "Всякий раз, когда редактируется этот файл, перезапустите inetd:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1585 +#, no-wrap +msgid "# service inetd restart\n" +msgstr "# service inetd restart\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1588 +#, no-wrap +msgid "Advanced Configuration" +msgstr "Расширенная Настройка" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1596 +msgid "" +"TCP Wrappers provides advanced options to allow more control over the way " +"connections are handled. In some cases, it may be appropriate to return a " +"comment to certain hosts or daemon connections. In other cases, a log entry " +"should be recorded or an email sent to the administrator. Other situations " +"may require the use of a service for local connections only. This is all " +"possible through the use of configuration options known as wildcards, " +"expansion characters, and external command execution. To learn more about " +"wildcards and their associated functionality, refer to man:hosts_access[5]." +msgstr "" +"TCP Wrappers предоставляет расширенные возможности для более тонкого " +"управления обработкой соединений. В некоторых случаях может быть уместно " +"отправить сообщение определённым хостам или демонам при подключении. В " +"других ситуациях может потребоваться сделать запись в журнал или отправить " +"письмо администратору. Также бывают случаи, когда сервис должен быть " +"доступен только для локальных соединений. Всё это возможно благодаря " +"использованию параметров конфигурации, известных как шаблоны (wildcards), " +"символы подстановки и выполнение внешних команд. Для получения " +"дополнительной информации о шаблонах и связанной с ними функциональности " +"обратитесь к man:hosts_access[5]." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1598 +#, no-wrap +msgid "Access Control Lists" +msgstr "Списки контроля доступа" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1603 +msgid "" +"Access Control Lists (ACLs) extend traditional UNIX(R) file permissions by " +"allowing fine-grained access control for users and groups on a per-file or " +"per-directory basis. Each ACL entry defines a user or group and the " +"associated permissions, such as read, write, and execute. FreeBSD provides " +"commands like man:getfacl[1] and man:setfacl[1] to manage ACLs." +msgstr "" +"Списки контроля доступа (Access Control Lists — ACL) расширяют традиционные " +"права доступа UNIX(R), позволяя детально управлять доступом пользователей и " +"групп к отдельным файлам или каталогам. Каждая запись ACL определяет " +"пользователя или группу и связанные с ними права, такие как чтение, запись и " +"выполнение. FreeBSD предоставляет команды, такие как man:getfacl[1] и " +"man:setfacl[1], для управления ACL." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1606 +msgid "" +"ACLs are useful in scenarios requiring more specific access control than " +"standard permissions, commonly used in multi-user environments or shared " +"hosting. However, complexity may be unavoidable, but careful planning is " +"required to ensure that the desired security properties are being provided" +msgstr "" +"ACL полезны в сценариях, требующих более детального контроля доступа, чем " +"стандартные разрешения, обычно используемые в многопользовательских средах " +"или на shared-хостингах. Однако сложность может быть неизбежной, но " +"требуется тщательное планирование, чтобы обеспечить желаемые свойства " +"безопасности" + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1611 +msgid "" +"FreeBSD supports the implementation of NFSv4 ACLs in both UFS and OpenZFS. " +"Please note that some arguments to the man:setfacl[1] command only work with " +"POSIX ACLs and others in NFSv4 ACLs." +msgstr "" +"FreeBSD поддерживает реализацию NFSv4 ACL как в UFS, так и в OpenZFS. " +"Обратите внимание, что некоторые аргументы команды man:setfacl[1] работают " +"только с POSIX ACL, а другие — с NFSv4 ACL." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1614 +#, no-wrap +msgid "Enabling ACL Support in UFS" +msgstr "Включение поддержки ACL в UFS" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1617 +msgid "" +"ACLs are enabled by the mount-time administrative flag, `acls`, which may be " +"added to [.filename]#/etc/fstab#." +msgstr "" +"ACL включаются с помощью административного флага при монтировании `acls`, " +"который может быть добавлен в [.filename]#/etc/fstab#." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1619 +msgid "" +"Therefore it will be necessary to access [.filename]#/etc/fstab# and in the " +"options section add the `acls` flag as follows:" +msgstr "" +"Следовательно, необходимо получить доступ к [.filename]#/etc/fstab# и в " +"разделе опций добавить флаг `acls` следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1624 +#, no-wrap +msgid "" +"# Device Mountpoint FStype Options Dump Pass#\n" +"/dev/ada0s1a / ufs rw,acls 1 1\n" +msgstr "" +"# Device Mountpoint FStype Options Dump Pass#\n" +"/dev/ada0s1a / ufs rw,acls 1 1\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1627 +#, no-wrap +msgid "Get ACLs information" +msgstr "Получение информации об ACL" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1630 +msgid "" +"It is possible to check the ACLs of a file or a directory using " +"man:getfacl[1]." +msgstr "Можно проверить ACL файла или каталога с помощью man:getfacl[1]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1632 +msgid "" +"For example, to view the ACL settings on [.filename]#~/test# file execute " +"the following command:" +msgstr "" +"Например, чтобы просмотреть настройки ACL для файла [.filename]#~/test#, " +"выполните следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1636 +#, no-wrap +msgid "% getfacl test\n" +msgstr "% getfacl test\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1639 +msgid "" +"The output should be similar to the following in case of using NFSv4 ACLs:" +msgstr "Вывод должен быть похож на следующий в случае использования NFSv4 ACL:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1648 +#, no-wrap +msgid "" +"# file: test\n" +"# owner: freebsduser\n" +"# group: freebsduser\n" +" owner@:rw-p--aARWcCos:-------:allow\n" +" group@:r-----a-R-c--s:-------:allow\n" +" everyone@:r-----a-R-c--s:-------:allow\n" +msgstr "" +"# file: test\n" +"# owner: freebsduser\n" +"# group: freebsduser\n" +" owner@:rw-p--aARWcCos:-------:allow\n" +" group@:r-----a-R-c--s:-------:allow\n" +" everyone@:r-----a-R-c--s:-------:allow\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1651 +msgid "" +"And the output should be similar to the following in case of using POSIX.1e " +"ACLs:" +msgstr "" +"И вывод должен быть похож на следующий в случае использования POSIX.1e ACL:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1660 +#, no-wrap +msgid "" +"# file: test\n" +"# owner: freebsduser\n" +"# group: freebsduser\n" +"user::rw-\n" +"group::r--\n" +"other::r--\n" +msgstr "" +"# file: test\n" +"# owner: freebsduser\n" +"# group: freebsduser\n" +"user::rw-\n" +"group::r--\n" +"other::r--\n" + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1663 +#, no-wrap +msgid "Working with ACLs" +msgstr "Работа с ACL" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1666 +msgid "" +"man:setfacl[1] can be used to add, modify or remove ACLs from a file or " +"directory." +msgstr "" +"`man:setfacl[1]` можно использовать для добавления, изменения или удаления " +"ACL из файла или каталога." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1669 +msgid "" +"As noted above, some arguments to man:setfacl[1] do not work with NFSv4 " +"ACLs, and vice versa. This section covers how to execute the commands for " +"POSIX ACLs and for NFSv4 ACLs and shows examples of both." +msgstr "" +"Как упоминалось выше, некоторые аргументы man:setfacl[1] не работают с ACL " +"NFSv4, и наоборот. В этом разделе описывается, как выполнять команды для " +"POSIX ACL и для ACL NFSv4, а также приводятся примеры для обоих типов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1671 +msgid "For example, to set the mandatory elements of the POSIX.1e default ACL:" +msgstr "" +"Например, чтобы установить обязательные элементы ACL по умолчанию POSIX.1e:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1675 +#, no-wrap +msgid "% setfacl -d -m u::rwx,g::rx,o::rx,mask::rwx directory\n" +msgstr "% setfacl -d -m u::rwx,g::rx,o::rx,mask::rwx directory\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1678 +msgid "" +"This other example sets read, write, and execute permissions for the file " +"owner's POSIX.1e ACL entry and read and write permissions for group mail on " +"file:" +msgstr "" +"Этот другой пример устанавливает права на чтение, запись и выполнение для " +"записи POSIX.1e ACL владельца файла, а также права на чтение и запись для " +"группы mail в файле:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1682 +#, no-wrap +msgid "% setfacl -m u::rwx,g:mail:rw file\n" +msgstr "% setfacl -m u::rwx,g:mail:rw file\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1685 +msgid "To do the same as in the previous example but in NFSv4 ACL:" +msgstr "" +"Чтобы сделать то же самое, что и в предыдущем примере, но с использованием " +"ACL NFSv4:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1689 +#, no-wrap +msgid "% setfacl -m owner@:rwxp::allow,g:mail:rwp::allow file\n" +msgstr "% setfacl -m owner@:rwxp::allow,g:mail:rwp::allow file\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1692 +msgid "" +"To remove all ACL entries except for the three required from file in " +"POSIX.1e ACL:" +msgstr "" +"Чтобы удалить все записи ACL, кроме трех обязательных, из файла в POSIX.1e " +"ACL:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1696 +#, no-wrap +msgid "% setfacl -bn file\n" +msgstr "% setfacl -bn file\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1699 +msgid "To remove all ACL entries in NFSv4 ACL:" +msgstr "Чтобы удалить все записи ACL в NFSv4 ACL:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1703 +#, no-wrap +msgid "% setfacl -b file\n" +msgstr "% setfacl -b file\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1706 +msgid "" +"Refer to man:getfacl[1] and man:setfacl[1] for more information about the " +"options available for these commands." +msgstr "" +"Обратитесь к man:getfacl[1] и man:setfacl[1] для получения дополнительной " +"информации о доступных опциях этих команд." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1708 +#, no-wrap +msgid "Capsicum" +msgstr "Capsicum" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1713 +msgid "" +"Capsicum is a lightweight OS capability and sandbox framework implementing a " +"hybrid capability system model. Capabilities are unforgeable tokens of " +"authority that can be delegated and must be presented to perform an action. " +"Capsicum makes file descriptors into capabilities." +msgstr "" +"Capsicum — это легковесная платформа возможностей ОС и песочницы, " +"реализующая гибридную модель системы возможностей. Возможности " +"(capabilities) являются не подделываемыми токенами авторизации, которые " +"могут быть делегированы и должны быть предъявлены для выполнения действия. " +"Capsicum преобразует файловые дескрипторы в возможности." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1716 +msgid "" +"Capsicum can be used for application and library compartmentalisation, the " +"decomposition of larger bodies of software into isolated (sandboxed) " +"components in order to implement security policies and limit the impact of " +"software vulnerabilities." +msgstr "" +"Capsicum можно использовать для разделения приложений и библиотек на " +"изолированные компоненты (песочницы), что позволяет реализовать политики " +"безопасности и снизить последствия уязвимостей в программном обеспечении." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1718 +#, no-wrap +msgid "Process Accounting" +msgstr "Учет процессов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1721 +msgid "" +"Process accounting is a security method in which an administrator may keep " +"track of system resources used and their allocation among users, provide for " +"system monitoring, and minimally track a user's commands." +msgstr "" +"Учёт процессов — это метод безопасности, при помощи которого администратор " +"может отслеживать использование системных ресурсов и их распределение между " +"пользователями, обеспечивать мониторинг системы и минимально фиксировать " +"выполняемые пользователями команды." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1726 +msgid "" +"Process accounting has both positive and negative points. One of the " +"positives is that an intrusion may be narrowed down to the point of entry. " +"A negative is the amount of logs generated by process accounting, and the " +"disk space they may require. This section walks an administrator through " +"the basics of process accounting." +msgstr "" +"Учет процессов имеет как положительные, так и отрицательные стороны. Один из " +"плюсов заключается в том, что вторжение может быть локализовано до точки " +"входа. Минус — это объем журналов, генерируемых учетом процессов, и дисковое " +"пространство, которое они могут занять. В этом разделе рассматриваются " +"основы учета процессов для администратора." + +#. type: delimited block = 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1730 +msgid "" +"If more fine-grained accounting is needed, refer to " +"crossref:audit[audit,Security Event Auditing]." +msgstr "" +"Если требуется более детальный учёт, обратитесь к crossref:audit[audit,Аудит " +"событий безопасности]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1732 +#, no-wrap +msgid "Enabling and Utilizing Process Accounting" +msgstr "Включение и использование учёта процессов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1735 +msgid "" +"Before using process accounting, it must be enabled using the following " +"commands:" +msgstr "" +"Прежде чем использовать учёт процессов, его необходимо включить с помощью " +"следующих команд:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1740 +#, no-wrap +msgid "" +"# sysrc accounting_enable=yes\n" +"# service accounting start\n" +msgstr "" +"# sysrc accounting_enable=yes\n" +"# service accounting start\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1746 +msgid "" +"The accounting information is stored in files located in [.filename]#/var/" +"account#, which is automatically created, if necessary, the first time the " +"accounting service starts. These files contain sensitive information, " +"including all the commands issued by all users. Write access to the files " +"is limited to `root`, and read access is limited to `root` and members of " +"the `wheel` group. To also prevent members of `wheel` from reading the " +"files, change the mode of the [.filename]#/var/account# directory to allow " +"access only by `root`." +msgstr "" +"Информация учёта хранится в файлах, расположенных в [.filename]#/var/" +"account#, который автоматически создаётся при необходимости при первом " +"запуске службы учёта. Эти файлы содержат конфиденциальную информацию, " +"включая все команды, выполненные всеми пользователями. Право записи в файлы " +"ограничено для `root`, а право чтения — для `root` и членов группы `wheel`. " +"Чтобы также запретить членам `wheel` читать эти файлы, измените режим " +"доступа к каталогу [.filename]#/var/account#, разрешив доступ только для " +"`root`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1751 +msgid "" +"Once enabled, accounting will begin to track information such as CPU " +"statistics and executed commands. All accounting logs are in a non-human " +"readable format which can be viewed using man:sa[8]. If issued without any " +"options, man:sa[8] prints information relating to the number of per-user " +"calls, the total elapsed time in minutes, total CPU and user time in " +"minutes, and the average number of I/O operations. Refer to man:sa[8] for " +"the list of available options which control the output." +msgstr "" +"После включения учёт начнёт собирать информацию, такую как статистика " +"использования CPU и выполненные команды. Все журналы учёта хранятся в " +"нечитаемом формате, который можно просмотреть с помощью man:sa[8]. Если " +"команда запущена без параметров, man:sa[8] выводит информацию о количестве " +"вызовов для каждого пользователя, общем затраченном времени в минутах, общем " +"времени CPU и пользователя в минутах, а также среднем количестве операций " +"ввода-вывода. Полный список доступных параметров, управляющих выводом, " +"смотрите в man:sa[8]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1753 +msgid "To display the commands issued by users, use `lastcomm`." +msgstr "" +"Для отображения команд, выполненных пользователями, используйте `lastcomm`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1755 +msgid "" +"For example, this command prints out all usage of `ls` by `trhodes` on the " +"`ttyp1` terminal:" +msgstr "" +"Например, эта команда выводит все случаи использования `ls` пользователем " +"`trhodes` на терминале `ttyp1`:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1759 +#, no-wrap +msgid "# lastcomm ls trhodes ttyp1\n" +msgstr "# lastcomm ls trhodes ttyp1\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1762 +msgid "" +"Many other useful options exist and are explained in man:lastcomm[1], " +"man:acct[5], and man:sa[8]." +msgstr "" +"Существует множество других полезных опций, которые описаны в " +"man:lastcomm[1], man:acct[5] и man:sa[8]." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1764 +#, no-wrap +msgid "Resource Limits" +msgstr "Ограничения ресурсов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1769 +msgid "" +"In FreeBSD, resource limits refer to the mechanisms that control and manage " +"the allocation of various system resources to processes and users. These " +"limits are designed to prevent a single process or user from consuming an " +"excessive amount of resources, which could lead to performance degradation " +"or system instability. Resource limits help ensure fair resource " +"distribution among all active processes and users on the system." +msgstr "" +"В FreeBSD ограничения ресурсов относятся к механизмам, которые контролируют " +"и управляют выделением различных системных ресурсов процессам и " +"пользователям. Эти ограничения предназначены для предотвращения ситуации, " +"когда один процесс или пользователь потребляет чрезмерное количество " +"ресурсов, что может привести к снижению производительности или " +"нестабильности системы. Ограничения ресурсов помогают обеспечить " +"справедливое распределение ресурсов между всеми активными процессами и " +"пользователями в системе." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1771 +msgid "" +"FreeBSD provides several methods for an administrator to limit the amount of " +"system resources an individual may use." +msgstr "" +"FreeBSD предоставляет несколько методов, позволяющих администратору " +"ограничивать объем системных ресурсов, которые может использовать отдельный " +"пользователь." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1775 +msgid "" +"The traditional method defines login classes by editing [.filename]#/etc/" +"login.conf#. While this method is still supported, any changes require a " +"multi-step process of editing this file, rebuilding the resource database, " +"making necessary changes to [.filename]#/etc/master.passwd#, and rebuilding " +"the password database. This can become time consuming, depending upon the " +"number of users to configure." +msgstr "" +"Традиционный метод определения классов входа в систему предполагает " +"редактирование файла [.filename]#/etc/login.conf#. Хотя этот метод по-" +"прежнему поддерживается, любые изменения требуют многоэтапного процесса: " +"правки этого файла, пересборки базы данных ресурсов, внесения необходимых " +"изменений в [.filename]#/etc/master.passwd# и пересборки базы данных " +"паролей. Это может быть затратным по времени в зависимости от количества " +"настраиваемых пользователей." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1778 +msgid "" +"man:rctl[8] can be used to provide a more fine-grained method for " +"controlling resource limits. This command supports more than user limits as " +"it can also be used to set resource constraints on processes and jails." +msgstr "" +"man:rctl[8] может использоваться для более детального управления " +"ограничениями ресурсов. Эта команда поддерживает не только пользовательские " +"ограничения, так как также может применяться для установки ограничений " +"ресурсов на процессы и jail." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1780 +msgid "" +"This section demonstrates both methods for controlling resources, beginning " +"with the traditional method." +msgstr "" +"Этот раздел демонстрирует оба метода управления ресурсами, начиная с " +"традиционного метода." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1782 +#, no-wrap +msgid "Types of Resources" +msgstr "Типы ресурсов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1785 +msgid "FreeBSD provides limits for various types of resources, including:" +msgstr "" +"FreeBSD устанавливает ограничения для различных типов ресурсов, включая:" + +#. type: Block title +#: documentation/content/en/books/handbook/security/_index.adoc:1786 +#, no-wrap +msgid "Resource types" +msgstr "Типы ресурсов" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1789 +#, no-wrap +msgid "Type" +msgstr "Тип" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1791 +#, no-wrap +msgid "Description" +msgstr "Описание" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1792 +#, no-wrap +msgid "CPU Time" +msgstr "Время процессора" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1794 +#, no-wrap +msgid "Limits the amount of CPU time a process can consume" +msgstr "Ограничивает количество процессорного времени, которое может использовать процесс" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1795 +#, no-wrap +msgid "Memory" +msgstr "Память" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1797 +#, no-wrap +msgid "Controls the amount of physical memory a process can use" +msgstr "Управляет количеством физической памяти, которое может использовать процесс" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1798 +#, no-wrap +msgid "Open Files" +msgstr "Открытые файлы" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1800 +#, no-wrap +msgid "Limits the number of files a process can have open simultaneously" +msgstr "Ограничивает количество файлов, которые процесс может открыть одновременно" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1801 +#, no-wrap +msgid "Processes" +msgstr "Процессы" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1803 +#, no-wrap +msgid "Controls the number of processes a user or a process can create" +msgstr "Управляет количеством процессов, которые пользователь или процесс может создать" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1804 +#, no-wrap +msgid "File Size" +msgstr "Размер файла" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1806 +#, no-wrap +msgid "Limits the maximum size of files that a process can create" +msgstr "Ограничивает максимальный размер файлов, которые процесс может создать" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1807 +#, no-wrap +msgid "Core Dumps" +msgstr "Дампы памяти" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1809 +#, no-wrap +msgid "Controls whether processes are allowed to generate core dump files" +msgstr "Управляет возможностью процессов создавать файлы дампа памяти" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1810 +#, no-wrap +msgid "Network Resources" +msgstr "Сетевые ресурсы" + +#. type: Table +#: documentation/content/en/books/handbook/security/_index.adoc:1812 +#, no-wrap +msgid "Limits the amount of network resources (e.g., sockets) a process can use" +msgstr "Ограничивает количество сетевых ресурсов (например, сокетов), которые может использовать процесс" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1815 +msgid "For a full listing of types see man:login.conf[5] and man:rctl[8]." +msgstr "Для полного списка типов см. man:login.conf[5] и man:rctl[8]." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1817 +#, no-wrap +msgid "Configuring Login Classes" +msgstr "Настройка классов входа" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1823 +msgid "" +"In the traditional method, login classes and the resource limits to apply to " +"a login class are defined in [.filename]#/etc/login.conf#. Each user " +"account can be assigned to a login class, where `default` is the default " +"login class. Each login class has a set of login capabilities associated " +"with it. A login capability is a `_name_=_value_` pair, where _name_ is a " +"well-known identifier and _value_ is an arbitrary string which is processed " +"accordingly depending on the _name_." +msgstr "" +"В традиционном методе классы входа и ограничения ресурсов, применяемые к " +"классу входа, определяются в файле [.filename]#/etc/login.conf#. Каждой " +"учётной записи пользователя может быть назначен класс входа, где `default` " +"является классом входа по умолчанию. Каждый класс входа имеет набор " +"связанных с ним возможностей входа. Возможность входа — это пара " +"`_имя_=_значение_`, где _имя_ — это общеизвестный идентификатор, а " +"_значение_ — произвольная строка, которая обрабатывается соответствующим " +"образом в зависимости от _имени_." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1825 +msgid "" +"The first step to configure a resource limit will be to open [.filename]#/" +"etc/login.conf# by executing the following command:" +msgstr "" +"Первым шагом для настройки ограничения ресурсов будет открытие файла " +"[.filename]#/etc/login.conf# с помощью следующей команды:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1829 +#, no-wrap +msgid "# ee /etc/login.conf\n" +msgstr "# ee /etc/login.conf\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1833 +msgid "" +"Then locate the section for the user class to be modified. In this example, " +"let's assume the user class is named `limited`, create it in case it does " +"not exist." +msgstr "" +"Затем найдите раздел для изменяемого класса пользователей. В этом примере " +"предположим, что класс пользователей называется `limited`; создайте его, " +"если он не существует." + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1839 +#, no-wrap +msgid "" +"limited:\\ <.>\n" +" :maxproc=50:\\ <.>\n" +" :tc=default: <.>\n" +msgstr "" +"limited:\\ <.>\n" +" :maxproc=50:\\ <.>\n" +" :tc=default: <.>\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1842 +msgid "Name of the user class." +msgstr "Имя класса пользователя." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1843 +msgid "" +"Sets the maximum number of processes (maxproc) to 50 for users in the " +"`limited` class." +msgstr "" +"Устанавливает максимальное количество процессов (maxproc) равным 50 для " +"пользователей в классе `limited`." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1844 +msgid "" +"Indicates that this user class inherits the default settings from the " +"\"default\" class." +msgstr "" +"Указывает, что этот класс пользователя наследует настройки по умолчанию из " +"класса \"default\"." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1846 +msgid "" +"After modifying the [.filename]#/etc/login.conf# file, run man:cap_mkdb[1] " +"to generate the database that FreeBSD uses to apply these settings:" +msgstr "" +"После изменения файла [.filename]#/etc/login.conf# выполните команду " +"man:cap_mkdb[1] для создания базы данных, которую FreeBSD использует для " +"применения этих настроек:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1853 +msgid "" +"man:chpass[1] can be used to change the class to the desired user by " +"executing the following command:" +msgstr "" +"man:chpass[1] может быть использован для изменения класса пользователя на " +"желаемый, выполнив следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1857 +#, no-wrap +msgid "# chpass username\n" +msgstr "# chpass username\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1860 +msgid "" +"This will open a text editor, add the new `limited` class there as follows:" +msgstr "" +"Это откроет текстовый редактор, где нужно добавить новый класс `limited` " +"следующим образом:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1879 +#, no-wrap +msgid "" +"#Changing user information for username.\n" +"Login: username\n" +"Password: $6$2H.419USdGaiJeqK$6kgcTnDadasdasd3YnlNZsOni5AMymibkAfRCPirc7ZFjjv\n" +"DVsKyXx26daabdfqSdasdsmL/ZMUpdHiO0\n" +"Uid [#]: 1001\n" +"Gid [# or name]: 1001\n" +"Change [month day year]:\n" +"Expire [month day year]:\n" +"Class: limited\n" +"Home directory: /home/username\n" +"Shell: /bin/sh\n" +"Full Name: User &\n" +"Office Location:\n" +"Office Phone:\n" +"Home Phone:\n" +"Other information:\n" +msgstr "" +"#Changing user information for username.\n" +"Login: username\n" +"Password: $6$2H.419USdGaiJeqK$6kgcTnDadasdasd3YnlNZsOni5AMymibkAfRCPirc7ZFjjv\n" +"DVsKyXx26daabdfqSdasdsmL/ZMUpdHiO0\n" +"Uid [#]: 1001\n" +"Gid [# or name]: 1001\n" +"Change [month day year]:\n" +"Expire [month day year]:\n" +"Class: limited\n" +"Home directory: /home/username\n" +"Shell: /bin/sh\n" +"Full Name: User &\n" +"Office Location:\n" +"Office Phone:\n" +"Home Phone:\n" +"Other information:\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1883 +msgid "" +"Now, the user assigned to the `limited` class will have a maximum process " +"limit of 50. Remember that this is just one example of setting a resource " +"limit using the [.filename]#/etc/login.conf# file." +msgstr "" +"Теперь пользователь, назначенный классу `limited`, будет иметь ограничение " +"на максимальное количество процессов в 50. Помните, что это лишь один пример " +"настройки ограничения ресурсов с помощью файла [.filename]#/etc/login.conf#." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1886 +msgid "" +"Keep in mind that after making changes to the [.filename]#/etc/login.conf# " +"file, the user needs to log out and log back in for the changes to take " +"effect. Additionally, always exercise caution when editing system " +"configuration files, especially when using privileged access." +msgstr "" +"Имейте в виду, что после внесения изменений в файл [.filename]#/etc/" +"login.conf# пользователю необходимо выйти из системы и снова войти, чтобы " +"изменения вступили в силу. Кроме того, всегда соблюдайте осторожность при " +"редактировании системных конфигурационных файлов, особенно при использовании " +"привилегированного доступа." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:1888 +#, no-wrap +msgid "Enabling and Configuring Resource Limits" +msgstr "Включение и настройка ограничений ресурсов" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1892 +msgid "" +"The man:rctl[8] system provides a more fine-grained way to set and manage " +"resource limits for individual processes and users. It allows you to " +"dynamically assign resource limits to specific processes or users, " +"regardless of their user class." +msgstr "" +"Система man:rctl[8] предоставляет более детализированный способ установки и " +"управления ограничениями ресурсов для отдельных процессов и пользователей. " +"Она позволяет динамически назначать ограничения ресурсов конкретным " +"процессам или пользователям, независимо от их класса." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1894 +msgid "" +"The first step to use man:rctl[8] will be to enable it adding the following " +"line to [.filename]#/boot/loader.conf# and reboot the system:" +msgstr "" +"Первым шагом для использования man:rctl[8] будет его включение путем " +"добавления следующей строки в [.filename]#/boot/loader.conf# и перезагрузки " +"системы:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1898 +#, no-wrap +msgid "kern.racct.enable=1\n" +msgstr "kern.racct.enable=1\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1901 +msgid "" +"Then enable and start the man:rctl[8] service by executing the following " +"commands:" +msgstr "" +"Затем включите и запустите службу man:rctl[8], выполнив следующие команды:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1906 +#, no-wrap +msgid "" +"# sysrc rctl_enable=\"YES\"\n" +"# service rctl start\n" +msgstr "" +"# sysrc rctl_enable=\"YES\"\n" +"# service rctl start\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1909 +msgid "Then man:rctl[8] may be used to set rules for the system." +msgstr "" +"Затем man:rctl[8] может быть использован для установки правил в системе." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1911 +msgid "" +"Rule syntax (man:rctl.conf[5]) is controlled through the use of a subject, " +"subject-id, resource, and action, as seen in this example rule:" +msgstr "" +"Синтаксис правил (man:rctl.conf[5]) определяется с использованием субъекта, " +"идентификатора субъекта, ресурса и действия, как показано в следующем " +"примере правила:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1915 +#, no-wrap +msgid "subject:subject-id:resource:action=amount/per\n" +msgstr "subject:subject-id:resource:action=amount/per\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1918 +msgid "" +"For example to constrained the user to add no more than 10 processes execute " +"the following command:" +msgstr "" +"Например, чтобы ограничить пользователя не более чем 10 процессами, " +"выполните следующую команду:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1922 +#, no-wrap +msgid "# rctl -a user:username:maxproc:deny=10/user\n" +msgstr "# rctl -a user:username:maxproc:deny=10/user\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1925 +msgid "" +"To check the applied resource limits the man:rctl[8] command can be executed:" +msgstr "" +"Для проверки установленных ограничений ресурсов можно выполнить команду " +"man:rctl[8]:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1929 +#, no-wrap +msgid "# rctl\n" +msgstr "# rctl\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1936 +#: documentation/content/en/books/handbook/security/_index.adoc:1944 +#, no-wrap +msgid "user:username:maxproc:deny=10\n" +msgstr "user:username:maxproc:deny=10\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1940 +msgid "" +"Rules will persist across reboots if they have been added to [.filename]#/" +"etc/rctl.conf#. The format is a rule, without the preceding command. For " +"example, the previous rule could be added as:" +msgstr "" +"Правила сохранятся после перезагрузки, если они добавлены в [.filename]#/etc/" +"rctl.conf#. Формат записи — это правило без указания команды в начале. " +"Например, предыдущее правило можно добавить так:" + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:1947 +#, no-wrap +msgid "Monitoring Third Party Security Issues" +msgstr "Мониторинг проблем безопасности приложений сторонних разработчиков" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1951 +msgid "" +"In recent years, the security world has made many improvements to how " +"vulnerability assessment is handled. The threat of system intrusion " +"increases as third party utilities are installed and configured for " +"virtually any operating system available today." +msgstr "" +"В последние годы в сфере безопасности было внесено множество улучшений в " +"методы оценки уязвимостей. Угроза взлома системы возрастает по мере " +"установки и настройки сторонних утилит практически для любой доступной " +"сегодня операционной системы." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1956 +msgid "" +"Vulnerability assessment is a key factor in security. While FreeBSD " +"releases advisories for the base system, doing so for every third party " +"utility is beyond the FreeBSD Project's capability. There is a way to " +"mitigate third party vulnerabilities and warn administrators of known " +"security issues. A FreeBSD add on utility known as pkg includes options " +"explicitly for this purpose." +msgstr "" +"Оценка уязвимостей является ключевым фактором в обеспечении безопасности. " +"Хотя FreeBSD выпускает рекомендации для базовой системы, делать это для " +"каждой сторонней утилиты выходит за рамки возможностей проекта FreeBSD. " +"Существует способ снизить риски уязвимостей стороннего ПО и предупредить " +"администраторов о известных проблемах безопасности. Дополнительная утилита " +"FreeBSD, известная как `pkg`, включает возможности, предназначенные именно " +"для этой цели." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1959 +msgid "" +"pkg polls a database for security issues. The database is updated and " +"maintained by the FreeBSD Security Team and ports developers." +msgstr "" +"pkg опрашивает базу данных на наличие уязвимостей безопасности. База данных " +"обновляется и поддерживается командой FreeBSD Security Team и разработчиками " +"портов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1961 +msgid "" +"Installation provides man:periodic[8] configuration files for maintaining " +"the pkg audit database, and provides a programmatic method of keeping it " +"updated." +msgstr "" +"Установка предоставляет файлы конфигурации man:periodic[8] для поддержания " +"базы данных pkg audit и предлагает программный метод её обновления." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1963 +msgid "" +"After installation, and to audit third party utilities as part of the Ports " +"Collection at any time, an administrator may choose to update the database " +"and view known vulnerabilities of installed packages by invoking:" +msgstr "" +"После установки, а также для проверки сторонних утилит из Коллекции портов в " +"любое время, администратор может обновить базу данных и просмотреть " +"известные уязвимости установленных пакетов, выполнив:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1967 +#, no-wrap +msgid "% pkg audit -F\n" +msgstr "% pkg audit -F\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1982 +#, no-wrap +msgid "" +"vulnxml file up-to-date\n" +"chromium-116.0.5845.96_1 is vulnerable:\n" +" chromium -- multiple vulnerabilities\n" +" CVE: CVE-2023-4431\n" +" CVE: CVE-2023-4427\n" +" CVE: CVE-2023-4428\n" +" CVE: CVE-2023-4429\n" +" CVE: CVE-2023-4430\n" +" WWW: https://vuxml.FreeBSD.org/freebsd/5fa332b9-4269-11ee-8290-a8a1599412c6.html\n" +msgstr "" +"vulnxml file up-to-date\n" +"chromium-116.0.5845.96_1 is vulnerable:\n" +" chromium -- multiple vulnerabilities\n" +" CVE: CVE-2023-4431\n" +" CVE: CVE-2023-4427\n" +" CVE: CVE-2023-4428\n" +" CVE: CVE-2023-4429\n" +" CVE: CVE-2023-4430\n" +" WWW: https://vuxml.FreeBSD.org/freebsd/5fa332b9-4269-11ee-8290-a8a1599412c6.html\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1991 +#, no-wrap +msgid "" +"samba413-4.13.17_5 is vulnerable:\n" +" samba -- multiple vulnerabilities\n" +" CVE: CVE-2023-3347\n" +" CVE: CVE-2023-34966\n" +" CVE: CVE-2023-34968\n" +" CVE: CVE-2022-2127\n" +" CVE: CVE-2023-34967\n" +" WWW: https://vuxml.FreeBSD.org/freebsd/441e1e1a-27a5-11ee-a156-080027f5fec9.html\n" +msgstr "" +"samba413-4.13.17_5 is vulnerable:\n" +" samba -- multiple vulnerabilities\n" +" CVE: CVE-2023-3347\n" +" CVE: CVE-2023-34966\n" +" CVE: CVE-2023-34968\n" +" CVE: CVE-2022-2127\n" +" CVE: CVE-2023-34967\n" +" WWW: https://vuxml.FreeBSD.org/freebsd/441e1e1a-27a5-11ee-a156-080027f5fec9.html\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:1993 +#, no-wrap +msgid "2 problem(s) in 2 installed package(s) found.\n" +msgstr "2 problem(s) in 2 installed package(s) found.\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1996 +msgid "" +"By pointing a web browser to the displayed URL, an administrator may obtain " +"more information about the vulnerability." +msgstr "" +"Направив веб-браузер по указанному URL, администратор может получить " +"дополнительную информацию об уязвимости." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:1998 +msgid "" +"This will include the versions affected, by FreeBSD port version, along with " +"other web sites which may contain security advisories." +msgstr "" +"Это будет включать затронутые версии, указанные по версии порта FreeBSD, а " +"также другие веб-сайты, которые могут содержать рекомендации по безопасности." + +#. type: Title == +#: documentation/content/en/books/handbook/security/_index.adoc:2000 +#, no-wrap +msgid "FreeBSD Security Advisories" +msgstr "Рекомендации по безопасности FreeBSD" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2004 +msgid "" +"Like many producers of quality operating systems, the FreeBSD Project has a " +"security team which is responsible for determining the End-of-Life (EoL) " +"date for each FreeBSD release and to provide security updates for supported " +"releases which have not yet reached their EoL. More information about the " +"FreeBSD security team and the supported releases is available on the " +"link:https://www.FreeBSD.org/security[FreeBSD security page]." +msgstr "" +"Как и многие разработчики качественных операционных систем, проект FreeBSD " +"имеет команду безопасности, которая отвечает за определение даты окончания " +"срока службы (EoL) для каждого выпуска FreeBSD и предоставляет обновления " +"безопасности для поддерживаемых выпусков, которые ещё не достигли своего " +"EoL. Дополнительная информация о команде безопасности FreeBSD и " +"поддерживаемых выпусках доступна на странице link:https://www.FreeBSD.org/" +"security[безопасности FreeBSD]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2009 +msgid "" +"One task of the security team is to respond to reported security " +"vulnerabilities in the FreeBSD operating system. Once a vulnerability is " +"confirmed, the security team verifies the steps necessary to fix the " +"vulnerability and updates the source code with the fix. It then publishes " +"the details as a \"Security Advisory\". Security advisories are published " +"on the link:https://www.FreeBSD.org/security/advisories/[FreeBSD website] " +"and mailed to the {freebsd-security-notifications}, {freebsd-security}, and " +"{freebsd-announce}." +msgstr "" +"Одна из задач команды безопасности — реагировать на сообщения об уязвимостях " +"в операционной системе FreeBSD. После подтверждения уязвимости команда " +"безопасности проверяет шаги, необходимые для её устранения, и обновляет " +"исходный код с исправлением. Затем она публикует подробности в виде " +"«Рекомендации по безопасности» (Security Advisory). Рекомендации по " +"безопасности публикуются на сайте link:https://www.FreeBSD.org/security/" +"advisories/[FreeBSD] и рассылаются в списки рассылки {freebsd-security-" +"notifications}, {freebsd-security} и {freebsd-announce}." + +#. type: Title === +#: documentation/content/en/books/handbook/security/_index.adoc:2010 +#, no-wrap +msgid "Format of a Security Advisory" +msgstr "Формат рекомендации по безопасности" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2013 +msgid "Here is an example of a FreeBSD security advisory:" +msgstr "Вот пример рекомендации по безопасности FreeBSD:" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2018 +#, no-wrap +msgid "" +"-----BEGIN PGP SIGNED MESSAGE-----\n" +"Hash: SHA512\n" +msgstr "" +"-----BEGIN PGP SIGNED MESSAGE-----\n" +"Hash: SHA512\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2022 +#, no-wrap +msgid "" +"=============================================================================\n" +"FreeBSD-SA-23:07.bhyve Security Advisory\n" +" The FreeBSD Project\n" +msgstr "" +"=============================================================================\n" +"FreeBSD-SA-23:07.bhyve Security Advisory\n" +" The FreeBSD Project\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2024 +#, no-wrap +msgid "Topic: bhyve privileged guest escape via fwctl\n" +msgstr "Topic: bhyve privileged guest escape via fwctl\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2034 +#, no-wrap +msgid "" +"Category: core\n" +"Module: bhyve\n" +"Announced: 2023-08-01\n" +"Credits: Omri Ben Bassat and Vladimir Eli Tokarev from Microsoft\n" +"Affects: FreeBSD 13.1 and 13.2\n" +"Corrected: 2023-08-01 19:48:53 UTC (stable/13, 13.2-STABLE)\n" +" 2023-08-01 19:50:47 UTC (releng/13.2, 13.2-RELEASE-p2)\n" +" 2023-08-01 19:48:26 UTC (releng/13.1, 13.1-RELEASE-p9)\n" +"CVE Name: CVE-2023-3494\n" +msgstr "" +"Category: core\n" +"Module: bhyve\n" +"Announced: 2023-08-01\n" +"Credits: Omri Ben Bassat and Vladimir Eli Tokarev from Microsoft\n" +"Affects: FreeBSD 13.1 and 13.2\n" +"Corrected: 2023-08-01 19:48:53 UTC (stable/13, 13.2-STABLE)\n" +" 2023-08-01 19:50:47 UTC (releng/13.2, 13.2-RELEASE-p2)\n" +" 2023-08-01 19:48:26 UTC (releng/13.1, 13.1-RELEASE-p9)\n" +"CVE Name: CVE-2023-3494\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2038 +#, no-wrap +msgid "" +"For general information regarding FreeBSD Security Advisories,\n" +"including descriptions of the fields above, security branches, and the\n" +"following sections, please visit <URL:https://security.FreeBSD.org/>.\n" +msgstr "" +"For general information regarding FreeBSD Security Advisories,\n" +"including descriptions of the fields above, security branches, and the\n" +"following sections, please visit <URL:https://security.FreeBSD.org/>.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2040 +#, no-wrap +msgid "I. Background\n" +msgstr "I. Background\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2046 +#, no-wrap +msgid "" +"bhyve(8)'s fwctl interface provides a mechanism through which guest\n" +"firmware can query the hypervisor for information about the virtual\n" +"machine. The fwctl interface is available to guests when bhyve is run\n" +"with the \"-l bootrom\" option, used for example when booting guests in\n" +"UEFI mode.\n" +msgstr "" +"bhyve(8)'s fwctl interface provides a mechanism through which guest\n" +"firmware can query the hypervisor for information about the virtual\n" +"machine. The fwctl interface is available to guests when bhyve is run\n" +"with the \"-l bootrom\" option, used for example when booting guests in\n" +"UEFI mode.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2048 +#, no-wrap +msgid "bhyve is currently only supported on the amd64 platform.\n" +msgstr "bhyve is currently only supported on the amd64 platform.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2050 +#, no-wrap +msgid "II. Problem Description\n" +msgstr "II. Problem Description\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2056 +#, no-wrap +msgid "" +"The fwctl driver implements a state machine which is executed when the\n" +"guest accesses certain x86 I/O ports. The interface lets the guest copy\n" +"a string into a buffer resident in the bhyve process' memory. A bug in\n" +"the state machine implementation can result in a buffer overflowing when\n" +"copying this string.\n" +msgstr "" +"The fwctl driver implements a state machine which is executed when the\n" +"guest accesses certain x86 I/O ports. The interface lets the guest copy\n" +"a string into a buffer resident in the bhyve process' memory. A bug in\n" +"the state machine implementation can result in a buffer overflowing when\n" +"copying this string.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2058 +#, no-wrap +msgid "III. Impact\n" +msgstr "III. Impact\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2064 +#, no-wrap +msgid "" +"A malicious, privileged software running in a guest VM can exploit the\n" +"buffer overflow to achieve code execution on the host in the bhyve\n" +"userspace process, which typically runs as root. Note that bhyve runs\n" +"in a Capsicum sandbox, so malicious code is constrained by the\n" +"capabilities available to the bhyve process.\n" +msgstr "" +"A malicious, privileged software running in a guest VM can exploit the\n" +"buffer overflow to achieve code execution on the host in the bhyve\n" +"userspace process, which typically runs as root. Note that bhyve runs\n" +"in a Capsicum sandbox, so malicious code is constrained by the\n" +"capabilities available to the bhyve process.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2066 +#, no-wrap +msgid "IV. Workaround\n" +msgstr "IV. Workaround\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2069 +#, no-wrap +msgid "" +"No workaround is available. bhyve guests that are executed without the\n" +"\"-l bootrom\" option are unaffected.\n" +msgstr "" +"No workaround is available. bhyve guests that are executed without the\n" +"\"-l bootrom\" option are unaffected.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2071 +#, no-wrap +msgid "V. Solution\n" +msgstr "V. Solution\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2074 +#, no-wrap +msgid "" +"Upgrade your vulnerable system to a supported FreeBSD stable or\n" +"release / security branch (releng) dated after the correction date.\n" +msgstr "" +"Upgrade your vulnerable system to a supported FreeBSD stable or\n" +"release / security branch (releng) dated after the correction date.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2076 +#, no-wrap +msgid "Perform one of the following:\n" +msgstr "Perform one of the following:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2078 +#, no-wrap +msgid "1) To update your vulnerable system via a binary patch:\n" +msgstr "1) To update your vulnerable system via a binary patch:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2082 +#, no-wrap +msgid "" +"Systems running a RELEASE version of FreeBSD on the amd64, i386, or\n" +"(on FreeBSD 13 and later) arm64 platforms can be updated via the\n" +"freebsd-update(8) utility:\n" +msgstr "" +"Systems running a RELEASE version of FreeBSD on the amd64, i386, or\n" +"(on FreeBSD 13 and later) arm64 platforms can be updated via the\n" +"freebsd-update(8) utility:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2085 +#, no-wrap +msgid "" +"# freebsd-update fetch\n" +"# freebsd-update install\n" +msgstr "" +"# freebsd-update fetch\n" +"# freebsd-update install\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2087 +#: documentation/content/en/books/handbook/security/_index.adoc:2115 +#, no-wrap +msgid "Restart all affected virtual machines.\n" +msgstr "Restart all affected virtual machines.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2089 +#, no-wrap +msgid "2) To update your vulnerable system via a source code patch:\n" +msgstr "2) To update your vulnerable system via a source code patch:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2092 +#, no-wrap +msgid "" +"The following patches have been verified to apply to the applicable\n" +"FreeBSD release branches.\n" +msgstr "" +"The following patches have been verified to apply to the applicable\n" +"FreeBSD release branches.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2095 +#, no-wrap +msgid "" +"a) Download the relevant patch from the location below, and verify the\n" +"detached PGP signature using your PGP utility.\n" +msgstr "" +"a) Download the relevant patch from the location below, and verify the\n" +"detached PGP signature using your PGP utility.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2100 +#, no-wrap +msgid "" +"[FreeBSD 13.2]\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch.asc\n" +"# gpg --verify bhyve.13.2.patch.asc\n" +msgstr "" +"[FreeBSD 13.2]\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch.asc\n" +"# gpg --verify bhyve.13.2.patch.asc\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2105 +#, no-wrap +msgid "" +"[FreeBSD 13.1]\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch.asc\n" +"# gpg --verify bhyve.13.1.patch.asc\n" +msgstr "" +"[FreeBSD 13.1]\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch\n" +"# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch.asc\n" +"# gpg --verify bhyve.13.1.patch.asc\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2107 +#, no-wrap +msgid "b) Apply the patch. Execute the following commands as root:\n" +msgstr "b) Apply the patch. Execute the following commands as root:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2110 +#, no-wrap +msgid "" +"# cd /usr/src\n" +"# patch < /path/to/patch\n" +msgstr "" +"# cd /usr/src\n" +"# patch < /path/to/patch\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2113 +#, no-wrap +msgid "" +"c) Recompile the operating system using buildworld and installworld as\n" +"described in <URL:https://www.FreeBSD.org/handbook/makeworld.html>.\n" +msgstr "" +"c) Recompile the operating system using buildworld and installworld as\n" +"described in <URL:https://www.FreeBSD.org/handbook/makeworld.html>.\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2117 +#, no-wrap +msgid "VI. Correction details\n" +msgstr "VI. Correction details\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2120 +#, no-wrap +msgid "" +"This issue is corrected by the corresponding Git commit hash or Subversion\n" +"revision number in the following stable and release branches:\n" +msgstr "" +"This issue is corrected by the corresponding Git commit hash or Subversion\n" +"revision number in the following stable and release branches:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2127 +#, no-wrap +msgid "" +"Branch/path Hash Revision\n" +"- -------------------------------------------------------------------------\n" +"stable/13/ 9fe302d78109 stable/13-n255918\n" +"releng/13.2/ 2bae613e0da3 releng/13.2-n254625\n" +"releng/13.1/ 87702e38a4b4 releng/13.1-n250190\n" +"- -------------------------------------------------------------------------\n" +msgstr "" +"Branch/path Hash Revision\n" +"- -------------------------------------------------------------------------\n" +"stable/13/ 9fe302d78109 stable/13-n255918\n" +"releng/13.2/ 2bae613e0da3 releng/13.2-n254625\n" +"releng/13.1/ 87702e38a4b4 releng/13.1-n250190\n" +"- -------------------------------------------------------------------------\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2130 +#, no-wrap +msgid "" +"Run the following command to see which files were modified by a\n" +"particular commit:\n" +msgstr "" +"Run the following command to see which files were modified by a\n" +"particular commit:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2132 +#, no-wrap +msgid "# git show --stat <commit hash>\n" +msgstr "# git show --stat <commit hash>\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2134 +#, no-wrap +msgid "Or visit the following URL, replacing NNNNNN with the hash:\n" +msgstr "Or visit the following URL, replacing NNNNNN with the hash:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2136 +#, no-wrap +msgid "<URL:https://cgit.freebsd.org/src/commit/?id=NNNNNN>\n" +msgstr "<URL:https://cgit.freebsd.org/src/commit/?id=NNNNNN>\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2139 +#, no-wrap +msgid "" +"To determine the commit count in a working tree (for comparison against\n" +"nNNNNNN in the table above), run:\n" +msgstr "" +"To determine the commit count in a working tree (for comparison against\n" +"nNNNNNN in the table above), run:\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2141 +#, no-wrap +msgid "# git rev-list --count --first-parent HEAD\n" +msgstr "# git rev-list --count --first-parent HEAD\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2143 +#, no-wrap +msgid "VII. References\n" +msgstr "VII. References\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2145 +#, no-wrap +msgid "<URL:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3494>\n" +msgstr "<URL:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3494>\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2149 +#, no-wrap +msgid "" +"The latest revision of this advisory is available at\n" +"<URL:https://security.FreeBSD.org/advisories/FreeBSD-SA-23:07.bhyve.asc>\n" +"-----BEGIN PGP SIGNATURE-----\n" +msgstr "" +"The latest revision of this advisory is available at\n" +"<URL:https://security.FreeBSD.org/advisories/FreeBSD-SA-23:07.bhyve.asc>\n" +"-----BEGIN PGP SIGNATURE-----\n" + +#. type: delimited block . 4 +#: documentation/content/en/books/handbook/security/_index.adoc:2164 +#, no-wrap +msgid "" +"iQIzBAEBCgAdFiEEthUnfoEIffdcgYM7bljekB8AGu8FAmTJdsIACgkQbljekB8A\n" +"Gu8Q1Q/7BFw5Aa0cFxBzbdz+O5NAImj58MvKS6xw61bXcYr12jchyT6ENC7yiR+K\n" +"qCqbe5TssRbtZ1gg/94gSGEXccz5OcJGxW+qozhcdPUh2L2nzBPkMCrclrYJfTtM\n" +"cnmQKjg/wFZLUVr71GEM95ZFaktlZdXyXx9Z8eBzow5rXexpl1TTHQQ2kZZ41K4K\n" +"KFhup91dzGCIj02cqbl+1h5BrXJe3s/oNJt5JKIh/GBh5THQu9n6AywQYl18HtjV\n" +"fMb1qRTAS9WbiEP5QV2eEuOG86ucuhytqnEN5MnXJ2rLSjfb9izs9HzLo3ggy7yb\n" +"hN3tlbfIPjMEwYexieuoyP3rzKkLeYfLXqJU4zKCRnIbBIkMRy4mcFkfcYmI+MhF\n" +"NPh2R9kccemppKXeDhKJurH0vsetr8ti+AwOZ3pgO21+9w+mjE+EfaedIi+JWhip\n" +"hwqeFv03bAQHJdacNYGV47NsJ91CY4ZgWC3ZOzBZ2Y5SDtKFjyc0bf83WTfU9A/0\n" +"drC0z3xaJribah9e6k5d7lmZ7L6aHCbQ70+aayuAEZQLr/N1doB0smNi0IHdrtY0\n" +"JdIqmVX+d1ihVhJ05prC460AS/Kolqiaysun1igxR+ZnctE9Xdo1BlLEbYu2KjT4\n" +"LpWvSuhRMSQaYkJU72SodQc0FM5mqqNN42Vx+X4EutOfvQuRGlI=\n" +"=MlAY\n" +"-----END PGP SIGNATURE-----\n" +msgstr "" +"iQIzBAEBCgAdFiEEthUnfoEIffdcgYM7bljekB8AGu8FAmTJdsIACgkQbljekB8A\n" +"Gu8Q1Q/7BFw5Aa0cFxBzbdz+O5NAImj58MvKS6xw61bXcYr12jchyT6ENC7yiR+K\n" +"qCqbe5TssRbtZ1gg/94gSGEXccz5OcJGxW+qozhcdPUh2L2nzBPkMCrclrYJfTtM\n" +"cnmQKjg/wFZLUVr71GEM95ZFaktlZdXyXx9Z8eBzow5rXexpl1TTHQQ2kZZ41K4K\n" +"KFhup91dzGCIj02cqbl+1h5BrXJe3s/oNJt5JKIh/GBh5THQu9n6AywQYl18HtjV\n" +"fMb1qRTAS9WbiEP5QV2eEuOG86ucuhytqnEN5MnXJ2rLSjfb9izs9HzLo3ggy7yb\n" +"hN3tlbfIPjMEwYexieuoyP3rzKkLeYfLXqJU4zKCRnIbBIkMRy4mcFkfcYmI+MhF\n" +"NPh2R9kccemppKXeDhKJurH0vsetr8ti+AwOZ3pgO21+9w+mjE+EfaedIi+JWhip\n" +"hwqeFv03bAQHJdacNYGV47NsJ91CY4ZgWC3ZOzBZ2Y5SDtKFjyc0bf83WTfU9A/0\n" +"drC0z3xaJribah9e6k5d7lmZ7L6aHCbQ70+aayuAEZQLr/N1doB0smNi0IHdrtY0\n" +"JdIqmVX+d1ihVhJ05prC460AS/Kolqiaysun1igxR+ZnctE9Xdo1BlLEbYu2KjT4\n" +"LpWvSuhRMSQaYkJU72SodQc0FM5mqqNN42Vx+X4EutOfvQuRGlI=\n" +"=MlAY\n" +"-----END PGP SIGNATURE-----\n" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2167 +msgid "Every security advisory uses the following format:" +msgstr "Каждый бюллетень безопасности использует следующий формат:" + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2169 +msgid "" +"Each security advisory is signed by the PGP key of the Security Officer. The " +"public key for the Security Officer can be verified at " +"crossref:pgpkeys[pgpkeys,OpenPGP Keys]." +msgstr "" +"Каждое уведомление о безопасности подписано PGP-ключом офицера безопасности. " +"Открытый ключ офицера безопасности можно проверить в " +"crossref:pgpkeys[pgpkeys,OpenPGP Keys]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2170 +msgid "" +"The name of the security advisory always begins with `FreeBSD-SA-` (for " +"FreeBSD Security Advisory), followed by the year in two digit format " +"(`23:`), followed by the advisory number for that year (`07.`), followed by " +"the name of the affected application or subsystem (`bhyve`)." +msgstr "" +"Название рекомендации по безопасности всегда начинается с `FreeBSD-SA-` (для " +"FreeBSD Security Advisory), за которым следует год в двузначном формате " +"(`23:`), затем номер рекомендации за этот год (`07.`), а затем название " +"затронутого приложения или подсистемы (`bhyve`)." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2171 +msgid "The `Topic` field summarizes the vulnerability." +msgstr "Поле `Topic` содержит краткое описание уязвимости." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2172 +msgid "" +"The `Category` refers to the affected part of the system which may be one of " +"`core`, `contrib`, or `ports`. The `core` category means that the " +"vulnerability affects a core component of the FreeBSD operating system. The " +"`contrib` category means that the vulnerability affects software included " +"with FreeBSD, such as BIND. The `ports` category indicates that the " +"vulnerability affects software available through the Ports Collection." +msgstr "" +"`Category` относится к затронутой части системы, которая может быть одной из " +"следующих: `core`, `contrib` или `ports`. Категория `core` означает, что " +"уязвимость затрагивает основной компонент операционной системы FreeBSD. " +"Категория `contrib` означает, что уязвимость затрагивает программное " +"обеспечение, включённое в состав FreeBSD, например BIND. Категория `ports` " +"указывает, что уязвимость затрагивает программное обеспечение, доступное " +"через Коллекцию портов." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2173 +msgid "" +"The `Module` field refers to the component location. In this example, the " +"`bhyve` module is affected; therefore, this vulnerability affects an " +"application installed with the operating system." +msgstr "" +"Поле `Module` указывает на расположение компонента. В данном примере " +"затронут модуль `bhyve`; следовательно, эта уязвимость затрагивает " +"приложение, установленное вместе с операционной системой." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2174 +msgid "" +"The `Announced` field reflects the date the security advisory was published. " +"This means that the security team has verified that the problem exists and " +"that a patch has been committed to the FreeBSD source code repository." +msgstr "" +"Поле `Announced` указывает дату публикации уведомления о безопасности. Это " +"означает, что команда безопасности подтвердила наличие проблемы и что " +"исправление было добавлено в репозиторий исходного кода FreeBSD." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2175 +msgid "" +"The `Credits` field gives credit to the individual or organization who " +"noticed the vulnerability and reported it." +msgstr "" +"Поле `Credits` указывает на человека или организацию, которые обнаружили " +"уязвимость и сообщили о ней." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2176 +msgid "" +"The `Affects` field explains which releases of FreeBSD are affected by this " +"vulnerability." +msgstr "" +"Поле `Affects` указывает, какие выпуски FreeBSD подвержены данной уязвимости." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2177 +msgid "" +"The `Corrected` field indicates the date, time, time offset, and releases " +"that were corrected. The section in parentheses shows each branch for which " +"the fix has been merged, and the version number of the corresponding release " +"from that branch. The release identifier itself includes the version number " +"and, if appropriate, the patch level. The patch level is the letter `p` " +"followed by a number, indicating the sequence number of the patch, allowing " +"users to track which patches have already been applied to the system." +msgstr "" +"Поле `Corrected` указывает дату, время, смещение времени и версии, в которых " +"была исправлена ошибка. Раздел в скобках показывает каждую ветку, в которую " +"было внесено исправление, и номер версии соответствующего выпуска из этой " +"ветки. Идентификатор выпуска включает номер версии и, если необходимо, " +"уровень патча. Уровень патча обозначается буквой `p` с последующим числом, " +"указывающим порядковый номер патча, что позволяет пользователям отслеживать, " +"какие патчи уже были применены к системе." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2178 +msgid "" +"The `CVE Name` field lists the advisory number, if one exists, in the public " +"http://cve.mitre.org[cve.mitre.org] security vulnerabilities database." +msgstr "" +"Поле `CVE Name` содержит номер рекомендации, если он существует, в публичной " +"базе данных уязвимостей безопасности http://cve.mitre.org[cve.mitre.org]." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2179 +msgid "The `Background` field provides a description of the affected module." +msgstr "Поле `Background` содержит описание затронутого модуля." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2180 +msgid "" +"The `Problem Description` field explains the vulnerability. This can include " +"information about the flawed code and how the utility could be maliciously " +"used." +msgstr "" +"Поле `Описание проблемы` поясняет уязвимость. Оно может содержать информацию " +"о проблемном коде и о том, как утилита может быть использована " +"злоумышленниками." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2181 +msgid "" +"The `Impact` field describes what type of impact the problem could have on a " +"system." +msgstr "" +"Поле `Impact` описывает, какой тип воздействия проблема может оказать на " +"систему." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2182 +msgid "" +"The `Workaround` field indicates if a workaround is available to system " +"administrators who cannot immediately patch the system." +msgstr "" +"Поле `Workaround` указывает, доступно ли временное решение для системных " +"администраторов, которые не могут немедленно установить исправление." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2183 +msgid "" +"The `Solution` field provides the instructions for patching the affected " +"system. This is a step by step tested and verified method for getting a " +"system patched and working securely." +msgstr "" +"Поле `Solution` содержит инструкции по исправлению уязвимости на затронутой " +"системе. Это пошаговый проверенный метод, позволяющий обновить систему и " +"обеспечить её безопасную работу." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2184 +msgid "" +"The `Correction Details` field displays each affected Subversion or Git " +"branch with the revision number that contains the corrected code." +msgstr "" +"Поле `Correction Details` отображает каждую затронутую ветку Subversion или " +"Git с номером ревизии, содержащей исправленный код." + +#. type: Plain text +#: documentation/content/en/books/handbook/security/_index.adoc:2184 +msgid "" +"The `References` field offers sources of additional information regarding " +"the vulnerability." +msgstr "" +"Поле `References` содержит источники дополнительной информации об уязвимости." |