aboutsummaryrefslogtreecommitdiff
path: root/zh_CN.GB2312/books/handbook/security/chapter.sgml
diff options
context:
space:
mode:
Diffstat (limited to 'zh_CN.GB2312/books/handbook/security/chapter.sgml')
-rw-r--r--zh_CN.GB2312/books/handbook/security/chapter.sgml44
1 files changed, 18 insertions, 26 deletions
diff --git a/zh_CN.GB2312/books/handbook/security/chapter.sgml b/zh_CN.GB2312/books/handbook/security/chapter.sgml
index 9f2d4ebec6..6f50000f0a 100644
--- a/zh_CN.GB2312/books/handbook/security/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/security/chapter.sgml
@@ -2,7 +2,7 @@
The FreeBSD Documentation Project
The FreeBSD Simplified Chinese Project
- Original Revision: 1.294
+ Original Revision: 1.296
$FreeBSD$
-->
@@ -30,9 +30,7 @@
的地方。 让系统更加安全, 将保护您的数据、 智力财产、 时间,
以及其他很多东西不至于被入侵者或心存恶意的人所窃取。</para>
- <para>&os; 提供了一系列工具和机制来保证您系统和网络的完整和安全。</para>
-
- <para>&os;提供了大量的工具和机制来确保您的系统和网络的安全。</para>
+ <para>&os; 提供了一系列工具和机制来保证您的系统和网络的完整及安全。</para>
<para>读完这章,您将了解:</para>
@@ -480,7 +478,7 @@
<username>root</username> 漏洞。1998年,<literal>Xlib</literal>
中发现了一处 <username>root</username> 漏洞,这使得
<application>xterm</application> (通常是做了suid的) 变得可以入侵。
- 做的安全些, 总比出现问题再后悔要强。
+ 做得安全些, 总比出现问题再后悔要强。
因此,谨慎的管理员通常会限制 suid 可执行文件,
并保证只有员工帐号能够执行它们,或只开放给特定的用户组,甚至彻底干掉
(<command>chmod 000</command>) 任何 suid 可执行文件,
@@ -728,7 +726,7 @@
通过建立可以生成 ICMP 出错响应的包, 攻击者能够攻击服务器的网络下行资源,
并导致其上行资源耗尽。 这种类型的攻击也可以通过耗尽 mbuf
来使得使得被攻击的服务器崩溃,特别是当这些服务器无法足够快地完成
- ICPM 响应的时候。 较新的内核可以通过调整 <application>sysctl</application>
+ ICMP 响应的时候。 较新的内核可以通过调整 <application>sysctl</application>
变量 <literal>net.inet.icmp.icmplim</literal> 来限制这种攻击。
最后一类主要的 springboard 是针对某些
<application>inetd</application> 的内部服务, 例如
@@ -1073,20 +1071,6 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
<sect2>
<title>限制使用 &unix; 口令</title>
- <para>S/Key 可以对 &unix; 口令的使用实施基于主机名、
- 用户名、 终端端口或登录会话的 IP 地址的各种限制。
- 这些限制可以在配置文件 <filename>/etc/skey.access</filename> 中找到。
- &man.skey.access.5; 联机帮助提供了关于文件格式的详细资料,
- 并给出了更详细的使用这一配置文件时在安全方面需要注意的事项。</para>
-
- <para>如果没有 <filename>/etc/skey.access</filename> 这个文件
- (在 &os;&nbsp;4.X 系统上这是默认的), 那么所有的用户都可以使用
- &unix; 口令。 然而如果它存在,
- 所有的用户将被要求使用 S/Key,
- 除非明确地在
- <filename>skey.access</filename> 中配置允许这样做。
- 无论如何, &unix; 在控制台上总是可用的。</para>
-
<para>OPIE 可以对 &unix; 口令的使用进行基于 IP 的登录限制。
对应的文件是 <filename>/etc/opieaccess</filename>,
这个文件默认情况下就是存在的。
@@ -1919,8 +1903,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
<acronym>KDC</acronym> 所需的设置 (您可能需要适当地调整路径以适应自己系统的情况):</para>
<programlisting>kerberos5_server_enable="YES"
-kadmind5_server_enable="YES"
-kerberos_stash="YES"</programlisting>
+kadmind5_server_enable="YES"</programlisting>
<para>接下来需要修改 <application>Kerberos</application>
的配置文件, <filename>/etc/krb5.conf</filename>:</para>
@@ -2770,7 +2753,16 @@ options FAST_IPSEC # new IPsec (cannot define w/ IPSEC)
<quote>Fast IPsec</quote> 子系统完全替代 KAME
的 IPsec 实现。 请参见联机手册 &man.fast.ipsec.4;
以了解进一步的详情。</para>
+ </note>
+
+ <note>
+ <para>如果希望防火墙能够正确地跟踪到 &man.gif.4; 信道的状态,
+ 您还需要在内核配置中启用
+ <option>IPSEC_FILTERGIF</option>:</para>
+ <screen>
+options IPSEC_FILTERGIF #filter ipsec packets from a tunnel
+ </screen>
</note>
<indexterm>
@@ -3778,7 +3770,7 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com
<title>ssh-agent 和 ssh-add</title>
<para>&man.ssh-agent.1; 和 &man.ssh-add.1; 这两个工具,
- 提供了一种将 <application>SSH</application> 秘要加载到内存中以便使用,
+ 提供了一种将 <application>SSH</application> 秘钥加载到内存中以便使用,
而不必每次都输入通行字的方法。</para>
<para>&man.ssh-agent.1; 工具能够使用加载到其中的私钥来处理验证过程。
@@ -3913,7 +3905,7 @@ Escape character is '^]'.
同一个办公网络中有一个邮件服务器提供 POP3 服务。
这个网络, 或从您家到办公室的网络可能不,
或不完全可信。 基于这样的原因,
- 您需要以安全的方式来察看邮件。
+ 您需要以安全的方式来查看邮件。
解决方法是创建一个到办公室 SSH 服务器的连接,
并通过这个连接来访问 POP3 服务:</para>
@@ -4067,7 +4059,7 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
<acronym>ACL</acronym> 附着到文件上, 而由于它们的权限发生了变化,
就很可能造成无法预期的行为。</para></note>
- <para>在察看目录时, 启用了 <acronym>ACLs</acronym> 的文件将在通常的属性后面显示 <literal>+</literal>
+ <para>在查看目录时, 启用了 <acronym>ACLs</acronym> 的文件将在通常的属性后面显示 <literal>+</literal>
(加号)。 例如:</para>
<programlisting>drwx------ 2 robert robert 512 Dec 27 11:54 private
@@ -4279,7 +4271,7 @@ VII. References<co id="co-ref"></programlisting>
</callout>
<callout arearefs="co-category">
- <para><literal>Category</literal> (分类) 是指系统中受到影响的组建,
+ <para><literal>Category</literal> (分类) 是指系统中受到影响的组件,
这一栏可能是 <literal>core</literal>、 <literal>contrib</literal>,
或者 <literal>ports</literal> 之一。 <literal>core</literal>
分类表示安全弱点影响到了 &os; 操作系统的某个核心组件。
generated by cgit v1.2.3 (git 2.25.1) at 2025-06-07 07:33:31 +0000