fboerner 2010-02-06 19:54:54 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/security chapter.sgml
Log:
MFen 1.335
Unterscheidung von Verzeichnissen und Dateinamen durch einfuegen von class="directory"
Approved by: bcr (mentor)
Revision Changes Path
1.173 +32 -22 de-docproj/books/handbook/security/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/security/chapter.sgml,v
retrieving revision 1.172
retrieving revision 1.173
diff -u -I$FreeBSDde.*$ -r1.172 -r1.173
--- chapter.sgml 6 Feb 2010 17:10:05 -0000 1.172
+++ chapter.sgml 6 Feb 2010 19:54:54 -0000 1.173
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD: doc/de_DE.ISO8859-1/books/handbook/security/chapter.sgml,v 1.54 2008/03/26 19:02:45 jkois Exp $
- $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.172 2010/02/06 17:10:05 fboerner Exp $
- basiert auf: 1.334
+ $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.173 2010/02/06 19:54:54 fboerner Exp $
+ basiert auf: 1.335
-->
<chapter id="security">
@@ -550,8 +550,10 @@
<username>root</username>-Zugriff führen können, sind
die auf dem System installierten SUID- und SGID-Programme. Die
meisten dieser Programme wie <application>rlogin</application> stehen
- in <filename>/bin</filename>, <filename>/sbin</filename>,
- <filename>/usr/bin</filename>, oder <filename>/usr/sbin</filename>.
+ in <filename class="directory">/bin</filename>,
+ <filename class="directory">/sbin</filename>,
+ <filename class="directory">/usr/bin</filename>, oder
+ <filename class="directory">/usr/sbin</filename>.
Obwohl nichts 100% sicher ist, können Sie davon ausgehen,
dass die SUID- und SGID-Programme des Basissystems ausreichend
sicher sind. Allerdings werden ab und an in diesen Programmen
@@ -717,10 +719,11 @@
System auf einem höheren Securelevel laufen zu lassen, aber
keine <literal>schg</literal> Flags für alle Systemdateien
und Verzeichnisse zu setzen. Eine andere Möglichkeit ist es,
- einfach die Verzeichnisse <filename>/</filename> und
- <filename>/usr</filename> read-only zu mounten. Es sei darauf
- hingewiesen, dass Sie nicht vor lauter Überlegen das Wichtigste,
- nämlich die Entdeckung eines Eindringens, vergessen.</para>
+ einfach die Verzeichnisse <filename class="directory">/</filename> und
+ <filename class="directory">/usr</filename> read-only zu mounten.
+ Es sei darauf hingewiesen, dass Sie nicht vor lauter Überlegen
+ das Wichtigste, nämlich die Entdeckung eines Eindringens,
+ vergessen.</para>
</sect2>
@@ -731,8 +734,9 @@
nur so weit schützen, wie es die Benutzbarkeit des
Systems nicht einschränkt. Wenn Sie zum Beispiel
mit <command>chflags</command> die Option <literal>schg</literal>
- auf die meisten Dateien in <filename>/</filename> und
- <filename>/usr</filename> setzen, kann das Ihre Arbeit mehr behindern
+ auf die meisten Dateien in <filename class="directory">/</filename> und
+ <filename class="directory">/usr</filename> setzen, kann das Ihre
+ Arbeit mehr behindern
als nützen. Die Maßnahme schützt zwar die
Dateien, schließt aber auch eine Möglichkeit,
Veränderungen zu entdecken, aus. Die letzte Schicht des
@@ -777,7 +781,8 @@
verwenden, können Sie dazu einfache Systemwerkzeuge wie
&man.find.1; und &man.md5.1; benutzen. Am besten berechnen
Sie einmal am Tag MD5-Prüfsummen der Dateien, Konfigurationsdateien
- in <filename>/etc</filename> und <filename>/usr/local/etc</filename>
+ in <filename class="directory">/etc</filename> und
+ <filename class="directory">/usr/local/etc</filename>
sollten öfter überprüft werden. Wenn Unstimmigkeiten
zwischen den auf der besonders geschützten Maschine gehaltenen
MD5-Prüfsummen und den ermittelten Prüfsummen festgestellt
@@ -785,7 +790,8 @@
der den Unstimmigkeiten dann nachgehen sollte. Ein gutes Skript
überprüft das System auch auf verdächtige
SUID-Programme sowie gelöschte oder neue Dateien in
- <filename>/</filename> und <filename>/usr</filename>.</para>
+ <filename class="directory">/</filename> und
+ <filename class="directory">/usr</filename>.</para>
<para>Wenn Sie <application>SSH</application> anstelle von NFS
benutzen, wird das Erstellen der Skripten schwieriger. Sie müssen
@@ -1787,8 +1793,8 @@
<para>Die folgenden Schritte werden nur auf dem Kerberos-Server
durchgeführt. Stellen Sie bitte vorher sicher, dass
keine alten Kerberos-Datenbanken mehr vorhanden sind. Im
- Verzeichnis <filename>/etc/kerberosIV</filename> sollten sich nur
- die folgenden Dateien befinden:</para>
+ Verzeichnis <filename class="directory">/etc/kerberosIV</filename>
+ sollten sich nur die folgenden Dateien befinden:</para>
<screen>&prompt.root; <userinput>cd /etc/kerberosIV</userinput>
&prompt.root; <userinput>ls</userinput>
@@ -1958,7 +1964,7 @@
die Dienste definieren, aus der Datenbank mit
<command>ext_srvtab</command> extrahieren. Die erstelle Datei
muss auf einem <emphasis>sicheren Weg</emphasis> in das
- Verzeichnis <filename>/etc</filename> jedes Clients
+ Verzeichnis <filename class="directory">/etc</filename> jedes Clients
kopiert werden. Die Datei muss auf jedem Server und auf
jedem Client vorhanden sein und ist unabdingbar für
Kerberos.</para>
@@ -1982,7 +1988,8 @@
<para>Wenn die Datei für ein Client-System bestimmt ist und das
Netzwerk nicht sicher ist, kopieren Sie die Datei auf ein bewegliches
Medium und transportieren sie physikalisch. Kopieren Sie die Datei
- auf den Client in das Verzeichnis <filename>/etc</filename>.
+ auf den Client in das Verzeichnis
+ <filename class="directory">/etc</filename>.
Benennen Sie die Datei in <filename>srvtab</filename> um und setzen Sie
schließlich noch die Berechtigungen auf 600:</para>
@@ -2033,7 +2040,8 @@
Wenn Sie <filename>/etc/rc.conf</filename> richtig angepasst haben,
passiert das automatisch, wenn Sie booten. Dieser Schritt ist nur
auf dem Kerberos-Server notwendig, die Clients bekommen alles
- was sie brauchen aus dem <filename>/etc/kerberosIV</filename>
+ was sie brauchen aus dem
+ <filename class="directory">/etc/kerberosIV</filename>
Verzeichnis.</para>
<screen>&prompt.root; <userinput>kerberos &</userinput>
@@ -2870,7 +2878,8 @@
(<ulink url="http://web.mit.edu/Kerberos/www/"></ulink>) des
<acronym>MIT</acronym>s. Achten Sie besonders auf den
Suchpfad für Anwendungen. Der <acronym>MIT</acronym>-Port
- wird standardmäßig in <filename>/usr/local/</filename>
+ wird standardmäßig in
+ <filename class="directory">/usr/local/</filename>
installiert. Wenn die Umgebungsvariable <envar>PATH</envar>
zuerst die Systemverzeichnisse enthält, werden die
Systemprogramme anstelle der <acronym>MIT</acronym>-Programme
@@ -2936,7 +2945,7 @@
<para>In Mehrbenutzer-Umgebungen ist
<application>Kerberos</application> unsicherer als in
Einbenutzer-Umgebungen, da die Tickets im für alle
- lesbaren Verzeichnis <filename>/tmp</filename>
+ lesbaren Verzeichnis <filename class="directory">/tmp</filename>
gespeichert werden. Wenn ein Rechner von mehreren
Benutzern verwendet wird, ist es möglich, dass
Tickets gestohlen werden.</para>
@@ -3920,7 +3929,7 @@
Konfigurationsdateien des
<application>OpenSSH</application>-Dæmons und des Clients
finden sich in dem Verzeichnis
- <filename>/etc/ssh</filename>.</para>
+ <filename class="directory">/etc/ssh</filename>.</para>
<para>Die Client-Konfiguration befindet sich in
<filename>ssh_config</filename>, die des Servers befindet sich in
@@ -4346,10 +4355,11 @@
drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3
drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
- <para>Die Verzeichnisse <filename>directory1</filename>,
- <filename>directory2</filename> und <filename>directory3</filename>
+ <para>Die Verzeichnisse <filename class="directory">directory1</filename>,
+ <filename class="directory">directory2</filename> und
+ <filename class="directory">directory3</filename>
sind durch Zugriffskontrolllisten geschützt, das Verzeichnis
- <filename>public_html</filename> nicht.</para>
+ <filename class="directory">public_html</filename> nicht.</para>
<sect2>
<title>Zugriffskontrolllisten benutzen</title>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sat 06 Feb 2010 - 20:55:12 CET