jkois 2008-03-26 14:26:57 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/security chapter.sgml
Log:
MFen 1.316->1.320
Revision Changes Path
1.157 +24 -38 de-docproj/books/handbook/security/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/security/chapter.sgml,v
retrieving revision 1.156
retrieving revision 1.157
diff -u -I$FreeBSDde.*$ -r1.156 -r1.157
--- chapter.sgml 23 Oct 2007 09:24:47 -0000 1.156
+++ chapter.sgml 26 Mar 2008 14:26:57 -0000 1.157
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.156 2007/10/23 09:24:47 jkois Exp $
- basiert auf: 1.316
+ $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.157 2008/03/26 14:26:57 jkois Exp $
+ basiert auf: 1.320
-->
<chapter id="security">
@@ -69,7 +69,7 @@
<listitem>
<para><acronym>TCP</acronym>-Wrapper für
- <command>inetd</command> einrichten können.</para>
+ <application>inetd</application> einrichten können.</para>
</listitem>
<listitem>
@@ -400,49 +400,35 @@
Obwohl der <groupname>wheel</groupname>-Mechanismus besser als
gar nichts ist, ist er nicht unbedingt die sicherste Lösung.</para>
- <para>Indirekt können Sie die Accounts von Mitarbeitern und
- damit auch den Zugriff auf <username>root</username> schützen,
- indem Sie eine alternative Zugangsmethode verwenden und die
- Accounts der Mitarbeiter mit einem ungültigen verschlüsselten
- Passwort versehen. Mit &man.vipw.8; können Sie jedes
- verschlüsselte Passwort mit einem
- <quote><literal>*</literal></quote> Zeichen ersetzen. Das Kommando
- wird <filename>/etc/master.passwd</filename> und die
- Benutzer/Passwort Datenbank aktualisieren und die Passwort
- Authentifizierung abstellen.</para>
+ <para>Um ein Konto komplett zu sperren, verwenden Sie den Befehl
+ &man.pw.8;:</para>
- <para>Ein Account wie</para>
+ <screen>&prompt.root;<userinput>pw lock <replaceable>staff</replaceable></userinput></screen>
+
+ <para>Danach ist es diesem Benutzer nicht mehr möglich (auch
+ nicht mit &man.ssh.1;), sich anzumelden.</para>
+
+ <para>Eine weitere Möglichkeit, bestimmte Benutzer zu sperren,
+ ist es, das verschlüsselte Passwort durch das Zeichen
+ <quote><literal>*</literal></quote> zu ersetzen. Da ein
+ verschlüsseltes Passwort niemals diesem Zeichen entsprechen
+ kann, kann sich der betroffene Benutzer ebenfalls nicht mehr
+ anmelden. Beispielsweise müsste dazu das Konto</para>
<programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>sollte wie folgt abgeändert werden:</para>
+ <para>wie folgt abgeändert werden:</para>
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>Da ein verschlüsseltes Passwort niemals
- ein <quote><literal>*</literal></quote> sein kann, verhindert dies
- die normale Anmeldung. Damit müssen sich die Mitarbeiter
- mit anderen Mechanismen wie &man.kerberos.1; oder &man.ssh.1;
- authentifizieren. Wenn Sie etwas wie
- <application>Kerberos</application> benutzen, müssen Sie
- die Maschinen, die die <application>Kerberos</application>-Server
- beheimaten und die Maschinen der Benutzer absichern. Wenn Sie
- öffentliche/private Schlüssel mit
- <application>SSH</application> benutzen, muss die Maschine
- <emphasis>von</emphasis> der die Anmeldung gestartet wird, gesichert
- werden. Als zusätzliche Sicherheitsschicht können Sie
- das Schlüsselpaar beim Erstellen mit &man.ssh-keygen.1; durch
- ein Passwort schützen. Dadurch, dass Sie die
- Passwörter Ihrer Mitarbeiter als ungültig markiert
- haben, stellen Sie sicher, dass sich die Mitarbeiter nur mit
- den sicheren Methoden, die Sie aufgesetzt haben, anmelden können.
- Dies zwingt alle Mitarbeiter, verschlüsselte Verbindungen
- für ihre Sitzungen zu verwenden, und schließt ein
- wichtiges Loch, dass gerne von Angreifern ausgenutzt wird:
- Das Abhören des Netzwerks von einer anderen weniger gesicherten
- Maschine.</para>
+ <para>Durch diese Änderung wird der Benutzer
+ <username>foobar</username> daran gehindert, sich auf
+ konventionellem Wege am System anzumelden. Diese
+ Maßnahmen greifen allerdings nicht, wenn das betroffene
+ System auch eine Anmeldung über
+ <application>Kerberos</application> oder &man.ssh.1; erlaubt.</para>
- <para>Die indirekten Sicherheitsmechanismen setzen voraus, dass
+ <para>Diese Sicherheitsmechanismen setzen voraus, dass
Sie sich von einer restriktiven Maschine auf einer weniger restriktiven
Maschine anmelden. Wenn zum Beispiel auf Ihrem Hauptrechner alle
möglichen Arten von Servern laufen, so sollten auf Ihrer
@@ -5306,7 +5292,7 @@
<para>Das Ergebnis sind alle bekannten Einsätze von
<command>ls</command> durch <username>trhodes</username>
- auf dem Terminal ttyp1.</para>
+ auf dem Terminal <literal>ttyp1</literal>.</para>
<para>Zahlreiche weitere nützliche Optionen finden Sie in den
Manualpages zu &man.lastcomm.1;, &man.acct.5; sowie
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Wed 26 Mar 2008 - 15:27:11 CET