From 03af8e30f552e08939baf854a6fa5455ac8a607c Mon Sep 17 00:00:00 2001 From: Dmitry Morozovsky Date: Tue, 30 Nov 2004 08:52:12 +0000 Subject: [PATCH] MFen informaltable pgwide fix for MSIE: 1.352 -> 1.353 advanced-networking/chapter.sgml 1.126 -> 1.127 basics/chapter.sgml 1.190 -> 1.191 config/chapter.sgml 1.42 -> 1.43 desktop/chapter.sgml 1.150 -> 1.151 eresources/chapter.sgml 1.104 -> 1.105 l10n/chapter.sgml 1.115 -> 1.116 linuxemu/chapter.sgml 1.122 -> 1.123 mail/chapter.sgml 1.101 -> 1.102 multimedia/chapter.sgml 1.39 -> 1.40 network-servers/chapter.sgml 1.227 -> 1.229 ports/chapter.sgml 1.89 -> 1.90 printing/chapter.sgml 1.95 -> 1.96 serialcomms/chapter.sgml 1.49 -> 1.51 users/chapter.sgml 1.155 -> 1.156 x11/chapter.sgml Security chapter missed because of temporary translation sync loss. Approved by: The FreeBSD Russian Documentation Project --- .../handbook/advanced-networking/chapter.sgml | 16 +- .../books/handbook/basics/chapter.sgml | 12 +- .../books/handbook/config/chapter.sgml | 8 +- .../books/handbook/desktop/chapter.sgml | 16 +- .../books/handbook/eresources/chapter.sgml | 16 +- ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml | 10 +- .../books/handbook/linuxemu/chapter.sgml | 38 +- ru_RU.KOI8-R/books/handbook/mail/chapter.sgml | 6 +- .../books/handbook/multimedia/chapter.sgml | 6 +- .../handbook/network-servers/chapter.sgml | 14 +- .../books/handbook/ports/chapter.sgml | 24 +- .../books/handbook/printing/chapter.sgml | 10 +- .../books/handbook/security/chapter.sgml | 1170 ++++------------- .../books/handbook/serialcomms/chapter.sgml | 12 +- .../books/handbook/users/chapter.sgml | 8 +- ru_RU.KOI8-R/books/handbook/x11/chapter.sgml | 6 +- 16 files changed, 369 insertions(+), 1003 deletions(-) diff --git a/ru_RU.KOI8-R/books/handbook/advanced-networking/chapter.sgml b/ru_RU.KOI8-R/books/handbook/advanced-networking/chapter.sgml index c7ef95d252..cb259da419 100644 --- a/ru_RU.KOI8-R/books/handbook/advanced-networking/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/advanced-networking/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/advanced-networking/chapter.sgml,v 1.108 2004/11/29 16:24:18 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/advanced-networking/chapter.sgml,v 1.109 2004/11/30 08:41:10 marck Exp $ - Original revision: 1.352 + Original revision: 1.353 --> @@ -216,7 +216,7 @@ host2.example.com link#1 UC 0 0 колонке Flags. Ниже приводится краткая таблица некоторых из этих флагов и их значений: - + @@ -316,7 +316,7 @@ host2.example.com link#1 UC 0 0 Маршруты по умолчанию для каждой из ваших машин будут следующими: - + @@ -362,7 +362,7 @@ host2.example.com link#1 UC 0 0 10.9.9, то маршруты по умолчанию будут такие: - + @@ -3523,7 +3523,7 @@ redirect_port tcp 192.168.0.3:80 80 -redirect_address localIP publicIP - + @@ -4340,7 +4340,7 @@ gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280 role="Asynchronous Transfer Mode">ATM подключений между компьютерами. Мы используем: - + @@ -4378,7 +4378,7 @@ gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280 Для сборки полностью объединенной сети нам потребуется по одному ATM соединению между каждой парой компьютеров: - + diff --git a/ru_RU.KOI8-R/books/handbook/basics/chapter.sgml b/ru_RU.KOI8-R/books/handbook/basics/chapter.sgml index 6e184c30fa..d2f2ab5b20 100644 --- a/ru_RU.KOI8-R/books/handbook/basics/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/basics/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/basics/chapter.sgml,v 1.24 2004/10/08 06:39:07 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/basics/chapter.sgml,v 1.26 2004/11/30 08:41:11 marck Exp $ - Original revision: 1.126 + Original revision: 1.127 --> @@ -335,7 +335,7 @@ console none unknown off secure права на файлы - + @@ -478,7 +478,7 @@ total 530 используют синтаксис (кто) (действие) (права), где существуют следующие значения: - + @@ -616,7 +616,7 @@ total 530 Здесь же мы упомянем лишь наиболее важные каталоги. - + @@ -2001,7 +2001,7 @@ Swap: 256M Total, 38M Used, 217M Free, 15% Inuse наиболее часто встречающиеся переменные окружения и их значения: переменные окружения - + diff --git a/ru_RU.KOI8-R/books/handbook/config/chapter.sgml b/ru_RU.KOI8-R/books/handbook/config/chapter.sgml index ba53e89808..d533592e1c 100644 --- a/ru_RU.KOI8-R/books/handbook/config/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/config/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.32 2004/11/29 16:24:21 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.33 2004/11/30 08:41:12 marck Exp $ - Original revision: 1.190 + Original revision: 1.191 --> @@ -1276,7 +1276,7 @@ round-trip min/avg/max/stddev = 0.700/0.729/0.766/0.025 ms Во FreeBSD определён ряд директорий, предназначенных для хранения конфигурационных файлов. Это: - + @@ -1349,7 +1349,7 @@ round-trip min/avg/max/stddev = 0.700/0.729/0.766/0.025 ms Основные записи resolv.conf: - + diff --git a/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml b/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml index a984fcaf7b..4d6ad9c1b0 100644 --- a/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml,v 1.11 2004/11/13 19:59:36 marck Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml,v 1.12 2004/11/30 08:41:12 marck Exp $ - Original revision: 1.42 + Original revision: 1.43 --> @@ -133,7 +133,7 @@ Этот раздел рассказывает о следующих приложениях: - + @@ -448,7 +448,7 @@ export LD_PRELOAD Этот раздел описывает следующие приложения: - + @@ -664,7 +664,7 @@ export LD_PRELOAD Если вы хотите использовать локализованную версию, вот доступные порты: - + @@ -815,7 +815,7 @@ export LD_PRELOAD В разделе говорится о следующих приложениях: - + @@ -1003,7 +1003,7 @@ export LD_PRELOAD В этом разделе говорится о следующих приложениях: - + @@ -1162,7 +1162,7 @@ export LD_PRELOAD Вот небольшой обзор всех графических приложений, о которых говорилось в этой главе: - + diff --git a/ru_RU.KOI8-R/books/handbook/eresources/chapter.sgml b/ru_RU.KOI8-R/books/handbook/eresources/chapter.sgml index c7b6592ba5..15790c8162 100644 --- a/ru_RU.KOI8-R/books/handbook/eresources/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/eresources/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/eresources/chapter.sgml,v 1.15 2004/11/14 19:33:01 marck Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/eresources/chapter.sgml,v 1.16 2004/11/30 08:41:13 marck Exp $ - Original revision: 1.150 + Original revision: 1.151 --> @@ -72,7 +72,7 @@ списки рассылки, к которым каждый может (и приглашается) присоединиться: - + @@ -186,7 +186,7 @@ этих списков, поскольку они предназначены для использования внутри проекта. - + @@ -518,7 +518,7 @@ в технических списках рассылки перед присоединением к ограниченным спискам, так вы сможете освоить этику общения. - + @@ -563,7 +563,7 @@ Это списки только для чтения и вы не должны отправлять туда почту. - + @@ -1625,7 +1625,7 @@ почтовые адреса. Приведенные в списке администраторы оставляют за собой право удалить адреса при любом злоупотреблении. - + @@ -1657,7 +1657,7 @@ администраторы оставляют за собой право закрыть учетную запись при любом злоупотреблении. - + diff --git a/ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml b/ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml index db4462abea..b12d0d4019 100644 --- a/ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml,v 1.12 2004/11/13 11:37:11 marck Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/l10n/chapter.sgml,v 1.13 2004/11/30 08:41:13 marck Exp $ - Original revision: 1.104 + Original revision: 1.105 --> @@ -137,7 +137,7 @@ выбор в зависимости от этого. Далее показаны примеры кодов языка/страны: - + @@ -526,7 +526,7 @@ keychange="fkey_number sequence" в /etc/ttys установлен подходящий тип терминала. Имеющиеся типы соответствуют следующим кодировкам: - + @@ -583,7 +583,7 @@ keychange="fkey_number sequence" и для X11 и для последовательных псевдоконсолей. Вот неполный список приложений для использования этих кодировок в консоли: - + diff --git a/ru_RU.KOI8-R/books/handbook/linuxemu/chapter.sgml b/ru_RU.KOI8-R/books/handbook/linuxemu/chapter.sgml index 6a7eedcc98..440b02ee41 100644 --- a/ru_RU.KOI8-R/books/handbook/linuxemu/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/linuxemu/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/linuxemu/chapter.sgml,v 1.12 2004/11/26 14:34:37 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/linuxemu/chapter.sgml,v 1.13 2004/11/30 08:41:13 marck Exp $ - Original revision: 1.115 + Original revision: 1.116 --> @@ -1048,7 +1048,7 @@ options SYSVMSG # ORACLE_HOME и ORACLE_SID, вам нужно будет установить следующие переменные среды: - + @@ -1286,7 +1286,7 @@ export PATH &sap.r3; 4.6B, &oracle; 8.0.5 - + @@ -1347,7 +1347,7 @@ export PATH &sap.r3; 4.6C SR2, &oracle; 8.1.7 - + @@ -1415,7 +1415,7 @@ export PATH &sap.r3; 4.6B, &oracle; 8.0.5 - + @@ -1466,7 +1466,7 @@ export PATH &sap.r3; 4.6C, &oracle; 8.1.7 - + @@ -1534,7 +1534,7 @@ export PATH &sap.r3; System. Для производственного использования необходима более точная оценка параметров: - + @@ -1619,7 +1619,7 @@ export PATH использовании AMI &megaraid; будут задействованы устройства /dev/amr0s1a вместо /dev/da0s1a): - + @@ -1788,7 +1788,7 @@ pam-0.68-7.i386.rpm Для простой установки достаточно создать следующие файловые системы: - + @@ -1859,7 +1859,7 @@ ERROR 2002-03-19 16:45:36 R3LINKS_IND_IND Ins_SetupLinks:0 могут отличаться, мы просто указали наши значения, использованные при установке): - + @@ -1898,7 +1898,7 @@ ERROR 2002-03-19 16:45:36 R3LINKS_IND_IND Ins_SetupLinks:0 Нам также нужны следующие пользователи: - + @@ -2225,7 +2225,7 @@ options SEMUME=100 # Скрипт затем задает ряд вопросов (стандартные ответы даны в скобках, а затем представлены реальные ответы): - + @@ -2426,7 +2426,7 @@ options SEMUME=100 # Скрипт затем задаст ряд вопросов (стандартные значения даны в скобках, а затем идут реальные ответы): - + @@ -2672,7 +2672,7 @@ options SEMUME=100 # установок можно использовать хорошо известные стандартные пароли (но если защита важна - используйте другие!): - + @@ -2797,7 +2797,7 @@ LICENSE KEY = ddic и sap*, выполните, как минимум, следующее: - + @@ -2893,7 +2893,7 @@ tape_address_rew = /dev/sa0 настроить после установки (примеры для IDES 46B, 1 Гбайт памяти): - + @@ -2932,7 +2932,7 @@ tape_address_rew = /dev/sa0 &sap; Note 0013026: - + @@ -2951,7 +2951,7 @@ tape_address_rew = /dev/sa0 &sap; Note 0157246: - + diff --git a/ru_RU.KOI8-R/books/handbook/mail/chapter.sgml b/ru_RU.KOI8-R/books/handbook/mail/chapter.sgml index b60cbb9150..0a7cbb04d2 100644 --- a/ru_RU.KOI8-R/books/handbook/mail/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/mail/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mail/chapter.sgml,v 1.28 2004/11/26 14:34:38 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mail/chapter.sgml,v 1.29 2004/11/30 08:41:14 marck Exp $ - Original revision: 1.122 + Original revision: 1.123 --> @@ -444,7 +444,7 @@ FreeBSD.org mail is handled (pri=10) by mx1.FreeBSD.org /etc/mail/virtusertable - + diff --git a/ru_RU.KOI8-R/books/handbook/multimedia/chapter.sgml b/ru_RU.KOI8-R/books/handbook/multimedia/chapter.sgml index f8d45192b7..7d9f73518b 100644 --- a/ru_RU.KOI8-R/books/handbook/multimedia/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/multimedia/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/multimedia/chapter.sgml,v 1.33 2004/11/26 14:34:38 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/multimedia/chapter.sgml,v 1.34 2004/11/30 08:41:14 marck Exp $ - Original revision: 1.101 + Original revision: 1.102 --> @@ -368,7 +368,7 @@ kld snd_ich (1p/2r/0v channels duplex default) IRQ DSP - + diff --git a/ru_RU.KOI8-R/books/handbook/network-servers/chapter.sgml b/ru_RU.KOI8-R/books/handbook/network-servers/chapter.sgml index dc5d77e3af..5af9dd1d0e 100644 --- a/ru_RU.KOI8-R/books/handbook/network-servers/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/network-servers/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/network-servers/chapter.sgml,v 1.20 2004/11/29 16:24:23 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/network-servers/chapter.sgml,v 1.21 2004/11/30 08:41:14 marck Exp $ - Original revision: 1.39 + Original revision: 1.40 --> @@ -351,7 +351,7 @@ server-program-arguments Одно из следующих: - + @@ -1396,7 +1396,7 @@ Exports list on foobar: Итак, конфигурация лаборатории сейчас выглядит примерно так: - + @@ -2022,7 +2022,7 @@ basie&prompt.root; машин студенческого городка. В двух таблицах перечислены имена новых машин и пользователей, а также их краткое описание. - + @@ -2055,7 +2055,7 @@ basie&prompt.root; - + @@ -3202,7 +3202,7 @@ host mailhost { Во FreeBSD даемон BIND, по очевидным причинам, называется named. - + diff --git a/ru_RU.KOI8-R/books/handbook/ports/chapter.sgml b/ru_RU.KOI8-R/books/handbook/ports/chapter.sgml index 3bef80654a..9eb1b1b35e 100644 --- a/ru_RU.KOI8-R/books/handbook/ports/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/ports/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/ports/chapter.sgml,v 1.61 2004/09/14 10:25:39 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/ports/chapter.sgml,v 1.63 2004/11/30 08:41:15 marck Exp $ - Original revision: 1.227 + Original revision: 1.229 --> @@ -116,7 +116,7 @@ Для любого конкретно взятого приложения пакет FreeBSD для такого приложения является одним файлом, который вы должны загрузить. Пакет содержит уже откомпилированные копии всех команд приложения, а также - все конфигурационные файлы и документацию. Сгруженным файлом пакета + все конфигурационные файлы и документацию. Загруженным файлом пакета можно управлять командами управления пакетами FreeBSD, такими, как &man.pkg.add.1; &man.pkg.delete.1;, &man.pkg.info.1; и так далее. Установка нового приложения может выполняться единственной @@ -131,7 +131,7 @@ изменение кода, компиляция, установка). Файлы, составляющие порт, содержат всю информацию, необходимую для того, чтобы система сделала это за вас. Вы задаёте пару простых команд, и исходный код приложения - автоматически сгружается, распаковывается, модифицируется, компилируется + автоматически загружается, распаковывается, модифицируется, компилируется и устанавливается. Действительно, система портов может также использоваться для @@ -421,7 +421,7 @@ local: lsof-4.56.4.tgz remote: lsof-4.56.4.tgz &prompt.root; pkg_add -r lsof - В примере выше нужный пакет будет сгружен и установлен без всякого + В примере выше нужный пакет будет загружен и установлен без всякого дополнительного взаимодействия с пользователем. Если вместо основного сайта вы хотите указать другое зеркало пакетов &os;, то для переопределения используемых по умолчанию значений вам @@ -495,7 +495,7 @@ docbook = возрасте установленной версии и версии, находящейся в локальном дереве портов. - + @@ -701,7 +701,7 @@ docbook = При повторных запусках этой команды все последние изменения (кроме реального перестроения портов для вашей системы) будут - сгружаться и переноситься в вашу коллекцию портов. + загружаться и переноситься в вашу коллекцию портов. @@ -928,7 +928,7 @@ docbook = Установка порта из Интернет производится точно так же, как если бы делали её с CD-ROM. Единственным отличием между ними - является тот факт, что дистрибутивный файл сгружается из Интернет, а + является тот факт, что дистрибутивный файл загружается из Интернет, а не считывается с CD-ROM. Выполняются те же самые шаги: @@ -966,7 +966,7 @@ Receiving lsof_4.57D.freebsd.tar.gz (439860 bytes): 100% &prompt.root; Как вы видите, единственным отличием является строка, в которой - указывается, откуда система сгружает дистрибутивный файл + указывается, откуда система загружает дистрибутивный файл порта. Для загрузки файлов система портов использует утилиту @@ -982,11 +982,11 @@ Receiving lsof_4.57D.freebsd.tar.gz (439860 bytes): 100% к сети, поможет команда make fetch. Просто запустите эту команду в каталоге самого верхнего уровня - (/usr/ports), и требуемые файлы будут сгружены. + (/usr/ports), и требуемые файлы будут загружены. Эта команда будут работать также и с вложенными категориями, например: /usr/ports/net. Заметьте, что если порт имеет зависимости от библиотек или других - портов, то он не будет также сгружать + портов, то он не будет также загружать дистрибутивные файлы этих портов. Замените fetch на fetch-recursive, если вы хотите выполнить @@ -1004,7 +1004,7 @@ Receiving lsof_4.57D.freebsd.tar.gz (439860 bytes): 100% В некоторых редких случая пользователям необходимо получить tar-архивы с сайтов, отличающихся от MASTER_SITES - (это место, откуда файлы обычно сгружаются). Вы можете + (это место, откуда файлы обычно загружаются). Вы можете переопределять значение MASTER_SITES посредством следующей команды: diff --git a/ru_RU.KOI8-R/books/handbook/printing/chapter.sgml b/ru_RU.KOI8-R/books/handbook/printing/chapter.sgml index 9935c72295..ca786131e5 100644 --- a/ru_RU.KOI8-R/books/handbook/printing/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/printing/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/printing/chapter.sgml,v 1.10 2004/11/26 14:34:39 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/printing/chapter.sgml,v 1.11 2004/11/30 08:41:16 marck Exp $ - Original revision: 1.89 + Original revision: 1.90 --> @@ -2040,7 +2040,7 @@ exit 2 /etc/printcap, а также способ их вызова в команде lpr: - + @@ -4706,7 +4706,7 @@ exit 2 Вот что ОС FreeBSD хочет от принтера: - + @@ -4809,7 +4809,7 @@ teak|hp|laserjet|Hewlett Packard LaserJet 3Si:\ Используйте переключатели конфигурации принтера или панель управления для обеспечения следующей интерпретации символов LF и CR: - + diff --git a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml index 095ef69047..fc6aab2791 100644 --- a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.28 2004/10/21 13:44:42 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.31 2004/11/29 16:24:22 den Exp $ - Original revision: 1.229 + Original revision: 1.243 --> @@ -41,7 +41,7 @@ ваших данных, интеллектуальной собственности, времени и всего остального от хакеров и им подобных. - FreeBSD предоставляет массу утилит и механизмов для обеспечения + &os; предоставляет массу утилит и механизмов для обеспечения целостности и безопасности системы и сети. После прочтения этой главы вы узнаете: @@ -77,7 +77,7 @@ - Как создать межсетевые экраны с помощью + Как создать брандмауэры с помощью IPFW. @@ -291,10 +291,10 @@ - Защита FreeBSD + Защита &os; безопасность - защита FreeBSD + защита &os; @@ -308,7 +308,7 @@ В последующем разделе будут рассмотрены методы защиты системы - FreeBSD, упомянутые в предыдущем разделе этой главы. @@ -494,7 +494,7 @@ rshd или rlogind, отключите эти сервисы! - В FreeBSD сервисы + В &os; сервисы ntalkd, comsat и finger теперь по умолчанию работают в @@ -599,7 +599,7 @@ Если атакующий взломает root, он сможет сделать практически все, но есть способы усложнить его задачу. Например, в большинстве современных ядер встроено устройство - перехвата пакетов. В FreeBSD оно называется + перехвата пакетов. В &os; оно называется bpf. Нарушитель обычно пытается запустить перехват пакетов на взломанной машине. Вы не должны предоставлять ему такой возможности, на большинстве систем устройство @@ -821,29 +821,29 @@ reverse-ident обычно не следует использовать. Правильным будет запрет доступа к внутренним сервисам из внешней - сети путем соответствующей настройки межсетевого экрана на внешнем + сети путем соответствующей настройки брандмауэра на внешнем маршрутизаторе. Идея в том, чтобы предотвратить перегрузку сервисов атаками из внешней сети, а кроме того защитить root от взлома через сеть. Всегда настраивайте - исключающий межсетевой экран, т.е. закрыть все + исключающий брандмауэр, т.е. закрыть все кроме портов A, B, C, D, и M-Z. Этим способом вы можете закрыть все порты нижнего диапазона, кроме явно указанных, таких как named (если вы поддерживаете интернет-зону), ntalkd, sendmail, и других сервисов, доступных - из интернет. Если вы попробуете настроить межсетевой экран другим - способом — включающий, или разрешающий межсетевой экран, есть + из интернет. Если вы попробуете настроить брандмауэр другим + способом — включающий, или разрешающий брандмауэр, есть большой шанс забыть закрыть пару сервисов, или - добавить новый внутрисетевой сервис и забыть обновить межсетевой - экран. Вы можете открыть диапазон портов с большими номерами + добавить новый внутрисетевой сервис и забыть обновить брандмауэр. + Вы можете открыть диапазон портов с большими номерами для обычных приложений без угрозы портам нижнего диапазона. - Учтите также, что FreeBSD позволяет вам контролировать диапазоны + Учтите также, что &os; позволяет вам контролировать диапазоны портов, используемые для динамической привязки через различные переменные sysctl net.inet.ip.portrange (sysctl -a | fgrep portrange), что позволяет упростить настройку - межсетевого экрана. Например, вы можете использовать обычный + брандмауэра. Например, вы можете использовать обычный диапазон портов со значениями от 4000 до 5000, и диапазон портов с большими номерами от 49152 до 65535, а затем заблокировать все до 4000 порта (конечно оставив доступ из интернет к определенным @@ -872,7 +872,7 @@ ICMP ответами. Этот тип атаки может также обрушить сервер, когда тот исчерпает mbuf, обычно если сервер не может ограничить число ответов ICMP, когда они генерируются слишком быстро. В ядре - FreeBSD есть новая опция сборки, , + &os; есть новая опция сборки, , которая ограничивает эффективность этого типа атак. Последний основной класс springboard атак относится к определенным внутренним сервисам inetd, таким как @@ -999,30 +999,30 @@ К сожалению, единственный способ шифрования пароля при появлении &unix; был основан на DES, Data Encryption Standard. Это не было проблемой для пользователей, живущих в США, но поскольку исходный код - DES нельзя было экспортировать из США, FreeBSD нашла способ одновременно + DES нельзя было экспортировать из США, &os; нашла способ одновременно не нарушать законов США и сохранить совместимость со всеми другими вариантами &unix;, где все еще использовался DES. Решение было в разделении библиотек шифрования, чтобы пользователи в США могли устанавливать и использовать библиотеки DES, а у остальных пользователей был метод шифрования, разрешенный к экспорту. Так - FreeBSD пришла к использованию MD5 в качестве метода шифрования по + &os; пришла к использованию MD5 в качестве метода шифрования по умолчанию. MD5 считается более безопасным, чем DES, поэтому установка DES рекомендуется в основном из соображений совместимости. Определения механизма шифрования - До FreeBSD 4.4 libcrypt.a была + До &os; 4.4 libcrypt.a была символической ссылкой на библиотеку, используемую для шифрования. - В FreeBSD 4.4 libcrypt.a была изменена + В &os; 4.4 libcrypt.a была изменена для предоставления настраиваемой библиотеки аутентификации по хэшу пароля. На данный момент библиотека поддерживает хэши DES, MD5 и - Blowfish. По умолчанию FreeBSD использует для шифрования паролей + Blowfish. По умолчанию &os; использует для шифрования паролей MD5. Довольно легко определить какой метод шифрования используется - в FreeBSD. Один из способов это проверка файла + в &os;. Один из способов это проверка файла /etc/master.passwd. Пароли, зашифрованные в хэш MD5 длиннее, чем те, что зашифрованы с помощью DES и начинаются с символов $1$. Пароли, начинающиеся @@ -1053,13 +1053,13 @@ S/Key это схема с одноразовыми паролями, основанная на одностороннем - хэше. FreeBSD использует хэш MD4 для совместимости, но другие системы - используют MD5 и DES-MAC. S/Key была частью базовой системы FreeBSD + хэше. &os; использует хэш MD4 для совместимости, но другие системы + используют MD5 и DES-MAC. S/Key была частью базовой системы &os; начиная с версии 1.1.5 и используется также во все большем числе операционных систем. S/Key это зарегистрированная торговая марка Bell Communications Research, Inc. - Начиная с FreeBSD версии 5.0, S/Key была замещена на функциональный + Начиная с &os; версии 5.0, S/Key была замещена на функциональный эквивалент — OPIE (One-time Passwords In Everything). OPIE по умолчанию использует MD5. @@ -1376,7 +1376,7 @@ Enter secret pass phrase: <secret password> безопасности на этот файл. Если файла /etc/skey.access нет (это - ситуация по умолчанию в системах FreeBSD 4.X), всем пользователям + ситуация по умолчанию в системах &os; 4.X), всем пользователям будет разрешено входить с паролями &unix;. Если файл существует, использование S/Key станет обязательно для всех, если только параметры настройки в файле skey.access не @@ -1414,7 +1414,7 @@ permit port ttyd0 OPIE может ограничивать использование паролей &unix; на основе IP адреса как и S/Key. Соответствующий файл называется /etc/opieaccess, он существует по умолчанию в - FreeBSD 5.0 и более современных системах. Обратитесь к + &os; 5.0 и более современных системах. Обратитесь к &man.opieaccess.5; за более подробной информацией об этом файле и о предосторожностях, которые вы должны предпринять при использовании этого файла. @@ -1686,7 +1686,7 @@ sendmail : PARANOID : deny контролируемыми. Последующие инструкции могут использоваться в качестве руководства - по настройке поставляемого с FreeBSD Kerberos. Тем не менее, вам + по настройке поставляемого с &os; Kerberos. Тем не менее, вам могут потребоваться страницы справочника полного дистрибутива. @@ -1700,7 +1700,7 @@ sendmail : PARANOID : deny Kerberos это опциональный компонент &os;. Простейший способ установки этой программы это выбор krb4 или krb5 из sysinstall - во время первой установки FreeBSD. Будет установлен + во время первой установки &os;. Будет установлен eBones (KerberosIV) или Heimdal (Kerberos5) вариант Kerberos. Включение этих реализаций объясняется тем, что они разработаны вне США/Канады и доступны вне этих стран, @@ -2317,6 +2317,7 @@ kerberos_stash="YES" [realms] EXAMPLE.ORG = { kdc = kerberos.example.org + admin_server = kerberos.example.org } [domain_realm] .example.org = EXAMPLE.ORG @@ -2344,6 +2345,16 @@ _kpasswd._udp IN SRV 01 00 464 kerberos.example.org. _kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. _kerberos IN TXT EXAMPLE.ORG. + + Чтобы клиенты могли найти сервисы + Kerberos, + необходимо наличие или полностью + настроенного /etc/krb5.conf или минимально + настроенного /etc/krb5.conf + и правильно настроенного DNS + сервера. + + Создадим теперь базу данных Kerberos. Эта база данных содержит ключи всех основных хостов, зашифрованных с помощью главного пароля. Вам не требуется помнить этот пароль, @@ -2931,926 +2942,281 @@ jdoe@example.org - Gary - Palmer - Предоставили + Joseph J. + Barbish + Предоставил + + - Alex - Nash + Brad + Davis + Преобразовал в SGML и обновил - Межсетевые экраны - firewall + Брандмауэры + + брандмауэр безопасность - межсетевые экраны - - - Интерес к межсетевым экранам (брандмауэр, firewall) со стороны людей, - подключенных к интернет, все возрастает и появились даже приложения - для локальной сети, предоставляющие повышенный уровень безопасности. - В этом разделе мы надеемся изложить что такое межсетевые экраны, как - их использовать, и как использовать возможности, предоставляемые - ядром FreeBSD для их реализации. - - - Люди часто думают, что наличие межсетевого экрана между - внутренней сетью и Большим плохим интернетом решит все - их проблемы безопасности. Это может помочь, но плохо настроенный - межсетевой экран представляет более серьезную угрозу безопасности, - чем его полное отсутствие. Межсетевой экран добавляет еще один - уровень безопасности вашим системам, но не может остановить - проникновение решительно настроенного взломщика в вашу сеть. Если - вы снижаете внутреннюю безопасность системы, поскольку верите в - надежность межсетевого экрана, это существенно упрощает работу - взломщика. - - + брандмауэры + - Что такое межсетевой экран? - Есть два четко различающихся типа межсетевых экранов, повседневно - используемых в современном интернет. Первый тип правильнее называть - маршрутизатор с фильтрацией пакетов. Этот тип - межсетевого экрана работает на машине, подключенной к нескольким сетям - и применяет к каждому пакету набор правил, определяющий переправлять - ли этот пакет или блокировать. Второй тип, известный как - прокси сервер, реализован в виде даемонов, - выполняющих аутентификацию и пересылку пакетов, возможно на - машине с несколькими сетевыми подключениями, где пересылка - пакетов в ядре отключена. + Введение - Иногда эти два типа межсетевых экранов используются вместе, так - что только определенной машине (известной как защитный - хост (bastion host)) позволено отправлять пакеты через - фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы работают - на защитном хосте, что обычно более безопасно, чем обычные механизмы - аутентификации. + Все программные брандмауэры (firewall, межсетевой экран) + предоставляют некоторый способ фильтрации входящего и исходящего + трафика, идущего через систему. Брандмауэр использует один + или более наборов правил для проверки сетевых + пакетов при их входе или выходе через сетевое соединение, он + или позволяет прохождение трафика или блокирует его. Правила + брандмауэра могут проверять одну или более характеристик пакетов, + включая но не ограничиваясь типом протокола, адресом хоста источника + или назначения и портом источника или назначения. - FreeBSD поставляется с встроенным в ядро фильтром пакетом - (известным как IPFW), ему будет посвящена оставшаяся часть раздела. - Прокси серверы могут быть собраны на FreeBSD из программного - обеспечения сторонних разработчиков, но их слишком много и невозможно - описать их в этом разделе. + Брандмауэры серьезно повышают уровень безопасности сети, + приложений и сервисов. Они могут быть использованы для + выполнения одной или более нижеперечисленных задач: - - Маршрутизаторы с фильтрацией пакетов + + + Для защиты и изоляции приложений, сервисов и машин во + внутренней сети от нежелательного трафика, приходящего + из внешней сети интернет. + - Маршрутизатор это машина, пересылающая пакеты между двумя или - несколькими сетями. Маршрутизатор с фильтрацией пакетов - запрограммирован на сравнение каждого пакета со списком правил - перед тем как решить, пересылать его или нет. Большинство - современного программного обеспечения маршрутизации имеет - возможности фильтрации, и по умолчанию пересылаются все пакеты. - Для включения фильтров, вам потребуется определить набор - правил. + + Для ограничения или запрещения доступа хостов внутренней + сети к сервисам внешней сети интернет. + - Для определения того, должен ли быть пропущен пакет, межсетевой - экран ищет в наборе правило, совпадающее с содержимым заголовков - пакета. Как только совпадение найдено, выполняется действие, - присвоенное данному правилу. Действие может заключаться в - отбрасывании пакета, пересылке пакета, или даже в отправлении - ICMP сообщения в адрес источника. Учитывается только первое - совпадение, поскольку правила просматриваются в определенном - порядке. Следовательно, список правил можно назвать - цепочкой правил. - - Критерий отбора пакетов зависит от используемого программного - обеспечения, но обычно вы можете определять правила, зависящие от - IP адреса источника пакета, IP адреса назначения, номера порта - источника пакета, номера порта назначения (для протоколов, - поддерживающих порты), или даже от типа пакета (UDP, TCP, ICMP, - и т.д.). - - - - Прокси серверы - - Прокси серверы это компьютеры, где обычные системные даемоны - (telnetd, - ftpd, и т.д.) заменены специальными - серверами. Эти серверы называются прокси - серверами, поскольку они обычно работают только с - входящими соединениями. Это позволяет запускать (например) - telnet прокси сервер на межсетевом - экране, и делать возможным вход по telnet - на межсетевой экран, прохождение механизма аутентификации, - и получение доступа к внутренней сети (аналогично, прокси серверы - могут быть использованы для выхода во внешнюю сеть). - - Прокси серверы обычно лучше защищены, чем другие серверы, - и зачастую имеют более широкий набор механизмов аутентификации, - включая системы одноразовых паролей, так что - даже если кто-то узнает, какой пароль вы использовали, он не - сможет использовать его для получения доступа к системе, - поскольку срок действия пароля истекает немедленно после его - первого использования. Поскольку пароль не дает доступа - непосредственно к компьютеру, на котором находится прокси-сервер, - становится гораздо сложнее установить в систему - backdoor. - - Прокси серверы обычно имеют способ дополнительного ограничения - доступа, так что только определенные хосты могут получить доступ - к серверам. Большинство также позволяют администратору указывать, - пользователей и компьютеры, к которым они могут обращаться. - Опять же доступные возможности в основном зависят от используемого - программного обеспечения. - + + Для поддержки преобразования сетевых адресов (network + address translation, NAT), что позволяет + использование во внутренней сети приватных + IP адресов (либо через один выделенный + IP адрес, либо через адрес из пула + автоматически присваиваемых публичных адресов). + + - Что позволяет делать IPFW? - ipfw - Программное обеспечение IPFW, поставляемое с - FreeBSD, это система фильтрации и учета пакетов, находящаяся в ядре - и снабженная пользовательской утилитой настройки, &man.ipfw.8;. - Вместе они позволяют определять и просматривать правила, используемые - ядром при маршрутизации. + Типы наборов правил брандмауэра - IPFW состоит из двух связанных частей. Межсетевой экран - осуществляет фильтрацию пакетов. Часть, занимающаяся учетом - IP пакетов, отслеживает использование маршрутизатора на основе - правил подобных тем, что используются в части межсетевого экрана. - Это позволяет администратору определять, например, объем трафика, - полученного маршрутизатором от определенного компьютера, или объем - пересылаемого WWW трафика. + Составление набора правил брандмауэра может показаться + тривиальным, но большинство пользователей составляют его + неправильно. Наиболее частая ошибка заключается в создании + исключающего брандмауэра вместо + включающего. - Благодаря тому, как реализован IPFW, вы можете использовать - его и на компьютерах, не являющихся маршрутизаторами для фильтрации - входящих и исходящих соединений. Это особый случай более общего - использования IPFW, и в этой ситуации используются те же команды - и техника. - + Исключающий брандмауэр разрешает доступ ко всем сервисам, + за исключением тех, которым сопоставляется набор правил + брандмауэра. - - Включение IPFW в FreeBSD - - ipfw - включение - + Включающий брандмауэр делает все наоборот. Он разрешает + доступ лишь к сервисам, соответствующим правилам и блокирует + все остальные. Этим способом возможен контроль сервисов, + вызываемых из внешней сети, а также контроль сервисов + интернет, вызываемых из внутренней сети. Включающие брандмауэры + значительно, значительно более безопасны, чем + исключающие. - Поскольку основная часть системы IPFW находится в ядре, - вам потребуется добавить один или несколько параметров в файл - настройки ядра, в зависимости от требуемых возможностей, и пересобрать - ядро. Обратитесь к главе о пересборке ядра () за подробным описанием этой процедуры. + - - Правилом IPFW по умолчанию является deny ip from any to - any. Если вы не добавите других правил во время загрузки - для разрешения доступа, то заблокируете доступ - к серверу с включенным в ядро межсетевым экраном после перезагрузки. - Мы предлагаем указать firewall_type=open в - файле /etc/rc.conf при первоначальном - добавлении межсетевого экрана, а затем, после тестирования - его работоспособности, отредактировать правила в файле - /etc/rc.firewall. Дополнительной - предосторожностью может быть первоначальная настройка межсетевого - экрана с локальной консоли, вместо входа через - ssh. Кроме того, возможна сборка - ядра с параметрами IPFIREWALL и - IPFIREWALL_DEFAULT_TO_ACCEPT. В этом случае - правило IPFW по умолчанию будет изменено на allow ip from - any to any, что предотвратит возможную блокировку. - + Безопасность может быть дополнительно повышена, если + брандмауэр будет отслеживать циклы отправки/получения + всех пакетов, составляющих сессию, до ее завершения. + Такая возможность называется сохранением состояния, + она дает максимальный уровень защиты. - Существует четыре параметра настройки ядра, относящихся к - IPFW: + Набор правил брандмауэра, не реализующий возможности + сохранения состояния всех сервисов с авторизацией, + является небезопасным и открыт для многих широко распространенных + методов атаки. + - - - options IPFIREWALL + - - Включает в ядро код для фильтрации пакетов. - - + Программные пакеты брандмауэров - - options IPFIREWALL_VERBOSE + В &os; встроено два программных брандмауэра. Это + IPFILTER (известный также как IPF) и IPFIREWALL + (известный также как IPFW). В IPFIREWALL встроена + поддержка ограничителя трафика DUMMYNET для контроля + использования пропускной способности. В IPFILTER + поддержка ограничителя трафика не встроена, но в тех + же целях может использоваться ALTQ. + + И IPF и IPFW для контроля исходящих и входящих пакетов + используют наборы правил, хотя и разными способами с разным + синтаксисом правил. - - Включает протоколирование пакетов через &man.syslogd.8;. - Без этого параметра, даже если вы укажете в правилах фильтрации - протоколировать пакеты, это не сработает. - - + Пример набора правил IPFW (находящийся в + /etc/rc.firewall), поставляемый в составе + базовой системы, является устаревшим, сложным, и не использует + правила с сохранением состояния на интерфейсах, выходящих + во внешнюю сеть интернет. В нем используются правила + без сохранения состояния, способные только открывать или + закрывать порты сервисов. Приводимый здесь пример набора + правил IPFW с сохранением состояния расширяет набор из файла + /etc/rc.firewall. - - options IPFIREWALL_VERBOSE_LIMIT=10 + Правила с сохранением состояния лучше подходят для анализа + пакетов с целью защиты от переполнения в результате различных + атак, применяемых в в настоящее время. - - Ограничивает число пакетов, протоколируемых каждым правилом - через &man.syslogd.8;. Вы можете использовать этот параметр - если хотите протоколировать работу межсетевого экрана, но не - хотите делать возможной DoS атаку путем переполнения - syslog. + + Автор предпочитает IPFILTER, поскольку его + правила с сохранением состояния гораздо проще использовать + совместно с NAT; кроме того, в него встроен + ftp прокси, упрощающий настройку безопасного внешнего использования + FTP. Он также гораздо проще в освоении для пользователя, не имеющего + опыта настройки брандмауэров. - - options IPFIREWALL_DEFAULT_TO_ACCEPT + Поскольку все брандмауэры основаны на анализе значений выбранных + полей заголовка пакета, для создания правил брандмауэра необходимо + понимание принципов TCP/IP, того, что означают + различные поля заголовка пакета, и как эти поля используются в + обычной сессии. Хорошим примером является: + . + - - Изменяет правило по умолчанию с deny на - allow. Это предотвращает возможное блокирование, - если ядро загружено с поддержкой IPFIREWALL, - но межсетевой экран еще не настроен. Этот параметр также - полезен, если вы используете &man.ipfw.8; в качестве средства - от определенных проблем по мере их возникновения. Тем не менее, - используйте параметр с осторожностью, поскольку он открывает - межсетевой экран и изменяет его поведение. - - - + + Packet Filter Firewall (брандмауэр OpenBSD) - Предыдущие версии FreeBSD содержали параметр - IPFIREWALL_ACCT. Этот параметр устарел, поскольку - код автоматически включает возможность учета. - - + В июле 2003 программный брандмауэр OpenBSD, известный как + PF, был портирован в &os; 5.3. + PF это полноценный брандмауэр с широким набором + возможностей, включающий ALTQ для управления + шириной канала подобно тому, как это реализовано в + IPFW. Проект OpenBSD поддерживает руководство + пользователя PF, которое не было внесено в этот раздел руководства + во избежание дублирования работы. - - Настройка IPFW - - ipfw - настройка - + Для более старых версий &os; 5.X вы можете использовать + PF из коллекции портов &os;: + security/pf. - Настройка программного обеспечения IPFW выполняется с помощью - утилиты &man.ipfw.8;. Синтаксис этой команды выглядит очень сложным, - но он становится относительно прост как только вы поймете его - структуру. + Дополнительную информацию можно получить с веб сайта PF для &os;: + . - В настоящее время утилита использует четыре различных категории - команд: добавление/удаление (addition/deletion), просмотр (listing), - сброс (flushing) и очистка (clearing). Добавление/удаление - используется для создания правил, определяющих как пакеты принимаются, - отбрасываются и протоколируются. Просмотр используется для - определения содержимого набора правил (называемого еще цепочкой) и - счетчиков пакетов (учет). Сброс используется для удаления всех - правил цепочки. Очистка используется для обнуления одного или - нескольких счетчиков. - - - Изменение правил IPFW - - Синтаксис этой формы команды такой: - - ipfw - -N - команда - номер - действие - log - протокол - адреса - параметры - - - При использовании этой формы команды доступен один - флаг: - - - - -N - - - Разрешение адресов и имен сервисов при отображении. - - - - - Задаваемая команда может быть сокращена - до более короткой уникальной формы. Существующие - команды: - - - - add - - - Добавление правила к списку фильтрации/учета - - - - - delete - - - Удаление правила из списка фильтрации/учета - - - - - Предыдущие версии IPFW использовали отдельные записи для - фильтрации и учета пакетов. Современные версии учитывают - пакеты для каждого правила. - - Если указано значение номер, оно - используется для помещения правила на определенную позицию в - цепочке. Иначе правило помещается в конец цепочки с номером - на 100 больше, чем у предыдущего правила (сюда не включается - правило по умолчанию с номером 65535). - - С параметром log соответствующие правила - выводят информацию на системную консоль, если ядро собрано с - опцией IPFIREWALL_VERBOSE. - - Существующие действия: - - - - reject - - - Отбросить пакет и отправить в адрес источникаICMP пакет, - сообщающий о недостижимости хоста или порта. - - - - - allow - - - Пропустить пакет как обычно. (синонимы: - pass, permit, и - accept) - - - - - deny - - - Отбросить пакет. Источнику не выдается ICMP сообщение - (как если бы пакет вообще не достиг цели). - - - - - count - - - Обновить счетчик пакета, но не применять по отношению к - нему правила allow/deny. Поиск продолжится со следующего - правила в цепочке. - - - - - Каждое действие может быть записано в - виде более короткого уникального префикса. - - Могут быть определены следующие - протоколы: - - - - all - - - Соответствует всем IP пакетам - - - - - icmp - - - Соответствует ICMP пакетам - - - - - tcp - - - Соответствует TCP пакетам - - - - - udp - - - Соответствует UDP пакетам - - - - - Поле адреса формируется так: - - - источник - адрес/маскапорт - цель - адрес/маскапорт - via интерфейс - - - Вы можете указать port только - вместе с протоколами, поддерживающими - порты (UDP и TCP). - - Параметр опционален и может содержать IP - адрес или имя домена локального IP интерфейса, или имя интерфейса - (например ed0), он настраивает правило - на соответствие только тем пакетам, которые проходят через этот - интерфейс. Номера интерфейсов могут быть заменены на опциональную - маску. Например, ppp* будет соответствовать - PPP интерфейсам ядра. - - Синтаксис, используемый для указания - адреса/маски: - - адрес - - или - - адрес/маска-биты - - или - - адрес:маска-шаблон + Руководство пользователя OpenBSD PF находится здесь: + . - Вместо IP адреса возможно указание существующего имени хоста. - это - десятичный номер, указывающий количество бит, которые должны быть - установлены в маске адреса. Например, - 192.216.222.1/24 создаст маску, - соответствующую всем адресам подсети класса C (в - данном случае, 192.216.222). -A valid hostname may be specified in place of the IP address. - это - IP, который будет логически перемножен с заданным адресом. - Ключевое слово any может использоваться для - обозначения любого IP адреса. + + PF в &os; 5.X соответствует OpenBSD версии 3.5. Порт + из коллекции портов &os; соответствует OpenBSD версии + 3.4. Имейте это ввиду при просмотре руководства + пользователя. + - Номера портов указываются в следующем формате: + + Включение PF - - порт,порт,порт - + PF включен в базовую поставку &os; версии 5.3 и выше в качестве + отдельного загружаемого модуля. PF динамически подгружает модуль ядра + если включена переменная rc.conf pf_enable="YES". + Загружаемый модуль создан с включенным &man.pflog.4;. + - для указания одного порта или списка портов, или + + Параметры ядра - - порт-порт - + Включение PF путем компиляции с ядром &os; не является обязательным + требованием, и описано здесь в качестве дополнительной информации. + При компиляции PF с ядром загружаемый модуль не используется. - для указания диапазона портов. Вы можете также комбинировать - указание одного диапазона со списком портов, но диапазон всегда - должен указываться первым. + Пример параметров конфигурации ядра для включения PF находится в + /usr/src/sys/conf/NOTES и показан здесь: - Доступные параметры: + device pf +device pflog +device pfsync - - - frag + device pf указывает компилятору включить + Packet Filter в ядро. - - Срабатывает, если пакет не является первым пакетом - дейтаграммы. - - + device pflog включает необязательное сетевое + псевдоустройство &man.pflog.4;, которое может использоваться для + протоколирования трафика через &man.bpf.4;. Даемон &man.pflogd.8; + может использоваться для сохранения протоколируемой информации + на диск. - - in + device pfsync включает необязательное + сетевое псевдоустройство &man.pfsync.4;, используемое для + отслеживания изменений состояния. Поскольку оно + не входит в загружаемый модуль, для его использования необходимо + собрать собственное ядро. - - Соответствует входящим пакетам. - - + Эти настройки будут действовать только после сборки и установки + нового ядра. + - - out + + Доступные параметры rc.conf - - Соответствует исходящим пакетам. - - + Для активации PF во время загрузки в + /etc/rc.conf должны быть включены следующие + переменные: - - ipoptions spec + pf_enable="YES" # Включить PF (загрузить модуль если необходимо) +pf_rules="/etc/pf.conf" # определение правил для pf +pf_flags="" # дополнительные флаги для запуска pfctl +pflog_enable="YES" # запустить pflogd(8) +pflog_logfile="/var/log/pflog" # где pflogd должен сохранять протокол +pflog_flags="" # дополнительные флаги для запуска pflogd - - Срабатывает, если заголовок IP содержит перечисленный - через запятую список параметров, указанных в - spec. Поддерживаемые параметры IP: - ssrr (strict source route), - lsrr (loose source route), - rr (record packet route), и - ts (time stamp). Действие отдельных - параметров может быть изменено путем указания префикса - !. - - + Если за брандмауэром находится локальная сеть и необходимо передавать + пакеты для компьютеров этой сети, или использовать NAT, включите также + следующий параметр: - - established + gateway_enable="YES" # Включить сетевой шлюз - - Срабатывает, если пакет является частью уже установленного - TCP соединения (т.е. если установлены биты RST или ACK). - Вы можете поднять производительность межсетевого экрана, - поместив правило с established близко - к началу цепочки. - - + + - - setup + + * The IPFILTER (IPF) Firewall - - Соответствует, если пакет является попыткой установки - TCP соединения (установлен бит SYN, а бит ACK не - установлен). - - - - - tcpflags флаги - - - Срабатывает, если заголовок TCP содержит список - перечисленных через запятую флагов. - Поддерживаемые флаги: - fin, syn, - rst, psh, - ack, и urg. Действие - правил по отдельным флагам может быть изменено указанием - префикса !. - - - - - icmptypes типы - - - Срабатывает, если тип пакета ICMP находится в списке - типы. Список может быть указан - в виде любой комбинации диапазонов и/или отдельных типов, - разделенных запятыми. Обычно используемые типы ICMP: - 0 - echo reply (ping reply), 3 destination - unreachable, 5 redirect, - 8 echo request (ping request), и - 11 time exceeded (используется для - обозначения истечения TTL, как с &man.traceroute.8;). - - - - - - - Просмотр правил IPFW - - Синтаксис этой формы команды такой: - - ipfw - -a - -c - -d - -e - -t - -N - -S - list - - - Для этой формы команды существует семь флагов: - - - - -a - - - Показывать значения счетчиков. Этот параметр — - единственный путь для просмотра значений счетчиков. - - - - - -c - - - Просмотр правил в компактной форме. - - - - - -d - - - Показывать динамические правила в дополнение к - статическим. - - - - - -e - - - Если определен параметр , показывать - также динамические правила с истекшим сроком действия. - - - - - -t - - - Отображать последнее время срабатывание для каждого - правила в цепочке. Этот список несовместим с синтаксисом, - принимаемым &man.ipfw.8;. - - - - - -N - - - Попытаться разрешить заданные адреса и имена - сервисов. - - - - - -S - - - Отображать набор, к которому принадлежит каждое правило. - Если этот флаг не указан, заблокированные правила не будут - отображены. - - - - - - - Сброс правил IPFW - - Синтаксис для сброса правил: - - ipfw - flush - - - Все правила в цепочке будут удалены, за исключением правила - по умолчанию, устанавливаемого ядром (номер 65535). Будьте - осторожны при сбросе правил; правило, отбрасывающее пакеты по - по умолчанию отключит систему от сети, пока разрешающие правила - не будут добавлены в цепочку. - - - - Очистка счетчиков пакетов IPFW - - Синтаксис для очистки одного или нескольких счетчиков - пакетов: - - ipfw - zero - index - - - При использовании без аргумента номер - будут очищены все счетчики пакетов. Если - index указан, операция очистки - применяется только к указанному правилу цепочки. - + Этот раздел не переведен. - Примеры команд для <application>ipfw</application> + * IPFW - Следующая команда запретит все пакеты с хоста evil.crackers.org на telnet порт хоста - nice.people.org: - - &prompt.root; ipfw add deny tcp from evil.crackers.org to nice.people.org 23 - - Следующий пример запрещает и протоколирует весь TCP трафик из - сети crackers.org (класса C) - к компьютеру nice.people.org - (на любой порт). - - &prompt.root; ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org - - Если вы хотите запретить организацию X сессий в вашу сеть - (часть сети класса C), следующая команда осуществит необходимую - фильтрацию: - - &prompt.root; ipfw add deny tcp from any to my.org/28 6000 setup - - Для просмотра записей учета: - - &prompt.root; ipfw -a list - - или в краткой форме - - &prompt.root; ipfw -a l - - - Вы можете также просмотреть время последнего срабатывания правил - с помощью команды: - - &prompt.root; ipfw -at l - - - - Создание межсетевого экрана с фильтрацией пакетов - - - Следующие рекомендации означают только одно: рекомендации. - Требования к каждому межсетевому экрану различаются, и мы не - можем рассказать вам, как создать межсетевой экран, отвечающий - вашим потребностям. - - - При первоначальной настройке межсетевого экрана, до тестирования - производительности и введения сервера в строй, настоятельно - рекомендуется использовать версии команд с протоколированием и - включить протоколирование в ядре. Это позволит вам быстро выявить - проблемные области и исправить настройку без больших усилий. - Даже после завершения первоначальной настройки рекомендуется - использовать протоколирование для `deny', поскольку это позволяет - отслеживать возможные атаки и изменять правила межсетевого экрана, - если требования к нему изменятся. - - - Если вы используете версию команды accept - с протоколированием, будьте осторожны, поскольку она может - создать большой объем протокольных данных. - Будет произведено протоколирование каждого пакета, проходящего - через межсетевой экран, поэтому большие объемы FTP/http и другого - трафика существенно замедлят систему. Это также увеличит задержку - таких пакетов, поскольку ядру требуется выполнить дополнительную - работу перед тем, как пропустить пакет. - syslogd также будет использовать гораздо - больше времени процессора, поскольку он отправит все дополнительные - данные на диск, и раздел /var/log может быть - быстро заполнен. - - - Вам потребуется включить межсетевой экран в - /etc/rc.conf.local или - /etc/rc.conf. Соответствующая страница - справочника разъясняет что именно необходимо сделать и содержит - примеры готовых настроек. Если вы не используете предустановленную - настройку, команда ipfw list может поместить - текущий набор правил в файл, откуда он может быть помещен в - стартовые файлы системы. Если вы не используете - /etc/rc.conf.local или - /etc/rc.conf для включения межсетевого экрана, - важно убедиться в том, что он включается после настройки - интерфейсов. - - Далее необходимо определить, что именно - делает ваш межсетевой экран! Это в основном зависит от того, - насколько широкий доступ вы хотите открыть снаружи к вашей сети. - Вот несколько общих правил: - - - - Заблокируйте доступ снаружи к портам TCP с номерами ниже 1024. - Здесь расположена большая часть критичных для безопасности - сервисов, таких как finger, SMTP (почта) и telnet. - - - - Заблокируйте весь входящий трафик UDP. - Есть очень немного полезных сервисов, работающих через UDP, - но они обычно представляют угрозу безопасности (например, - Sun RPC и NFS протоколы). У этого способа есть и недостатки, - поскольку протокол UDP не поддерживает соединения, и запрещение - входящих пактов заблокирует также ответы на исходящий UDP трафик. - - Это может стать проблемой для тех, кто использует внешние серверы, - работающие с UDP. Если вы хотите открыть доступ к этим сервисам, - потребуется разрешить входящие пакеты с соответствующих портов. - К примеру, для ntp вам может - потребоваться разрешить пакеты, приходящие с порта 123. - - - - Заблокировать весь трафик снаружи к порту 6000. Порт 6000 - используется для доступа к серверам X11, и может быть угрозой - безопасности (особенно если у пользователей есть привычка - выполнять на своих рабочих станциях команду xhost - +). X11 может использовать диапазон портов, - начинающийся с 6000, верхний предел определяется количеством - X дисплеев, которые могут быть запущены на машине. Верхний - предел, определенный RFC 1700 (Assigned Numbers), равен - 6063. - - - - Проверьте порты, используемые внутренними сервисами - (например, SQL серверами и т.п.). Возможно хорошей идеей является - блокирование и этих портов, поскольку они обычно не попадают в - диапазон 1-1024, указанный выше. - - - - Еще один список для проверки настроек межсетевого экрана доступен - на CERT по адресу - - Как сказано выше, все эти правила всего лишь - руководство. Вы сами сможете решить, какие - правила фильтрации будут использованы в межсетевом экране. Мы не - можем нести НИКАКОЙ ответственности в случае взлома вашей сети, - даже если вы следовали советам, представленным выше. - - - - Накладные расходы и оптимизация IPFW - - Многие пользователи хотят знать, как сильно IPFW нагружает - систему. Ответ в основном зависит от набора правил и скорости - процессора. При небольшом наборе правил для большинства приложений, - работающих в Ethernet ответ незначительно. - Для тех, кому нужен более точный ответ, и предназначен этот - раздел. - - Последующие измерения были выполнены с 2.2.5-STABLE на - 486-66. (Хотя IPFW немного изменился в последующих релизах - FreeBSD, скорость осталась приблизительно той же.) IPFW был - модифицирован для измерения времени, затраченного - ip_fw_chk, с выводом на консоль результата - после каждого 1000–го пакета. - - Были протестированы два набора из 1000 правил. Первый - был составлен для демонстрации плохого набора правил путем повторения - правила: - - &prompt.root; ipfw add deny tcp from any to any 55555 - - Этот набор правил плох, поскольку большая часть правил IPFW - не соответствует проверяемым пакетам (из-за номера порта). - После 999–й итерации этого правила следует - правило allow ip from any to any. - - Второй набор правил был разработан для быстрейшей проверки - каждого правила: - - &prompt.root; ipfw add deny ip from 1.2.3.4 to 1.2.3.4 - - Не совпадающий IP адрес источника в правиле выше приведет к - очень быстрой проверке этих правил. Как и прежде, 1000–е - правило allow ip from any to any. - - Затраты на проверку пакета в первом случае приблизительно - 2.703 мс/пакет, или приблизительно 2.7 микросекунд на - правило. Теоретический предел скорости проверки около - 370 пакетов в секунду. Предполагая подключение через - 10 Mbps Ethernet и размер пакета приблизительно 1500 байт, - получаем только 55.5% использования пропускной способности. - - Во втором случае каждый пакет был проверен приблизительно за - 1.172 мс, или приблизительно 1.2 микросекунд на правило. - Теоретический предел скорости проверки около 853 пакетов в - секунду, что делает возможным полное использование пропускной - способности 10 Mbps Ethernet. - - Чрезмерное количество проверяемых правил и их вид не позволяет - составить картину близкую к обычным условиям — эти правила - были использованы только для получения информации о времени проверки. - Вот несколько рекомендаций, которые необходимо учесть для создания - эффективного набора правил: - - - - Поместите правило established как можно - раньше для обработки большей части TCP трафика. Не помещайте - перед ним правила allow tcp. - - - - Помещайте часто используемые правила ближе к началу набора - чем редко используемые (конечно же, без изменения - действия всего набора). Вы можете определить - наиболее часто используемые правила путем проверки счетчиков - пакетов командой ipfw -a l. - - + Этот раздел не переведен. @@ -3987,9 +3353,9 @@ An optional company name []:Another Namemyca.key и сам сертификат, new.crt. Они должны быть помещены в каталог, доступный для чтения только root, - желательно внутри /etc. + желательно внутри /etc. Права на каталог можно изменить chmod с параметрами - 0600. + 0700. @@ -4020,12 +3386,12 @@ define(`confSERVER_CERT',`/etc/certs/new.crt')dnl define(`confSERVER_KEY',`/etc/certs/myca.key')dnl define(`confTLS_SRV_OPTIONS', `V')dnl - Где /etc/certs/ + Где /etc/certs/ это каталог для локального хранения сертификата и ключей. После настройки необходимо собрать локальный файл .cf. Это легко сделать, набрав make install - в каталоге /etc/mail. + в каталоге /etc/mail. Затем выполните команду make restart, которая должна запустить даемон Sendmail. @@ -4313,7 +3679,7 @@ options IPSEC_DEBUG #debug for IP security - Настройка дополнительных программ на шлюзах FreeBSD, + Настройка дополнительных программ на шлюзах &os;, чтобы компьютеры &windows; из одной сети видели компьютеры в другой через VPN. @@ -4440,12 +3806,12 @@ Destination Gateway Flags Refs Use Netif Expire шлюза, но не знает как достичь остальной части соответствующей сети. Эта проблема будет быстро решена. - Вероятно, на обеих машинах запущен межсетевой экран. VPN + Вероятно, на обеих машинах запущен брандмауэр. VPN должен обходить его. Вы можете разрешить весь трафик между двумя сетями, или включить правила, защищающие каждый конец соединения от другого. - Это сильно упрощает тестирование настройки межсетевого экрана, + Это сильно упрощает тестирование настройки брандмауэра, если вы разрешаете весь трафик через VPN. Вы всегда можете Вы всегда можете усилить защиту позже. Если вы используете на шлюзах &man.ipfw.8;, команда вроде этой @@ -4453,7 +3819,7 @@ Destination Gateway Flags Refs Use Netif Expire ipfw add 1 allow ip from any to any via gif0 разрешит весь трафик между двумя концами VPN без влияния на - другие правила межсетевого экрана. Очевидно, вам потребуется + другие правила брандмауэра. Очевидно, вам потребуется запустить эту команду на обеих шлюзах. Этого достаточно для включения ping с одного шлюза на другой. @@ -4533,7 +3899,7 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00" - Отредактируйте скрипт межсетевого экрана + Отредактируйте скрипт брандмауэра (/etc/rc.firewall, или подобный) на обеих хостах и добавьте @@ -4844,7 +4210,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; - Наконец, вам потребуется добавить правила к межсетевому экрану + Наконец, вам потребуется добавить правила к брандмауэру для включения прохождения пакетов ESP и IPENCAP в обе стороны. На обеих хостах потребуется добавить следующие правила: @@ -4966,7 +4332,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec - Добавьте правила к межсетевым экранам обеих хостов для + Добавьте правила к брандмауэрам обеих хостов для включения IKE, ESP и IPENCAP трафика: @@ -5330,7 +4696,7 @@ user@ssh-server.example.com's password: ****** Прохождение через Драконовский Брандмауэр Некоторые сетевые администраторы устанавливают - на межсетевых экранах (брандмауэрах) драконовские правила, + на брандмауэрах драконовские правила, фильтруя не только входящие соединения, но и исходящие. Вам может быть разрешен доступ к удаленным компьютерам только по портам 22 и 80, для SSH и просмотра сайтов. @@ -5342,7 +4708,7 @@ user@ssh-server.example.com's password: ****** к нему доступ. Решение состоит в создании SSH соединения с компьютером - вне межсетевого экрана и использование его для тунеллирования + вне брандмауэра и использование его для тунеллирования сервера Ogg Vorbis. &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org @@ -5351,7 +4717,7 @@ user@unfirewalled-system.example.org's password: *******< Клиентскую программу теперь можно настроить на localhost порт 8888, который будет перенаправлен на music.example.com порт 8000, успешно - обойдя межсетевой экран. + обойдя брандмауэр. diff --git a/ru_RU.KOI8-R/books/handbook/serialcomms/chapter.sgml b/ru_RU.KOI8-R/books/handbook/serialcomms/chapter.sgml index cc9b938872..e7c6a48812 100644 --- a/ru_RU.KOI8-R/books/handbook/serialcomms/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/serialcomms/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/serialcomms/chapter.sgml,v 1.10 2004/09/28 08:54:38 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/serialcomms/chapter.sgml,v 1.11 2004/11/30 08:41:17 marck Exp $ - Original revision: 1.95 + Original revision: 1.96 --> @@ -144,7 +144,7 @@ показывает названия сигналов RS-232C и номера контактов на разъеме DB-25. - + @@ -2277,7 +2277,7 @@ Keyboard: no консоль, или на обе, в зависимости от параметров в /boot.config. - + @@ -2371,7 +2371,7 @@ boot: device sio0 at isa? port IO_COM1 flags 0x10 irq 4 - + @@ -2435,7 +2435,7 @@ boot: device sio0 at isa? port IO_COM1 flags 0x30 irq 4 - + diff --git a/ru_RU.KOI8-R/books/handbook/users/chapter.sgml b/ru_RU.KOI8-R/books/handbook/users/chapter.sgml index f8768821fa..e3ca07ca9e 100644 --- a/ru_RU.KOI8-R/books/handbook/users/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/users/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/users/chapter.sgml,v 1.10 2004/11/26 14:34:40 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/users/chapter.sgml,v 1.11 2004/11/30 08:41:17 marck Exp $ - Original revision: 1.49 + Original revision: 1.51 --> @@ -358,7 +358,7 @@ в таблице, ниже находятся более детальные примеры их использования. - + @@ -503,7 +503,7 @@ Goodbye! Пароль, который вы вводите, не отображается, звездочки при вводе пароля также не отображаются. - убедитесь, что не ввели пароль неправильно дважды + Убедитесь, что вы не ошиблись при вооде пароля. diff --git a/ru_RU.KOI8-R/books/handbook/x11/chapter.sgml b/ru_RU.KOI8-R/books/handbook/x11/chapter.sgml index a7e838586c..4a81e8a0e1 100644 --- a/ru_RU.KOI8-R/books/handbook/x11/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/x11/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/x11/chapter.sgml,v 1.54 2004/11/26 14:34:40 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/x11/chapter.sgml,v 1.55 2004/11/30 08:41:17 marck Exp $ - Original revision: 1.155 + Original revision: 1.156 --> @@ -1203,7 +1203,7 @@ EndSection поведения и внешнего вида XDM. Обычно это следующие файлы: - +