cvs commit: de-docproj/books/handbook/security chapter.sgml

jkois 2008-03-26 14:26:57 UTC

  FreeBSD German Documentation Repository

  Modified files:
    books/handbook/security chapter.sgml
  Log:
  MFen 1.316->1.320
  
  Revision Changes Path
  1.157 +24 -38 de-docproj/books/handbook/security/chapter.sgml
  
  Index: chapter.sgml
  ===================================================================
  RCS file: /home/cvs/de-docproj/books/handbook/security/chapter.sgml,v
  retrieving revision 1.156
  retrieving revision 1.157
  diff -u -I$FreeBSDde.*$ -r1.156 -r1.157
  --- chapter.sgml 23 Oct 2007 09:24:47 -0000 1.156
  +++ chapter.sgml 26 Mar 2008 14:26:57 -0000 1.157
  @@ -3,8 +3,8 @@
        The FreeBSD German Documentation Project
   
        $FreeBSD$
  - $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.156 2007/10/23 09:24:47 jkois Exp $
  - basiert auf: 1.316
  + $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.157 2008/03/26 14:26:57 jkois Exp $
  + basiert auf: 1.320
   -->
   
   <chapter id="security">
  @@ -69,7 +69,7 @@
   
         <listitem>
           <para><acronym>TCP</acronym>-Wrapper f&uuml;r
  - <command>inetd</command> einrichten k&ouml;nnen.</para>
  + <application>inetd</application> einrichten k&ouml;nnen.</para>
         </listitem>
   
         <listitem>
  @@ -400,49 +400,35 @@
           Obwohl der <groupname>wheel</groupname>-Mechanismus besser als
           gar nichts ist, ist er nicht unbedingt die sicherste L&ouml;sung.</para>
   
  - <para>Indirekt k&ouml;nnen Sie die Accounts von Mitarbeitern und
  - damit auch den Zugriff auf <username>root</username> sch&uuml;tzen,
  - indem Sie eine alternative Zugangsmethode verwenden und die
  - Accounts der Mitarbeiter mit einem ung&uuml;ltigen verschl&uuml;sselten
  - Passwort versehen. Mit &man.vipw.8; k&ouml;nnen Sie jedes
  - verschl&uuml;sselte Passwort mit einem
  - <quote><literal>*</literal></quote> Zeichen ersetzen. Das Kommando
  - wird <filename>/etc/master.passwd</filename> und die
  - Benutzer/Passwort Datenbank aktualisieren und die Passwort
  - Authentifizierung abstellen.</para>
  + <para>Um ein Konto komplett zu sperren, verwenden Sie den Befehl
  + &man.pw.8;:</para>
   
  - <para>Ein Account wie</para>
  + <screen>&prompt.root;<userinput>pw lock <replaceable>staff</replaceable></userinput></screen>
  +
  + <para>Danach ist es diesem Benutzer nicht mehr m&ouml;glich (auch
  + nicht mit &man.ssh.1;), sich anzumelden.</para>
  +
  + <para>Eine weitere M&ouml;glichkeit, bestimmte Benutzer zu sperren,
  + ist es, das verschl&uuml;sselte Passwort durch das Zeichen
  + <quote><literal>*</literal></quote> zu ersetzen. Da ein
  + verschl&uuml;sseltes Passwort niemals diesem Zeichen entsprechen
  + kann, kann sich der betroffene Benutzer ebenfalls nicht mehr
  + anmelden. Beispielsweise m&uuml;sste dazu das Konto</para>
   
         <programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
   
  - <para>sollte wie folgt abge&auml;ndert werden:</para>
  + <para>wie folgt abge&auml;ndert werden:</para>
   
         <programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
   
  - <para>Da ein verschl&uuml;sseltes Passwort niemals
  - ein <quote><literal>*</literal></quote> sein kann, verhindert dies
  - die normale Anmeldung. Damit m&uuml;ssen sich die Mitarbeiter
  - mit anderen Mechanismen wie &man.kerberos.1; oder &man.ssh.1;
  - authentifizieren. Wenn Sie etwas wie
  - <application>Kerberos</application> benutzen, m&uuml;ssen Sie
  - die Maschinen, die die <application>Kerberos</application>-Server
  - beheimaten und die Maschinen der Benutzer absichern. Wenn Sie
  - &ouml;ffentliche/private Schl&uuml;ssel mit
  - <application>SSH</application> benutzen, muss die Maschine
  - <emphasis>von</emphasis> der die Anmeldung gestartet wird, gesichert
  - werden. Als zus&auml;tzliche Sicherheitsschicht k&ouml;nnen Sie
  - das Schl&uuml;sselpaar beim Erstellen mit &man.ssh-keygen.1; durch
  - ein Passwort sch&uuml;tzen. Dadurch, dass Sie die
  - Passw&ouml;rter Ihrer Mitarbeiter als ung&uuml;ltig markiert
  - haben, stellen Sie sicher, dass sich die Mitarbeiter nur mit
  - den sicheren Methoden, die Sie aufgesetzt haben, anmelden k&ouml;nnen.
  - Dies zwingt alle Mitarbeiter, verschl&uuml;sselte Verbindungen
  - f&uuml;r ihre Sitzungen zu verwenden, und schlie&szlig;t ein
  - wichtiges Loch, dass gerne von Angreifern ausgenutzt wird:
  - Das Abh&ouml;ren des Netzwerks von einer anderen weniger gesicherten
  - Maschine.</para>
  + <para>Durch diese &Auml;nderung wird der Benutzer
  + <username>foobar</username> daran gehindert, sich auf
  + konventionellem Wege am System anzumelden. Diese
  + Ma&szlig;nahmen greifen allerdings nicht, wenn das betroffene
  + System auch eine Anmeldung &uuml;ber
  + <application>Kerberos</application> oder &man.ssh.1; erlaubt.</para>
   
  - <para>Die indirekten Sicherheitsmechanismen setzen voraus, dass
  + <para>Diese Sicherheitsmechanismen setzen voraus, dass
           Sie sich von einer restriktiven Maschine auf einer weniger restriktiven
           Maschine anmelden. Wenn zum Beispiel auf Ihrem Hauptrechner alle
           m&ouml;glichen Arten von Servern laufen, so sollten auf Ihrer
  @@ -5306,7 +5292,7 @@
   
         <para>Das Ergebnis sind alle bekannten Eins&auml;tze von
           <command>ls</command> durch <username>trhodes</username>
  - auf dem Terminal ttyp1.</para>
  + auf dem Terminal <literal>ttyp1</literal>.</para>
   
         <para>Zahlreiche weitere n&uuml;tzliche Optionen finden Sie in den
           Manualpages zu &man.lastcomm.1;, &man.acct.5; sowie
  

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Wed 26 Mar 2008 - 15:27:11 CET